Які дані є особистими та чому куки завжди мають особистий відношення, незалежно від значень cookie, мова цього статті. Особисте відношення існує частіше, ніж багато хто вважає. Особисті дані забарвлюють інші дані і роблять їх особистими.
Вступ
Персональні дані – такі дані, які дозволяють зробити висновок про людину. Таким чином, наприклад, ім'я людини разом із її адресою (вулиця, будинок, індекс, місто, країна, назва планети, позначення галактики) є персональними данними. Зокрема часто говорять від Дата замість даних значення. Дата – однина від даних.
Ім'я людини разом із її адресою створює пряму особисту зв'язку. Але також дані, які непрямо вказують на людину, є особистими. Це випливає з ст. 4 п. 1 ДЗП. ДЗП не говорить про пряму чи непряма особисту зв'язку, а про ідентифікованих або ідентифікаційних осіб.
Ідентифікована особа, коли об'єктивно можливе, щоб сам або з допомогою інших встановити особистий зв'язок із нею. Інші можуть бути, наприклад, оператори телекомунікаційних послуг, спецслужби чи органи влади. Важливо не те, чи вони зараз звертаються до вас щодо даних про особу. Достатньо наявності об'єктивно передбаченої можливості зробити це. Наприклад, така можливість може бути відкрита шляхом розслідування злочинів. Це було підтверджено ЄСПЛ у рішенні від 19 жовтня 2016 року – C-582/14 ("Брейєр", IP-адреси є особистими даними).
Додатково Група статті 29 ЄС визначила, що людина вважається ідентифікованою навіть тоді, коли вона відрізняється від інших людей у групі осіб. Це було висловлено в так званій Opinion 4/2007. Група статті 29 щодо захисту даних була попередницею Європейського комісара із захисту даних (EDSA) і навіть згадується в Стаття 94 GDPR. Вона має значне значення.
Коли людина прямо ідентифікована?
Вгорі я вже давав приклад із іменем людини разом із адресою. Ця інформація дозволяє здійснити повну та безпосередню ідентифікацію особи. Всі дані, які прямо вказують на людину, роблять її безпосередньо ідентифікованою.
Якщо в групі самовідтворення анонімних алкоголіків одна людина має сиву голову і інші ні, то цю людину можна відрізнити від інших за наступним значенням даних: «Ця людина є у цій групі та має сиву голову».
Ну тоді людина цим ще не була прямо ідентифікована. бо коли я бачу людину перед собою, я майже ніколи не знаю хто це такий, як він називається і де цей чоловік проживає.
Вже можна було б бути певним, що людина отримає шкоду через зловживання її даними без того, щоб відомо, де вона проживає. Тут виникає питання: чи достатньо мати людину особисто перед собою, щоб мати прямий зв'язок із нею. На цю питання я тут не зупиняюся. Це була б окрема дослідження вартість, яку міг би написати юрист.
Що таке непрямий звернення до особи?
Якщо відмовити від прямого особистого відношення, часто існує непрямий особистий зв'язок. Це завжди підтверджується тоді, коли є об'єктивна можливість повністю ідентифікувати людину.
Наприклад, згаданий вище приклад людини з сірими волосками в групі анонімних алкоголіків показує, що хоча б один непрямий зв'язок із особою існує. Поки людина зі сірими волосками здійснює злочинну дію у групі, можна встановити, хто саме це людина зі сірими волосками під час розслідування злочину. Таким чином, дата «Людина в групі має сірії волоски» є особистою датою (навіть у згаданому контексті). Поки існує об'єктивна можливість того, що
- Старий чоловік здійснить злочин буде і
- В Німеччині можливості слідчої діяльності дозволяють повністю ідентифікувати людину на підставі підозри щодо здійснення злочину.
Чоловік міг ідентифікувати літню жінку навіть без злочину, наприклад тоді, коли людина їде на свій автомобіль, яким вона володіє, і цим автомобілем їде на зустріч групи допомоги. На будь-якому автомобілі згідно зі збіркою правил дорожнього руху повинно бути встановлено Кфз-Кенціне (можливо є автомобілі, яким це не стосується, але про них тут ніхто не говорить). Кфз-номер знову ж таки пов'язаний з іменем і адресою людини. Влада влади знає цю відповідність. Коли автомобіль потрапляє в аварію, власник може бути ідентифікований. Аварія звичайно є злочином. Але навіть у разі того, що літня жінка не була винна в аварії, вона все ж таки повинна надати свої дані для належної обробки аварії. Також водій бажає уникнути таких ситуацій як «відхід від місця аварії» і пише номер автомобіля потерпілого у разі якщо він відсутній біля свого автомобіля.
Якщо людина теоретично може потрапити в аварію, то кожна людина, з якою ви зустрічаєте, насправді ідентифікуються. Таким чином, будь-який дані значення щодо людини фізично біля вас є особистими даними. У будь-якому разі це стосується людей, які користуються Інтернетом. Дивіться далі в розділі «Cookies». Коли ви спілкуєтеся з якимось людиною за допомогою телефону і ця людина спілкується з вами зі свого приватного інтернету або власного смартфона, усі дані щодо вашого співрозмовника є особистими даними. ДСТУ діє тільки тоді, коли дані зберігаються або обробляються частково автоматизовано (див. Стаття 2 Пункт 1 ДСТУ). Наскільки мені відомо, сигнальне передавання при телефонізаціях відбувається автоматично.
Також дуже ймовірно, що можна буде слідкувати за людиною згідно з законом, щоб визначити, звідки вона пішла. Можливо навіть до її місця проживання. Це тільки для натхнення.
А також місце розташування людини робить її, можливо, ідентифікованою. Думайте тільки про сигнал GPS смартфона. Я раніше прочитав щось подібне, що злочинниця була затримана тому, що її Google-аккаунт був вивчений. У моїй смартфоні майже завжди вимкнений GPS-сигнал (але не тому, що я планував здійснити злочинну дію, а тому, що мені не подобає, коли хто-небудь знає місцезнаходження мене або місця, де я був).
Cookies
ePrivacy-Richtlinie не має значення, чи містять файли cookie особисту інформацію чи ні. ePrivacy-Richtlinie все ж таки діє. У Німеччині вона особливо реалізована через § 25 TTDSG. TTDSG є спеціальним законодавством щодо GDPR. Коли TTDSG діє, воно має блокуючу дію відносно GDPR. Тільки після позитивного завершення правової перевірки згідно із § 25 TTDSG щодо файлів cookie та інших доступів до кінцевої системи починається перевірка відповідно до GDPR.
Оновлення травня 2024 року: ТТДСГ тепер називається ТДДДГ. Поки багато читачів знайомі лише з назвою ТТДСГ, далі буде використовуватися первісна назва.
Зберігання файлів cookie на вашому кінцевому пристрої (наприклад, смартфоні або десктопі) та доступ до збережених у кінцевому пристрої файлів cookie є лише вільним від згоди, якщо файли cookie абсолютно необхідні. Більшість файлів cookie не є абсолютно необхідними. Тут ніякої ролі не грає, чи дані в файлах cookie стосуються особи чи ні. Незважаючи на те, які дані зберігаються у файлах cookie, TTDSG застосовується завжди.
Нині зберігається файл cookie на пристрої та пізніше знову читає його. Після цього бажаємо працювати з цінністю файла cookie, бо інакше можна було просто видалити файл cookie. Робота з цінністю файла cookie потрапляє під регулювання ДЗОП. ДЗОП діє тільки щодо особистих даних, до яких належать також дані, які можуть бути пов'язані із особою. Як вище написано, це всі дані, які прямо чи непрямо вказують на особу.
Що відбувається, коли значення cookie не є особистим? Нехай візьмемо приклад значення "xyz123". А навіть тоді значення cookie є особистим. Багато хто цього не хоче бачити або стверджують протилежне, бо це добре для їхніх клієнтів. Для моїх підстав чому значення cookie завжди є особистими мені потрібно трохи розширити матеріал.
Всі дані, які з'являються в поєднанні із персональними даними, є особистими та таким чином мають стосунок до особи.
Перегляньте матеріал для детальної інформації.
Адреси IP є особистими даними. Це підтвердили ЄСПЛ та ВКП у своїх рішеннях щодо справи Брейєра в 2016 та 2017 роках (див. вище для посилання на рішення). Також це стосується динамічних адрес IP.
Кукі завжди передаються разом із адресою IP відвідувача вебсайту на цей вебсайт. Адреса IP є особистою, тому будь-який інший (потенційно важливий) дані значення, яке потрапляє разом із адресою IP, теж вважається особистим.
Кукі-значення завжди є особистими. Отже, для обробки даних куків завжди діє ДЗПВ, навіть якщо деякі бажають цього заперечувати.
Висновок
Дані є особистими, коли вони прямо чи непрямо посилаються на людину. За юридичною визначенням, дані, які стосуються особи, повинні бути ідентичні до даних про особу.
Дані, які з'являються разом із особистими даними, автоматично стають особистими та таким чином особистими. Це може бути правдою лише тоді, коли дані не мають ніякої значущості ні об'єктивно, ні суб'єктивно. Суб'єктивно означає, що дані не мають жодної важливості для будь-якого можливого отримувача даних. Однак тоді виникає питання: чому дані існують взагалі? Можливо, є змістовне приклад; мені зараз нічого подібного не спадає на думку.
Є сумнів щодо того, скільки часу дані значення X існують разом із особистими даними, щоб вважати дані значення X особистими. навіть ірландська комісія з захисту даних, яка не відома своїми жорсткими заходами , підтвердила це в справі проти WhatsApp.
Також не має значення, чи зберігаються дані чи ні, якщо вони обробляються частково або повністю автоматизовано. Якщо дані на момент свого існування є особистими, то вони залишаються особистими. Обробка даних починається вже від моменту об'єктивної «завгоди» можливості отримання інформації, що називається збіркою даних.
В будь-якому випадку IP-адреси для Гугл через особисту ідентифікаційність потенційно завжди будуть особистими, ймовірно, у всьому світі та незалежно від можливостей слідчої діяльності в країні. Поки користувач використовує послугу Google, наприклад GMail або має смартфон Android, він може бути об'єктивно ідентифікований. Смартфон має номер телефону. Ця назва (в деяких країнах) зареєстрована на особу. У Німеччині обов'язково так (хоча мені відомо про особисті телефони, а ця стаття стосується приватних осіб, а не підприємств). GMail знову ж таки є послугою листування. Є люди, яким надсилають листи до їхньої адреси GMail, в яких містяться ім'я та адреса особи, яка володіє GMail-адресою.
Ця питання я вже досліджував у рамках Google Fonts Abmahnungen, щоб показати, що IP-адреса для Google також в Австрії потенційно завжди має особистий зв'язок.
У разі сумніву дані слід вважати особистими. Сумнів виникає часто лише тому, що немає уявлення про те, яким чином значення даних може посилатися на окрему людину. У застосуваннях штучної інтелекту питання щодо особистого характеру значення даних не так легко відповісти. Якщо для 100 даних точок відсутній особистий зв'язок, це може бути зовсім інше у випадку 100 мільйонів даних точок.
Уявно виникнення проблеми чи справи щодо обробки даних особистих даних не завжди відбувається. Коли дві людини розмовляють на вулиці, їх розмова не потрапляє під дію GDPR, оскільки вона ні за яким чином не обробляється автоматизовано, ні зберігається у файловому системі. Також використання публічно доступної інформації часто можливе згідно з правом інтересів. Якщо відсутні додаткова інформація, яка перетворює дані особистих даних на дані особисті, а також якщо однією стороною (наприклад, організацією) об'єктивно неможливо отримати цю додаткову інформацію, тоді для цієї організації дані особисті не є особистими, тобто не є особистими даними. Цей випадок особливо часто відбувається тоді, коли додаткова інформація знаходиться поза власним контекстом, наприклад, у компанії, з якою організація ніякої стосунку немає і яка їй цілком невідома.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
