Контрольний список для юридично коректних запитів на згоду на веб-сайтах: Правила та правові підстави

Згода потрібна для багатьох інструментів і файлів cookie. Так звані інструменти згоди повинні допомогти в цьому, але, як показав мій практичний тест, вони роблять недостатньо. Яким вимогам насправді повинен відповідати запит на згоду?

Вступ

Використання даних оброблювальних плагінів та інструментів на вебсторінках дозволено згідно з ст. 6 абз. 1 ДЗП, головним чином лише тоді, коли

a) існує законний інтерес оператора веб-сайту, або

б) було отримано згоду від відвідувача веб-сайту.

Наприклад, законодавство про конфіденційність вказує в статті 5, абзаци 3, що навіть завантаження файлів cookie або їх вивчення вимагає згоди користувача. Ця директива застосовується також до Німеччини згідно з § 15, абзаци 3 TMG після рішення Бундесгерихт у 2020 році щодо справи Planet49 (28 травня 2020 року – I ZR 7/16). Власне ця вимога була офіційно введена в Німеччині згідно з § 25 TTDSG у грудні 2021 року. ([1]) ([2]) ([3])

Вида Статті 44ff ДЗП забороняють передавати дані в країни, які не мають належної безпеки (як США). Поки що IP-адреси вже є особистими даними, згідно з цим законодавством, це стосується майже всіх вебсайтів.

За ці правові підстави, наприклад, такі інструменти обов'язково мають згоду:

• Google Analytics: електронна приватність, передавання даних до США. Детальніше
• Google Maps: електронна приватність (та/або інші). Детальніше
• Facebook Плагін: електронна приватність (та/або інші)
• Google Шрифти (зовнішній доступ): Стаття 44ff. РДПР або Стаття 5 РДПР (мінімізація даних). Більше деталей
• Google reCAPTCHA: електронна приватність (та/або інші). Детальніше
• Відео на YouTube із файлами cookie: Правила щодо захисту конфіденційності (та/або інші)
• Відео на YouTube без cookies: Статті 44-47 ДЗКП або Статья 5 ДЗКП (мінимізація даних)
• Відео на Vimeo: Стаття 44 тощо ДЗП або Стаття 5 ДЗП (мінімізація даних). Детальніше
• Звуковий гравець SoundCloud: електронна приватність (і/або інші). Детальніше

Список можна продовжити майже безмежно. Для всіх цих послуг може бути виключено правильне інтересування. Це навіть частково може бути технічним шляхом і таким чином доведене з певністю.

Ви можете перевірити протягом декілька секунд (безкоштовно та без реєстрації), чи вебсайт відповідає вимогам захисту даних, чи існує Необхідність дій.

Контрольний список для інструментів згоди

Якщо ви будете достатньо обізнані з ризиками, бажаєте використати одну із звичайних рішень щодо згоди, допоможе вам наступна перевірочна таблиця, щоб перевірити своє завдання. Звичайні рішення, як показав мій експериментальний тест, не є справжніми рішеннями.

Згідно з моїми тестами не підійде такі інструменти отримання згоди:

• Борлабс Cookies
• CCM19
• Кукібот
• менеджер згоди
• Так!
• OneTrust / Optanon / CookieLaw
• Усерцікерс

Вимоги щодо запитань про згоду походять із законодавчого тексту ДОПОВІДКИ ЄС та рішень ЄСПЛ та БГСПЛ. Тепер вже є рішення навіть від менших судів, наприклад від ЛГ Росток (15.09.2020 – 3 О 762/19), яке вважає за правопорушення те, що відмову не можна зробити так легко, як згоду.

Вимоги до запитів на отримання згоди:

1. Право на відміну повинно бути помітним → Стаття 7, п. 3 ДЗНВ
2. Відхилення повинно бути таким же простим, як згоджування → Рішення Ландсгерхового суду Ростока
3. Наведення даних, яке суперечить законодавству про захист даних, не дозволене → Рішення ЄСПЛ Planet49
4. Легка можливість відміни → Стаття 7, абз. 3 ДЗПВ
5. Відміну слід зробити можливою просто (кількість кліктів!) → Стаття 7, абз. 3 ДЗП
6. Відміну мусить бути повністю можливою (видалення всіх файлів cookie, звільнення усіх послуг) → Стаття 7 розділ 3 ДЗП
7. Після скасування, веб-сайт повинен бути автоматично перезавантажений, щоб деактивувати раніше активні послуги шляхом перезавантаження веб-сайту
8. Назначення послуг, на які дає згоду. Можливість погоджуватися на кожну послугу окремо або за категоріями послуг→ Ст. 12 РГДП, Ст. 7 розділ 4 РГДП
9. Для служби → Стаття 13 GDPR
   1. Назва постачальника (повна назва компанії, включаючи адресу та країну)
   2. Назначення цілей → Стаття 5, абз. 1 ДЗП
   3. Назвати одержувачів даних (повна інформація про компанію, включаючи адресу та країну)
   4. Називання країн збору даних
   5. Назначення ризиків при передачі в країни третього світу з поганою безпекою → Стаття 49, абз. 1 ДЗП
   6. Іменування всіх файлів cookie для сервісу. Для кожного файлу cookie:
      1. Ім'я файлу cookie
      2. Назначення цілей → Європейський суд у справі Planet49
      3. Назначення строк служби життя → Європейський суд у справі Planet49
10. Запис надання згоди як доказ при запитаннях → Стаття 7, абз. 1 ДЗПВ
11. Перш ніж дати згоду, скрипти для відео з Вімео або Ютуб, зовнішні шрифти, а також майже всі інструменти Google включно з менеджером метаданих Google можуть бути завантажені. США є не дуже надійним третім країною. навіть стандартні умовні клаузули нічого не змінюють.
12. Повне пояснення всіх операцій з обробки даних для послуг, що використовуються в політиці конфіденційності.
13. Політика конфіденційності повинна бути доступна безпосередньо, незважаючи на вікно згоди; посилання на неї не повинно бути приховане спливаючим вікном.
14. Політика конфіденційності повинна бути читабельною, без необхідності натискання на запит про згоду.

Цілком можливо, що існують додаткові вимоги. Я буду радий почути від вас, якщо чогось не вистачає.

Важливо знати:

• Сервіси також називаються інструментами або плагінами. nearly кожен відомий інструмент потребує згоди.
• Cookies є лише однією з підстав для згоди. Дивіться IP-адреси та мінімалізація даних, а також моїй спеціалізований стаття.
• Адреси IP є особистими даними. Кожен доступ до вебсторінки або послуги означає обмін особистою інформацією.
• Данімінізація: Непотрібні дані повинні бути передані → Стаття 5, п. 3 ДЗП.
• Називані Consent Tools згідно з Практичним випробуванням непридатні для дотримання всіх правил захисту даних. Є навіть об'єктивні причини, чому Consent Tools не можуть працювати надійно.

У окремому матеріалі описуються альтернативи для різних інструментів Google.