Mietin, koskeeko Euroopan tietosuoja-asetus (GDPR) yksityishenkilöitä?
Minulla on siis nettisivut, joiden kommentointilomakkeessa kysytään nimeä tai nimimerkkiä ja sähköpostiosoitetta, ja tulevaisuudessa saatan ottaa Google Analyticsin käyttöön. Lain vaatimukset huolettavat.
Sivusto ei ole mitenkään kaupallinen, eikä sitä siten voi luokitella liiketoiminnaksi. Rahaa ei tule mistään eikä ole tarkoituskaan.
Tarvitseeko pyytää lupa evästeiden käyttöön? Pitääkö tarjota mahdollisuus poistaa omat tiedot (nimi ja sähköpostisoite)? Täytyykö tehdä rekisteri- tai tietosuojaseloste, entä evästekäytäntö yms.? Muuta?
Riippumatta edellisistä lienee niin, ettei täysin teknisiin evästeisiin tarvitse erillistä lupaa? Tarkoitan esimerkiksi CSRF-tokenia. (Sellaistahan pystyisi epärehellisesti käyttämään seurantaan.)
Evästeiden käyttöön ei ole koskaan tarvinnut mitään lupia. Evästeiden käyttöön spywarena ja tällä spywarella kerättyjen tietojen jakamiseen on.
The Alchemist kirjoitti:
Evästeiden käyttöön ei ole koskaan tarvinnut mitään lupia. Evästeiden käyttöön spywarena ja tällä spywarella kerättyjen tietojen jakamiseen on.
Mitähän kaikkea tarkoitat spywarella? Luetaanko esimerkiksi Google Analytics siihen?
GDPR koskee myös yksityishenkilöitä. Vaatimukset eivät ole lopulta kovin ihmeelliset: Kerro, mitä keräät ja mihin tarkoitukseen. Älä kerää ylimääräistä. Luovuta käyttäjälle tai poista tiedot käyttäjän pyytäessä.
Evästeet eivät liity tähän. Tarpeellisia evästeitä (kirjautuminen ym.) saa vapaasti olla, pelkät seurantaevästeet pitää ilmoittaa.
Mihin ihmeeseen sinä tarvitset sivuillasi Google Analyticsiä? Voit lukea analyticsistä ja gdpr:stä netissä. Kuten sanottua, niin käyttäjien seuranta on kiellettyä. Google Analyticsissä on joitakin vipuja, jolla tietoja saa anonymisoitua pikkuisen.
Pelkkä "kertominen" ja "ilmoittaminen" ei riitä vaan tietoja ei saa kerätä, piste. Käyttäjien pitää erikseen ja eksplisiittisellä suostumuksellaan sallia seuranta ja muu vakoilu. Monet saitit ottivat vanhanmallisen "cookie bannerin" käyttöön vasta gdpr:n voimaan astumisen myötä, mutta ne bannerit eivät yksinkertaisesti riitä vaan ovat laittomia.
The Alchemist kirjoitti:
Pelkkä "kertominen" ja "ilmoittaminen" ei riitä vaan tietoja ei saa kerätä, piste.
Juutuit nyt ilmeisesti evästeisiin ja vakoiluun.
Kysyjän esimerkkissä ”kommentointilomakkeessa kysytään nimeä tai nimimerkkiä ja sähköpostiosoitetta”. Tässä ei ole ongelmaa, kunhan seloste on kunnossa. Tietysti kannattaa miettiä, mitä sähköpostiosoitteella tekee eli onko sen keräämiselle lopulta perustetta.
Joitain tietoja voi kerätä myös ilman suostumusta tarpeelliseen käyttöön (”processing is necessary for the purposes of the legitimate interests”). Esimerkiksi palvelimen virhelokia voi pitää tällaisena: lokitiedot ovat tarpeen palvelun ylläpitämistä ja virhetilanteiden selvittämistä varten. Tiedot pitää kuitenkin hävittää kohtuullisessa ajassa, kun niille ei ole enää tarvetta.
Ap otti esille ulkoisten analytiikkapalveluiden käytön, joten ei voi olettaa, että kyse olisi vain sähköpostiosoitteesta ja nimimerkistä ja viattomasta kirjautumislomakkeesta. Siltä se toki ap:stä tuntuu mutta tosiasia on, että analyticsin käyttö on se syöpä, mikä tulee olemaan päällimmäisin ongelma gdpr:n näkökulmasta.
Sivuston perustoiminnallisuutta koskeva ongelmointi kuitattiin jo sillä faktalla, että vaadittujen evästeiden käyttöä ei tarvitse ilmoittaa eikä siihen tarvita suostumusta.
Metabolix kirjoitti:
Älä kerää ylimääräistä. Luovuta käyttäjälle tai poista tiedot käyttäjän pyytäessä.
Voikohan tämän toteuttaa niin, että käyttäjä lähettää tietojenluovutus- tai poistopyynnön samasta sähköpostiosoitteesta, jonka antoi kommmentointilomakkeessa? Riittääkö, että poistaa nimen ja/tai sähköpostiosoitteen. Täytyykö kommenttikin poistaa, jos kirjoittaja haluaa?
Mitä jos joku ei muista, mitä osoitetta käytti? Tarvitseeko silloin tehdä mitään? En tietenkään halua paljastaa tallennettuja osoitteita. Entä jos en pyytäisikään sähköpostiosoitetta: miten käyttäjä voi silloin poistattaa nimensä kommentista?
The Alchemist kirjoitti:
Mihin ihmeeseen sinä tarvitset sivuillasi Google Analyticsiä? – –
Pelkkä "kertominen" ja "ilmoittaminen" ei riitä vaan tietoja ei saa kerätä, piste. Käyttäjien pitää erikseen ja eksplisiittisellä suostumuksellaan sallia seuranta ja muu vakoilu. Monet saitit ottivat vanhanmallisen "cookie bannerin" käyttöön vasta gdpr:n voimaan astumisen myötä, mutta ne bannerit eivät yksinkertaisesti riitä vaan ovat laittomia.
Ajattelin seurata esimerkiksi, mitä selaimia käytetään ja kuinka paljon kävijöitä on. Ei se mikään ehdoton vaatimus ole – tylsää vain, jos ei tiedä yhtään.
Luvan pyytäminen vääristänee dataa niin paljon, että saman tien voi unohtaa koko kävijäseurannan.
Metabolix kirjoitti:
Kysyjän esimerkkissä ”kommentointilomakkeessa kysytään nimeä tai nimimerkkiä ja sähköpostiosoitetta”. Tässä ei ole ongelmaa, kunhan seloste on kunnossa. Tietysti kannattaa miettiä, mitä sähköpostiosoitteella tekee eli onko sen keräämiselle lopulta perustetta.
Tämä voi olla hieman kyseenalaista. Tällä hetkellä nimittäin en tee sillä mitään, mutta ajattelin ehkä tulevaisuudessa ottaa käyttöön Gravatar-kuvat. Tästä ja siitä, että sähköpostiosoitteen MD5-tiiviste näkyy silloin HTML-koodissa, ilmoitetaan sivustolla.
The Alchemist kirjoitti:
Ap otti esille ulkoisten analytiikkapalveluiden käytön, joten ei voi olettaa, että kyse olisi vain sähköpostiosoitteesta ja nimimerkistä ja viattomasta kirjautumislomakkeesta. Siltä se toki ap:stä tuntuu mutta tosiasia on, että analyticsin käyttö on se syöpä, mikä tulee olemaan päällimmäisin ongelma gdpr:n näkökulmasta.
Sivuston käyttäjille ei ole kirjautumistoimintoa vaan pelkkä kommentointilomake. Google Analytics ei tosiaankaan ole välttämätön, mutta olisi hyvä saada jonkinlainen käsitys kävijämääristä ja selaimista.
Ehkä palvelinpuolen skriptiä voisi harkita? Toki ilmoittaisin siitä, jos tarvitsee ja se riittää. Jos tähänkin nimittäin vaaditaan käyttäjän suostumus, jätän kokonaan seuraamatta.
The Alchemist kirjoitti:
Sivuston perustoiminnallisuutta koskeva ongelmointi kuitattiin jo sillä faktalla, että vaadittujen evästeiden käyttöä ei tarvitse ilmoittaa eikä siihen tarvita suostumusta.
Tämä on hyvä kuulla. Muista evästeistä voin luopua vaikka kokonaan, mutta en CSRF-suojauksen.
HTML5 kirjoitti:
Voikohan tämän toteuttaa niin, että käyttäjä lähettää tietojenluovutus- tai poistopyynnön samasta sähköpostiosoitteesta, jonka antoi kommentointilomakkeessa? – – Mitä jos joku ei muista, mitä osoitetta käytti? Tarvitseeko silloin tehdä mitään?
Lähetysosoitteen voi väärentää, joten pitää joko tarkastaa viestin DMARC- ja SPF-tiedot tai varmistaa, että henkilö pystyy myös vastaanottamaan sähköpostia kyseiseen osoitteeseen. Muuten kyllä sähköpostin perusteella voi toimia. Pyynnön toteuttaminen vaatii, että henkilö on riittävällä varmuudella tunnistettu, joten ilman mitään selvää henkilötietoa ei voi oikein pyyntöjäkään käsitellä.
HTML5 kirjoitti:
Täytyykö kommenttikin poistaa, jos kirjoittaja haluaa?
Tämä on kiinnostava kysymys. Mielestäni kommentti ei ole suoranainen henkilötieto. Käyttäisin silti asiassa harkintaa sen mukaan, mitä kommentti sisältää ja onko se olennainen muun keskustelun kannalta.
HTML5 kirjoitti:
Ajattelin seurata esimerkiksi, mitä selaimia käytetään ja kuinka paljon kävijöitä on.
Voit aivan hyvin pitää tilastoa siitä, miten monta CSRF-evästettä joudut luomaan millekin selainversiolle. Tämä ei ole henkilötieto, kunhan et tallenna tietoja yksitellen vaan tilastona.
Tarkempaa yksilöityä IP-osoitteiden ja sivunlatausten listaa ei pidä säilöä ikuisesti, mutta kyllä niitäkin pitää voida hetkeksi kerätä jo tietoturvasyistä esimerkiksi mahdollisten hyökkäysten tunnistamiseksi. Tämä on ylläpitäjän oikeutettu etu (legitimate interest) ellei jopa velvollisuus.
Se, miten Google Analytics tai muu ulkopuolinen palvelu näihin tarkoituksiin sopii, onkin sitten toinen kysymys.
HTML5 kirjoitti:
sähköpostiosoitteen MD5-tiiviste näkyy silloin HTML-koodissa
Tämä on melko kyseenalaista. Jos hakkeri saa jostain muusta palvelusta joukon henkilötietoja sähköpostiosoitteineen (tai keksii kokeilla vaikka kavereiden osoitteilla), hän pystyy saman tien yhdistämään kommentit kyseisiin henkilöihin. MD5:n heikkouden huomioiden myös osoitteiden selvitys MD5-tiivisteistä voi olla mahdollista. Toisaalta käyttäjä voi tietysti antaa luvan mihin tahansa...
Toi Gravatar on kyllä toteutustavaltaan syöpäinen. No, kunhan rekisteröintilomakkeen sähköpostinsyöttölaatikon vieressä lukee selvästi että sähköpostiosoite (tai sen tiiviste) tullaan näyttämään sivulla, niin eipä se kai ole ongelma.
Todella epätoivottava temppu on että jossain foorumilla pitää rekisteröitymistä varten antaa sähköpostiosoite ja siinä lukee esim. että "sähköpostiosoite ei näy muille käyttäjille." Sitten myöhemmässä vaiheessa ylläpitäjä päättää lisätä Gravatarin ja sähköpostiosoite näkyykin yhdistettävässä muodossa yhtäkkiä kaikille käyttäjille. Sinänsä en näe mitenkään ongelmana MD5:n "heikkoutta" sinänsä, sama ongelma olisi vaikka sha256:ssä. Eli siis ongelma on, että anonyyminä kirjoittava käyttäjä paljastuu helposti ... jos joku haluaa tietää mitä kaikkea hän on kirjoittanut voi googlettaa sähköpostiosoitteen tiivistettä..
Luulen, että poistan sähköpostikentän kokonaan. Siitä tuntuu olevan enemmän huolta kuin mahdollista hyötyä. Näin voisin varmuuskopioida kommentit yksityiseen GitHub-varastoon niin kuin muunkin tietokannan datan. Nimethän näkyvät julkisesti muutenkin, ja nimimerkin käyttö on täysin sallittu.
Gravatar-kuvat voisi tosin ladata palvelimen puolella ja käyttää HTML:ssä erityyppistä osoitetta. Kuitenkaan suurimmalla osalla ei ole kuvaa tai sähköpostiosoite on huijattu, jolloin lisäarvo on lähes olematon.
Taidan tallentaa selaintilastot palvelimen puolella. Pitää vain suunnitella, miten teen sen puhtaan tilastollisesti – niin, ettei yksittäistä käyttäjää voi tunnistaa. Google Analyticsin käyttö olisi vähän tyhmää, kun olen muuten pyrkinyt huolehtimaan tietoturvasta ja -suojasta hyvin.
HTML5 kirjoitti:
Taidan tallentaa selaintilastot palvelimen puolella. Pitää vain suunnitella, miten teen sen puhtaan tilastollisesti – niin, ettei yksittäistä käyttäjää voi tunnistaa.
Yksinkertaisesti tämäntapaisella koodilla:
jos CSRF-eväste puuttuu: luo CSRF-eväste selain = HTTP-otsikko "User-Agent" normalisoituna lisää tilastoon 1 x selain
Selaimen voi normalisoida kiinnostavalle tasolle eli esim. ”Firefox 40” tms.
Metabolix kirjoitti:
HTML5 kirjoitti:
Taidan tallentaa selaintilastot palvelimen puolella. Pitää vain suunnitella, miten teen sen puhtaan tilastollisesti – niin, ettei yksittäistä käyttäjää voi tunnistaa.
Yksinkertaisesti tämäntapaisella koodilla: – –
Totta. Ratkaisu on niin yksinkertainen, etten tajunnut sitä. Ajattelin, että joudun tallentamaan CSRF-evästeen arvon tietääkseni, onko selain jo tilastoitu.
Metabolix kirjoitti:
Yksinkertaisesti tämäntapaisella koodilla: – –
Tämän ongelma on käyttäjät, joilla evästeet ovat pois käytöstä. Silloinhan selain tilastoituu joka sivulatauksella.
Yksi vaihtoehto olisi varmistaa JavaScriptillä, että evästeet ovat käytössä, ja lähettää sitten palvelimelle pyyntö:
if (navigator.cookieEnabled) { fetch('/tilastoi'); }
Tällöin tosin JavaScriptin pois kytkeneet jäävät tilastoimatta. Pitää miettiä, kumpi on pienempi paha: monta kertaa tilastoituneet käyttäjät vai kokonaan tilastoitumatta jääneet.
Aihe on jo aika vanha, joten et voi enää vastata siihen.