Разрешено ли иметь файлы журнала доступа к серверу в соответствии с новым GDPR? Поскольку сбор IP-адресов не разрешен, я могу представить, что системные операторы нарушают закон в страны, в которых действует GDPR.
Редактировать (спасибо HBruijn): «Из-за того, что сбор IP-адресов в соответствии с GDPR кажется недопустимым»
Редактировать: файлы журнала сервера должны поддерживать целостность сервера.
Общие правила защиты данных (GDPR) предназначены для защиты конфиденциальности и передачи контроля над личными данными гражданам. Это не список вещей, которые нельзя делать, хотя вокруг него уже сложилась целая мифология. В настоящее время работая разносчиком мифов GDPR (к сожалению, это не официальное название должности), я уже видел много недоразумений, вводящих в заблуждение и честных сомнений.
Избранные цитаты из Art. 5 :
Персональные данные должны:
б) собираться для определенных, явных и законных целей, а не далее обрабатываются способом, несовместимым с теми цели; - - («ограничение цели»);
f) обрабатываются способом, обеспечивающим надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер ( «целостность и конфиденциальность»).
Важнее того, что собирается, то, что он собирается в законных целях и используется только для них. Одной из причин для сбора IP-адресов в файлах журнала может быть соблюдение целостности и конфиденциальности : если цель файлов журнала состоит в обнаружении и предотвращении незаконного использования личных данных, то это может быть для обеспечения конфиденциальность, а не за ее нарушение.
Просто сосредоточьтесь на документировании того, как и почему эти данные собираются, обрабатываются и уничтожаются после того, как они больше не нужны. Если вы не учитываете свои цели, подпадающие под ст. 6 законный «необходимый для выполнения юридического обязательства» или «необходимый для защиты жизненно важных интересов субъекта данных или другого физического лица» , ] данное согласие всегда является наиболее безопасным и понятным случаем.
Из-за [GDPR] сбор IP-адресов не разрешен
Это упрощение явно неверно.
GDPR обеспечивает правовую основу для сбора, хранения и обработки персональных данных. IP-адреса считаются цифровыми персональными данными в соответствии с этим законодательством.
Пункт 1 статьи 6 предусматривает 6 условий, которые делают законной обработку персональных данных (включая IP-адреса), и уже достаточно, если только одно из них применимо для ваших целей. .
Так что вполне может быть, что IP-адреса в ваших файлах журнала не являются нарушением.
(Например, вы можете получить согласие своих пользователей на сбор их IP-адресов для определенной цели.)
Поскольку IP-адреса считаются личными данными,с ними нужно обращаться как с таковыми, и необходимо принять соответствующие меры для обеспечения их безопасности.