Lekcje: RODO i bezpieczeństwo danych w usługach dronowych
Kurs online dla operatorów: prywatność, role, obowiązek informacyjny, handover plików i incydenty danych.
1. Kiedy dron zbiera dane osobowe
Kursant rozumie, kiedy zdjęcie/wideo z drona może dotyczyć osób fizycznych.
Dane z drona mogą zawierać wizerunek, tablice rejestracyjne, adresy, zachowania osób, ogród, posesję, miejsce pracy albo informacje o działalności gospodarstwa. Nawet jeśli celem jest dach lub pole, dane osobowe mogą wejść w kadr przypadkowo.
Kluczowa zasada: minimalizuj zbieranie. Planuj kadr, wysokość, kąt, czas lotu i obszar tak, żeby nie nagrywać więcej, niż potrzebujesz do zlecenia.
W Dron3 formularz powinien pytać, czy projekt może zawierać osoby, pojazdy, posesje lub infrastrukturę prywatną oraz wymagać planu ograniczenia danych.
Zapamietaj
- Dane osobowe mogą pojawić się przypadkowo.
- Minimalizacja zaczyna się od planu lotu.
- Cel zlecenia nie usprawiedliwia zbierania wszystkiego.
Typowe bledy
- Publikacja materiałów bez zgody/umowy.
- Nagrywanie sąsiadów „na zapas”.
- Brak usuwania niepotrzebnych kadrów.
Mini-quiz: Co jest najważniejszym wynikiem lekcji „Kiedy dron zbiera dane osobowe”?
- Zapamiętać skróty
- Ustalić procedurę i kryteria decyzji
- Przyspieszyć lot za wszelką cenę
Odpowiedz: Ustalić procedurę i kryteria decyzji
Dron3 premiuje procedury, dowody i decyzje oparte na ryzyku, a nie samo wykonanie lotu.
2. Role: administrator, procesor, klient i operator
Kursant potrafi rozpoznać role w typowych zleceniach Dron3.
W jednym zleceniu klient może być administratorem danych, a operator podmiotem przetwarzającym. W innym operator sam decyduje o celach i sposobach przetwarzania, więc może być administratorem.
Nie zawsze da się rozstrzygnąć rolę jednym zdaniem. Dlatego w Dron3 przy zleceniu warto wymusić prostą kwalifikację: kto zleca, kto decyduje o celu, kto otrzymuje dane, czy dane będą publikowane.
Umowa powinna mówić, kto odpowiada za podstawę prawną, obowiązek informacyjny, retencję, udostępnienia i zgłoszenie naruszenia.
Zapamietaj
- Role zależą od celu i decyzji o przetwarzaniu.
- Umowa powinna opisać przepływ danych.
- Marketplace nie powinien zostawiać RODO w domyśle.
Typowe bledy
- Zakładanie, że zawsze odpowiada klient.
- Brak umowy powierzenia, gdy jest potrzebna.
- Nieustalony czas przechowywania danych.
Mini-quiz: Co jest najważniejszym wynikiem lekcji „Role: administrator, procesor, klient i operator”?
- Zapamiętać skróty
- Ustalić procedurę i kryteria decyzji
- Przyspieszyć lot za wszelką cenę
Odpowiedz: Ustalić procedurę i kryteria decyzji
Dron3 premiuje procedury, dowody i decyzje oparte na ryzyku, a nie samo wykonanie lotu.
3. Obowiązek informacyjny i prywatność w terenie
Kursant umie zaplanować prostą komunikację o nagrywaniu.
Osoby, których dane są przetwarzane, co do zasady powinny wiedzieć, kto i w jakim celu przetwarza dane. W praktyce przy dronie może to oznaczać informację dla pracowników, mieszkańców, zarządcy terenu albo oznaczenie miejsca pracy.
Nie każde zlecenie da się oznakować tak samo, ale zawsze trzeba wykazać rozsądne podejście: minimalizacja, informacja, unikanie osób i ograniczenie publikacji.
Dron3 może generować „privacy notice” do zlecenia: kto lata, po co, kiedy, jak długo dane będą przechowywane i kontakt do administratora.
Zapamietaj
- Informowanie buduje zaufanie i zmniejsza konflikty.
- Plan prywatności zależy od miejsca i celu.
- Oznaczenia i komunikaty warto generować z Dron3.
Typowe bledy
- Lot nad pracownikami bez informacji.
- Brak kontaktu w razie skargi.
- Udostępnianie linku publicznego bez kontroli.
Mini-quiz: Co jest najważniejszym wynikiem lekcji „Obowiązek informacyjny i prywatność w terenie”?
- Zapamiętać skróty
- Ustalić procedurę i kryteria decyzji
- Przyspieszyć lot za wszelką cenę
Odpowiedz: Ustalić procedurę i kryteria decyzji
Dron3 premiuje procedury, dowody i decyzje oparte na ryzyku, a nie samo wykonanie lotu.
4. Przechowywanie, linki i dostęp do danych
Kursant zna podstawy bezpiecznego handoveru plików.
Najwięcej problemów powstaje po locie: link publiczny bez hasła, folder z całym materiałem zamiast wybranych plików, brak daty usunięcia, dostęp byłego pracownika albo wysłanie do złej osoby.
Dron3 powinien domyślnie ustawiać ograniczony dostęp: link z uprawnieniami, data wygaśnięcia, log pobrań, role użytkowników i możliwość usunięcia projektu.
Retencja powinna wynikać z celu. Dane dowodowe szkody przechowujemy inaczej niż zdjęcia nieruchomości do ogłoszenia.
Zapamietaj
- Największe ryzyko często jest w linkach i udostępnianiu.
- Retencja zależy od celu zlecenia.
- Log dostępu pomaga przy incydencie.
Typowe bledy
- Publiczne linki bez ograniczeń.
- Trzymanie wszystkiego bez terminu.
- Brak cofania dostępu.
Mini-quiz: Co jest najważniejszym wynikiem lekcji „Przechowywanie, linki i dostęp do danych”?
- Zapamiętać skróty
- Ustalić procedurę i kryteria decyzji
- Przyspieszyć lot za wszelką cenę
Odpowiedz: Ustalić procedurę i kryteria decyzji
Dron3 premiuje procedury, dowody i decyzje oparte na ryzyku, a nie samo wykonanie lotu.
5. Incydenty i naruszenia
Kursant potrafi zareagować na utratę danych lub nieuprawnione udostępnienie.
Incydentem może być wysłanie materiałów do złego klienta, utrata karty pamięci, publikacja w social media, przejęcie konta albo dostęp osoby nieuprawnionej.
Pierwsze działania: ogranicz dostęp, zabezpiecz logi, poinformuj właściwą osobę w firmie, oceń zakres danych i ryzyko, ustal, czy trzeba zgłaszać naruszenie oraz udokumentuj decyzje.
Dron3 Ops powinien mieć formularz incydentu danych: co się stało, jakie dane, ile osób, kiedy wykryto, kto dostał dostęp, co zrobiono.
Zapamietaj
- Incydent danych trzeba dokumentować szybko.
- Najpierw ogranicz dostęp, potem oceniaj.
- Nie ukrywaj naruszenia przed administratorem danych.
Typowe bledy
- Kasowanie śladów zamiast zabezpieczenia logów.
- Zwlekanie z reakcją.
- Brak formularza incydentu.
Mini-quiz: Co jest najważniejszym wynikiem lekcji „Incydenty i naruszenia”?
- Zapamiętać skróty
- Ustalić procedurę i kryteria decyzji
- Przyspieszyć lot za wszelką cenę
Odpowiedz: Ustalić procedurę i kryteria decyzji
Dron3 premiuje procedury, dowody i decyzje oparte na ryzyku, a nie samo wykonanie lotu.
6. Privacy by design w Dron3 Market, Ops i Geo
Kursant umie wdrożyć domyślne ustawienia chroniące prywatność.
Privacy by design oznacza, że ochrona danych jest wbudowana w proces. W Dron3 można to zrobić praktycznie: minimalny zakres uploadu, prywatne projekty, role, anonimizacja miniatur, wygasające linki i osobne zgody marketingowe.
Marketplace powinien pokazywać operatorom tylko dane potrzebne na danym etapie. Geo powinno oddzielać dane źródłowe od raportu klienta. Ops powinien mieć role i historię dostępu.
To nie musi spowalniać sprzedaży. Dobre domyślne ustawienia zmniejszają liczbę pytań, skarg i ryzyk dla klientów enterprise.
Zapamietaj
- Ochrona danych może być przewagą B2B.
- Domyślne ustawienia są ważniejsze niż długie regulaminy.
- Marketing wymaga osobnej ostrożności i zgód.
Typowe bledy
- Publiczne portfolio z materiałów klienta bez zgody.
- Dostęp wszystkich operatorów do wszystkich plików.
- Brak usuwania danych testowych.
Mini-quiz: Co jest najważniejszym wynikiem lekcji „Privacy by design w Dron3 Market, Ops i Geo”?
- Zapamiętać skróty
- Ustalić procedurę i kryteria decyzji
- Przyspieszyć lot za wszelką cenę
Odpowiedz: Ustalić procedurę i kryteria decyzji
Dron3 premiuje procedury, dowody i decyzje oparte na ryzyku, a nie samo wykonanie lotu.