Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Che cosa significa raccogliere dati nel contesto della GDPR? Uno dei concetti più importanti del trattamento dei dati

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Articolo in formato PDF
📄 Articolo in formato PDF (solo per gli abbonati alla newsletter)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

La trattazione dei dati inizia già con la raccolta di dati personali. La raccolta di dati è l'attività di trattamento più precoce possibile. Da ciò può derivare una responsabilità ai sensi del GDPR, insieme a numerose obbligazioni. Solo chi raccoglie i dati può essere responsabile. Ma cosa significa raccogliere i dati?

Perché la raccolta di dati è un concetto importante?

L'acquisizione di dati è sinonimo del trattamento dei dati. Solo chi tratta i dati personali o ne provoca il trattamento in altri, può essere responsabile (e spesso lo è, quando si determinano scopo e mezzi).

Chi è responsabile ai sensi del GDPR deve attenersi alle norme del GDPR. Pertanto, è assolutamente importante sapere cosa significa Raccolta di dati. Il testo legislativo della Regolamentazione sulla protezione dei dati definisce nulla in tal senso.

I seguenti termini vengono da me introdotti per spiegare cosa si intende con la raccolta di dati:

  • Indirizzo
  • Contenitore (nel senso di cassetta della posta o tampone)
  • Raccogliere
  • Offerta

Sorprendentemente ora si potranno chiedere alcuni di questi termini nel contesto della raccolta dei dati. In particolare il termine del Container, che sto introducendo qui, dovrebbe essere nuovo nei circoli della protezione dei dati, a meno che non si parli dell'eliminazione delle cartelle. Anche gli altri termini non compaiono nel testo legislativo della GDPR (o solo in modo molto limitato). Forse il termine Cassaforte aereoportuale è più chiaro, anche se è troppo concreto e quindi impreciso.

Questo articolo mira informazioni che sono state trasmesse a un responsabile e non quelle che un responsabile si è procurato da solo.

Differenziazione.

In seguito si distingue tra raccolta di dati e responsabilità. La raccolta di dati in sé non è ancora un tema critico per la protezione dei dati, ma lo sarà probabilmente solo quando nascerà una responsabilità. Una responsabilità esiste nuovamente solo se si è effettuata una raccolta di dati. Non essere responsabili per nessuna raccolta di dati significa non avere alcuna responsabilità.

Introduzione

Nel Art. 4 n. 2 GDPR è definito il trattamento di dati mediante

L'elevazione, la raccolta, l'organizzazione, la classificazione, lo stoccaggio, l'adattamento o la modifica, la lettura, la consultazione, l'utilizzo, la divulgazione mediante trasmissione, diffusione o altra forma di messa a disposizione, il confronto o la correlazione, la limitazione, la cancellazione o la distruzione

Definizione del concetto di trattamento dei dati secondo l'art. 4, n. 2 del GDPR.

Nel testo giuridico inglese il termine Raccolta (da to collect) viene utilizzato per raccolta.

Nel testo legislativo non si trova alcuna definizione per il concetto di rilevamento; quindi ho scritto questo articolo per chiarire la questione.

In questo articolo si considerano solo le raccolte di dati personali nel settore non privato che avvengono in modo automatico o semiautomatico, oppure sono archiviate in un sistema di file o saranno archiviate. Ciò corrisponde all'ambito di applicazione della normativa sulla protezione dei dati regolata dall'art. 2 GDPR esclusivamente delle eccezioni menzionate nel paragrafo 2.

La raccolta di dati è l'attività di elaborazione iniziale

Si nota che le attività che richiedono un trattamento sono elencate in ordine logico. L'ordine consiste nel fatto che l'attività prima menzionata, il raccogliere, è la prima possibile attività di trattamento e tutte le successive fasi di trattamento si svolgono successivamente.

Le tre attività indicate nel testo del decreto, l'eliminazione, la cancellazione e la distruzione, le escluderò in seguito perché si tratta di azioni distruttive che sono da valutare positivamente dal punto di vista della protezione dei dati, poiché riducono o eliminano una responsabilità.

Le attività che comportano elaborazione di dati sono, secondo art. 4 n. 2, in ordine temporale ascendente, cioè nella seguente sequenza:

  1. Raccogliere, poi si può fare
  2. Raccolgono, poi viene dopo la
  3. L'organizzazione è possibile, altrettanto il fatto che
  4. Ordinare, quindi (o anche senza organizzazione o ordinamento), è la
  5. Memorizzazione possibile, poi (o alternativamente prima della memorizzazione) le
  6. Cambiamento, ma solo dopo la memorizzazione del
  7. La lettura o il nulla
  8. Chiedere. Con o senza archiviazione segue la possibilità di
  9. Uso o la
  10. La divulgazione mediante trasmissione, diffusione o un'altra forma di messa a disposizione, altrettanto che del
  11. Confronto o collegamento.

Questa sequenza dunque non è casuale e non può essere casuale, poiché ci sono 11! (11 fattoriale) possibilità di compilare questa lista. 11! = 11 * 10 * 9 * 8 * 7 * 6 * 5 * 4 * 3 * 2 * 1 = 39.916.800, quindi appena 40 milioni. Anche se si considerano due dei nove binomi di concetto come equivalenti, il numero delle possibilità è superiore a 300.000. La probabilità che la lista sia stata compilata casualmente sarebbe dunque 1/362.880 = 0,0000028.

La Article 29 Working Party, Opinion 3/2013 ha chiarito che l'acquisizione è la prima attività di trattamento dei dati.

Il legislatore ha quindi stabilito in modo assolutamente chiaro e senza alcun dubbio la raccolta di dati al principio della loro elaborazione. Ciò risulta anche dal titolo dell'Art. 13 DSGVO: "Obbligo di informazione all'atto della raccolta dei dati personali in capo alla persona interessata".

Chi raccoglie dati li elabora. La raccolta di dati è il primo passaggio possibile nell'elaborazione dei dati!

Riepilogo dell'articolo 4, n. 2 del Regolamento UE n. 2016/679 (GDPR).

La raccolta dei dati si svolge prima della rilevazione dei dati, come dice la legge. Raccogliere significa secondo Duden raccogliere o sammellare, che può anche essere dedotto dal testo inglese della legge (to collect).

La parola tedesca zusammentragen suona inizialmente un po' strana. Mi è riuscito, dopo averci pensato un po', di chiarire e dimostrare il concetto.

L'acquisizione di dati richiede un indirizzo di destinatario.

La mia conoscenza sulla definizione del concetto di rilevamento dei dati.

Una raccolta di dati può avvenire solo se viene nominata un'indirizzo a cui una persona può inviare un messaggio. Stranamente, dal concetto dell'indirizzo si può derivare il concetto della raccolta! Come mostrato, l'indirizzo non deve essere nemmeno quello di un destinatario effettivo, ma può essere quello di qualsiasi destinatario.

La raccolta di dati avviene quindi dopo il ricevimento e prima dell'acquisizione (recording).

Una via implica un contenitore. Ciò sembra ancora più sorprendente. Questa scoperta mi riempie di una certa soddisfazione, in quanto questo tipo di derivazione non si trova da nessuna parte.

Un contenitore viene chiamato in inglese, ma anche nell'informatica, come Contenitore o Collection. La linguaggio di programmazione Java conosce il concetto della Collection e del Containers anch'esso.

Esempi di indirizzi con l'indicazione del contenitore appartenente sono:

  • Indirizzo postale: Cassetto delle lettere
  • Indirizzo di posta elettronica: ricezione (più precisamente: server di ricezione)
  • Indirizzo IP al momento dell'accesso ad un sito web: memoria principale del server
  • Divertimento personale: Cervello dell'interlocutore (memoria)
  • Numero di telefono/telefono: dito
  • Numero di telefono/risposta registrata: "cassetta" registrazione (oggi per lo più digitale)

Un indirizzo è un contenitore accessibile tramite una marcatura univoca, il cui contenuto può essere reso noto a un destinatario.

La mia definizione di indirizzo nel contesto della GDPR.

Un cassetto postale morto, che (perché mai) oggettivamente non può essere svuotato da nessuno, non è un indirizzo in questo senso. La possibilità di ottenere conoscenza delle notizie non esiste qui. Nell'informatica c'è il null device come "uscita virtuale", "che everything written to it is discarded" (fonte: Wikipedia, la cui affermazione posso confermare come informatico). Il null device viene anche chiamato NUL-target e non è un indirizzo nel senso della DSGVO, perché quasi impossibile ottenere conoscenza delle notizie ricevute.

Un caso particolare è un indirizzo con una cassetta che può ricevere solo una notizia alla volta. Se la cassetta non viene svuotata in tempo, le notizie vengono perse. Ciò è comunque possibile per ogni contenitore con maggiore capacità di notizie. Dalla pratica è sicuramente noto il problema di un postino elettronico pieno che non può ricevere ulteriori notizie fino a quando non viene svuotato. Alzare ulteriori notizie non è quindi possibile, perché solo l'ricezione non era possibile.

Il concetto del raccogliere (nel contenitore) significa inizialmente solo un conservazione intermedia, non una memorizzazione o conservazione a lungo termine. Il fatto che una conservazione a lungo termine sia possibile con alcuni contenitori, non contrasta con ciò (esempio: postino di e-mail).

La raccolta di dati è la possibile conoscenza di un messaggio da parte di un destinatario a cui è stato inviato ad un indirizzo.

La mia definizione del concetto di raccolta dati deve essere applicata dall'Articolo 2, comma 1 del Regolamento UE n. 2016/679 (GDPR).

La raccolta di dati significa quindi la possibile conoscenza di un messaggio che è stato inviato a un indirizzo. La conoscenza effettiva può avvenire anche in modo automatico (come specificato in Art. 4 Nr. 2 DSGVO), ad esempio tramite un server che fornisce una pagina web. La conoscenza avviene attraverso un destinatario. L'elaborazione dei dati deve quindi avvenire conformemente a Art. 2 comma 1. DSGVO.

La conoscenza possibile viene registrata nella DSGVO con il termine Ricevente, che è definito in Art. 4 Nr. 9. Un ricevente è quindi una persona naturale o giuridica a cui vengono fornite dati personali.

Differenza rispetto al ricevere dati

L'acquisizione di dati è un processo successivo alla ricezione dei dati. Un sinonimo per ricevere è ricevere (ottenere). La consegna nel senso postale è avvenuta quando una notizia è arrivata correttamente a un indirizzo giusto, quindi dedicato ricevuto.

Un cassetto per le lettere riceve quindi messaggi. Questi sono considerati ricevuti o ricevuti nel momento in cui vengono lasciati nel cassetto e come estratti nel momento in cui il contenuto viene rimosso dal cassetto. Se il cassetto è pieno, sia la ricezione che l'estrazione del messaggio non sono possibili (a meno che un postino non consegni la lettera personalmente ecc.). Se una lettera viene inviata a un indirizzo sbagliato, ad esempio a causa di un errore del postino, il proprietario del cassetto ha ricevuto la notizia ma non l'ha estratta.

Un cestino della posta, il cui contenuto viene elaborato manualmente e non è memorizzato o deve essere memorizzato in un sistema di file, è fuori dalla considerazione. Vedi Art. 2 comma 1 DSGVO. Alcune aziende utilizzano però soprattutto scanner per elaborare automaticamente ogni tipo di posta. In questo senso il contenuto del cestino della posta delle aziende in questione rientra nell'ambito di applicazione della DSGVO. Anche l'utilizzo dei dati in un'e-mail o la spedizione di questi dati tramite e-mail corrisponde allo stoccaggio automatico in un sistema di file.

Un Avviso di ricezione del plico conferma la ricezione o l'assunzione anche di carattere giuridico, a condizione che il messaggio sia stato consegnato alla destinataria e in un buono stato e che il destinatario abbia avuto effettivamente conoscenza del messaggio. La data di invio è quella fissata dalla posta per l'invio per raccomandata (o, se si fosse consegnato personalmente al destinatario, ciò sarebbe andato un passo oltre). Se un ordine raccomandato viene rubato direttamente dopo e in modo inequivocabile e senza colpa del destinatario da parte di un ladro dal cassetto della posta, non si può considerare che il destinatario abbia assunto i dati, perché egli non ha avuto la possibilità effettiva di conoscenza del messaggio.

In base all'iscrizione di ricezione viene chiaramente stabilita la Obbligo che un destinatario intenzionale deve avere. Un tale destinatario è in effetti obbligato a svuotare regolarmente la sua cassetta della posta (se ciò è tollerabile, direi). Chi riceve una rimproverazione può invocare con ragione che non ha svuotato la cassetta della posta da sette giorni perché il tempo era così brutto. Questo obbligo tuttavia non deriva dalla GDPR, ma al massimo da altre normative giuridiche che non sono state ancora individuate e che sembrano non esistere esplicitamente. Le interpretazioni giuridiche di sentenze e dichiarazioni di avvocati lasciano però intendere questa obbligazione.

Riconoscimento di un messaggio

In primo luogo, quando una notizia viene tolta dalla cassetta della posta, essa diventa nota. In particolare, ciò si verifica immediatamente nei cassetti di posta vuoti da parte del destinatario. In contenitori come il Cerebro questo processo avviene implicitamente.

Un contenitore serve per raccogliere oggetti.

La mia definizione del concetto di contenitore nel contesto della protezione dei dati sono i dati gli oggetti

Presso contenitori (tecnicamente: Container) come il main memory di un Server di una web page si verifica implicitamente, ma da un punto di vista tecnico esplicitamente l'atto della conoscenza di una notifica per il laico (il server è stato programmato di conseguenza). Un server con una sola rete di ingresso può elaborare solo un segnale al tempo. L'elaborazione dura generalmente più a lungo del servizio. Per evitare che un segnale (= notifica o richiesta) vada perso, puffa un server i segnali in arrivo fino a quando non può elaborarli. Un tampone è un contenitore.

Se un server è sovraccarico e quindi deve rifiutare una richiesta, la conoscenza di tale fatto era in pratica impossibile. Ciò non esclude però che la richiesta non sia stata nemmeno accettata a causa delle limitazioni della hardware, quindi fallita per motivi tecnici e non solo bloccata software-logicamente.

Chi è responsabile secondo GDPR?

La mera raccolta di dati non è ancora un problema. Devi anche essere responsabile della raccolta dei dati, altrimenti non nascono obblighi.

Responsabile ai sensi del GDPR (Art. 4 Nr. 7) è chi "da solo o insieme ad altri decide sugli scopi e i mezzi della trattazione dei dati personali". Chi quindi raccoglie dati personali per un dato scopo e con metodi prestabiliti, è in particolare responsabile ai sensi del GDPR e deve fornire le informazioni alla persona interessata secondo Art. 13 GDPR.

Il concetto di Zweck potrebbe essere definito anche con il concetto di Offerta. La significazione del concetto di Angebot è da intendere in senso più ampio e scelta da me qui, perché Zweck è un concetto piuttosto astratto. Un'offerta può essere un'offerta informativa, una prestazione di servizio e via dicendo.

Una responsabilità nasce solo a seguito di un'offerta.

La mia affermazione (per una vera responsabilità devono verificarsi ulteriori condizioni)

Senza offerta non c'è responsabilità alcuna. Se qualcuno vi invia spontaneamente la sua cartella clinica, che finisce nelle vostre mani, si svolge (probabilmente) un'attività di raccolta dati presso di voi, ma non siete responsabili per questo.

Se siete medici e chiedete a un paziente di farvi pervenire i risultati della sua degenza ospedaliera, la vostra pratica raccoglie dati non appena riceve i risultati del vostro paziente e questi possono essere conosciuti da una persona nella vostra pratica.

Se una responsabilità fosse anche possibile senza offerta, ogni persona potrebbe fare di un terzo la persona responsabile contro la sua volontà.

Responsabilità per dati raccolti ma non pervenuti all'attenzione

Chi ha raccolto dati senza ancora averne acquisito la conoscenza, si pone la domanda della fattiva responsabilità. Chiunque quindi abbia offerto una notizia nel suo cassetto e che questa lettera sia arrivata a terzi senza che egli abbia avuto conoscenza del contenuto della stessa, è responsabile? Dipende. Io credo che qui la sorgfattspflicht e altre obbligazioni giuridiche siano in gioco. Se qualcuno non chiude il suo cassetto, a mio parere è datenschutzrechticamente responsabile se terzi si appropriano dell'involucro del cassetto senza autorizzazione.

I dati che non sono pervenuti al responsabile e neppure ad altri, ma sono stati raccolti dal responsabile senza conoscenza, inizialmente non creano problemi, ma obblighi. Un titolare dei dati può comunque richiedere la cancellazione, la quale deve essere effettuata in modo tale che il responsabile debba accedere ai dati raccolti per poterli poi cancellare correttamente senza mettere a rischio altri dati.

Allo stesso modo di dati non conosciuti, a mio avviso si comportano anche i dati che si conservano a lungo ma non vengono elaborati e non sono trasmessi ad altri. Da ciò non deriva un problema, ma una obbligazione, ad esempio una norma di diligenza. Un reclamo per la cancellazione sarebbe allora realizzabile con un procedimento abbreviato, come nel caso precedente, perché la conoscenza è già avvenuta.

Chi consiglia di trasmettere dati raccolti da sé ma non conosciuti, è anche responsabile.

I dati non automatizzati e non registrati in un sistema di file non sono solo conoscenza; si pone la domanda se una conoscenza era effettivamente possibile e se successivamente una elaborazione automatica o un archivio in un sistema di file era previsto. Se ciò era previsto, dico che anche senza conoscenza è stata effettuata una raccolta dati.

Esempio di raccolta dati: Sito web

Una (web site è un'offerta che determina lo scopo attraverso il contenuto. Viene resa disponibile tramite il mezzo di Internet e altre condizioni tecniche (HTML ecc.). In Art. 8 comma 1 DSGVO viene citato il concetto di offerta, ma si riferisce alla fornitura di servizi elettronici, che si applica alle web site.

Come sito web si intende qui una presenza internet accessibile al pubblico. Un'altra situazione è quella di un sito protetto da password. Tuttavia, il controllo dei password deve avvenire direttamente a livello server, altrimenti non si tratta di un caso diverso da quello di un sito web accessibile al pubblico. Ciò può essere realizzato mediante una direttiva nella cosiddetta .htaccess -file.

L'indirizzo IP è un dato personale. A ogni chiamata di una pagina web viene trasmesso l'indirizzo IP del richiedente al server che fornisce la pagina, in base allo standard Internet TCP (Transmission Control Protocol). In questo senso, la GDPR si applica a ogni pagina web accessibile pubblicamente.

Da ciò deriva in base all'articolo 4, numero 7 della GDPR , si determina una responsabilità perché

  1. Si svolge una raccolta di dati (vedere sopra)
  2. Sono raccolte informazioni personali (ossia almeno gli indirizzi IP)
  3. Il fine viene stabilito (offerta su contenuto della pagina web)
  4. Si determinano i mezzi (internet ecc.)

Ogni sito web accessibile al pubblico che abbia uno scopo richiede una dichiarazione di protezione dei dati

Ragione: per siti web di questo tipo esiste una responsabilità ai sensi dell'art. 4, n. 7 del Regolamento UE n. 2016/679 (GDPR)

Per questo motivo ogni sito web accessibile al pubblico deve presentare una Dichiarazione di protezione dei dati. L'unica possibile eccezione potrebbe essere un sito web che non rappresenta alcun'offerta, cioè uno che è completamente privo di contenuti. Ma anche una pagina di lancio per un indirizzo web disponibile, che spesso offre l'indirizzo della pagina visitata in vendita, è ovviamente un'offerta. Anche una cartolina web è un'offerta. Se non lo fosse, perché ci sarebbe? Soprattutto, un sito web vuoto con impegno è considerato un'offerta, a meno che l'impegno sia stato messo in evidenza per eccessiva cautela. O il contratto è stato messo in evidenza secondo § 5 TMG. In tal caso si trova una offerta commerciale. Oppure il contratto è stato messo in evidenza secondo §18 MStV. In tal caso si trova un'offerta di informazioni. O entrambi (questo è il più comune).

Esempio di raccolta dati: comunicazione via e-mail

Ci sono diversi casi da distinguere, ad esempio:

  1. Nella sezione "Contatti" di un sito web: Lei offre la possibilità di essere contattata (nel caso in cui, a causa § 5 TMG o § 18 MStV, sia obbligata a farlo). Qualcuno utilizza questo per una richiesta generale via e-mail, e non per motivi giuridici
  2. Modulo di contatto generale: Offrite un modulo del genere sul vostro sito web. Qualcuno lo utilizza per una richiesta generale. In background viene inviata un' e-mail a voi
  3. La possibilità di contattare tramite e-mail in caso di necessità di consulenza: Lei offre la possibilità che le si scriva. Qualcuno utilizza questo per accettare il suo servizio di consulenza
  4. Modulo di contatto in caso di necessità di consulenza: offrite un tale modulo sulla vostra pagina web. Qualcuno lo utilizza perché vuole avvalersi del vostro servizio di consulenza. Allo stesso tempo viene inviata una mail a voi
  5. Qualcuno ha telefonato con voi. Chiedono che gli mandiate qualcosa via mail all'indirizzo che avete pubblicato sul vostro sito, ad esempio i suoi dati di contatto, in modo da potergli inviare un'offerta via email

In tutti i casi è presente una raccolta di dati. I casi 1 e 2 non rappresentano però un (evidente) offerta, poiché non si persegue uno scopo specifico (in caso di controversie giuridiche sorte tramite il contatto dell'imprint, potrebbe essere diverso). I casi 3-5 invece rappresentano un'offerta con uno scopo specifico.

Dalla mera raccolta di dati non deriva alcuna obbligo!

La responsabilità sorge solo quando altre condizioni si verificano

Dall'attività di raccolta dei dati non deriva ancora alcuna obbligazione. Al contrario, dovete essere responsabili della raccolta dei dati per far sì che le obbligazioni previste dal GDPR si attivino per voi.

In riferimento ai casi sopra citati di comunicazione via e-mail, ciò significa in concreto:

  • Autunno 1, la comunicazione di un indirizzo e-mail per contatti generali non ha scopo specifico. Da una mail ricevuta senza richiesta non deriva alcuna responsabilità. Analogamente sarebbe se qualcuno prendesse il suo indirizzo e-mail (o postale) da un elenco o un annuario telefonico e la contattasse
  • Autunno 2, il modulo di contatto generale (senza selezione o preimpostazione di un problema), non ha uno scopo specifico. Da una comunicazione ricevuta in questo modo senza essere richiesta (per posta elettronica o altrimenti) non deriva alcuna responsabilità
  • Autunno 3, la dichiarazione di un indirizzo e-mail al fine di offrire consulenza (offerta di consulenza) significa l'assumersi una responsabilità
  • Offrire un modulo di contatto per fornire consigli significa assumersi una responsabilità
  • In autunno 5, chiedere a qualcuno di inviarti una informazione personale significa assumersi un'obbligo. Qui stai offrendo l'offerta di occupartene.

In casi 1 e 2 determinate le risorse ma non l'obiettivo. In casi 3-5 determinate le risorse e l'obiettivo, sono quindi responsabili. Per il modulo di contatto è necessaria regolarmente una valutazione individuale per chiarire se effettivamente ci sia un offerta o un equivalente all'inserimento di un indirizzo email per la comunicazione generale (meglio senza interessi commerciali espliciti). Ciò non è però una questione di tutela della privacy, ma un'altra.

Chi riceve dati personali senza essere stato richiesto di farlo dovrebbe escludere la possibilità di una responsabilità facendo cancellare i dati. Ad esempio, un errore di questo tipo potrebbe causare ulteriori problemi (se ciò è vero, bisogna verificarlo nel singolo caso).

Un responsabile è o era un destinatario

Solo chi è destinatario di dati o lo è stato o ha fatto ricevere dati a un terzo, può diventare responsabile. Nelle motivazioni 31, 61, 68 DSGVO e in Art. 14 comma 3 c DSGVO si trovano le logiche conseguenze per questi documenti di per sé.

Solo chi è stato o è destinatario di dati o ha fatto in modo che altri ricevessero i dati può diventare responsabile.

Conclusione logica dal testo legislativo della GDPR

L'esistenza di un ruolo di destinatario presso il responsabile o su iniziativa del responsabile può essere giustificata anche dal fatto che è possibile raccogliere dati (to collect) solo se ci sono dati da raccogliere. Questi dati non cadono dal cielo e non vengono ottenuti durante la raccolta combinando altri dati, come chiarisce l'elenco in Art. 4 Nr. 2 DSGVO sulla trattamento dei dati. Anche le affermazioni della DSGVO sull'inoltro di dati personali a paesi terzi senza un adeguato livello di protezione della privacy mostrano che è necessario l'inoltro affinché possa iniziare un processo di trattamento dei dati e possa sorgere una responsabilità. L'inoltro, a sua volta, richiede un destinatario.

Il giudice dell'Unione europea ha chiarito nel verdetto del 16/07/2020 (C-311/18, punto 83) che "la trasmissione di dati personali da un paese membro a un terzo paese è in sé una trattazione dei dati personali ai sensi dell'articolo 4, n. 2 del GDPR".

Invito a un ricevimento da parte di una persona responsabile

Il vostro medico di base vi chiede di inviare i vostri raggi X, che avete ricevuto in clinica. Vi dà un indirizzo sbagliato. Inviare le vostre informazioni a questo indirizzo sbagliato. Il vostro medico non è il destinatario delle informazioni, ma ha fatto sì che altri le ricevano. È responsabile della raccolta dei dati (presso gli altri).

Senza contatto con la persona interessata può anche sorgere una responsabilità: qualcuno pubblicizza i suoi servizi su un manifesto. Il manifesto invita a inviare dati, ma l'indirizzo di destinazione è stato indicato male e si tratta dell'indirizzo di un terzo. Colui che è responsabile del manifesto sarà responsabile dei dati raccolti da un altro destinatario senza aver avuto contatto con la persona interessata. Il responsabile non conosce nemmeno i dati della persona interessata e li potrebbe anche mai conoscere.

In questo articolo vengono di solito omessi casi come questi per semplicità. Si parla quindi solo del ricevente dei dati. Tuttavia, ciò che cambia è il fatto che si tratta di link esterni, e su questa questione torneremo più avanti.

Responsabilità condivisa

Se qualcuno riceve dati perché un altro glieli ha trasmessi, può sorgere una responsabilità condivisa. Ciò risulta evidente dal giudizio della Corte di Giustizia dell'Unione Europea del 29.07.2019 – C-40/17 ("Fashion ID"). Il giudizio della Corte di Giustizia dell'Unione Europea affronta il plugin Facebook. Inserire un plugin su una pagina web significa tecnologicamente che (inizialmente) sia il gestore della pagina web che Facebook ricevono i dati degli utenti (possono). Solo quando un utente clicca su un link o un pulsante fornito dal plugin, che porta a Facebook, può Facebook raccogliere ulteriori dati che sono in rapporto causale con la raccolta dei dati originari.

Quali conseguenze il fatto che un responsabile sappia come vengono trattate le informazioni da un terzo, a cui il responsabile trasferisce i dati, ha avuto modo di essere discussa dalla Corte Europea dei Diritti dell'Uomo nel caso Fashion-ID (sotto, RN. 77). Si intendeva probabilmente: se qualcuno inserisce un plugin sulla sua pagina web e sa che le informazioni sul traffico (almeno l'indirizzo IP) del visitatore della pagina vengono analizzate dal titolare del plugin, egli è responsabile di ciò. Ciò è particolarmente vero quando il destinatario dei dati è un'azienda internet la cui attività commerciale si basa sull'estrazione di dati.

Come destinatario deve quindi essere possibile capire una gruppo di attori, a meno che un responsabile non trasmetta dati ad un altro responsabile.

Prima di tutto Facebook può comunque confrontare i dati che ha precedentemente ricevuto dal utente con quelli nuovi. Questo confronto avviene, secondo la sentenza del Tribunale Europeo dei Diritti dell'Uomo, solo a carico di Facebook (perché è stato solo Facebook a ricevere una parte dei dati confrontati). Questo tipo di elaborazione dei dati, che viene eseguito da Facebook e senza direttive esplicite del gestore del sito web, è anch'esso a carico di Facebook, come chiarito dal Tribunale Europeo (ad esempio, punto 85 della sentenza). Tuttavia ciò potrebbe essere vero solo se il gestore del sito non ha tratto profitto da questo confronto.

Qualche volta i dati devono essere stati ricevuti affinché una responsabilità possa sorgere. Se su un sito web sono elencati più aziende come responsabili congiunti, basta che uno di questi responsabili abbia ricevuto i dati per far sì che gli altri nominati come responsabili congiunti siano anch'essi responsabili per questo. In questo caso potrebbe non esserci un vero e proprio ricevimento dei dati, ma solo una logica ricezione di essi. Almeno una Gruppo di responsabili congiunti (insieme) ha ricevuto i dati. Un ricevimento da parte di uno del gruppo significa quasi contemporaneamente un ricevimento da parte di tutti nel gruppo nella risoluzione della questione della responsabilità nei rapporti esterni.

La squadra di responsabili condivisa è all'esterno una unità, da cui si può scegliere di estrarre uno o tutti. Ciò vale almeno per le ammonizioni, a quanto ne so. Nel rapporto interno potrebbe essere rilevante per la risoluzione di un problema di colpa tra i membri della squadra chi (come unico) ha effettivamente ricevuto o raccolto i dati all'interno del gruppo dei responsabili, in modo che possa aver luogo una contabilità interna della colpa, che però non deve interessare una persona coinvolta (che si trova al di fuori del gruppo).

Sorge una responsabilità nell'includere immagini esterne?

Inserendo un'immagine di una terza parte su un sito web, si trasferiscono dati personali del visitatore del sito a favore del terzo, su iniziativa dell'amministratore del sito.

Il gestore del sito web (o il responsabile della pagina web, che spesso coincide) è quindi responsabile dell'inserimento dell'immagine esterna. Si tratta solo di immagini statiche ordinarie di un terzo, non di pixel di contatore o simili. In questo esempio nemmeno il terzo sa del suo "lavoro" e non offre alcun servizio se l'immagine viene inserita.

Il responsabile dell'inserimento dell'immagine esterna deve presentare un AVV nei confronti del terzo o rispondere in base all'Art. 5 comma 1 c DSGVO (principio di minimizzazione dei dati). Non esiste alcuna giustificazione per l'inserimento esterno di un'immagine statica, che renda impossibile o non accettabile l'inserimento locale.

Le immagini dovrebbero quindi essere sempre integrate localmente. In ogni caso, è da verificare il diritto d'autore.

Sorge una responsabilità nel inserire link esterni?

È un link provider, cioè qualcuno che mette un link su una sua pagina web a un'altra pagina web di terze parti, è responsabile per quel link dal punto di vista del diritto alla protezione dei dati?

Inizialmente va stabilito che la condivisione dei dati da parte del fornitore di collegamenti al destinatario non avviene in senso tecnico. Questa si verifica nel browser dell'utente, a richiesta dell'utente stesso, poiché è lui ad aver cliccato il collegamento. Il caso in cui un collegamento debba essere cliccato "obbligatoriamente", ad esempio all'interno di un processo di acquisto, va qui omesso per semplicità.

Il fornitore di link riceve comunque, nel suo contenitore (cassetta delle lettere), dati diversi da quelli che si verificano al clic su un link. Non raccoglie quindi dati in base al clic su un link. Escluso il caso in cui il fornitore di link avesse la possibilità di seguire i clic sui link, ad esempio tramite Google Analytics o attraverso logiche JavaScript proprie. In questo caso si solleverebbero altre questioni che hanno più a che fare con l'analisi dei dati degli utenti (vgl. Art. 5 Abs. 1 c DSGVO o § 15 Abs. 3 TMG).

Il fornitore del link determina gli scopi e i mezzi per il link esterno. Il fornitore del link provvede al ricevimento di dati personali presso l'obiettivo del link. Per questo, il fornitore del link è responsabile.

Il destinatario del link riceve esclusivamente dati tecnici necessari attraverso il click sul link, che sono forniti dal fornitore del link da una persona. Supponiamo che il fornitore del link non sia in alcuna relazione commerciale o contrattuale con il destinatario del link e che la persona responsabile dietro al destinatario del link non lo conosca.

Il destinatario del link è anche responsabile per la raccolta di dati su se stesso, non esiste una responsabilità condivisa in base alle ipotesi precedentemente fatte. Ciò è stato anche stabilito dalla Corte di Giustizia dell'Unione Europea nel citato giudizio Fashion ID.

La fonte di collegamento è quindi responsabile, ma alla fine non risponde a nulla. Nulla moltiplicato per la responsabilità è uguale a zero. In questo senso esiste una responsabilità teorica (in quasi tutti i casi), ma non una responsabilità effettiva del fornitore di collegamenti.

E Anders mag es bei Links su indirizzi che comportano un trasferimento di dati in un paese terzo non sicuro sembrare. Ecco dove Art. 44 DSGVO gioca un ruolo, che è diventato particolarmente rilevante dopo la sentenza Privacy Shield ("Schrems II"). Io suppongo che l'utente abbia dato il suo consenso per eventuali rischi presenti quando clicca su un link esterno riconoscibile, se prima aveva avuto la possibilità di informarsi. Senza questo offerta informativa da parte del responsabile si verificherebbe una maggiore responsabilità che qui non posso discutere ulteriormente.

La domanda di come si presenti quando il fornitore del link è in connessione con l'obiettivo del link, ad esempio attraverso un contratto, non verrà trattata ulteriormente qui. Questo caso è comunque molto raro, rispetto alla maggior parte dei collegamenti esterni per cui non esiste alcun rapporto contrattuale tra il fornitore e l'obiettivo del link.

L'inserimento di link a contenuti illegali o a contenuti che potrebbero causare problemi all'ingresso negli Stati Uniti è più un problema di contenuto (§ 7 TMG?).

Quando si sviluppa una responsabilità reciproca?

Il concetto di reciproca responsabilità è stato introdotto da me e solo a scopo ausiliario. Reciproca responsabilità dovrebbe significare qui che due persone si comunicano tra loro e si scambiano, ciascuno in risposta alla precedente notizia dell'altro, una notizia come risposta.

La domanda della reciproca responsabilità è già stata risolta o può essere risolta attraverso le precedenti spiegazioni, ma per chiarire la questione verrà illustrata con un esempio.

Qualcuno vi invia una mail in veste di privato senza essere stato richiesto. Rispondete. Nella vostra risposta è contenuta la vostra residenza privata, che però non avete chiesto (anzi, la vostra residenza privata è parte integrante della vostra firma automatica in ogni mail).

Inizialmente non siete responsabili per l'e-mail ricevuta senza essere stati invitati in base al GDPR. Avete raccolto i dati ricevuti, ma non avete fatto alcun'offerta affinché ti venga inviata la notizia. Non perseguite un obiettivo con ciò, affinché qualcuno ti invii una notifica senza essere stato invitato.

L'utente che ha ricevuto la sua risposta raccoglie i suoi dati. Egli è responsabile dei dati personali ottenuti in base alla sua richiesta, per cui egli si era rivolto. Inizialmente non è responsabile dei dati che gli sono stati inviati senza chiedere e senza alcun collegamento con la sua richiesta. Se parti di una risposta potrebbero essere correlate a una richiesta, anche se non è stato fatto, deve essere verificato nel caso specifico. Ad esempio, un'etichetta di posta elettronica può essere obbligatoria (ad esempio in corrispondenza commerciale), da cui potrebbe derivare una responsabilità dell'utente che ha ricevuto la risposta.

È lecito diffondere dati non richiesti?

Sì, se c'è una base giuridica per questo. Ad esempio, le autorità di polizia possono essere informate da lei se ha ricevuto contenuti che ritiene illegali o che la mettono in pericolo. Di recente è stato un caso di acquirente di un disco rigido su eBay. L'acquirente ha scoperto che il disco rigido conteneva dati del precedente proprietario, diverso dal venditore. L'acquirente ha contattato il precedente proprietario come titolare dei dati e li ha restituiti a lui. Se un titolare di dati recupera i propri dati da qualcuno che non li voleva, in genere non c'è problema. Un problema potrebbe sorgere se ad esempio l'emittente sceglie una modalità di invio grossolanamente negligente. Anche la gratuità e la buona volontà della collaborazione tra vicini possono comportare gravi obblighi per il soccorritore!

Le basi giuridiche della DSGVO per l'elaborazione dei dati sono definite in Art. 6 DSGVO. Nell'esempio citato sopra della repressione di un reato può essere che le basi giuridiche provengano da altri atti legislativi, poiché in caso di minaccia non si tratta principalmente del diritto alla protezione dei dati. La DSGVO afferma anche che "Amministrazioni, che nel quadro di un mandato d'indagine specifico ai sensi del diritto dell'Unione o del diritto degli Stati membri possono ricevere dati personali", non sono considerate destinatari. Se la trasmissione dei dati a un'amministrazione è legittima, l'amministrazione non assume responsabilità in base alla DSGVO, poiché senza destinatario non si verifica alcun trattamento di dati. Spero che questo sia corretto e, conformemente Art. 2 DSGVO, ritengo che (di conseguenza) esistano leggi proprie per le amministrazioni che regolino la loro responsabilità.

Possono essere conservate dati per un tempo indefinito?

Con i dati si intendono qui i dati personali raccolti da un responsabile. Qualora una persona abbia ottenuto la cancellazione ai sensi dell'articolo 17 del Regolamento UE n. 2016/679, i dati devono essere cancellati in conformità.

Altre norme giuridiche al di fuori del GDPR potrebbero richiedere una conservazione più lunga, ad esempio nelle materie fiscali.

I dati possono essere utilizzati solo per scopi specifici e solo in conformità alle norme giuridiche di cui a Art. 6 DSGVO. Un ulteriore trattamento dei dati per altri scopi è, ai sensi di Art. 5 Abs. 1 b DSGVO, non consentito. Tuttavia, la conservazione non costituisce un ulteriore trattamento, quindi questa norma giuridica non si applica.

Se i dati conservati non vengono ulteriormente elaborati, una conservazione a lungo termine è ammissibile secondo la mia stima, a meno che il titolare dei dati non si opponga in tal senso o simili. Naturalmente anche da obblighi di conservazione. Non ho approfondito questo argomento e mi rallegro delle vostre risposte.

Conclusione

La definizione del concetto Raccogliere è, a mio avviso, plausibile e logicamente derivabile. È chiaro che la raccolta di dati rappresenta l'attività di elaborazione dei dati più precoce possibile. Non è necessaria una memorizzazione o un'analisi per aver già raccolto i dati. È anche chiaro che sia necessario per la raccolta di dati una indirizzo a cui viene inviata una messaggio, da cui un ricevente può avere conoscenza. Una conoscenza effettiva non è richiesta. La possibilità di conoscenza è sufficiente.

Tuttavia sembra che una possibilità teorica di conoscenza non sia sufficiente per avere un'indagine dei dati. Al contrario, deve esserci una vera possibilità di conoscenza. Vedi l'esempio della casella postale piena di e-mail o del pacco in fiamme dopo la consegna.

Chi raccoglie dati personali per scopi propri con mezzi scelti da sé, è responsabile e quindi obbligato a trattare i dati personali solo in conformità alle disposizioni della GDPR.

La specifica esplicita che un Responsabile debba essere un destinatario o aver richiesto il ricevimento da terzi manca nel testo legislativo della GDPR per motivi ignoti a me (se sbaglio, ti prego di farmelo sapere). La mia ipotesi è che ciò sia dovuto alla complessità della GDPR o al presupposto che dal concetto di trasmissione si deduca una ruolo di destinatario. Senza aver ricevuto dati prima, non possono essere presenti dati di altri.

Qualcuno viene considerato responsabile solo se offre un offerta, che nella GDPR viene chiamata scopo.

Considero brillante aver definito la raccolta di dati o l'accumulo (Collection) di dati nella GDPR come il primo possibile trattamento dei dati e aver fatto riferimento al concetto dell'accumulo in generale. Poche persone avrebbero mai pensato che (sempre) si verifichi un accumulo di dati dopo aver ricevuto i dati per un indirizzo e averli resi disponibili all'utente.

Messaggi chiave

Raccolta dati significa iniziare a trattare informazioni personali, cosa che comporta responsabilità e obbligazioni secondo il GDPR.

La raccolta dei dati è il primo passo possibile nell'elaborazione dei dati personali.

Per raccogliere dati serve un "indirizzo" a cui i dati vengono inviati. Questo indirizzo può essere fisico (come una casella postale) o digitale (come un indirizzo email).

La raccolta dati significa che qualcuno ha la possibilità di conoscere un messaggio, anche se non lo ha ancora letto.

Per essere responsabili del trattamento dei dati personali, bisogna prima di tutto fare un'offerta, ad esempio fornire un servizio o informazioni.

Anche se non sei a conoscenza dei dati raccolti, sei comunque responsabile per la loro gestione e protezione.

Ogni sito web pubblico, anche se semplice, deve avere una dichiarazione sulla protezione dei dati perché raccoglie informazioni personali (come l'indirizzo IP) e offre contenuti.

Fornire un indirizzo email per contatti generali non implica responsabilità, a meno che non si offra esplicitamente un servizio o un'azione specifica.

Anche se un destinatario riceve i dati, chi li ha raccolti (il responsabile) è comunque responsabile del trattamento dei dati.

Se un responsabile inserisce dati di terzi sul proprio sito web, è responsabile di come questi dati vengono trattati.

Chi inserisce un link a un sito web di terze parti è responsabile del rispetto della privacy degli utenti, ma in pratica non è responsabile di ciò che accade sul sito web a cui si fa riferimento.

È importante essere informati sui rischi quando si clicca su link esterni e assicurarsi che il fornitore del link rispetti le norme sulla privacy.

Raccolta dati significa ottenere informazioni su qualcuno, anche senza memorizzarle o analizzarle.

Per essere considerati responsabili del trattamento dei dati personali, è necessario che si raccolgano o si accumulino dati, indipendentemente dal fatto che siano stati richiesti o meno.

Ulteriori informazioni

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Rete di distribuzione del contenuto Cloudflare: utilizzo e protezione dei dati personali