Dataskyddsforskriften: Den europæiske dataskyddsforordning og dens virkninger på internettet

Dataskyddsforskriften er en forordning fra Den Europæiske Union, der gælder for alle medlemsstater siden den 25. maj 2018. Den regulerer håndhænderne af personlige oplysninger.

Dataskyddsforskriften er teknologieneutral. På grund af de særlige forhold på internettet blev der udgivet ekstra regler. Dertil hører f.eks. den ePrivacy-rettighed. I sin anden version blev den også kaldt cookie-rettigheden.

For internettet og websteder er GDPR især relevant, fordi IP-adresser er personlige oplysninger (se domme fra EU-domstolen og Tysklands Højesteret). En databehandling forekommer allerede ved en dataindsamling, når der er mulighed for at kende til, at en dato er blevet sendt til en modtager, som er nævnt af en tilbyder.

Således er hver opkald af en hjemmeside en proces, der falder under GDPR's jurisdiktion. Hver webstedsejer har at underkaste sig GDPR. Mange gør dette kun med modvilje eller ikke overhovedet, som man kan se på brugen af ulovlige Consent Tools.

Men det skal bemærkes, at IP-adresser allerede før GDPR's ikrafttræden var persondata. Det Dataskyddsförordningen (Bundesdatenschutzgesetz) blev bare ikke anvendt konsekvent. I dette samme forhold er nævnt, at nogle dataskyddsmyndigheder i Tyskland ikke nødvendigvis glimtede af overmåde aktivitet (hilsner især til Hessen).

Der følger derfor nogle konsekvenser for hjemmesider, bl.a:

• Indhentelse af en samtykke før udførelse af bestemte databehandlingstilfælde
• Erklæring af de foretagne databehandlingstilgange i persondatapolitikken og på samtykningsanmodninger
• Meddelelse af medborgerrettigheder i persondatapolitikken
• Angivelse af en ansvarlig person i dataskutzklagen
• Tilgængelighed af privatpolitiske retningslinjer fra hver under-side (med maksimal to klik)
• Samtlige tider kontroll mulig ved dataskyddsmyndighedene
• Til data skyendes kan der udtømmelse af bøder trues

Hvad betyder databehandling?

Svaret finder Artikel 4 GDPR. Min korte oversigt: Næsten hver form for tilgængelighed af persondata til tredje part regnes som databehandling, uanset om en endelig behandling faktisk forekommer. Denne definition er meningsfuld, fordi ingen tredje part kan bevise følgende proces:

1. Websted W tilbyder en link (URL) på brugerens data ved Tracking (indsamling af URL ved hjælp af en tracker) til tjenesteyder D
2. Tjenesteyder D henter den modtagne URL op
3. Tjenesteyder D vurderer de udtrukne indhold

Artikel 4 i den europæiske dataskyddsforskrift (GDPR) siger under punkt 2 ([1]) :

I henhold til denne forordning betyder udtrykket:

Behandling“ hverken med eller uden hjælp af automatiske procedurer udført proces eller hverken en sådan række af processer i forbindelse med personlige oplysninger som indsamlingen, indførslen, organisationen, ordningen, lagringen, tilpasning eller ændring, udlesningen, henvendelsen, brug, offentliggørelse ved overdragelse, fordeling eller en anden form for tilsætning, sammenligning eller sammenkobling, begrænsning, sletning eller ødelæggelse;

Kapitel 4, § 2 af EU's persondataretlige forbud (GDPR)

Den, der en URL viderelevererar via Tracking til tredje part, som viser på en link til personlige oplysninger om en tredje part, tillader således en behandling af disse oplysninger og overtræder sandsynligvis Art. 32 GDPR (Sikkerhed vedrørende behandling), især her:

…træffende af ansvarlige og opgaveudøvere tilstrækkelige tekniske og organisatoriske tiltag, for at… sikre evnen til at bevare fortrolighed, integritet, tilgængelighed og modstandsdygtighed hos systemer og tjenester i forbindelse med behandling på lang sigt

Uddrag af artikel 32 § 1 i den europæiske dataskyddsforskrift (GDPR)

Den behandling af data begynder allerede med at samle data. Denne dataindsamling har jeg nøjere kigget på. Så snart en server modtager en forespørgsel (som fx en hjemmeside) og ikke blokerer den, ligger der en databehandling for! Så snart du har fået en breve i din brevkasse, som nogen har sendt dig på grund af dit tilbud, indsamler du dataene i brevet (udenom hvis din brevkasse pludselig brænder op kort efter modtagelsen af brevet o. svs.)

De vigtigste artikler i GDPR

Når jeg vurderer spørgsmål om persondata på hjemmesider, kommer følgende artikler igen og igen i spil:

• Artikel 4 GDPR: Almindelige begrebsbestemmelse, dvs., hvad personlige oplysninger er
• Artikel 5 GDPR: Principper for behandling af persondata. Insbesondere is hier die Minimering af data zu nennen. In der Praxis bedeutet dies ein Verbot des Einsatzes von Google Schriften, die vom Google Server geladen werden (eine Einwilligung für Schriften einzuholen macht wenig Sinn). Lösung: Schriften lokal einbinden
• Artikel 6 GDPR: Retlige grundlag. Især vigtigt: Er der et berechtigt interesse?
• Artikel 7 GDPR: Betingelser for en samtykke fra en bruger
• Artikel 12 GDPR: Tilkendegørende, enkel og forståelig information. Mange held til at beskrive databehandlingerne fra Google-koncernen. Det bedste er ikke at bruge nogen Google-tjenester eller en omfattende beskrivelse af mulige farer
• Artikel 13 GDPR: Informationspflichter. Deraf følger også behovet for en Datatilsynsbehandling og den Erklæring af formålet med cookies
• Artikel 15 GDPR Retshjælperegningsret af berørte personer inkl. Beskyttelsesret til en tilsynsmyndighed
• Artikel 26 GDPR: Fælles ansvar mellem to dataudbydere, der samarbejder ([1])
• Artikel 30 GDPR: Register over behandling af personoplysninger
• Artikel 32 GDPR: Sikkerhed af behandlingen
• Artikel 44ff GDPR: Principper for dataoverførsel. Særligt vigtig ved Datentransfers til USA (Google-Tools osv.)

Valgte emner på hjemmesider

For hjemmesider er det især brugen af tjenester, såkaldte værktøjer, en dataskyddsforskningsrelevant proces. Herom har jeg skrevet en række artikler og vil især anbefale følgende:

• Cookies: Grundlæggende principper
• Kiks Popunder: Fem grunde til, hvorfor de er usammenhørende og altid vil være det
• Samtykningsværktøjer: Praxistest
• Google Tag Manager er påkrævet samtykke
• Google Analytics i sine forskellige konfigurationer er påkrævet samtykke