Leggi e norme sulla protezione dei dati per la memorizzazione degli indirizzi IP per gli utenti registrati [chiuso]

Naviga le tue risposte
2

Ho un sito Web, è possibile accedere a grandi quantità di questo sito solo se l'utente effettua il login. Vorrei utilizzare gli indirizzi IP degli utenti come mezzo per determinare dove si trovano quando accedono a determinate pagine.

Vorrei utilizzare l'IP degli utenti per determinare se si trovano in un determinato istituto (azienda, università, scuola ecc.). Conosco gli intervalli di indirizzi IP per l'istituto (ad esempio 0.0.1.0 su 0.0.1.255 ) e conosco l'indirizzo IP dell'utente, ad es. 0.0.1.1 .

Idealmente memorizzerei l'indirizzo IP dell'utente in un database che mi consentirebbe di dire "Persona X a cui si accede dalla pagina Y dal computer 0.0.1.1 ".

Ho letto, su vari forum, che ci sono alcune cose di cui bisogna fare attenzione quando si memorizzano gli indirizzi IP che possono essere collegati a utenti specifici. In alcuni casi le persone dicono che devono essere cancellate dopo 90 giorni, vorrei evitare di cancellare queste informazioni fino a quando l'utente non è più registrato con il mio sito.

Posso memorizzare queste informazioni senza violare leggi o atti di protezione dei dati, ecc.?

Per riassumere:

  • Vorrei memorizzare gli indirizzi IP per gli utenti noti ogni volta che accedono a determinate pagine
  • Non memorizzerei mai gli indirizzi IP per i visitatori che non sono registrati con il mio sito
  • Le informazioni saranno archiviate fino a quando l'utente non sarà più registrato con il sito (a quel punto gli IP saranno cancellati).
  • Sono sicuro che le leggi variano da paese a paese, quindi per chiarezza: tutti gli utenti registrati sono nel Regno Unito (i dati sono anche memorizzati nel Regno Unito)
posta Phil 01.03.2014 - 16:18
fonte

2 risposte

1

Dovresti assolutamente verificare le leggi sulla protezione dei dati sia in Europa sia nel Regno Unito per essere sicuro, ma finché non raccogli e memorizzi Personalmente Informazioni identificative (PII) , non dovrai preoccuparti veramente di leggi e regolamenti.

Più precisamente:

An IP address in isolation is not personal data under the UK Data Protection Act, according to the Information Commissioner. But an IP address can become personal data when combined with other information or when used to build a profile of an individual, even if that individual's name is unknown.

Quindi questo deve essere determinato in base al tipo di informazioni che raccogli e / o memorizzi dai tuoi utenti.

Inoltre, come menzionato nei commenti, questo non sembra l'approccio giusto per raggiungere questo obiettivo.

    
risposta data 01.03.2014 - 17:05
fonte
1

La legge europea sulla protezione dei dati è (attualmente) basata sul 95 / 46 Direttiva UE . Ciò significa che la legge è per lo più la stessa negli Stati membri in principi generali (al contrario di un regolamento, una direttiva UE offre agli Stati membri un certo margine sul modo in cui attuano la direttiva, pur essendo giuridicamente vincolanti).

Gli indirizzi IP sono generalmente considerati dati personali all'interno dell'UE, il Regno Unito è eccezionale in questo senso. Anche all'interno del Regno Unito, l'ICO è consapevole del fatto che gli indirizzi IP sono un'area grigia che riguarda i dati personali (buon articolo qui ) in quanto possono essere correlati a un individuo unico senza troppi sforzi a seconda di chi li colleziona.

Alcuni principi di protezione dei dati per aiutarti a decidere se questo è il caso:

Memorizzi i dati per uno scopo specifico e legale? Lei dice "Voglio sapere dove sono quando accedono ai dati". Perché volete sapere? Per vendere i dati raccolti a una società di marketing o per ottimizzare il tuo sito? Il primo potrebbe non essere lecito, il secondo sembra abbastanza ragionevole.

È proporzionale? Avete bisogno delle informazioni che raccogliete o potreste fare con meno per raggiungere il vostro scopo?

Quanto tempo hai bisogno dei dati? Questo dipende in gran parte dallo scopo per cui l'hai raccolto in primo luogo. Di solito non esiste un termine definito, dipende dallo scopo. Per ottimizzare il tuo sito 90 giorni potrebbe andare bene, per eseguire un'analisi scientifica di 2 anni parte di uno studio universitario sull'utilizzo del sito web nel Regno Unito non è abbastanza lungo.

Inoltre, se le persone registrate o meno non necessariamente importa fino a quando le persone danno il consenso. Naturalmente, il modo più semplice per chiedere il consenso per elaborare determinate informazioni è nel modulo di registrazione. La legge sulla protezione dei dati richiede il consenso informato (ad esempio, le persone che dicono "Sono d'accordo" senza leggere effettivamente i termini perché i termini sono di dimensione 3 e visualizzati in un colore simile allo sfondo di solito non portano al consenso informato). Se viene fornito tale consenso e l'utente elabora i dati raccolti in base ai termini specificati quando le persone hanno acconsentito, è opportuno procedere.

Nota finale: la sicurezza è un aspetto importante, tutti i dati personali dovrebbero essere archiviati secondo appropriati mezzi tecnologici e organizzativi. Ad esempio, prendere le precauzioni ragionevoli per proteggere i dati.

    
risposta data 01.03.2014 - 23:38
fonte

Leggi altre domande sui tag

Come posso proteggermi dall'operatore VPN quando utilizzo una VPN per ottenere l'accesso gratuito a Internet? Come posso verificare che la firma GPG sia valida?