Fråga:
GDPR - Måste jag logga användarens IP efter godkännande för en cookie?
kironet
2018-05-21 17:25:19 UTC
view on stackexchange narkive permalink

Måste jag verkligen logga en användares IP-adress och en tidsstämpel efter att de har godkänt en cookie?

Loggaxempel: 20.05.2018 18:56:32 - 127.0.0.1 - Cookie accepterat

Jag behöver inte ens (jag använder det inte på något sätt) personuppgifter som IP-adress på min webbplats.

Varför frågar du det här om lag?
Var ska jag fråga om GDPR Jag trodde att GDPR = lagavsnitt. Jag frågar inte hur man gör det, jag frågar om jag måste göra det för att följa GDPR.
Ett svar:
Free Radical
2018-05-21 17:43:50 UTC
view on stackexchange narkive permalink

Nej.

Det stavas ganska tydligt i artikel 11.

Faktum är att om du vill följa accepterade dataminimeringsprinciper (och du bör), ska du inte logga något om cookies på din eller tredje parts webbplats.

Och hur vill du bevisa användarens samtycke?
Var (i GDPR) ser du ett lagligt krav för att * bevisa * att användaren samtyckte till att ta emot en cookie?
Konst. 5 (2) GDPR
Konst. 82 (3) GDPR
Det är den registeransvariges ansvar att bevisa att han handlat enligt GDPR. När ett cookiesamtycke är nödvändigt måste den registeransvarige kunna bevisa att det hände. Annars kan användaren helt enkelt säga att det inte har hänt och att du har problem.
"Annars kan användaren helt enkelt säga att det inte har hänt och att du har problem." Tack och lov är det här * inte * hur lagen fungerar. För att vara i trubbel måste användaren kunna * bevisa * för tillsynsmyndigheten (RA) att din webbplats inte är cookie-kompatibel. Att helt enkelt hävda att han / hon inte fick möjlighet att samtycka till cookies kommer inte att göra om programvara för detta är uppenbarligen installerad på webbplatsen och fungerar som den skulle fungera.
Ingen av artiklarna du citerar säger något om loggning. För att följa Art 5 (2) måste den registeransvarige visa att programvara för cookieöverensstämmelse är installerad och fungerar som den ska fungera. Artikel 82 (3) handlar om böter för att inte följa. Som redan nämnts i mitt svar strider loggning av cookie-samtycke mot dataminimeringsprinciper som krävs enligt GDPR. AFAIK, ingen myndighetsmyndighet (RA) har någonsin * invänt * mot denna utbredda praxis att * inte * logga in cookie-godkännande. * Jag * loggar inte cookie-godkännande. Jag har kollat ​​med min lokala RA att detta är OK.
Nej, kontrollen måste visa sig vara kompatibel. vändning av bevisbördan
"Nej, handkontrollen måste visa sig vara kompatibel." Självklart. Frågan går ner på vad som är "bevis": Installation av lämplig programvara eller förmåga att presentera en lättfalsad logg? Min poäng är att en tvistig användare inte kommer att kunna skapa "problem" för handkontrollen genom att bara hävda att han aldrig fick ett samtyckeformulär om det kan bevisas att programvara för att presentera en sådan form används.
Jag håller med om när du kan bevisa att programvaran användes och presenterades för användaren. Min fråga var "Och hur vill du bevisa användarens samtycke?". Jag sa inte att det måste bevisas genom loggning. Inte heller sa jag att du inte följer när du inte har bevis. Naturligtvis kan stockar fejkas lättare än ett undertecknat papper. Ändå är det inte så trivialt att fejka den "rätta" ip-adressen som verkligen tilldelades användaren vid en given tidpunkt. Det används också i andra fall för bevis.Jag ser fortfarande kontrollenheten i trubbel när han inte kan bevisa att användaren gav sitt samtycke.
Även om du skulle spela in IP-adressen kan du fortfarande inte bevisa användarens samtycke, eftersom du inte kan bevisa att IP-adressen tillhör en viss person. I synnerhet när användaren använder en mobiltelefon använder han vanligtvis en dynamisk IP-adress som utfärdas av mobilnätoperatören, eller så skulle han vara ansluten via wifi med en IP-adress som delas av flera användare. I en liknande fråga [föreslog jag] (https://law.stackexchange.com/a/30639/18215) att använda skärmdumpar som visar hur din webbplats fungerar som ett bevis, vilket också skulle bevisa från vilket datum din webbplats är cookie-kompatibel.


Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 4.0-licensen som det distribueras under.
Loading...