2 Feb
2018
2 Feb
'18
9:33 a.m.
Nejsem právník, berte s rezervou: Osobní údaj je takový údaj, který
umožňuje identifikovat osobu - buď přímo, nebo ve spojení s nějakým
jiným údajem.
Příklad - Jarda Novák z Prahy 4, bytem ulice Něcovpražčtyřská 123 -
jednoznačně identifikuje osobu.
Příklad - počítač s IP adresou 1.2.3.4 se přihlásil do SSH honeypotu
účtem root a heslem toor a pokusil se nahrát tam nějaký perlovský skript
- neidentifikuje žádnou osobu, není osobní údaj.
To mezi tím je - podle mě - šedá zóna. Když budu mít v access logu údaj,
že z IP adresy 4.3.2.1 se stáhl tenhle seznam obrázků a stránka s URL
/hrnec/ , tak to jako osobní údaj moc nevypadá. Až do doby, než se někam
do databáze zaloguje, že Jarda Novák si z IP adresy 4.3.2.1 objednal
hrnec, protože tahle informace spojuje Jardu Nováka s jeho IP adresou.
Údaj o IP v té databázi je nejspíš osobní, ale je osobní údaj i to, co
je v logu? (Za předpokladu, že třeba log webserveru mám já, databázi
provozuju taky já, ale patří klientovi.)
No a najednou možná máte logy plné osobních údajů. Což je samozřejmě
problém, protože máte taky povinnost je vymazat v případě, že si někdo
řekne, což je blbé, protože ty záznamy včetně IP adresy v nich máte
proto, aby bylo podle čeho identifikovat, kdo kde dělá bordel.
Já bych to shrnul tak, že to, na čem bude nejvíc záležet, je, co si
myslí úřad - nutnost mít logy včetně IP adres pro zpětnou analýzu je
zajímat nebude, zaíjmat je bude jenom to, jestli je váš pohled na to, co
je osobní údaj, shodný s jejich.
Pokud se ten pohled neshoduje, moc se neděje, pokud na vás nepřijdou.
Když na vás přijdou, nezbude vám nic jiného, než se odvolávat a soudit a
doufat...
On 2.2.2018 07:47, zd nex wrote:
Také jsem za společné řešení, které by to upravovalo
globálně.
Jinak například:
* vnější webserver - určitě logování ip adres
* aplikace s registrací (eshop/webová aplikace) - hodně informací o
přístupech+ip / obvykle zápis akcí a v db osobní údaje
* služba pro chat či posílání dat - asi se může považovat za aplikaci
* mail server - obvykle hodně přesné logování ip/uživatele i přímo v emailu
/ adresy uživatelů
* webhosting člena pro jiné firmy - zde se to začne více komplikovat
zanořením
* pak samo sebou ssh (kde se zapisují také přístupy ip) - doufám, že boti
nebudou mít v budoucnu také ochranu soukromí (ale pokud předpokládáme, že
se přihlašují jen zaměstnanci, či spolupracovníci, tak tam snad nic takové
nehraje roli)
Předpokládám, že členové logují někdy na úrovni firewallu či proxy a to je
tedy další level. Takže obecně by se mělo asi říci, že všechny data ve VPS
vyžadují ochranu soukromí.
Mimo můžete někdo zkusit vysvětlit jak je to s tou IP adresou a tím že je
to osobní údaj?
Pokud má někdo i údaje potřebné k účetnictví, tak ty jsou myslím vyloučené,
jelikož jejich vyžadování upravuje jiný zákon, je to tak?
Mimo to není náhodou požadavek na logování ip adres a spojení přímo daný
nějakým zákonem o telekomunikaci, pro zpětné dohledání? nebo to se týká jen
větších datacenter/poskytovatelů?
Vlastně ani nevím jak moc je toto nové nařízení vlastně tak důležité, když
je tu facebook (a jiné) který je plný osobních údajů.
Trochu offtopic (řešíte někdo GDPR spolu s analytics/hotjar/piwik a jiné?)
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list