[vpsFree.cz: community-list] vpsFree.cz a GDPR

Fri Feb 2 10:33:25 CET 2018

Nejsem právník, berte s rezervou: Osobní údaj je takový údaj, který 
umožňuje identifikovat osobu - buď přímo, nebo ve spojení s nějakým 
jiným údajem.

Příklad - Jarda Novák z Prahy 4, bytem ulice Něcovpražčtyřská 123 - 
jednoznačně identifikuje osobu.

Příklad - počítač s IP adresou 1.2.3.4 se přihlásil do SSH honeypotu 
účtem root a heslem toor a pokusil se nahrát tam nějaký perlovský skript 
- neidentifikuje žádnou osobu, není osobní údaj.

To mezi tím je - podle mě - šedá zóna. Když budu mít v access logu údaj, 
že z IP adresy 4.3.2.1 se stáhl tenhle seznam obrázků a stránka s URL 
/hrnec/ , tak to jako osobní údaj moc nevypadá. Až do doby, než se někam 
do databáze zaloguje, že Jarda Novák si z IP adresy 4.3.2.1 objednal 
hrnec, protože tahle informace spojuje Jardu Nováka s jeho IP adresou.

Údaj o IP v té databázi je nejspíš osobní, ale je osobní údaj i to, co 
je v logu? (Za předpokladu, že třeba log webserveru mám já, databázi 
provozuju taky já, ale patří klientovi.)

No a najednou možná máte logy plné osobních údajů. Což je samozřejmě 
problém, protože máte taky povinnost je vymazat v případě, že si někdo 
řekne, což je blbé, protože ty záznamy včetně IP adresy v nich máte 
proto, aby bylo podle čeho identifikovat, kdo kde dělá bordel.

Já bych to shrnul tak, že to, na čem bude nejvíc záležet, je, co si 
myslí úřad - nutnost mít logy včetně IP adres pro zpětnou analýzu je 
zajímat nebude, zaíjmat je bude jenom to, jestli je váš pohled na to, co 
je osobní údaj, shodný s jejich.

Pokud se ten pohled neshoduje, moc se neděje, pokud na vás nepřijdou.

Když na vás přijdou, nezbude vám nic jiného, než se odvolávat a soudit a 
doufat...

On 2.2.2018 07:47, zd nex wrote:
> Také jsem za společné řešení, které by to upravovalo globálně.
> 
> Jinak například:
> * vnější webserver - určitě logování ip adres
> * aplikace s registrací (eshop/webová aplikace) - hodně informací o
> přístupech+ip / obvykle zápis akcí a v db osobní údaje
> * služba pro chat či posílání dat - asi se může považovat za aplikaci
> * mail server - obvykle hodně přesné logování ip/uživatele i přímo v emailu
> / adresy uživatelů
> * webhosting člena pro jiné firmy - zde se to začne více komplikovat
> zanořením
> * pak samo sebou ssh (kde se zapisují také přístupy ip) - doufám, že boti
> nebudou mít v budoucnu také ochranu soukromí (ale pokud předpokládáme, že
> se přihlašují jen zaměstnanci, či spolupracovníci, tak tam snad nic takové
> nehraje roli)
> 
> Předpokládám, že členové logují někdy na úrovni firewallu či proxy a to je
> tedy další level. Takže obecně by se mělo asi říci, že všechny data ve VPS
> vyžadují ochranu soukromí.
> 
> Mimo můžete někdo zkusit vysvětlit jak je to s tou IP adresou a tím že je
> to osobní údaj?
> Pokud má někdo i údaje potřebné k účetnictví, tak ty jsou myslím vyloučené,
> jelikož jejich vyžadování upravuje jiný zákon, je to tak?
> Mimo to není náhodou požadavek na logování ip adres a spojení přímo daný
> nějakým zákonem o telekomunikaci, pro zpětné dohledání? nebo to se týká jen
> větších datacenter/poskytovatelů?
> Vlastně ani nevím jak moc je toto nové nařízení vlastně tak důležité, když
> je tu facebook (a jiné) který je plný osobních údajů.
> 
> Trochu offtopic (řešíte někdo GDPR spolu s analytics/hotjar/piwik a jiné?)
> 
> 
> 
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
> 