Ainda é permitido ter arquivos de log sob o novo GDPR? [fechadas]

5

Ainda é permitido ter arquivos de log de acesso ao servidor sob o novo GDPR? Por causa da coleta de endereços IP não é permitido, posso imaginar que os operadores do sistema estão violando a lei em países onde o GDPR está ativo.

Editar (graças a HBruijn): "Por causa da coleta de endereços IP sob o GDPR parece não ser permitido"

Editar: os arquivos de log do servidor devem manter a integridade do servidor.

    
por C.A. Vuyk 16.04.2018 / 16:20

2 respostas

7

O Regulamento Geral de Proteção de Dados (GDPR) é para proteger a privacidade e dar o controle sobre os dados pessoais de volta aos cidadãos. Não é uma lista de coisas que não se deve fazer, embora já exista uma mitologia. Atualmente trabalhando como um mito do GDPR (infelizmente não oficialmente), eu já vi muitos desentendimentos, enganos e incertezas honestas.

Citações selecionadas de art. 5 :

Personal data shall be:

b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; - - (‘purpose limitation’);

f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

Mais importante do que aquilo que é coletado, é coletado para fins legítimos e usado apenas para eles. Um motivo para coletar endereços IP em arquivos de log pode ser o cumprimento da integridade e confidencialidade : se o objetivo dos arquivos de log for detectar e impedir o uso ilegítimo de dados pessoais, talvez seja para garantir a privacidade, não por violá-lo.

Concentre-se apenas em documentar como e por que esses dados são coletados, processados e destruídos depois de não serem mais necessários. Se você não considera que seus propósitos se enquadram no art. 6 legal "necessário para cumprimento de uma obrigação legal" nem "necessário para proteger os interesses vitais da pessoa em causa ou de outra pessoa singular" , o consentimento dado é sempre o mais seguro & caso claro.

    
por 16.04.2018 / 18:24
6

Because of [the GDPR] the gathering of IP addresses is not allowed

Essa simplificação está patentemente incorreta.

O GDPR fornece uma estrutura legal para como os dados pessoais podem ser coletados, armazenados e processados. Os endereços IP são considerados dados pessoais digitais regidos por essa legislação.

O artigo 6º, ponto 1 fornece 6 condições que tornam legal processar dados pessoais (incluindo endereços IP) e já é suficiente se apenas um deles é aplicável para o seu propósito.

Portanto, pode ser que os endereços IP nos seus arquivos de log não sejam uma violação.

(Você pode, por exemplo, ter o consentimento de seus usuários para coletar seus endereços IP para um propósito específico.)

Como os endereços IP são considerados dados pessoais, eles devem ser tratados como tal e devem ser tomadas proteções relevantes para garantir sua segurança.

    
por 16.04.2018 / 17:41