„Dane internetowe”: brak obowiązku przetwarzania danych e-użytkowników (art. 18 UoŚUDE)

Tak mnie właśnie tknęło w kontekście nowelizacji inwigilacyjnej i zwiększenia uprawnień policji w zakresie kontroli operacyjnej danych internautów — przecież u licha nikt nie zmusza e-usługodawców do przetwarzania tych wszystkich danych, które ewentualnie mogą być później wyciągane przez służby!

Dla jasności: art. 18 ust. 5 UoŚUDE wskazuje, że usługodawca może przetwarzać określone dane eksploatacyjne charakteryzujące sposób korzystania z usług (w tym adres IP zakończenia sieci, o czasie korzystania z usługi) — może ale nie musi — zatem ja bym powiedział tak: jak nie musisz, nie przetwarzaj. Nikt ci za to problemów nie będzie robił, zwłaszcza, że pojęcie adekwatności gromadzonych danych odnosi się także do art. 18 UoŚUDE.

art. 18 ust. 5-6 UoŚUDE
5. Usługodawca może przetwarzać następujące dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną (dane eksploatacyjne):
1) oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych, o których mowa w ust. 1;
2) oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca;
3) informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną;
4) informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną.
6. Usługodawca nieodpłatnie udostępnia dane, o których mowa w ust. 1–5, organom państwa uprawnionym na podstawie odrębnych przepisów na potrzeby prowadzonych przez nie postępowań.

Oczywiście to nie jest porada dla każdego serwisu — pomijając już oczywistą oczywistość, że marketing i reklama mają swoje potrzeby (targetowanie, etc.), to czasem trzeba potrafić wykazać, że taki ktoś na pewno skorzystał z takiego czegoś (najprostsze: że się faktycznie zarejestrował i wyraził zgodę na informacje handlowe).
W innych przypadkach chyba można liczyć na to, że admin zapuści od czasu do czasu jakiegoś crona — i przeczyści logi z tego, czego naprawdę nie ma potrzeby trzymać.

Dla rozróżnienia: inaczej jest w przypadku działalności telekomunikacyjnej. Art. 180a PT wyraźnie nakłada na operatorów obowiązek retencji danych telekomunikacyjnych przez 12 miesięcy — a służby mają uprawnienie do myszkowania w tych danych na podst. art. 180d PT — ale w odniesieniu do serwisów świadczących usługi elektroniczne przepisu takiego nie ma.

  • adminhere

    „admin zapuści od czasu do czasu jakiegoś crona — i przeczyści logi z tego” – cron służy do automatycznego uruchamiania jakiegoś zadania co jakiś czas (tak jak harmonogram zadań w Windowsie) – ustawiasz że np. system usunie jakiś plik co tydzień czy 15 minut. Do zautomatyzowanego usuwania logów to się logrotate bardziej nadaje.

    (Ten komentarz nie ma na celu krytyki, a jedynie uświadomienie :)

  • Dzięki :) przyznam, że jestem lamerem i po prostu cron jest dla mnie nazwą generyczną :)

  • maho

    logrotate jest jak najbardziej uruchamiany z crona (zazwyczaj)