GDPR wymaga logowania w wielu miejscach. Dane dziennika są ważnym elementem środków technicznych i organizacyjnych (art. 32 GDPR). Należy jednak zauważyć, że dane dziennika same w sobie są danymi osobowymi i dlatego muszą być chronione zgodnie z prawem ochrony danych.
Przeznaczenie danych z dziennika
Zapisywanie danych z dziennika odbywa się po to, aby móc prześledzić, kto, kiedy, do czego miał dostęp, który dostęp musi być uregulowany. Może to być dostęp do materiałów niebezpiecznych, jak również do systemu elektronicznego z wrażliwymi danymi lub po prostu dostęp do budynku z transponderem dla pracowników.
W przypadku niespójności można szybko wyjaśnić, kto miał dostęp jako ostatni. W ochronie danych szczególnie ważne jest zidentyfikowanie nieautoryzowanego dostępu lub podatności.
W kontekście art. 32 I DSGVO dane dziennika stanowią techniczno-organizacyjne środki bezpieczeństwa przetwarzania. W przypadku naruszenia danych o charakterze fizycznym lub technicznym można ustalić, kto miał dostęp jako ostatni. Jest to często klucz do przywrócenia dostępu do danych osobowych, np. jeśli było to niedopatrzenie pracownika.
Dane z dziennika jako dane osobowe
Z faktu, że dane z dzienników pokazują, kto i kiedy miał dostęp do czego, wynika również, że same dane z dzienników są danymi osobowymi. W związku z tym podlegają one również ochronie przewidzianej w GDPR.
Ankieta
Jeśli chodzi o sposób gromadzenia danych dziennika, § 76 I BDSG zawiera regulacje. Zgodnie z tym, w systemach automatycznego przetwarzania danych, operacje przetwarzania polegające na gromadzeniu, zmianie, pobieraniu, ujawnianiu, w tym przekazywaniu, łączeniu i usuwaniu muszą być rejestrowane. Do gromadzenia danych dziennika zawierających dane wymienione w § 76 I BDSG wymagana jest jednak podstawa prawna, np. z GDPR.
Usunięcie
Dane te należy usunąć z końcem roku następującego po ich wygenerowaniu (§ 76 IV BDSG). Zgodnie z zasadą ograniczenia celu, usunięcie następuje również wcześniej, jeśli cel przetwarzania nie ma już zastosowania.
Zasady przetwarzania danych osobowych
Wszystkie inne zasady GDPR dotyczące przetwarzania danych osobowych (art. 5 GDPR) mają oczywiście zastosowanie również do danych dziennika. Można gromadzić tylko te dane, które są niezbędne (gospodarka danymi). Ponadto dane dziennika muszą być zawsze chronione przed utratą, zniszczeniem, manipulacją i nieuprawnionym dostępem (integralność i poufność).