我的业余爱好是开发一个小型网络应用程序,我希望避免使用任何会触发GDPR要求的功能。因此,该网络应用程序既不收集也不处理个人数据,不设置cookie(或以其他方式跟踪个人用户(,也不集成任何做这些事情的服务。
我的问题是,如果我在Heroku上部署这个应用程序,Heroku是否会在幕后做任何事情(例如,收集IP地址(,从而对我的网络应用程序施加GDPR要求?
另一种说法是,是否可以使用Heroku并使GDPR不适用于您的网站?(不阻止来自欧盟国家的交通(
首先要检查的是托管位置。当你创建一个应用程序时,Heroku允许你选择它是在美国还是在欧洲托管(尽管没有比这更具体的了——你只需要希望它不包括英国!(。
其次,因为Heroku是一个托管应用程序服务,这意味着它们可以获得比典型VM更多的访问权限。然后你需要阅读他们的隐私政策,这就带来了一个问题:Heroku归Salesforce.com所有,Salesforce.com对这份文件中最近的法庭判决采取了好战的脸书式的否认态度。他们在信中说,欧洲法院没有使标准合同条款无效,这是真的,但这并不是故事的结束。欧洲法院表示,虽然SCC作为法律文书是有效的,但它们只能用于管理维护欧盟数据保护和隐私标准的司法管辖区之间的转移(就美国而言,随着隐私盾的崩溃,这一标准已经被否决(,这被认为是相关服务机构的责任来证实。那么,你想知道的是,如果Salesforce使用的SCC被认为是有效的,那么对美国法律立场的详细分析和对美国安全服务的审计在哪里?
这当然是一个修辞问题:Salesforce没有进行过这样的审计,也没有进行足够详细的审计,这当然意味着SCC不是Salesforce运行的任何服务在欧盟和美国之间转移的有效机制。
也就是说,他们的隐私政策相当大,我建议你阅读一下,尽管他们仍然提到了现在已经失效的隐私盾,并做出了一些令我担忧的断言。
这不是一个更深入的地方,所以我建议你阅读他们的政策,也阅读GDPR(这不是官方来源,但我发现它更有用(,或者如果你想要更精确的分析,请找律师。GDPR的主要关注点是广泛的原则,而不是实施细节,所以如果某件事看起来不可靠、令人毛骨悚然或过火,那很可能就是。
如果这引发了比答案更多的问题,我深表歉意!