Din mai avem o nouă distracție: GDPR

Pentru cine nu știe, din mai intră în vigoare noile prevederi ale GDPR. Cu cât citesc mai mult despre asta cu atât am mai multe nedumeriri și habar n-am ce impact are asta asupra internetului în general și a DevForum în special.

E.g.:

• Numele și emailul vor fi considerate mijloace de identificare;
• Dar și IP-ul;
• Dacă un user îmi cere să-l șterg, eu trebuie să-i șterg inclusiv IP-ul din loguri?
• Cum se procedează cu google analytics?
• Dar cu rețelele afiliate (2performant, profitshare etc)?
• Datele în DB trebuiesc criptate? Adică datele în sine sau e suficient să folosesc o partiție criptată?

Întrebările astea se aplică la orice site, nu doar la acest forum…

Cunoașteți vreun jurist (sau avocat sau ce o fi nevoie?) care ar fi dispus să ne ajute pro-bono cu răspunsuri și sfaturi?

Au fost cateva conferinte si prezentari in Cluj despre GDPR.

Practic da, daca se cere avem obligatia sa putem sterge/anonimiza total datele unui utilizator, inclusiv IP-urile, metadata si log-urile, respectiv sa le protejam impotriva breselor de securitate. Daca nu amenzile sunt foarte usturatoare, incep cam de la 200k euro + automat trebuie date si compensatii partilor vatamate.

A two-tiered sanctions regime will apply. Breaches of some provisions by businesses, which law makers have deemed to be most important for data protection, could lead to fines of up to €20 million or 4% of global annual turnover for the preceding financial year, whichever is the greater, being levied by data watchdogs. For other breaches, the authorities could impose fines on companies of up to €10m or 2% of global annual turnover, whichever is greater.

Mai trebuie sa avem si o lista cu oamenii care au acces la aceste date.

Practic… nu vor mai putea fi alți moderatori în afară de mine…

o solutie e ca forumul sa fie manageriat de un ong, caz in care raspunderea patrimoniala e limitata

Hmmm… Asta nu sună chiar rău.

Dar dincolo de răspundere, cum fac să fim OK din punct de vedere legal?

sunt f multe aspecte de luat in calcul, si trebuie implementati pasii si pt fiecare din clientii nostri actuali

spre exemplu, pt fiecare PII (personal identifiable information) tb cerut acordul posesorului pt a-l stoca in continuare (asta e doar una din chestiunile arzatoare)

Cel mai dubios mi se pare la magazinele online. E ca si cum clientul ar putea opta sa ceara sa sterg din baza de date factura emisa catre el…

Sa stii ca asta era si pana acum, nu mai stiu in ce lege am citit insa Pe vreun ordin anspdcp probabil.

Nu sunt sigur, dar cred ca IP-ul, cat si alte informatii intra de asemenea la exceptii(punctul 3 e din articolul 17). Cum as putea altfel sa fac dovada consimtamantului utilizatorul la o posibila ulterioara reclamatie?

Facturile intra clar la exceptii.

Am adaugat articole din lege pentru a fi mai clar.

Art. 7 GDPR Conditions for consent
Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

Art. 4 GDPR Definitions
7. ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;
8. ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;
11. (de ce e 9? am scris 11, este punctul 11 aici)‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

Art. 17

1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:

(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;

(c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2);

(d) the personal data have been unlawfully processed;

(e) the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;

(f) the personal data have been collected in relation to the offer of information society services referred to in Article 8(1).

2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.

3. Paragraphs 1 and 2 shall not apply to the extent that processing is necessary:

(a) for exercising the right of freedom of expression and information;

(b) for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

(c) for reasons of public interest in the area of public health in accordance with points (h) and (i) of Article 9(2) as well as Article 9(3);

(d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; or

(e) for the establishment, exercise or defence of legal claims.

LE:

Art. 13

1. Where personal data relating to a data subject are collected from the data subject, the controller shall, at the time when personal data are obtained, provide the data subject with all of the following information:

(a) the identity and the contact details of the controller and, where applicable, of the controller’s representative;

(b) the contact details of the data protection officer, where applicable;

(c) the purposes of the processing for which the personal data are intended as well as the legal basis for the processing;

(d) where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party;

(e) the recipients or categories of recipients of the personal data, if any;

(f) where applicable, the fact that the controller intends to transfer personal data to a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available

2. In addition to the information referred to in paragraph 1, the controller shall, at the time when personal data are obtained, provide the data subject with the following further information necessary to ensure fair and transparent processing:

(a) the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period;

(b) the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or to object to processing as well as the right to data portability;

(c) where the processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal;

(d) the right to lodge a complaint with a supervisory authority;

(e) whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and of the possible consequences of failure to provide such data;

(f) the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

3. Where the controller intends to further process the personal data for a purpose other than that for which the personal data were collected, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2.

4. Paragraphs 1, 2 and 3 shall not apply where and insofar as the data subject already has the information.

Da. Mai știi când ți-am dat PM și te-am rugat să-mi ștergi contul? Conform GDPR pot să te reclam/dau în judecată pentru că m-ai ignorat.

În plus, foarte important, nu mai poți să culegi date doar pentru că așa ți s-a arătat ție și „poate ai nevoie”. Dacă nu ai un motiv foarte bine întemeiat nu mai merge treaba.

Păi acum ce fac? Îl șterg? Aștept să mă reclami?

În apărarea mea, ai trimis PM la un user ce nu este folosit iar la momentul la care ți-am văzut mesajul deja începusei să postezi iar

Prima data trebuie sa iti dai seama daca scopul acestui blog este acoperit de GDPR:

Oferi bunuri sau servicii aceste comunitati (pe bani) sau monitorizezi activitatea userilor in acesta comunitata (gen Google Analytics)

Daca nu faci aceste lucruri, atunci nu se aplica GDPR-ul dar daca ai sa pui pana si o reclama pe bani, atunci se aplica.

Daca faci, atunci ca si solutii ai si anomizarea/pseudo-anomizarea in cazuri concrete gen stergere de IP-uri din loguri. Si ai timp pana la 65 de zile sa raspunzi la cereri de stergere de conturi , asta dupa 25 Mai 2018

Daca ai nevoie te pot ajuta (mai mult pe partea tehnica) ce inseamna GDPR si iti pot spune doar (ideal ai nevoie de 4 tipuri de oameni in organizatie ca sa poti sa faci acest lucru: cineva tehnic, cineva legal, cineva care face procesele si procedudrile si cineva din management) ce procese si ce tipuri de acte trebuie sa faci (pana la un anumit punct, nu sunt jurist, ma ocup si de GDPR in firma in care lucrez - analiza, data assesment, etc)

Nu putem vorbi de o organizație în cazul DevForum. Cel mult un hobby

Concret, forumul este ținut de mine, pe persoană fizică, reclamele constau în linkuri afiliate și folosesc GA pentru tracking. Și sunt câțiva moderatori care ajută la una-alta.

Și cum naiba se șterg ip-uri din loguri? E vreo chestie pentru nginx care face asta? Sau dacă vrea cienva să-l șterg trebuie să iau manual logurile la mână?

Lege in romana -> http://eur-lex.europa.eu/legal-content/RO/TXT/HTML/?uri=CELEX:32016R0679&from=EN

Eveniment / conferinta / prezentare, habar n-am cu un avocat specializat -> https://www.facebook.com/events/500446073668232/permalink/505077699871736/

Nu am avut inca timp sa ma uit la prezentare, daca o face cineva sa ne spuna si noua niste concluzii.

Lasă așa acum, ce să facem.

Datorita faptului ca obtii venituri din datele personale va trebui sa respecti GDPR.

Cel mai bine cum zicea si @tekkie fa un ONG.

Logurile nu trebuie neaparat sa le stergi (de mana) ci mai degraba sa iti faci o strategie gen tii logurile 60 de zile (cum ziceam ai termen 65 de zile sa procesezi o stergere) si efectiv prin trecerea timpului ele se golesc automat. Doar ca trebuie sa identifici toate aceste aspecte.

Dar mai sunt multe alte lucruri la care trebuie sa te gandesti, gen backup-uri, hostingul (trebuie sa fie si el GDPR compliant), etc.

Cei de la Microsoft au un tool (un excel) un de fel assement: https://www.gdprbenchmark.com/

Iar ca pasi iti recomand sa iti faci un data assesment prima data care cuprinde data mapping (iei efectiv structura datelor din db si le categoriesti: date cu caracter personal sau nu) si data flow (vezi de unde iti vin datele in acest forum si unde le trimiti -> faci export cate GA, poate mai ai si alte 3rd party plugins care fac ele ceva si le dai date in sistemele lor)

Traducerea in limba romana difera ca nuanta de ceea in engleza, ar fi mai bine sa citesti macar o data pe ceea in engleza.

Si doar cineva care e pe parte juridica te poate lamuri asupra nuantelor.

Doar varianta in engleza am citit-o, pe sarite ce-i drept.
Nu am gasit insa unde scrie ce ai zis tu mai sus, ca daca nu se intentioneaza monetizarea nu ar trebui sa respect ce se cere in acest regulament. Ai un articol unde as putea sa vad clar cum este exprimat?

Am pus mai sus niste articole care definesc ce reprezinta datele cu caracter personal(adica si IP-ul) cat si un alt articol in care imi cere sa cer consimtamantul utilizatorul. Cum as putea sa fac asta din moment ce ip-ul se inregistreaza in sistem inainte ca utilizatorul sa vada ceva pe pagina web?

Unele aspecte mi se par de bun simt, dar sunt mult prea putin gandite si nu acopera toate cazurile. La fel este si cea cu returul la cumparaturile online, unde lasa posibilitatea abuzului.

am fost si eu la un curs pe tema asta si daca folosesti servicii 3rd party gen GA, responsabilitatea cade in carca providerului.

iar strict pt GA, daca nu folosesti loguri pe useri logati, pana la urma tu nu poti vedea vreun IP in clar prin vreun raport ci doar date agregate, deci nu e cazul sa faci nimic special

pentru log-uri de server, e de ajuns rezolvarea spusa de un coleg de mai sus, sa spui ca pastrezi datele x zile si exista setari (cel putin pt apache) sa stergi ce-i mai vechi de x-1 zile.

deasemenea nu te opreste nimeni sa ceri bani pentru operatiunea de procesare a unei cereri de stergere sau de servire a tuturor informatiilor pe care le ai despre persoana respectiva. pana la urma (poate necesita) munca unui om pentru acest lucru.

fiind un forum public ai putea avea probleme mai mari decat GDPR, gen certuri si denigrari intre diversi, iar content-ul salvat aici sa aduci diverse prejudicii cuiva si sa fii obligat sa le stergi, tu sa nu vrei considerand ca e informatie publica si poate fi de ajutor altora in viiitor…

https://gdpr-info.eu/recitals/no-18/ pt ce se aplica sau nu.

Eu am cautat in Google “where gdpr is not applicable”

Inregistrarea datelor cu caracter personal se face si pe scopul activitatii iar pt altele nu trebuie acordul gen generare de facturi - acolo nu ceri acordu ca sa faci facturi, esti obligat de lege ca sa faci facturi.

In alt sens am vazut depilda la fostul Piwik Pro - Matomo ca in functie de ce alege userul diferite nivele de interactiune cu setarile (vreau doar logare, vreau si ad-uri etc) salveaza sa nu requestul catre sisteme gen GA

Ca sa clarificam termenii provider = data controller care implementeaza un mecanism prin care obtine acordul de la useri sai ca sa trimita datele in GA (daca scopul aplicatiei sale este altul decat acela de a colecta si a analiza datele obtinute cu ajutorul GA) ex scopul e sa vand incaltaminte si vreau sa stiu cati vizatori vin si la ce se uita, pt primul scop = vanzare de incaltaminte daca iti faci cont nu iti mai cer acordul ci il definesc in termeni si condiitle site-ului, pentru al doilea scop, cel de marketing mai pun o casuta in care iti cer acordul)

Dar mai greu va fi cu implementarea headerului DNT, care daca are valoare 1 se presupune ca utilizatorul nu vrea sa fie logat.