Na prawie każdej stronie internetowej znajdują się linki do innych stron. Po kliknięciu przez użytkownika linku, zostają automatycznie przesłane dane osobowe. Czy jest to problem ochrony danych? Jak wygląda sytuacja z celami w niepewnych krajach trzecich, takich jak Stany Zjednoczone?
Wprowadzenie
Link lub odnośnik to hyperlink, który jest możliwy na stronach HTML. Strona HTML to to, co wielu rozumie przez pojęcie "strona internetowa". HTML to skrót od HyperText Markup Language.
W HTML is tak zwane Tags. Jedno Tag jest poleceniem. Jedno Tag steruje wygladem lub zachowaniem tekstu. Z użyciem tagu <b> można aktywować druk czerwony dla pasażu tekstowego. Natomiast tag <a> definiuje link. Przykład definicji linka:
<a href="https://www.ein-linkziel.pl">Kliknij tutaj, aby przejść do innej strony</a>
Dzień_ jest definiowany przez link do celu, czyli adres docelowy (URL) i tekst umieszczony wewnątrz tagu a. Klikając na tekst, użytkownik wywołuje adres docelowy.
Przesyłanie danych przy kliknięciu w link
Pierwszy raz, gdy użytkownik kliknie na link samodzielnie, następuje transfer danych. Dopiero wtedy następuje pobranie danych. Pobranie danych ma miejsce, gdy dane z oferty administratora są otrzymywane przez podmiot lub trzecią osobę i faktycznie mogą dotrzeć do nich.
Osoba odpowiedzialna w przypadku linku zewnętrznego jest Linkodawca, czyli osoba odpowiedzialna za stronę internetową, na której znajduje się link zewnętrzny.
Dane przesyłane przy kliknięciu na link są technicznie niezbędne i wynikają z protokołu internetowego TCP. TCP oznacza Transmission Control Protocol.
Przenoszone dane zawierają adres IP użytkownika. Adres IP jako adres sieciowy jest wartością dotyczącą osoby fizycznej. Takie stanowisko zajęli Trybunał Sprawiedliwości Unii Europejskiej i Federalny Trybunał Karny Niemiec. Zastosowanie ma nawet w przypadku adresów IP dynamicznych, czyli tych które są regularnie przydzielane ponownie. Nawet jeśli użytkownik otrzymuje nowy adres IP od swojego dostawcy usług internetowych każdego dnia, uznaje się go za wartość dotyczącą osoby fizycznej.
Przy każdym kliknięciu na zewnętrzny link przekazywane są dane osobowe do osoby trzeciej
Następstwo z protokołu internetowego TCP
Obliczenia danych przy celu linkowym
Podmiot udostępniający link nie ponosi odpowiedzialności za przetwarzanie danych przez cel linku samodzielnie podejmowane. Inny byłby w tym przypadku, gdyby istniała instrukcja od podmiotu udostępniającego link. Również współodpowiedzialność między podmiotem udostępniającym link a celem linku, która może powstać na mocy umowy, jest innym przypadkiem.
Odpowiedzialność za przetwarzanie danych spoczywa na samym linku, który otrzymuje je w wyniku kliknięcia na zewnętrzny link umieszczony na stronie nadawcy.
Cel w bezpiecznym kraju trzecim
W kraju trzecim, który zapewnia bezpieczeństwo danych, poziom ochrony danych przypominający RODO jest oficjalnie i formalnie zagwarantowany.
Jeśli link docelowy znajduje się w bezpiecznym kraju trzecim, odpowiedzialność za przesyłanie danych i ich gromadzenie spoczywa tylko na osobie udostępniającej linka. Przesyłanie danych jest technicznie niezbędne. Nie ma niczego, za co ktoś mógłby być odpowiedzialny. Może istnieć odpowiedzialność. Nie być odpowiedzialnym za nic to jest tak samo, jak nie być odpowiedzialnym w ogóle.
Zbieranie danych przy celu linkowym może odbywać się tylko w takim zakresie, jakiego pozwala na to Dz.U. z 2018 r. poz. 1000. Na przykład linkcel może podejmować działania mające na celu ochronę systemów przed hackerami, nie zaś protokolowanie adresów IP do celów marketingowych. Za to jest odpowiedzialny linkcel.
W tym przypadku udostępniający link jest faktycznie niezobowiązany do odpowiedzialności z powodu przesyłania danych ani zebrania danych.
W praktyce nie istnieje odpowiedzialność za linkodawcę w przypadku celów linkowych na terenie bezpiecznych krajów trzecich.
Cel w niepewnym kraju trzecim
Ciekawiej wygląda sytuacja z linkami w niepewnych krajach trzecich. Stany Zjednoczone są i pozostaną niepewnym krajem trzecim, dopóki amerykański Cloud Act we współcześnie obowiązującej formie będzie miał moc prawną. Nie zmieni to nawet każde postanowienie Unii Europejskiej. Niestety Unia Europejska sprzedała nasze prawa podstawowe, zawierając z USA umowę o ochronie danych osobowych Data Privacy Framework (DPF), która jest wyłącznie motywowana politycznie. DPF opiera się na Executive Order prezydenta Stanów Zjednoczonych, który może być w każdej chwili odwołany. Niezależnie od tego, Europejczycy nie są wystarczająco dobrze chronieni przed amerykańską szpiegostwem. Całość jest dopełniona przez fakt, że organ w Stanach Zjednoczonych jest uznawany za sąd, ale nie jest to prawdziwe sądownictwo, lecz raczej teatr. Niezależnie od tego należy sprawdzić, które kraje trzecie są zaangażowane, gdy dostawca usług zostaje zainfekowany danymi. Szczególnie w przypadku Google często są zaangażowani liczni inni podmioty z innych krajów trzecich, dla których nie istnieje odpowiedniego postanowienia.
Art. 44 DSGVO określa ogólne zasady przesyłania danych. Te zasady mówią, że „przesyłanie danych osobowych, które już zostały przetworzone lub mają być po ich przesłaniu w innym kraju lub organizacji międzynarodowej przetwarzane“ jest dopuszczalne tylko pod pewnymi warunkami.
Przekazywanie danych do USA jest dopuszczalne tylko po uprzedniej zgody osoby, której dane dotyczą. Przetwarzanie przekazanych danych przez źródło linku nie miało miejsca wcześniej.
Z tego wynikają kilka pytań w odniesieniu do linków zewnętrznych.
Klikając na takim linku, czy użytkownik wyraził wtedy zgoda? Zgoda jest zgodnie z art. 4 pkt 11 DSGVO „każdą dobrowolną, dla określonego przypadku, udzieloną w sposób informowany i niebudzący żadnych wątpliwości oświadczenie w formie oświadczenia lub innej jednoznacznie potwierdzającej czynności, z których wynika, że osoba fizyczna wyraziła zgodę na przetwarzanie danych osobowych dotyczących jej”.
Tekst źródłowy: Eine klassische Einwilligung, wie man sie von sogenannten Cookie Popups kennt, is anders gestaltet. Dort klickt man auf Akzeptieren or Ablehnen. Eine Ablehnung is dort idealerweise mit genauso wenig Aufwand möglich wie ein Akzeptieren. Eine Einwilligung bei Klick auf einen Link liegt meines Erachtens vor, wenn der Nutzer zuvor informiert wurde. Denn eine Einwilligung erfordert hier einen Klick, ein Ablehnen hingegen keinen Klick, also nicht mehr Aufwand, sondern sogar weniger. Tłumaczenie: Klasyczna zgoda, jaką znamy z tzw. pop-upów cookies, jest inna. Tam klikamy na Akceptuję lub Odrzuć. Odrzucenie tam powinno być możliwe tak łatwo, jak akceptacja. Zgoda przy kliknięciu w link istnieje u mnie zdaniem, jeśli użytkownik został wcześniej poinformowany. Ponieważ zgoda wymaga tutaj kliknięcia, odrzucenie zaś nie, czyli mniej wysiłku, a nawet mniej.
Informacja dla użytkownika może być prawidłowa tylko wtedy, gdy zewnętrzny link jest widocznie oznaczony jako taki. Wiele stron internetowych przedstawia w ten sam sposób linki wewnętrzne i zewnętrzne. To nie wystarcza, aby poinformować użytkownika. Użytkownik może się obawiać kliknięcia na zewnętrzny link i wtedy może przestać kliknąć na żadne linki. Możłoby to być rozwiązane przez odpowiednie teksty linków lub ogólną informację, że nie używa się zewnętrznych linków albo że nie oznaczają one transferu danych do niepewnych krajów trzecich.
Klikając użytkownik na link, który wskazuje na USA, sądząc według art. 44 DSGVO, dane powinny być po przesłaniu do USA przetwarzane? Tak, ponieważ przetwarzanie danych już następuje z momentem ich zebrania. Zebranie danych odbywa się w praktyce zawsze, gdy strona internetowa jest odwiedzana (poza przypadkami, kiedy odwiedzenie strony zostaje zablokowane lub nie następuje z innych rzadkich przyczyn np. z powodu utraty połączenia).
Do kogo trafiają dane przy kliknięciu na link?
Pytanie, kiedy następuje transfer danych do niebezpiecznego kraju trzeciego, zależy od tego, kto jest odbiorcą tych danych. W Internecie odpowiedź na to pytanie nie jest tak prosta.
Droga danych charakteryzowana jest przez punkt startowy i końcowy. Punkt startowy to przeglądarka użytkownika odwiedzającego stronę internetową, a punkt końcowy to serwer, do którego kierowana jest prośba użytkownika, w naszym przypadku serwer, który reprezentuje cel linku.
Zwykle ist na stronie tylko jeden serwer, na którym znajduje się strona internetowa, czyli link celu. Niejednokrotnie jednak dochodzi do rozdzielania obciążenia. Szczególnie większe firmy jak Google korzystają z tego. Ale także strony niemieckich sklepów online często używają rozdzielania obciążenia, aby zapewnić sobie przeciwdziałanie awariom, np. za pomocą Content Delivery Network (CDN) takiego jak Cloudflare.
Czym jest cel?
Podczas rozdzielania obciążenia może Domain Name Service (DNS) być odpowiedzialny za to, który serwer zostanie faktycznie wybrany. DNS może nawet zostać ustalony przez samego użytkownika. Różne DNS mogą teoretycznie zwrócić różne serwery docelowe dla jednej i tej samej adresem w tym samym czasie.
Dalej nie jest tylko krajem docelowym, w którym stoi serwer istnieje znaczenie dla tego, czy na przykład amerykański wywiad ma na nim dostęp. Zamiast tego należy rozważyć całą strukturę organizacyjną. Filia amerykańskiej centrali, która znajduje się w Niemczech i jest podległa centrali, może być zobowiązana przez amerykańskie władze do wydania danych. Albo centrala narusza amerykańskie albo europejskie prawo. Myślę, że lokalne firmy preferują przestrzegać krajowych ustaw niż spełniać wymagania obcych instytucji lub osób.
Kurzum: Czasem nie wiedzą, u kogo lądują dane wysłane z linku. Jeśli jednak administrator strony o tym wie, to pytanie brzmi, czy nie powinien on być odpowiedzialny za przekierowanie na stronę docelową.
Zmiana kierunku celu
Ale nie jest to jeszcze wszystko. Załóżmy, że linkujesz na stronę X. Serwer tej strony znajduje się w Niemczech, a firma prowadząca ją jest niemiecka. Wszystko w porządku. Teraz jednak administrator może zrezygnować z domeny (strony) X i pozwolić kogokolwiek na jej przejęcie. Albo administrator postanowi przekierować stronę X na stronę Y, która może znajdować się na dowolnym serwerze.
Jedno raz, gdy dostawca linków zorientuje się, że nowy cel istnieje, może dla niego wynikać odpowiedzialność.
Droga do celu
Dodatkowo pojawia się pytanie, który sposób danych od punktu startowego do punktu końcowego. Jeśli dane przechodzą przez amerykański węzeł, dostęp do nich jest możliwy dla amerykańskich służb specjalnych. Pytanie to dotyczy również linków prowadzących na stronę odwiedzonej strony internetowej. W związku z tym moim zdaniem (na razie) można uznać to pytanie za nieistotne, gdyż jest zbyt daleko idące.
Tutaj również zdaniem mojej oceny, znać drogę od źródła linku do celu linku przez dostawcę linków mogłoby oznaczać odpowiedzialność za drogę danych.
Jaka jest odpowiedzialność, która może powstać?
Pierwszym jest ustalenie faktu, że dostawca linku nie gromadzi danych z kliknięcia linku u siebie. Nie będziemy tu dalej rozważać przypadku, w którym to mogłoby nastąpić, ponieważ byłby to proces, którego dostawca linku miałby się wykazać.
Przetwarzanie danych przy odbiorcy linku nie leży w zakresie odpowiedzialności osoby udostępniającej link. Byłaby ona odpowiedzialna tylko wtedy, gdyby przetwarzanie danych przy odbiorcy linku odbywało się z własnego interesu osoby udostępniającej link lub istniałoby pomiędzy nimi umowa.
Na stronach internetowych powinny być widoczne linki zewnętrzne oraz wskazane ryzyko związane z nimi.
Moja rekomendacja
Przesłanie danych do niebezpiecznego kraju trzeciego z powodu kliknięcia w link zewnętrzny jest początkowo przypisane osobie udostępniającej link. Odpowiedzialność może być zmniejszona lub wyeliminowana tylko poprzez poinformowanie użytkownika przed kliknięciem w link zewnętrzny o ryzykach, z którymi jest on związany.
Jeśli darczyńca wiedział o niebezpiecznych okolicznościach, to z tego wynikają dla mnie kolejne pytania dotyczące odpowiedzialności.
Jeśli odpowiedzialny za stronę nie oznacza zewnętrznych linków w sposób właściwy lub nie informuje użytkownika wystarczająco o możliwych ryzykach, jest on odpowiedzialny za problemy dotyczące ochrony danych, które mogą powstać na skutek przesyłania danych do niebezpiecznych krajów trzecich.
Inne obowiązki
Obok pytań dotyczących ochrony danych osobowych, pojawiają się również kwestie treściowe i prawne do utworów autorstwa innych osób.
Osoba udostępniająca link jest odpowiedzialna za usunięcie go, gdy uzyska informację o nieprawidłowych treściach na stronie docelowej. Nie ma z tym nic wspólnego z ochroną danych osobowych i dlatego ten punkt zostaje tutaj pominięty.
Nie będą również rozważane przypadki, w których dostawca linku ma związki z odbiorcą linka, np. poprzez umowę.
Wnioski
Odpowiedzialność za linki zewnętrzne prowadzące do stron internetowych położonych w bezpiecznych krajach trudno jest wykluczyć. Jednakże istnieje niewielkie ryzyko wynikające z faktu, że link może być przekierowany na nowe miejsce. Może również mieć miejsce sytuacja, gdy firma córka należy do amerykańskiej spółki matki, w takim przypadku lokalizacja samego linku nie jest już decydująca.
Obok pytań, które wzbudza RODO, zwróciłem uwagę na przepis w ustawie o mediach elektronicznych. Ten ma pewną siłę wybuchową.
Art. 13 ust. 5 ustawy o służbie telekomunikacyjnej (TMG) brzmi:
Przekazanie do innego dostawcy usług należy poinformować użytkownikowi.
Art. 13 ust. 5 Ustawy o świadczeniu usług drogą elektroniczną (TMG)
W jakim stopniu TMDP zostaje zastąpiona przez RODO, należy dokładnie sprawdzić. Czy ustawodawca nie zignorował europejskich przepisów, można przyjąć, że interpretacja TMDP powinna być zgodna z prawem europejskim. Takie rozstrzygnięcie zostało dokonane w wyroku BGH dotyczącym Planet 49 odnośnie do § 15 ust. 3 TMDP. Ta przepis z TMDP ma być zatem zgodnie z art. 5 ust. 3 dyrektywy e-privacy interpretowana. Z tego wynika konieczność uzyskania zgody zgodnie z dyrektywą, która w TMDP nie jest wymieniona.
W miarę tego, co myślę, przepis § 13 TMG zostanie w pewnym stopniu zastąpiony przez RODO. W związku z tym nie jest konieczne wyraźnie poinformować o przekierowaniu do innego dostawcy usług. Z powyższych względów jest to bardzo dobre zalecenie, a być może nawet wynika z tego w sposób pośredni. Może również mieścić się w możliwościach, że tylko część § 13 TMG zostanie zastąpiona przez RODO, a nie przepis 5. Wydaje mi się to racjonalne, ponieważ niestosowanie się do europejskiej RODO nie stoi w sprzeczności z bardziej rygorystycznymi przepisami niemieckimi.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
