Якщо у кукі містяться дані про людину, це має значення з декількох причин. Датепротокою регулюється лише розмір із персональними або персоналізованими даними, а не спеціально із кукі. Для органів нагляду та можливого їхнього привілею щодо штрафів також є актуальним.
Вступ
Стаття була створена до того, як було відомо про прийняття та набуття чинності Закону про захист даних в інтернеті (TTDSG). Я її змінив. Його первісна форма у своїй сутності підходить для сучасного стану. Лише посилання на TTDSG замість ePrivacy чи TMG мають інший зміст.
Тема була обговорена також у епізоді 18 нашого privacy Deluxe-пodcast:
Відомо, що ДСГВО спочатку не застосовується спеціально щодо файлів cookie, а саме щодо особистих даних. TTDSG говорить про те, що файли cookie можуть зберігатися або звертатися лише в кінцевому пристрої користувача, якщо є згоди особи (технічні необхідні файли cookie виключаються з цього). Цей матеріал виник до прийняття TTDSG і стосується частини ще TMG. TTDSG є спеціальним законодавством щодо ДСГВО, також відомим як lex specialis.
Сумішка містить особисті дані людини?
БГХ ухвалив у середині 2020 року в рішенні Planet49, що § 15 Abs. 3 TMG слід тлумачити згідно з Art. 5 Abs. 3 ePrivacy directive. Німецький законодавець знову був дуже повільним і не здійснив у національне законодавство ePrivacy directive відповідно до європейської вимоги. Лише 01 грудня 2021 року набув чинності із законодавчого акту TTDSG закон про захист даних Німеччини, який виконує європейську вимогу. У травні 2024 року TTDSG буде передано в TDDDG і TMG у DDG. Нові закони такі ж самі, як старі, але мають нову назву (тепер "Дієві послуги" замість "Медіа" беруть до уваги).
Перед 01.12.2021 року також був цікавий § 15 Abs. 1 TMG. Там спочатку йшов такий текст:
Дієсловідобувач має право зібрати та використовувати особисту інформацію користувача лише тоді, коли це необхідно для надання послуг телекомунікацій та розрахунків (дані використання).
Пункт 15, абзац 1 Закону про медіа в Німеччині (вирізок)
Цей параграф особливо важливий, коли мова йде про питання, чи німецькі органи захисту даних можуть призначати штрафи за незаконне використання файлів cookie. Тут приходить до відома вирішальне значення питання, чи файли cookie є особистими даними або ні. Я тут не розглядаю національні закони Німеччини щодо органів захисту даних, хоча вони у окремих випадках можуть зробити питання про особистий зв'язок файлів cookie непотрібним.
Що таке куки?
Cookies є засобами зберігання даних. Cookies керуються у кінцевому пристрої користувача. Користувач — власник кінцевого пристрою. Коли користувач відкриває вебсторінку своїм браузером, браузер керує для користувача кукі відвідуваної сторінки. Cookies зберігаються браузером у випадковому форматі.
Cookies складаються з пари даних, яка складається із імені та значення. Ця пара даних відправляється вебсайту при його зверненні. Якщо вебсайт використовує плагіни і ці плагіни використовують кукі, вони отримують дані цієї пари. Від користувача не відправляються жодні кукі до відвіданих засобів масової інформації, а лише ім'я та значення кожного кукі.
Cookies – це лише один з видів доступу до пристрою. Аж навіть із використанням JavaScript такий доступ можливий. Діючий закон про захист даних (TTDSG) стосується навіть пристроїв без екрану, які відправляють свої дані через мережу. Для таких пристроїв можна встановлювати оновлення. Такі ж оновлення вважаються доступом подібно до куків.
Що таке особисті дані?
ТМГ не надав достатньої інформації щодо цього питання. Також у ТТДСГ майже нічого подібного немає. Але можна звернутися до БДSG та GDPR, які обидва (я не юрист) можуть бути відносно ТТДСГ важливими. Відносно мінімум GDPR є важливим для органів захисту даних. І хоча мені здається досить простою річчю, але як мінімум BDSG або GDPR мають стосунок до ТТДСГ.
У статті 46 № 1 BDSG зазначено: Персональні дані – це …
… всі відомості, що стосуються ідентифікованої або ідентифікабельної природної особи (підлягаючої дії); як ідентифікабельна вважається людина, яка може бути ідентифікована прямо чи непрямо, зокрема шляхом відповідності до ідентифікаційного номера, даних про місцезнаходження, онлайн-ідентифікації або одного або декілька особливих ознак, які відбивають фізичну, фізіологічну, генетичну, психічну, економічну, культурну чи соціальну ідентичність цієї людини
Пункт 1 Закону про захист даних Німеччини (вирізок)
В розділі 4, пункті 1 ДЗП (автоматизованого оброблення особистих даних) майже ідентичний текст: Особисті дані стосуються осіб…
всі інформаційні дані, що стосуються ідентифікованої або ідентифікабельної природної особи (у подальшому «підлягаюча особа»); як ідентифікабельна вважається така природна особа, яка може бути прямо чи непрямо, зокрема шляхом відповідності до певного ідентифікаційного номера, місцезнаходження даних, онлайн-ідентифікації або однієї чи декілька особливих ознак, які відбивають фізичні, фізіологічні, генетичні, психічні, економічні, культурні чи соціальні риси цієї природної особи
Art. 4 Nr. 1 GDPR (Auszug)
Визначення з BDSG та GDPR свідять про те, що із особистої пов'язаності даних випливає, що ці дані повинні вважатися особистими. Під цим розуміються лише фізичні особи.
Питання щодо того, чи представляють собою куки особисті дані, можна зменшити до питання щодо того, чи містять дані, які можуть бути пов'язані з особою, інформацію про окрему людину. Дані, які можуть бути пов'язані з особою, є більш вірогідними ніж особисті дані.
Чи є куки персональними даними?
Виставлена справжня (простіша) запитання.
Що таке куки?
Cookies — це дані. Кукі не є текстовими файлами, як багато хто вважає. Cookies теж не є текстовими файлами лише тому, що ніхто не зміг придумати краще слово, яке згідно з GDPR було б зрозуміліше. Є інші слова, які ще більше зрозуміліші за «текстовий файл». Наприклад, «інформаційні хрестики» замість «дані», хоча я вважаю, що «дані» досить зрозуміле. краще буде, якщо описується, чому використовуються кукі — саме для зберігання інформації на комп'ютері користувача (або на кінцевій точці, наприклад, пристрою Smart Home).
Cookies складається з пари, тобто із парою значень. Пара утворюється із ім'ям та значенням. Той факт, що це пара, не має значення. Однорідне значення еквівалентне. Його можна досягти шляхом поєднання імені та значення за допомогою певного роздільника.
Є Cookie, який виникає, коли Сервіс його створює. Сервіс може бути either вебсторінкою, яка здатна створювати свої власні Cookies при необхідності. Часто це відбувається для створення Cookies для управління сесією. Таким чином можна встановити, чи користувач зареєстрований чи ні. WordPress, наприклад, використовує Cookies для можливості реєстрації користувачів. У цьому випадку можуть виникнути тільки так звані First-Party Cookies, які як технічний, так і фаховий аспект належать першій стороні. Перша сторона це власник вебсторінки або відповідальний за неї.
Також можна створити cookie за допомогою JavaScript-логіки. У цьому випадку виникають технічні First-Party Cookies. У разі з Google Analytics є фахова ситуація із Drittpartei-Cookie, оскільки воно керується Google.
Останнім часом можуть виникати файли, коли файли завантажуються з іншого (іншого) сервера. Наприклад, можуть виникнути файли, коли Google reCAPTCHA завантажує файли зі сторінки вебсайту. Ці файли є технічними та фаховими файлами третього боку.
| Процес | Технічний мистецтво печивка | Кукор-арт фахово |
|---|---|---|
| Вебсайт керує власними файлами cookie | First-Party | First-Party |
| ДжаваЛогіка Третього | First-Party | Third-Party |
| Завантаження файлу з зовнішнього сервера | Third-Party | Third-Party |
Cookies керуються окремо кожного користувача браузера. Кожен користувач має потенційно інші кукі на своєму кінцевому пристрої, ніж інші користувачі. Cookies є єдиним (поширеним) видом інформації згідно § 25 TTDSG, яка зберігається на кінцевому пристрої користувача при відвідуванні вебсторінок. На смартфонах до цього додаються ідентифікатори реклами від Apple та Google. Зокрема, з допомогою Google FloC, вже попередньо проваленого спроби Google стати більш відповідним вимогам захисту даних, зберігаються ідентифікатори груп на кінцевому пристрої користувача. Також Google Topics звертається до кінцевого пристрою користувача.
Які куки збережені в кінцевому пристрої залежать від тих вебсторінок, які користувач відвідував раніше. Саме тому такі речі як Cookie Scanner ніколи не можуть бути надійними.
Які дані зберігають файли cookie?
У загальному вигляді ця питання не може бути відповіднено. У потенційному сенсі будь-які дані можуть зберігатися в одному або декількох файлів cookie. Наприклад, такі дані можуть зберігатися у файлах cookie:.
| Вартість | Наприклад, значення |
|---|---|
| X | Спливаюче вікно з файлами cookie підтверджено (інформація «Так/Ні») |
| аб6729cc92027fd165442 | Відмінливий ідентифікатор користувача |
| 2021-12-07 12:51:22 | Часовий стовпчик, приблизно час останнього відвідування вебсайту |
| UA-4711-4712 | Аккаунт Google Аналітики власника вебсайту |
| 7777-8888-9999-aaaa-2222 | Ідентифікатор користувача у Google, який зареєстрований в обліковому записі Google |
| 8.56829, 50.22335 | Місце користувача |
Фетт друкувані значення є безпосередньо особисто пов'язаними. Якщо певне значення, збережене в файлі cookie, є особисто пов'язаним, то логічно також і сам файл cookie як резервуар даних є особисто пов'язаним. Насамперед при кожному завантаженні даних відбувається передача реалізації значення cookies разом із відповідною доменою та воно може бути виведене.
Cookies з особисто-визначеним значенням є особисто-визначеним і тому слід вважати за інформацію про фізичну особу лише через це.
Мої висновки щодо печив.
Обідькові файли насправді виводяться, це відносно неважливо у двох із трьох вище згаданих типів cookie, якщо питання стосується визначення наявності обробки даних. Обробка даних відбувається вже при можливій (об'єктивній) знанні даних, коли ця обробка відбулася через пропозицію. Пропозиція завжди існує на вебсторінці. Мінімум однієї імпліцитної обробки даних відбувається при відвідуванні сторінок із Third Party Cookies. Того ж самого є свідчення щодо First Party Cookies від відвідуваної сторінки, які передаються під час запиту файлів. Відносність до особи існує вже тільки через канал спілкування, додатково до інших причин. ([1])
Ганно єдиний це з кукі як ті від Google Analytics. Значення цих будуть відкрито виведені із JavaScript-логіки, щоб потім відправлені на Google-сервер, який зауважено зазвичай знаходиться в США.
Ну до питання, що з цим відбувається із кукі, які не мають індивідуальних особливостей. Суть у тому, чи є кукі як Дані, які зберігаються на кінцевому пристрої людини, особистими?
Завдання технічно підтверджено тим, що файли cookie мають особистий зв'язок. Вони зберігаються на пристрої користувача, тобто людини.
Навіщо специфічні файли cookie завжди можуть бути призначені для однієї людини через її кінцевий пристрій, я вважаю, що вони завжди є особистими. Цей дух, на мою думку, охоплює Рichtlinie щодо конфіденційності інтернету, яка наконець була імплементована в Німеччині з грудня 2021 року згідно зі статтею § 25 TTDSG. Це стосується мене також тоді, коли directive щодо конфіденційності інтернету ставить захист кінцевих пристроїв на перше місце.
Аналогічно відбувається з "Даними про рух" (метаданими), які зі швидкістю понад 90 % можна відслідкувати до особи. Перегляньте посилання наприкінці статті.
Технічні дані про рухомий транспорт тут розуміються у технічному сенсі. Є й юридичний зміст цього поняття, який я тут не розглядаю!
Здебільшого я маю на увазі цифровий відбиток пальця користувача, який використовує браузер. До цього входять розмір екрану, версія операційної системи, часовий пояс та інші дані, навіть адреса IP. З цією мережевою адресою ймовірність дуже висока, щоб зробити висновок про окрему людину. Без цієї мережевої адреси вдається здійснити розподіл будь-яких даних про рух до особи з більш ніж 90% вірогідністю.
Нічого не варто було, що ЄвроГромадський Суд у рішенні щодо IP-адрес визнав навіть динамічні IP-адреси як дані про людину. Динамічні адреси можуть змінюватися щодня або навіть частіше (якщо згадати Reconnect, тобто відновлення підключення). ([1])
Якщо вивчати файли cookie, обов'язково буде наявна адреса IP користувача під час вивчення їхнього вмісту. Отже, файли cookie, навіть якщо вони самостійно не є особистознавчими (чого вони насправді не роблять за моїми спостереженнями та поглядами), завжди пов'язані з особистознавчим часом мережевої адреси. А навіть якщо мережева адреса була анонімізована, вона раніше обов'язково була отримана. Це саме той випадок, чому згідно із ст. 12 GDPR кожна вебсторінка повинна містити інформацію про захист даних (якщо ця сторінка не є порожньою, тобто вона представляє пропозицію). Анонімізування як процес обробки даних повинен бути можливим, але це не так просто обґрунтовувати , як можна було очікувати спонтанно. ([1]) ([2])
Cookies та персональна мережева адреса людини, що затверджена вищим судовим рішенням, завжди доступні разом. Саме тому кукі вважаються особистими.
Логічна наслідування з технічної умови
Висновок
Після всього цього я дійшов висновку: файли cookie за своїми функціями як зберігачів даних завжди знаходяться в кінцевому пристрої людини, є особистозалежними і тому є особистовизначеними даними, оскільки доступ до файлів cookie можливий лише у поєднанні з особистою мережевою адресою.
| Обставина | Аргумент щодо особистого відношення |
|---|---|
| Персональний ідентифікаційний номер файлу cookie | Персональний відношення до значення cookie |
| Місце зберігання всіх файлів cookie | Пристрій користувача можна ідентифікувати за місцезнаходженням/GPS-сигналом, ідентифікатором (ідентифікаційним номером тощо), мережевим адресом тощо |
| Адреса мережі завжди поєднана з файлами cookie | Адреса мережі містить персональні дані |
| Аналогія між кукі та даних про рух і адресами IP | Дані про рух транспортних засобів є особистими, а адреси IP навіть особистіші |
При куках із особистим відношенням до змісту питання щодо особистого відношення мені здається не дуже актуальним.
Вища інформація про те, що Cookies у кінцевому пристрої користувача, який належить певній особі, зберігається, ще більше підтверджує особистий характер Cookies.
Вища інформація про те, що потенційно завжди персональна мережева адреса завжди також доступна, коли встановлюється або читаєсь cookie, ще більше підтверджує особистий характер cookies.
Але навіть те обставини, що Рichtlinie щодо захисту конфіденційності визначає файли cookie як обов'язкову згоду (див. також Європейський суд у справі Planet49), можуть бути індикатором особистого характеру файлів cookie. Мені було повідомлено, що Рichtlinie щодо захисту конфіденційності головним чином спрямована на захист кінцевого пристрою користувача. Кінцевий пристрій користувача однозначно має особистий характер, оскільки він належить певній особі. Рichtlinie щодо захисту конфіденційності особливо захищає приватність. Приватність прямо пов'язана з особистим характером, я думаю. Це також вказується в Рн. 24 директиви. У розділі 25 згадуються користувачі, які використовують кінцевий пристрій.
Скало навіть знання про дані про рух одного користувача без знання його IP-адреси достатньо, щоб з більш ніж 90% вірогідністю відновити особистість однієї людини.
Так само суд ЄС щодо того, що навіть динамічні IP-адреси є особистими даними, є індикатором особистого відношення до файлів cookie. Бо рішення встановлює особисте відношення вже дуже рано. Дійсно майже ніхто не може ідентифікувати людину за допомогою IP-адреси. Але згідно з рішенням ЄС ця інформація не має значення. А також Верховний суд Німеччини недавно підтвердив (рішення від 15 червня 2021 року, Az. VI ZR 576/19), що термін «особисті дані» або «дані щодо особи» слід розуміти дуже широко. Верховний суд пише, що термін «особисті дані» … включає всі види інформації, як об'єктивної так і суб'єктивної природи у вигляді заяв чи оцінок, за умови, якщо мова йде про інформацію про цю людину. Остання умова виконана тоді, коли інформація поєднана з певною людиною відповідно до змісту, призначення або впливу її вмісту …“.
Cookies – це особисті дані.
Мій висновок, який я радо піднімаю на розмову.
Також вважаю, що файли cookie завжди повинні розглядатися як особисті дані. Відчуваю себе відкритим для протидійних аргументів і готовий змінити своє ставлення або частково виправити його, якщо будуть наявні обґрунтовані підстави для цього.
Наступне було чинним перед прийняттям TTDSG: Власно вже згідно цього можна було також німецькі наглядові органи відповідно § 15 Abs. 1 TMG накладати штрафи за незаконне використання файлів cookie, і це навіть у найгіршому сценарії юридично роз'ярити.
Напевно німецькі органи влади не готові до цього на широкій основі. Що може бути причиною цього? Вже не може бути складністю питання. Багато чого вже повинно було стати відомим і зрозумілим, або ж у разі необхідності підлягати судовому роз'ясненню.
Посилання на фірмовий відбиток
Фingerprinting є можливість, щоб з даних про рухи до системи користувача можна було зробити висновок щодо користувача та відрізнити його від інших користувачів. При Фingerprinting не обов'язково наявність справжнього особистого даних. Натомість сума відомих рис користувача-системи дає дуже добру можливість зробити висновок щодо індивідууму. Таким чином, (цифровий) відбиток пальця користувача є особистим, тобто особистим даними.
Перевірте такі джерела:
- aepd (Spanische Datenschutzbehörde): Survey on Device Fingerprinting (ohne Datum, spätestens Jahr 2018): https://www.aepd.es/sites/default/files/2019-09/estudio-fingerprinting-huella-digital-EN.pdf
- Henning Tillmann: Diplomarbeit: Browser Fingerprinting: Tracking ohne Spuren zu hinterlassen (20.10.2013): http://bfp.henning-tillmann.de/downloads/Henning%20Tillmann%20-%20Browser%20Fingerprinting.pdf ; siehe auch online Demo: https://www.henning-tillmann.de/2013/10/browser-fingerprinting-93-der-nutzer-hinterlassen-eindeutige-spuren/
- Electronic Frontier Foundation, Peter Eckersley: How Unique Is Your Web Browser: https://panopticlick.eff.org/static/browser-uniqueness.pdf . Online Test: https://panopticlick.eff.org/
- Патент Google щодо відображення відбитків пристрою
- Інші патенти Google щодо відміток пристрою
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
