RODO nakazuje rejestrowanie w wielu miejscach. Dane dziennika są ważnym elementem środków technicznych i organizacyjnych (art. 32 RODO). Należy jednak zauważyć, że same dane dziennika dane osobowe i w związku z tym prawo o ochronie danych mają być chronione.
Przeznaczenie danych z dziennika
Zapisywanie danych z dziennika odbywa się po to, aby móc prześledzić, kto, kiedy, do czego miał dostęp, który dostęp musi być uregulowany. Może to być dostęp do materiałów niebezpiecznych, jak również do systemu elektronicznego z wrażliwymi danymi lub po prostu dostęp do budynku z transponderem dla pracowników.
W przypadku niespójności można szybko wyjaśnić, kto miał dostęp jako ostatni. W ochronie danych szczególnie ważne jest zidentyfikowanie nieautoryzowanego dostępu lub podatności.
W kontekście art. 32 I RODO, dane dziennika stanowią środki techniczne i organizacyjne służące do Bezpieczeństwo przetwarzania to naruszenie danych. W przypadku naruszenia danych o charakterze fizycznym lub technicznym możliwe jest ustalenie, kto ostatnio miał do nich dostęp. Jest to często klucz do przywrócenia dostępu do danych osobowych, np. jeśli był to błąd pracownika.
Dane z dziennika jako dane osobowe
Z faktu, że dane z dzienników pokazują, kto i kiedy miał dostęp do czego, wynika również, że same dane z dzienników są danymi osobowymi. W związku z tym podlegają one również ochronie przewidzianej w GDPR.
Ankieta
Jeśli chodzi o sposób gromadzenia danych dziennika, § 76 I BDSG zawiera regulacje. Zgodnie z tym, w systemach automatycznego przetwarzania danych, operacje przetwarzania polegające na gromadzeniu, zmianie, pobieraniu, ujawnianiu, w tym przekazywaniu, łączeniu i usuwaniu muszą być rejestrowane. Do gromadzenia danych dziennika zawierających dane wymienione w § 76 I BDSG wymagana jest jednak podstawa prawna, np. z GDPR.
Usunięcie
Dane te należy usunąć z końcem roku następującego po ich wygenerowaniu (§ 76 IV BDSG). Zgodnie z zasadą ograniczenia celu, usunięcie następuje również wcześniej, jeśli cel przetwarzania nie ma już zastosowania.
Zasady przetwarzania danych osobowych
Wszystkie pozostałe zasady RODO w sprawie przetwarzania danych osobowych (art. 5 RODO) mają oczywiście zastosowanie również do danych dziennika. Oznacza to, że gromadzone mogą być tylko te dane, które są niezbędne (minimalizacja danych). Ponadto dane dziennika muszą być zawsze chronione przed utratą, zniszczeniem, manipulacją i nieuprawnionym dostępem (integralność i poufność).