Pytanie:
Czy firmy spoza UE mogą uniknąć problemów regulacyjnych dotyczących RODO dzięki filtrom i zaporom?
Paul
2018-04-28 04:26:12 UTC
view on stackexchange narkive permalink

Tło

Większość kanałów internetowych jest niefiltrowana. Każdy, kto kiedykolwiek wynajął lub skonfigurował serwer, wie, że złośliwy ruch przychodzi z całego świata, w tym z Unii Europejskiej (ale głównie z innych miejsc), gdy tylko serwer jest online oraz hasła, klucze i / lub obiekty do zapory ogniowej należy wcześniej przygotować.

Scenariusz

Small Town News USA Inc. (firma fikcyjna) prowadzi gazetę i witrynę internetową o Small Town w USA. Główni klienci mieszkają w Small Town w USA. Niedawno ich prawnik zasugerował, że muszą zapłacić kilka tysięcy dolarów za przygotowanie i wykonanie dokumentacji w celu uzyskania zgodności z europejskimi przepisami RODO, które mają wpływ na firmy na całym świecie w zakresie danych obywateli UE. Kierownictwo, sądząc, że filtrowanie i niedogodności byłoby mniej kosztowne dla 5-10 podróżnych i zdalnych widzów, którzy uzyskują dostęp do strony internetowej z Europy, decyduje, że najłatwiejszym sposobem radzenia sobie z odpowiedzialnością za RODO jest odrzucenie ruchu internetowego od widzów spoza USA. / p>

Niestety, powszechnie dostępna technologia do tego wymaga wykrywania adresów IP. Bardziej szczegółowo, serwer sieciowy jest wyznaczony jako „zapora ogniowa / odwrotne proxy Nginx” i nawiązywałby połączenie, sprawdzał adres IP (dane osobowe w ramach RODO; patrz FAQ Co składa się na dane osobowe? ), a następnie przekierowuj tylko połączenia z USA na inny serwer zawierający witrynę internetową Small Town News. Jednak połączenia „Odrzucone” są nadal przetwarzane przez odsyłanie strony internetowej zawierającej tylko: „Przepraszamy, nie możemy obsłużyć Cię w Twojej bieżącej lokalizacji”. Adresy IP i godziny są zapisywane w logach serwera WWW. Ponadto personel IT chce, aby dzienniki serwera WWW zawierały adresy IP, aby mogli blokować złośliwy ruch. Obejmuje to automatyczne przetwarzanie danych behawioralnych, a także przechowywanie adresów IP o złym działaniu w innych plikach, które aktualizują dane zapory sieciowej, które są przechowywane w tabeli systemu operacyjnego.

Okazuje się, że filtr tylko w USA jest niedoskonałym środkiem technicznym. Nie odfiltrowuje 100% ruchu mieszkańców UE. Po pierwsze, nie ma idealnego mapowania adresów IP na lokalizacje. Na przykład adres IP najwyraźniej należący do marynarki wojennej USA może być ruchem pochodzącym od cywilnego wykonawcy zamieszkałego w UE w porze lunchu, który pracuje w amerykańskiej bazie marynarki wojennej, np. Włochy. Przebywający w UE gość w USA może nadal uzyskać dostęp do pełnej strony internetowej z USA. Inny mieszkaniec UE mógłby kupić usługę VPN (Virtual Private Network) w celu ukrycia prawdziwej lokalizacji swojego komputera, co może obejmować przekazywanie ruchu z punktu w USA, co pozwoliłoby na pobranie pełnej strony Small Town News, ponieważ zapora sieciowa Small Town News otrzymała adres IP w USA.

Egzekwowanie prawa

Dla tych, którzy uważają, że jest to przerażające i niewykonalne, może przeczytaj:

Jak UE może ukarać amerykańskie firmy za naruszenie RODO, co nie jest do końca pewne, ale sugeruje możliwość współpracy USA w zakresie pobierania unijnych grzywien cywilnych.

Może węszenie lokalizacji jest również nielegalne ...

Artykuł „Dlaczego firmy w USA i innych pozaeuropejskich muszą przestrzegać RODO” na busineessknowhow.com głosi:

... identyfikacja osób w UE i odmowa dostępu do Twojej witryny lub usługi na podstawie geolokalizacji ich adresu IP - jest w rzeczywistości wyraźnie zabroniona przez RODO. RODO zawiera zakaz na przykład „profilowanie”, które RODO definiuje jako „jakąkolwiek formę zautomatyzowanego przetwarzania danych osobowych polegającą na wykorzystaniu danych osobowych do oceny niektórych aspektów osobowych dotyczących osoby fizycznej, w szczególności do analizy lub przewidywania aspektów dotyczących wyników pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowie, osobiste preferencje, zainteresowania, niezawodność, zachowanie, LOKALIZACJA lub ruchy ”.

Ponieważ nie cytuje to konkretnych sekcji rozporządzenia dotyczącego ponad 100 stron, nie wiem, czy jest poprawne. To wszystko brzmi jak świetny projekt socjalny dla prawników, organów regulacyjnych i informatyków, którzy poświęcają czas na specjalizację w tej dziedzinie, i jest zły dla kreatywnego przedsiębiorcy, który po prostu chce umieścić coś w internecie.

Pytanie

Czy Small Town News RODO jest zgodny z ich (niefortunną) polityką blokowania UE?

A może tylko poprzez outsourcing filtrowania do innej firmy, która może być kozłem ofiarnym, gdy filtrowanie jest niedoskonały?

Zgodność nie ma znaczenia. UE nie może stanowić prawa dla żadnej osoby znajdującej się całkowicie poza UE.
Zobacz też: [Pięć luk w RODO] (https://medium.com/mydata/five-loopholes-in-the-gdpr-367443c4248b)
Myślę, że „egzekwowanie” jest tam, gdzie się załamuje. Byłbym zdziwiony, gdyby Stany Zjednoczone egzekwowały opłatę za RODO wobec amerykańskiej firmy, która nie jest obecna w UE. Widziałem wiele artykułów, w których mówiono, że tak się stanie, ale naprawdę w to wątpię.
Trzy odpowiedzi:
MSalters
2018-04-30 14:19:05 UTC
view on stackexchange narkive permalink

Tak, to opłacalna opcja. I nie, nie musi być doskonały.

Zastosowanie takiego filtra jest środkiem technicznym, ale służy również do zakomunikowania, że ​​Small Town News wyraźnie nie przewiduje świadczenie usług Europejczykom lub innym mieszkańcom UE.

Jeśli użytkownik decyduje się na korzystanie z VPN do odwiedzania stron internetowych Small Town News, rozsądnie jest oczekiwać, że byłoby to porównywalne z zakupem drukowanej gazety Small Town News podczas fizycznego pobytu w USA. Powszechną zasadą jest, że o jurysdykcji decydują sądy, a działania strony mogą mieć wpływ na tę decyzję.

Greendrake
2018-04-28 08:53:28 UTC
view on stackexchange narkive permalink

ten środek technologiczny nie odfiltrowuje 100% ruchu mieszkańców UE

Jako podmiot przetwarzający dane osobowe niemający siedziby w UE, Small Town News będzie musiał się martwić osoby, których dane dotyczą, wyłącznie w UE ( art. 3 ust. 2):

Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych podmioty przebywające w Unii przez administratora lub podmiot przetwarzający, którzy nie mają siedziby w Unii

To powiedziawszy, Small Town News nie będzie musiał przejmować się RODO, jeśli chodzi o obsługę mieszkańców UE, którzy obecnie przebywają poza UE.

Z drugiej strony Small Town News będzie musiał dbać o RODO, gdy ktokolwiek w UE (mieszkańcy, a także turyści ze Stanów Zjednoczonych lub powiedzmy z Zimbabwe) odwiedzają stronę internetową:

W szczególności artykuł 3 ust. 2 ma zastosowanie do przetwarzania danych osobowych każdej osoby „w UE”. Obywatelstwo lub miejsce zamieszkania danej osoby nie ma znaczenia. RODO chroni dane osobowe obywateli, mieszkańców, turystów i innych osób odwiedzających UE. Dopóki osoba fizyczna przebywa w UE, wszelkie dane osobowe tej osoby gromadzone przez administratora lub podmiot przetwarzający, który spełnia wymogi art. 3 ust. 2, podlegają RODO. Tam, gdzie ma zastosowanie art. 3 ust. 2, administratorzy lub podmioty przetwarzające muszą wyznaczyć przedstawiciela z siedzibą w UE.

Od tego momentu Small Town News ma dwie opcje (oprócz pełnego przestrzegania RODO):

  1. Zablokuj ruch w UE według adresu IP, aby mieszkańcy UE nie mieli do niego dostępu. Jak zauważyłeś, mapowanie geograficzne IP może nie być dokładne, więc nie zapewni 100% ochrony. Ponadto osoby w UE mogą korzystać z VPN / proxy, co nie zaprzecza temu, że nadal przebywają w UE i dlatego podczas ich leczenia musisz przestrzegać RODO; lub
  2. Nie oferuj towarów ani usług ludziom w UE i nie monitoruj ich zachowania. Korzystanie z domeny najwyższego poziomu .us , oferowanie sprzedaży w dolarach tylko osobom z adresem w USA i wyłączenie wszelkich analiz użytkowników dla adresów IP spoza USA powinno wystarczyć.
Jeśli chodzi o mianowanie przedstawiciela w UE, istnieje ograniczenie dla małych przetwórców. [Sztuka. 27 ust. 2] (https://gdpr-info.eu/art-27-gdpr/) „Obowiązek… 27 (1)… (do wyznaczenia przedstawiciela w UE) nie ma zastosowania do przetwarzanie, które jest sporadyczne, nie obejmuje na dużą skalę przetwarzania szczególnych kategorii danych ... (polityka, przynależność do związków, tożsamość płciowa, wyrok skazujący, niektóre inne).
Lag
2018-06-06 12:28:51 UTC
view on stackexchange narkive permalink

Jeśli Small Town News USA obsługuje tylko strony internetowe, nie trzeba nic robić.

Jeśli nie możesz zidentyfikować osoby na podstawie adresów IP, adresy IP nie są danymi osobowymi.

Bardziej szczegółowo, serwer WWW jest oznaczony jako „firewall / nginx-reverse-proxy” i nawiązywałby połączenie, sprawdzał adres IP (dane osobowe na mocy RODO; patrz Często zadawane pytania Co stanowi Dane osobowe?)

To często zadawane pytania nie wspominają o adresie IP i nie jest to oficjalna witryna internetowa UE - chociaż niektóre strony internetowe UE również wprowadzają w błąd. Ale z RODO:

„dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoba, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden lub więcej szczególnych czynników fizycznych, fizjologicznych, tożsamość genetyczna, psychiczna, ekonomiczna, kulturowa lub społeczna tej osoby fizycznej;

Nie mogę zidentyfikować nikogo na podstawie moich dzienników Nginx - jeśli mam tylko dzienniki nginx, adresy IP w nich są nie „dane osobowe”. Imię nie jest danymi osobowymi, jeśli nie mogę zidentyfikować kogoś bezpośrednio lub pośrednio na jego podstawie. Na przykład. Samo „John Smith” nie jest danymi osobowymi, ponieważ istnieje wiele osób o nazwisku John Smith, ale „John Smith, 1 Imagined Street, Unrealtown, Nowhereshire” mogą być danymi osobowymi. Dane osobowe mogą stanowić unikalne imię: Aloysius Reginald Archibald Tarquin Quentin St John Smythe (miejmy nadzieję, że ta osoba nie istnieje). Czy możesz / firma zidentyfikować osobę na podstawie danych, do których masz dostęp? Jeśli możesz, dane są danymi osobowymi.

Jeśli nadal się martwisz, zmniejsz / usuń ryzyko w swoich dziennikach, ustawiając ostatni oktet adresów IPv4 i ostatnich 80 bitów adresów IPv6 na zera i / lub skonfiguruj harmonogram przechowywania. Nie potrzebujesz zapory sieciowej ani filtrowania itp., Aby blokować ludzi w UE.

Pamiętaj również, że istnieje sześć legalnych podstaw przetwarzania danych osobowych. Jednym z nich jest stwierdzenie, że „przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub osobę trzecią”. Czy ochrona firmy przed „złośliwym ruchem” to uzasadniony interes?

Twoje poglądy na temat tego, czym są dane osobowe, różnią się od poglądów Trybunału Sprawiedliwości UE. W przypadku http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668 obecne stanowisko EUCJ jest takie, że adresy IP są danymi osobowymi, jeżeli witryna ma prawną możliwość identyfikacji osoby używając tego. Dostawcy usług internetowych w Europie (a przede wszystkim w innych miejscach) są prawnie zobowiązani do prowadzenia rejestrów adresów IP przyznanych ich klientom, a sąd może nakazać im ujawnienie tych informacji w niektórych przypadkach.
Imię i nazwisko to informacja bezpośrednio identyfikująca osobę zgodnie z cytowanym artykułem 4 RODO. Niezależnie od tego, czy nazywasz się John Smith, czy kimś innym, jako osoba fizyczna masz te same prawa do ochrony swoich danych osobowych na mocy RODO.
@Tardis, „Adresy IP są danymi osobowymi, jeśli witryna ma prawną możliwość identyfikacji osoby, która z nich korzysta” - zredaguję swoją odpowiedź, aby wyraźnie zaznaczyć, że jeśli możesz zidentyfikować osoby na podstawie adresów IP, to są to dane osobowe.
@Tardis,, kiedy mówię „John Smith”, którą z tysięcy osób w Europie o imieniu John Smith zidentyfikowałem?
Twoja odpowiedź brzmi: „Nie mogę nikogo zidentyfikować na podstawie moich dzienników Nginx - jeśli mam tylko dzienniki Nginx, adresy IP w nich nie są„ danymi osobowymi ”. Adresy IP są pośrednim sposobem identyfikacji osoby w rozumieniu art.4 RODO. To, czy możesz to zrobić na podstawie natychmiast dostępnych informacji, nie jest kryterium. Ponieważ obecne kryteria EUCJ polegają na sprawdzeniu, czy prawnie możliwa jest identyfikacja osoby na podstawie adresu IP, w tym na podstawie orzeczenia sądowego, Twoje oświadczenia wydają się wprowadzać w błąd.
RODO dotyczy gromadzenia i przetwarzania danych osobowych oraz nakłada obowiązki na Administratora i Podmiot Przetwarzający. Jeśli jako administrator danych otrzymasz od osoby imię i nazwisko „John Smith” i je przetworzysz, będzie to osoba, której dotyczy przetwarzanie, wobec której będziesz mieć obowiązki zgodnie z RODO. To, czy nazwisko osoby jest powszechne, czy nie, jest absolutnie nieistotne.
@Tardis, Nie zaprzeczam ETS. Mówią, że jeśli istnieją prawne sposoby identyfikacji osoby na podstawie danych, to są to dane osobowe. Powiedziałem, że jeśli nie ma sposobu na zidentyfikowanie osoby na podstawie danych, to nie są to dane osobowe.
Pozwól nam [kontynuować tę dyskusję na czacie] (https://chat.stackexchange.com/rooms/78633/discussion-between-tardis-and-lag).
W swoim ostatnim akapicie cytuje Pan przepis z art. 6 I lit. f RODO, ale nie cytujesz wyjątku, który może nie zostać spełniony, aby było to zgodne z prawem: „z wyjątkiem sytuacji, gdy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, przeważają nad takimi interesami […]”. - Konieczność, a także fakt, że interes nie jest nadrzędny, musi zostać udowodniony przez administratora.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...