Przetrzymywanie imienia i nazwiska w bazie. Darmowe generator polityk prywatności i regulaminów

Mam nadzieję, że to dobry dział.

Czy przetrzymywanie imienia, nazwiska oraz dodatkowo urla do zdjęcia oraz maila to duży problem? Dane tę dostaje po tym jak ktoś się zaloguje firebasem do google.
Robię MVP, chcę dalej puścić w świat i zastanawiam się z czym mogę mieć problem i jakie to są konwekwencje?

Zna ktoś jakieś generatory polityk prywatności i regulaminów? Takie coś wystarczy?

Generalnie zauważyłem, że sam pomysł to pryszcz, wykonanie to pryszcz, wdrożenie to pryszcz, ale te wszystkie polityki, termsy i pierdoły są męczące najbardziej ://

Pozdr.

Ja płaciłem 2k za regulamin i politykę, więc nie są to duże pieniądze.

A orientuje się ktoś czy podawanie swojego imienia, nazwiska, adresu itd jest obligatoryjne przy regulaminach i politykach prywatności? Nie da się tego jakoś obejść nie posiadając spółki z.o.o? Podanie randomowych danych czymś grozi ? :D

Dane osobowe to poważny tamat. Kary za nieumyślne działania dużych firm typu Morele szły w miliony. Do przetwarzania danych nie tylko musisz mieć regulaminy, ale również opracowane procedury, wyznaczoną osobę odpowiedzialną za tematy związane z danymi i w wielu przypadkach musisz też zarejestrować sam zbiór danych w odpowiednim urzędzie.

1. Gdzie trzeba to zarejestrować?
2. Gdzie jest granica między administrowaniem danymi, a utworzeniem klastra bazy danych? Czy role pracowników muszą być jakoś odseparowane? Np. jeden gość ma dostęp do panelu administratora, a drugi jest devopsem. Obaj mogą potencjalnie dotknąć danych bo devops zawsze może wbić na klaster i z roota coś przeczytać.
3. Orientujecie się czy te wszystkie prztyczki są teraz potrzebne i czy da się to możliwie uprościć? Github jakiś czas temu ogłaszał, że się pozbyli tego komunikatu o cookiesach bo ich prawnicy wgłębili się w to prawo i uznali, że to jest niepotrzebne w ich przypadku. Jak to jest teraz?

Trochę pracowałem z ecommerce i wdrażałem zalecenia z audytów prawnych. Ogólnie co prawnik to opinia. Te wszystkie prztyczki, popupy itp to jest interpretacja prawników - nie ma takiego konkretnego przepisu mówiącego, że w takim a takim miejscu musi być chceckbox. Są tylko ogólne przepisy o obowiązku informacyjnym i np. Przepisy określające uprawnienia przysługujące osobie, której dane są przetwarzane.

Taki prosty przykład - przepisy mówią, że osoba ma prawo trwałe usunąć swoje dane z systemu, dlatego prawnicy zalecają wdrożenie funkcji usuwania konta. Z drugiej strony żaden przepis nie mówi, że to musi być automat i jak usunięcie konta wymaga napisania maila do BOK to też technicznie spełniasz ten przepis.

Ogólnie przepisy się nie zmieniły - po prostu Github sobie zrobił taką wykładnie i tyle. Póki nie będzie pozwu to się nie dowiemy czy ich prawnicy mają rację czy nie.

Co do rejestracji bazy danych osobowych to zgłoszenia należało dokonać do GIODO. Po wprowadzeniu Rodo chyba ten obowiązek został częściowo zniesiony, ale zostały jakieś inne obowiązki za to wprowadzone - zdaje się, że jakieś rejestry trzeba teraz prowadzić w firmie czy coś takiego. Ale mogę tutaj kręcić bo to tylko tak z rozmów z właścicielami wyciągnąłem.

Każde trzymanie danych osobowych wymaga wskazania regulaminu z określonymi sposobami "zapomnienia". Nie ma obowiązku automatu jak pisał @hadwao ale też, każda forma prośby o zapomnienie powinna skutkować. Jeśli więc masz np. mail kontaktowy to jak osoba poprosi o zapomnienie w takim sposób to powinieneś to wykonać. Ja znam takie interpretacje. Ale jak już wspomniano co prawnik to opinia.

@hadwao przesadzasz, od czasu wejścia rodo nie trzeba nic nigdzie rejestrować, w przypadku małych inicjatyw jak np prosty startup osoba odpowiedzialną jest właściciel serwisu. Procedur nigdzie nie musisz opisywać ważne by wiedzieć podstawy typu: wyciekły dane -> trzeba wszystkich o tym powiadomić. No i zrobienie rega i polityki to kwestia 1600zł netto tyle płaciłem rok temu za zestaw.

@mr_jaro: chyba sam regulamin to za mało. Z tego co się orientuję to firma musi wyznaczyć administratora danych osobowych (może nim być właściciel czy inny pracownik), prowadzić rejestr zdarzeń związanych z danymi osobowymi itp. Powinny też być spisane rzeczy typu, że pracownicy muszą zmieniać hasła co x tygodni, reguły dotyczące tworzenia tych haseł itp. Jest też szereg obowiązków informacyjnych. W przypadku używania OS musisz zadbać o bieżące aktualizacje itp itd. Nie jest to jakieś mega skomplikowane zagadnienie i tak jak piszesz da się to ogarnąć za kwoty 1-3k w przypadku małej w miarę standardowej działalności. Oczywiście tak jak pisałem to tematy, które znam z pracy - bezpośrednio z prawnikiem nie konsultowałem.

@hadwao: o wyznaczonej osobie napisałem ci, w takim przypadku jest nim właściciel. Nie ma wymogów zmiany haseł, powiem więcej dziś np owasp tego zabrania.

No dobra, a generatory nie starczą? https://www.legalniewsieci.pl/wzory-i-generatory-pism - chociażby to. Tutaj mogę wszystko wygenerować. Na MVP to nie wystarczy?
Co, za każdym razem jak robię MVP i waliduję pomysł, wrzucam na jakiegoś product hunta to muszę płacić 2k za papiery od prawnika? Raz to zrobiłem i G z apki wyszło XD ...

Pytam bardziej teraz o podanie osoby odpowiedzialnej za apkę. Robimy ją akurat w 3 i nikt z nas nie chce być tam wpisanym.

Są jakieś rozwiązania alternatywne i dyplomatyczne ? ;p Można wpisać 3 osoby?

Co w sumie za to grozi jak coś będzie nie tak?