@agnieszka To w końcu stosowanie Google Fonts narusza GDPR czy nie?
Poproszę o wyjaśnienie 🙂
@kukrak 🙂
Sąd w Monachium, jak również jeden z organów nadzorczych w Niemczech, twierdzą, że narusza. Jak widzisz w podlinkowanym przeze mnie komentarzu Google twierdzi, że nie narusza, bo przecież nie wykorzystuje danych otrzymanych w ramach Google Fonts do żadnych innych celów. Co ja sądzę? Po pierwsze, Google pomija fakt, że dane są przekazywane zapewne do USA bez podstawy prawnej. Po drugie, jakoś jestem niewierząca jeśli chodzi o ich deklaracje prywatnościowe 😀
Czy "skoro można" jest istotne dla tego rozumowania?
@robryk @agnieszka @kukrak @arek @icd
Zatem jeżeli można osiągnąć jakiś cel bez ujawniania danych podniotowi trzeciemu, to nie można realizować tego celu ujawniając dane podmiotowi trzeciemu. Tak to rozumiem
@kuba @agnieszka @kukrak @arek @icd
Czyli teraz firmie się bardziej opłaca tak skopać to co tworzy, żeby takie rzeczy były bardziej konieczne...
@kuba @agnieszka @kukrak @arek @icd
Jeśli przyjmujemy interpretację, że dostęp do zaszyfrowanych danych to dostęp do danych, to powinna zabraniać używania Internetu. Ale to pewnie jest konieczne do np. "sprzedawania przez Internet"...
@robryk @agnieszka @kukrak @arek @icd
„bardziej opłaca tak skopać to co tworzy” - co masz na myśli?
@robryk @agnieszka @kukrak @arek @icd
(a w przypadku Google i cookiesów to nie chodzi o zaszyfrowane dane)
@kuba @agnieszka @kukrak @arek @icd
Nie narzekam na ten konkretny przypadek, ale na to jak zasada jest sformalizowana.
@robryk @kuba @agnieszka @arek @icd
W temacie wytwarzania softu fajny wykład: https://youtu.be/lKXe3HUG2l4?t=490
@kuba @agnieszka @kukrak @arek @icd
Opłaca się tak skonstruować swój biznes/system który ten biznes implementuje/... żeby więcej rzeczy było "koniecznych". Sofort jest chyba dobrym przykładem na "zaplanowaliśmy wszystko tak, żeby straszne rzeczy były konieczne".
Nie znam wielu realnych przykładów na to w kontekście prywatności; realnie widuje ten problem w kontekście bezpieczeństwa w pracy ("musimy zrobić X, bo tak skonstruowaliśmy nasz system" w sytuacji gdy ta konstrukcja jest niepotrzebnie skomplikowana, a X nie powinno się nigdy robić -- i to wszystko w sytuacji gdy nie ma motywacji żeby robić X).
Główny problem, który mam z konceptem konieczności, to jego złe zdefiniowanie (*nigdy* nie jest konieczne używanie niczyich usług do przetwarzania danych -- zawsze _można_ to robić samemu, podobnie z komunikacją z klientami -- zawsze teoretycznie można mieć własną sieć etc.), które powoduje, że (a) można próbować przedstawiać sytuację w sposób który zmienia opinię słuchacza na temat konieczności (b) nie można z tego wnioskować (np. modus ponens nie działa).
@robryk @agnieszka @kukrak @arek @icd
z punktu widzenia GDPR nie opłaca się takie podejście, bo administratorowi przyświeca obowiązek "privacy by default" (art 25)
@kuba @agnieszka @kukrak @arek @icd
Dosłowna interpretacja art. 25 mówi, że wszystko jest ocenne: "Taking into account (...) the cost of implementation" jest chyba jedynym powodem, dla którego to nie zabrania używania chmury. Nic to nie mówi o konieczności, ale o jakimś bliżej niesprecyzowanym kompromisie.
w przypadku opierania się na prawnie uzasadnionym interesie należy przeprowadzić test równowagi i ocenić, czy interes administratora "stoi wyżej" niż prawa i wolności osoby, której dane dotyczą. Cała dyskusja wyszła ze sformułowania "skoro można". Nie pisałam tutaj generalnie o każdym przypadku, lecz konkretnie o usłudze Google.
@kuba @kukrak @arek @icd
@agnieszka @kuba @kukrak @arek @icd
Czy jest gdzieś jakiś (rozsądnie zwięzły) opis tego testu? (Czy tam zawsze są tylko dwie strony?)
@robryk
prawnie uzasadniony interes może dotyczyć administratora lub "strony trzeciej"
O LIA (legitimate interests assessment) w miarę klarownie jest napisane na stronie brytyjskiego organu nadzorczego (ICO): https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/
@agnieszka @kuba @kukrak @arek @icd
Jeśli dobrze (co jest mało prawdopodobne) interpretuję ten opis, to używanie chmury do przechowywania danych użytkownika nie jest czymś, co można robić w ramach uzasadnionego interesu, bo odpowiedź na "Is there another less intrusive way to achieve the same result?" jest twierdząca (w drugim teście nie ma mowy o kompromisach, w przeciwieństwie do testu trzeciego).
To brzmi dość absurdalnie, więc raczej moja interpretacja nie jest normalna. Jestem szczególnie ciekaw, _w którym miejscu_ nie jest normalna.
@robryk @agnieszka @kukrak @arek @icd
TSUE w wyroku w sprawie C‑40/17 (par. 95) określił trzy warunki, jakie musi spełnić uzasadniony interes, aby mógł być podstawą prawną przetwarzania danych osobowych. Jednym z nich jest "Konieczność przetwarzania danych osobowych dla potrzeb wynikających z uzasadnionych interesów".