GDPR a log serveru – lze IP adresu považovat za osobní údaj?

12. 12. 2017 09:35:22

V logu serveru se ukládá (mj.) IP adresa. Podle "soudního dvora Evropské unie, v němž Soudní dvůr konstatoval, že dynamická IP adresa představuje osobní údaj ve smyslu směrnice 95/46/ES".

Už se to tu různě probíralo, ale pořád v tom nemám jasno:

1. Co všechno to pro mě, jako "majitele" VPS, znamená?

2. Mám nějak získávat souhlas lidí, že server může zaznamenávat jejich IP adresy? Dokud mi ho neudělí, nesmím logovat jejich návštěvy?

3. Když někdo bude požadovat vymazání údajů s ním spojených, jak prokáže, že ty záznamy v logu jsou jeho, např. u dynamické IP adresy?

Dík.

12. 12. 2017 09:35:22

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316942

Martin

(62 hodnocení)

12. 12. 2017 09:47:19

Podle mě je IP adresa osobní údaje až v případě, kdy jde přiřadit k nějaké konkrétní osobě.

12. 12. 2017 09:47:19

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316941

Václav Dušek

(77 hodnocení)

12. 12. 2017 09:55:29

CURIA - Documents

Článek 2 písm. a) směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů musí být vykládán v tom smyslu, že dynamická adresa internetového protokolu, kterou poskytovatel online mediálních služeb uchovává v souvislosti s přístupem osoby na internetovou stránku, kterou tento poskytovatel zpřístupnil veřejnosti, pro uvedeného poskytovatele představuje osobní údaj ve smyslu tohoto ustanovení, pokud má k dispozici právní prostředky, které mu umožňují nechat identifikovat subjekt údajů díky dalším informacím, kterými disponuje poskytovatel internetového připojení tohoto subjektu.

Proste pip...ovina

12. 12. 2017 09:55:29

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316940

sthr

12. 12. 2017 11:40:17

OK, vycházel jsem z tohoto dokumentu https://www.uoou.cz/desatero-omylu-o-nbsp-gdpr/d-23799/p1=3938. Každopádně tady https://edps.europa.eu/sites/edp/files/edpsweb_press_releases/edps-2016-10_annual_report_en.pdf se píše:

"Personal information or data:

Any information relating to an identified or identifiable natural (living) person. Examples include names, dates of birth, photographs, video footage, email addresses and telephone numbers. Other details such as IP addresses and communications content related to or provided by end users of communications services are also considered as personal data."

To mi připadá, že to je pojímáno tak, že IP adresa je brána za osobní údaj vždy (a ne jen v případě, že disponuju právními prostředky k tomu nechat si identifikovat jedince pomocí údajů od poskytovatele připojení). Ale rád se nechám vyvést z omylu.

12. 12. 2017 11:40:17

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316939

skranc

(5 hodnocení)

12. 12. 2017 12:00:21

IP adresa je brána vždy jako osobní údaj i když se jedná o IP adresu dynamickou

12. 12. 2017 12:00:21

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316938

Václav Hodek

(9 hodnocení)

12. 12. 2017 19:19:45

Ke zpracování osobních údajů musíš mít nějaký titul a pokud prokážeš třeba to, že je jejich zpracování tvým oprávněným zájmem, pak nemusíš mít souhlas. Nicméně i v takovém případě o tom musíš člověka informovat (jaké údaje, pro jaký účel, jak dlouho zpracováváš).

12. 12. 2017 19:19:45

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316937

lawyer2

12. 12. 2017 21:12:47

S IP adresami by mělo být nakládáno jako s osobními údaji. Ne každá IP je osobní údaj, ale kterákoliv může být. Takže pokud nedokážete odlišit IP člověkem neovládaných zařízení od těch spojitelných s osobou, musíte je brát jako osobní údaj. I ty právní nástroje ke zjištění identity patrně máte - stačí když můžete podat TO a pecky zjistí o koho jde.

Co se týče legálnosti takového zpracování, tak je potřeba si uvědomit proč ty IP sbíráte (logujete), za jakým účelem. A od toho pak odvodit právní důvod zpracování (třeba oprávněný zájem na zabezpečení)... od toho se budou odvíjet další opatření.

12. 12. 2017 21:12:47

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316936

sthr

13. 12. 2017 08:42:46

IP adresy sbiram proto, abych mohl udrzovat svoje pomerne rozsahle diskusni forum pouzitelne - diky ukladani IP adres jsem schopen resit kazdodeni skrytou reklamu a trolly. Nedovedu si moc predstavit, ze ted spameri a trollove budou po me moct pravidelne zadat, abych vymazal jejich stopu.

Netusi nekdo odpoved na 3. dotaz?

Otazku ukladani IP adres bude muset resit kazdy, kdo ma stranky na VPS a nebo vlastnim serveru a nevypne si defaultne zapnute logovani HTTP serverem, ne?

(Jen bych chtel upozornit administratora, ktery upravil titulek meho dotazu, ze jsem se neptal na to, jestli IP adresu lze povazovat za osobni udaj, chci prodiskutovat v tomto vlakne neco jineho, predpokladam, ze IP adresa osobni udaj je)

13. 12. 2017 08:42:46

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316935

Deaktivovany ucet

(21 hodnocení)

13. 12. 2017 08:51:58

Co když si IP adresu uložíme v anonymizované formě. Často se odmázáva poslední číslice, ale kdo určil že tak to je správně. Pokud jen poslední číslici uložíme s dělitelností 2 ma. Pak tento údaj už nebude možno brát jako přesnou IP adresu a ani jako osobní údaj. Jen názor k diskuzi. Na blokace apod to stačí, síce to není ideální ale lepší než nic.

13. 12. 2017 08:51:58

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316934

skranc

(5 hodnocení)

13. 12. 2017 11:36:51

Napsal AdamH;1429939
Co když si IP adresu uložíme v anonymizované formě. Často se odmázáva poslední číslice, ale kdo určil že tak to je správně. Pokud jen poslední číslici uložíme s dělitelností 2 ma. Pak tento údaj už nebude možno brát jako přesnou IP adresu a ani jako osobní údaj. Jen názor k diskuzi. Na blokace apod to stačí, síce to není ideální ale lepší než nic.

Pokud nejsi schopen zpětně IP zkompletovat, pak již není osobním údajem, ale zablokovat celý rozsah není ideální.

13. 12. 2017 11:36:51

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316933

Deaktivovany ucet

(21 hodnocení)

13. 12. 2017 11:48:03

No takto bych zablokoval defakto jen 2 IP adresy, a rict ktera z nich byla puvodcem nelze. Jak by nekdo rekl ceska svejkovina.

13. 12. 2017 11:48:03

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316932

skranc

(5 hodnocení)

13. 12. 2017 12:13:33

Napsal AdamH;1429974
No takto bych zablokoval defakto jen 2 IP adresy, a rict ktera z nich byla puvodcem nelze. Jak by nekdo rekl ceska svejkovina.

No já bych šel spíše cestou oprávněného zájmu. Pokud to chcete od právníka vypapírovat ozvěte se. Nevidím osobně problém v tom IP adresu z těchto důvodů uchovávat přesnou. V týmu máme právníka, co se na tyto věci specializuje.

13. 12. 2017 12:13:33

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316931

sthr

18. 12. 2017 16:44:42

Díky, počkám, jestli se k tomu ještě neobjeví víc informací, když tohle musí řešit desetitisíce lidí. Ale nevylučuju, že bych vás případně oslovil, celé to předělávám, tak bych to chtěl mít při té příležitosti v pořádku. Jen pro hrubou představu, kolik řádově taková konzultace stojí?

18. 12. 2017 16:44:42

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316930

skranc

(5 hodnocení)

19. 12. 2017 00:49:21

Napsal sthr;1431041
Díky, počkám, jestli se k tomu ještě neobjeví víc informací, když tohle musí řešit desetitisíce lidí. Ale nevylučuju, že bych vás případně oslovil, celé to předělávám, tak bych to chtěl mít při té příležitosti v pořádku. Jen pro hrubou představu, kolik řádově taková konzultace stojí?

Tak probrat s Vámi tuto konkrétní věc a sestavit k ní nějaký dokument je záležitost cca hodiny. Tedy nějakých 1500Kč. Myslím však, že je účelné se podívat na projekt jako celek, aby nám neuniklo něco mnohem důležitějšího a teprve sporné body konzultovat.

19. 12. 2017 00:49:21

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316929

sthr

19. 12. 2017 10:31:14

Díky, vzhledem k tomu, že to nevydělává žádný majlant, tak si nemůžu moc vyskakovat, ale souhlasím, že by chtělo si to nechat skouknout od někoho, kdo tomu rozumí, už kvůli k tomu, že se mi tam pohybuje několik urputných trollů, kteří jsou dotčeni smazáním svých trollovacích příspěvků a jistě rádi využijí všech možností, které jim GDPR bude poskytovat (žádosti o výmaz osobních dat, naboznování mých pochybení atd.). Dík, kdyžtak se ozvu.

19. 12. 2017 10:31:14

https://webtrh.cz/diskuse/gdpr-a-log-serveru-lze-ip-adresu-povazovat-za-osobni-udaj/#reply1316928