Nejsem právník, berte s rezervou: Osobní údaj je takový údaj, který umožňuje identifikovat osobu - buď přímo, nebo ve spojení s nějakým jiným údajem.
Příklad - Jarda Novák z Prahy 4, bytem ulice Něcovpražčtyřská 123 - jednoznačně identifikuje osobu.
Příklad - počítač s IP adresou 1.2.3.4 se přihlásil do SSH honeypotu účtem root a heslem toor a pokusil se nahrát tam nějaký perlovský skript - neidentifikuje žádnou osobu, není osobní údaj.
To mezi tím je - podle mě - šedá zóna. Když budu mít v access logu údaj, že z IP adresy 4.3.2.1 se stáhl tenhle seznam obrázků a stránka s URL /hrnec/ , tak to jako osobní údaj moc nevypadá. Až do doby, než se někam do databáze zaloguje, že Jarda Novák si z IP adresy 4.3.2.1 objednal hrnec, protože tahle informace spojuje Jardu Nováka s jeho IP adresou.
Údaj o IP v té databázi je nejspíš osobní, ale je osobní údaj i to, co je v logu? (Za předpokladu, že třeba log webserveru mám já, databázi provozuju taky já, ale patří klientovi.)
No a najednou možná máte logy plné osobních údajů. Což je samozřejmě problém, protože máte taky povinnost je vymazat v případě, že si někdo řekne, což je blbé, protože ty záznamy včetně IP adresy v nich máte proto, aby bylo podle čeho identifikovat, kdo kde dělá bordel.
Já bych to shrnul tak, že to, na čem bude nejvíc záležet, je, co si myslí úřad - nutnost mít logy včetně IP adres pro zpětnou analýzu je zajímat nebude, zaíjmat je bude jenom to, jestli je váš pohled na to, co je osobní údaj, shodný s jejich.
Pokud se ten pohled neshoduje, moc se neděje, pokud na vás nepřijdou.
Když na vás přijdou, nezbude vám nic jiného, než se odvolávat a soudit a doufat...
On 2.2.2018 07:47, zd nex wrote:
Také jsem za společné řešení, které by to upravovalo globálně.
Jinak například:
- vnější webserver - určitě logování ip adres
- aplikace s registrací (eshop/webová aplikace) - hodně informací o
přístupech+ip / obvykle zápis akcí a v db osobní údaje
- služba pro chat či posílání dat - asi se může považovat za aplikaci
- mail server - obvykle hodně přesné logování ip/uživatele i přímo v emailu
/ adresy uživatelů
- webhosting člena pro jiné firmy - zde se to začne více komplikovat
zanořením
- pak samo sebou ssh (kde se zapisují také přístupy ip) - doufám, že boti
nebudou mít v budoucnu také ochranu soukromí (ale pokud předpokládáme, že se přihlašují jen zaměstnanci, či spolupracovníci, tak tam snad nic takové nehraje roli)
Předpokládám, že členové logují někdy na úrovni firewallu či proxy a to je tedy další level. Takže obecně by se mělo asi říci, že všechny data ve VPS vyžadují ochranu soukromí.
Mimo můžete někdo zkusit vysvětlit jak je to s tou IP adresou a tím že je to osobní údaj? Pokud má někdo i údaje potřebné k účetnictví, tak ty jsou myslím vyloučené, jelikož jejich vyžadování upravuje jiný zákon, je to tak? Mimo to není náhodou požadavek na logování ip adres a spojení přímo daný nějakým zákonem o telekomunikaci, pro zpětné dohledání? nebo to se týká jen větších datacenter/poskytovatelů? Vlastně ani nevím jak moc je toto nové nařízení vlastně tak důležité, když je tu facebook (a jiné) který je plný osobních údajů.
Trochu offtopic (řešíte někdo GDPR spolu s analytics/hotjar/piwik a jiné?)
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list