<div>Hi,<br></div><div><br></div><div>Thanks to Stephan's pointer to the eugdpr.org website.  I've spent some time with this and have some comments below.<br></div><div><br></div><div>First, the GDPR will apply if we let EU residents go to the Squeak websites.  Given the popularity of Squeak in the EU that means GDPR regardless of where we physically host it.<br></div><div><br></div><div>Second I think we're going to run into a computer geek view of the world not agreeing with the EU view of the world.  Ie, you sent an email to a public mailing list with your full contact info that is archived forever.  What words in that last sentence did you not understand? <br></div><div><br></div><div>The things I think we have to comply with are:<br></div><div><br></div><div>1.  Consent.  The users have to know what they are giving us.  Cookie notifications on the main webpage and some sort of page that describes what we log for access like IP addresses, etc.  We also have to make clear how long info is stored.  So if the webserver keeps that last 30 days of IP address logs than that has to be clear.  We also have an age problem.  We will need parental consent if there are users under 16.  For the wiki, mailing lists etc we need to be clear what additional info is gathered.  This is probably the easy one.<br></div><div><br></div><div>2.  Breach notification, Right to Access, and Right to be forgotten are going to be harder.<br></div><div><br></div><div>The places where we collect more personal info than just IP address are for the Wiki, the Mailing lists, and the bug tracker.  In all three cases we would need to have enough info that:<br></div><div><br></div><div>1.  For breach notification we can actually notify folks.  We would need to collect email addresses in all cases for that to work.<br></div><div>2.  For right to access we would have to be able to show ALL the info we've kept on a particular user.  All posts to the email lists, all swiki entries, etc.<br></div><div>3.  And for right to be forgotten we would have to allow users to delete ALL the data we've captured.  All swiki entries, all archived email, etc.  This is probably the hardest.<br></div><div><br></div><div>For number 2, the right to access, would all be easiest if the wiki, email and bug trackers had a unified account, but, it probably would be ok if one had three accounts.  None the less you have to be able to see all your entries in all three.<br></div><div><br></div><div>Number 3 is the trickiest especially with the mailing list archive.  People's postings and signatures get copied into other threads and other's emails.   It might be hard to keep the archives in that case.  Getting this one right starts sounding like an AI research problem.<br></div><div><br></div><div>Someone asked about the DPO (Data Protection Officer).  The way I read <a href="http://www.eugdpr.org/gdpr-faqs.html">http://www.eugdpr.org/gdpr-faqs.html</a> is no, we do not need this.</div><div>There are other issues but I think these are the most important.<br></div><div><br></div><div>NB:  I am not an expert, though I do spend some time professionally on this, and, will be spending more time in the future.  This advice is worth every centime you've paid for it as well.<br></div><div><br></div><div>cheers<br></div><div><br></div><div>bruce</div><div><br></div><div><br></div><div><br></div><div><br></div><div><i>13 October 2017 20:18 Peter Crowther <<a href="mailto:peter@ozzard.org">peter@ozzard.org</a>> wrote:</i><br></div><blockquote class="infmailquote"><div dir="ltr"><div><div>I'd also favour EU, but then *somebody* will have to ensure that we comply with GDPR for any personal information that we store - and I don't know who that would be.  Hence my question.<br></div><div><br></div><div>I wouldn't recommend UK at the moment due to the regulatory turbulence of Brexit.<br></div></div><div>- Peter<br></div></div><div class="gmail_extra"><div><br></div><div class="gmail_quote"><div>On 13 October 2017 at 15:37, Tobias Pape <span dir="ltr"><<a href="mailto:Das.Linux@gmx.de" target="_blank">Das.Linux@gmx.de</a>></span> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><span class=""><br>> On 06.10.2017, at 10:35, Peter Crowther <<a href="mailto:Peter@ozzard.org">Peter@ozzard.org</a>> wrote:<br> ><br> > What personal information is stored, if any?<br> ><br> <br> </span>What?</div><div><span class=""><br>> What regulatory environment do we wish to be in?<br> <br> </span>Dunno. I'm just trying to keep things running.</div><div><br></div><div>I'd favour EU, but that's actually none of my business…<br></div><div><br></div><div class="HOEnZb"><div class="h5"><div><br></div><div>><br></div><div>> Cheers,<br></div><div>><br></div><div>> - Peter<br></div><div>><br></div><div>> On 4 October 2017 at 19:29, tim Rowledge <<a href="mailto:tim@rowledge.org">tim@rowledge.org</a>> wrote:<br></div><div>> We have been informed that our sponsored servers are virtually certain to go away at the end of the year. Rackspace has been providing space via the Software Conservancy Foundation but are withdrawing and we cannot afford their normal fees.<br></div><div>><br></div><div>> So, tell us where we can get space and support to run <a href="http://squeak.org" rel="noreferrer" target="_blank">squeak.org</a>, the swiki, etc.<br></div><div>><br></div><div>> tim<br></div><div>> --<br></div><div>> tim Rowledge; <a href="mailto:tim@rowledge.org">tim@rowledge.org</a>; <a href="http://www.rowledge.org/tim" rel="noreferrer" target="_blank">http://www.rowledge.org/tim</a><br></div><div>> All computers run at the same speed...with the power off.<br></div><div>><br></div><div>><br></div><div>><br></div><div>><br></div><div>><br></div><div><br></div><div><br></div></div></div></blockquote></div><div><br></div></div><div><><br></div></blockquote><div><br></div><div id="editorUserSignature" style="display:none;"><br></div>