Est-il toujours autorisé à avoir des fichiers journaux sous le nouveau GDPR?
Est-il toujours autorisé à avoir des fichiers journaux d'accès au serveur sous le nouveau GDPR? En raison de la collecte des adresses IP n'est pas autorisée, je peux imaginer que les opérateurs de système soient en violation de la loi dans les pays où le GDPR est actif.
Modifier (merci à Hbruijn): "En raison de la collecte d'adresses IP sous le GDPR semble à ne pas autoriser"
Edit: Les fichiers journaux du serveur sont de gérer l'intégrité du serveur.
Le règlement général de protection des données (GDPR) est destiné à protéger la vie privée et à donner le contrôle des données personnelles à des citoyens. Ce n'est pas une liste de choses à ne pas faire, même s'il y a déjà une mythologie autour de lui. Travailler actuellement en tant que GDPR Mythbuster (non officiel d'emploi, malheureusement) J'ai déjà vu beaucoup de malentendus, d'incertitude trompeuse et honnête.
Citations sélectionnées de art. 5 :
Les données personnelles doivent être:
b) recueillies à des fins spécifiques, explicites et légitimes et non traitées d'une manière incompatible avec ces objectifs; - "limitation des objectifs");
f) Traité de manière à assurer la sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées ("intégrité et confidentialité").
Plus important que ce qui est collecté qu'il est collecté à des fins légitimes et utilisée uniquement pour ceux-ci. Une des raisons de collecter des adresses IP dans les fichiers journaux peut être de se conformer au Intégrité et confidentialité: Si l'objectif des fichiers journaux est de détecter et d'empêcher l'utilisation illégitime des données personnelles, alors il peut être possible. Pour assurer la vie privée, non pour la violer.
Concentrez-vous simplement sur la documentation sur la manière dont ces données sont collectées, traitées et détruites après que ce n'est plus nécessaire. Si vous ne considérez pas vos objectifs chutes dans --- (Art. 6 légal "nécessaire pour le respect d'une obligation légale" NOR "nécessaire pour protéger Les intérêts vitaux du sujet des données ou d'une autre personne physique ", le donné le consentement est toujours le cas le plus sûr et le plus sûr.
À cause de [le GDPR], le rassemblement des adresses IP n'est pas autorisé
Cette simplification est manifestement incorrecte.
Le GDPR fournit un cadre juridique pour la manière dont les données à caractère personnel peuvent être collectées, stockées et traitées. Les adresses IP sont considérées comme des données personnelles numériques régies par cette législation.
article 6 point 1 fournit 6 conditions qui le rendent légal pour traiter les données personnelles (y compris les adresses IP) et elle est déjà suffisant si seulement un seul de ceux-ci est applicable à votre objectif.
Il se peut donc que les adresses IP dans vos fichiers journaux ne soient pas une violation.
(Vous pouvez par exemple avoir consentement de vos utilisateurs pour collecter leurs adresses IP à des fins spécifiques.)
Étant donné que les adresses IP sont considérées comme des données à caractère personnel, elles doivent être traitées comme des garanties telles que des garanties pertinentes doivent être prises pour assurer leur sécurité.