为什么GDPR甚至在生效之前就被打破了

StatusPage具有允许您订阅状态更改的功能。 这涉及到您输入电子邮件地址,在我的情况下,该电子邮件地址包含我的名字和姓氏。 因此,可以将其视为PII,并且我认为GDPR适用。

在整个过程中,StatusPage不会征求我的同意。 根据Atlassian隐私政策,他们不必这样做。 他们是数据处理者,因此将同意的责任转移给了StatusPage向其提供服务的公司。 如果我要订阅MIT的状态页面,这将使MIT负责获得我的同意。

不幸的是,对于MIT,StatusPage未提供任何手段在其产品中获得此同意。 您可以说StatusPage阻止MIT获得我的许可。 同样,麻省理工学院也无法列出其隐私政策。 因此,我不知道数据会发生什么。

这是谁的责任? StatusPage可以使用同意漏洞来消除任何责任,但是MIT可以责怪StatusPage不允许他们遵从并要求其承担责任。

如何解决?

老实说,在欧盟内部的数据处理机构对这些产生同意漏洞的公司处以罚款之前,我相信它不会得到解决。

我期待听到其他人关于他们是否认识到漏洞以及如何处理漏洞的消息。 此外,非常欢迎任何可能的修复建议!

在below以下讨论

PS:对于是否可以使用合同必要性来处理除签订合同的人的PII以外的任何其他PII,也存在不确定性。 来自该数据控制器的客户/员工的数据可能不受此法律依据的约束。 有关更多信息,请参阅 荷兰数据处理局的 这篇 文章

PSPS:我既不是律师,也不是法律顾问。 不要相信我。 如果您按照我的建议行事,而没有寻求专业认证的法律顾问,我将不承担任何责任。