我是一个个人(即不是组织),拥有一个爱好网站,该网站没有商业利益、没有第三方关联、没有社交媒体链接,也没有第三方分析。

当用户打开网站时,他们的访问会被记录下来。我会跟踪时间戳、IP 以及使用该 IP 获取的一些信息 – 城市、地区、国家和互联网服务提供商。会向用户提供一个带有唯一标识符的 cookie,以帮助删除重复访问。我不会保护这些信息的安全,事实上,该网站的明确目的是作为公共“留言簿”。该网站会在一个大表格中公开显示所有过去访问的上述信息,供任何人查看。

我见过,它询问作为业余项目的 Web 应用程序是否需要遵守 GDPR,但我觉得我在这里处理数据的方式有些独特,特别是与第三方有关的方式。

我需要遵守 GDPR 吗?如果需要,该怎么做?在将人添加到留言簿之前获得同意就足够了吗?还是我需要针对信息不安全这一事实采取额外措施?

9

  • 这个问题类似于:如果您认为不同,请问题,说明不同之处和/或该问题的答案对您的问题没有帮助。


    – 

  • @trish 实际上,你能解释一下为什么相似吗?我的问题与分析无关


    – 

  • 您只需跳过 Google Analytics 的第三方 – 您需要明确同意任何非严格技术必要的 cookie,并且 IP 在定义上属于个人数据。


    – 


  • 但我的网站根本不使用任何分析工具,无论是谷歌还是其他。这个问题是关于获取人们的信息(目前未经同意)并将其全部公开展示


    – 

  • 1
    法律论点是,处理 IP 和设置 cookie 已经属于分析。虽然分析不是很复杂,但这并不重要。您所描述的行为是处理个人数据,因此需要遵守 GDPR。


    – 


最佳答案
1

GDPR 第 2(2)(c) 条豁免(“由自然人在纯粹个人或家庭活动过程中实施”)似乎不适用于所描述的假设情况。

判例法规定:

“如果一项活动的目的是使所收集的数据可供无限数量的人使用,或者该活动延伸到公共场所,即使只是部分延伸到公共场所,并且因此从以这种方式处理数据的人的私人环境向外延伸,则该活动不能被视为纯粹的个人或家庭活动[…]”。(,边注 42 及其它参考资料。)

“因此,该例外情况(针对自然人在进行个人或家庭活动时进行的数据处理)必须被解释为仅适用于个人在私人或家庭生活中进行的活动,而将个人数据发布在互联网上,使无限数量的人可以访问这些数据,这种处理显然不适用。”(,边注 47)

通过

因此,该假设的网站必须具有处理个人数据的“合法依据”(第 6 条)。

至于访问者设备上的 cookie 或其他存储,网站必须获得访问者的同意才能设置对网站运行而言并非“严格必要”的 cookie(电子隐私指令)。