在新的 GDPR 下,是否仍允许拥有服务器访问日志文件?由于不允许收集 IP 地址,我可以想象系统操作员在 GDPR 生效的国家/地区违反了法律。
编辑(感谢 HBruijn):“由于 GDPR 下 IP 地址的收集似乎不被允许”
编辑:服务器日志文件是为了维护服务器的完整性。
答案1
这通用数据保护条例GDPR 旨在保护隐私,并将个人数据的控制权交还给公民。它并不是一份不该做的事情的清单,尽管它已经有很多神话。目前,作为一名GDPR 神话破灭(不幸的是,这不是正式的职位名称)我已经看到了很多误解、误导和诚实的不确定性。
摘自第 5 条:
个人资料须:
b) 为特定、明确和合法的目的而收集,且不得以与这些目的不相符的方式进一步处理;- -(“目的限制”);
f) 以确保个人数据适当安全的方式进行处理,包括使用适当的技术或组织措施防止未经授权或非法处理以及防止意外丢失、破坏或损坏(“完整性和保密性”)。
比收集什么更重要的是,收集的信息必须出于合法目的,并且只用于合法目的。在日志文件中收集 IP 地址的一个原因可能是遵守诚信和保密:如果日志文件的目的是为了检测和防止个人数据的非法使用,那么它可能是为了确保隐私,而不是为了侵犯隐私。
只需专注于记录这些数据是如何以及为何被收集、处理和在不再需要后销毁的。如果你不认为你的目的属于第六条合法的“遵守法律义务所必需”也不“为了保护数据主体或其他自然人的切身利益是必要的”, 这已同意始终是最安全和最清晰的情况。
答案2
由于[GDPR],不允许收集IP地址
这种简化显然是不正确的。
GDPR 为如何收集、存储和处理个人数据提供了法律框架。IP 地址被视为受该法律管辖的数字个人数据。
第6点1提供6 个条件使其合法处理个人数据(包括 IP 地址),只要其中有一个适用于您的目的,这就足够了。
因此,您的日志文件中的 IP 地址可能并不违规。
(例如,您可能已征得用户同意,可以为特定目的收集他们的 IP 地址。)
由于 IP 地址被视为个人数据,因此必须如此对待它们,并采取相关的保护措施以确保其安全。