Jump to content

RODO na Astropolis. Idą zmiany.


Recommended Posts

Od kilku dni analizuję kwestię zarządzania i bezpieczeństwa danych osobowych na Astropolis i jestem delikatnie załamany wejściem w życie nowej ustawy RODO (Rozporządzenie o Ochronie Danych Osobowych). Wygląda na to, że mamy kosmiczny problem, bo AP jest duże, przewala masę danych, udostępniacie nie tylko swoje emaile, ale także nazwiska, a nawet adresy (i pozycje na mapach). Inaczej mówiąc, wpadam w najwyższą kategorię ochrony takich danych, co prawdopodobnie oznacza gigantyczne koszty (wdrożenie procedur, zmiany w sofcie, zatrudnienie inspektora danych, etc.). Za samą wiążącą konsultację i audyt kancelarie chcą krocie. Problem w tym, że "zabawa się skończyła", bo kary idą w miliony i prawdopodobnie od 25 maja zacznie się polowanie na szantaże za wielką kasę (jak kiedyś mieliśmy masakrę przez mapy).

Z jednej strony RODO jest fajne z perspektywy użytkowników, ale z drugiej, dla takich podmiotów jak Astropolis, które jest stosunkowo duże i przetwarza ogromne ilości wrażliwych danych, może okazać się zabójcze (jesteśmy za biedni żeby wdrożyć wymagane procedury).

Ciężkie dni przede mną. Muszę to rozkminić i znaleźć jakiś kompromis. Inaczej ryzyko będzie zbyt duże i cała idea AP w aktualnej formie traci sens.

Niezależnie od drogi, którą pójdziemy, czekają nas fundamentalne zmiany w regulaminach, zasadach, a także prawdopodobnie tym, co będę dopuszczał w treściach. Generalnie na AP nakłada się podobny poziom wymagań, jak np. na Google, czy Facebook. Jest jednak między nami delikatna różnica w przychodach. :(((

  • Like 1
  • Sad 1
Link to post
Share on other sites

Kolejny problem, którego jeszcze nie wiem jak rozwiązać, a jest kosmicznie istotny (fundament RODO) - czyli prawo do bycia zapomnianym. Inaczej mówiąc - jeżeli którykolwiek z użytkowników forum zażąda usunięcia konta, to muszę je usunąć. Fajnie? Fajnie... tak było zawsze i robiliśmy to na prośbę zainteresowanego. Co się więc zmienia? 
1. teraz musimy przeglądać ręcznie forum, czy nie ma jakiś innych danych powiązanych, choćby w cytatach, czy automatycznie indeksowanych rzeczach - masakra.
2. backupy - musimy go usunąć także w backupach, czego nie da się zrobić sprawnie i tanio przy technologiach używanych przez Astropolis - masakra do kwadratu.

 

"Pojawia się tutaj pewien problem, a mianowicie kwestia kopii zapasowych, które sporządzane są w przedsiębiorstwach. W sytuacji kiedy dana osoba zarządza usunięcia swoich danych ze wszystkich systemów informatycznych, czynność ta może być bardzo czasochłonna, a także kosztowna i w większości przypadków niemożliwa w praktyce do zrealizowania."

Więcej informacji w pigułce (będę wrzucał linki): https://www.politykabezpieczenstwa.pl/pl/a/co-to-jest-rodo-jak-sie-przygotowac-do-jego-wprowadzenia

 

https://www.pwc.pl/pl/artykuly/2017/10-najwazniejszych-zmian-ktore-wprowadza-rodo.html

Link to post
Share on other sites

Na szczęście mnie temat nie dotyczy, więc znam go dość pobieżnie, ale wkurza mnie taka troska państwa o dane osobowe, podczas gdy na kradziony dowód w dalszym ciągu można radośnie brać kredyty i pożyczki. 

  • Like 3
Link to post
Share on other sites
13 minut temu, Adam_Jesion napisał:

2. backupy - musimy go usunąć także w backupach, czego nie da się zrobić sprawnie i tanio przy technologiach używanych przez Astropolis - masakra do kwadratu.

W jednym z opracowań czytałem, że na poziomie przepisów wykonawczych "prawo od bycia zapomnianym" może nie być bezwzględne. Chodzi w nim o zaprzestanie przetwarzania danych danej osoby oraz przede wszystkim o usunięcie publicznie dostępnych informacji o takim przetwarzaniu. Prawo do bycia zapomnianym nie może natomiast ingerować w bezpieczeństwo innych danych osobowych (dotyczy to właśnie backup'ów). Zobaczymy jak będzie, bo na razie jest więcej znaków zapytania niż konkretów.

Link to post
Share on other sites

ale tak realnie, czy jest szansa że forum może w ogóle nie gromadzić danych osobowych i mieć wywalone na pomysły eurokomuny?

np. pierwszy punkt regulaminu: zakaz podawania danych osobowych. osoby łamiące zakaz zobowiązują się wpłacić karę umowną na forumowy fundusz wspierania ochrony danych osobowych ^_^

to nie sklep, gdzie konieczny jest kontakt z rzeczywistością bo trzeba świadczyć usługi konkretnym osobom.

mnie na przykład w ogóle nie interesuje kto jest kim na forum i czy naprawdę istniejecie :D :D :D 

  • Like 3
Link to post
Share on other sites

Na forum raczej nie ma danych wrażliwych no chyba, że ktoś piszę że boli go kręgosłup od dźwigania teleskopu, albo prezentuje poglądy religijne, polityczne, itp.

 

Temat bycia zapomnianym w kontekście backupów jest bardzo trudny. Ministerstwo Cyfryzacji zaleca odtworzenie backupu... skasowanie danych i ponowne nagranie backupu :D.

RODO informator https://www.gov.pl/documents/31305/436699/RODO.pdf

 

 

Link to post
Share on other sites

Nie da się skasować danych osobowych jak telefony, nazwiska, adresy, położenie geograficzne etc. i zostawić same nicki? To rozwiązało by problem?

Link to post
Share on other sites

Dyrektywa unijna jest z 2016, o ile pamiętam. Były równo dwa lata na rozkminianie tematu.

najprostsze (konieczne) minimum to żądanie potwierdzenia zgody na przechowywanie tych danych, a bez potwierdzenia tej zgody wszystko o kliencie wymazać. Od razu ubędzie 10k martwych kont i koszty będą ... przyjaźniejsze.

 

Szuu pyta :

"czy jest szansa że forum może w ogóle nie gromadzić danych osobowych i mieć wywalone na pomysły eurokomuny?"

NIE. Podawany przy rejestracji usera mail to już są dane "podpadające"

Hmmm, czy nasze kontakty w outlooku i telefonie też ?

Edited by Fredrixxon
  • Like 1
Link to post
Share on other sites
39 minut temu, TomaszP1977 napisał:

RODO SRODO a goście od garnków dalej będą dzwonić z zaproszeniami na pokaz produktu.

Ja cały czas mam Kamerę samochód i 10 tys do odebrania ale jakoś mi się sms nie chce pisać

  • Haha 1
Link to post
Share on other sites
1 hour ago, Fredrixxon said:

NIE. Podawany przy rejestracji usera mail to już są dane "podpadające"

no i 25 maja może powrócić ekolog :) wystarczy że powoła się na prawo bycia zapomnianym i założy nowe konto :P

i tym akurat się nie martwię, ale ogólnie czy będzie możliwe banowanie bez przechowywania danych osobowych?

Link to post
Share on other sites
Godzinę temu, Fredrixxon napisał:

Dyrektywa unijna jest z 2016, o ile pamiętam. Były równo dwa lata na rozkminianie tematu.

najprostsze (konieczne) minimum to żądanie potwierdzenia zgody na przechowywanie tych danych, a bez potwierdzenia tej zgody wszystko o kliencie wymazać. Od razu ubędzie 10k martwych kont i koszty będą ... przyjaźniejsze.

 

Szuu pyta :

"czy jest szansa że forum może w ogóle nie gromadzić danych osobowych i mieć wywalone na pomysły eurokomuny?"

NIE. Podawany przy rejestracji usera mail to już są dane "podpadające"

Hmmm, czy nasze kontakty w outlooku i telefonie też ?

Jak jesteś osobą prywatną to nie ma znaczenia ale jak prowadzisz jakąś działalność u dane gromadzisz to już tak.

 

Wydaje mi się że panie rozsiewają panikę naciągacze na szkolenia z RODO i tym podobni, bo GIODO wyraźnie i oficjalnie powiedział że ani nie ma środków ani mechanizmów żeby móc takie kontrole wszystkich podmiotów przeprowadzać i kogoś karać. I nic się nie ruszy póki gdzieś w licu sierpniu nie pojawi się ustawa wprowadzająca RODO - bez niej prawo będzie martwe, bo żaden organ wykonawczy nie będzie miał kompetencji tudzież środków do szukania, kontrolowania i karania kogokolwiek.

  • Like 2
Link to post
Share on other sites
2 minuty temu, Kunzite napisał:

Jak jesteś osobą prywatną to nie ma znaczenia ale jak prowadzisz jakąś działalność u dane gromadzisz to już tak.

 

Wydaje mi się że panie rozsiewają panikę naciągacze na szkolenia z RODO i tym podobni, bo GIODO wyraźnie i oficjalnie powiedział że ani nie ma środków ani mechanizmów żeby móc takie kontrole wszystkich podmiotów przeprowadzać i kogoś karać. I nic się nie ruszy póki gdzieś w licu sierpniu nie pojawi się ustawa wprowadzająca RODO - bez niej prawo będzie martwe, bo żaden organ wykonawczy nie będzie miał kompetencji tudzież środków do szukania, kontrolowania i karania kogokolwiek.

No to wyjaśnione temat do zamknięcia :)

Link to post
Share on other sites
1 hour ago, Fredrixxon said:

NIE. Podawany przy rejestracji usera mail to już są dane "podpadające"

a jeszcze pytanie teoretycznie, bo w praktyce to forum pewnie nie może działać bez rejestracji mailem...

czy forum, w którym nie podaje się maila, albo używa go tylko jednorazowo żeby zapobiec tworzeniu spamerskich kont (zapis tylko hasha adresu żeby nie tworzyć wielu kont z tego samego maila) byłoby traktowane przez prawo jako nieprzetwarzające danych osobowych?

 

Link to post
Share on other sites
2 godziny temu, Kunzite napisał:

Wydaje mi się że panie rozsiewają panikę naciągacze na szkolenia z RODO i tym podobni, bo GIODO wyraźnie i oficjalnie powiedział że ani nie ma środków ani mechanizmów żeby móc takie kontrole wszystkich podmiotów przeprowadzać i kogoś karać.

Musisz zaktualizować informacje, bo już wiadomo, że nie będzie GIODO (zniknie w momencie wejście RODO), ale powstaje PUODO.

 

Cytat z dyskusji na Fb: "GIODO było małe, a samo PUODO ma mieć zapewnione środki z Państwa na swoją działalność, więc ilość urzędników znacząco wzrośnie, co pewnie wpływnie ujemnie na ich kompetencje. Dodatkowo pierwsze kontrole pojawią się pewnie dopiero po wakacjach."

 

https://www.zadluzenia.com/wszystko-o-puodo-urzad-ochrony-danych-osobowych/

 

Ja się nie boję losowych kontroli. Chodzi o to, że to bardzo prosta furtka do 2 rzeczy:

1. trollingu prawnego - czyli już powstają kancelarie, które zajmą się ściąganiem haraczy od tych, którzy się nie dostosowali (przerabialiśmy takie scenariusze nawet na AP - pewnie niektórzy pamiętają, wydałem sporo kasy na prawnika żeby się z tego wybronić, a chodziło o trolle prawne skupujące prawa do map, a potem ponownie dostaliśmy rykoszetem za regulaminy w sklepie)

2. donosy - tu też mamy "doświadczenie", bo w naszej społeczności znajdują się osobniki, którym się różne rzeczy nie podobają i wypisują sobie donosy (miałem np. kontrolę VAT za tickety zlotowe oraz ewidencję przychodów z AP, które w owym czasie nie istniały :P). For jest kilka i bez wątpienia RODO może stanowić element walki konkurencyjnej (różne rzeczy się działy, a w przeszłości "koledzy" posuwali się nawet do nielegalnych ruchów.

Podsumowując, mam podstawy sądzić, że pewne minimalne zagrożenie jednak istnieje - w najlepszym wypadku uprzykrzenia nam życia, w najgorszym doprowadzenia do poważnych obciążeń finansowych (trudno powiedzieć dzisiaj jakich). Nie mam też powodu nie traktować ryzyka poważnie, bo to już się w przeszłości działo - stanie się i teraz. To kwestia czasu.

Dlatego jeżeli znacie kogoś, kto doktoryzuje się na poważnie w temacie audytów i wdrożeń ODO, i byłby w stanie nam pomóc za racjonalną kwotę, na którą nas stać, to byłbym wdzięczny. Na razie przy proponowanych budżetach wymiękam. Chciałbym, żebyśmy spełniali absolutne minimum dostosowania do nowej ustawy - tak, żeby potencjalnie ochronić się przed wspominanymi w wątku ryzykami (w tym trolli prawnych). Pomóżcie nam proszę.

Link to post
Share on other sites
2 godziny temu, szuu napisał:

a jeszcze pytanie teoretycznie, bo w praktyce to forum pewnie nie może działać bez rejestracji mailem...

czy forum, w którym nie podaje się maila, albo używa go tylko jednorazowo żeby zapobiec tworzeniu spamerskich kont (zapis tylko hasha adresu żeby nie tworzyć wielu kont z tego samego maila) byłoby traktowane przez prawo jako nieprzetwarzające danych osobowych?

 

Niewiele to da, bo przecież Internet Protocol Address (czyli adres IP komputera) zgodnie z regulacjami RODO podlega ochronie danych osobowych, a nie jesteś w stanie świadczyć usługi elektronicznej bez tegoż.

 

Link to post
Share on other sites
7 godzin temu, Jagho napisał:

oraz przede wszystkim o usunięcie publicznie dostępnych informacji o takim przetwarzaniu.

To nie jest prawda. Usunięcie danych oznacza usunięcie ich ze wszystkich nośników jakie posiada podmiot - włącznie z archiwalnymi. Bez znaczenia jest czy dane te są publiczne, czy nie. Jeżeli będziesz miał bazę 12 swoich klientów w notatniku (niepubliczną) to też musisz spełniać wymogi ustawy. Co więcej, żeby mieć w notatniku te 12 adresów, to musisz mieć jasny cel i uzasadnione prawo do ich przechowywania, a po wygaśnięciu celu musisz je usunąć. Wcześniej takie osoby musisz poinformować, że w ogóle przetwarzasz ich dane i dać im do nich dostęp (żeby w każdej chwili mogli zobaczyć, jakie te dane sobie tam pozapisywałeś i po co). Brzmi irracjonalnie? To właśnie RODO.


https://gdpr.pl/artykul-5-zasady-dotyczace-przetwarzania-danych-osobowych

Link to post
Share on other sites
1 hour ago, Adam_Jesion said:

Niewiele to da, bo przecież Internet Protocol Address (czyli adres IP komputera) zgodnie z regulacjami RODO podlega ochronie danych osobowych, a nie jesteś w stanie świadczyć usługi elektronicznej bez tegoż.

 

tutaj to chyba przesadziłeś, gdyby tak było to nie nazywałoby się rozporządzenie o ochronie danych osobowych tylko rozporządzenie o wszystkim co dzieje się w internecie.

jeżeli nawet są przypadki gdy IP może pomóc w identyfikacji osoby (ale to raczej we współpracy z organami ścigania lub dostawcą internetu lub skorelowaniem z innymi informacjami czyli wymagają dodatkowego wysiłku) to nikt nie każe ci tego adresu IP zapisywać. i już nie ma żadnych danych osobowych, informacja została użyta tylko do celów technicznych, nikogo nie zidentyfikowała a potem przestała istnieć.

 

prawdopodobnie może to powodować inne kłopoty ("tak, panie prokuratorze, rzeczywiście ktoś przeprowadzał u mnie na forum transmisję video z gwałtu na nieletniej ale potem zażądał usunięcia konta więc zgodnie z prawem nie mam już jego danych ani w logach ani w backupach") jednak ochrona danych osobowych nie jest jednym z nich :)

Link to post
Share on other sites

Poczytaj. "Pojęcie „danych osobowych” zostaje z kolei poszerzone o adresy IP oraz zbierane przez przeglądarkę internetową pliki cookies („ciasteczka”). ". IP może jak najbardziej służyć do określenia konkretnej osoby, prowiderzy i administratorzy mają takie możliwości techniczne (w większości przypadków) - szczególnie przy zestawieniu ich z innymi danymi. Takimi intencjami kierował się tu zapewne ustawodawca.

"Ponieważ definicja powyższa wprowadza pojęcie możliwości pośredniej identyfikacji, to biorąc pod uwagę obecne możliwości przetwarzania dużych zbiorów danych (big data) należy przyjąć, iż w zasadzie każda informacja, która choćby tylko potencjalnie może prowadzić do identyfikacji konkretnej osoby, będzie daną osobową. Ucina to dyskusje, czy sam numer telefonu, MAC adres lub IP stanowi daną osobową. W świetle RODO – tak. W tym też kierunku zmierzają najnowsze interpretacje organów stojących na straży ochrony danych osobowych i orzecznictwo ETS. W tym kontekście problematyczne jest stosowanie popularnej metody „anonimizacji” danych – polegającej na usunięciu ze zbioru danych niektórych informacji identyfikujących konkretną osobę. Jest bowiem bardzo prawdopodobne, iż na podstawie pozostałych informacji można pośrednio zidentyfikować też taką „anonimową” osobę. Stąd też w RODO pojawia się nowe w polskim porządku prawnym pojęcie „pseudonimizacji” – czyli „przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;” W praktyce stosowania RODO, pseudonimizacja będzie narzędziem często wykorzystywanym."

https://datamakesales.pl/rodo-czyli-rewolucja-w-ochronie-danych-osobowych/

I taką mamy właśnie sytuację na forum. Daj mi jakiś nr IP a powiem Ci dokładnie, kto to jest - tylko na bazie adresów IP w bazie AP. Każdy post, każda interakcja zawiera także IP (+ sporo innych danych). Wszystkie te interakcje gromadzone są dookoła profilu (mam całą historię twoich IP od początku istnienia). Tak działa ten system i nie ma nawet opcji żeby to zmienić. Inaczej mówiąc - IP na AP podlega pod RODO.

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Our picks

    • Big Bang remnant - Ursa Major Arc or UMa Arc
      Tytuł nieco przekorny bo nie chodzi tu oczywiście o Wielki Wybuch ale ... zacznijmy od początku.
       
      W roku 1997 Peter McCullough używając eksperymentalnej kamery nagrał w paśmie Ha długą na 2 stopnie prostą linie przecinajacą niebo.
       
      Peter McCullough na konferencji pokazał fotografię Robertowi Benjamin i obaj byli pod wrażeniem - padło nawet stwierdzenie: “In astronomy, you never see perfectly straight lines in the sky,”
        • Love
        • Thanks
        • Like
      • 16 replies
    • Jeśli coś jest głupie, ale działa, to nie jest głupie - o nietypowych rozwiązaniach sprzętowych
      Sformułowanie, które można znaleźć w internetach jako jedno z "praw Murphy'ego" przyszło mi na myśl, gdy kolejny raz przeglądałem zdjęcia na telefonie z ostatniego zlotu, mając z tyłu głowy najgłośniejszy marsjański temat na forum. Do rzeczy - jakie macie (bardzo) nietypowe patenty na usprawnienie sprzętu astronomicznego bądź jakieś kreatywne improwizacje w razie awarii czy niezabrania jakiegoś elementu sprzętu  Obstawiam, że @HAMAL mógłby samodzielnie wypełnić treścią taki wątek.
        • Haha
        • Like
      • 21 replies
    • MARS 2020 - mapa albedo powierzchni + pełny obrót 3D  (tutorial gratis)
      Dzisiejszej nocy mamy opozycję Marsa więc to chyba dobry moment żeby zaprezentować wyniki mojego wrześniowego projektu. Pogody ostatnio jak na lekarstwo – od początku października praktycznie nie udało mi się fotografować. Na szczęście wrzesień dopisał jeśli chodzi o warunki seeingowe i udało mi się skończyć długo planowany projekt pełnej mapy powierzchni (struktur albedo) Marsa.
        • Love
        • Thanks
        • Like
      • 131 replies
    • Aktualizacja silnika Astropolis - zgłaszanie uwag
      Dzisiaj zaktualizowaliśmy silnik Astropolis do najnowszej wersji (głównie z powodów bezpieczeństwa). Najpoważniejsze błędy zostały już naprawione, ale ponieważ aktualizacja jest dosyć rozbudowana (dotyczy także wyglądu), drobnych problemów na pewno jest więcej. Bez was ich nie namierzymy. Dlatego bardzo proszę o pomoc i wrzucanie tu informacji o napotkanych problemach/błędach.
        • Like
      • 247 replies
    • Insight Investment Astrophotographer of the Year 2020 – mój mały-wielki sukces :)
      Jestem raczej osobą która nie lubi się chwalić i przechwalać… ale tym razem jest to wydarzenie dla mnie tak ważne, że postanowiłem podzielić się z Wami tą niezwykle radosną dla mnie wiadomością.
       
      Moja praca zajęła pierwsze miejsce w kategorii „Planety, komety i asteroidy” podczas tegorocznego konkursu Insight Investment Astronomy Photographer of the Year 2020.
        • Love
        • Thanks
        • Like
      • 85 replies
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.