การแจ้งเตือนความยินยอมของ GDPR ใช้กับจุดเชื่อมต่อที่มีไว้สำหรับการบำรุงรักษาหรือไม่

ไม่คุณไม่จำเป็นต้องแสดงนโยบายความเป็นส่วนตัวสำหรับการใช้งานเซิร์ฟเวอร์ที่เข้าถึงได้โดยสาธารณะตราบใดที่ข้อมูลการรับส่งข้อมูลใด ๆเช่นที่อยู่ IP จะถูกใช้ตามความจำเป็นอย่างยิ่งสำหรับการให้บริการที่ร้องขอโดยผู้ใช้เท่านั้น

เบื้องหลังคือแม้ว่า GDPR จะเป็นกฎหมายทั่วไป แต่คำสั่ง ePrivacy (ePD) จะให้รายละเอียดเพิ่มเติมสำหรับบริการโทรคมนาคมและสังคมข้อมูลซึ่งรวมถึงเซิร์ฟเวอร์ SSH ด้วย ตาม ePD Art 6 อาจมีการใช้ข้อมูลการจราจร (1) เพื่อวัตถุประสงค์ในการส่ง / บริการหรือเมื่อข้อมูลถูกไม่ระบุตัวตน (2) เพื่อวัตถุประสงค์ในการเรียกเก็บเงินหรือ (3) เพื่อการตลาดหรือบริการเสริมเมื่อผู้ใช้ ได้ให้ความยินยอม ข้อมูลเกี่ยวกับการประมวลผลจำเป็นต้องใช้ภายใต้ ePrivacy สำหรับกรณี (2) และ (3) เท่านั้น แต่ไม่ใช่สำหรับการประมวลผลที่จำเป็นอย่างยิ่ง

ตอนนี้คำถามที่ยุ่งยากอยู่ภายใต้สถานการณ์ใดที่คุณสามารถบันทึก (ล้มเหลว) ความพยายามในการเข้าสู่ระบบหรือใช้เครื่องมือเช่น fail2ban ข้อโต้แย้งประการหนึ่งคือมาตรการดังกล่าวมีความจำเป็นอย่างยิ่งเพื่อรับรองความปลอดภัยของการสื่อสาร แต่เห็นได้ชัดว่ามาตรการเหล่านี้ไม่จำเป็นสำหรับการดำเนินการส่งข้อมูลในแง่ของ ePD มีสองสามวิธีในการแก้ไขปัญหานี้:

• จำเป็นต้องตีความให้กว้างขึ้นและมาตรการรักษาความปลอดภัยเป็นสิ่งที่จำเป็นอย่างยิ่ง ตัวอย่างเช่น ePD Art 6 (5) กล่าวถึงการตรวจจับการฉ้อโกงโดยไม่ได้รับอนุญาตอย่างชัดเจน

• ที่อยู่ IP ถูกทำให้ไม่ระบุตัวตนอย่างมีประสิทธิภาพในความหมายของ ePD เนื่องจากคุณไม่มีวิธีการเชื่อมโยงที่อยู่ IP กับบุคคลใดบุคคลหนึ่งตามความเป็นจริง

  นี่เป็นข้อโต้แย้งที่ค่อนข้างอ่อน แต่สามารถรองรับได้โดย GDPR Recital 26 ซึ่งกำหนดข้อมูลที่ไม่ระบุตัวตน ความแตกต่าง: ที่อยู่ IP คือตัวระบุออนไลน์ซึ่งรวมไว้อย่างชัดเจนในคำจำกัดความของข้อมูลส่วนบุคคลใน GDPR Art 4 (1)

• ที่อยู่ IP ไม่ได้เป็นเพียงข้อมูลการจราจรที่อยู่ภายใต้ ePD เท่านั้น แต่ยังรวมถึงข้อมูลส่วนบุคคลที่อยู่ภายใต้ GDPR ด้วย เมื่อที่อยู่ IP ถูกใช้เพื่อทำการส่งข้อมูลจะไม่ถูกประมวลผลเป็นข้อมูลส่วนบุคคลและจะใช้เฉพาะข้อกังวลเกี่ยวกับ ePD เท่านั้น แต่เมื่อเราดำเนินการเพื่อห้าม IP นั้นจะถูกประมวลผลเป็นข้อมูลส่วนบุคคลภายใต้ผลประโยชน์ที่ชอบด้วยกฎหมาย การประมวลผลนี้ไม่อยู่ภายใต้หมวดหมู่ใด ๆ จาก ePD Art 6 ดังนั้นจึงใช้เฉพาะข้อกังวลเกี่ยวกับ GDPR เท่านั้น สิ่งเหล่านี้รวมถึงข้อกำหนดในการแจ้งเจ้าของข้อมูลเกี่ยวกับการประมวลผลในเวลานั้นตาม GDPR Art 13 ซึ่งสามารถทำได้โดยการแสดงลิงก์ไปยังนโยบายความเป็นส่วนตัวในระหว่างขั้นตอนการเข้าสู่ระบบ

  สำหรับการโต้แย้งเรื่องผลประโยชน์ที่ชอบด้วยกฎหมายนั้นยังขึ้นอยู่กับความคาดหวังของเจ้าของข้อมูลทั่วไป เนื่องจากมาตรการรักษาความปลอดภัยบางอย่างเช่นบันทึกการรักษาความปลอดภัยเป็นเรื่องปกติและควรคาดหวังข้อโต้แย้งเรื่องผลประโยชน์ที่ชอบด้วยกฎหมายจึงน่าจะมีความเข้มงวด

  ฉันคิดว่านี่เป็นข้อสรุปที่ถูกต้องแม้ว่าอาร์กิวเมนต์“ ไม่ใช่ข้อมูลการจราจรหรืออย่างน้อยก็ไม่อยู่ภายใต้ ePD” ก็ค่อนข้างอ่อนแอ มันขึ้นอยู่กับสมมติฐานที่ว่ามาตรการรักษาความปลอดภัยไม่ใช่“ บริการเสริม” สิ่งนี้เหมาะกับวัตถุประสงค์ของ ePD แต่ไม่ใช่คำจำกัดความที่แท้จริงของบริการเสริม

ไม่ว่าในกรณีใดคุณไม่จำเป็นต้องขอความยินยอมเว้นแต่คุณจะต้องได้รับความยินยอมเช่นภายใต้ ePD Art 6 (3) หรือเนื่องจากการประมวลผลข้อมูลส่วนบุคคลของคุณอาศัยความยินยอมเป็นพื้นฐานทางกฎหมายตาม GDPR Art 6

นอกจากนี้ยังต้องสังเกตด้วยว่า ePD ไม่มีผลในทันที แต่จะต้องมีการบังคับใช้โดยแต่ละประเทศสมาชิกสหภาพยุโรปในกฎหมายระดับประเทศ กฎหมายเหล่านี้สามารถให้คำแนะนำที่เฉพาะเจาะจงมากขึ้น

เนื่องจากฉันกำลังประมวลผลที่อยู่ IP ของผู้ใช้เมื่อพวกเขาทำการเชื่อมต่อ GDPR ต้องการให้ฉันแจ้งให้ผู้ใช้ทราบถึงการกระทำดังกล่าวหรือไม่เช่นแบนเนอร์ที่แสดงเมื่อเข้าถึงเซิร์ฟเวอร์

อาจจะ. คุณสามารถระบุผู้ใช้งานที่เฉพาะเจาะจงเพียงแค่จากที่อยู่ IP ของพวกเขา? ดูเหมือนไม่น่าจะเป็นไปได้โดยเฉพาะอย่างยิ่งหากพวกเขาเชื่อมต่อกับเซิร์ฟเวอร์โดยไม่สามารถเข้าสู่ระบบได้ในกรณีดังกล่าวเป็นที่ถกเถียงกันอยู่ว่าคุณไม่ได้ "ประมวลผล" ข้อมูลส่วนบุคคลดังนั้นจึงไม่มีข้อกำหนดในการแจ้ง ฯลฯ

โปรดทราบว่าบอทอัตโนมัติจำนวนมากจะสแกนพอร์ตสำหรับเซิร์ฟเวอร์ SSH แบบเปิดและไม่สามารถถือเป็น "บุคคลธรรมดา" ได้ตามวัตถุประสงค์ของกฎหมาย จำนวนบอทดังกล่าวดูเหมือนจะมีมากกว่าจำนวนบุคคลธรรมดาที่เข้าถึงเซิร์ฟเวอร์ในกรณีส่วนใหญ่ดังนั้นจึงเพียงพอที่จะแสดงแบนเนอร์หลังจากเข้าสู่ระบบเท่านั้น

ฉันจำเป็นต้องปฏิบัติต่อผู้ที่เข้าสู่ระบบที่เป็นไปได้และข้อมูลที่ป้อนเป็นข้อมูลส่วนบุคคลหรือไม่?

มันขึ้นอยู่กับ. หากความพยายามส่วนใหญ่เป็นไปโดยอัตโนมัติจะไม่เชื่อมต่อกับบุคคลธรรมดา แต่ข้อมูลจริงที่ป้อนอาจนับเป็นข้อมูลส่วนบุคคลหากผู้ใช้ได้รับข้อมูลรับรองเฉพาะ มิฉะนั้นหากพวกเขาเข้าสู่ระบบด้วยชื่อบัญชีและรหัสผ่านทั่วไปเนื้อหานั้นไม่ใช่ข้อมูลส่วนบุคคลเนื่องจากไม่ได้ระบุตัวบุคคลโดยเฉพาะ

จะเกิดอะไรขึ้นถ้าอินเทอร์เฟซประมวลผลข้อมูลผู้ใช้ แต่เทคโนโลยีของอินเทอร์เฟซไม่จำเป็นต้องมีสำหรับการโต้ตอบที่มนุษย์อ่านได้เช่นการตอบสนอง ICMP

ฉันไม่ทราบเพียงพอเกี่ยวกับวิธีการทำงานเพื่อให้คำตอบฉันกลัว ฉันคิดว่ามันอาจถูกจับได้โดยบทบัญญัติเดียวกัน แต่มันจะมีความเฉพาะเจาะจงมากกว่านั้น

ที่อยู่ IP ไม่จำเป็นต้องเป็นข้อมูลส่วนบุคคล

'ข้อมูลส่วนบุคคล' หมายถึงข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุหรือระบุตัวตนได้ ('data subject'); บุคคลธรรมดาที่สามารถระบุตัวตนได้คือบุคคลที่สามารถระบุได้ทั้งทางตรงหรือทางอ้อมโดยเฉพาะอย่างยิ่งโดยการอ้างอิงถึงตัวระบุเช่นชื่อหมายเลขประจำตัวข้อมูลตำแหน่งตัวระบุออนไลน์หรือปัจจัยหนึ่งหรือหลายปัจจัยที่เฉพาะเจาะจงเกี่ยวกับร่างกายสรีรวิทยา ลักษณะทางพันธุกรรมจิตใจเศรษฐกิจวัฒนธรรมหรือสังคมของบุคคลธรรมดานั้น

หากคุณสามารถใช้ที่อยู่ IP เพื่อระบุตัวตนของใครบางคนหรือหากคุณสามารถ "เชื่อมโยง" กับใครก็ได้นั่นคือข้อมูลส่วนบุคคล เช่นในสถานการณ์ของคุณชื่อผู้ใช้ jsmith ล็อกอินจาก$ipaddress, you know jsmith is your employee John Smith of 1 Example Street etc, therefore you can relate $ipaddress ของ John Smith คนนั้นจึงเป็นข้อมูลส่วนบุคคล แต่หากหน่วยงานที่ไม่รู้จักบางส่วนพยายามเข้าสู่ระบบจาก $ ipaddress และคุณไม่สามารถระบุบุคคลที่มี IP หรือเชื่อมโยง IP กับบุคคลได้แสดงว่าที่อยู่ IP ไม่ใช่ข้อมูลส่วนบุคคล

สันนิษฐานว่าคุณได้ออกหรือแจ้ง GDPR หรือประกาศความเป็นส่วนตัวให้กับคนงานของคุณ

เซิร์ฟเวอร์ SSH ของคุณไม่จำเป็นต้องแจ้งให้ผู้ใช้ทราบว่ามีการบันทึกที่อยู่ IP