На майже кожній вебсторінці існують посилання на інші вебсторінки. При клікуванні лінка відвідувачем сторінки обов'язково передаються особисті дані. Чи це проблема захисту даних? Як виглядають цілі лінків у нестабільних країнах третього світу, наприклад, США?
Вступ
Лінк або посилання – це гіперпосилання, яке на HTML-сторінках можливе. HTML-сторінка – це те, що багато розуміють під поняттям "вебсторінка". HTML означає Гіпертекстовий Маркування Язик
У HTML існують так звані . Tags.. . Tag — це командування. . Tag керує виглядом або поведінкою тексту. З допомогою . Tag <b> можна активувати жирний шрифт для частини тексту. . Tag <a> жорстко визначає посилання. Приклад визначення посилання:
<a href="https://www.ein-linkziel.de">Натисніть тут, щоб перейти на інший веб-сайт</a>
День_ визначається посиланням на цілеспрямований об'єкт, тобто адресою (URL) та текстом, який знаходиться всередині тегу a. Коли користувач клацне по тексту, відбувається звернення до вказаної адреси.
Передача даних при кліку на посилання
Перш ніж користувач самостійно натисне на посилання, відбувається передавання даних. Тільки тоді відбувається збір даних . Збір даних відбувається тоді, коли дані, запропоновані відповідальним особою, отримуються та фактично можуть потрапити до особи, яка їх пропонує або третього особи.
Відповідальний у разі зовнішнього посилання є Link source, тобто відповідальний за вебсайт, який містить зовнішнє посилання.
Дані, які передаються при кліку на посилання, технічні та необхідні через протокол Інтернету TCP. TCP означає Transmission Control Protocol.
Дані, переданих даних, містять адресу IP користувача. Адреса IP як адреса мережі, є особистими даними. Таке визначено ЄСПЛ та Бундесгерихт. Це навіть стосується динамічних адрес IP, тобто тих, які регулярно видаються знову. І навіть якщо користувач отримує нову адресу IP кожного дня від свого інтернет-провайдера, вона вважається особистими даними.
При кожному кліку на зовнішній посилання передаватимуться дані, пов'язані з особою, іншій стороні
Потрібна відповідь на протокол Інтернету TCP
Обробка даних при цілковитому з'єднанні
Лінкодавець не відповідальний за обробку даних, яку здійснює лінк-місто самостійно. Іншим було б, якщо існував наказ від лінкодавця. Також спільна відповідальність лінкодавця та лінк-міста, яка може виникнути згідно договору, є іншим випадком.
Цільова сторінка відповідає за обробку даних, які вона отримує після кліку на зовнішній посилання на сайті власника цього посилання.
Мета в безпечній країні третього світу
У країні, що не має жодних стосунків до ЄС, офіційно та формально забезпечено рівень захисту даних, порівняний з ДSGVO.
Якщо цілісне посилання знаходиться в безпечному третій країні, тоді надавець посилання відповідає лише за передачу даних та збір даних, які він сам організував. Передача даних необхідна технічними засобами. Для цього немає нікого, хто міг би відповідати. Можливо, є відповідальність. Немає відповідальності щодо чогось – фактично це те саме, що не бути відповідальним за щось.
Збирання даних при відвідуванні посилання дозволено лише в міру того, що це передбачено згідно з ДЗНВ. Наприклад, посиланням можна здійснювати заходи щодо захисту системи від хакерів, але не реєструвати IP-адреси для цілей маркетингу. Для цього відповідає посилання.
У цьому випадку надання посилання фактично не є відповідальністю ні щодо передачі даних, ні щодо збору даних.
Дійсно немає відповідальності щодо надання посилання на цілі в безпечних третіх країнах.
Цільова країна в умовах нестабільності третього світу
Навіть більш складною є оцінка ситуації щодо цілей зв'язку в країнах з нестабільним законодавством. США залишаються країнами з нестабільним законодавством, поки діючий американський Cloud Act зберігається у своїй поточній формі. Ніякі рішення ЄС не змінять цього стану справ. На жаль, ЄС продав власні права громадян шляхом укладення політично мотивованого угоди щодо захисту даних під назвою Data Privacy Framework (DPF) із США. ДPF ґрунтується на виконавчій директиві президента США , яка може бути скасовена в будь-який час. Безумовно, громадянам ЄС не забезпечується належний захист від шпигунства зі сторони США. Усі ці проблеми ще більше посилюються тим, що організація в США називається судом, але насправді це лише театральна сцена. Крім того, слід перевірити, які країни входять до гри, коли послуга обробляє дані клієнта. У випадку Google часто залучені інші треті особи з інших країн із нестабільним законодавством, для яких немає відповідного рішення щодо дотримання вимог законодавства.
Стаття 44 ДЗП визначає загальні принципи передачі даних. Ці принципи означають, що передача особистих даних_, „_які вже оброблювалися або повинні бути оброблені після їх передачі до третього держави чи міжнародної організації“ дозволена лише за певних умов.
Передача даних до США дозволена лише після попередньої згоди особи, щодо якої дані передаються. Зібрані дані ще не оброблені джерелом інформації.
Звідси виникають декілька питань щодо зовнішніх посилань.
Коли користувач клікає на такий посилання, він тоді дав згода? Згода згідно з ст. 4 пп. 11 ДЗП — це «будь-яке вільно дане згоду щодо певного випадку, отримане в інформованому та непохибному вигляді, яке свідчить про те, що особа погоджується на обробку даних, які стосуються неї».
Є класична згода, якою ви знаєте з так званих Cookie Popups. Там клікаєш на Прийняти або Відхилити. Відхилення там ідеально має бути можливим із тим же мінімальним напруженням, як прийняття. Згода при кліку на посилання існує за умови попередньої інформації користувача. Для мене згодою є випадок коли користувач був попереджений раніше. Згоду вимагає кліка, відмову ж ні, тому не більше, а навіть менше напруження.
Інформація користувачеві може бути надана лише тоді, коли зовнішній посилання явно ідентифіковане. Багато вебсторінок показують внутрішні та зовнішні посилання однаково. За моїми оцінками це не досить для інформації користувача. Поки користувач боявся натиснути зовнішнє посилання, він міг навіть не натиснути жодного посилання. Це можна було б виправити лише шляхом відповіднього унікальних текстів посилань або загальної заяви про те, що ні зовнішніх посилань використовуються, ні вони не означають передачу даних в небезпечні країни третього світу.
Коли користувач клікає по посиланню, яке вказує на США, сollen тоді згідно з ст. 44 ДЗЗВ дані після передачі в США оброблюватися? Так, адже оброблення даних вже відбувається при збірці даних. Збір даних відбувається майже завжди тоді, коли відвідувач відкриває сторінку (окрім випадків, коли відвідування сторінки блокується або не відбувається з інших рідкісних причин, наприклад через перерву підключення).
На кого потрапляють дані при кліку на посилання?
Питання, коли відбувається передача даних в нестабільну країну третього світу, пов'язане з тим, хто є одержувачем даних. У інтернеті це досить складно відповісти на нього.
Дорога даних позначена початковим та кінцевим точками. Початковою точкою є браузер відвідувача вебсторінки, а кінцевою точкою є сервер, на який спрямована запитання користувача, у нашому випадку – сервер, що представляє посилання.
Для звичайного користування існує саме один сервер, на якому розміщена вебсторінка, тобто мета посилання. Нещовля не відбувається розподілу навантаження. У особливості великі компанії, такі як Google, використовують цю можливість. Але навіть вебсторінки німецьких онлайн-магазинів часто застосовують розподіл навантаження для забезпечення безпеки проти виходу з ладу, наприклад через мережу Content Delivery Network (CDN) як Cloudflare.
Що таке мета?
При розподілі навантаження Domain Name Service (DNS) може бути відповідальним за те, який саме сервер буде завантажений. DNS знову ж таки може навіть встановлюватися користувачем самостійно. Різні DNS можуть теоретично повернути різні сервери-мішені для однієї і тієї ж запиту до однієї та тієї ж адреси в однаковий час.
Наприклад, не лише країна призначення, де знаходиться сервер, є важливим для того, щоб американський шпигунський сервіс мав доступ до нього. Натомість необхідно розглянути всю організаційну структуру. Філія американської центральної організації, яка розташована в Німеччині, і якій підпорядковується центр, може бути вимушена видати дані американським органам влади. Either центр порушує американське або європейське законодавство. Я б ставив на карту те, що місцеві компанії дотримуються національних законів, а не задовольнять іноземні організації чи особи.
Курзум: Зазвичай ви не знаєте, хто отримує дані від посилання. Якщо власник вебсторінки про це дізнається, то виникне питання, чи він не повинен відповідати за подальше передавання даних на адресу цього посилання.
Зміна цілі
Але ще не досить цього невизначення: уявімо, ви посилаєтеся на вебсторінку X. Сервер для цього знаходиться у Німеччині, власник – німецька компанія. Сьогодні все добре. Тепер власник може відмовитися від адреси (доміну) після якої інший людина зможе захопити її собі. Або власник вирішує змінити адресу X на адресу Y. Y може знаходиться на будь-якому сервері.
Швидко як тільки донор з'явеся про наявність нового цілого, для нього може виникнути відповідальність.
Шлях до мети
Також виникає питання про шлях даних від початку до кінця. Якщо дані проходять через американський вузол, то доступ до них можливий для американських спецслужб. Але ця ж проблема виникає і щодо посилань на сторінку тієї самої відвідуваної вебсторінки. Тому мені здається (до подальшого), що ця проблема може вважатися непотрібною, оскільки вона стосується дуже широкого контексту.
Також тут згідно моїх оцінок, знання про шлях від джерела посилання до його призначення через надання посилання може бути відповідальністю для цього джерела щодо шляху даних.
Якою мірою може виникнути відповідальність?
Завданням першочергової перевірки є те, що надавець посилання не збирає дані після кліку на нього. Сценарій, коли це можливо, тут не розглядається далі, оскільки тоді це був би додатковий обов'язок надавця посилання.
Обробка даних при посиланні не належить до відповідальності особи, яка здійснює посилання. Вона була б відповідальною лише тоді, коли обробка даних відбувалася також із власного інтересу особи, яка здійснює посилання або існувала між ними та місцем призначення посилання певна домовленість.
На вебсторінках зовнішні посилання повинні бути помітними та вказувати на ризики.
Моя рекомендація
Передача даних до нестабільної країни третього світу після кліку на зовнішній посилання спочатку покладається на надавач посилання як відповідальну особу. Відповідальність можна зменшити або ліквідувати лише тоді, коли користувач зможе знати про ризики, пов'язані з кліком на зовнішній посилання.
Якщо дарувальник був у відомості про критичні обставини, виникнуть додаткові питання щодо відповідальності.
Якщо відповідальний особа не позначає зовнішні посилання відповідно або не повідомляє користувача достатньо про можливі ризики, він таким чином відповідає за проблеми захисту даних, які можуть виникнути внаслідок передачі даних у небезпечні треті країни.
Інші обов'язки
Покрім питань захисту даних виникають також питання змісту та авторських прав при посиланні на третіх осіб.
Лінкодавець відповідальний за видалення лінку, як тільки він отримає інформацію про незаконні матеріали на сайті-місцевості. Це ніяк не пов'язано з захистом даних та тут воно не буде розглядатися далі.
Також не розглядаються випадки, коли дарувальник має зв'язок із цілями посилання, наприклад, через договір.
Висновок
Відповідальність за зовнішні посилання, які вказують на вебсторінки розташованих у безпечних третіх країнах, майже неможлива. Однак існує невеликий ризик через можливість тимчасової зміни адреси посилання. Також можна вважати дочірнє підприємство американської компанії своїм, що робить місце розташування справжнього кінцевого місця призначення не зовсім визначальним.
Покрім питань, які піднімає ДЗСО, мені спала на думку певна вказівка в законодавстві про телекомунікації. Ця вказівка має певну експлуатуючу силу.
§ 13 Abs. 5 TMG is:
Передача користувачу інформації про можливість звернення до іншого послугового провайдера.
Пункт 13, абзац 5 Закону про медіа в Німеччині (TMG)
В якому ступені ТМГ витіснює ДЗПС, слід дуже уважно перевірити. Чи законодавець не зміг виконати європейські вимоги, можна вважати, що згодна з Європейським правом інтерпретація ТМГ повинна бути здійснена. Це було саме так у рішенні Верховного суду Німеччини щодо Planet 49 щодо § 15 Abs. 3 TMG. Ця вимога згідно із законодавством про конфіденційність Європарламенту, Ради Європейського Союзу та Комітету за зміну ЄС була інтерпретована відповідно до статті 5 Abs. 3 ePrivacy-directive. Відтак виникла необхідність отримання згоди згідно із цим законодавством, яке навіть не згадується в ТМГ.
В такому разі я вважаю, що § 13 TMG частково буде витіснено ДЗЗП. Отже, подальша передача користувачеві іншого послуговедія не обов'язково повинна бути відкрито повідомлена. З вказаних причин це дуже бажано або навіть може виникнути непрямо. Також можливим є те, що тільки частина § 13 TMG заміняється ДЗЗП, а не абз. 5. Для мене це здається досить реалістичним, оскільки німецька більш жорстка законодавча норма не суперечить ЄС ДЗЗП.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
