Co trzeba wiedzieć, by wydać aplikację z płatnościami i przetwarzające dane osobowe?

Mam pomysł na aplikację, raczej nie będze to kolejny Facebook, ale ma pewien potencjał, tak przynajmniej mi się wydaje ;)
Mam też umiejętności by ją zrobić samemu, nie ma tam żadnego rocket science, PWA + prosty backend + wyklikanie infrastruktury na GCP. Problem zaczyna się gdy dochodzi do wszelkich spraw prawnych. RODO, ciasteczka, czy też coś co chciałbym w przyszłości - płatności za konto premium.

No i tutaj nie bardzo wiem od czego zacząć, weźmy takie dane osobowe, nie potrzebuje ich prawie w ogóle, jedyna funkcjonalność która ich potrzebuje to logowanie / logownie przez Google / FB. Muszę wtedy u siebie w bazie zapisać przynajmniej email użytkownika, który może być traktowany jako dane osobowe.
Muszę więc umieścić na stronie informacje, że przetwarzam dane osobowe? Jeżeli tak, to czy moge ot tak wziąć jakiś regulamin z internetu, czy muszę tutaj już gadać z kimś kto to mi przygotuje? Jeżeli tak to z kim? Prawnik?

Idąc dalej, powiedzmy że mam u siebie abonament, co miesiąc pobieram 20 zł z konta użytkownika. Teraz mam już w bazie danych dużo więcej informacji, czy to wiąże się z jakimiś dodatkowymi wymaganiami formalnymi którę musze spełnić? Czy ot tak mogę coś takiego robić? Dodam tylko, że jako iż pracuje na B2B to mam JDG.

No i co z odpowiedzialnością, co jak takie dane wyciekną? Co jak to były tylko maile? A co jak to były dane kart kredytowych?
I co gdy powiedzmy mam 100 aktywnych użytkowników, którzy opłacili konto premium na 30 dni, a aplikacja przestanie działać na kilka dni. Czy moge w regulaminie po prostu napisać, że nie gwarantuje 100% uptime i w ramach rekompensaty dodać wszystkim po x dni konta premium za free? Czy to nie takie proste?

Ostatnie pytanie - właśnie wszelkie regulaminy, mogę coś takiego pisać samemu? Czy tutaj również potrzeba już specjalisty, tzn. prawnika czy kogoś innego?

Innymi słowy, (TLDR) co muszę wiedzieć / potrafić poza częścią techniczną, by stworzyć i wypuścić na świat aplikacje, która ma jakieś płatności i przetwarza dane osobowe?

Idz z tym do prawnika.

1. Nie trzymaj danych kart kredytowych. Niech trzyma je pośrednik i to on za nie odpowiada.
2. Jak nie spełnisz wymogów formalnych to najwyżej dostaniesz ostrzeżenie ew. karę. Jeśli przyjdzie czas, że dostaniesz karę to najprawdopodobniej będzie Twój projekt już dużo zarabiał bo inaczej nikt by się tym nie zainteresował. A jak już będzie dużo zarabiał to sobie ogarniesz z prawnikami.
3. Odnośnie uptime - napisz w regulaminie, że nie odpowiadasz za zewnętrzne aspekty i powinno być git. Ale oczywiście staraj się trzymać dobry uptime i podejść do tego fachowo. Przecież nawet AWS na którym stoi X % internetu miał problemy czasem.
4. Napisz sobie sam regulaminy wzorując się na jakichś stronach podobnych.

To jest moje podejście. Miałem jeden biznes, który nie wypalił i nikt nie wie czy miałem dobry regulamin czy nie bo nikt nie korzysta z aplikacji. Jakby projekt wypalił i miałbym z niego np. 50000 miesięcznie to pewnie podjąłbym współpracę z jakimś prawnikiem.

Mimo wszystko jako CEO (xd) dobrze też doczytać o regulaminach itd. żeby orientować się w całym swoim biznesie.

Informacji o cookie nie musisz mieć jeśli są one niezbędne do działania strony (logowanie np.). Co do RODO - to wydumszka, wystarczy, że zadbasz o bezpieczeństwo danych i powinno być ok (czyli dobre praktyki)

Akurat sam przechodziłem przez to, tzn płatności + regulamin i tak:

1. Kopiowanie regulaminu z innej strony często przechodzi, ale, po pierwsze, akurat w tej kwestii każdy biznes jest inny i czasem nie wiesz czy nie brakuje jakiegoś punktu, po drugie, jak ktoś to odkryje to praktycznie jak kradzież własności intelektualnej.
2. Za swój regulamin do płatnej aplikacji + konsultację zapłaciłem jakieś 1000zł w sumie i dostałem dokument przygotowany dokładnie pod to co przekazałem - jakie dane zbieram, jakiej grupy, po co itd. Wrzucasz to jeszcze w koszty więc wychodzi niewiele w porównaniu z późniejszymi konsultacjami albo sprawami jak trafi się chociaż jeden upierdliwy klient, który ma zastrzeżenia do regulaminu
3. Jako, że jesteś przedsiębiorcą, a w dodatku zarabiasz na zbieraniu tych danych to oczywiście odpowiadasz za nie. W razie wycieku musisz niezwłocznie powiadomić poszkodowanych, czyli np wysłać im maila, że przykra sytuacja + pewnie wymusić na wszystkich zmianę hasła czy coś. Jak jest ich niewielu to pewnie wystarczy i nikt się nie przyczepi, jak będzie ich więcej to już zgłoszenie do organu od danych osobowych, że był wyciek itp.
4. Patrząc na powyższe - zbierasz minimum z minimum. Zawsze. Chyba, że handlujesz danymi, ale wtedy masz prawników za dużo więcej niż 1000zł. Dlatego tak jak wspomniane było wyżej - absolutnie nie baw się w trzymanie danych kart (to chyba najgorsze co można sobie zrobić jako mały przedsiębiorca, nie chcesz tego trzymać) i innych tego typu danych tylko deleguj na maksa: dane do płatności - system typu Stripe, tpay itp., dane do faktury - jakiś system typu wfirma, ifirma itp. Tylko musisz podać, że masz z nimi umowę o powierzenie danych (standardowo generują takie), tak samo jak taką umowę z hostingiem masz. Przekazanie danych nie zwalnia Cię z jednego - nadal za te dane odpowiadasz, a więc jak ustawisz sobie do tpaya hasło pies123 to ciężko Ci będzie się obronić, że to nie Twoja wina, że weszli na Twoje konto tam, tak samo jak będzie wyciek z fakturowni i dostaniesz o tym info to musisz przekazać to info do swoich klientów.
5. Emaile są raczej wdzięcznymi danymi osobowymi. Najprostszy regulamin to ogarnia, nie są to dane szczególnie wrażliwe, jak dane medyczne albo finansowe.
6. Ogólnie RODO na tym poziomie (tzn. początkujący mały biznes) to głównie kwestia tego, żeby mieć sensowne hasła, regulamin mówiący jakie, gdzie i po co trzymasz dane, komu je przekazujesz i jak można poprosić o ich zmianę/usunięcie.

Płatności ksiegowa że specjalnością it. Dane osobowe prawnik że specjalnością it.