Každý den v květnu nabízíme odpověď na jednu praktickou otázku týkající se dopadu GDPR na online podnikání.
Kolem obecného nařízení o ochraně osobních údajů (GDPR) stále panuje řada nejasností a mýtů. Na některé otázky se snažíme odpovědět v našem last minute seriálu. Dnes se podíváme na logování informací na serverech. Odpovídá Jana Břeská ze Sdružení pro internetový rozvoj (SPIR), které má také vlastního online průvodce GDPR.
TIP: Pokud hledáte odpovědi na skutečně specifické dotazy, můžete je také položit odborníkům v GDPR poradně na sesterském serveru Podnikatel.cz.
Jak ovlivní GDPR prosté logování webových serverů, které obsahují mimo jiné i IP adresu a tuto IP adresu uloží ihned při prvním požadavku na web?
GDPR rozšířilo kategorii osobních údajů a právě IP adresa nově do této kategorie také spadá. Důležitější než samotné zařazení tohoto typu dat do kategorie osobních údajů je však účel, za jakým jsou tato data zpracovávána.
V případě logování webových serverů jde o nezbytnou technickou součást každého web serveru. Logování slouží k diagnostickým účelům správce web serveru a log přístupů (access.log) vzniká automaticky při každém obdrženém požadavku na načtení stránky, obrázku, skriptu či obecně čehokoliv, co se na daném web serveru nachází.
Stejně se logují také výskyty jakýchkoliv chyb při načítání stránek. Z toho všeho je patrné, že při logování dochází ke zpracovávání de facto technických údajů nezbytných pro fungování příslušné služby, a tudíž jejich zpracování spadá pod oprávněný zájem.
Navíc se tato data nijak pravidelně nezpracovávají ani nepředávají třetím stranám. Logy v čase rotují a po uplynutí zpravidla dnů či po zaplnění omezeného objemu dat se cyklicky přepisují, tudíž není důvod je dlouhodobě uchovávat.
Z toho vyplývá, že riziko negativních dopadů takového zpracování a případného porušení zabezpečení takových dat pro uživatele internetu je zcela minimální. Vzhledem ke všem těmto okolnostem neplynou v tomto ohledu provozovatelům web serverů z GDPR žádné zásadní nové povinnosti nad rámec obecných povinností, jako je přiměřené zabezpečení dat či informační povinnost.