Dataskyddsförordningen: Den europeiska dataskyddsförordningen och dess inverkan på internet

Dataskyddsförordningen är en förordning inom Europeiska unionen som gäller för alla medlemsländer sedan den 25 maj 2018. Den reglerar hanteringen av personuppgifter.

Dataskyddsförordningen är teknologieneutral. På grund av de särskilda förhållandena på internet har ytterligare regler utfärdats. Till exempel ePrivacy-direktivet. I sin andra version kallades den också cookie direktiv.

För internet och webbsidor är GDPR särskilt relevant, eftersom IP-adresser är personuppgifter (se domar från EU-domstolen och Bundesgerichtshof). En behandling av data sker redan vid en insamling av data, den möjliga kännedomen hos en mottagare som har nämnts av en erbjudandeleverantör.

Så är varje anrop till en webbplats ett förfarande som faller under GDPR:s ansvar. Varje webbplatsägare måste underkasta sig GDPR. Många gör detta med motvillighet eller inte alls, som man kan se exempelvis på användningen av olagliga Consent-verktyg.

Men det är värt att notera att IP-adresser redan innan GDPR trädde i kraft var personuppgifter. Det Dataskyddsförordningen (EU) (Bundesdatenschutzgesetz) tillämpades helt enkelt inte konsekvent. I detta sammanhang nämndes att några dataskyddsmyndigheter i Tyskland inte särskilt glänser av överdriven aktivitet (grattis främst till Hessen).

För webbsidor följer därmed några konsekvenser, bl.a:

• Inhämtande av samtycke före genomförande av vissa datahanteringsåtgärder
• Beskrivning av de datahanteringsprocesser som har genomförts enligt dataskyddspolicy och på frågor om samtycke
• Uppgift om medbestämmanderätt i integritetspolicyn
• Uppgift om en ansvarig person i dataskyddspolicyen
• Tillgänglighet till dataskyddspolicy från varje sida (med högst två klick)
• Samtidig kontroll av dataskyddsuppsyningsmyndigheter möjlig
• Vid överträdelser av dataskyddslagen hotas böter

Datenhantering

Svaret ges Artikel 4 GDPR. Min sammanfattning: Nästan varje form av tillhandahållande personuppgifter till tredje part anses som datahantering, oavsett om en slutlig hantering faktiskt sker. Denna definition är meningsfull eftersom ingen tredje part kan bevisa följande process:

1. Webbplats W tillhandahåller en länk (URL) på användarens data genom Tracking (upptäckande av URL via en tracker) till tjänsteleverantören D
2. Tjänsteleverantör D hämtar upp den erhållna URL:n
3. Tjänsteleverantör D värderar utlästa innehåll

Artikel 4 i dataskyddsförordningen (GDPR) säger under punkt 2 ([1]) :

I enlighet med denna förordning avses uttrycket:

Bearbetning“ av varje med eller utan hjälp av automatiserade förfaranden utförd åtgärd eller åtgärdssekvens i samband med personuppgifter som insamling, inmatning, organisation, ordning, lagring, anpassning eller förändring, läsning, fråga, användning, offentliggörande genom överföring, spridning eller någon annan form av tillgängliggörande, jämförelse eller koppling, begränsning, radering eller förstöring;

Kapitel 4, Artikel 2 i EU:s dataskyddsförordning (GDPR)

Om någon delar ut en URL genom Tracking till tredje part, som innehåller en länk till personuppgifter hos en annan, så ger det möjlighet att behandla dessa uppgifter och sannolikt strider mot art. 32 GDPR (Säkerhet vid behandling), i synnerhet:

…att särskilda ansvariga och uppgiftshavare vidtar lämpliga tekniska och organisatoriska åtgärder för att… säkerställa systemens och tjänsternas förmåga, sekretess, integritet, tillgänglighet och kapacitet i samband med behandlingen på lång sikt

Utdrag ur artikel 32 § 1 i dataskyddsförordningen (GDPR)

Den behandling av data börjar redan när man samlar in dem. Jag har tittat närmare på hur man samlar in data . Så fort en server får ett erbjudande (som en webbplats) och inte blockerar den, ligger det en datahantering! Så fort du har en brev i din brevlåda som någon har skickat till dig på grund av ditt erbjudande, samlar du in data i brevet (utom om din brevlåda börjar brinna kort efter att du fått brevet) ([1])

De viktigaste artiklarna i GDPR

När jag bedömer frågor om dataskydd på webbplatser dyker följande artiklar alltid upp igen:

• Artikel 4 GDPR: Allmänna begreppsbestämmelser, om vad som utgör personuppgifter
• Artikel 5 GDPR: Principer för behandling av personuppgifter. Insbesondere is hier die Minimering av data zu nennen. In der Praxis bedeutet dies ein Verbot des Einsatzes von Google Schriften, die vom Google Server geladen werden (eine Einwilligung für Schriften einzuholen macht wenig Sinn). Lösung: Schriften lokal einbinden
• Artikel 6 GDPR: Rättsliga grunder. Särskilt viktigt: Finns ett berättigat intresse?
• Artikel 7 GDPR: Villkoren för en samtycke från en användare
• Artikel 12 GDPR: Transparens, enkel och förståelbar information. Lycka till med att beskriva dataskyddsförvaltningarna av Google-koncernen. Det bästa är att inte använda några Google-verktyg eller ge en omfattande beskrivning av möjliga risker
• Artikel 13 GDPR: Informationspliktigheter. Därav följer också behovet av en Dataskyddspolicy och den förklaringen till syftet med cookies
• Artikel 15 GDPR Rätt till information från berörda personer inklusive rätt att anmäla sig till en tillsynsmyndighet
• Artikel 26 GDPR: Samtliga ansvariga för två datalagringssystem som samarbetar ([1])
• Artikel 30 GDPR: Register över behandlingar
• Artikel 32 GDPR: Säkerhet vid behandling
• Artikel 44ff GDPR: Principer för datatransmission. Särskilt viktigt vid Datatransfer till USA (Google-verktyg osv.)

Uppskjutna ämnen på webbplatser

För webbplatser är det främst användningen av tjänster, så kallade verktyg, som utgör ett dataskyddslagligt tillfälle. Till detta har jag skrivit en serie inlägg och vill framför allt rekommendera följande:

• Cookies: Grundläggande principer
• Kakelpoppuppor: Fem skäl varför de är otrustliga och alltid kommer att vara det
• Samtyckesverktyg: Praktiktest
• Google Tag Manager är ett krav på samtycke
• Google Analytics i sina olika konfigurationer är villkorsvisningspliktig