Закон про захист даних ЄС: Основні положення Закону про захист даних ЄС та їх вплив на інтернет

Виправна дія ЄС щодо захисту даних (GDPR) — це законодавчий акт Євросоюзу, який діє для всіх держав-членів з 25 травня 2018 року. Вона регулює обробку особистих даних.

Державна законодавча послуга щодо захисту даних є технологічно нейтральною. З огляду на особливості Інтернету були видані додаткові правила. До них належить, наприклад, Регламент про приватність Інтернету. У своїй другій версії вона також була названа Регламентом щодо файлів cookie.

Для інтернету та вебсторінок особливо актуальна ДЗП, оскільки адреси IP є особистими даними (див. рішення ЄСПЛ і БГХ). Обробка даних відбувається вже при зборі даних , можливій ознайомленості із ними адресатом від імені пропозиційного надання. ([1])

Також кожен виклик вебсторінки є процесом, який підпадає під юрисдикцію ДSGVO. Кожний власник вебсторінки повинен підкорятися ДSGVO. Багато хто робить це лише з невтішенням або зовсім ні, як можна побачити на використанні незаконних інструментів згоди.

Вже до прийняття ДSGVO IP-адреси були особистими даними. Просто Закон про захист особистих даних Німеччини (федеральний закон про захист даних) застосовувався не дуже серйозно. У цьому контексті згадується, що деякі органи захисту даних в Німеччині не особливо відзначилися своїми активностями (привітання перш за все до Гессену).

Для вебсайтів виникнуть деякі наслідки, зокрема:

• Збирання згоди перед виконанням певних операцій з обробкою даних
• Опис даних обробки, що виконувалася згідно з Політикою конфіденційності та на запит користувача щодо згоди
• Назначення прав осіб, щодо яких застосовується захист даних у політиці захисту даних
• Назначення відповідальної особи в Політиці конфіденційності
• Доступність політики конфіденційності з будь-якої сторінки (з максимально двома кліками)
• Постійний контроль можливий за допомогою органів захисту даних
• При порушенні захисту даних загроза штрафу

Що таке обробка даних?

Реєстрація Стаття 4 ДЗПВ. Коротка назва від мене: nearly кожна форма надання особистих даних третім вважається обробкою даних, незалежно від того, відбувалася чи ні кінцева обробка. Ця визначення є розумним тому жоден третій не може підтвердити наступний процес:

1. Вебсайт В надає посилання (URL) на дані користувача через Tracking (збір URL за допомогою трекера) послуговеду D
2. Сервіс Д питає отриману URL адресу
3. Сервіс Д оцінює витягнуті вміст

Стаття 4 ДЗПВ говорить під пунктом 2:

За цією постановою термінами:

Обробка“ кожного з або без допомоги автоматизованих процесів виконуваного процесу чи кожної подібної послідовності дій щодо даних, пов'язаних із окремими особами, як наприклад збирання, збір, організацію, розміщення, зберігання, підлаштовування або зміну, видачу, питаннявання, використання, відкриття шляхом передачі, розповсюдження чи будь-якої іншої форми доступності, порівняння або поєднання, обмеження, видалення або знищення;

Чин. 4 Пункт 2 ДЗПВ

Коли хто-небудь передає URL через Tracking іншим, які містять посилання на особисті дані іншої особи, вони дозволяють обробляти ці дані та порушують, ймовірно, ст. 32 GDPR (безпека обробки), зокрема:

…вжиття відповідальніми та виконавцями завдань відповідних технічних та організаційних заходів, щоб… забезпечити здатність, конфіденційність, цілісність, доступність та стійкість систем та послуг у зв'язку з обробкою даних протягом тривалого періоду

Вибрані положення з статті 32, абзац 1 ДЗП

В обробці даних починається вже з моменту їх збору. Збір даних я собі детальніше розглянув. Відразу після того, як сервер отримує запит на основі пропозиції (як вебсторінки), а цей запит не блокується, відбувається обробка даних! Відразу після того, як ви отримаєте лист у своїй поштовій скриньці, який вам було надіслано на основі вашої пропозиції, ви збираєте дані зі листа (окрім випадку, якщо ваша поштова скринька раптово загоріється тощо)

Основні статті ДЗПВ

При оцінці питань щодо захисту даних на вебсторінках знову і знову з'являються такі статті:

• Стаття 4 ДЗПВ: Загальні визначення термінів, зокрема, що таке особисті дані
• Стаття 5 ДЗПВ: Навіси принципи обробки персональних даних. У першу чергу слід згадати про мінімізацію даних. На практиці це означає заборону використання Google Шрифтів, завантажуваних з сервера Google (збір згоди на шрифти майже нічого не значить). Рішення: використовувати шрифти місцево ([1])
• Стаття 6 ДЗПВ: Джерела права. У першу чергу важливо: Чи існує підстава для інтересу?
• Стаття 7 ДЗПВ: Умови для отримання свідчення згоди від користувача
• Стаття 12 ДЗП: Відкрита, проста та розумна інформація. Вистачає удачі при описанні обробки даних компанії Google. Найкраще не використовувати жодних інструментів Google або детально описувати можливі небезпеки
• Стаття 13 ДЗП: Інформаційні обов'язки. Звідси також випливає необхідність створення Декларації про захист даних та Опису цілей від Cookies
• Стаття 15 ДЗП Право на інформацію від осіб, щодо яких зберігаються дані, включаючи право подати скаргу до органу регулювання
• Стаття 26 ДЗПВ: Об'єднана відповідальність двох обробників даних, які працюють разом
• Стаття 30 ДЗПВ: Реєстр обробки даних
• Стаття 32 ДЗПВ: Безпека обробки даних
• Стаття 44ff GDPR: Принципи даніотрансферу. Особливо важливо при даніотрансферах у США (Google-інструменти тощо.)

Вибрані теми на вебсайтах

Для вебсайтів особливо важливий використовування послуг, відомих як інструменти, що мають значення згідно законодавству про захист даних. Для цього я написав ряд статей і особливо рекомендую такі статті:

• Cookies: Основи
• Кукі-попапи: П'ять причин, чому вони непідвладні і завжди будуть таковими
• Інструменти згоди: Практичний тест
• Гугл Тег Менеджер є обов'язковим для згоди
• Google Analytics у своїх різноманітних конфігураціях є обов'язковим для згоди