Meddig tároljuk el a logokat?

 ( csardij | 2018. május 24., csütörtök - 11:12 )

Szóval, jó kérdés. Rendőrségtől sokszor jön adatkérés 6-12 hónapos dolgokra. Közben meg minél kevesebb ideig kéne megőrizni a GDPR miatt ha minden igaz, mert egy csomó szenzitiv adat (lehet) benne.

Mi lehet a jó egyensúly a kettő között?

Ti meddig tároljátok?

(logok alatt itt most webszerver logokat, email belépés, más belépési logok, stb ilyesmikre gondolok).

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

ez érdekelne engem is, laikusként kicsit off lehet a kérdésem de múltkor pont ezen gondolkodtam: van valami jogszabály ami kötelez engem arra hogy bármit is logoljak? mi van ha teszem azt egy 12 hónapra visszamenő adatkérés érkezik de nekem csak egy hétre visszamenőleg van logom?


"all submitted complaints will be forwarded to /dev/null for further investigation"
expectations versus reality

az attól függ, hogy tudod-e bizonyítani az ellenkezőjét annak amit rád akarnak húzni.
Tudod, az alibi azt bizonyítja, hogy ott voltam ahol nem voltam :-)

Ártatlanság vélelme van, a vádlónak kell bizonyítania a vádlott bűnösségét, és nem a vádlottnak kell bizonyítania saját ártatlanságát.

Nem.

A GDPR szövegében benne van, hogy neked kell bizonyítanod, hogy megfelelően jártál el amennyiben az eljáró hatóság megkeres.

Annak a bizonyítására elegendő egy tanúsítvány beszerzése a megfelelő hatóságtól.

Időnként kijönnek statisztikák "Average time to detect breaches" címmel, ennek alapján általános esetben teljesen indokolható az 1 éves megőrzési idő.

A GDPR sok mindent megenged, a lényeg hogy legyenek átgondolva a folyamatok, legyen dokumentáció. És nem, logot nem kell törölni akkor sem ha a felhasználó kéri.

GDPR anonimizálást követel, azaz log maradhat, de "benne" (?) ne legyen szenzitív adat.

Akkor meg minek?

-1

Ez igy nem igaz.

Kezelhetsz azonositasra alkalmas adatot legalabb ket esetben:
1) ha az ember beleegyezett
2) ha jogszabaly miatt kell.

Pl. ha van olyan jogszabaly, ami azt mondja, hogy neked 5 evig el kell tarolni a logokat es hatosagi keresre adatot kell szolgaltatnod, ami alapjan beazonosithato valaki, akkor nem csak, hogy nem kell anonimizalni, de nem is szabad, es keresre sem szabad torolni.
Es persze a jogszabaly sokszor nem ennyire konkret, csak altalanossagban azt mondja, hogy mondjuk penzmosas elleni kuzdelem miatt ilyen es olyan cegeknek adatot kell tudniuk szolgaltatni errol meg arrol. Ennek alapjan vegig kell gondolnotok, dokumentalnotok kell, es ennek alapjan kell eldontenetek, hogy anonimizalva logoltok (vagy nem logoltok), vagy logoltok szemely azonositasra is jo adatokat is, de x ido mulva torlitek vagy anonimizaljatok.

plusz
3) ha ezt a jogos érdeked diktálja, ez nem korlátozza aránytalanul az érintett jogát a személyes adatainak védelméhez - na a logtárolás pont ez a kategória

Prod rendszereknél 3 hónap, dev-test 1 hónap vagy ha úgy kérik még annyi se.
Ami ennél régebb kellhet speciális esetben de akkor előre kell tervezni és szólni, amúgy ez az ökölszabály felénk.

Pénzügyi tranzakciós logokat szerintem örökké. A legújabb kokakóla megvételéhez kapott 100mb mobilinternet érvényesítő kuponkódjait egy órát.

Ha egy eseménynek elévülés folytán nem lehet már jogkövetkezménye, akkor az eseményről készült log hiányának sem lehet. Multinál árnyalja a képet, hogy két/több istent kell szolgálni, és az igényeiket (ha külön megállapodásuk nincs) max()olni.

- o -

Ha rendőrségi kamerákat üzemeltetsz, az se baj, ha pont inkriminált pillanatokról nincs se képanyag, se log... mundérban is emberek vagyunk, nemde...
Nem vagyok benne biztos, hogy rendőrségi adatkérés esetén ezt az érvelést alapként elfogadják érdemi adatok helyett.

Amit a törvény megkövetel, addig. Van amit 5 évig (pl. kinek mikor mi volt az IP-je)

Fedora 27, Thinkpad x220

Ez ISP-re vonatkozik amit irsz, az elgé egyszeru, mert a törvényben benne van mit, hogy an meddig kell. De tudtommal sehol nincs szabályozva, hogy pl. egy webszerver esetén meddig tárold el az access_logot.

Akkor addig kell ameddig jónak látod/helyed/kedved stb, nem értem hol a gond :D

Fedora 27, Thinkpad x220

subscribe.

----------------------------------
szélsőségesen idealista, fősodratú hozzászólás

+1

Ha jól emléxem a hírközlésről szóló törvényben van rendelkezés a logok tárolásáról.

Ez főleg az IP "osztók"-ra vonatkozik, de a mail-logokra is van valami előírás.

Ezek a törvények a GDPR harmonizációig tuti felülírják a GDPR-t, ahogy pl. a NAV-osok is.

Az, hogy rád vonatkozik-e a hirközlési törvény, már más kérdés.

"Ezek a törvények a GDPR harmonizációig tuti felülírják a GDPR-t, ahogy pl. a NAV-osok is."
Nem. Alacsonyabb rendű jogszabály soha nem írhat felül magasabb rendűt.

A GDPR az EU regulation és nem EU directive, így minden vonatkozó tagállami törvényt felülír, egy az egyben alkalmazandó, nem kell átültetni a rendelkezéseit a tagállam jogi környezetébe.

Tehát, ha vásárolok valamit, és utána toroltetem magam a "rendszerből", akkor kötelesek törölni/anonimizalni a szamlazasbol is, aminek 5+x év a megőrzési ideje?

Vagy miután feltöltöm a exem privát videóit, toroltetem a tcom rendszeréből magam?

Nem töröltethetsz olyan adatot, amit törvényi kötelezettség miatt tárolnak.

https://www.youtube.com/watch?v=FZ23kosLFec

btw... :) i'm going to click decline :)

ha szolgaltato vagy, akkor 1 evig minimum.

Btw. a gdpr egyaltalan nem azt mondja, hogy minel rovidebb ideig tarold a logokat. Sot, ha egy jogszabaly teged arra kotelez, hogy orizd meg 1 evig, akkor barki kerdi, nyugodtan mondd azt neki, hogy azert tarolod (meg mindig) a logokat, es azert nem anonimizalod a benne levo adatokat, mert kotelezve vagy ra.

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

És melyik jogszabályba van leírva az, hogy kell? Ezt keresem, de nem találtam semmi. Mert amit találtam, az az ISP-kre és hasonlókra vonatkozik, de az teljesen más liga.

Kutatásom alapján, törvényben nincs előírva semmi, akár kukázhatod egy nap után is.

szerintem az a vps szolgaltatokra is vonatkozik...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

Ott legtobb esetben fix IP van, szoval kulon naplo nelkul is lehet tudni kihez tartozik. Minden mas (relevans) log mar a VM-en belul van. Ha dinamikus az IP-user osszerendeles, akkor szerintem is az van, amit irsz. Mondjuk az ISP-szeruseg logikus lenne, mert tulajdonkeppen az.

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

De itt most engem nem ez érdekel, írtam is, hogy konkrétan webszerver log, email log ilyesmi, ami a szerveren belül keletkezik. Nem az IP-ügyfél összerendelés logja.

Szerencsére ez egyértelműen definiálva van, hogy az EHT kire vonatkozik és kire nem, 188. § 13.

Elektronikus hírközlési szolgáltatás: olyan, más részére általában ellenszolgáltatásért végzett szolgáltatás, amely teljesen vagy nagyrészt jeleknek elektronikus hírközlő hálózatokon történő átviteléből, és ahol ez értelmezhető, irányításából áll, ideértve az adatkicserélő szolgáltatást, valamint a nyilvános adatkicserélő szolgáltatást is, de nem foglalja magában az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások felhasználásával továbbított tartalmat szolgáltató vagy ilyen tartalom felett szerkesztői ellenőrzést gyakorló szolgáltatásokat, valamint nem foglalja magában az információs társadalommal összefüggő, más jogszabályokban meghatározott szolgáltatásokat, amelyek nem elsősorban az elektronikus hírközlő hálózatokon történő jeltovábbításból állnak.

Írtam egy üzenetet az NMHH-nak, hogy adjanak valami állásfoglalást.

ez innentol engem is erdekel