GDPR-understøttelse

[sshine]

Ifølge GDPR defineres personlige data som enhver form for information relateret til en person såsom navn, billede, en emailadresse, bankoplysninger, opslag på sociale medier, oplysninger om lokation, helbredsinformation eller en IP-adresse. [Kilde] Vi må for følgende punkter afgøre, hvordan det skal tolkes og om der skal ændres noget i koden.

1. Der skal gives samtykke Virksomheder må ikke behandle de personlige data om en enkeltperson, medmindre personen frivilligt har givet specifikt, informeret og entydigt samtykke herom enten i en erklæring eller ved en klart bekræftende handling.

2. Retten til adgang Dette betyder, at personer har ret til at få adgang til deres personlige data og efterfølgende til at få at vide, hvordan virksomheden bruger deres data. Virksomheden skal udlevere en kopi af de personlige data, gratis og i elektronisk form, hvis en person beder om det.

3. Retten til at blive glemt Hvis en person ikke længere er kunde, eller hvis han/hun tilbagetrækker sit samtykke til, at virksomheden må bruge de personlige data, har personen ret til at få sine data slettet.

4. Retten til dataoverførsel En person har ret til at få overført sine data fra en serviceudbyder til en anden. Og det skal ske i et almindeligt brugt og maskinlæsbart format.

5. Retten til at blive informeret Dette gælder enhver form for indsamling af data, som foretages af virksomheder, og personerne skal informeres, før indsamling af data sker. Personerne skal aktivt tilvælge (opt-in), at deres data må indsamles, og samtykke skal gives frivilligt og må ikke være underforstået.

6. Retten til at få oplysninger tilrettet Dette sikrer, at personer kan få deres data opdateret, hvis den er forældet, utilstrækkelig eller forkert.

7. Retten til at begrænse behandling Personer kan frabede sig, at deres data anvendes til databehandling. Data må fortsat gerne opbevares, men ikke anvendes.

8. Retten til at gøre indsigelse Dette inkluderer retten til at få stoppet brugen af data til markedsføringsformål. Der er ingen undtagelser til denne regel, og al brug af personens data skal stoppe, så snart en indsigelse modtages. Der skal informeres tydeligt om denne rettighed, når kommunikationen med en person indledes.

9. Retten til at blive underrettet Hvis der er sket et brud på datasikkerheden, som kan kompromittere en persons personlige data, har personen ret til at blive underrettet indenfor 72 timer efter, at bruddet er blevet opdaget.

[sshine]

1. Samtykke kunne løses med en disclaimer til alle som går ind på kanalen: Ved at være på kanalen giver du samtykke. Det passer fint med EU-æstetikken om at sprede disclaimere om ting folk er ligeglade med som var de kønssygdomme.

   • [ ] Send samtykke-disclaimer.

2. Retten til adgang kunne håndhæves med en kommando der fortæller hvad db/users/<bruger> indeholder. Viden om hvordan data bruges er åbent da git-gruben er åben.

   • [ ] Undersøg hvordan denne information kan vises.
   • [ ] Lav kommando der understøtter adgang til data.

3. Retten til at blive glemt er straks værre; vi kan slette db/users/<bruger>, men éns personlige data ligger jo nok og flyder over det hele. Værre endnu, er det nærmest umuligt at slette git-historikken og besværligt at anonymisere den. I det hele taget er ophavsretten ikke særlig veldefineret.

   • [x] Lav cmds/glem stub.
   • [ ] Få kommandoen til faktisk at glemme ting.

4. Retten til dataoverførsel er trivielt håndhævet: En IRC-kommando og rentekst.

5. Retten til at blive informeret kunne håndhæves ved at komplicere eggspi/db*-kommandoerne således at de kræver at man har givet samtykke. Granulariteten fremgår ikke - skal man kun give samtykke én gang for alt hvad concieggs gør? Dette kræver afklaring!

   • [ ] Afklar!
   • [ ] Granulér!
   • [ ] Informér!

6. Retten til at få oplysninger tilrettet er også svær at automatisere, men måske er det fint nok hvis man kan bede om at få ændret ting manuelt, såfremt der ikke er en kommando som kan gøre det for en særlig bid data.

7. Retten til at begrænse behandling er vist kun noget man skal forholde sig til ved oprettelse af diverse maskinlæringskomponenter. Da vi ikke, så vidt jeg ved, har nogen aktive komponenter som indhenter data fra vilkårlige brugere, kan vi vente med at lave en funktion som frasorterer det enkelte personer siger.

8. Retten til at gøre indsigelse er noget vi slet ikke tager seriøst nok. Godt nok benytter vi slet ikke noget data til markedsføringsformål, men jeg synes godt, man kan understøttelse muligheden for at gøre indsigelse alligevel, fordi det lyder sejt.

   • [ ] Lav kommando til at gøre indsigelse.

9. Retten til at blive underrettet er igen en gråzone; hvem har egentlig adgang til concieggs' data, og hvornår ved vi når den er blevet kompromitteret? En løsning hertil kunne være at udsende en fast meddelelse om at éns data muligvis er blevet kompromitteret hver 72. time. Så er vi i hvert fald dækket.

   • [ ] Lav underrettelsesmekanisme.
   • [ ] Tilbyd muligheden for at hackere selv kan oplyse, hvis de har hacket data.

[nqpz]

Kun 2 uger til! Når concieggs at blive kompatibel?

[nqpz]

Vi nååååår det ikkkkkkeeeeeee!!!

[svip]

Vi har stadig tid til at slette det hele!

[nqpz]

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

[svip]

Så gør dog noget, i stedet for bare at skrige!

[nqpz]

Nej!

[sshine]

Jeg tror at GDPR handler om bare at skrige.

[athas]

GDPR handler vist om at skrive et brev til en masse mennesker. Har vi alle tidligere EggsML-logebrødres epostadresse et sted?

-- \ Troels /\ Henriksen

[sshine]

Når en afleveringsfrist har passeret, er afleveringsopgaven ikke længere er et problem, om man har afleveret den eller ej. Ligeledes er GDPR ikke længere et problem – så skal vi bare satse på, det ikke bliver en genaflevering.