Din mai avem o nouă distracție: GDPR

privacy
gdpr

(adrian) #41

simpatic prezentat, clar si la obiect


(Janos Pasztor) #42

Sorry for intruding as a non-Romanian speaker. I’m the owner of the site you linked and I have been written that privacy policy to my best understanding of the GDPR. However, I am not a lawyer. I have spoken to a couple of lawyers and none of them could confirm if my use of the Article 6 Paragraph 1 (f), Article 17 Paragraph 3 (e), and Article 21 of the GDPR were legally OK.

As far as I understand, the website owner can, under certain circumstances, forego the permission from the user for, say, using Google Analytics, but the user has to be able to turn it off. It is also OK to store access logs for legitimate use (like reporting illegal activity to the police; as far as I know).

You can copy my privacy policy if you wish, but please have your own legal council check if it’s ok.


(adrian) #43

we kind of knew you weren’t a lawyer when we were able to understand what was written :slight_smile:

I’m guessing you have no other information about your users (accounts, data they entered and such). That’s when it gets complicated. Yours will do for a simple site where everyone is a visitor.


(Janos Pasztor) #44

You are correct, I am not storing user information of any sort, and I am anonymizing the IP address of the user when sending it to GA. I was very careful about that.

Creating accounts itself is not a problem as long as users can also delete it when they want (and you can somehow ensure that a backup restore will not bring back their account). The GDPR has the word “reasonable” in a lot of places, so you would (in my read) not be required to go in by hand and redact all their forum posts for personal information as that is not “reasonable”. For other things, like newsletters, you need to get consent of course.

I found that the local government GDPR info sites are very unhelpful, instead I would recommend reading the actual law instead: http://eur-lex.europa.eu/legal-content/RO/TXT/HTML/?uri=CELEX:32016R0679&from=en

It is fairly readable and I was able to work through it in a couple of hours. If you are small enough to not have legal council, you are probably going to be OK if you adhere to the principles of it. (At least that’s what I’m counting on, but if I get a huge fine from the government, I’ll let you know. :smiley: )

I hope this helps.


(Cristian Nebunu) #45

As @AdrianBasalic said, we figured you are not a lawyer, its that the GDPR has been quite the topic of discussion lately and you had a pretty concise and easy to understand take on it. I plan on adding to this topic with any other similar pages in the future. Thanks for stopping by :slight_smile:


(Janos Pasztor) #46

Thanks for having me. :slight_smile:


(Bogdan) #47

You can find some good guidelines from a national DP authority here: https://www.cnil.fr/en/media


#48

Decizia unei instanțe germane în legătură cu stocarea ip-urilor https://legalup.ro/interes-legitim-de-stoca-ip-urile/


(Alex Popescu) #49

GDPR Requirements in Plain English


(Ionuț Staicu) #50

Prima victimă: forumul computergames. Săptămâna trecută s-a închis site-ul, peste trei săptămâni se închide și forumul:

Probabil nu doar GDPR a fost motivul :slight_smile:

PS: eu tot nu am început pregătiri, tot nu știu ce voi face… Probabil va fi o lună tare interesantă :confused:


(Adrian Stanculescu) #51

Poti da o geana si pe blogul lui adi munteanu: https://adimunteanu.com/tag/gdpr/
Poate iti este de ajutor.
Bafta!


(Vladimir) #52

Stie cineva ce se intampla cand nu poti face dovada detinerii datelor?
Ai avut un cont si nu nu mai stii parola / e-mail si tot ce tine de el sa te poti loga. Sau cum sunt unele servicii, unde la un anumit numar de incercari de autentificare iti blocheaza contul.

Cred ca si cei de la ICANN vor avea ceva probleme.
Ma astept si ca ceva servicii de pe alte continente sa considere ca nu are rost sa-si bata capul si sa restrictioneze accesul europenilor.

LE: Dar se desfasoara vreo activitate economica aici pe forum? Exceptand partea cu donatiile.


(István F.) #53

Eu zic ca nu e chiar asa de dificil sa implementezi ce se cere pe forum, sau vor exista solutii simple.

Practic trebuie sa trimiti un mass email si sa ceri reconfirmarea fiecarui cont si sa le stergi pe cele care nu isi confirma acceptul procesarii si stocarii datelor. Acest formular trebuie sa fie absolut explicit, adica iti trebuie un checkbox pentru fiecare camp din baza de date si niciunul nu poate fi prebifat sau combinat. Dupa trebuie o functie de export in JSON in setarile contului (probabil deja exista) si un buton de permanently delete my account and all data. Nu in ultimul rand trebuie sa tii datele pe un third party care nu iti ia datele utilizatorilor si sa dezactivezi preferabil login cu facebook/google fiindca tu esti raspunzator daca vreun serviciu stocheaza date de pe forum si nu le sterge sau sunt brese de securitate.

Nu e o problema asa mare, practic cine vrea sa aiba un cont pe forum trebuie sa accepte in scris ca e de acord sa i-se stocheze date precum ip-ul si numarul de telefon.

O alta masura de securitate e sa stergi toate pm-urile vechi si sa le criptezi end-to-end pe cele noi sau sa precizezi clar ca mesajele private nu sunt private si fiecare utilizator isi da acordul sa ii fie citite de administratori ca sa nu fii raspunzator de ele ca date personale.

Moderatorii nu ar trebui oricum sa aiba acces la IP-ul si email-ul utilizatorilor.


(Red) #54

DELETE FROM {list_of_tables} WHERE user_id = %d


(Floki) #55

Eu zic ca nu e chiar asa de dificil sa implementezi

Peste 95% dintre detinatorii de site-uri habar n-au sa scrie o linie de cod. Numai daca limitam discutia la Google Analytics, implementarea devine imposibila; Google va fi compliant, dar acceptul pentru cookies cade in sarcina site-ului. Sa nu mai vorbim de social buttons si alte third parties. Eu nu cred ca 1% dintre site-uri vor fi in regula pe 25 Mai.

Primul site la care ma asteptam sa se inchida e trafic.ro. Vad ca a fost altul mai harnic.


(Ionuț Staicu) #56

Dacă te referi la vânzări de lucruri, nu.

Dar este g. analytics și profitshare. Pe unul îl scot, celălalt mai plătește hostingul din când în când. :slight_smile:

Se aplică doar la user, ip, email? Sau și la conținut? Nu de alta, dar rămâne forumul gol (cred că am mai zis asta mai sus).

Jumătate din utilizatorii activi sunt autentificați cu FB, Google sau Github. În plus, dacă respectivele platforme sunt GPRD compliant, le evit sau nu?

Păi este o problemă. Discourse - nici ca platformă nici ca staff - nu este foarte friendly în unele direcții. De exemplu, nu pot trimite (nu în mod ușor cel puțin) mail tuturor pentru confirmare și să fac tracking la cine a confirmat, cine nu.


(István F.) #57

1.Corect, trebuie sa stergi absolut tot legat de un utilizator care nu isi da acordul partial sau total. (dar grija mare daca accepti accept-uri partiale fiindca trebuie flag-uri absolute si log-uri) Deci da, ramane forumul gol daca majoritatea nu isi dau acordul.

  1. Daca in formular pui obligatoriu omul sa bifeze acordul pentru procesarea datelor de catre Google si Profitshare (separate) si le bifeaza nu ai probleme. Dar trebuie sa te asiguri ca daca omul isi sterge datele de pe forum atunci se vor sterge si de pe google/profitshare altfel ai probleme.

  2. Nu suntem singurul forum pe Discourse, sunt sute de forumuri mari din EU si e folosit de companii serioase cu aport in open-source. Probabil vor fi solutii bune pe github.


(cosmos) #58

Am mai vazut pe alte comunitati Discourse acest buton
image

Insa ar “arunca in aer” toate discutiile. :slight_smile:

Aici este doar anonimizare.


(Ionuț Staicu) #59

Dacă este pe discourse, tot anonimizare este dacă ai peste X comentarii :slight_smile:

https://meta.discourse.org/search?q=gdpr


(Alex) #60

Pai tot nu respecta GDPR daca modifica numele la fiecare mesaj dat de utilizatorul care si-a sters contul in “Fost utilizator” ? Include si stergerea mesajelor postate ?