Lista kontrolna dotycząca zgodnych z prawem próśb o zgodę na stronach internetowych: Przepisy i podstawy prawne

Zgoda jest wymagana w przypadku wielu narzędzi i plików cookie. Tak zwane narzędzia zgody mają tu pomóc, ale nie robią wystarczająco dużo, jak pokazał mój praktyczny test. Jakie wymagania musi spełniać prośba o zgodę?

Wprowadzenie

Użycie przez strony internetowe narzędzi i tooli do przetwarzania danych jest zgodnie z art. 6 ust. 1 RODO w głównej mierze dopuszczalne tylko wtedy, gdy

a) istnieje uzasadniony interes operatora strony internetowej, lub

b) uzyskano zgodę osoby odwiedzającej stronę internetową.

Dodatkowo, zgodnie z art. 5 ust. 3 , ePrivacy-Richtlinia nakazuje, że również pobieranie plików cookies lub ich odczyt wymaga zgody. Zasada ta obowiązuje także w Niemczech, jak orzekł BGH w sprawie Planet49 (28.05.2020 – I ZR 7/16). Przepis został oficjalnie wprowadzony do niemieckiego prawa z § 25 TTDSG w grudniu 2021 roku. ([1]) ([2])

Tekst źródłowy: Die Art. 44ff RODO schreiben vor, dass der Datentransfer in unsichere Drittländer (wie die USA) an sich nicht erlaubt is. Da IP adresses bereits personenbezogene Daten sind, greift das RODO-Gesetz hier vor allem für Websites immer. Tłumaczenie: Artykuł 44ff RODO [5] nakazuje, że transfer danych do niepewnych krajów trzecich (jak USA) w ogóle nie jest dopuszczony. Ponieważ [7] adresy IP [8] są już danymi osobowymi, prawo RODO dotyczy to głównie dla stron internetowych zawsze.

Zgodnie z tymi podstawami prawnymi są na przykład następujące narzędzia obowiązkowo wymagające zgody:

• Google Analytics: dyrektywa e-privacy, przesyłanie danych do USA. Więcej informacji
• Mapy Google: dyrektywa e-privacy (i/lub inne). Więcej informacji
• Facebook Plugin: Dyrektywa ochrony danych osobowych (i/lub inne) ([1])
• Google Pisma (zewnętrzny dostęp): Art 44ff. RODO lub Art. 5 RODO (minimalizacja danych). Więcej szczegółów
• Google reCAPTCHA: dyrektywa e-Privacy (i/lub inne). Więcej informacji
• Wideo na YouTube z plikami cookies: Dyrektywa ochrony prywatności (i/lub inne)
• Wideo na YouTube bez plików cookies: Artykuł 44ff. RODO lub Artykuł 5 RODO (minimalizacja danych)
• Vimeo-Wideo: Art. 44ff. RODO lub Art. 5 RODO (minimalizacja danych). Więcej szczegółów
• Odtwarzacz SoundCloud: Dyrektywa ochrony danych osobowych (i/lub inne). Więcej informacji

Lista ta może być niemal bezgranicznie przedłużona o dalsze znane narzędzia. Prawo do informacji może zostać wykluczone dla wszystkich tych usług. To można częściowo nawet technicznie i tym samym niepodważalnie udowodnić.

Tutaj możecie w sekundach (bezpłatnie i bez rejestracji) sprawdzić, czy strona internetowa jest zgodna z przepisami o ochronie danych osobowych lub czy Potrzeba działania istnieje.

Lista kontrolna narzędzi do wyrażania zgody

Jeśli będziecie wystarczająco świadomi ryzyka, chcielibyście użyć jednej z popularnych rozwiązań dotyczących zgody, poniższa lista kontrolna pomoże wam sprawdzić swoje plany. Popularne rozwiązania są bowiem nie rozwiązaniem, jak pokazuje mój test praktyczny.

Zgodnie z moimi testami nieodpowiednie są następujące Narzędzia do konsentu:

• Borlabs Cookie
• CCM19
• Ciasteczkobot
• consentmanager
• Tak!
• OneTrust / Optanon / CookieLaw
• Centrum Użytkownika

Wymagania dotyczące zapytań o zgodę wynikają się z treści prawa RODO i orzeczeń Trybunału Sprawiedliwości Unii Europejskiej (EuGH) oraz Federalnego Trybunału Administracyjnego (BGH). W miarę upływu czasu pojawiają się również orzeczenia od mniejszych sądów, takich jak Sąd Okręgowy w Rostocku (15.09.2020 – 3 O 762/19), uznające za nieprawidłowe to, że odrzucenie nie jest tak łatwe do zrobienia jak wyrażenie zgody.

Wymagania dotyczące zapytań o zgodę:

1. Prawo do cofnięcia musi być widoczne od razu → Art. 7 ust. 3 RODO
2. Odrzucenie powinno być tak proste, jak zgodność → Wyrok Sądu Okręgowego w Rostocku
3. Nie jest dozwolona antydatoskopia wstępna → orzeczenie Trybunału Sprawiedliwości Unii Europejskiej w sprawie Planet49
4. Prosta możliwość odwołania się do rezygnacji → Art. 7 ust. 3 RODO
5. Wstrzymanie musi być proste możliwe (liczba kliknięć!) → Art. 7 § 3 RODO
6. Wstrzymanie musi być w pełni możliwe (kasowanie wszystkich plików cookie, wylogowanie się z wszystkich usług) → Art. 7 ust. 3 RODO
7. Po anulowaniu strona internetowa powinna zostać automatycznie przeładowana, aby dezaktywować wcześniej aktywne usługi poprzez ponowne załadowanie strony internetowej
8. Nadanie usług, do których udzielono zgody. Możliwość zgodzić się na poszczególne usługi lub kategorie usług→ Art. 12 RODO, Art. 7 Abs. 4 RODO
9. Służba → Artykuł 13 RODO
   1. Nazwa dostawcy (pełna nazwa firmy wraz z adresem i krajem)
   2. Określenie celów → Art. 5 ust. 1 RODO
   3. Nazwanie odbiorców danych (pełne dane firmy, w tym adres i kraj)
   4. Nazwy krajów gromadzenia danych
   5. Opis ryzyka związanych z przesyłaniem danych do niepewnych państw trzecich → Art. 49 ust. 1 Dziennika Urzędowego Unii Europejskiej
   6. Nazewnictwo wszystkich plików cookie dla usługi. Na plik cookie:
      1. Cookie-Name
      2. Określenie celów → Orzeczenie Trybunału Sprawiedliwości Unii Europejskiej w sprawie Planet49
      3. Określanie trwania życia → Orzeczenie Trybunału Sprawiedliwości Unii Europejskiej w sprawie Planet49
10. Zapis zgody udzielonej przez pacjenta jako dowód w przypadku pytań odnośnie tej zgody → Art. 7 § 1 Dz.U. z 2018 r. poz. 1000
11. Pierwszy raz po zgodzie, skrypty dla wideo z Vimeo lub YouTube, zewnętrzne czcionki oraz prawie wszystkie narzędzia Google w tym Google Tag Manager mogą być załadowane. Stany Zjednoczone są niepewnym trzecim krajem. Nawet standardowe klauzule umowne nic z tym nie zmieniają.
12. Pełne wyjaśnienie wszystkich operacji przetwarzania danych dla usług wykorzystywanych w polityce prywatności.
13. Polityka prywatności musi być bezpośrednio dostępna pomimo okna zgody; link do niej nie może być ukryty w wyskakującym okienku.
14. Polityka prywatności musi być czytelna bez konieczności klikania zapytania o zgodę.

Być może istnieją dodatkowe wymagania. Chętnie dowiem się, czy czegoś brakuje.

Ważne informacje:

• Usługi są również nazywane narzędziami lub pluginami. Niemal każde znane narzędzie wymaga zgody.
• Cookies są jedynie przyczyną zgody. Zobacz adresy IP i minimalizacja danych oraz mój artykuł specjalistyczny.
• Adresy IP są danymi osobowymi. Każde odwiedzenie strony internetowej lub usługi oznacza wymianę danych osobowych.
• Zmniejszenie ilości danych: nieprzydatne przesyłanie danych powinno być unikane → Art. 5 § 3 Dz.U. z 2018 r. poz. 1000.
• Nazywane Consent Tools są, zgodnie z próbką, niewłaściwe do przestrzegania wszystkich przepisów dotyczących ochrony danych osobowych. Istnieją nawet obiektywne powody, dla których narzędzia konsentu nie mogą działać zgodnie z założeniami.

W oddzielnym artykule opisano alternatywy dla różnych narzędzi Google.