[Talk-hr] GDPR i gasenje http://my-notes.osm-hr.org/ :-(

Matija Nalis mnalis-openstreetmaplist at voyager.hr
Pet Kol 24 00:49:51 UTC 2018 

On Tue, Aug 21, 2018 at 04:13:32PM +0200, hbogner wrote:
> Na SotM 2018 je bilo riječi o OSM & GDPR, pa evo savjeta za my-notes.
> 
> Ako možeš složiti da se svatko mora ulogirati preko
> https://wiki.openstreetmap.org/wiki/OAuth i onda tamo može vidjeti samo
> svoje notes onda je problem riješen.

nije to neka sreca, jer je jedna od bitnih funkcionalnosti da mozes
pratiti vise usera odjednom (bar ja ih redovno pratim uvijek bar 4
odjednom; cesto i vise).

Takodjer, nema logike da bi morali tako, jer i sam OSM dozvoljava da
gledas tudje notes; npr. i bez da si ulogiran mozes vidjeti:

https://www.openstreetmap.org/user/Matija%20Nalis/notes
ili
https://www.openstreetmap.org/user/ksenija/notes

> Druga opcija je da se ulogira preko oauth i može gledati i tuđe notes, ali
> ond amora prihvatiti dodatne uvjete koriaštenja koje mi moramo napisati.

bez obzira na koje rjesenje se odlucimo, privacy policy ce trebati
napisati, taj dio nam ne gine.

> Treća opcija je da pomogneš developerima da to primjene na osm.org, ili
> predložiš to za https://wiki.openstreetmap.org/wiki/Google_Summer_of_Code :D
> 
> Četvrta opcija je poseban login za mynotes neovisan o osm i oauth ali se
> svaki user mora registrirati i prihvatiti uvjete.
> 
> Možda je bila i peta opcija, ali ništa jednostavno.
> 
> Ja ću također morati prilagoditi osm-replex :(

Mislim da je najbolja opcija ici (kao i sam OSMF) na
"legitimate interest" basis (GDPR article 6.1f). 

Tu u osnovi ne moramo nista mijenjati u kodu,
samo napisati privacy policy i ostaviti email kontakt. 

Moram samo jos prouciti https://gdpr-info.eu/art-14-gdpr
("Information to be provided where personal data have not been
obtained from the data subject") i poveznice posto smo tu u nesto
boljoj situaciji od OSM (cini mi se) ako se netko zali na podatke, jer
(mozda) ne moramo tada raditi vlastiti filtering nego ga samo uputiti na
izvor podataka.

Ali cak da i trebamo sloziti filtering zbog "Right to object" (ako se
ta obaveza odnosi i na nas, a ne samo na upstream), to mi je daleko
jednostavnije za implementirati.

Probam slijedeci tjedan nesto pokrenuti oko toga pa napisati.

> 
> 
> On 11.06.2018 13:58, hbogner wrote:
> > Uf, ovaj tjedan/mjesec mi je kaos.
> > 
> > Ali kreirao sam mjesto gdje svi možemo zajedno uređivati privacy policy:
> > https://pads.ccc.de/osm-hr
> > 
> > Popunio sam osnovne naslove pa možemo njih popunjavati.
> > 
> > Pozdrav, Hrvoje
> > 
> > On 11.06.2018 13:42, Matija Nalis wrote:
> > > uf, nije bas mali https://wiki.osmfoundation.org/wiki/Privacy_Policy :(
> > > ali je barem citljiviji od samog GDPR-a
> > > 
> > > Nego, jesu li objavili "templates" sto su obecali u
> > > https://blog.openstreetmap.org/2018/05/14/preparing-for-the-gdpr/
> > > pod "Are you a Service Provider that uses OSM"? Ili se zna kada ce?
> > > To bi nam bilo najkorisnije.
> > > 
> > > 
> > > 
> > > -------------- smjernice za izradu privacy policy-a -------------
> > > 
> > > Preletio sam "na brzinu"; koliko vidim dio koji je nama
> > > najinteresantniji je da idu na "legitimite interest" iz
> > > GDPR article 6.1f.
> > > 
> > > Mislim da onda mozemo iskoristiti dobar dio "Data we receive
> > > automatically" i "Right to object".
> > > 
> > > Ponesto mozemo pokupiti i iz "Where do we store the data" i "Who has
> > > access to the data", "What data do we store and process", "Why do we
> > > store and process personal data", "Introduction" i "Contents"
> > > iako je dosta drugacije (s pozitivne strane, vecinom izbacivanjem
> > > stvari).
> > > 
> > > Srecom, privacy policy im je koliko vidim pod CC-BY-SA 2.0 pa smijemo
> > > copy/paste iz njega (dokle god ih navedemo kao izvor).
> > > 
> > > I trebamo li se prijaviti na "Registered data controllers" sto
> > > spominju?  Trenutno je prazan, ali to nije cudo ako su tek napravili
> > > Privacy Policy.  S jedne strane povlacimo podatke automatski pa sto
> > > god se dogodi u OSMu cemo mi pokupiti, ali s druge strane krajnji
> > > korisnik ima "right to object".
> > > 
> > > 
> > > Dodatno, da ne bi bio u nasoj bazi, korisnik mora ili zatvoriti sve
> > > svoje notes (sto ce maknuti podatke iz nase baze jer cuvamo samo
> > > otvorene notes), i/ili ugasiti OSM account (sto ce uz ostalo renamati
> > > njegov account u user_USERID pa ga tako anonimizirati)
> > > 
> > > Takodjer to sve treba prilagoditi da zadovaljava article 14
> > > "Information to be provided where personal data have not been
> > > obtained from the data subject" ( https://gdpr-info.eu/art-14-gdpr/ )
> > > jer smo tu u (ponesto) drugacijoj situaciji nego OSMF (koji je pod
> > > https://gdpr-info.eu/art-13-gdpr/ jer sam prikuplja podatke direktno
> > > od korisnika); ali je dobrim dijelom slicno cini mi se.
> > > 
> > > I naravno morati cemo linkati na OSMF privacy policy za detalje kako su
> > > originalni podaci prikupljeni i obradjeni...
> > > 
> > > 
> > > 
> > > Hrvoje, ako slozis glavninu toga pa posaljes na listu ili negdje, ja
> > > cu za jedno dva tjedna vjerojatno imati nesto vremena za proci kroz
> > > to pa komentirati/doraditi (ali ne i slagati cijelu stvar from scratch).
> > > Sada moram nestati...
> > > 
> > > On Sat, Jun 09, 2018 at 11:06:15AM +0200, hbogner wrote:
> > > > On 09.06.2018 02:37, Matija Nalis wrote:
> > > > > hopefully ce hbogner znati bolje pa uspjeti napisati privacy
> > > > > policy...  Samo treba vidjeti po kojoj osnovi, jer mislim da na
> > > > > privolu ne mozemo ici (sto je i sreca, jer nikad ne bi skupili
> > > > > privolu od svih contributora), a niti na zakonsku obavezu.  Mislim da
> > > > > ima jos 2-3 labava nacina na koje se nekad smiju objavljivati neki
> > > > > privatni podaci sto nas mozda moze uciniti compliant, ali opet moramo
> > > > > sloziti dokumentaciju i napisati u Privacy Policy (uz ostalo) na sto
> > > > > od toga se pozivamo i zasto.
> > > > 
> > > > OSMF je objavio privacy policy
> > > > 
> > > > https://wiki.osmfoundation.org/wiki/Privacy_Policy
> > > > 
> > > > Trerbamo to proučiti i napisati našu derivatnu verziju.
> > > > 
> > > > 
> > > > 
> > > > _______________________________________________
> > > > Talk-hr mailing list
> > > > Talk-hr at openstreetmap.org
> > > > https://lists.openstreetmap.org/listinfo/talk-hr
> > > 
> > 
> > 
> > 
> > _______________________________________________
> > Talk-hr mailing list
> > Talk-hr at openstreetmap.org
> > https://lists.openstreetmap.org/listinfo/talk-hr
> 
> 
> 
> _______________________________________________
> Talk-hr mailing list
> Talk-hr at openstreetmap.org
> https://lists.openstreetmap.org/listinfo/talk-hr

-- 
Opinions above are GNU-copylefted.

Više informacija o Talk-hr mailing listi