Otázka:
Jak splnit požadavek GDPR na souhlas s protokolováním IP?
Pistos
2018-05-17 23:44:20 UTC
view on stackexchange narkive permalink

Nespočet webů obsluhuje software webového serveru (Apache, nginx atd.), který zaznamenává zdrojovou adresu IP každé návštěvy webové stránky. GDPR považuje IP adresu za „osobní údaje“, na které se GDPR vztahuje. GDPR vyžaduje souhlas subjektu se shromažďováním nebo ukládáním osobních údajů (v tomto případě IP adresy v souboru protokolu). Jak má vlastník webových stránek získat souhlas prostřednictvím webových stránek, pokud samotný akt návštěvy webové stránky za účelem získání souhlasu zaznamenává „osobní údaje“, o kterých je souhlas udělen?

Je zřejmé, že tato možnost je vlastníkům webových stránek k dispozici, aby konfigurovali své webové servery tak, aby nezaznamenávaly adresy IP, ale má to bezpečnostní důsledky. Postačují tyto bezpečnostní obavy k tomu, aby se majitel webu zbavil povinnosti vyžadovat souhlas se zaznamenáváním IP adres? Je prominentní upozornění (na každé stránce, dokud není zamítnuto) dostatečné?

Jak má být interpretováno GDPR s ohledem na extrémně běžnou a převládající praxi protokolování IP adres?

(Přečetl jsem si Ovlivnilo by GDPR můj osobní web? a odpovědi v době psaní tohoto článku nejsou dostatečně uspokojivé. Článek 6, odstavec 1 nedává otázku automatického protokolování IP adres bez výslovného souhlas jasně přijatelný nebo ne. http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN)

Možný duplikát [Ovlivnilo by GDPR můj osobní web?] (Https://law.stackexchange.com/questions/28070/would-gdpr-affect-my-own-personal-website)
Chtěl bych položit ještě silnější otázku - vyžaduje pouze to, aby webové stránky vyžadovaly souhlas návštěvníků EU? Z GDPR: „zpracováním“ se rozumí jakákoli operace nebo soubor operací, které se provádějí s osobními údaji nebo se soubory osobních údajů, ať už automatizovanými prostředky či nikoli, jako je shromažďování, zaznamenávání, organizace, strukturování, ukládání, úprava nebo změna, vyhledávání , konzultace, použití, zveřejnění přenosem, šíření nebo jiné zpřístupnění, vyrovnání nebo kombinace, omezení, vymazání nebo zničení; „A k odeslání odpovědi musíte použít IP!
Nemyslím si, že se jedná o duplikát [Ovlivnilo by GDPR můj osobní web?] (Https://law.stackexchange.com/q/28070/957) Tato otázka se ptá na protokolování IP adres na * osobní * web, a jedna z hlasovaných odpovědí je založena na skutečnosti, že web je * osobní *. Tato otázka se ptá na protokolování IP pro jakoukoli webovou stránku - ať už osobní nebo ne.
@kozyr. Vaše „silnější otázka vychází ze stejného nedorozumění jako OP - to, že GDPR stanoví, že souhlas je povinným požadavkem pro veškeré zpracování osobních údajů. To jednoduše není správné pochopení GDPR.
Dva odpovědi:
Free Radical
2018-05-18 05:56:45 UTC
view on stackexchange narkive permalink

V otázce píšete:

GDPR vyžaduje souhlas subjektu se shromažďováním nebo ukládáním osobních údajů (v tomto případě IP adresy v souboru protokolu).

Ne, není.

Citovat slečna Infogeek:
GDPR NESOUHLASÍ S POVINNÝM POŽADAVKEM NA VŠECHNY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ .

Souhlas ( článek 6 (1) a) je skutečně jednou podmínkou, kterou lze použít k dodržení požadavek GDPR, že zpracování musí být zákonné , ale není to jediná podmínka, kterou má správce k dispozici pro zákonné zpracování - existují alternativy (před seznamem podmínek, které uvádí že musí být splněna „alespoň jedna z následujících“).

Všechny podmínky zákonnosti zpracování jsou vysvětleny v článku 6 GDPR.

Jednou z alternativ je čl. 6 odst. 1 písm. f). Říká, že je zákonné zpracovávat osobní údaje if

zpracování je nezbytné pro účely oprávněných zájmů sledovaných správcem nebo třetí stranou, s výjimkou případů, kdy tyto zájmy převažují nad zájmy nebo základními právy a svobodami subjektu údajů, které vyžadují ochranu osobních údajů, zejména pokud je subjektem údajů dítě. (můj důraz)

Jak je uvedeno v otázce, protokolování IP adres za účelem zabezpečení je velmi rozšířená praxe. Dodržování standardních bezpečnostních postupů je legitimním zájmem. Je to výchozí nastavení a většina (všech?) Webů to dělá.

Tj. je to legální dělat bez souhlasu (pokud tomu tak není, jsem si docela jistý, že výkřik už byl slyšet po celém internetu).

Děkuji za tuto odpověď. Závisí to na tom, že protokolování IP adres je „za účelem oprávněného zájmu“, ale domnívám se, že jsem v pořádku.
Budu, ale dám tomu čas, abych zjistil, jestli má ještě někdo něco přidat.
„Je extrémně těžké, pokud nejste donucovací, připojit IP adresu k fyzické osobě“ opravdu nezáleží na tom, jestli je těžké nebo snadné připojit IP k fyzické osobě. Pokud to můžete udělat, jedná se o osobní údaje. Pokud skutečně ukládáte IP pro bezpečnostní postupy, pak je to v souladu s GDPR; ale pokud uložíte IP např. sledování geolokace nebo zobrazování geolokalizovaných reklam pak (bez souhlasu) není.
„Je to výchozí nastavení a většina (všech?) Webů to dělá.“ vlastně ne, pokud mám soukromou webovou stránku blogu (statická stránka e.gg hostovaná na stránkách github) a používám GA ke kontrole, kdo ji čte, pak GA může shromažďovat IP, ale rozhodně ne z bezpečnostních důvodů (ale z důvodů sledování, což je není v souladu s GDPR bez souhlasu uživatele). Věřím, že to je důvod, proč byla zavedena IP anonimizace https://support.google.com/analytics/answer/2763052?hl=cs
@MarianPaździoch. Nerozumím této poslední námitce. Kde mohu říci, že * nechat profil Google Analytics svým uživatelům * „je výchozí nastavení a většina (všech?) Webů to dělá“. Myslím, že z tohoto odstavce by mělo být jasné, že píšu konkrétně o „* protokolování IP adres za účelem zabezpečení *“ a ne o protokolování IP adres pro * jiné * účely, včetně sledování, profilování a analytiky.
Myslel jsem, že to není ani výchozí, ani běžné - musíte něco výslovně udělat, aby to bylo „z bezpečných důvodů“ (mým příkladem je nějaká náhodná webová stránka soukromého blogu, která používá GA ke kontrole, kdo ji čte)
@MarianPaździoch. Ne, nemusíte explicitně něco dělat, abyste povolili protokolování zabezpečení. Při prvním nastavení Apache protokoluje IP adresy * ve výchozím nastavení *. A dělá to z bezpečnostních důvodů (to je to, co se říká v příručce). Chcete-li toto protokolování * vypnout *, musíte mít určité znalosti o Apache. Při prvním nastavení webové stránky * neodesílá * adresy IP společnosti Google (ani jiným externím webům * ve výchozím nastavení *). Google vám velmi snadno přidá sledovací JavaScript na vaše stránky, ale musíte to udělat.
@MarianPaździoch součástí nedorozumění zde je, že mít stránku blogu na github není nastavení webu, protože Free Radical tento výraz používá; k hostování vašeho blogu využívá existující web, v tomto případě github. V takovém případě nemáte žádnou kontrolu nad webovým serverem, jeho konfigurací protokolování ani postupy jeho shromažďování a zpracování dat.
Lag
2018-05-31 12:48:31 UTC
view on stackexchange narkive permalink

GDPR považuje IP adresu za „osobní údaje“, které podléhají GDPR.

To se zdá být běžnou mylnou představou.

Od GDPR: „Osobní údaje“ znamenají veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby (dále jen „subjekt údajů“). „Identifikovatelnou fyzickou osobou“ se rozumí osoba, kterou lze přímo nebo nepřímo identifikovat, zejména odkazem na identifikátor, jako je jméno, identifikační číslo, údaje o poloze, online identifikátor, nebo na jeden nebo více faktorů specifických pro fyzickou osobu, fyziologická, genetická, mentální, ekonomická, kulturní nebo sociální identita této fyzické osoby.

Můžete za určitých okolností identifikovat fyzické osoby pomocí IP adres a dalších údajů nebo samotných IP adres? Pokud nemůžete, pak IP adresy shromažďované za těchto okolností nejsou osobními údaji.

„online identifikátor“ není IP „online identifikátor“?
@J.Doe to může být.


Tyto otázky a odpovědi byly automaticky přeloženy z anglického jazyka.Původní obsah je k dispozici na webu stackexchange, za který děkujeme za licenci cc by-sa 4.0, pod kterou je distribuován.
Loading...