Podmienenie statnych sluzieb akceptaciou podmienok 3. stran (napr. Google reCAPTCHA)

V Nemecku bola v zmysle nariadenia GDPR udelena pokuta prevadzkovatelovi weboveho sidla, na ktorom pouzival fonty priamo z Google Fonts, cim poskytol IP adresu uzivatela Googlu.

Ak dobre citam, tych 100€ je nahrada skody, pokuta je 250 000€ za kazdy nahlaseny pripad…

Takze stat si bude prevadzkovat aj vlastne CDN… (?)

… aj vlastne fonty …

@mm6502:

Pokuta moze byt AZ 250k EUR. Realne to tipujem tak na 100-vky, max. 1000-cky EUR.

Stat si nemusi prevadzkovat vlastne CDN. Staci ak ziska pred jeho pouzitim suhlas dotknutej osoby. Podla mojho nazoru, odkedy bola IP prehlasena za PII, vzdy by tak mal prevadzkovatel webu spravit, ak do vztahu prevadzkovatel-uzivatel chce zatahovat 3. stranu. Nehovoriac o tom, ze CDN pre nejaky web urceny len pre SR je zbytocnost.


@robert.kuchar:

Fonty mozu kludne nadalej pouzivat (za predpokladu, ze ich pouzivaju v suhlade s ich licenciou). Potrebuju si ich len sami hostovat.

Toto vsetko co riesis len vidis na frontende. Predstav si kam vselikam sa tie tvoje data posielaju cez backend a ani sa o tom nedozvies :slight_smile:

@jsuchal:

No vsak toto… Ale minimalne sa snazim riesit to, co vidim. A co oci nevidia, to srdce neboli.

Čítam ten rozsudok a rozmýšľam, že nakoľko bol problém, že to cdn je v us (kde gdpr neplatí, resp. Je tam problém aj s Cloud/patriot act) alebo toto znamená, že akýkoľvek skript, ktorý vložíš do webu a smeruje mimo teba, ale vlastne to môže byť aj nejaké css/js ako bootstrap a môžeš mať s poskytovateľom služby aj podpísané krvou, že s tou ip nič nerobí a bude to problém?

Samozrejme, nesuvisi to len s Google fontami, ale akoukolvek CDN - teda JS, CSS, obrazkami atd., ktore su tahane na dialku. Je logicke, ze IP adresa moze byt spracuvana u daneho poskytovatela (minimalne vo forme server logu, co sa deje aj u kazdeho hostingu).

Nesuvisi to len s USA. Lebo Google moze mat fonty v Irsku v cloude a co to meni na veci? IP adresa odchadza bez suhlasu a to je pointa sudneho rozhodnutia. Akurat sud moc nerozumie technickemu setupu internetu vratane spomenutych NAT.

O logoch nikto moc nehovori. Tam sa zaznamenava de facto podklad pre fingerprint (IP, OS, prehliadac …). A teraz co, ked tak standardne funguje kazdy server?

No podla mna je tu viacero rovin.

  1. Pouzivas cookies na trackovanie pouzivatelov (analyticke cookies) bez suhlasu? Jasne NO-GO.
  2. Posielas IP adresu standardnym requestom, ale nijako ju nezaznamenavas proste je nevyhnutne, aby si ten request urobil? Jasne, ze v pohode.
  3. Posielas IP adresu lebo tam mas nejake skripty cez CDN, ale je to v ramci EU prava a ta sluzba, ktoru si si ty ako prevadzkovatel sluzby vybral ma ToS take, ze s tymi datami nic zle nerobi? Podla mna ok.
  4. Posielas IP adresu lebo tam mas nejaky “cookieless” analytics v EU a on to sice spracuje, ale zahashuje a zahodi? Seda zona.
  5. Posielas IP adresu (napr requestom na CDN) mimo EU bez suhlasu pouzivatela? Tento rozsudok hovori, ze problem.
  • Pod “mimo-EU” myslim, firmy ktore sa musia podvolit kadejakym cloud/patriot act aj keby mali rovno server tuto na Kopcianskej.

Dobre si to popisal, ale v praxi je to tazko vykonatelne.

Doplnim este takyto scenar:
Sharepoint alebo Office (cloud verzie) pouziva zamestnavatel. Data su ukladane v USA. Zamestnavatel to sice ma spomenute v zmluve, ale nie vo forme suhlasu. Suhlas musi byt explicitny a dobrovolny. Teraz co. Ak neposkytnem suhlas, nemam podmienky pre pracu, lebo nemozem pouzivat zamestnavatelsky nastroj.

omg, len aby to vyšlo :smiley:

Rakusko:


Francuzsko:

1 Like

Dve novinky, na ktoré sa dlho čakalo:

US, EU sign data transfer deal to ease privacy concerns
https://techxplore.com/news/2022-03-eu-ease-privacy.html

Five things to know about the EU’s landmark digital act

Prejde mnoho dní, kým sa obe novinky dostanú do praxe. Neistota pretrvá dlho.

1 Like

Ved prave. Ked uz chcu odrbavat, tak nech to schovaju na back-end, nemusia sa tym chvalit takto primitivne. :slight_smile:

A potom by som rad videl argumentaciu NASES-u, ze teda preco ma mat UPVS integraciu napr. na Google Analytics a co presne cez nu “tecie”.

Alebo ze preco su intengracie na GA lacne a rychle, zatialco vsetky ostane integracie v eGov drahe a zlozite. Ale to uz zacinam byt ustipacny.

To su tie debaty okolo “data controler” (v tomto priklade teda Ty) a “data processor” (ten poskytovatel, od ktoreho pouzivas v Tvojej stranke nejaky skriptik). V zasade ma mas vopred upozornit na to, ze ides nejake data o mne zdielat s niekym dalsim. A teda skor, nez to realne urobis. Cize kym nemas moj suhlas, tak ta Tvoja stranka nema includovat tie 3rd party veci. Bolo by pre mna zbytocne povedat “nie dakujem, idem radsej prec” v case, ked uz moja IP a par dalsich udajov realne oddtieklo “niekam prec”.

Zaroven z toho vyplyva, ze nemozes pouzivat len tak hocijaky 3rd party skriptik. Ak chces mne vysveltit, co ta 3rd party zbiera alebo nezbiera, tak to ta 3rd party najprv musi vysvetlit Tebe. A zrejme aj konktraktom medzi nimi a Tebou garantovat, inak sa moze stat, ze mi slubis nieco, co nevies dodrzat, cim sa vystavujes riziku, ze Teba aj mna ta 3rd party okabati (sami zneuziju data, niekto im tie data ukradne a oni Ti nedaju vediet, atd.), ale na sud budem hnat ja Teba.

Celkovo chapem, ze teda niektorym web-masterom sa to da byt zbytocne a komplikovane. Na druhu stranu nechapem, lebo casto krat by stacilo tie fonty a pod. skratka dat na vlastny server/hosting (a priplatit trosku viacej za stortage a prenesene data) a vyhnut sa tak vcelku netrivialnym nakladom na pravnikov.

Maly update situacie za mna:

  • v novembri som nahlasil danu problematiku NBU,
  • informoval som sa o stave podnetu po 3 mesiacoch a vzhladom na protokol o tom nemozem nic napisat (a aj keby som mohol, tak realne nemam co),
  • informoval som sa o stave podnetu po dalsich 3 mesiacoch, ale uz som sa odpovede zo strany NBU nedockal.
1 Like

Uz aj Taliansko zakazalo pouzivanie GA:


A este starsia spravicka z maja:

Relevantna cast:

Google’s IP anonymisation doesn’t protect data. The Austrian DSB also rejected Google’s arguments that websites could activate IP anonymization when using tools like Google Analytics to effectively protect the transferred data from surveillance. This was rejected for two reasons: first, Google’ IP anonymisation only affects the IP address as such. Data such as online-identifiers set per cookies or device data are transferred in the clear. Second, the IP anonymization only takes place after the data have been transferred to Google.

2 Likes

Celkovo, používať služby reklamnej spoločnosti a očakávať nejaké “súkromie” je podľa mna bláznovstvo :wink:

1 Like

Sumar od CNIL-u (Francuzska obdoba nasho UOOU):

Relevantna cast:

Is it possible to set the Google Analytics tool so that personal data is not transferred outside the European Union?

No. In response to the questionnaire sent by the CNIL, Google indicated that all the data collected through Google Analytics is hosted in the United States.

1 Like

Neviem ci to s tou obdobou neprehanas. Ten nas urad akoby v tomto smere neexistoval asi ma na praci dolezitejsie veci