Podmienenie statnych sluzieb akceptaciou podmienok 3. stran (napr. Google reCAPTCHA)

@miromr:

Ja osobne si myslim, ze aj keby nas UOOU mal rozhodnut o nesulade GA s GDPR na zaklade rozhodnuti z inych clenskych krajin EU, tak by aplikoval dvojaky meter (stat vs sukromne firmy), kde by len sucho skonstatoval, ze stat ma vynimku z GDPR alebo ze je vo verejnom zaujme, aby stat nadalej pouzival GA a na zaklade ziskanych dat mohol skvalitnovat sluzby pre nas vsetkych…

Cesky UOOU udelil pokutu MVCR.

https://www.uoou.cz/milionova-pokuta-za-neopravnene-shromazdovani-osobnich-udaju/d-56444

A uz aj Dansko:

Relevantna cast:

On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.

Organisations in Denmark that use Google Analytics must therefore assess whether their possible continued use of the tool takes place in compliance with data protection law. If this is not the case, the organisation must either bring its use of the tool into compliance, or, if necessary, discontinue using the tool.

4 Likes

Riešenie je už blízko → Private Access Tokens

Vysvetlenie tu Replace CAPTCHAs with Private Access Tokens - WWDC22 - Videos - Apple Developer

1 Like

Relevantna cast:

Does Google reCAPTCHA Require Consent?

Yes, according to the French data protection authority, Google reCAPTCHA requires consent. This is because Google reCAPTCHA cookies collect information about a user’s device and browser and transfer that information to Google.
Because this data processing is not “strictly necessary” for providing login authentication, Google reCAPTCHA cookies require consent.

Isn’t Google Responsible for reCAPTCHA?

No, Google is not responsible for how website owners use reCAPTCHA.
The CNIL found that the app or website owner using reCAPTCHA is responsible for getting consent and providing information. Google also states that reCAPTCHA users have these responsibilities.
Generally speaking, you cannot outsource your GDPR compliance obligations—you are accountable for any activities of data processors working on your behalf.

3 Likes

https://www.goodwinlaw.com/en/insights/blogs/2023/05/european-court-finds-pseudonymized-data-is-not-personal-data-in-the-hands-of-recipient-that-cant-rei

1 Like

1 Like

A má dnes CAPTCHA zmysel?

Bots are better at CAPTCHA than humans, researchers find

1 Like

Relevantna cast:

The court found that LinkedIn cannot ignore “Do Not Track” signals sent by users’ browsers. These signals allow internet users to opt-out of having their online activities tracked. Despite receiving these signals, LinkedIn still announced on its website that it engages in tracking for analysis and marketing purposes. The court said this communication is misleading, as LinkedIn is legally required to respect the Do Not Track requests.

2 Likes

Uz aby sme mali GPC a nie rozne stare standardy a otravne cookie listy.

Danish DPA Banned the Use of Google Chromebooks and Google Workspace in Schools in Helsingor Municipality
https://arxiv.org/abs/2407.19377

Zhrnutie: Dánska samospráva ako zriaďovateľ základných škôl porušila práva a slobody detí tým, že (podľa GDPR) nedostatočne zabezpečila ochranu osobných údajov detí pri používaní Google Chromebook a Google Workspace, kde sa osobné údaje spracúvajú nezabezpečene v tretej krajine (USA), ktorá má odlišnú/slabšiu ochranu ako EÚ - samospráva neposúdila dostatočne tieto riziká. Dánsky úrad na ochranu osobných údajov zakázal samospráve používať tieto služby. Prípad je z roku 2022, po druhom zrušení dohody EÚ-USA o cezhraničnom prenose údajov.

Odporúčania: Štandardné doložky o ochrane osobných údajov pri cezhraničnom prenose nemožno považovať automaticky za dostatočné, treba posúdiť prípady individuálne. Dodatočné efektívne opatrenia:

  • Prenášané dáta sú plne šifrované a šifrovací kľúč je v rukách správcu dát na území EÚ/EHP.
  • Osobné údaje sú pseudonymizované/anonymizované.
  • Spracovanie dát je rozdelené (časť na území EÚ/EHP a časť na území tretích krajín).

Posúdenie rizík:

  • Je riziko, že Google alebo iné tretie strany používajú osobné údaje (napr. IP adresa, digitálna stopa, kontaktné údaje) na marketing alebo iné účely, ktoré zodpovodná osoba nemá pod kontrolou, pričom osobné údaje detí vyžadujú zvýšenú ochranu. Google by mal byť v pozícii sprostredkovateľa spracúvania osobných údajov pre prevádzkovateľa, ale kvôli používaniu osobných údajov na marketing alebo iné účely, je tiež v postavení samostatného prevádzkovateľa, pričom nezískal osobitný súhlas na spracovanie osobných údajov od dotknutých osôb v pracovnom alebo školskom prostredí.
  • Je riziko, že osobné údaje budú prenášané do tretích krajín, ktoré majú nižšiu úroveň ochrany ako EÚ - Google Ireland prenáša časť údajov do Google LLC USA.

Moje poznámky na záver:

  • Túto argumentáciu možno použiť v princípe na všetky cloudové služby prevádzkové v USA a inde vo svete pre klientov v EÚ - napr. Google, Microsoft, Meta, Apple, Amazon…
  • Riešenie: používať cloudové služby prevádzkované v EÚ (tých je málo), alebo šifrovaný privátny cloud.
  • Kedy sa konečne budú slovenské úrady zaoberať touto témou? Či azda slovenské úrady garantujú, že všetko je v poriadku a žiadne riziká nehrozia? Napr. slovenské školstvo je takmer na 100 % závislé od monopolných cloudových služieb Microsoft a Google, pričom školy neposudzujú riziká, nezískavajú súhlas od dotknutých osôb, nemajú funkčné bezpečnostné opatrenia, nešifrujú dáta…
1 Like