@robryk @agnieszka @kukrak @arek @icd

(a w przypadku Google i cookiesów to nie chodzi o zaszyfrowane dane)

@kuba @agnieszka @kukrak @arek @icd

Nie narzekam na ten konkretny przypadek, ale na to jak zasada jest sformalizowana.

@robryk @kuba @agnieszka @arek @icd

W temacie wytwarzania softu fajny wykład: https://youtu.be/lKXe3HUG2l4?t=490

@kuba @agnieszka @kukrak @arek @icd

Opłaca się tak skonstruować swój biznes/system który ten biznes implementuje/... żeby więcej rzeczy było "koniecznych". Sofort jest chyba dobrym przykładem na "zaplanowaliśmy wszystko tak, żeby straszne rzeczy były konieczne".

Nie znam wielu realnych przykładów na to w kontekście prywatności; realnie widuje ten problem w kontekście bezpieczeństwa w pracy ("musimy zrobić X, bo tak skonstruowaliśmy nasz system" w sytuacji gdy ta konstrukcja jest niepotrzebnie skomplikowana, a X nie powinno się nigdy robić -- i to wszystko w sytuacji gdy nie ma motywacji żeby robić X).

Główny problem, który mam z konceptem konieczności, to jego złe zdefiniowanie (*nigdy* nie jest konieczne używanie niczyich usług do przetwarzania danych -- zawsze _można_ to robić samemu, podobnie z komunikacją z klientami -- zawsze teoretycznie można mieć własną sieć etc.), które powoduje, że (a) można próbować przedstawiać sytuację w sposób który zmienia opinię słuchacza na temat konieczności (b) nie można z tego wnioskować (np. modus ponens nie działa).

@robryk @agnieszka @kukrak @arek @icd

z punktu widzenia GDPR nie opłaca się takie podejście, bo administratorowi przyświeca obowiązek "privacy by default" (art 25)

@kuba @agnieszka @kukrak @arek @icd

Dosłowna interpretacja art. 25 mówi, że wszystko jest ocenne: "Taking into account (...) the cost of implementation" jest chyba jedynym powodem, dla którego to nie zabrania używania chmury. Nic to nie mówi o konieczności, ale o jakimś bliżej niesprecyzowanym kompromisie.

@robryk

w przypadku opierania się na prawnie uzasadnionym interesie należy przeprowadzić test równowagi i ocenić, czy interes administratora "stoi wyżej" niż prawa i wolności osoby, której dane dotyczą. Cała dyskusja wyszła ze sformułowania "skoro można". Nie pisałam tutaj generalnie o każdym przypadku, lecz konkretnie o usłudze Google.
@kuba @kukrak @arek @icd

@agnieszka @kuba @kukrak @arek @icd

Czy jest gdzieś jakiś (rozsądnie zwięzły) opis tego testu? (Czy tam zawsze są tylko dwie strony?)

@robryk
prawnie uzasadniony interes może dotyczyć administratora lub "strony trzeciej"

O LIA (legitimate interests assessment) w miarę klarownie jest napisane na stronie brytyjskiego organu nadzorczego (ICO): https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/

@kuba @kukrak @arek @icd

@agnieszka @kuba @kukrak @arek @icd

Jeśli dobrze (co jest mało prawdopodobne) interpretuję ten opis, to używanie chmury do przechowywania danych użytkownika nie jest czymś, co można robić w ramach uzasadnionego interesu, bo odpowiedź na "Is there another less intrusive way to achieve the same result?" jest twierdząca (w drugim teście nie ma mowy o kompromisach, w przeciwieństwie do testu trzeciego).

To brzmi dość absurdalnie, więc raczej moja interpretacja nie jest normalna. Jestem szczególnie ciekaw, _w którym miejscu_ nie jest normalna.