Názory k článku GDPR last minute: Jak je to s logováním IP adres na serveru?

Prostě GDPR je nesmysl na úrovni někdejšího praporkového zákona, který byl zaveden v Anglii a přikazoval, aby před automobilem v dané vzdálenosti kráčel člověk s výstražným praporkem.

Kde není morálka, tam zákony nepomohou.

A nejen to, dokonce je na to zakon (ted cislo z hlavy nevysypu), kterej to narizuje uchovavat prave pro potreby soucinnosti (6 mesicu). Ale riziko je minimalni, nikoli vsak z toho duvodu co uvadite, ale proto, ze data v logach jsou z podstaty veci pseudonymizovana to za prve a za druhe jde stejne o zpracovani dat podle zvlastniho predpisu (takze na vyber moc nemate). Nechapu jak takovouhle vec muze nevedet nekdo, kdo sam provozuje pomorene hojne navstevovany server....

Neporusujete, protoze logova data jsou pseudonymizovana. Jak vyse nekdo spravne poznamenal, bez udaju od ISP jsou k nicemu. Samotna IP adresa je sice osobni udaj, ale nikoho sama o sobe neidentifikuje, potrebujete k identifikaci osoby dalsi sekundarni udaje. Skladovat je musite minimalne 6 mesicu, ale maximum je v tomto pripade podle potreb (neboli podle definice tak dlouho, abyste mohl efektivne plnit provoz serveru - takze pokud k necemu vyuzivate starsi logy, klidne je muzete vyuzivat i nadale).

Tak jen pro poradek. V soucasnosti (neberu v potaz co zrovna resi nebo neresi US - dokud nerozhodne tak to plati).
Povinnost "logovat" ma dle zakona 127/2005 Sb., o elektronickych komunikacich, verejny poskytovatel sluzeb pripojeni k siti Internet, tzn. ISP registrovany u CTU. Tento musi logovat sest mesicu a po teto dobe data anonymizovat (smazat). Nicmene neverejny poskytovatel (rozumej ten co neni registrovany u CTU) povinnost logovat nema, avsak logovat muze a povinnost anonymizace dat se na nej nevztahuje. Organy cinne v tr. rizeni plati za vydana data pouze subjektum registrovanym u CTU a tyto vydavaji data na zaklade soudniho prikazu vydaneho na navrh st. zastupce v souladu s § 88a tr. radu.

Důsledky jsou dalekosáhlé. Například teď v Německu probíhá debata mezi fotografy kulturních akcí (koncertů atd.) a pořadateli, že kvůli GDPR už nesmí vystavovat fotografie diváků z koncertů na Internetu, pouze účinkujících.

IP je osobni udaj, to nikdo nerozporuje, ale sama o sobe nedokaze identifikovat osobu, tedy souhrn ip adres v logu je sice soubourem osobnich udaju, ale je zabezpecen pseudonymizaci. Tedy zcela v souladu s gdpr. Ty pokuto. Dale: uchovavat se musi minimalne 6 mesicu a dokonce si muzete zazadat o kompenzaci nakladu MV (jinymi slovy z dani si beznej obcan plati svy smirovani). MV nasledne proplati jak server(y) tak jejich maintenance. Uz jsem rekl dost, paragrafy a jak na to vam tady uvadet nebudu, zaplatte si to, kdyz to nedate sami :D

Na vstupenku si muzete napsat co chcete, jen si tim velice nahlas reknete o udeleni pokuty. Informovany souhlas nesmi a nemuze byt soucasti poskytnute sluzby, a jeho neudeleni nesmi byt duvodem k neposkytnuti sluzby. Navis souhlas muze kdokoli kdykoli odvolat, klidne 10s po ukonceni onoho koncertu. A vy pak musite prislusna data obratem fyzicky zlikvidovat.

a je to tak spravne jestli chce nekdo vystavovat neci fotku na koncerte at si necha podepsat model relase a pekne za to zaplati! on by kazdej druhej chtel vydelavat na necem k cemu nema prava, bud nesmyslne copyrighty zrusme pro vsechny, nebo at je dodrzuje i fotograf i medialni agentura

Pokud na vstupenku napíšu, že jejím zakoupením souhlasím s tím, že si mě tam může někdo vyfotit a vystavit na Internetu, tak by to mělo být pro pořadatele v pohodě, ne? Případně vydá ke vstupence smluvní podmínky (nejlépe minimálně čtyři A4 drobným písmem) a záleží jen na mě jestli tam půjdu nebo ne... takhle nějak to bude zanedlouho vypadat.

Data retention se ale týká ISP, nikoliv provozovatelů čehokoliv, co poslouchá na portu 80, ne?

je to zákon 127/2005 Sb, o elektronických komunikacích resp. jeho prováděcí vyhláška

Pokud to chápu správně tak logy by se správně měli uchovávat 6 měsíců pro policii a pokud je mám delší dobu, porušuju ochranu osobních údajů (protože, delší dobu to pro chod serveru není potřeba).

S tématem článku souvisí jak?

Logika je poměrně jednoduchá. Poskytovatel internetových služeb (ISP) má záznam dočasné dynamické adresy IP a ví, komu byla přiřazena. Provozovatel webových stránek má záznam o webových stránkách, na které je přístupná dynamická adresa IP (ale žádná další data, která by vedla k identifikaci osoby). Pokud budou informace o dvou částech spojeny, poskytovatel webových stránek by mohl najít totožnost osoby za určitou dynamickou IP adresou. Nicméně šance na takovou situaci jsou malé, protože poskytovatel služeb Internetu musí splnit určité právní závazky, než může předat údaje poskytovateli internetových stránek. Závěrem je, že všechny adresy IP by měly být považovány za osobní údaje, aby byly GDPR kompatibilní.

nechci ti kazit iluze o fungování IP protokolu, nejspíš toho víš víc než já, ale mám takový dojem, že s tou tvojí vytvořenou IP nejsi nijak schopný poslat požadavek na nějaký http server a skončit teda v jeho logách.

Nebudu se s vami hadat, evidentne jste bud "radobyprogramator" nebo bfu. Takovejch uz jsem par potkal....

Ale prece naposledy -podle RC dohledate jednoznacne konkretni osobu, ale jedno IP muze skryvat tisice osob. Dal - neplati to jen pro ISP (to je nejcastejsi omyl prave radobyprogramatoru vlastnicich stranky od pepy z horni dolni) ale pro vsechny kdo umoznuji oboustranou digitalni verejnou komunikaci (takze isp, web, tel. operatori, ...). Jestli je nebo neni v rozporu s evropskou legislatovou je mi ukradene - clenske staty si mohou judikaturu v tomto pripade prizpusobit (to plati i v gpdr, pricemz treba ceska 101ka je v nekterych pripadech i prisnejsi - opet). Ze si na to nekdo stezuje u US je mozne, ale nijak to nezaklada moznost na zakonne pozadavky kaslat. Stezuje si kdekdo, treba na stravenky i jista mensina :D Zdravi vas auditor 27000vek :D

Ani tak to prý nejde.

Jde o menší akce, kde lidem obvykle nevadí že jsou fotografováni, spíše naopak. Když měl někdo opravdu problém s fotkou, stačilo napsat a byla odstraněna.

GDPR je něco jako ochrana spotřebitele, prostředek neomarxistů k zotročení lidí.

Ono je to napsano tak, ze se to ve skutecnosti netyka vubec nikoho. Nebot pouzity termin neni nikde nijak definovan (to ovsem nekteri zdejsi diskutujici jeste nepochopili). Sveho castu se o tom diskutovalo i zde na Lupe. To ze se to tyka provozovatelu verejnych telekomunikacnich siti je spise takovy uzus. A ne kazdy ISP takovou sit provozuje - to totiz obnasi registraci na CTU, coz prinasi nejake dalsi povinnosti (predevsim papirovani) a nejaka prava (napriklad vam musi byt umoznena instalace rozvodu).

V zadnem pripade se to netyka provozovatelu webu, nebot to by se pak tykalo kazdeho jednoho obcana v CR, protoze nejaky web provozuje (byt o tom treba ani nevi) naprosto kazdy.

A jak jsem jiz zminil, soud EU jednoznacne rozhodl, ze preventivni shromazdovani dat je v rozporu s listinou prav a svobod, tudiz nelegalni.

"Navíc se tato data nijak pravidelně nezpracovávají ani nepředávají třetím stranám. "

Vážně? :D

Co na to GDPR? :D

Nebo kdyz mate jakoliv web s usernames a uzivatelskym profilem - napr eshop. Pak je velke mnozstvi IP adres snadno svazatelne i se jmenem, adresou apod..?

http://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=CS.

Rozhodnuti soudu EU jsou zavazna pro vsechny cleny EU, bez vyjimek. To druhe rozhodnuti samozrejme existuje take i v cestine.

Moc hezky napsano. Je to tak. Ale podobne to plati i pro poskytovatele obsahu a tel. operatory (paragrafy z hlavy fakt nedavam, kor kdyz poslednich pul roku z hlavy denne nekolikrat musim citovat blaboly z gdpr). Uz aby bylo 25tyho, aspon pul roku me tu nikdo neuvidi :D

Proboha, najmete si na tyto clanecky nekoho alespon pologramotneho.

1) to ze je IP osobnim udajem nema s GDPR spolecneho zhola nic. Tim byla odjakziva, v provedeni ceske legislativy od te doby, kdy je osobnim udajem libovolny udaj identifikujici osobu nebo uzkou skupinu osob. Evropsky soud to pak ve svem judikatu jen potvrdil.
2) to ze server neco nekde "automaticky" loguje je nehorazny blabol. Kazde logovani se muze zapnout a vypnout, a ve spouste pripadech je naopak ve vychozim stavu vypnuto.
3) pro fungovani sluzby jako takove pak logovani naprosto knicemu neni, a rozhodne neni nezbytnou soucasti. To je dalsi blabol.
4) logovani muze byt uzivano v rezimu opravnenho zajmu, ale rozhodne ne proto, ze se loguje, a dotycny provozovatel to musi umet zduvodnit uplne jinak.
5) ta data se samozrejme pravidelne zpracovavaji, jinak je to knicemu, a muze se to vypnout. K cemu jsou logy ktere nikdo nekontroluje.

Toto už zase visí na webu e-Bankingu KOMERČNNÍ BANKY
JE TO JAKO MOR, SEZNAM VÝPADKŮ BY VYDAL NA NĚKOLIKASTRÁNKOVÝ POČTENÍČKO

Vážení klienti,

v současné době jsou aplikace přímého bankovnictví z technických důvodů nedostupné.
Doporučujeme provést pokus o přihlášení později.

Přijměte prosím naši omluvu
Komerční banka

I BANKU MŮŽETE NESNÁŠET

Laskave si prectete onen judikat a nepiste podobne blaboly. IP jednoznacne identifikuje konkretni osobu nebo uzky okruh osob. Je uplne jedno zda zrovna vy nevite, jak se ty osoby jmenuji. Rodne cislo vam jmeno a adresu take nerekne.

Dale ona povinost plati pouze podle ceske legislativy a nikoli pro provozovatele webu, ale pro ISP a je v rozporu s rozhodnutim evropskeho soudu a evropskou legislativou. Aktualne je na to tema podana stiznost k US.

Ty § si laskave najdete sam, zjevne jste je vzivote nevidel.

Je nelogicke, aby ip spadalo do gdpr IPcku si vytvorim rucne hocijaku a je bezcenne s tym logom aj obchodovat, kedze je fiktivny a vymysleny, ci?

Kdy si k vam mam prijit vybrat pokutu? Prectete si laskave judikat evropskeho soudu. IP JE osobnim udajem, i zcela sama o sobe, bez dalsiho.

A uchovavat se nesmi ani 6 mesicu, protoze to je mimo jine v rozporu s jinym rozhodnutm evropskeho soudu a evropskou legislativou, ktera je te lokalni nadrazena.

Logy muzete mit po dobu nezbytnou ke splneni ucelu - coz rozhodne neni samo logovani. Ucelem muze byt detekce potencielnich pokusu o napadeni serveru, na coz mozna obhajite mesic, ale rozhodne ne dele.

No zdá se, že GDPR rozumí málo kdo z oblasti IT. Mimo to, že nařízení přímo a jednoznačně tvrdí, že IP je osobní údaj a oprávněný zájem správce nemůže být logování přístupů uživatelů (TO JE BEZ JEJICH SOUHLASU ZAKÁZANÉ!!!).....je důležité říct, že pro analýzu chyb na webu je identifikace IP adresy trochu podružný údaj. To že je někde 404 nebo 500 je zpracovatelná informace bez osobních údajů. A pokud chceme diskutovat o tom, že identita uživatele je pro detekci chyby důležitá, tak já tomuto argumentu dám za pravdu, ale po nezbytně dlouhou dobu...tedy dejme tomu dny jsou obhajitelné....
Autor článku je zřejmě koumák s typicky českým šibalstvím, ale pardón, ten článek je ÚPLNĚ MIMO.

Jasně, a protože bude platit GDPR dá se logicky očekávat, že se s těmito údaji brzy začne obchodovat. GDPR pro to de facto uměle vytvoří trh.