Podmienenie statnych sluzieb akceptaciou podmienok 3. stran (napr. Google reCAPTCHA)

Toto vsetko co riesis len vidis na frontende. Predstav si kam vselikam sa tie tvoje data posielaju cez backend a ani sa o tom nedozvies :slight_smile:

@jsuchal:

No vsak toto… Ale minimalne sa snazim riesit to, co vidim. A co oci nevidia, to srdce neboli.

Čítam ten rozsudok a rozmýšľam, že nakoľko bol problém, že to cdn je v us (kde gdpr neplatí, resp. Je tam problém aj s Cloud/patriot act) alebo toto znamená, že akýkoľvek skript, ktorý vložíš do webu a smeruje mimo teba, ale vlastne to môže byť aj nejaké css/js ako bootstrap a môžeš mať s poskytovateľom služby aj podpísané krvou, že s tou ip nič nerobí a bude to problém?

Samozrejme, nesuvisi to len s Google fontami, ale akoukolvek CDN - teda JS, CSS, obrazkami atd., ktore su tahane na dialku. Je logicke, ze IP adresa moze byt spracuvana u daneho poskytovatela (minimalne vo forme server logu, co sa deje aj u kazdeho hostingu).

Nesuvisi to len s USA. Lebo Google moze mat fonty v Irsku v cloude a co to meni na veci? IP adresa odchadza bez suhlasu a to je pointa sudneho rozhodnutia. Akurat sud moc nerozumie technickemu setupu internetu vratane spomenutych NAT.

O logoch nikto moc nehovori. Tam sa zaznamenava de facto podklad pre fingerprint (IP, OS, prehliadac …). A teraz co, ked tak standardne funguje kazdy server?

No podla mna je tu viacero rovin.

  1. Pouzivas cookies na trackovanie pouzivatelov (analyticke cookies) bez suhlasu? Jasne NO-GO.
  2. Posielas IP adresu standardnym requestom, ale nijako ju nezaznamenavas proste je nevyhnutne, aby si ten request urobil? Jasne, ze v pohode.
  3. Posielas IP adresu lebo tam mas nejake skripty cez CDN, ale je to v ramci EU prava a ta sluzba, ktoru si si ty ako prevadzkovatel sluzby vybral ma ToS take, ze s tymi datami nic zle nerobi? Podla mna ok.
  4. Posielas IP adresu lebo tam mas nejaky “cookieless” analytics v EU a on to sice spracuje, ale zahashuje a zahodi? Seda zona.
  5. Posielas IP adresu (napr requestom na CDN) mimo EU bez suhlasu pouzivatela? Tento rozsudok hovori, ze problem.
  • Pod “mimo-EU” myslim, firmy ktore sa musia podvolit kadejakym cloud/patriot act aj keby mali rovno server tuto na Kopcianskej.

Dobre si to popisal, ale v praxi je to tazko vykonatelne.

Doplnim este takyto scenar:
Sharepoint alebo Office (cloud verzie) pouziva zamestnavatel. Data su ukladane v USA. Zamestnavatel to sice ma spomenute v zmluve, ale nie vo forme suhlasu. Suhlas musi byt explicitny a dobrovolny. Teraz co. Ak neposkytnem suhlas, nemam podmienky pre pracu, lebo nemozem pouzivat zamestnavatelsky nastroj.

omg, len aby to vyšlo :smiley:

Rakusko:


Francuzsko:

1 Like

Dve novinky, na ktoré sa dlho čakalo:

US, EU sign data transfer deal to ease privacy concerns
https://techxplore.com/news/2022-03-eu-ease-privacy.html

Five things to know about the EU’s landmark digital act

Prejde mnoho dní, kým sa obe novinky dostanú do praxe. Neistota pretrvá dlho.

1 Like

Ved prave. Ked uz chcu odrbavat, tak nech to schovaju na back-end, nemusia sa tym chvalit takto primitivne. :slight_smile:

A potom by som rad videl argumentaciu NASES-u, ze teda preco ma mat UPVS integraciu napr. na Google Analytics a co presne cez nu “tecie”.

Alebo ze preco su intengracie na GA lacne a rychle, zatialco vsetky ostane integracie v eGov drahe a zlozite. Ale to uz zacinam byt ustipacny.

To su tie debaty okolo “data controler” (v tomto priklade teda Ty) a “data processor” (ten poskytovatel, od ktoreho pouzivas v Tvojej stranke nejaky skriptik). V zasade ma mas vopred upozornit na to, ze ides nejake data o mne zdielat s niekym dalsim. A teda skor, nez to realne urobis. Cize kym nemas moj suhlas, tak ta Tvoja stranka nema includovat tie 3rd party veci. Bolo by pre mna zbytocne povedat “nie dakujem, idem radsej prec” v case, ked uz moja IP a par dalsich udajov realne oddtieklo “niekam prec”.

Zaroven z toho vyplyva, ze nemozes pouzivat len tak hocijaky 3rd party skriptik. Ak chces mne vysveltit, co ta 3rd party zbiera alebo nezbiera, tak to ta 3rd party najprv musi vysvetlit Tebe. A zrejme aj konktraktom medzi nimi a Tebou garantovat, inak sa moze stat, ze mi slubis nieco, co nevies dodrzat, cim sa vystavujes riziku, ze Teba aj mna ta 3rd party okabati (sami zneuziju data, niekto im tie data ukradne a oni Ti nedaju vediet, atd.), ale na sud budem hnat ja Teba.

Celkovo chapem, ze teda niektorym web-masterom sa to da byt zbytocne a komplikovane. Na druhu stranu nechapem, lebo casto krat by stacilo tie fonty a pod. skratka dat na vlastny server/hosting (a priplatit trosku viacej za stortage a prenesene data) a vyhnut sa tak vcelku netrivialnym nakladom na pravnikov.

Maly update situacie za mna:

  • v novembri som nahlasil danu problematiku NBU,
  • informoval som sa o stave podnetu po 3 mesiacoch a vzhladom na protokol o tom nemozem nic napisat (a aj keby som mohol, tak realne nemam co),
  • informoval som sa o stave podnetu po dalsich 3 mesiacoch, ale uz som sa odpovede zo strany NBU nedockal.
1 Like

Uz aj Taliansko zakazalo pouzivanie GA:


A este starsia spravicka z maja:

Relevantna cast:

Google’s IP anonymisation doesn’t protect data. The Austrian DSB also rejected Google’s arguments that websites could activate IP anonymization when using tools like Google Analytics to effectively protect the transferred data from surveillance. This was rejected for two reasons: first, Google’ IP anonymisation only affects the IP address as such. Data such as online-identifiers set per cookies or device data are transferred in the clear. Second, the IP anonymization only takes place after the data have been transferred to Google.

2 Likes

Celkovo, používať služby reklamnej spoločnosti a očakávať nejaké “súkromie” je podľa mna bláznovstvo :wink:

1 Like

Sumar od CNIL-u (Francuzska obdoba nasho UOOU):

Relevantna cast:

Is it possible to set the Google Analytics tool so that personal data is not transferred outside the European Union?

No. In response to the questionnaire sent by the CNIL, Google indicated that all the data collected through Google Analytics is hosted in the United States.

1 Like

Neviem ci to s tou obdobou neprehanas. Ten nas urad akoby v tomto smere neexistoval asi ma na praci dolezitejsie veci

@miromr:

Ja osobne si myslim, ze aj keby nas UOOU mal rozhodnut o nesulade GA s GDPR na zaklade rozhodnuti z inych clenskych krajin EU, tak by aplikoval dvojaky meter (stat vs sukromne firmy), kde by len sucho skonstatoval, ze stat ma vynimku z GDPR alebo ze je vo verejnom zaujme, aby stat nadalej pouzival GA a na zaklade ziskanych dat mohol skvalitnovat sluzby pre nas vsetkych…

Cesky UOOU udelil pokutu MVCR.

https://www.uoou.cz/milionova-pokuta-za-neopravnene-shromazdovani-osobnich-udaju/d-56444

A uz aj Dansko:

Relevantna cast:

On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.

Organisations in Denmark that use Google Analytics must therefore assess whether their possible continued use of the tool takes place in compliance with data protection law. If this is not the case, the organisation must either bring its use of the tool into compliance, or, if necessary, discontinue using the tool.

3 Likes

Riešenie je už blízko → Private Access Tokens

Vysvetlenie tu Replace CAPTCHAs with Private Access Tokens - WWDC22 - Videos - Apple Developer

1 Like