Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

Політика конфіденційності на веб-сайтах: Зміст та рекомендації

0
recommendations for content and structure of the privacy policy
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Стаття у форматі PDF
📄 Стаття у форматі PDF (тільки для передплатників новин)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Політика конфіденційності повинна бути доступна на кожному загальнодоступному веб-сайті. Окрім стандартних текстів, вона також повинна містити пояснення всіх використовуваних інструментів і всіх операцій з обробки даних. Однак самої лише політики конфіденційності недостатньо.

Вступ

Декларація про захист даних на вебсторінках обов'язкова. Це випливає з статті 12, а також статті 13 ДЗПВ та факти, що адреси мережі є особистими даними. nearly кожна вебсторінка являє собою пропозицію. Якщо вебсторінка майже порожня, їй можливо не потрібна декларація про захист даних. Тільки вказівка на власне (господарське) діяльність досить достатньо для виконання функції пропозиції (дивіться приклад, де мені здається відсутні повідомлення про захист даних). ([1])

З огляду на законодавчі вимоги краще назвати сторінку щодо захисту даних як «Інформація про захист даних» або «Інформація про захист даних». У цьому статті натомість використовується більш не критична назва «Обгавлення захисту даних». Перейдіть до рішення від 27 грудня 2018 року – 23 U 196/13.

З досвіду я знаю, що небезпеки (жалоба, попередження, штраф) перш за все не виходять із текстів про захист даних, а з неправомісними інтегрованими інструментами, відсутніми SSL- сертифікатами, не працюючими запитами щодо згоди, надто багато запитуємими даними у формах або відсутніми посиланнями на політику захисту даних.

Пояснення чогось не означає, що це дозволено.

Візьмемо приклад найманих вбивць:

Ви наймаєте найманого вбивцю і пояснюєте свої наміри жертві. Чи стане від цього краще?

Часті непорозуміння щодо декларацій про захист даних

Є дозволений висновок щодо створення текстів про захист даних, згідно з яким це можливо кожному та часто має сенс. Для цього не потрібен адвокат. Ризики знаходяться в іншому місці. Якщо ви хочете захистити свої вебсторінки, спочатку подумайте про щось інше, ніж декларацію про захист даних. Крім того, я стверджую, що навіть адвокати часто не можуть справитися з цим текстом. Серед іншого це відбувається тому, що для інструментів Google або Facebook часто не зовсім ясно чи багатьом точно відомо, які обробки даних здійснюються яким чином.

З досвіду я стверджую, що для створення добрих текстів про захист даних для інструментів перше технічне розуміння та друге основне юридичне розуміння є корисними. Крім того, знання про будову текстів про захист даних допомагає, оскільки всі такі тексти мають одну й ту ж саму основну структуру.

Зміст політики конфіденційності

Зміст інформації про захист даних можна умовно розділити на три частини:

  • Вебсайт-специфічні дані: Інформаційний текст, вказування відповідальної особи, вказування ДСБ, контактна інформація
  • Всі загальні обов'язкові дані: Вони завжди такі ж самі (станом на 09.08.2021)
  • Інформація щодо спеціальних операцій обробки даних на вебсайті: Відповідально при використанні новинних листівок, формулів або інструментів як Google Maps

Загальні обов'язкові дані

Завданням є надання ряду загальних відомостей. До них належать:

  • Право на захист: Стандартні тексти
  • Правові підстави: Стандартні тексти (можуть також додатково спеціфікувати)
  • Відповідальна сторона: Ким є відповідальним за захист даних на сайті та яким чином можна з ним зв'язатися?
  • Назначення контактної інформації офіційного представника захисту даних: може бути відсутнє

Права суб'єктів даних можна пояснити наступним чином.

Права суб'єктів даних

Право осіб, що стосуються себе, походять із Статті 15 ДЗКВ. Тут є приклад тексту для згадування прав осіб, що стосуються себе. Будь ласка, змінюйте його згідно необхідності. Текст повинен використовуватися лише з посиланням на дяку https://dr-dsgvo.de.

Ти маєш право:

  • за згодою Стаття 15 ДЗПВ просити інформацію про оброблені мною дані, що стосуються вас особисто. У особливості ви можете отримати інформацію щодо цілей обробки даних, категорії даних, які стосуються вас особисто, категорій осіб, яким були надані або будуть надані дані, плануваної тривалості зберігання даних, наявності права на виправлення, знищення, обмеження обробки даних чи відмови від неї, наявності права на звернення до органів захисту прав людини, походження даних, якщо вони не були отримані від мене, а також наявність автоматизованого прийняття рішень, включаючи профільування та можливості отримання інформації щодо їх деталей;
  • відповідно до ст. 16 GDPR, негайно вимагати виправлення невірних або неповних персональних даних, що зберігаються мною;
  • вимагати видалення ваших персональних даних, що зберігаються мною, відповідно до ст. 17 GDPR, за винятком випадків, коли обробка необхідна для здійснення права на свободу вираження поглядів та інформації, для виконання юридичного зобов'язання, з міркувань суспільного інтересу або для встановлення, здійснення або захисту правових претензій;
  • відповідно до ст. 18 GDPR вимагати обмеження обробки ваших персональних даних, якщо точність даних оскаржується вами, обробка є незаконною, але ви відмовляєтеся їх видалити, і ми більше не потребуємо цих даних, але вони потрібні вам для пред'явлення, здійснення або захисту правових вимог або ви подали заперечення проти обробки відповідно до ст. 21 GDPR;
  • відповідно до ст. 20 GDPR, отримувати ваші персональні дані, які ви мені надали, у структурованому, загальноприйнятому та машинозчитуваному форматі або вимагати їх передачі іншому контролеру;
  • Згідно з ст. 7 п. 3 ДЗП Ви можете відкликати своє згоду мені щодо будь-якої миті. Це означає, що ми більше не зможемо продовжувати обробку даних на основі цієї згоди у майбутньому,
  • Відповідно до ст. 77 GDPR, ви маєте право подати скаргу до наглядового органу, без шкоди для будь-якого іншого адміністративного або судового засобу правового захисту. Як правило, ви можете звернутися до наглядового органу за вашим звичайним місцем проживання чи роботи або за місцем передбачуваного порушення, якщо суб'єкт даних вважає, що обробка персональних даних, які його стосуються, порушує Загальний регламент про захист даних ЄС (GDPR).

Правова основа

Правові підстави повинні бути загалом названі. Крім того, для кожного процесу обробки даних може відбутися спеціальна назва, якщо вона не очевидна. Нижче наведено приклад тексту. Текст повинен використовуватися лише з посиланням на подяку https://dr-dsgvo.de.

Ми обробляємо дані, які генеруються, коли ви відвідуєте наш веб-сайт або використовуєте запропоновані варіанти зв'язку, відповідно до положень Європейського Загального регламенту про захист даних (GDPR) та Федерального закону про захист даних Німеччини (BDSG). Залежно від того, з якого питання ви звертаєтеся до нас через веб-сайт, існують різні правові підстави для цього. Конкретна правова основа для обробки даних залежить від контексту та мети, з якою ми отримуємо ваші дані. Як правило, правова основа для обробки даних випливає з перерахованих нижче варіантів:

Стаття 6 I lit. a GDPR слугує правовою основою для операцій з обробки даних, на які ми отримуємо згоду для конкретної мети обробки. Надана згода може бути відкликана в будь-який час.

Які дані особистих даних необхідні для виконання договору, стороною якого є людина, яка стосується цієї людини, наприклад, обробка даних у процесах доставки товарів або надання послуг чи відшкодування, якщо такі дії необхідні, то обробка здійснюється згідно з ст. 6 розд. б ДЗПВ. Теж саме стосується обробки даних, які необхідні для виконання попередніх заходів договору, наприклад, коли людина звертається до нас щодо наших товарів чи послуг.

Підлягаємо правовій зобов'язанню, згідно з яким обробка персональних даних необхідна, наприклад для виконання податкових обов’язків, тому обробка здійснюється відповідно до статті 6 розділу I літери c ДЗВП.

Останнім часом обробка даних може ґрунтуватися на ст. 6 п. 1 ч. ф ДЗПВ. Обробка даних здійснюється згідно цієї правової підстави, якщо вона не охоплює жодної з попередніх підстав, коли обробка необхідна для захисту інтересів нашої компанії або третього особи, за умови, що інтереси, основні права та свободи людини не порушуються.

Зразок тексту для цитування правових підстав

Зверніть увагу, що відвідування веб-сайту без обробки персональних даних є неможливим. Тому не слід стверджувати, що веб-сайт можна відвідати без надання персональних даних.

Інформація про спеціальні операції з обробки даних

Для кожного оброблювального процесу даних на вебсайті повинні бути зроблені конкретні заяви. Дивіться також Стаття 15 GDPR. Часто використовувані розділи:

  • Журнали сервера: Більшість серверів зберігають журнали доступу. Це слід пояснити
  • Cookies: Більшість вебсторінок встановлює кукі. Технічні необхідні кукі, як облікова реєстрація на сайті WordPress або кукі від VG Wort, є безпечними. Для уникнення запитань також слід пояснити безпечні кукі. Будьте уважні до того, що кукі не є текстовими файлами, навіть якщо часто стверджують навпаки
  • Formulare: Вкажіть, що відбувається з даними. Зазвичай дані використовуються лише для відповіді на запитання та можливих додаткових запитань або подальшої комунікації, яка виникне внаслідок цього
  • Інформаційний бюлетень: Розкажіть, як обробляються дані (мінімум – адреса електронної пошти). Назвіть можливість відмінити підписку (Відписатися від newsletters). Встановіть послугу для розсилки newsletters, назвіть її. Забезпечте, щоб у повідомленнях newsletters не було трекінгового пікселя (і якщо воно є, запитайте попередньо дозволу)
  • Інші збірки даних: запропонуйте послугу повернення виклику через вебсайт або обробіть процес подання документів через вебсайт або обробіть дані на сайті з інших, ще не пояснених причин, потрібно пояснити.
  • Інструменти: Для кожного використовуваного інструмента особливо необхідно пояснити:
    • Назва інструменту
    • Провайдер
    • Мета
    • Використані файли cookie. Для кожного файлу cookie: назва, термін дії, призначення
    • Зібрані дані
    • Місця збору даних, якщо вони також відбуваються за межами зареєстрованого офісу (країни) постачальника
    • Одержувачі даних, якщо вони є, крім постачальника
    • Можливі ризики, такі як передача даних до небезпечних третіх країн
    • Існуючі гарантії, такі як договір на обробку замовлень
  • Зовнішні файли: А також для зображень, шрифтів, відео, допоміжних бібліотек тощо треба пояснити, що саме воно таке.

Якщо у вас є контракт з постачальником інструменту або зовнішніх файлів, в окремих випадках може бути дозволено не декларувати це.

Як дізнатися, які саме інструменти та зовнішні файли інтегровані на вашому сайті? Ось кілька можливих відповідей. Лише одна з них є правильною:

  1. Здогадуєшся
  2. Ви запитуєте своє інтернет-агентство
  3. Ви запитаєте свого співробітника з питань захисту даних
  4. Ви запитаєте адвоката
  5. Вони намагаються уважно вивчити ваш сайт
  6. Ви використовуєте інструмент, який автоматично сканує весь ваш веб-сайт. Якщо ви хочете більше безпеки, ви платите трохи більше за додаткову ручну перевірку

Для багатьох інструментів та файлів cookie немає жодної інформації про захист даних. Якщо невідомий провайдер послуг або його точна назва компанії не відомі, то ніякої належної інформації не можна отримати. Часто цілі від файлів cookie невідомі або лише здогадуються. Якщо це так, то використання інструментів, які керують цими файлами cookie згідно з правовим законодавством неможливо, оскільки необхідні дані щодо файлу cookie за статтею 13 GDPR не можуть бути надані.

Для аналітичних інструментів та інших засобів збору даних користувачеві повинна бути надана можливість відмовитися (Opt-Out). Згідно заявка на згоду також повинна бути зроблена для більшості інструментів.

Типова структура тексту про захист даних для інструменту

На можливому тексті про захист даних для Google Maps має бути показано, як можна організувати текст про захист даних для інструмента. Будь ласка, зверніть увагу, що тут відсутні дані щодо файлів cookie, оскільки ніхто крім Google не знає, які саме файли cookie використовуються з яким конкретним призначенням!

Приклад тексту захисту даних (інформація про файли cookie відсутня!). Зображення було перекладено автоматично.

У тексті розглядаються кілька аспектів:

  • Назва послуги (Інструменти). Для новин просто Новини називається
  • Провайдер послуг: Повна назва компанії з адресою та найпоширенішою країною-кодуванням: США зрозуміти кожному. Інші коди ISO не зрозумілі
  • Мета: Чому використовується цей сервіс?
  • Правова основа: Вона може бути вказана для конкретного послуги або в загальному розділі без посилання на послугу. Часто правова підстава випливає вже з тієї форми, якою послуга була інтегрована. З запитанням щодо згоди правова підстава є саме згодою, без подібного запитання залишається лише законне інтерес. Визначена спеціально правова підстава повинна відповідати собі. Кимось, хто пише "згода" і завантажує послугу без згоди, викликаються проблеми.
  • Відмінені дані: Що ще повинен знати користувач?
  • Дані оброблення: Що відбувається з даними, які виникають під час завантаження та експлуатації інструменту?
  • Датенемпфанґер: Хто може отримувати дані? У разі сумніву рекомендується надавати загальні відомості
  • Наявність ризиків: При передачі даних в нестабільні треті країни часто читає такий зміст із секретної служби. Це повинно бути пояснено
  • Далішні відомості: посилання на політику конфіденційності постачальника може бути як корисним, так і шкідливим. Інформація, надана Google, регулярно не здатна забезпечити прозорість. При створенні посилання слід особливо звернути увагу на те, щоб посилатися на німецьке документ.

Якщо ви тепер спробуєте уявити, як будуть зроблені дані щодо Google Maps, ви побачите, що це неможливо. Сама лише вказівка на згаданий вище намір «Ми використовуємо карту для показу свого місцезнаходження» повинна стати приводом до питання: чи потрібна навіть ця карта та чим вона буде корисна?

Подальші рекомендації

Охайливі пояснення повинні бути легко зрозуміліми для звичайного громадянина без технічної чи юридичної спеціалізації. Це випливає з статті 12 ДЗП.

Є підстави вважати, що заборонено не є, щоб розміщувати сторінку про захист даних окремим розділом у інформаційній сторінці. Я рекомендую зробити це на власній сторінці або хоча б зробити її доступною за допомогою власного посилання з будь-якої сторінки.

Посилання на політику конфіденційності повинно бути доступним протягом максимум двоїх кліків. При відповідному дизайні для смартфонів посилання не лише має бути показане через меню "Гамбургер", але й завжди повинен бути помітний у нижній частині сторінки. Також на сторінках з анонімним входом повинно бути наявне посилання.

Лінк до політики конфіденційності повинен бути чітко названий, тобто з політика конфіденційності, конфіденційність тощо. Оновлення: рекомендовані назви інформація про захист даних або дані захисту даних, щоб уникнути юридичних проблем.

Назвіть Датапротектор (DSB) у Політиці конфіденційності. Якщо немає власного DSB, треба вказати відповідальну особу за обробку даних.

Кожна компанія, яка призначає більше ніж 19 працівників регулярно обробляти персональні дані, повинна мати спеціального працівника з захисту даних (DSB). Це майже завжди відбувається тоді, коли вказана кількість працівників має робочий місця біля комп'ютера. Компанії з більшою кількістю співробітників також повинні призначити DSB.

Також діє обов'язок замовлення DSB для багатьох підприємств, які регулярно обробляють особисту інформацію (див. ст. 37 абз. 1 б GDPR). До цієї категорії належать за моїм поглядом усі підприємства з публічним вебсайтом , бо вже з 2017 року мережеві адреси вважаються особистими даними.

Політика конфіденційності занадто обширна

Часто виникає питання, чи є занадто багато тексту в політиці конфіденційності проблемою і чи варто взагалі боятися попередження. Моя думка з цього приводу:

  • Структуруйте свою політику конфіденційності у чітко визначені розділи
  • Якщо текстів буде забагато, це не проблема
  • Тільки не перестарайтеся
  • Якщо ви нещодавно використовували інструмент, але більше цього не робите, не видаляйте текст, доки не переконаєтеся, що жоден кеш не активний
  • Якщо ви плануєте використовувати інструмент (контактну форму, розсилку, скрипт, інструмент аналізу тощо) найближчим часом, додайте текст про захист даних заздалегідь

Останній пункт, зокрема, дає зрозуміти, що у вас не може виникнути проблем через надмірну кількість тексту (якщо вона не виходить за рамки розумного): Як хтось збирається довести, що він не планує використовувати задекларований, але ще не розгорнутий інструмент найближчим часом? Крім того, одну сторінку з інформацією про захист даних можна зберігати для кількох веб-сайтів одночасно, хоча я не раджу цього робити з кількох причин. Однак тексти про захист даних повинні бути присутніми лише тоді, коли вони дійсно потрібні. В іншому випадку вони пропонують непотрібну мету.

Політика конфіденційності англійською мовою

Якщо веб-сайт також орієнтований на інші ринки, окрім Німеччини, Австрії та Швейцарії, то політика конфіденційності повинна бути принаймні англійською мовою. Для німецького ринку необхідно надати німецькомовну декларацію.

Також цікаво

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Спливаючі вікна з файлами cookie: п'ять причин, чому вони не працюють