Skocz do zawartości
Szukaj na Pecetowiczu
  • Utwórz konto

Google Fonts narusza RODO


Rekomendowane odpowiedzi

Wprowadzenie

Nie od dziś wiadomo, że Google Fonts narusza RODO. Jednak jest już coraz więcej przypadków (m. in. w Niemczech, Austrii), że właściciele stron internetowych są skazywani na karę grzywny za przekazywanie danych osobowych poza obszar Europejskiego Obszaru Gospodarczego (EOG).

O co dokładnie chodzi?

Jeśli na swojej stronie internetowej korzystasz z Google Fonts, to czcionki są pobierane bezpośrednio z serwerów Google. Dodatkowo Google wysyła do siebie adresy IP osób, które odwiedzają stronę internetową. Adresy IP są uznawane jako dane osobowe. Dane osobowe są wysyłane poza obszar EOG.

Jak uniknąć odpowiedzialności prawnej?

Wszystkie czcionki należy przekierować z serwerów Google na swój serwer lokalny. Przez co dane osobowe pozostaną w obszarze EOG.

Co dalej?

Sprawa nie jest jeszcze tak nagłośniona w krajach Unii Europejskiej, a Google w tej kwestii nic nie zmienił i dane osobowe są nadal przekazywane poza obszar EOG. Zaleca się natychmiastowe przekierowanie czcionek na serwer lokalny, przez co unikniemy odpowiedzialności prawnej.

Odnośnik do komentarza
Udostępnij na innych stronach

Podejrzewam że kilkadziesiąt jak nie kilkaset milionów stron internetowych serwuje czcionkę prosto z serwera Google Fonts 🙂 

Odnośnik do komentarza
Udostępnij na innych stronach

To na pewno. Dlatego lepiej zawczasu przekierować linki na serwer lokalny niż potem trafić na kogoś i mieć przez tak naprawdę pierdołę problemy z prawem.

Odnośnik do komentarza
Udostępnij na innych stronach

@Tomikdorzuciłem mi właśnie zmianę w CSS mojego skryptu 😀

Odnośnik do komentarza
Udostępnij na innych stronach

Dochodzi również kwestia szybkości wczytywania strony, bo teoretycznie wczytywanie z serwera Google jest lepsze.

Ten przykład można oprzeć również o usługę CDN bo co w przypadku jak serwujemy CSS, JS czy jakiekolwiek inne pliki z zewnętrznego serwera który też zbiera dane w postaci IP? 

Odnośnik do komentarza
Udostępnij na innych stronach

@SeNioR Jeśli serwer jest ulokowany w EOG, to wtedy nie ma problemu.

Odnośnik do komentarza
Udostępnij na innych stronach

  • 2 miesiące temu...

Więcej informacji można przeczytać na stronie Heskiego Rzecznika ds. Ochrony Danych oraz Wolności Informacji.

Tak jak pisałem wcześniej. Głównie dotyczy to Niemiec oraz Austrii, ale powołując się na wyroki prawomocne, problemów może nabawić się również niejeden Polak, który serwuje na swojej stronie czcionki prosto z serwerów Google. Chyba, że zostaną spełnione odpowiednie wymagania prawne RODO, to wtedy nie będzie problemu, ale najprościej jest przekierować czcionki na serwer lokalny i spokój.

Odnośnik do komentarza
Udostępnij na innych stronach

@Tomik To teraz pytanie, jeśli korzystam z jakichś bibliotek zaciągających się z serwerów zagranicznych to tutaj tak samo to działa? A co w przypadku CDNów? Da się w jakiś sposób lokalizować skąd pobierane są zasoby?

Odnośnik do komentarza
Udostępnij na innych stronach

@Mativve W zasadzie bardzo krótko napisałem to wcześniej, tzn.:

W dniu 26.09.2022 o 18:48, Tomik napisał:

Jeśli serwer jest ulokowany w EOG, to wtedy nie ma problemu.

Oczywiście będzie tutaj jakieś ALE. Tym razem rozwinę swoją wypowiedź odnośnie sieci CDN i zacznę od jej definicji.

Czym jest sieć CDN?

Sieć CDN skupia serwery na całym świecie, a głównym zadaniem tej sieci jest przede wszystkim bezpieczeństwo oraz niezawodność w bardzo szybkim dostarczaniu informacji Użytkownikom, bez względu na to, w którym miejscu na Ziemi się znajdują.

RODO a sieć CDN. Co powinienem wiedzieć?

Pliki, którą są zaciągane/pobierane z serwerów CDN przesyłają również adresy IP Użytkownika. Jak pisałem wcześniej – adres IP uznawany jest za dane osobowe, dlatego należy przestrzegać Ogólnego rozporządzenia o ochronie danych osobowych (RODO).

Tutaj pojawię się właśnie to ALE.

Jeśli operator sieci CDN, który przetwarza dane osobowe wyłącznie na terenie EOG lub na terenie Szwajcarii (Szwajcaria posiada odpowiedni certyfikat, który stwierdza, że został zapewniony odpowiedni stopień ochrony danych osobowych), wtedy takowe przetwarzanie danych osobowych odbywa się zgodnie z Ustawą RODO. Inaczej ma się sprawa, jeśli te dane są przesyłane i przetwarzane poza obszarem EOG, wtedy trzeba spełnić odpowiednie wymagania prawne RODO.

Zgoda na przetwarzanie danych

W tym przypadku pojawia się kolejny problem. W przypadku sieci CDN uzyskanie zgody nie jest możliwe, ponieważ przeglądarka już tego wymaga, a sama informacja o zgodzie może zostać wyświetlona później. Mowa tutaj właśnie o czcionkach czy różnych bibliotekach skryptów.

Sieć CDN – co jest niezgodne z prawem? Przykład przedsiębiorstwa.

  • Brak podstawy prawnej do przekazywania i przetwarzania danych osobowych przez osoby trzecie. Wynika to z art. 28 RODO – Podmiot przetwarzający.
  • Niezabezpieczona sieć CDN – korzystanie z sieci CDN jest zabronione.

Przykładem takiego przedsiębiorstwa jest Google, a konkretnie Google Fonts.

@Mativve Odpowiadając na Twoje pytanie. TAK – działa to na tej samej zasadzie, dlatego jeśli nie masz pewności, z jakiego serwera (lokalizacji) są zaciągane skrypty, warto zapisać je na serwerze lokalnym. Co do lokalizacji pobieranych zasobów. Możesz sprawdzić siedzibę Operatora CDN i jeśli znajduję się ona poza EOG, to więcej niż pewne, że przetwarzanie danych osobowych będzie odbywać się niezgodnie z prawem.

Odnośnik do komentarza
Udostępnij na innych stronach

@Tomik Dzięki za obszerną i konkretną odpowiedź. Czyli, krótko mówiąc grubo ponad połowa obecnych stron nie spełnia tych wymogów bo jak większość korzysta z bibliotek czy CDNów bo po to zostały one stworzone a tymczasem RODO "zabija" niejako ten zamysł 😕

Odnośnik do komentarza
Udostępnij na innych stronach

@Mativve Niestety... Oczywiście wspominam cały czas o tym, że ten problem najbardziej przewija się w Niemczech i Austrii, ale moim zdaniem kwestią czasu jest to, że problem stanie się powszechny w Europie i zwykli użytkownicy będą domagać się odszkodowania za przesyłanie ich danych osobowych poza teren EOG bez ich wyraźnej zgody.

Prawda jest też taka, że administrator strony internetowej, czy też użytkownik, który tą stronę przegląda nie zdają sobie sprawy, w ogóle nie wiedzą, że taki problem prawny występuje. Wynika to z tego, że sytuacja nie jest odpowiednio nagłośniona.

Widząc taki temat tutaj na Pecetowiczu, najlepiej zastosować takowe zmiany najszybciej, wręcz natychmiast, bo nie wiemy co będzie w przyszłości, a po co mieć problemy z prawem i płacić wysokie grzywny i odszkodowania.

A jak to mówią: Nieznajomość prawa szkodzi.

Odnośnik do komentarza
Udostępnij na innych stronach

Kontynuuj dyskusję

Dołącz do Pecetowicza, aby kontynuować dyskusję w tym wątku.

  • Dodaj nową pozycję...
  • Dodaj nową pozycję...