Jakie jest podstawowe zapotrzebowanie stron internetowych w zakresie ochrony danych?

Każda publiczna strona internetowa wymaga polityki prywatności, ponieważ jest to wymagane przez prawo i wiąże się z art. 12 i 13 RODO. Ma to na celu zapewnienie przejrzystości i zgodności z prawem.

Jakie trzy główne sekcje zawiera typowa polityka prywatności?

Polityka prywatności składa się z informacji specyficznych dla strony internetowej (takich jak dane osoby odpowiedzialnej i dane kontaktowe DSB), ogólnych obowiązkowych informacji oraz informacji dotyczących konkretnych procesów przetwarzania danych, takich jak newslettery lub Google Maps.

Jakie prawa mają osoby poszkodowane zgodnie z RODO?

Osoby, które padają w zakres ochrony danych, mają prawo do uzyskania informacji na temat swoich danych, do skorygowania nieprawidłowych danych, do usunięcia danych w określonych przypadkach, do ograniczenia przetwarzania, do wniesienia sprzeciwu wobec przetwarzania oraz do otrzymania swoich danych w formacie umożliwiającym ich odczyt przez komputer.

Czy mogę w każdej chwili wycofać moje zezwolenie na przetwarzanie danych?

Tak, ma Pan/Pani prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych oraz do rezygnacji z wyrażonej zgody w dowolnym momencie. Posiąga to wpływ na przyszłe przetwarzanie Pana/Pani danych przez nas.

Jakie podstawy prawne mogą obowiązywać w odniesieniu do przetwarzania moich danych osobowych podczas korzystania z witryny internetowej?

Podstawą prawną może być na przykład art. 6 ust. 1 lit. a (zgoda), b (wykonywanie umowy) lub c (działania przygotowawcze do zawarcia umowy) RODO. Konkretna podstawa zależy od konkretnego przypadku.

Dlaczego ważne jest posiadanie polityki prywatności dla narzędzi i aplikacji?

Ponieważ wiele narzędzi i aplikacji zbiera i przetwarza dane, RODO nakazuje dostawcom, aby udostępnili jasną politykę prywatności. Ta wyjaśnia, w jaki sposób dane są wykorzystywane i jakie prawa mają użytkownicy.

Jakie elementy powinny zawierać polityka prywatności narzędzi?

Polityka prywatności musi zawierać co najmniej nazwę usługi, podmiot odpowiedzialny, cel przetwarzania danych, podstawę prawną przetwarzania danych, odbiorców danych oraz informacje o ryzykach, takich jak przekazywanie danych do krajów trzecich. Ponadto, musi być dostępna możliwość odrzuć cookie.

Kto jest odpowiedzialny za sporządzenie polityki prywatności?

Odpowiedzialność za sporządzenie polityki prywatności spoczywa na dostawcy narzędzia lub usługi. W wielu przypadkach musi to być również inspektor ochrony danych (IOD), który posiada niezbędną wiedzę i zasoby, aby spełnić wymagania RODO.

Sichere KI, digitaler Datenschutz & Website-Compliance

Polityka prywatności musi być dostępna na każdej publicznej stronie internetowej. Oprócz standardowych tekstów musi ona również zawierać wyjaśnienia dotyczące wszystkich wykorzystywanych narzędzi i wszystkich operacji przetwarzania danych. Sama polityka prywatności nie jest jednak wystarczająca.

Wprowadzenie

Zasady ochrony danych osobowych na stronach internetowych są wymagane z całą pewnością. Wynika to z Art. 12, a także Art. 13 Dz.U. oraz faktu, że adresy sieciowe są danymi osobowymi. Blisko każda strona internetowa jest ofertą. Jeśli strona jest niemal pusta, może nie być potrzebna deklaracja ochrony danych osobowych. Samo zauważenie własnego (gospodarczego) dziedzictwa wystarcza, aby określić charakter oferty (patrz przykład, gdzie brakuje informacji o ochronie danych). Zobacz również moją analizę dotyczącą definicji gromadzenia danych i związanej z tym odpowiedzialności. ([1])

Z powodów prawnych lepszym jest nazwać stronę ochrony danych osobowych jako „Informacje dotyczące ochrony danych” lub „Dane ochronne”. W tym artykule zamiast tego użyto mniej krytycznej nazwy „Oświadczenie o ochronie danych”. Porównaj to do wyroku z dnia 27.12.2018 – 23 U 196/13.

Z doświadczenia wiem, że zagrożenia (skarga, upomnienie, grzywna) w pierwszej kolejności nie wynikają z tekstów o ochronie danych osobowych, ale z nieprawidłowo wplecionych narzędzi, braku certyfikatów SSL, nie działających pytań o zgodę, zbyt wielu pytanach o dane w formularzu lub braku linków do polityki prywatności.

Wyjaśnienie czegoś nie oznacza, że jest to dozwolone.

Weźmy przykład zabójców na zlecenie:

Wynajmujesz zabójcę na zlecenie i wyjaśniasz ofierze swoje zamiary. Czy to sprawi, że będzie lepiej?
Częste nieporozumienia dotyczące oświadczeń o ochronie danych

Jeśli pozwala się na uwagę, to tworzenie tekstów o ochronie danych jest w zasadzie możliwe dla każdego i często sensowne. Nie potrzebują one prawnika do tego. Ryzyko leży gdzie indziej. Jeśli chcą Państwo chronić swoje strony internetowe, to najpierw myślą o innych rzeczach niż oświadczenie o ochronie danych. Ponadto twierdzę, że nawet prawnicy często nie potrafią naprawdę dobrze sformułować te teksty informacyjne. Między innymi dlatego, że dla narzędzi Google lub Facebooka często nie jest jasne, a wielu nie jest dokładnie świadomych, które przetwarzanie danych odbywa się przez kogo.

Z mojej własnej doświadczenia mogę stwierdzić, że dla tworzenia dobrych tekstów o ochronie danych dla narzędzi pierwszym jest korzystanie z wiedzy technicznej i drugim podstawowe zrozumienie prawa. Ponadto, znajomość budowy tekstów o ochronie danych jest przydatna, ponieważ wszystkie te teksty mają tę samą strukturę.

Treść polityki prywatności

Treść informacji o ochronie danych można zasadniczo podzielić na trzy części:

Dane specyficzne dla strony internetowej: Tekst wprowadzający, wskazanie odpowiedzialnej osoby, wskazanie DSB, dane kontaktowe
Wszystkie powszechne obowiązki informacyjne: Są one zawsze takie same (stan na 09.08.2021)
Informacje o specjalnych procesach przetwarzania danych na stronie internetowej: Relewantne przy użyciu newsletterów, formularzy lub narzędzi takich jak Google Maps

Ogólne dane obowiązkowe

Pierwsze informacje ogólne, które należy podać, to:

Prawa osób dotkniętych: Teksty standardowe
Podstawy prawne: Teksty standardowe (można je również dodatkowo dostosować do potrzeb)
Osoba odpowiedzialna: Kto jest odpowiedzialny za ochronę danych osobowych na stronie internetowej i jak można z nim skontaktować się?
Nominacja danych kontaktowych inspektora ochrony danych: Może być pominięta

Prawa osób, których dane dotyczą, można wyjaśnić w następujący sposób.

Prawa osób, których dane dotyczą

Prawa dotyczące osób zainteresowanych wynikają z Art. 15 RODO. Oto przykładowy tekst do napisania praw dotyczących osób zainteresowanych. Proszę ewentualnie dostosować. Tekst powinien być używany tylko z linkiem podziękowania na https://dr-dsgvo.de.

Masz do tego prawo:

zgodnie z art. 15 RODO żądanie informacji o przetwarzanych przez mnie danych osobowych dotyczących Państwa. W szczególności mogą Państwo żądać informacji na temat celów przetwarzania, kategorii danych osobowych, kategorii odbiorców, którym dane zostały ujawnione lub będą ujawniane, planowanej długości przechowywania, istnienia prawa do sprostowania, usunięcia, ograniczenia przetwarzania lub wniesienia sprzeciwu, istnienia uprawnienia do skargi, pochodzenia danych, jeśli nie zostały one zebrane przez mnie, oraz na temat istnienia zautomatyzowanego podejmowania decyzji w tym zakresie, w tym profilowania i ewentualnie informacji o ich szczegółach;
zgodnie z art. 16 RODO, do niezwłocznego żądania sprostowania nieprawidłowych lub niekompletnych danych osobowych przechowywanych przeze mnie;
żądania usunięcia danych osobowych przechowywanych przeze mnie zgodnie z art. 17 RODO, chyba że przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji, do wywiązania się z obowiązku prawnego, ze względu na interes publiczny lub do ustalenia, dochodzenia lub obrony roszczeń;
zgodnie z art. 18 RODO, do żądania ograniczenia przetwarzania danych osobowych użytkownika, jeżeli użytkownik kwestionuje prawidłowość tych danych, przetwarzanie jest niezgodne z prawem, ale użytkownik odmawia ich usunięcia, a my nie potrzebujemy już tych danych, ale są one potrzebne użytkownikowi do dochodzenia, wykonywania lub obrony roszczeń prawnych lub użytkownik wniósł sprzeciw wobec przetwarzania zgodnie z art. 21 RODO;
zgodnie z art. 20 RODO, do otrzymania Twoich danych osobowych, które mi przekazałeś, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub do żądania przekazania ich innemu administratorowi;
Zgodnie z art. 7 ust. 3 Dz.UV Możecie w każdej chwili odwołać swoją zgodę, którą miście udzieliliście. Wynika to z tego, że nie będziemy mogli kontynuować przetwarzania danych, które opiera się na tej zgody, i
Zgodnie z art. 77 RODO użytkownik ma prawo wnieść skargę do organu nadzorczego, bez uszczerbku dla innych administracyjnych lub sądowych środków odwoławczych. Zasadniczo można skontaktować się z organem nadzorczym w miejscu zamieszkania lub pracy lub w miejscu domniemanego naruszenia, jeśli osoba, której dane dotyczą, uważa, że przetwarzanie dotyczących jej danych osobowych narusza ogólne rozporządzenie UE o ochronie danych (RODO).

Podstawa prawna

Prawne podstawy powinny być ogólnie nazwane. Dodatkowo, dla każdego procesu przetwarzania danych może nastąpić specyficzna nazwa, jeśli nie jest ona oczywista. Oto przykładowy tekst. Tekst ten powinien być użyty tylko z linkiem podziękowania na https://dr-dsgvo.de.

Przetwarzamy dane generowane podczas odwiedzania naszej strony internetowej lub korzystania z oferowanych opcji kontaktu zgodnie z przepisami europejskiego ogólnego rozporządzenia o ochronie danych (RODO) i niemieckiej federalnej ustawy o ochronie danych (BDSG). W zależności od sprawy, w której użytkownik kontaktuje się z nami za pośrednictwem strony internetowej, istnieją różne podstawy prawne. Konkretna podstawa prawna przetwarzania danych zależy od kontekstu i celu, w jakim otrzymujemy dane użytkownika. Z reguły podstawa prawna przetwarzania danych wynika z opcji wymienionych poniżej:

Art. 6 I lit. a RODO służy jako podstawa prawna dla operacji przetwarzania, dla których uzyskujemy zgodę na określony cel przetwarzania. Udzielona zgoda może zostać odwołana w dowolnym momencie.

Jeśli przetwarzanie danych osobowych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, tak jak w przypadku procesów przetwarzania danych związanych z dostawą towarów lub świadczeniem innych usług lub wzajemnej usługi, to przetwarzanie odbywa się na podstawie art. 6 pkt b RODO. To samo dotyczy takich procesów przetwarzania danych, które są niezbędne do wykonania umów przedwstępnych, np. w przypadku zapytań o nasze produkty lub usługi.

Podlegamy obowiązkowi prawemu, który wymaga przetwarzania danych osobowych, np. do spełnienia obowiązku podatkowego, w związku z czym przetwarzanie odbywa się na podstawie art. 6 pkt c RODO.

Ostatecznie procesy przetwarzania danych mogą opierać się na art. 6 pkt 1 lit. f RODO. Procesy te opierają się na tej podstawie prawa, jeżeli nie są objęte żadną z wymienionych powyżej podstaw prawnych, jeśli przetwarzanie jest niezbędne do ochrony interesu naszego przedsiębiorstwa lub innego podmiotu, pod warunkiem że interes, prawa i wolności osoby fizycznej nie będą przeważać.
Przykładowy tekst dla cytowania podstaw prawnych

Należy pamiętać, że nie jest możliwe odwiedzanie strony internetowej bez przetwarzania danych osobowych. Dlatego nie należy twierdzić, że możliwe jest odwiedzanie strony internetowej bez podawania danych osobowych.

Informacje o specjalnych operacjach przetwarzania danych

Dla każdego procesu przetwarzania danych na stronie internetowej należy podać konkretną informację. Zobacz również Art. 15 RODO. Często spotykane są sekcje:

Dzienniki serwera: Największość serwerów przechowuje protokoły dostępu. To powinno być wyjaśnione
Cookies: Największość stron internetowych ustawia Cookies. Technicznie niezbędne Cookies, takie jak logowanie na stronach WordPressa lub Cookies z VG Wort, są bezproblemowe. Aby uniknąć pytań, powinny być również wyjaśniane bezproblemowe Cookies. Proszę zwrócić uwagę, że Cookies nie są plikami tekstowymi, nawet jeśli często tak się twierdzi
Formulare: Wskazówki dotyczące danych: Co się z nimi dzieje? Dane są w ogólności używane tylko do odpowiedzi na pytanie i ewentualnych pytań lub dalszej komunikacji wynikającej z tego
Newsletter: Wskazuj, jak dane (co najmniej adres e-mail) są przetwarzane. Nazywaj możliwość odwołania się (odwołanie z newslettera). Zainstaluj usługę newsletterową i nazwij ją. Upewnij się, że w wiadomościach newsletterowych nie ma pikseli śledczych (i jeśli tak, pytaj o zgodę na to)
Inne gromadzenie danych: Oferta usługi zwrotnego kontaktu przez stronę internetową lub przeprowadzanie procedur rekrutacyjnych przez stronę internetową lub przetwarzanie danych na stronie z innych, nie wyjaśnionych jeszcze powodów, musi być wyjaśniona.
Narzędzia: Dla każdego użytego narzędzia należy szczególnie wyjaśnić:
- Nazwa narzędzia
- Dostawca
- Cel
- Używane pliki cookie. Dla każdego pliku cookie: nazwa, czas życia, cel
- Zebrane dane
- Miejsca gromadzenia danych, jeśli mają one również miejsce poza siedzibą dostawcy (krajem)
- Odbiorcy danych, jeśli są inni niż dostawca
- Możliwe zagrożenia, takie jak przekazywanie danych do niebezpiecznych krajów trzecich
- Istniejące gwarancje, takie jak umowa o realizację zamówienia
Pliki zewnętrzne: Także dla zdjęć, czcionek, filmów wideo, bibliotek pomocniczych itp. należy wyjaśnić, co to jest.

Jeśli użytkownik zawarł umowę z dostawcą narzędzia lub plików zewnętrznych, w indywidualnych przypadkach może być dopuszczalne niezgłoszenie tego faktu.

Skąd właściwie wiesz, które narzędzia i pliki zewnętrzne są zintegrowane z Twoją witryną? Oto kilka możliwych odpowiedzi. Tylko jedna z nich jest poprawna:

Zgadujesz
Pytasz swoją agencję internetową
Pytasz swojego inspektora ochrony danych
Pytasz prawnika
Starają się przyjrzeć witrynie z bliska
Korzystasz z narzędzia, które automatycznie skanuje całą witrynę. Jeśli chcesz większego bezpieczeństwa, płacisz trochę więcej za dodatkową ręczną kontrolę

Dla wielu narzędzi i plików cookie nie ma prostego tekstu o ochronie danych osobowych. Jeśli dostawca usługi lub dokładna nazwa firmy jest nieznana, nie może odbyć się odpowiednia wyjaśnienie. Często cele cookies są nieznane lub są tylko przypuszczone. Gdy tak jest, to prawidłowy stosowanie narzędzi zarządzających tymi plikami cookie nie jest możliwe, ponieważ nie mogą być zrobione wymagane art. 13 RODO informacje o pliku cookie.

Do narzędziach analitycznych i innych toolach, które gromadzą dane, użytkownikowi powinna być udostępniona możliwość odrzucenia (Opt-Out). Zgoda musi również zostać poproszona o zgodę.

Typowa struktura tekstu dotyczącego ochrony danych dla narzędzia

W przykładowym tekście ochrony danych dla Google Maps ma być pokazane, jak może wyglądać tekst ochrony danych dla narzędzia. Proszę zwrócić uwagę, że tutaj brakuje informacji o plikach cookies, ponieważ nikt poza Google nie zdaje sobie sprawy, które pliki są używane do jakiego konkretnego celu!

Przykładowy tekst dotyczący ochrony danych (brakuje informacji o plikach cookie!). Obraz został przetłumaczony automatycznie.

Tekst odnosi się do kilku aspektów:

Nazwa usługi (Tools). Dla newsletterów prostu Newsletter nazywać się będzie
Dostawca usługi: Pełna nazwa firmy wraz z adresem i powszechnie używaną oznaczeniem kraju: USA każdy rozumiemy. Inne kody ISO nie są zrozumiałe
Cel: Dlaczego jest on używany?
Podstawa prawna: Może być podana do konkretnej usługi lub w ogólnym rozdziale bez powiązania z usługą. Często wynika ona z samej formy, w jakiej jest usługa wprowadzona. Z pytaniem o zgodę prawna podstawą jest zgoda, bez takiego pytania pozostaje zazwyczaj tylko uzasadnione interesowanie się. Jeśli zostanie podana specyficznie określona podstawa prawną, powinna być ona także poprawna. Kto pisze „zgoda” i ładuje usługę bez zgody, wywołuje problemy.
Szczegółowe informacje: Co jeszcze powinien wiedzieć użytkownik?
Przetwarzanie danych: Co się dzieje z danymi, które powstają przy pobieraniu i działaniu narzędzia?
Odbiorca danych: Kto może otrzymać dane? W wątpliwości zalecane jest podanie wyższego poziomu
Wzmianka o zagrożeniach: Podczas przesyłania danych do niepewnych krajów trzecich, często czyta je zainteresowany wywiad. To powinno być wyjaśnione
Więcej informacji: Link do polityki prywatności dostawcy może być pomocny, ale również szkodliwy. Informacje udostępniane przez Google nie są regularnie odpowiednie do tworzenia przejrzystości. Przede wszystkim należy zwrócić uwagę na linkowanie do niemieckiego dokumentu.

Jeśli teraz zastanawiacie się, jak mają być podane dane do Google Maps, zauważycie, że nie jest to możliwe. Samo podanie powyżej wzmianki o celu „Kartę będziemy używać do pokazywania naszego lokalizacji.” powinno skłonić do pytania: Czy mapa jest potrzebna w ogóle, a jeśli tak, to jakie ma korzyści

Dalsze zalecenia

Objaśnienia powinny być łatwe do zrozumienia, a mianowicie dla przeciętnego obywatela bez wiedzy technicznej lub prawniczej. To wynika z Art. 12 RODO.

Zasadniczo nie jest zakazane umieszczanie wypowiedzi o ochronie danych osobowych w formie oddzielnego rozdziału w informacji o firmie, ale zalecam, aby umieszczać ją na swojej stronie lub przynajmniej za pomocą własnego linka z każdej strony.

Link do Polityki Prywatności musi być dostępny w maksymalnie dwóch klikach. W przypadku responsywnego designu dla telefonów komórkowych link nie powinien być wyświetlany jedynie przez menu hamburgera, ale również zawsze widoczny w stopce strony. Link musi być dostępny nawet na stronach logowania, które są uważane za poufne.

Link do polityki prywatności powinien być eindeutnie oznaczony, np. Polityka prywatności, Prywatność itp. Aktualizacja: zalecane są nazwy Informacje dotyczące ochrony danych osobowych lub Dane osobowe, aby uniknąć problemów prawnych.

Nazwijcie Inspektora Ochrony Danych (DSB) w Polityce Prywatności. Jeśli nie macie własnego DSB, należy nazwać odpowiedzialnego za przetwarzanie danych.

Każda firma musi mieć DSB, która zatrudnia więcej niż 19 pracowników regularnie zaangażowanych w przetwarzanie danych osobowych. Zazwyczaj jest to tak, gdy ta liczba pracowników posiada stanowisko komputerowe. Firmy zatrudniające ponad 250 pracowników muszą również wyznaczyć DSB.

Ponadto obowiązuje dla wielu firm zobowiązanie DSB do przetwarzania danych osobowych (porównaj art. 37 ust. 1 lit. b RODO). Do tej kategorii należą według mojej oceny wszystkie firmy posiadające stronę internetową, ponieważ od roku 2017 adresy IP są uważane za dane osobowe.

Zbyt rozbudowana polityka prywatności

Często pojawiało się pytanie, czy zbyt duża ilość tekstu w polityce prywatności jest problemem i czy w ogóle należy obawiać się ostrzeżenia. Moja opinia na ten temat:

Podziel swoją politykę prywatności na wyraźnie rozpoznawalne sekcje
Jeśli jest o kilka tekstów za dużo, to nie ma problemu
Tylko nie przesadzaj
Jeśli niedawno korzystałeś z narzędzia, ale już tego nie robisz, nie usuwaj tekstu, dopóki nie upewnisz się, że żadne pamięci podręczne nie są aktywne
Jeśli planujesz wkrótce użyć narzędzia (formularza kontaktowego, newslettera, skryptu, narzędzia analitycznego itp.), dołącz wcześniej tekst dotyczący ochrony danych

Zwłaszcza ostatni punkt jasno pokazuje, że nie można mieć problemów z powodu zbyt dużej ilości tekstu (o ile mieści się on w granicach rozsądku): Jak ktoś ma udowodnić, że nie planuje w najbliższym czasie korzystać z zadeklarowanego, ale jeszcze nie wdrożonego narzędzia? Ponadto pojedyncza strona z informacjami o ochronie danych może być również przechowywana dla kilku witryn jednocześnie, nawet jeśli odradzam to z kilku powodów. Jednak teksty dotyczące ochrony danych powinny być obecne tylko wtedy, gdy są rzeczywiście potrzebne. W przeciwnym razie stanowią one niepotrzebny cel.

Polityka prywatności w języku angielskim

Jeśli strona internetowa jest również skierowana na rynki inne niż Niemcy, Austria i Szwajcaria, wówczas polityka prywatności powinna istnieć przynajmniej w języku angielskim. Oświadczenie w języku niemieckim musi być dostarczone na rynek niemiecki.