GDPR和CVE

来:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:GDPR和CVE
从:Kurt Seifried <kurt@seifried.org>
日期-0700年:星期四,2018年3月8日14:20:08
Authentication-results:防晒系数=没有(发送者的IP 192.52.194.235) smtp.mailfrom = LISTS.MITRE.ORG;imc.mitre.org;dkim = none(消息没有签署)header.d =没有;imc.mitre.org;dmarc =没有行动=没有header.from = seifried.org;
交货日期:2018年3月8日16:29:27星期四
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:5952 c28dcc454f0789fb433d26f936ef
Spamdiagnosticoutput:1:2

所以我已经有人要求他们PII(电子邮件地址)从CVE使用条款中删除我对DWF接受数据,幸运的是没有与地址相关联的CVE(我认为这是一个无效的请求)。

但这也确实提出了一个问题,根据GDPR,即使积极的肯定(例如他们填写表单,然后回复电子邮件),他们仍然会在自己的权利(我理解GDPR)然后请求以后,我们从系统中删除PII他们。

哪一个老实说,我们不能做,因为git,我们可以“删除”,但它仍然存在在以前的分支/等。和短的git在时间信息存在之前,把所有其他的变化等等……然后在每个叉疯狂……

简而言之,我认为我们需要确保我们有一些法律/隐私语言非常清楚,一旦提交他们的数据和进入git(例如CVE请求),我们不能完全删除它,我不确定,但我们可以放弃,我们将删除它(我不知道足够的内部GDPR /如何解释)。

- - -

Kurt Seifried
kurt@seifried.org