• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

RODO - Aplikacja - Firebase

Aruba Cloud - Virtual Private Server VPS
0 głosów
1,129 wizyt
pytanie zadane 29 stycznia 2019 w Offtop przez fipooo Bywalec (2,880 p.)
Chcę wypuścić aplikację w której korzystam z fireabse - logowanie(email, haslo/google/facebook), przechowywanie zdjęć. Co muszę zrobić w związku z rodo? Jakie kroki podjąć?

1 odpowiedź

+1 głos
odpowiedź 1 lutego 2019 przez Kornel J Nowicjusz (220 p.)

Musisz zadać sobie pytanie czy przetwarzasz dane osobowe, w jakim zakresie to robisz i co absolutnie musisz przetwarzać. Na temat samej interpretacji danych osobowych nie będę się rozpisywać tutaj prawo jest nieprecyzyjne, uznaniowe natomiast kary bardzo duże. Generalnie lepiej założyć że je przetwarzasz niż że ich nie przetwarzasz.

Aby przestrzegać RODO musisz posiadać politykę prywatności w której określisz określić między innymi jakie dane: dane zbierasz, po co je zbierasz, dlaczego musisz je zbierać i jak długo je przechowujesz. Dodatkowo musi określić ASI - osobę odpowiedzialną za bezpieczeństwo danych(z imienia i nazwiska) - jak coś wycieknie w wyniku błędów to ona odpowiada karnie(za niedopatrzenia) i finansowo(kary, odszkodowania).

Musisz również określić drogę komunikacji z tobą elektroniczną i tradycyjną - czyli e-mail i adres do przesyłania listów (nie, nie może być skrytka pocztowa). Na ten adresy również przyjmujesz wnioski o prawo do zapomnienia czyli prośby użytkowników o skasowanie ich konta oraz wszystkich danych z nim powiązanych, lub o dostęp do nich. Oraz wyznaczasz termin w którym najpóźniej odpowiesz - max 30 dni.

W polityce opisujesz też zabezpieczenia jakie stosujesz(bez zagłębiania się w szczegóły techniczne). Trochę tego jest ale w brew pozorom polityka zajmuje 2-3 kartki a4 i ma być napisana zrozumiałym dla przeciętnego kowalskiego językiem, w ogólno dostępnym formacie (polecam .pdf).

Jeśli chodzi o usługodawców przechowujących Twoje dane osobowe to potrzebna jest Ci umowa powierzenia danych + ich polityka. Tego nie musisz publikować to masz uszykowane i podpisane na wypadek kontroli musisz tylko wspomnieć w polityce że przekazujesz to zewnętrznym firmą w tym wypadku Google. Szczerze to nie wiem czy firebise jest w ogóle dostosowany do RODO to musiał byś sobie poszukać.

Jako ASI masz obowiązek logowania tego kto uzyskał dostęp do danych osobowych, w jakim zakresie oraz przez jaki czas i jak wyglądał ten dostęp i jak był zabezpieczony przed ingerncją osób trzecich. W praktyce robisz sobie 3 metody dostępu opisujesz je i w logach podajesz obo dostępu obok wpisu 1,2,3 itp. Tutaj nie liczą się dostępy w ramach serwisu typu użytkownik - użytkownik. Tylko chodzi o administratorów itp. Spisać musisz wszystkie dane osoby której dane powierzasz  + odpowiednia umowa z tą osobą - najwygodniej jest samemu zarządzać.

Dodatkowo user musi wyrazić odpowiednie zgody przy podawaniu danych osobowych. Zgody to dojść długie formułki które musisz dać do akceptacji niestety w całości.


To nie jest porada ani techniczna ani prawna. Istnieją jeszcze inne obostrzenia a niektóre punkty mogą się zmienić zarówno w czasie jak i w konkretnym przypadku. Polityka prywatności jest dostosowana pod konkretny serwis i nie ma czegoś takiego jak gotowiec(choć w internecie roi się od takich pseudo polityk - szablonów), pisze się ją indywidualnie pod daną firmę/serwis.

Jeśli zauważyłeś że jest to strasznie dużo wymagań i większość małych firm nie ma wiedzy ani czasu się w to bawić to punkt dla Ciebie. RODO jest trochę nie życiowe i napisane pod średnie i duże firmy. Jednak w Polsce wykształcił się Ciekawy typ firm - firmy oferujące administrację danymi osobowymi. Czyli spisujesz umowę oni Ci piszą politykę prywatności dogadują umowy z usługodawcami oraz zabezpieczają serwis. W przypadku kodu sprawdzają kod pod kątem wycieku i podatności. A teraz najlepsze mają własnego ASI czyli za wyciek i niezgodności odpowiedzą oni a nie ty. (no chyba że nie przestrzegasz zaleceń). Tego typu firmy nie mają jeszcze swojej nazwy dlatego ciężko się je w Google szuka ale jest i w Polsce naprawdę sporo tu masz przykład: https://supportit.com.pl/oferta/rodo inne też znajdziesz tylko trzeba trochę poszukać.

komentarz 1 lutego 2019 przez fipooo Bywalec (2,880 p.)

surprise to raczej na pewno nie będę tego próbował sam ogarnąć a raczej skorzystam z zewnętrznej firmy. Dziękuję bardzo za tak wyczerpującą odpowiedź :).

Podobne pytania

0 głosów
1 odpowiedź 871 wizyt
+3 głosów
1 odpowiedź 616 wizyt
pytanie zadane 23 maja 2018 w Bezpieczeństwo, hacking przez MrxCI Dyskutant (8,260 p.)
0 głosów
0 odpowiedzi 172 wizyt
pytanie zadane 8 marca 2020 w Systemy operacyjne, programy przez Lampards Obywatel (1,130 p.)

93,327 zapytań

142,325 odpowiedzi

322,396 komentarzy

62,657 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj

Wprowadzenie do ITsec, tom 1 Wprowadzenie do ITsec, tom 2

Można już zamawiać dwa tomy książek o ITsec pt. "Wprowadzenie do bezpieczeństwa IT" - mamy dla Was kod: pasja (użyjcie go w koszyku), dzięki któremu uzyskamy aż 15% zniżki! Dziękujemy ekipie Sekuraka za fajny rabat dla naszej Społeczności!

...