Tło
Większość kanałów internetowych jest niefiltrowana. Każdy, kto kiedykolwiek wynajął lub skonfigurował serwer, wie, że złośliwy ruch przychodzi z całego świata, w tym z Unii Europejskiej (ale głównie z innych miejsc), gdy tylko serwer jest online oraz hasła, klucze i / lub obiekty do zapory ogniowej należy wcześniej przygotować.
Scenariusz
Small Town News USA Inc. (firma fikcyjna) prowadzi gazetę i witrynę internetową o Small Town w USA. Główni klienci mieszkają w Small Town w USA. Niedawno ich prawnik zasugerował, że muszą zapłacić kilka tysięcy dolarów za przygotowanie i wykonanie dokumentacji w celu uzyskania zgodności z europejskimi przepisami RODO, które mają wpływ na firmy na całym świecie w zakresie danych obywateli UE. Kierownictwo, sądząc, że filtrowanie i niedogodności byłoby mniej kosztowne dla 5-10 podróżnych i zdalnych widzów, którzy uzyskują dostęp do strony internetowej z Europy, decyduje, że najłatwiejszym sposobem radzenia sobie z odpowiedzialnością za RODO jest odrzucenie ruchu internetowego od widzów spoza USA. / p>
Niestety, powszechnie dostępna technologia do tego wymaga wykrywania adresów IP. Bardziej szczegółowo, serwer sieciowy jest wyznaczony jako „zapora ogniowa / odwrotne proxy Nginx” i nawiązywałby połączenie, sprawdzał adres IP (dane osobowe w ramach RODO; patrz FAQ Co składa się na dane osobowe? ), a następnie przekierowuj tylko połączenia z USA na inny serwer zawierający witrynę internetową Small Town News. Jednak połączenia „Odrzucone” są nadal przetwarzane przez odsyłanie strony internetowej zawierającej tylko: „Przepraszamy, nie możemy obsłużyć Cię w Twojej bieżącej lokalizacji”. Adresy IP i godziny są zapisywane w logach serwera WWW. Ponadto personel IT chce, aby dzienniki serwera WWW zawierały adresy IP, aby mogli blokować złośliwy ruch. Obejmuje to automatyczne przetwarzanie danych behawioralnych, a także przechowywanie adresów IP o złym działaniu w innych plikach, które aktualizują dane zapory sieciowej, które są przechowywane w tabeli systemu operacyjnego.
Okazuje się, że filtr tylko w USA jest niedoskonałym środkiem technicznym. Nie odfiltrowuje 100% ruchu mieszkańców UE. Po pierwsze, nie ma idealnego mapowania adresów IP na lokalizacje. Na przykład adres IP najwyraźniej należący do marynarki wojennej USA może być ruchem pochodzącym od cywilnego wykonawcy zamieszkałego w UE w porze lunchu, który pracuje w amerykańskiej bazie marynarki wojennej, np. Włochy. Przebywający w UE gość w USA może nadal uzyskać dostęp do pełnej strony internetowej z USA. Inny mieszkaniec UE mógłby kupić usługę VPN (Virtual Private Network) w celu ukrycia prawdziwej lokalizacji swojego komputera, co może obejmować przekazywanie ruchu z punktu w USA, co pozwoliłoby na pobranie pełnej strony Small Town News, ponieważ zapora sieciowa Small Town News otrzymała adres IP w USA.
Egzekwowanie prawa
Dla tych, którzy uważają, że jest to przerażające i niewykonalne, może przeczytaj:
Jak UE może ukarać amerykańskie firmy za naruszenie RODO, co nie jest do końca pewne, ale sugeruje możliwość współpracy USA w zakresie pobierania unijnych grzywien cywilnych.
Może węszenie lokalizacji jest również nielegalne ...
Artykuł „Dlaczego firmy w USA i innych pozaeuropejskich muszą przestrzegać RODO” na busineessknowhow.com głosi:
... identyfikacja osób w UE i odmowa dostępu do Twojej witryny lub usługi na podstawie geolokalizacji ich adresu IP - jest w rzeczywistości wyraźnie zabroniona przez RODO. RODO zawiera zakaz na przykład „profilowanie”, które RODO definiuje jako „jakąkolwiek formę zautomatyzowanego przetwarzania danych osobowych polegającą na wykorzystaniu danych osobowych do oceny niektórych aspektów osobowych dotyczących osoby fizycznej, w szczególności do analizy lub przewidywania aspektów dotyczących wyników pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowie, osobiste preferencje, zainteresowania, niezawodność, zachowanie, LOKALIZACJA lub ruchy ”.
Ponieważ nie cytuje to konkretnych sekcji rozporządzenia dotyczącego ponad 100 stron, nie wiem, czy jest poprawne. To wszystko brzmi jak świetny projekt socjalny dla prawników, organów regulacyjnych i informatyków, którzy poświęcają czas na specjalizację w tej dziedzinie, i jest zły dla kreatywnego przedsiębiorcy, który po prostu chce umieścić coś w internecie.
Pytanie
Czy Small Town News RODO jest zgodny z ich (niefortunną) polityką blokowania UE?
A może tylko poprzez outsourcing filtrowania do innej firmy, która może być kozłem ofiarnym, gdy filtrowanie jest niedoskonały?