Conversation

Notices

1. Internet. Czas działać! 🇺🇦 (icd@mastodon.internet-czas-dzialac.pl)'s status on Wednesday, 11-Oct-2023 17:28:10 JST Internet. Czas działać! 🇺🇦

   Czego partie polityczne nauczyły się po skandalu z Cambridge Analytica? Najwyraźniej niewiele. Poniżej nasz raport analizy prywatności stron internetowych partii kandydujących w wyborach 2023.

   #wybory #prywatność #rodo

   https://www.internet-czas-dzialac.pl/wybory-2023-jak-partie-polityczne-szanuja-twoja-prywatnosc-na-swoich-stronach-internetowych/

   • Internet. Czas działać! 🇺🇦 (icd@mastodon.internet-czas-dzialac.pl)'s status on Wednesday, 11-Oct-2023 19:00:33 JST Internet. Czas działać! 🇺🇦

     in reply to

     • Szymon Nowicki

     @sznowicki ale lepiej wgl nie udostepniac im adresu IP uzytkownika, niz ufać im, że go sobie nie zapisują. Tak da rade.

   • Szymon Nowicki (sznowicki@pol.social)'s status on Wednesday, 11-Oct-2023 19:00:34 JST Szymon Nowicki

     in reply to

     @icd Plausible stosuje hashing gdzie seedem jest IP i user agent w taki sposób żeby sami nie mogli tego w żaden sposób przetwarzać.

     Te dwie dane są tam faktycznie wysyłane ale nie są w żaden sposób zapisywane przez Plausible.

   • Internet. Czas działać! 🇺🇦 (icd@mastodon.internet-czas-dzialac.pl)'s status on Wednesday, 11-Oct-2023 19:01:50 JST Internet. Czas działać! 🇺🇦

     in reply to

     • imnotacasper
     • Szymon Nowicki

     @sznowicki @imnotacasper badamy to, co widać. Akoro adres IP nie jest potezebny Plausiblowi, to lepiej korzystac z maskującego adres IP proxy

   • Szymon Nowicki (sznowicki@pol.social)'s status on Wednesday, 11-Oct-2023 19:01:51 JST Szymon Nowicki

     in reply to

     • imnotacasper

     @imnotacasper @icd czyli mniej niż same logi w większości hostingów typu CloudFlare Pages.

     Ale jest ajax call więc dla purystów musi być zgoda użytkownika.

     Natomiast jak dane latają po AWS z jednego node'a do drugiego to nie musi być banera bo tego nie widać.

   • imnotacasper (imnotacasper@pol.social)'s status on Wednesday, 11-Oct-2023 19:01:53 JST imnotacasper

     in reply to

     • Szymon Nowicki

     @sznowicki @icd sól również zmienia się z dnia na dzień, więc nie da się zidentyfikować tego samego użytkownika dzień po dniu

   • Internet. Czas działać! 🇺🇦 (icd@mastodon.internet-czas-dzialac.pl)'s status on Wednesday, 11-Oct-2023 19:37:25 JST Internet. Czas działać! 🇺🇦

     in reply to

     • imnotacasper
     • Szymon Nowicki

     @sznowicki @imnotacasper

     Z proxy HTTP. My tak robimy z obrazkami na naszym blogu. Gdy Ghost wypluwa obrazek z src do zewnętrznej domeny, my go zawijamy w adres, który prowadzi do naszej domeny. Endpoint odczytuje z query params pierwotny adres URL obrazka, pobiera ten obrazek bez ujawniania domenie trzeciej adresu IP użytkownika, i zwraca użytkownikowi ten obrazek.

     Tak samo można proxować zapytania do Plausible Analytics

   • Szymon Nowicki (sznowicki@pol.social)'s status on Wednesday, 11-Oct-2023 19:37:26 JST Szymon Nowicki

     in reply to

     • imnotacasper
     • Szymon Nowicki

     @icd @sznowicki @imnotacasper jakiego proxy?

   • Internet. Czas działać! 🇺🇦 (icd@mastodon.internet-czas-dzialac.pl)'s status on Wednesday, 11-Oct-2023 20:08:21 JST Internet. Czas działać! 🇺🇦

     in reply to

     • imnotacasper
     • Szymon Nowicki

     @sznowicki @imnotacasper

     Mieliśmy długie dyskusje dotyczące tego, jak zakwalifikować partię razem. Ostatecznie postanowiliśmy nie robić wyjątku i traktować plausible analytics podobnie jak Google Fonts: jest opcjonalne do działania strony, a zatem powinno uruchamiać się dopiero po otrzymaniu zgody (por. https://www.internet-czas-dzialac.pl/google-fonts-i-rodo/).

   • Szymon Nowicki (sznowicki@pol.social)'s status on Wednesday, 11-Oct-2023 20:08:23 JST Szymon Nowicki

     in reply to

     • imnotacasper

     @icd @imnotacasper no ale to trochę absurd bo:

     1. To by oznaczało że de facto chowa się samo Plausible, przez co userzy nie będą mogli już sobie tego blokować np. AdBlockiem
     2. Plausible wyraźnie zaznacza że używa IP tylko do tworzenia anonimizującego hasha.

     Czyli mamy jedną wadę i żadnej zalety. Chyba że założyć że Plausible robi coś po cichu innego niż ma w dokumentacji ale tak to wracamy do serwera w szafie i 0 SaaS bo ktoś coś może robić niezgodnego z prawem.

     Rozumiem zarzut ale IMO to jest nit picking bo wychodzi że razem ma "niepoprawny lub brak ekranu zgody" co równa tą witrynę z całą resztą gdzie co po niektórzy plują danymi userów na lewo i prawo bez pytania o zgodę.

     Razem dba o to żeby dane na tej stronie nie leciały do remarketingu i fingerprintingu gigantów (by design, to nie przypadek) a na koniec w takim raporcie wychodzi że robi to co inni i w ogóle najlepiej by było jakby zrobili mniej transparentności i sobie pochowali analizy via proxy żeby ci co nie zgadzają się na absolutnie żadne wysyłanie i mają do tego narzędzia nie mogli tego zrobić w łatwy sposób.

   • Internet. Czas działać! 🇺🇦 (icd@mastodon.internet-czas-dzialac.pl)'s status on Wednesday, 11-Oct-2023 20:09:21 JST Internet. Czas działać! 🇺🇦

     in reply to

     • imnotacasper
     • Szymon Nowicki

     @sznowicki @imnotacasper

     Owszem, Plausible ma lepszą reputację, niż Google. Nie zmienia to faktu, że zasady prawne są takie, że nie wysyłamy więcej danych, niż jest konieczne do realizacji danego celu.

   • Internet. Czas działać! 🇺🇦 (icd@mastodon.internet-czas-dzialac.pl)'s status on Wednesday, 11-Oct-2023 20:09:41 JST Internet. Czas działać! 🇺🇦

     in reply to

     • imnotacasper
     • Szymon Nowicki

     @sznowicki @imnotacasper

     W tym wypadku nadmiarowe względem celu jest udostępnianie podmiotowi trzeciemu adresu IP, stąd nasza decyzja o takiej klasyfikacji.

   • Agnieszka Rapcewicz (agnieszka@mastodon.internet-czas-dzialac.pl)'s status on Wednesday, 11-Oct-2023 20:14:31 JST Agnieszka Rapcewicz

     in reply to

     • imnotacasper
     • Szymon Nowicki

     @sznowicki @icd @imnotacasper czym innym jest przetwarzanie danych, gdzie można powoływać się na prawnie uzasadniony interes, czym innym wymogi Prawa telekomunikacyjnego i zgoda na zapisywanie informacji lub uzyskiwanie dostępu do informacji już zapisanych w urządzeniu końcowym użytkownika.

   • Szymon Nowicki (sznowicki@pol.social)'s status on Wednesday, 11-Oct-2023 20:14:32 JST Szymon Nowicki

     in reply to

     • imnotacasper

     @icd @imnotacasper legitimate interest:

     "“[where] processing is necessary for the purpose of the legitimate interests pursued by the controller or by a third party except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data.”"

   • Agnieszka Rapcewicz (agnieszka@mastodon.internet-czas-dzialac.pl)'s status on Wednesday, 11-Oct-2023 20:15:31 JST Agnieszka Rapcewicz

     in reply to

     • Szymon Nowicki

     @sznowicki W Polsce obowiązuje Prawo telekomunikacyjne, które również wymaga zgody podobnie jak TTDSG @icd

   • Szymon Nowicki (sznowicki@pol.social)'s status on Wednesday, 11-Oct-2023 20:15:32 JST Szymon Nowicki

     in reply to

     @icd lepiej co nie znaczy że tak trzeba i to powoduje wymóg zgody użytkownika.

     Wg wielu prawników nie powoduje (w świetle GDPR/RODO, co innego np. niemieckie prawo TTSG które wymaga zgody na cokolwiek co jest wysyłane z urządzenia użytkownika jeśli nie jest wymagane do świadczenia usług, ale TTSG w Polsce nie obowiązuje).