使用 Heroku 是否会对我的应用程序施加 GDPR 要求?
Does using Heroku impose GDPR requirements on my app?
我的爱好是开发一个小型网络应用程序,我想避免任何会触发 GDPR 要求的功能。因此,网络应用程序既不收集也不处理个人数据,不设置 cookie(或以其他方式跟踪个人用户),也不集成执行这些操作的任何服务。
我的问题是,如果我在 Heroku 上部署此应用程序,Heroku 是否会在幕后执行任何操作(例如收集 IP 地址)然后对我的网络应用程序施加 GDPR 要求?
另一种表达方式是,是否可以使用 Heroku 并且让 GDPR 不适用于您的网站? (不阻止来自欧盟国家的流量)
首先要检查的是托管位置。当您创建一个应用程序时,Heroku 允许您 select 无论它是托管在美国还是欧洲(尽管没有比这更具体 - 你只希望它不包括英国!)。
接下来,由于 Heroku 是一项托管应用服务,这意味着它们可以获得比典型虚拟机更多的访问权限。然后你需要阅读 their privacy policy, which presents a problem: Heroku is owned by Salesforce.com, who have taken a belligerent Facebook-style head-in-sand denial approach to recent court verdicts in this doc。他们在那里说欧洲法院并没有使标准合同条款 (SCC) 无效,这是事实,但故事还没有结束。欧洲法院表示,虽然 SCC 作为法律文书是有效的,但它们只能用于管理支持欧盟数据保护和隐私标准的司法管辖区之间的传输(就美国而言,随着隐私政策的崩溃,这些标准已被否决) Shield),这被认为是相关服务的责任来证实。那么,你接下来想知道的是,如果他们使用的 SCC 被认为是有效的,那么 Salesforce 需要进行的美国法律地位的详细分析和美国安全服务的审计在哪里?
这当然是一个反问:Salesforce 没有进行过此类审计,他们也无法足够详细地进行审计,这当然意味着 SCC 不是一个有效的机制 欧盟和美国 用于 Salesforce 运行的任何服务。
就是说,他们的隐私政策非常详尽,我建议您阅读它,尽管他们仍然提到现已失效的隐私盾,并做出一些我会担心的断言。我建议查明他们对欧盟数据中心保存的数据做了什么,他们对日志记录做了什么,并更仔细地查看他们的第三方共享,因为这通常是最大的问题领域。
这不是进一步深入的地方,所以我建议您阅读他们的政策,以及 read the GDPR(这不是官方来源,但我发现它更有用) ,或者如果你想要更精确的分析找律师。 GDPR 的主要重点是广泛的原则,而不是实施细节,因此如果某些事情看起来不可靠、令人毛骨悚然或超出范围,那很可能就是这样。
如果提出的问题多于回答的问题,我深表歉意!
我的爱好是开发一个小型网络应用程序,我想避免任何会触发 GDPR 要求的功能。因此,网络应用程序既不收集也不处理个人数据,不设置 cookie(或以其他方式跟踪个人用户),也不集成执行这些操作的任何服务。
我的问题是,如果我在 Heroku 上部署此应用程序,Heroku 是否会在幕后执行任何操作(例如收集 IP 地址)然后对我的网络应用程序施加 GDPR 要求?
另一种表达方式是,是否可以使用 Heroku 并且让 GDPR 不适用于您的网站? (不阻止来自欧盟国家的流量)
首先要检查的是托管位置。当您创建一个应用程序时,Heroku 允许您 select 无论它是托管在美国还是欧洲(尽管没有比这更具体 - 你只希望它不包括英国!)。
接下来,由于 Heroku 是一项托管应用服务,这意味着它们可以获得比典型虚拟机更多的访问权限。然后你需要阅读 their privacy policy, which presents a problem: Heroku is owned by Salesforce.com, who have taken a belligerent Facebook-style head-in-sand denial approach to recent court verdicts in this doc。他们在那里说欧洲法院并没有使标准合同条款 (SCC) 无效,这是事实,但故事还没有结束。欧洲法院表示,虽然 SCC 作为法律文书是有效的,但它们只能用于管理支持欧盟数据保护和隐私标准的司法管辖区之间的传输(就美国而言,随着隐私政策的崩溃,这些标准已被否决) Shield),这被认为是相关服务的责任来证实。那么,你接下来想知道的是,如果他们使用的 SCC 被认为是有效的,那么 Salesforce 需要进行的美国法律地位的详细分析和美国安全服务的审计在哪里?
这当然是一个反问:Salesforce 没有进行过此类审计,他们也无法足够详细地进行审计,这当然意味着 SCC 不是一个有效的机制 欧盟和美国 用于 Salesforce 运行的任何服务。
就是说,他们的隐私政策非常详尽,我建议您阅读它,尽管他们仍然提到现已失效的隐私盾,并做出一些我会担心的断言。我建议查明他们对欧盟数据中心保存的数据做了什么,他们对日志记录做了什么,并更仔细地查看他们的第三方共享,因为这通常是最大的问题领域。
这不是进一步深入的地方,所以我建议您阅读他们的政策,以及 read the GDPR(这不是官方来源,但我发现它更有用) ,或者如果你想要更精确的分析找律师。 GDPR 的主要重点是广泛的原则,而不是实施细节,因此如果某些事情看起来不可靠、令人毛骨悚然或超出范围,那很可能就是这样。
如果提出的问题多于回答的问题,我深表歉意!