Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

L'informativa sulla privacy nei siti web: Contenuto e indicazioni

0
recommendations for content and structure of the privacy policy
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Articolo in formato PDF
📄 Articolo in formato PDF (solo per gli abbonati alla newsletter)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Su ogni sito web pubblico deve essere disponibile un'informativa sulla privacy. Oltre ai testi standard, deve contenere anche spiegazioni su tutti gli strumenti utilizzati e su tutte le operazioni di trattamento dei dati. Tuttavia, l'informativa sulla privacy da sola non è sufficiente.

Introduzione

La dichiarazione di protezione dei dati sulla rete è obbligatoria. Ciò risulta da Articolo 12, nonché Articolo 13 GDPR e dal fatto che indirizzi di rete sono dati personali. Pressoché ogni sito web rappresenta un'offerta. Se un sito web è quasi vuoto, potrebbe non essere necessaria una dichiarazione di protezione dei dati. Solo l'avviso sul proprio campo d'attività (professionale) è sufficiente per soddisfare il requisito dell'offerta (vedi esempio, dove mancano le informazioni sulla protezione dei dati). Ecco anche la mia indagine sul concetto di raccolta di dati e delle relative responsabilità.

Per motivi giuridici è meglio denominare la pagina per la protezione dei dati con il nome "Informazioni sulla protezione dei dati personali" o "dati di protezione". In questo contributo viene invece utilizzato l'antico nome non così critico "privacy policy". Vedi sentenza del 27.12.2018 – 23 U 196/13.

Sulla mia esperienza so che i pericoli (lamentele, avvertimenti, multe) in primo luogo non derivano da testi di protezione dei dati, ma da strumenti inseriti illegalmente, certificati SSL mancanti, domande di consenso non funzionanti, troppi dati richiesti nei moduli o link mancanti alla dichiarazione di protezione dei dati.

Spiegare qualcosa non significa che sia permesso.

Prendiamo l'esempio degli assassini su commissione:

Assumete un killer su commissione e spiegate le vostre intenzioni alla vittima. Questo migliorerà le cose?

Frequenti malintesi sulle dichiarazioni di protezione dei dati

Si permetta un cenno di mano, la creazione di testi sulla protezione dei dati è in generale possibile a chiunque e spesso è anche utile; non si richiede un avvocato per questo. I rischi sono altrove. Se desiderate proteggere le vostre pagine web, pensate prima ad altre cose oltre alla dichiarazione di protezione dei dati. Inoltre, affermo che anche gli avvocati spesso non riescono a realizzare questi testi di indicizzazione con successo. Ciò è dovuto in parte al fatto che per i tool di Google o Facebook spesso non è chiaro (e a molti non è nemmeno noto) quali trattamenti dei dati si verificano effettivamente da parte di chi.

Da esperienza posso affermare che per la creazione di buoni testi sulla protezione dei dati per strumenti, in primo luogo è utile avere una conoscenza tecnica e, in secondo luogo, una conoscenza giuridica di base. Inoltre, è utile conoscere la struttura dei testi sulla protezione dei dati, perché tutti questi testi hanno la stessa struttura fondamentale.

Contenuto dell'informativa sulla privacy

Il contenuto delle informazioni sulla protezione dei dati può essere essenzialmente suddiviso in tre parti:

  • Dati specifici per la pagina web: Testo di introduzione, menzione dell'ente responsabile, menzione del Garante per la protezione dei dati personali, informazioni di contatto
  • Tutte le informazioni obbligatorie: Queste sono sempre uguali (data di ultima modifica: 09.08.2021)
  • Informazioni sui processi di elaborazione dei dati specifici sulla pagina web: Rilevanti all'uso di newsletter, formulari o strumenti come Google Maps

Dichiarazioni generali di obbligo

Inizialmente devono essere date una serie di informazioni generali. Ciò comprende:

  • Diritti dei colpiti: Testi standard
  • Basi giuridiche: testi standard (che possono essere anche ulteriormente specificati)
  • Responsabile del trattamento dei dati: Chi è responsabile per la protezione dei dati sulla pagina web e come si può contattare quel soggetto?
  • Nomina delle informazioni di contatto del responsabile della protezione dei dati personali: può essere omesso in via eccezionale

I diritti degli interessati possono essere spiegati come segue.

Diritti degli interessati

I diritti dei soggetti coinvolti si basano su Art. 15 GDPR. Ecco un testo di esempio per la menzione dei diritti dei soggetti coinvolti. Per favore, eventualmente adattarlo. Il testo dovrebbe essere utilizzato solo con un link di ringraziamento su https://dr-dsgvo.de.

Ne avete il diritto:

  • secondo Art. 15 GDPR richiedere informazioni sulle vostre dati personali trattati da me. In particolare, potete richiedere informazioni sulla finalità del trattamento, le categorie di dati personali trattati, le categorie di destinatari cui sono stati o saranno comunicati i dati, la durata della conservazione dei dati, l'esistenza di un diritto di rettifica, cancellazione, limitazione del trattamento o opposizione, l'esistenza di un diritto di ricorso, l'origine dei dati, se non raccolti da me, e sulla esistenza di una decisione automatizzata compresa la profilazione e eventualmente informazioni significative sulle sue particolariheiten;
  • ai sensi dell'art. 16 GDPR, di richiedere immediatamente la correzione di dati personali errati o incompleti da me memorizzati;
  • richiedere la cancellazione dei vostri dati personali da me memorizzati ai sensi dell'art. 17 GDPR, a meno che il trattamento non sia necessario per l'esercizio del diritto alla libertà di espressione e di informazione, per l'adempimento di un obbligo legale, per motivi di interesse pubblico o per l'accertamento, l'esercizio o la difesa di diritti legali;
  • ai sensi dell'art. 18 GDPR, di richiedere la limitazione del trattamento dei vostri dati personali se l'esattezza dei dati è contestata da voi, il trattamento è illegittimo ma voi rifiutate di cancellarlo e noi non abbiamo più bisogno dei dati, ma voi ne avete bisogno per l'affermazione, l'esercizio o la difesa di diritti legali o avete presentato un'obiezione al trattamento ai sensi dell'art. 21 GDPR;
  • ai sensi dell'art. 20 GDPR, di ricevere i vostri dati personali che mi avete fornito in un formato strutturato, di uso comune e leggibile da dispositivo automatico o di richiederne la trasmissione a un altro titolare del trattamento;
  • secondo l'art. 7, comma 3 della GDPR potete revocare la vostra autorizzazione in qualsiasi momento nei miei confronti. Ciò comporta che non possiamo più continuare a trattare i dati sulla base di questa autorizzazione per il futuro e ([1])
  • Ai sensi dell'art. 77 del GDPR, l'utente ha il diritto di proporre reclamo a un'autorità di controllo, fatto salvo ogni altro ricorso amministrativo o giurisdizionale. Di norma, è possibile rivolgersi all'autorità di controllo del luogo di residenza abituale o del luogo di lavoro o del luogo della presunta violazione se l'interessato ritiene che il trattamento dei dati personali che lo riguardano violi il Regolamento generale sulla protezione dei dati dell'UE (GDPR).

Base giuridica

Le basi giuridiche dovrebbero essere nominate in generale. Inoltre, per ogni processo di elaborazione dei dati può avvenire una specifica menzione, a condizione che non sia evidente. Ecco un testo modello. Il testo dovrebbe essere utilizzato solo con un link di ringraziamento su https://dr-dsgvo.de.

Trattiamo i dati generati quando visitate il nostro sito web o utilizzate le opzioni di contatto offerte in conformità alle disposizioni del Regolamento generale europeo sulla protezione dei dati (GDPR) e della Legge federale tedesca sulla protezione dei dati (BDSG). A seconda della questione per la quale ci contattate tramite il sito web, esistono diverse basi giuridiche. La base giuridica specifica per il trattamento dei dati dipende dal contesto e dallo scopo per cui riceviamo i vostri dati. Di norma, la base giuridica per il trattamento dei dati risulta dalle opzioni elencate di seguito:

L'art. 6 I lit. a GDPR funge da base giuridica per le operazioni di trattamento per le quali otteniamo il consenso per una specifica finalità di trattamento. Il consenso concesso può essere revocato in qualsiasi momento.

Se la trattativa dei dati personali è necessaria per l'adempimento di un contratto, il cui contraente è la persona interessata, come ad esempio nei processi di trattamento che sono necessari per una consegna di beni o per la prestazione di un'altra prestazione o controprestazione, allora la trattativa si basa Art. 6 I lit. b GDPR. Lo stesso vale per quei processi di trattamento che sono necessari per l'adempimento delle misure precontrattuali, ad esempio nei casi in cui ci sono richieste sui nostri prodotti o servizi.

Siamo soggetti a un obbligo giuridico, che richiede la trattazione di dati personali, ad esempio per l'adempimento degli obblighi fiscali, e quindi la trattazione si basa su Art. 6 I lit. c GDPR.

In ultima analisi i processi di elaborazione dei dati potrebbero basarsi su Art. 6 I lit. f GDPR. Sui presupposti di questa normativa si basano i processi di elaborazione dei dati che non sono coperti da alcuna delle normative precedentemente citate, se l'elaborazione è necessaria per tutelare un interesse legittimo dell'azienda o di un terzo, a condizione che gli interessi, i diritti fondamentali e le libertà del soggetto interessato non siano preminenti.

Testo di esempio per la citazione delle basi giuridiche

Si noti che non è possibile visitare un sito web senza che vengano trattati dati personali. Pertanto, non si può affermare che sia possibile visitare il sito web senza fornire dati personali.

Informazioni su trattamenti speciali di dati

Per ogni processo di elaborazione dei dati sul sito web devono essere fornite informazioni specifiche. Si veda anche Art. 15 GDPR. I sezioni più comuni sono:

  • Registri del server: La maggior parte dei server registra i protocolli di accesso. Ciò dovrebbe essere spiegato
  • Cookie: La maggior parte dei siti web utilizza i cookie. I cookie tecnici, come la gestione dell'accesso a WordPress o i cookie di VG Wort, sono inessenziali. Per evitare domande ripetitive, anche i cookie inessenziali dovrebbero essere spiegati. Si tenga presente che i cookie non sono file di testo, anche se spesso si sostiene il contrario
  • Formulare: Indicate what happens with the data. In general, the data is used only to answer the request and any subsequent questions or further communication arising from it
  • Newsletter: Indicate how data (at least the email address) is processed. Mention the possibility of revocation (unsubscribe from the newsletter). Set up a newsletter service, name it. Make sure there are no tracking pixels in newsletter emails (and if so, ask permission first)
  • Altre raccolte di dati: Offrite un servizio di richiamo tramite il sito web o gestite i procedimenti di candidatura attraverso il sito web o elaborate dati sul sito web per altri motivi non ancora spiegati, deve essere spiegato.
  • Strumenti: Per ogni strumento utilizzato deve essere spiegato in particolare:
    • Nome dello strumento
    • Fornitore
    • Fine ultimo
    • Cookie utilizzati. Per ogni cookie: nome, durata, scopo
    • Dati raccolti
    • Luoghi di raccolta dei dati, se avvengono anche al di fuori della sede legale del fornitore (paese)
    • Destinatari dei dati, se ci sono altri oltre al fornitore
    • Possibili rischi, come il trasferimento dei dati in paesi terzi non sicuri
    • Garanzie esistenti, come ad esempio un contratto di elaborazione ordini
  • File esterne: Anche per le immagini, i testi, i video, le librerie di supporto ecc. bisogna spiegare cosa c'è in ballo.

Se avete un contratto con un fornitore di strumenti o file esterni, in singoli casi può essere consentito non dichiararlo.

Come fate a sapere quali strumenti e file esterni sono integrati nel vostro sito web? Ecco alcune possibili risposte. Solo una è corretta:

  1. Indovinate
  2. Chiedete alla vostra agenzia Internet
  3. Chiedete al vostro responsabile della protezione dei dati
  4. Chiedete a un avvocato
  5. Cercano di dare un'occhiata da vicino al vostro sito web
  6. Utilizzate uno strumento che scansiona automaticamente l'intero sito web. Se si desidera una maggiore sicurezza, si paga un po' di più per un controllo manuale aggiuntivo

Per numerosi strumenti e cookie non esiste alcun testo di protezione dei dati. Se l'offerta di un servizio o la sua precisa denominazione aziendale è sconosciuta, non può avvenire una spiegazione ordinaria. Spesso gli scopi dei cookie sono sconosciuti o vengono ipotizzati. Se ciò è il caso, non è possibile un utilizzo conforme al diritto di strumenti che gestiscono i relativi cookie, perché le informazioni richieste dal art. 13 GDPR per il cookie non possono essere fornite.

Per gli strumenti di analisi e altri tool che raccogliono dati, deve essere fornita all'utente la possibilità di opt-out (disdire). La consapevolezza dell'utente deve essere richiesta per la maggior parte degli strumenti.

Struttura tipica di un testo di protezione dei dati per uno strumento

Un possibile testo di protezione dei dati per Google Maps dovrebbe mostrare come un testo di protezione dei dati per uno strumento possa essere costruito. Per favore notate che qui mancano le informazioni sui cookie, perché sembra che solo Google sappia quali cookie vengono utilizzati per quale scopo esatto!

Esempio di testo sulla protezione dei dati (mancano le informazioni sui cookie!). L'immagine è stata tradotta automaticamente.

Il testo affronta diversi aspetti:

  • Nome del servizio (Strumenti). Per i newsletter si chiamerebbe semplicemente Newsletter
  • Fornitore del servizio: Nome completo con indirizzo e denominazione comune dei paesi: USA è chiaro per tutti. Altri codici ISO non sono comprensibili
  • Obiettivo: Perché viene utilizzato il servizio?
  • Basis giuridica: Questa può essere specificata per un servizio o in una sezione generale senza riferimento al servizio. Di solito la base giuridica deriva comunque dall'insieme di come il servizio è stato inserito. Con richiesta di consenso, la base giuridica è il consenso stesso; senza tale richiesta rimane generalmente solo l'interesse legittimo. Una base giuridica specificata dovrebbe essere comunque corretta. Chi scrive "consenso" e carica un servizio senza consenso si crea problemi.
  • Specifiche informazioni: Cosa dovrebbe sapere l'utente in più?
  • Elaborazione dei dati: Cosa succede alle informazioni che si generano al momento del recupero e dell'utilizzo dello strumento?
  • Ricevitore di dati: Chi può ricevere i dati? In caso di dubbio si consiglia un'indicazione generale
  • Menzione dei rischi: Al momento dei trasferimenti di dati in paesi terzi non sicuri, un servizio segreto legge spesso con piacere. Ciò dovrebbe essere spiegato
  • Ulteriori informazioni: Un link alla politica sulla privacy del fornitore può essere utile ma anche dannoso. Le informazioni fornite da Google non sono spesso adatte a creare trasparenza. In caso di collegamento, è importante assicurarsi che si faccia riferimento a un documento tedesco.

Se adesso si pensa a come fare le informazioni per Google Maps, si scoprirà che non è possibile. Solo la dichiarazione del suddetto scopo "Utilizzeremo la mappa per mostrare la nostra posizione." dovrebbe essere motivo di domanda: Serve effettivamente la mappa o ha un qualche utilizzo?

Ulteriori raccomandazioni

Le spiegazioni dovrebbero essere facilmente comprensibili, e cioè per il cittadino medio senza conoscenza tecnica o giuridica. Ciò risulta evidente da Art. 12 GDPR.

In generale non è vietato mettere la dichiarazione di protezione dei dati in forma di sezione propria nel sito web, ma io consiglio di metterla su una pagina a parte o almeno di renderla accessibile da ogni pagina tramite un link proprio.

Il Link alla dichiarazione di protezione dei dati deve essere raggiungibile con un massimo di due clic. In caso di design responsivo per smartphone, il link non dovrebbe essere mostrato solo attraverso un menu hamburger, ma anche sempre visibile nella barra inferiore. Anche sulle pagine di accesso apparentemente segrete deve essere presente un link.

Il link alla dichiarazione di trattamento dei dati dovrebbe essere evidentemente denominato, quindi con dichiarazione di trattamento dei dati, dati personali o simili. Aggiornamento: si consiglia l'uso delle denominazioni avvertenze sulla protezione dei dati o informazioni sulla protezione dei dati per evitare problemi giuridici.

Nominare il Responsabile per la protezione dei dati (DSB) nella dichiarazione di trattamento dei dati. Se non si ha un proprio DSB, nominare il responsabile della gestione dei dati.

Ogni azienda che impiega più di 19 dipendenti regolarmente per la elaborazione dei dati personali deve nominare un Responsabile della Protezione dei Dati (DSB). Ciò è sempre il caso quando l'indicata quantità di dipendenti possiede uno spazio di lavoro informatico. Le aziende con più di 250 dipendenti devono anche nominare un DSB.

Inoltre, per molti imprese è obbligatoria la richiesta di conferma del DSB, che regolarmente elabora dati personali (cfr. art. 37 comma 1 b GDPR). A questa categoria appartengono secondo la mia opinione tutte le aziende con un sito web pubblico, perché almeno dal 2017 si considerano come dati personali anche gli indirizzi di rete.

Informativa sulla privacy troppo estesa

Spesso ci si chiedeva se un testo eccessivo nell'informativa sulla privacy fosse un problema e se si dovesse addirittura temere un'avvertenza. La mia opinione in merito:

  • Strutturare l'informativa sulla privacy in sezioni chiaramente riconoscibili
  • Se ci sono alcuni testi di troppo, non è un problema
  • Basta non esagerare
  • Se avete usato uno strumento di recente ma non lo fate più, non rimuovete il testo finché non siete sicuri che non ci siano cache attive
  • Se avete intenzione di utilizzare presto uno strumento (modulo di contatto, newsletter, script, strumento di analisi, ecc.), includete prima il testo sulla protezione dei dati

L'ultimo punto, in particolare, chiarisce che non si possono avere problemi a causa del troppo testo (se rimane all'interno della ragione): Come si fa a dimostrare che non si intende utilizzare a breve uno strumento dichiarato ma non ancora utilizzato? Inoltre, una singola pagina con informazioni sulla protezione dei dati può essere mantenuta anche per più siti web contemporaneamente, anche se lo sconsiglio per diversi motivi. Tuttavia, i testi sulla protezione dei dati dovrebbero essere presenti solo se effettivamente necessari. In caso contrario, rappresentano un obiettivo non necessario.

Informativa sulla privacy in inglese

Se un sito web si rivolge anche a mercati diversi da Germania, Austria e Svizzera, l'informativa sulla privacy deve essere redatta almeno anche in inglese. Per il mercato tedesco è necessario fornire una dichiarazione in lingua tedesca.

Interessante anche

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Cookie pop-up: cinque motivi per cui non possono funzionare