• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

RODO - Aplikacja - Firebase

VPS Starter Arubacloud
0 głosów
954 wizyt
pytanie zadane 29 stycznia 2019 w Offtop przez fipooo Bywalec (2,880 p.)
Chcę wypuścić aplikację w której korzystam z fireabse - logowanie(email, haslo/google/facebook), przechowywanie zdjęć. Co muszę zrobić w związku z rodo? Jakie kroki podjąć?

1 odpowiedź

+1 głos
odpowiedź 1 lutego 2019 przez Kornel J Nowicjusz (220 p.)

Musisz zadać sobie pytanie czy przetwarzasz dane osobowe, w jakim zakresie to robisz i co absolutnie musisz przetwarzać. Na temat samej interpretacji danych osobowych nie będę się rozpisywać tutaj prawo jest nieprecyzyjne, uznaniowe natomiast kary bardzo duże. Generalnie lepiej założyć że je przetwarzasz niż że ich nie przetwarzasz.

Aby przestrzegać RODO musisz posiadać politykę prywatności w której określisz określić między innymi jakie dane: dane zbierasz, po co je zbierasz, dlaczego musisz je zbierać i jak długo je przechowujesz. Dodatkowo musi określić ASI - osobę odpowiedzialną za bezpieczeństwo danych(z imienia i nazwiska) - jak coś wycieknie w wyniku błędów to ona odpowiada karnie(za niedopatrzenia) i finansowo(kary, odszkodowania).

Musisz również określić drogę komunikacji z tobą elektroniczną i tradycyjną - czyli e-mail i adres do przesyłania listów (nie, nie może być skrytka pocztowa). Na ten adresy również przyjmujesz wnioski o prawo do zapomnienia czyli prośby użytkowników o skasowanie ich konta oraz wszystkich danych z nim powiązanych, lub o dostęp do nich. Oraz wyznaczasz termin w którym najpóźniej odpowiesz - max 30 dni.

W polityce opisujesz też zabezpieczenia jakie stosujesz(bez zagłębiania się w szczegóły techniczne). Trochę tego jest ale w brew pozorom polityka zajmuje 2-3 kartki a4 i ma być napisana zrozumiałym dla przeciętnego kowalskiego językiem, w ogólno dostępnym formacie (polecam .pdf).

Jeśli chodzi o usługodawców przechowujących Twoje dane osobowe to potrzebna jest Ci umowa powierzenia danych + ich polityka. Tego nie musisz publikować to masz uszykowane i podpisane na wypadek kontroli musisz tylko wspomnieć w polityce że przekazujesz to zewnętrznym firmą w tym wypadku Google. Szczerze to nie wiem czy firebise jest w ogóle dostosowany do RODO to musiał byś sobie poszukać.

Jako ASI masz obowiązek logowania tego kto uzyskał dostęp do danych osobowych, w jakim zakresie oraz przez jaki czas i jak wyglądał ten dostęp i jak był zabezpieczony przed ingerncją osób trzecich. W praktyce robisz sobie 3 metody dostępu opisujesz je i w logach podajesz obo dostępu obok wpisu 1,2,3 itp. Tutaj nie liczą się dostępy w ramach serwisu typu użytkownik - użytkownik. Tylko chodzi o administratorów itp. Spisać musisz wszystkie dane osoby której dane powierzasz  + odpowiednia umowa z tą osobą - najwygodniej jest samemu zarządzać.

Dodatkowo user musi wyrazić odpowiednie zgody przy podawaniu danych osobowych. Zgody to dojść długie formułki które musisz dać do akceptacji niestety w całości.


To nie jest porada ani techniczna ani prawna. Istnieją jeszcze inne obostrzenia a niektóre punkty mogą się zmienić zarówno w czasie jak i w konkretnym przypadku. Polityka prywatności jest dostosowana pod konkretny serwis i nie ma czegoś takiego jak gotowiec(choć w internecie roi się od takich pseudo polityk - szablonów), pisze się ją indywidualnie pod daną firmę/serwis.

Jeśli zauważyłeś że jest to strasznie dużo wymagań i większość małych firm nie ma wiedzy ani czasu się w to bawić to punkt dla Ciebie. RODO jest trochę nie życiowe i napisane pod średnie i duże firmy. Jednak w Polsce wykształcił się Ciekawy typ firm - firmy oferujące administrację danymi osobowymi. Czyli spisujesz umowę oni Ci piszą politykę prywatności dogadują umowy z usługodawcami oraz zabezpieczają serwis. W przypadku kodu sprawdzają kod pod kątem wycieku i podatności. A teraz najlepsze mają własnego ASI czyli za wyciek i niezgodności odpowiedzą oni a nie ty. (no chyba że nie przestrzegasz zaleceń). Tego typu firmy nie mają jeszcze swojej nazwy dlatego ciężko się je w Google szuka ale jest i w Polsce naprawdę sporo tu masz przykład: https://supportit.com.pl/oferta/rodo inne też znajdziesz tylko trzeba trochę poszukać.

komentarz 1 lutego 2019 przez fipooo Bywalec (2,880 p.)

surprise to raczej na pewno nie będę tego próbował sam ogarnąć a raczej skorzystam z zewnętrznej firmy. Dziękuję bardzo za tak wyczerpującą odpowiedź :).

Podobne pytania

0 głosów
1 odpowiedź 610 wizyt
+3 głosów
1 odpowiedź 516 wizyt
pytanie zadane 23 maja 2018 w Bezpieczeństwo, hacking przez MrxCI Dyskutant (8,260 p.)
0 głosów
0 odpowiedzi 144 wizyt
pytanie zadane 8 marca 2020 w Systemy operacyjne, programy przez Lampards Obywatel (1,130 p.)

92,452 zapytań

141,261 odpowiedzi

319,074 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...