
<p></p>

<blockquote>

<p dir="auto">Definitely tracking previous names is a violation of both the GDPR and the OSMF ToSs outside of internal use by the DWG.</p>

</blockquote>

<p dir="auto">(the usual caveat - I am not a lawyer; this is just my interpretation of the <a href="https://ico.org.uk/" rel="nofollow">ICO</a>'s** advice here)</p>

<p dir="auto">I suspect you'd need to make a specific case for both of those.  For the avoidance of doubt <a href="https://wiki.osmfoundation.org/wiki/Privacy_Policy#How_can_you_control_the_processing_of_your_data_and_reduce_privacy_related_issues" rel="nofollow">the OSMF policy</a> says, in a subsection entitled "How can you control the processing of your data and reduce privacy related issues", "you can select a non identifying login name and change it at any time you want".</p>

<p dir="auto">Do the OSMF ToSs even link to that policy at user signup?  I certainly don't remember seeing it the last time I created a test user, and I do look out for this stuff.</p>

<p dir="auto">With regard to the GDPR, I'm sure a case for "making more use of userids across the site" could be made under several of the 6 <a href="https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/#what" rel="nofollow">lawful bases for processing</a>.  Obviously the GDPR has no concept of what the DWG is, and I suspect that the OSMF could argue that other logged in OSM users for part of the "you" used in the GPDR "lawful bases for processing" wording, and that they are a vital part of some of the functions mentioned (for example, by noticing data copied from third-party sources with incompatible licences and reporting it.  At a stretch you could also make a case that "showing a list of previous usernames of a user" to logged-in OSM users is supported by the GDPR because they're part of the "you" mentioned there.</p>

<p dir="auto">I don't think that you could make a case for "showing a list of previous usernames of a user to non-logged in users" was covered by one of the 6 legal bases for process.</p>

<p dir="auto">For the avoidance of doubt "could make a case for" does not mean "must do immediately" - it just means that it might not be a violation of the GDPR (subject to interpretation - see above) and discussion of whether it's actually a good idea or not should continue.</p>

<p dir="auto">** the data authority in the jurisdiction in which the OSMF currently resides.</p>


<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/issues/3559#issuecomment-1207361148">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/AAK2OLOKC5FGMUIVQIKLGD3VX52SNANCNFSM5XX2TENA">unsubscribe</a>.<br />You are receiving this because you are subscribed to this thread.<img src="https://github.com/notifications/beacon/AAK2OLKWKIT7KOM3LYGVVV3VX52SNA5CNFSM5XX2TENKYY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJKTDN5WW2ZLOORPWSZGOI73N47A.gif" height="1" width="1" alt="" /><span style="color: transparent; font-size: 0; display: none; visibility: hidden; overflow: hidden; opacity: 0; width: 0; height: 0; max-width: 0; max-height: 0; mso-hide: all">Message ID: <span><openstreetmap/openstreetmap-website/issues/3559/1207361148</span><span>@</span><span>github</span><span>.</span><span>com></span></span></p>

<script type="application/ld+json">[

{

"@context": "http://schema.org",

"@type": "EmailMessage",

"potentialAction": {

"@type": "ViewAction",

"target": "https://github.com/openstreetmap/openstreetmap-website/issues/3559#issuecomment-1207361148",

"url": "https://github.com/openstreetmap/openstreetmap-website/issues/3559#issuecomment-1207361148",

"name": "View Issue"

},

"description": "View this Issue on GitHub",

"publisher": {

"@type": "Organization",

"name": "GitHub",

"url": "https://github.com"

}

}

]</script>