Vallen observaties onder GDPR?

stanhope · #1 , 21 mei 2018 09:38

Stel persoon X en persoon Y zijn samen met 50 andere mensen op een publiek toegankelijke server, de enigste toegangsvoorwaarde is dat je het game moet hebben waarvoor de server een host is. Persoon X ziet persoon Y iets doen dat tegen de regels is van de server en schrijft dit op in een bericht op een verborgen deel van een forum. De informatie die wordt opgenomen is: nickname van persoon Y, een uniek ID gegenereerd door de server gebaseerd op persoon Y zijn uniek steam ID, persoon Ys IP en wat er gebeurd is.

Kan persoon Y onder GDPR vragen om deze gegevens in te kijken en/of te verbeteren en/of te verwijderen?
Of moet persoon X alleen het IP en de unieke ID anonimiseren als persoon Y vraagt om zijn gegevens te verwijderen?
Met andere woorden, vallen observaties gemaakt door een andere persoon onder iemands GDPR bescherming?

Jureca · Een juridische oplossing. Voor elk probleem, voor iedereen!

Benieuwd naar jouw juridische opties? Jureca begeleidt jou aan de geschikte oplossing. Klik hier om jouw situatie te beschrijven en we nemen binnen de 24 uur met jou contact op voor persoonlijke begeleiding

Issued · #2 , 21 mei 2018 09:46

Mijns inziens niet aangezien het hier niet gaat over gegevens vergaart door een bedrijf.

Ik ben nog niet thuis in het gdrp gegeven, maar ik meen dat het enkel betrekking heeft op bedrijven.

Didymus · #3 , 21 mei 2018 10:21

Als dit persoonsgegevens zijn (lijkt mij niet zeker), dan is de GDPR van toepassing op de forumbeheerder als verwerkingsverantwoordelijke en niet op de andere gebruikers.

Reclame

Bart Vissers · #4 , 21 mei 2018 10:55

Vraag is of de (natuurlijke) persoon identificeerbaar is op basis van de opgeslagen gegevens.
Als dat het geval is, dan is GDPR van toepassing.
De definitie in "identificeerbaar" is: (art. 1, eerste lid AVG)

een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Maw, kan men de individuele persoon zelf "herkennen" op basis van de opgeslagen gegevens.

Als de gebruikers identificeerbaar zijn (wat mij nog niet aangetoond lijkt), dan kan Y de gegevens opvragen die over hem worden opgeslagen.
Wordt de melding van X gekoppeld aan het account van Y, dan kan Y dit in principe inkijken. Hij kan ook vragen om te corrigeren. De databasebeheerder is echter niet verplicht op deze vraag in te gaan: er kunnen goede redenen zijn om dergelijke vermeldingen net wél te houden (bv. registreren van misbruik, herhaling voorkomen). De verwerkingsverantwoordelijke moet dit wel kunnen motiveren op vraag (of bij klacht bij de toezichthoudende autoriteit).