Форум Bodhi Linux закрылся в страхе перед GDPR

GDPR Notice

Я только из криокамеры, поясните.

Я только из криокамеры, поясните.

Пытается выползти Император земного шара. Попытки написать какие-то общие законы для всех стран. Аналог нашего закона о защите перс.данных.

У меня форум на phpBB. Как узнать соответствует он новым правилам или нет? Если нет, то будут они допиливать?

А, из-за этой фигни каждый второй сайт теперь показывает МЫ ЮЗАЕМ КУКИ КЛИКНИ ОК на пол-экрана? Где-то я видел подписку к адблоку чтобы резать этот мусор.

Цель этой фигни - контроль над информационным полем. Вон, глянь сегодняшнюю новость про главу союза журналистов РФ и видеоблогеров. Лет через 10 построят электронный гулаг, а там глядишь ещё лет через 20 закончится нефть-газ, можно будет гонять в CS и шмалять по террорюгам. Чем не жизнь.

Это, скорее, продолжение. Эта фигня запрещает использование гражданами ЕС и налагает штраф (или блокировку), если сервис не предоставляет некоторые услуги, типа экспорта всех данных из телеметрии или удаление аккаунта с корнями.

Цель этой «фигни» дать этот контроль _тебе_. Заодно обучить пользователей думать что и куда они сливают.

Эта фигня запрещает использование гражданами ЕС

Неверно.

GPDR обязывает все сервисы работающие с данными граждан ЕС 1) отчитываться перед этими самыми гражданами ЕС о том как именно будут использованы собранные персональные данные, 2) обеспечить возможность гражданину ЕС потребовать удаления его персональных данных из хранилища владельца сервиса.

Так в диалоге всего одна кнопка «Ок». В чём выбор и в чём контроль?

Cейчас обычно не одна.

Как GDPR ввели, в большинстве мест окошко выбора расширили явно разделив cookies необходимые для работы, cookies для сбора метрик, cookies для продажи гуглу для предоставления рекламы и т.п.

GDPR прямо запрещает сбор данных «просто так», только на конкретную цель, поэтому они обязаны расписывать конкретное назначение что и куда идет.

Плюс GDPR не формочку обязывает лепить на сайт, а «довести информацию о сборе персональных данных до пользователя», «по запросу предоставлять подробный отчет» и «обеспечить простой способ запросить удаление всех своих данных».

Формочка - это просто популярный способ реализации первого пункта. Но не обязательный.

А если у моего сервиса нету никаких данных, телеметрии и аккаунтов на сервере, а только выдача клиентам кук, которые они сами могут удалить? Мне чесаться надо?

У меня форум на phpBB

Один из примеров полезности GDPR - он обязывает владельцев движков типа wordpress и phpbb думать о том какие «бесплатные» плагины и сторонние системы аналитики они используют, и какие именно данные туда сливают.

На допиливание всего и вся было больше года и «день GDPR» был 25 мая.

Сейчас вроде ICANN - владельцы базы whois - судятся с евросоюзом на тему что они пытались, но не успели и как же так. Но скорее всего получат за это по полной.

GPDR обязывает все сервисы работающие с данными граждан ЕС 1) отчитываться перед этими самыми гражданами ЕС о том как именно будут использованы собранные персональные данные, 2) обеспечить возможность гражданину ЕС потребовать удаления его персональных данных из хранилища владельца сервиса.

Но фактически обязывает только те сайты, которые ведут хоть какой-то бизнес в ЕС. На остальные у ЕС тупо нет никаких способов повлиять (разве что хостинг отобрать, если он в ЕС).

Плюс GDPR не формочку обязывает лепить на сайт, а «довести информацию о сборе персональных данных до пользователя»
Формочка - это просто популярный способ реализации первого пункта. Но не обязательный.

Ну т.е. для кук достаточно будет неинтерактивной надписи где-нибудь в самом низу сайта, или вообще в тосе? Никаких accept/decline юзеру показывать не надо?

Насколько я понимаю, даже если есть аккаунты, но ты не продаешь инфу на сторону и удаляешь аккаунт по просьбе владельца - то в общем у тебя всё чисто.

Надо только отслеживать письма пользователей. Если тебе придет запрос - «объясните как и для каких целей вы используете мои данные», то тебе надо будет на него ответить. При этом закон требует чтобы ответ быть понятен пользователю.

Думаю да. Хотя по-хорошему надо погуглить, должно быть уже полно FAQ и разъяснений на эту тему.

А что, собственно, мешает мне наврать пользователю? Евросоюзные бюрократы проверить это не смогут технически.

Ну евросоюзные бюрократы например и то что ты труп в огороде закопал не могут проверить. Это как бы не их работа, а соответствующих органов.

Всплывут проданные тобой данные в cambridge analytica или бывший сотрудник с собой на флешке вынесет - будешь отвечать по всей строгости.

Ну тогда я спокоен. А если что скажу мне на лоре разрешили.

тем временем в вордпресс завезли вот эту вот фигню со всплывающими диалогами

А где на ЛОРе GDPR Notice, кстати? тут же полно трактористов в ЕС.

Можно на лоре показать диалог «Сим вы подтверждаете, что вы не гражданин ЕС, в противном случае срочно покиньте наш сайт.»

Гораздо интереснее GDPR отражается на changelog-ах open-source проектов.

То есть вообще говоря он обязывает владельцев, например, kernel.org по запросу удалять имя и почту пользователя во всей истории репозитория, переписывая историю веток в гите. Что на практике неосуществимо.

лол

.org европейский домен?

Ни местоположение хостинга, ни регистрация домена, ни регистрация самой компании не имеют никакого значения. Важен пользователь из Евросоюза.

Посыл у этой GDPR ну очень правильный, лучше данные доверять тем , кто в состоянии их сохранить, а остальные пускай используют эти самые сторонние сервисы для аутентификации. Это вполне актуально на фоне сливов паролей в открытом виде. Другое дело, что реализована эта хрень как всегда через одно место и в итоге это очередной рычаг для тролей типа патентных, только теперь GDPRовых

Но я вообще-то не знаю как это работает. Наверное публично доступная информация по-другому классифицируется.

Имена победителей Олимпиады-2012 или список актеров фильма тоже например персональные данные, но их никто же не удалит.

в итоге это очередной рычаг для тролей типа патентных, только теперь GDPRовых

Под это можно любое регулирование любого процесса подвести. Для того чтобы не было троллей надо не регулирование отменять, а судебную систему поддерживать в рабочем состоянии.

В Европе например нет патентных троллей (ну собственно и патентов на софт нет). Торренто-тролли были, но с ними справились. Так что паника совершенно безосновательна.

прямо запрещает сбор данных «просто так»

Дискриминация Плюшкиных! Кстати, а на плюшкинизм есть диагноз, чтобы бумажкой отмахиваться в случае чего?

И лишний головняк. Эдак и за наколеночный учебный хэллоуврот с формой регистрации можно штраф огрести.

А где на ЛОРе GDPR Notice, кстати?

А ЛОР не соответствует GDPR, поэтому уведомлять особо не о чем.

Угу, не хватало ещё, чтобы в интернетах шагу ступить нельзя было без аккаунта в сосальной сети. И так этого говна навалом, со сплошным OAuth без мыл. Благо, я не гуглофоб и гугловская учётка обычно конает при OAuth за плюсачевскую.

Под GDPR подпадают даже IP-адреса. Так что если на твоём сервере ведётся access.log и он торчит жопой в интернеты — можешь уже готовить верёвку с мылом.

А что будет если сайт не соответствует этой GDPR? Его заблокируют в ЕС?

А что будет если сайт не соответствует этой GDPR? Его заблокируют в ЕС?

Я не знаю законов ЕС, я там не живу.

access.log и он торчит жопой в интернеты

Ох вау, палехче, я до такого киберпанка не дорос еще.

А если сайт вебодиннольный и на нём даже формы обратной связи нету, кек?

При этом закон требует чтобы ответ быть понятен пользователю.

Бедные китайцы

Ты несешь что-то не то. При чем тут социалочки, можешь хоть свой сервис сделать который будет аутентификацию проводить. Если с меня какой-то ЛОР просит регистрацию чтобы коменты писать, то я бы лучше сразу залогинился кем-то 3м, чем в очередной раз оставлял тут свою почту и пароль (который вполне себе может и открыто лежать). Куда проще проверить определеный набор спец-ресурсов на валидность хранения данных, чем каждый второй

Лучше сразу задавать вопрос «Чей Крым?»

А вот это интересно, как это увяжется со всякими блокчейнами, где переписывание истории не предусмотрено by design.
Это же не только бетховены, где персональных данных как бы нет.

GPDR обязывает...
...возможность гражданину ЕС потребовать удаления его персональных данных из хранилища владельца сервиса

Это всё здорово, но какая от этой местечковой бюрократии польза в глобализованном мире? Из американского сервиса, работающего с данными граждан ЕС, эти данные можно слить в PRISM (или что там сейчас используется спецслужбами господина). И как европейские бюрократы собираются это контролировать? Тем более, что на инфраструктурном уровне пользователь не заключает никаких договоров с вон той заокеанской циской (которая неподконтрольна никакой европейской конторе). Ну, скажет Гугл или Микрософт, что не сливают данные на сторону - как европейский гражданин это проверит? А если окажется, что сливают - что европейские бюрократы смогут сделать? Меркель, как в прошлый раз, позвонит господину и пожалуется на него самого?

Техническая экспертиза, не? Припрутся внезапно вежливые люди, изымут сервер, найдут там следы каких-то ПД — и привет.

Хороший способ устроить-таки ШВИМ, срочно шли пуллреквест!

Хуже, мыла в любом блокчейне найтись могут. И вроде даже находили уже.

Какой киберпанк-то, банальнейший vasyapupkin.tk.

В Европе например нет патентных троллей (ну собственно и патентов на софт нет).

Что мешает патент в США оформить?

Это всё интересные рассуждения, но на самом деле мир устроен не так. Изоляции между европейскими и штатовскими конторами и сервисами практически нет и тот самый «gdpr Day» показал что Евросоюз может регулировать большУю часть интернета.

Именно глобальные/интернациональные корпорации являются целью этого закона, и именно они под него «прогнулись». Все штатовские и британские новостные сайты например срочно реализовали gdpr-compliance, соц сети, платежные системы, крупные сервисы и т.п. - тоже. То есть закон _уже_ сработал. Так что рассуждения на тему «не взлетит» уже не актуальны.

Там даже дело не в его юридической силе, а в том что закон сам по себе получился хорош и логичен. И если какая-то контора ему не следует, то даже без фактической уголовной/административной ответственности перед евросоюзом, просто сам факт не следования gdpr - это репутационный риск, потеря доверия у клиентов и прочие чисто маркетинговые проблемы.

можешь хоть свой сервис сделать который будет аутентификацию проводить

И кто через меня аутентифицироваться будет?

я бы лучше сразу залогинился кем-то 3м

И кто этот 3-й? И какое отношение он имеет к ЛОРу? И почему возможность пользования ЛОРом должна зависеть от этого 3-го? И зачем ему вообще знать, что ты имеешь аккаунт на ЛОРе? Почтовый сервер ты хоть и свой поднять можешь, если никому не доверяешь, а так такая возможность отпадёт.

и пароль (который вполне себе может и открыто лежать)

Ты один пароль для всего пользуешь, что ли? Ну ничего, для таких конченых ССЗБ хотя бы чекалки сложности паролей распространены, иногда даже не дают пароль поставить, если он недостаточно сложный.

Куда проще проверить определеный набор спец-ресурсов на валидность хранения данных

Собственно, этим и руководствуются властьимущие, загоняя массы в уютные сосальные сети: там проще контролировать. Одно дело — закрыть паблик или заблокировать аккаунт по указке от спецслужб, и совсем другое — прикрыть мелкий, но гордый, сайт, который хостится где-то в странах второго/третьего мира.

https://www.kropyva.ch/b/res/76214.html#77179