Hljóðlaega GDPR-áhættan í annálskerfinu þínu
Uppfært fyrir 2026
Flestir hópar athuga gagnagrunn sinn fyrir persónulegar upplýsingar. Færri gera það sama fyrir annálskerfi sitt.
GDPR 5. grein (1)(e) takmarkar hversu lengi þú getur geymt persónulegar upplýsingar. Fyrir gagnagrunna setja hópar reglur og keyra eyðingarvinnslu. Fyrir annálsskrár er reglan einfaldari: haltu öllu í 90 daga til villuleitar.
Vandamálið? Þær skrár geyma persónulegar upplýsingar. Beiðnifærslur geyma notendanetföng. Villupípar geyma hrátt inntaksgildi. Aðgangsmerki geyma IP-tölur. Hvert þessara telst persónulegar upplýsingar samkvæmt GDPR. Hópur þinn þarf lögmætar grundvöll og varðveislupfáætlun fyrir hvert þeirra.
Hvað endar í annálsskránum þínum
Hefðbundnar vefforritaskráningar draga inn breitt úrval PII.
Aðgangsskrár (nginx/Apache):
- IP-tölur — persónulegar upplýsingar samkvæmt EDPB-leiðbeiningum
- User-agent-strengir — geta virkjað tækjafingrafargreiningu
- Setutákn — ef skráð í úttak
Forritaskrár (skipulegur JSON):
- Notendaauðkenni og netföng
- Innsláttar villur — innihalda oft hrátt ógilt gildi sem gæti verið raunverulegar notendaupplýsingar
- Viðskiptaatburðir — pöntunarnúmer tengd við viðskiptavinaReikninga
- Leitarfyrirspurnir — gætu innihaldið nöfn eða heimilisföng
API-gáttarskrár:
- Auðkenningarhausa — að hluta gripnir í sumum uppsetningum
- Fyrirspurnarfæribreytur — gætu borið notendaauðkenni, nöfn eða netföng
- Beiðni- og svarhlutir — til staðar í villuleit-stigs uppsetningum
Gagnagrunnsskrár:
- SQL-fyrirspurnir með WHERE-ákvæðum eins og
email = 'notandi@example.com' - Bókstaflegar persónulegar gildi í fyrirspurnafæribreytum
Þetta er ekki gert vísvitandi. Þetta er aukaverkun skráningar byggðrar til villuleitar, ekki GDPR.
EDPB-leiðbeiningar um IP-tölur
Evrópska persónuverndarnefndin segir að IP-tölur séu persónulegar upplýsingar. Netþjónustuaðilar geta tengt þær við áskrifendur. Innan stofnunar geta þær auðkennt tiltekna notendur.
Áhrifin eru bein. Aðgangsskrár með IP-tölum eru persónulegar skrár. Að geyma nginx-úttak í 12 mánuði þýðir að geyma persónulegar upplýsingar í 12 mánuði. Þetta þarfnast lögmætra grundvallar samkvæmt 6. grein. Það þarfnast einnig þess að varðveislutímabilið passi við tilgreint tilgang þinn.
Flestir hópar sleppa þessu skrefi. "Við geymum færslur í 90 daga vegna þess að öryggi segir það" er þumalputtaregla. Þetta er ekki GDPR 5. gr. (1)(e) endurlit. Sjá lagalegt samræmisyfirlit okkar til að sjá hvernig þetta passar inn í víðara áætlun.
Hvernig á að ná samræmi
Verklega leiðin fyrir flesta hópa er ekki að stytta varðveislugluggana. Rekstrarleg og öryggisleg ástæður fyrir lengri glugga eru raunverulegar. Betri leiðin er að hylja skrár áður en þær eru geymdar til lengri tíma.
Lagskipt líkan virkar vel.
0–7 dagar: Fullar hráar skrár til virkrar villuleitar. Sjö dagar eru nógu stuttur tími fyrir flesta hópa.
7–90 dagar: Huldar skrár til þróunargreiningar og öryggisendurskoðunar. IP-tölur eru skipt út. Notendanetföng verða stöðug tákn. Reikningsnúmer eru hulið. Lykilreitir — tímastimplar, villukóðar, biðtími, endastöðvar — eru haldnir óhreyfðir.
90+ dagar (ef nauðsynlegt): Samanlagður útgáfa aðeins. Atburðafjöldi, villuhlutfall, biðtímasvið. Engar notendaupplýsingar á stigi notanda haldast eftir.
Persónulegar upplýsingar stoppa eftir sjö daga. Samanlögð útgáfa getur haldið áfram án þess að afhjúpa nokkurn. Sjá öryggi og samræmi fyrir frekari upplýsingar.
Haltu uppbyggingunni heilum til eftirlits
Góð huling heldur JSON-uppbyggingunni heilum. Hún skiptir aðeins efni út. Þetta heldur úttaki gagnlegu til villuleitar og viðvörunar.
Haldið óhreyfðum:
- JSON-lyklar og innfyllingaruppbygging
- Tímastimplar og tímaröð
- Villurgerðir og HTTP-stöðukóðar
- HTTP-aðferðir, slóðir og biðtímagildi
- Viðskiptaatburðargerðir
Skipt út:
- Netföng → stöðugt tákn á upprunalegan (t.d.
user1@example.com) - IP-tölur → RFC 5737 svið (
192.0.2.x) - Reikningsnúmer →
ACCT_XXXXX - Símanúmer →
+XX XXX XXX XXXX - Nöfn í villatexta →
[MANNFÓLK]
Stöðug tákn halda rakeingum gagnlegum. Rakning fyrir user1@example.com yfir 40 færslur virkar eins og frumgagnin. Samanlagðar mælingar — villuhlutfall, biðtími, gegnsæi — þurfa engar persónulegar upplýsingar yfirleitt. Sjá Orðasafn fyrir hugtökin dulrituð persónuauðkenni og nafnlægi.
Þrjár leiðir til að samþætta þetta
Þrjú mynstur ná yfir flesta hugbúnaðarhópa.
Valkostur 1 — Leiðsluhuling: Fluentd eða Logstash hefur áhrif á hverja línu áður en hún er send áfram. Hulingunarskref keyrir innbyggt. Elastic eða Datadog fær aðeins hreinar skrár. Engar breytingar á forritakóða eru nauðsynlegar.
Valkostur 2 — Næturrunuvinnsla: Hráar skrár lenda í staðbundnum geymslu. Næturvinnsla hylur gærdaginn og eyðir hráttútgáfunni. Huldar skrár fara í langtímageymslu. Hrátt úttak er geymt aðeins í sjö daga.
Valkostur 3 — Forsendingarhuling: Hráar skrár haldast innvortis með þröngum aðgangseftirlit. Áður en þær eru deiltar með öryggisprófendum eða utanaðkomandi verktökum skaltu keyra hulingunarpass. Ytri aðilar fá alltaf hreinar útgáfur.
Fyrir GDPR-skjöl er huling "tæknilegar ráðstafanir" samkvæmt 32. grein. Skrá tólið, uppsetningu þess og varðveislupfáætlun þína í Vinnslustarfseminni (RoPA) samkvæmt 30. grein. Sjá algengar spurningar okkar fyrir algengar RoPA-spurningar.
Viltu raunverulegt dæmi? Skoðaðu tilviksrannsóknir til að fá áþreifanlegar útfærslunarlýsingar. Þú getur einnig skoðað verðlag til að sjá hvaða áskrift inniheldur innbyggðar hulingleiðslur.
Heimildir
- GDPR 5. grein: Meginreglur um vinnslu gagna — STAÐFEST-UTANAÐKOMANDI
- EDPB Álit 5/2019 um ePrivacy-tilskipunina og GDPR — STAÐFEST-UTANAÐKOMANDI
- Sonra.io: PII-huling í JSON og XML-gögnum — STAÐFEST-UTANAÐKOMANDI