Ênfase minha, do mesmo documento que linkei antes.

O EDPB considera, no entanto, que, em relação às atividades de processamento relacionadas à oferta de serviços, a disposição visa atividades que visam intencionalmente, em vez de inadvertidamente ou incidentalmente, indivíduos na UE. Consequentemente, se o processamento estiver relacionado a um serviço que é oferecido apenas a indivíduos fora da UE, mas o serviço não for retirado quando tais indivíduos entrarem na UE, o processamento relacionado não estará sujeito ao GDPR. Neste caso, o processamento não está relacionado ao direcionamento intencional de indivíduos na UE, mas ao direcionamento de indivíduos fora da UE, que continuará quer permaneçam fora da UE ou quer visitem a União.

Não é, e especular não ajudará a discussão.

Eles não são, mas o governo do Reino Unido implementou suas leis com base no GDPR em uma revisão de 2018 da Lei de Proteção de Dados:

A Lei de Proteção de Dados

A Lei de Proteção de Dados de 2018 controla como suas informações pessoais são usadas por organizações, empresas ou pelo governo.

A Lei de Proteção de Dados de 2018 é a implementação do Reino Unido do Regulamento Geral de Proteção de Dados (GDPR).

Todos os responsáveis pelo uso de dados pessoais devem seguir regras rigorosas chamadas ‘princípios de proteção de dados’. Eles devem garantir que a informação seja:

• usada de forma justa, legal e transparente
• usada para fins especificados e explícitos
• usada de uma maneira que seja adequada, relevante e limitada apenas ao que é necessário
• precisa e, quando necessário, mantida atualizada
• mantida por não mais tempo do que o necessário
• manuseada de uma forma que garanta segurança apropriada, incluindo proteção contra processamento, acesso, perda, destruição ou dano ilegal ou não autorizado

Existe proteção legal mais forte para informações mais sensíveis, como:

• raça
• origem étnica
• opiniões políticas
• crenças religiosas
• filiação sindical
• genética
• biometria (quando usada para identificação)
• saúde
• vida sexual ou orientação

Existem salvaguardas separadas para dados pessoais relacionados a condenações e infrações criminais.

Seus direitos

Sob a Lei de Proteção de Dados de 2018, você tem o direito de saber quais informações o governo e outras organizações armazenam sobre você. Estes incluem o direito de:

• ser informado sobre como seus dados estão sendo usados
• acessar dados pessoais
• ter dados incorretos atualizados
• ter dados apagados
• parar ou restringir o processamento de seus dados
• portabilidade de dados (permitindo que você obtenha e reutilize seus dados para diferentes serviços)
• opor-se a como seus dados são processados em certas circunstâncias

Você também tem direitos quando uma organização está usando seus dados pessoais para:

• processos de tomada de decisão automatizada (sem envolvimento humano)
• criação de perfis, por exemplo, para prever seu comportamento ou interesses

Source

Lembre-se que quando a UE aprovou o GDPR, cada país membro teve que destilar os regulamentos em suas próprias leis locais. Sair da UE não elimina essas leis.

Isso está regulando empresas com sede na UE no sentido de que elas precisam usar as mesmas regras para todos. Coisa diferente do que a CDCK tem que seguir o GDPR quando um usuário da Índia fará uma viagem à Itália, mas não quando o mesmo usuário fará um passeio pela Escócia.

Aqui está um guia de resumo para a Islândia:

Resumo

Lei: Lei 90/2018 sobre Privacidade e Processamento de Dados Pessoais (‘a Lei’) e o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679) (‘GDPR’)

Regulador: Autoridade islandesa de proteção de dados (‘Persónuvernd’)

Resumo: A Islândia é membro do Espaço Econômico Europeu (‘EEE’), mas não é um Estado-Membro da UE. O GDPR aplica-se no EEE em virtude da Decisão nº 154/2018 do Comitê Conjunto do EEE, e foi implementado na Islândia pela Lei. As disposições transitórias da Lei afirmam que todas as regras e regulamentos emitidos sob a antiga Lei 77/2000 sobre a Proteção da Privacidade no que diz respeito ao Processamento de Dados Pessoais continuarão a ser válidos, desde que não infrinjam a Lei e o GDPR. A Persónuvernd é um regulador ativo que emitiu várias diretrizes sobre o GDPR e o processamento de dados na Islândia.

Artigo nº 19

Artigo 191362×362 34 KB

Isso é provavelmente verdade para coisas como cartões de identificação de passe de museu:

Obrigado por este comentário, minha intenção não era pedir aconselhamento jurídico, mas sim qual é a lei como está escrita.

Pode querer consultar advogados sobre termos e condições, o que é provavelmente sensato. Tudo o que posso fazer agora é declarar os termos diretamente aos governos relevantes.

Se li corretamente o que escreveu, parece que o aconselhamento jurídico não é especificamente proibido aqui na Meta, no entanto, esse é definitivamente um risco tanto para a pessoa que pergunta quanto para qualquer um que responda com declarações que possam ser consideradas aconselhamento jurídico.

Ou seja, se eu disser a um juiz ou júri: Jakke da Finlândia me disse isso, mas o que ele escreveu acaba por não ser inteiramente verdade, Jakke pode ter problemas com isso.

Existem leis específicas com funcionários do cartório judicial que são absolutamente proibidos de dar qualquer tipo de aconselhamento jurídico a qualquer pessoa.

A propósito, a principal rede comunitária da minha cidade é administrada por um administrador na Finlândia, pelo que ouvi por último, então isso precisaria estar em conformidade com as leis finlandesas.

Eles usam um antigo sistema de newsletter por e-mail que envia cerca de dez e-mails todas as manhãs com coisas que as pessoas podem postar em seu site, mas nada é publicado no site para o público, apenas enviado por e-mail.

Pode haver alguns problemas com o sistema deles; da última vez que tentei criar uma conta com eles, não houve resposta. É possível que eles tenham me banido, mas se sim, eu nunca fui notificado sobre isso.

Por último, apenas para mencionar que o motivo pelo qual perguntei sobre isso não foi para reter qualquer tipo de informação de pessoas que desejam que suas contas sejam excluídas ou anonimizadas, desde que não tenham violado nenhuma lei com um domínio da web registrado em meu nome. Não tenho motivo para fazer isso, a menos que estejam assediando pessoas ou causando outros problemas que eu precise encaminhar informações para a polícia/promotores, se isso se tornar necessário por algum motivo, esse é apenas o pior cenário.

Se você quiser saber o que o GDPR realmente diz, o melhor lugar para ir é a fonte - https://gdpr.eu/

Existem também muitos sites que oferecem um resumo geral do significado da lei. Eles podem ser encontrados usando um motor de busca padrão.

Minha interpretação do status de aconselhamento jurídico de qualquer pessoa aleatória (no Discourse ou em outro lugar) é ‘caveat emptor’ (deixe o comprador ter cuidado). Se você estiver executando um sistema que contém informações pessoais sensíveis da UE, somente você (ou sua empresa) é responsável por cumprir a lei. Se você receber maus conselhos e segui-los, será sua responsabilidade se provar que estão errados. Como exemplo, imagine ser parado pela polícia por dirigir a 160 km/h em um limite de 50 km/h. Qual você acha que será a resposta deles se você disser ‘a pessoa aleatória X me disse que eu poderia dirigir tão rápido nesta estrada’. É sua responsabilidade ter certeza de que qualquer conselho que você receber está correto. Se você tiver um contrato com a pessoa aleatória X onde ela deveria lhe dar aconselhamento jurídico sobre o GDPR, mesmo isso não é uma defesa. Você ainda teria que ter pelo menos verificado se a pessoa era qualificada para fornecer esse aconselhamento.

Antes de me aposentar, fui Gerente de Cibersegurança. Passei muitas horas longas com nosso consultor jurídico interno e coordenador do GDPR discutindo as complexidades da lei. Isso me ensinou o suficiente para saber que ela não pode ser resumida em poucas palavras, nem pode ser realmente considerada adequadamente por um estranho que não conhece seu sistema ou os dados exatos que estão incluídos nele ou quem pode acessar os dados e por quais razões.

Essa é uma boa metáfora com as leis de trânsito, concordo que estaria correto e não seria uma defesa da maneira que você explicou.

As leis podem ser realmente chatas e confusas. Conheci e conversei com alguns advogados, mas nunca paguei por aconselhamento jurídico. O aconselhamento é uma coisa bastante limitada, mesmo que seja uma carta oficial com um carimbo. Mais importante é para completar processos legais com os tribunais, às vezes advogados são necessários para isso.

Um exemplo mais dramático com carros seria se uma locadora de veículos estivesse fornecendo informações imprecisas aos clientes, como dizendo a eles para dirigir do lado errado da estrada, isso seria diferente.

Obrigado por postar um link para o site oficial deles, eu não tinha conseguido encontrar isso antes com a pesquisa. É uma surpresa que esteja declarado lá que o site é operado pela Proton AG na Suíça, um país não pertencente à UE.

Você deve ver os conselhos dados no meta mais nos reinos de:

“cuidado, existem limites de velocidade na maioria das estradas e a polícia está monitorando ativamente”
“geralmente, você deve manter a direita”
“na maioria dos países da UE, dirigir embriagado de bicicleta também é proibido”

Desculpe por sair mais do tópico, mas estava discutindo genealogia com um amigo no início da semana. Ele me disse que um de seus tios-avôs foi levado a tribunal duas vezes por estar embriagado no comando de um burro. Para voltar ao tópico, espero que seu histórico criminal esteja sendo protegido pelo GDPR

Isso parece um bom tópico para tentar um pequeno experimento de incluir um resumo de IA em uma postagem dentro do tópico (embora manualmente neste caso ):

A discussão começou com post 1 de Wombat perguntando se o GDPR se aplica apenas a usuários na UE. post 2 de Jagster esclareceu que o GDPR regula serviços/sites que têm usuários da UE, independentemente da localização.

Wombat então fez algumas perguntas de acompanhamento em post 3, observando seu entendimento de que o GDPR exige a permissão para exclusão de contas de usuário. Jagster respondeu em post 4 que a anonimização é suficiente sob o GDPR, não a exclusão completa.

A discussão explorou detalhes sobre o escopo territorial do GDPR em posts 10-25, com RGJ e Jagster esclarecendo que a presença física na UE determina a aplicabilidade, não a cidadania.

Wombat perguntou se a saída do Reino Unido da UE impacta o GDPR lá em post 16. Stephen explicou em post 26 que o Reino Unido implementou leis baseadas no GDPR em sua revisão da Lei de Proteção de Dados de 2018.

Jagster apontou em post 27 que as empresas precisam aplicar as mesmas regras a todos os usuários igualmente. A discussão terminou com RGJ e packman alertando sobre a confiança em conselhos informais de GDPR em posts 32-36.

Resumido com IA em 16 de setembro

Acho que os números das postagens estão ligeiramente incorretos devido a algumas fusões de postagens, e não incluiu o burro, mas aqui está.

Provavelmente também vale a pena repetir a nota anterior sobre obter aconselhamento jurídico:

Alguém consegue identificar o erro que a IA cometeu nesse resumo? Há pelo menos um erro que consigo identificar.

Estou trabalhando em rascunhos para os termos, acho que isso funcionará:

Todas as informações que não forem postadas publicamente no fórum serão mantidas como confidenciais pela administração da empresa, a menos que por ordem judicial para cooperar com um processo judicial legal. Contas podem ser excluídas ou anonimizadas mediante solicitação. Pela lei GDPR, nenhuma informação pessoal pode ser retida se a exclusão da conta for solicitada, no entanto, a administração tem o direito de anonimizar em vez de excluir completamente as contas, o que manterá os comentários públicos como registro permanente.

Se sua empresa precisar cumprir o GDPR em seu sistema Discourse, você realmente precisará buscar aconselhamento jurídico especializado. Ter uma declaração de Termos de Serviço sobre exclusão é uma parte muito pequena da conformidade.

Você também precisaria identificar seus assuntos de dados, quais informações pessoais você detém sobre eles, de onde os dados vêm e para onde vão, como você processa/usa os dados pessoais que detém e ter procedimentos formais para descrever como você cumpre todos os aspectos aplicáveis dos regulamentos.

Provavelmente há mais, mas meu cérebro bloqueou muitos dos detalhes dolorosos nos mais de 4 anos desde que estive envolvido com isso.

Procurarei alguns advogados para ajudar com isso, obrigado.

Quando configurei o novo fórum com hospedagem do Discourse, ele veio com a documentação geral dos termos de serviço legais, que parecia um bom ponto de partida, então tenho lido/editado parte disso.

Não tenho orçamento para contratar advogados agora, mas seria definitivamente uma boa ideia ter documentos legais oficiais revisados por pessoas com diploma de direito. Posso postar na categoria de marketplace aqui quando tiver algum orçamento para isso e para o desenvolvimento do site. Este tópico pode ser fechado, a pergunta original foi respondida há algum tempo.

Este é o que acredito ser um erro no resumo da IA, minha interpretação do que Jagster afirmou é que o GDPR realmente exige que as contas de usuário sejam totalmente excluídas se assim for solicitado pelo titular da conta, no entanto, isso está em questão de não ser necessariamente inteiramente verdadeiro.

Pode ser uma questão de interpretação, anonimizar uma conta de fórum pode ser considerado uma forma de exclusão de conta.

Acredito que existam algumas leis sobre a manutenção de alguns registros de contas, pois seria um risco permitir a autoexclusão completa de contas se elas estiverem sendo usadas para qualquer tipo de propósito nefasto.

De qualquer forma, boa conversa, obrigado a todos.

Isso pode ser melhor em um tópico diferente, mas está um tanto relacionado ao GDPR:

Para uma situação em que um indivíduo está perturbando uma comunidade de fórum e foi banido, mas deseja criar uma nova conta.

É fácil para eles configurar um novo endereço de e-mail e obter um novo endereço IP, seja usando um computador de biblioteca, um novo provedor de internet ou mascarando seu endereço com uma rede VPN/Tor.

Com o Discourse, não haveria como saber que a nova conta de usuário foi criada por um indivíduo previamente banido, a menos que seja óbvio na forma como falam.

Se um fórum tiver um paywall, algumas informações pessoais são coletadas com o pagamento por cartão ou outros meios, geralmente o nome legal completo de um indivíduo. Isso poderia ser exigido apenas pela política do fórum, mesmo sem um paywall.

Então, se um administrador tiver evidências de que essa é a mesma pessoa tentando criar uma nova conta falsa depois de ter sido notificada de que está permanentemente banida de um domínio, acusações poderão ser apresentadas em tribunal por isso, seja por assédio ou por intenção de sabotar sistemas de comunicação.

O GDPR pode ser relevante em qual documentação pode ser mantida para contas, foi mencionado que até mesmo pedir uma identidade emitida pelo governo pode ser ilegal, quanto mais manter registros disso não apenas para verificar a identidade de alguém.

O processador de pagamento com cartão Stripe me pediu não apenas um ID, mas também para tirar uma selfie segurando meu ID e uma nota manuscrita com a data do dia, o que foi difícil. Isso só aconteceu quando eu não tinha acesso ao e-mail da minha conta, que é a única maneira de alterar o e-mail de login sem senha com a política de segurança deles.

De qualquer forma, a pergunta para advogados que posso fazer é sobre como escrever notificações legais formais, essas são importantes.

Acho que se você exigir que um documento de identidade governamental seja fornecido para criar uma conta, você terá um número muito pequeno de usuários. Sei que isso me impediria completamente de tentar ingressar em um fórum - não vou fornecer minha identidade a uma pessoa/grupo de pessoas desconhecidas. Uma pergunta mais importante pode ser “Como você provará quem é para mim, para que eu possa ter certeza de que lidará com minha identidade com segurança se eu pensar em entregá-la a você?”

Se você me convencesse a fornecer minha identidade, tenho certeza de que você estaria em território GDPR.

Usuários disruptivos são, infelizmente, uma realidade. Tive sorte de ter que banir apenas um punhado de usuários em mais de 20 anos administrando um fórum, mas não há um “padrão” para um usuário disruptivo. Há três que me lembro…

1. Um se baniu e aceitou o banimento ficando longe. Anos depois, ele perguntou se seria permitido retornar se prometesse se comportar. Ele foi autorizado a retornar, mas eventualmente se desentendeu com alguém que começou a ficar disruptivo. Ele excluiu sua própria conta sem ser banido ou mesmo solicitado a sair.

2. Outro se baniu, mas voltou com outros detalhes. Descobrimos isso anos depois que ele retornou e ele tinha sido um cidadão modelo do fórum após retornar.

3. O terceiro que consigo pensar não ficou feliz em ser banido (a maioria dos outros usuários ficou!) e retornou com outros detalhes em várias ocasiões. O problema de retornar para ser disruptivo é que você logo se expõe, o que o torna um alvo fácil para outro banimento. Ele ficou entediado depois de retornar cerca de 5 ou 6 vezes e nunca mais foi visto. A questão sobre esse tipo de usuário é que não importa se é a mesma pessoa… se alguém quebrar suas políticas de uma forma que exija um banimento, você o banece, quer seja a mesma pessoa ou não.

Certo, não tenho planos de fazer isso, especialmente porque é ilegal por algum motivo. Desculpe, essa foi uma última postagem confusa que escrevi falando sobre duas coisas diferentes.

Esta é uma ótima história sobre o tio-avô do seu amigo com o burro! É irritante ter que mostrar identidade só para comprar uma Guinness.

Provavelmente não preciso me preocupar muito com o GDPR por enquanto, embora meu fórum esteja aberto a países da UE, não tenho motivo para pedir nomes legais ou qualquer outra coisa, a menos que alguém perca o acesso à conta e solicite que eu altere o e-mail da conta do lado do administrador.

Os governos são muito diferentes aqui na costa oeste, os novos nem foram estabelecidos há 200 anos!

As tribos nativas têm governos e sistemas judiciais independentes, espero trabalhar com eles em projetos de habitação, há muitos refugiados que precisam de abrigo.

As regulamentações são completamente diferentes para empresas em oposição a pessoas, não posso mais ser anônimo.

O Stripe Terminal ainda está em beta em muitos países da UE:

terminal754×470 34.8 KB