Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Co oznacza gromadzenie danych w kontekście RODO? Jednym z najważniejszych pojęć w dziedzinie przetwarzania danych

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Przetwarzanie danych zaczyna się już od zebrania danych osobowych. Zbieranie danych jest najwcześniejszą czynnością dotyczącą przetwarzania. Stąd może wynikać odpowiedzialność na mocy RODO wraz z licznymi obowiązkami. Tylko ten, kto zbiera dane, może być odpowiedzialny. Ale co oznacza zebranie danych?

Dlaczego jest ono ważne zebranie danych?

Zbieranie danych jest równoznaczne z przetwarzaniem danych. Tylko ten, kto przetwarza dane osobowe lub spowoduje ich przetwarzanie u innych, może być odpowiedzialny za to (i często tak jest, gdy określa się cel i środki).

Osoba odpowiedzialna zgodnie z RODO musi przestrzegać przepisów RODO. W związku z tym jest bardzo ważne, aby wiedzieć, co oznacza "Zbieranie danych". Tekst prawnego aktu ochrony danych osobowych nie definiuje tego pojęcia.

Poniższe pojęcia zostaną przez mnie wprowadzone do wyjaśnienia tego, co oznacza gromadzenie danych:

  • Adresse
  • Zbiornik (w sensie skrzynki pocztowej lub bufora)
  • Zbierać
  • Oferta

Sądzicie się teraz pewnie o niektórych z tych pojęć w kontekście gromadzenia danych. W szczególności termin Container, który tu wprowadzam, powinien być nowy w kręgach ochrony danych, jeśli nie liczyć zniszczenia aktów. Pozostałe terminy nie pojawiają się (lub tylko częściowo) w tekście prawa RODO. Może termin Skrzynka pocztowa jest lepiej zrozumiały, chociaż jest on zbyt konkret i przez to niejasny.

Ten artykuł dotyczy informacji przekazanych władzom i nie tych, które zostały przez nich samodzielnie uzyskane.

Ograniczenie.

Następnie wyróżnia się pomiędzy Datenerhebung a Verantwortlichkeit. Zbieranie danych samemu nie jest jeszcze istotnym problemem dotyczącym ochrony danych, ale stanie się tak tylko wtedy, gdy powstanie odpowiedzialność. Odpowiedzialność istnieje jedynie wówczas, gdy odbyła się zbiorcza danych. Nie być odpowiedzialnym za żadną zbiór danych to jednoznaczne z brakiem odpowiedzialności.

Wprowadzenie

W Artykule 4 pkt 2 Rozporządzenia o Ochronie Danych Osobowych jest określone przez przetwarzanie danych jako

Zdobywanie, pozyskiwanie, organizowanie, układanie, przechowywanie, dostosowanie lub modyfikacja, odczytywanie, kwerendowanie, wykorzystywanie, ujawnianie przez przesłanie, dystrybucję lub inną formę udostępnienia, porównywanie lub łączenie, ograniczanie, usuwania lub niszczenia

Definicja pojęcia przetwarzanie danych zgodnie z art. 4 pkt 2 RODO.

W angielskim tekście prawnym słowo Zbiór (od to collect) jest używane dla zbieranie.

W tekście prawnym nie ma definicji pojęcia "zgromadzenie". Dlatego musiałem napisać ten artykuł, aby dać wyjaśnienie.

W tym artykule rozważane są tylko gromadzenie danych osobowych w nieprywatnym obszarze, które odbywa się automatycznie lub częściowo automatycznie, bądź przechowywane są one w systemie plików albo mają być tam przechowywane. To odpowiada zakresowi zastosowania przepisów o ochronie danych osobowych, określonemu w art. 2 DSGVO, z wyłączeniem wyjątków wymienionych w sekcji 2.

Zbieranie danych jest pierwszą czynnością przetwarzającą

Widoczne jest, że działania wymagające przetworzenia są przedstawione w uporządkowanej kolejności. Porządek polega na tym, że pierwszym wymienionym działaniem, czyli podniesieniu, jest najwcześniej możliwe działanie przetwarzania i wszystkie dalsze procesy przetworzenia są następne.

Trzy ostatnie działania wymienione w tekście prawnym: ograniczenie, usunięcie i zniszczenie wykluczam z dalszej analizy, ponieważ chodzi o działania destrukcyjne, które są bardziej pozytywnie oceniane z punktu widzenia ochrony danych osobowych, gdyż zmniejszają lub eliminują odpowiedzialność.

Działania, które oznaczają przetwarzanie danych, są zgodnie z art. 4 pkt 2 w czasie rosnącej kolejności, tj. w następującym porządku:

  1. Wznosić, a potem dopiero może to
  2. Zapiszmy to później, a potem dopiero jest
  3. Możliwa organizacja, tak samo
  4. Porządkowanie, a następnie (lub bez organizacji lub porządkowania) jest
  5. Zapis możliwy, następnie (lub zamiast tego przed zapisem)
  6. Zmiana, ale tylko po zapisaniu danych
  7. Wyciąganie lub to
  8. Zapytania. Z możliwością przechowywania lub bez niej następuje
  9. Użycie lub ta
  10. Ujawnienie przez przesłanie, rozpowszechnianie lub inną formę udostępnienia, a także
  11. Porównanie lub połączenie.

Ta kolejność nie jest więc przypadkowa i nie może być przypadkowa, ponieważ istnieje 11! (11-faktoryjka) możliwości ustalenia tej listy. 11! = 11 * 10 * 9 * 8 * 7 * 6 * 5 * 4 * 3 * 2 * 1 = 39.916.800, czyli blisko 40 milionów. Nawet jeśli uważamy dwa pary słówek za równoważne, liczba możliwości wynosi ponad 300.000. Wartość prawdopodobieństwa, że lista powstała przypadkowo, wynosiłaby 1/362.880 = 0,0000028.

Również Article 29 Working Party, Opinion 3/2013 wyraźnie podkreślił, że gromadzenie danych jest pierwszą czynnością związana z przetwarzaniem danych.

Ustawaodpowiedzialna zatem całkowicie i bez wątpienia umieściła na początku przetwarzania danych informacje o ich gromadzeniu. To również wynika z tytułu Art. 13 DSGVO: "Pobieranie obowiązku informacyjnego dotyczącego danych osobowych od osoby, której dane dotyczą".

Ktoś, kto gromadzi dane, przetwarza dane. Zgromadzenie danych jest pierwszym etapem przetwarzania danych!

Podsumowanie zgodnie z art. 4 pkt 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Zbieranie danych odbywa się przed zbiorem danych, jak mówi prawo. Zbierać oznacza według Duden zgromadzić lub zbierać, co wynika również z angielskiego tekstu prawnego (to collect).

Niemieckie słowo zusammentragen brzmi na początku trochę dziwnie. Po pewnym namyśle udało mi się zrozumieć i udowodnić ten pojęcie.

Zbieranie danych wymaga adresu odbiorcy.

Moje przekonanie do definicji pojęcia gromadzenia danych.

Zbiór danych może nastąpić tylko wtedy, gdy zostanie podana adres, na który osoba może wysłać wiadomość. Z adresem można zaskakująco wywnioskować pojęcie zbierania! Jak pokazano, adres nie musi być nawet adresem odbiorcy, ale może to być dowolny adres.

Zbieranie danych następuje więc po otrzymaniu i przed zapisaniem (recording).

Adres oznacza pojemnik. To wydaje się jeszcze bardziej niespodziewane. Ta wiedza sprawia mi pewną satysfakcję, tym bardziej, że takiego sposobu dedukcji nie ma nigdzie.

Zbiór jest określany w języku angielskim, ale także w informatyce jako Pojemnik lub Collection. Język programowania Java zna pojęcie Collection i Containersa.

Przykłady adresów z podaniem należącego do nich pojemnika to:

  • Adres pocztowy: Poczta elektroniczna
  • Adres e-mail: Skrzynka odbiorcza (szczególniej: serwer skrzynki odbiorczej)
  • Adres IP przy wezwaniu strony internetowej: główny pamiętnik serwera
  • Osobiste rozrywki: Mózg adresata (pamięć)
  • Numer telefonu/telefonowanie: taki sam
  • Numer telefonu/Automatyczny Odpowiednik: "Taśma" nagrywanie (teraz już głównie cyfrowe)

Adres jest pojemnikiem dostępnym za pomocą jedynie określającej go oznaczenia, którego zawartość może być ujawniona adresatowi.

Moja definicja adresu w kontekście RODO.

Korpus poczty martwej, który (dlaczegoś) nie może być w żaden sposób opróżniony przez nikogo, nie jest adresem w tym sensie. Nie ma możliwości uzyskania wiadomości z tego źródła. W informatyce istnieje urządzenie zerowe jako „wirtualne urządzenie wyjściowe”, „któremu wszystko, co do niego napisane jest, zostaje wyrzucone” (źródło: Wikipedia, którą mogę potwierdzić jako informatyk). Urządzenie zerowe to również NUL-cel i nie jest adresem w sensie DSGVO, ponieważ niemal niemożliwe jest uzyskanie wiadomości o odebranych komunikatach.

Jednym z przypadków jest adres z pojemnikiem, który może przyjąć tylko jedną wiadomość narazie. Jeśli pojemnik nie zostanie wypusty, stracimy wiadomości. Jest to możliwe również u każdego pojemnika o większej zdolności do przechowywania wiadomości. Z doświadczenia wiemy, że problem pełnego skrzynki e-mailowej jest dobrze znany – nie można tam umieścić żadnych nowych wiadomości, dopóki nie zostanie ona wypusta. Nie można więc dalej odbierać wiadomości, ponieważ sama ich odbiorowa była niemożliwa.

Pojęcie gromadzenia (w pojemniku) oznacza początkowo tylko czasową przechowywalność, nie przechowanie lub długoterminowe przechowanie. To, że długoterminowe przechowanie jest możliwe w niektórych pojemnikach (np. skrzynka e-mailowa), nie stoi temu na przeszkodzie.

Zbieranie danych to możliwość odbioru wiadomości przez odbiorcę, która została wysłana do adresu.

Moja definicja pojęcia gromadzenia danych. Artykuł 2, ustęp 1 RODO powinien być stosowany.

Zbieranie danych oznacza więc możliwość zauważenia wiadomości, która została wysłana do adresu. Faktualne zauważenie może nastąpić również automatycznie (co jest także w Art. 4 Nr. 2 DSGVO), np. przez serwer, który udostępnia stronę internetową. Zauważenie odbywa się za pośrednictwem odbiorcy. Przetwarzanie danych musi następować zgodnie z Art. 2 § 1 DSGVO.

Prawdopodobne zrozumienie jest w DSGVO umieszczone pod pojęciem Odbiorca, które jest zdefiniowane w Art. 4 Nr. 9. Odbiorcą jest osoba fizyczna lub prawna, której ujawnia się dane osobowe.

Różnica w odbieraniu danych

Zbieranie danych jest procesem późniejszym niż odbiór danych. Synonimem dla odbioru jest otrzymanie (pobranie). Dostarczenie w sensie pocztowym następuje, gdy wiadomość dotarła poprawnie do prawidłowej adresy, czyli została dedykacyjnie otrzymana.

Kurierka otrzymuje więc wiadomości. Te uważa się za odebrane lub otrzymane w momencie ich odbioru i jako wyjęte z kurierki w momencie jej otwarcia. Jeśli kurierka jest pełna, to zarówno odbiór jak i wyjęcie wiadomości nie są możliwe (zawlekając oczywiście myśl, że ktoś mógłby dostarczyć list osobiście itd.). Gdy list trafia do błędnej adresu, np. z powodu błędu kuriera, właściciel kurierki odebrał wiadomość, ale nie wyjął jej.

Korespondencja, którego zawartość jest przetwarzana ręcznie i nie jest przechowywana w systemie plików, jest poza zakresem rozważań. Porównaj art. 2 ust. 1 DSGVO. Niektóre firmy używają szczególnie skanerów do automatycznego przetwarzania każdej korespondencji. W związku z tym zawartość koszyka tych firm jest objęta zakresem DSGVO. Użycie danych w wiadomości e-mail lub wysłanie tych danych przez wiadomość e-mail odpowiada automatycznie przechowywaniu w systemie plików.

Einwurfeinschreiben potwierdza odbiór lub przyjęcie nawet prawomocne, jeśli wiadomość została wysłana na odpowiedni adres i w należytym stanie oraz odbiorca mógł faktycznie uzyskać z nią kontakt. Data dostarczenia uznaje się za datę od dnia, kiedy poczta ustaliła ją jako datę wprowadzenia listu do skrzynki odbiorcy (lub częściowo przekazania mu osobiście, co byłoby krokiem dalszym). Jeśli odpowiednio dostarczone Einschreiben zostanie bez winy odbiorcy i w sposób udokumentowany przez niego usunięte z skrzynki przez złodzieja po jego dostarczeniu, to ostatecznie nie nastąpi przyjęcie danych u odbiorcy, ponieważ ten nie mógł uzyskać faktycznej wiadomości.

An rękojmią zapisuje się obowiązek, który ma adresat zamierowany. Takowy adresat jest faktycznie zobowiązany do regularnego opróżniania swojej skrzynki pocztowej (jeśli to możliwe, powiedziałbym). Kto otrzymał upomnienie, może się odwołać do faktu, że nie opróżnił skryńki pocztowej od siedmiu dni, ponieważ pogoda była tak źle. Ta obowiązkość nie wynika z RODO, ale raczej z innych przepisów prawa, które dotychczas nie udało mi się znaleźć i których wydaje się, że nie istnieją w ogóle. Sądzę, że są one wynikiem interpretacji prawnych orzeczeń i opinii adwokatów.

Zauważenie wiadomości

Pierwszy raz, gdy wiadomość zostaje wyciągnięta z skrzynki pocztowej, trafia do świadomości. Gdy odbiorca wyczyszcza skrytki listowe, staje się to oczywiste. W przypadku pojemników takich jak Głowa ten proces odbywa się nieświadomie.

Zbiornik służy do gromadzenia obiektów.

Moja definicja pojęcia "kontener" w kontekście ochrony danych to dane jako obiekty

Przy pojemnikach (technicznie: Container) takich jak główny pamięci Serversa strony internetowej proces odbierania wiadomości odbywa się dla laika w sposób nieświadomy, ale z technicznego punktu widzenia jest to wyraźne (serwer został odpowiednio programowany). Serwer z jedną przychodzącą linią sieciową może tylko jeden sygnał równocześnie przetwarzać. Przetwarzanie trwa zazwyczaj dłużej niż dostarczanie. Aby żaden sygnał (= wiadomość lub zapytanie) nie został utracony, Puferek serwer przychodzące sygnały, aż będzie mógł je przetworzyć. Puferek to pojemnik.

Jeśli serwer był przeciążony i musiał odmówić przyjęcia żądania, w praktyce nie było możliwości jego zauważenia. Jednakże to nie wyklucza tego, że żądanie nie mogło być przyjęte ze względów technicznych, czyli z powodu ograniczeń sprzętu i nie dlatego, że zostało zablokowane przez oprogramowanie.

Kto jest odpowiedzialny zgodnie z RODO?

Zbieranie danych same w sobie nie jest niczym specjalnym. Trzeba być odpowiedzialnym za ich gromadzenie, aby z nich wynikły obowiązki.

Osoba odpowiedzialna w rozumieniu RODO (Art. 4 Nr. 7) jest, kto "samodzielnie lub wspólnie z innymi decyduje o celach i środkach przetwarzania danych osobowych". Kto bowiem zbiera dane osobowe do danego celu i przy vorgegebenem środkach, jest w szczególności odpowiedzialny na mocy RODO i musi zgodnie z Art. 13 RODO dostarczyć informacji osobie dotkniętej.

Termin Zweck można również zdefiniować jako termin Oferta. Znaczenie terminu Angebot należy rozumieć w najszerszym sensie i zostało ono wybrane przez mnie, ponieważ termin Zweck jest stosunkowo abstrakcyjny. Oferta może być ofertą informacyjną, usługą itp.

Odpowiedzialność powstaje dopiero na podstawie oferty.

Moje stwierdzenie (przed rzeczywistą odpowiedzialnością muszą wystąpić dalsze warunki)

Bez oferty nie ma odpowiedzialności. Jeśli ktoś wysyła wam bez zaproszenia swoją kartę chorobową, która trafia do waszych rąk, to przy waszym miejscu (prawdopodobnie) odbywa się gromadzenie danych, ale nie jesteście odpowiedzialni za to.

Jeśli jesteście lekarzami i prosicie pacjenta, aby przesłał wam wyniki jego pobytu w klinice, Twoja praktyka gromadzi dane od momentu otrzymania przez nią wyników Twojego pacjenta, aż do czasu gdy te wyniki będą dostępne dla osoby zatrudnionej w Twojej praktyce.

Jeśli była by odpowiedzialność bez oferty możliwa, każdy mógłby zmusić kogoś trzeciego do przyjęcia tej odpowiedzialności.

Odpowiedzialność za dane zgromadzone, ale nie ujawnione

Ktoś zbiera dane i jeszcze nie ma pojęcia o nich, wtedy pojawia się faktyczna odpowiedzialność. Ktoś zaoferował coś i otrzymał wiadomość w swoim skrzynce pocztowej, ale bezpośrednio do tego, żeby ją przeczytać, a ta wiadomość trafiła do osób trzecich, to on jest za to odpowiedzialny? Zależy od sytuacji. Myślę, że tutaj sposób postępowania i inne obowiązujące prawo odgrywają rolę. Jeśli ktoś nie zamknie swojej skrzynki pocztowej, to według mnie jest odpowiedzialny z punktu widzenia ochrony danych osobowych, jeśli osoby trzecie nieuprawnione wziąły do ręki zawartość tej skrzynki.

Dane, które nie dotarły do osoby odpowiedzialnej i innych osób, ale zostały przez osobę odpowiedzialną zebrane bez ich wiedzy, początkowo nie powodują problemów, ale wiążą się z obowiązkiem. Właściciel danych może zażądać usunięcia danych, co następnie musi być wykonane tak, aby osoba odpowiedzialna mogła uzyskać dostęp do zebranych danych i następnie usunąć je w sposób prawidłowy, bez zagrożenia innych danych.

Podobnie jak w przypadku danych niezauważonych, tak się ma również z danymi, które trwale przechowuje się, ale nie przetwarza i nie udostępnia innym. Z tego wynika nie problem, ale obowiązek np. dbałości o dane. Wniosek o usunięcie danych byłby wtedy możliwy do zrealizowania przy skróconym postępowaniu, bo już nastąpiła jego zauważenie.

Kto zaleca trzeciej osobie dane samodzielnie zebrane, ale nie znane mu samego siebie, ten jest za to odpowiedzialny.

Nieautomatyzowane i niezapisane w systemie plików dane nie są jedynie wiedzą, ale pojawia się pytanie, czy faktycznie była możliwość uzyskania tej wiedzy i czy następnie przetwarzanie automatyczne lub zapisanie w systemie pliku było planowane. Jeśli tak, to mówię, że odbywa się również pozyskiwanie danych bez ich uznania.

Przykład badań danych: strona internetowa

Strona internetowa jest ofertą, która określa swój cel za pomocą treści. Jest dostępna poprzez Internet i inne techniczne udogodnienia (HTML itd.). W Art. 8 § 1 DSGVO pojęcie oferty jest również wspomniane, a mianowicie w odniesieniu do udostępniania usług elektronicznych, co dotyczy stron internetowych.

Jako stronę internetową rozumie się tutaj dostępny publicznie adres internetowy. Inny jest przypadek strony chronionej hasłem. Ochrona hasłem musi jednak odbywać się na poziomie serwera, aby nie był to ten sam przypadek jak dostępna publicznie strona internetowa. Można to osiągnąć poprzez wpisanie dyrektywy w tzw. .htaccess pliku.

Adres IP jest danymi osobowymi. W każdej chwili, gdy użytkownik odwiedza stronę internetową, zgodnie ze standardem Internetowym TCP (Transmission Control Protocol), adres IP użytkownika jest przesyłany do serwera, który udostępnia stronę. W związku z tym obowiązuje Dz.U. 2018 r. poz. 1000 (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.) dla każdej strony internetowej dostępnej publicznie.

Z tego wynika zgodnie z art. 4 pkt 7 RODO odpowiedzialność, ponieważ

  1. Zbieranie danych odbywa się (patrz powyżej)
  2. Dane osobowe są gromadzone (przynajmniej adresy IP)
  3. Cel jest określony (oferta w zależności od treści strony internetowej)
  4. Źródła są ustalane (internet itd.)

Każda publicznie dostępna strona internetowa, która ma jakikolwiek cel, wymaga oświadczenia dotyczącego ochrony danych osobowych

Powód: W przypadku takich stron internetowych istnieje odpowiedzialność zgodnie z art. 4 pkt 7 RODO

Dlatego każda dostępna publicznie strona internetowa musi przedstawić deklarację ochrony danych. Jedyną możliwą wyjątkiem mogłaby być strona, która nie stanowi oferty, czyli np. strona pusta bez jakiegokolwiek treści. Ale nawet strona lądowania dostępnej adresu internetowego, która często w kilku słowach oferuje do sprzedaży adres stronę, którą się odwiedza, jest oczywiście ofertą. Tak samo karta wizytowa na stronie internetowej jest ofertą. Jeśli nie byłaby to oferta, dlaczego by ją tam umieścić? W szczególności strona pusta z informacją o firmie jest ofertą, chyba że informacja ta została umieszczona w ramach nadmiarowej ostrożności. Albo bowiem informacja ta została umieszczona na podstawie § 5 TMG, co oznacza, że istnieje oferta handlowa. Albo informacja ta została umieszczona na podstawie §18 MStV, co oznacza, że istnieje oferta informacyjna. Albo oba przypadki (jest to najczęściej spotykany wariant).

Przykład dotyczący gromadzenia danych: komunikacja pocztowa elektroniczna

Tu można wyróżnić kilka przypadków, np.:

  1. Wpis w formularzu kontaktowym na stronie internetowej: Zapewniają, że można się z nimi skontaktować (w tym przypadku dlatego, że według § 5 TMG lub § 18 MStV mają taką obowiązkość). Ktoś korzysta z tego do wysłania ogólnej prośby drogą e-mailową, a nie z powodów prawnych
  2. Formularz kontaktowy ogólny: Ofiarujcie go na swojej stronie internetowej. Ktoś używa go do zapytania ogólnego. W tle jest wysłana wiadomość e-mail do What
  3. Adres e-mail jako forma kontaktu w przypadku potrzeby porady: Ofiaruj się do napisania. Ktoś korzysta z tego, ponieważ chce przyjąć Twoje ofertę doradztwa
  4. Formularz kontaktowy przy potrzebie porady: Ofiarujcie go na swojej stronie internetowej. Ktoś korzysta z niego, ponieważ chciałby skorzystać z Waszego oferty doradztwa. W tle jest wysyłana do Wasza e-mail
  5. Ktoś z Wami rozmawiał telefonicznie. Proszą o to, aby ten facet posłał im coś na mailę, którą oni podali na swojej stronie internetowej, np. jego dane kontaktowe, tak aby mogli mu wysłać ofertę drogą elektroniczną

W każdym przypadku jest to zbiór danych. Przypadki 1 i 2 nie stanowią jednak (widocznej) oferty, ponieważ nie ma określonego celu (w sporach prawnych, które powstały za pośrednictwem kontaktu do strony o informacjach, może to być inaczej). Przypadki 3-5 natomiast stanowią ofertę z określonym celem.

Z bieżącej gromadzenia danych nie wynika żadna obowiązku!

Obowiązek powstaje dopiero wtedy, gdy spełnione są dalsze warunki

Zbierając dane nie wynika z tego żadna obowiązkość. Zamiast tego musisz być odpowiedzialny za zbieranie danych, aby powstały dla Ciebie obowiązki na mocy RODO.

W odniesieniu do powyższych przypadków komunikacji e-mailowej, to znaczy to konkretnie:

  • Spad 1, podanie adresu e-mail do kontaktu ogólnego nie ma określonego celu. Z maili otrzymanej bez wezwania nie wynika odpowiedzialność. Analogicznie byłoby to, gdyby ktoś wziął Twoją adres e-mail (lub adres pocztowy) z katalogu lub księgi telefonicznej i skontaktował się z Tobą
  • Spad 2, ogólne formularz kontaktowy (bez wyboru lub przypuszczenia określonego problemu), nie ma określonego celu. Z niezaproszonej wiadomości otrzymanej za pomocą poczty elektronicznej (lub innego sposobu) nie powstaje odpowiedzialność
  • W jesieni 3, podanie adresu e-mail w celu oferowania porady (oferta doradztwa) oznacza powstanie odpowiedzialności
  • Jesień 4, dostarczenie formularza kontaktowego w celu oferowania porady, oznacza powstanie odpowiedzialności
  • Spadanie 5, prośba o wysłanie przez kogoś prywatnej informacji, oznacza powstanie odpowiedzialności. Tutaj oddajesz ofertę, by się tym zajmować.

W przypadkach 1 i 2 ustalone są środki, ale nie cel. W przypadkach 3-5 ustalone są środki i cel, a zatem odpowiedzialni za nie. Do formularza kontaktowego regularnie potrzebna jest indywidualna ocena, aby wyjaśnić, czy faktycznie istnieje oferta lub ekwiwalent podawania adresu e-mail do ogólnej komunikacji (najlepiej bez związanych z tym interesów sprzedażowych). Jest to jednak nie kwestia ochrony danych osobowych, ale inna.

Ktoś, kto otrzyma niezamówione dane osobowe, powinien wykluczyć możliwość odpowiedzialności przez ich usunięcie. Na przykład wypadek danych może spowodować dodatkowe problemy (czy tak jest, trzeba sprawdzić każdorazowo).

Osoba odpowiedzialna jest lub była odbiorcą

Tylko ten, kto jest odbiorcą danych lub był, albo spowodował odebranie danych od innego podmiotu, może być uznany za administratora. W uzasadnieniach 31, 61 i 68 DSGVO, a także w Art. 14 ust. 3 c DSGVO można znaleźć logiczne konsekwencje dla tych dowodów.

Tylko ten, kto był lub jest odbiorcą danych albo (później) spowodował odebranie przez innych, może być odpowiedzialny.

Logiczne wnioski z treści prawa dotyczącego RODO

Zachowanie się roli odbiorcy przez administratora lub na polecenie administratora można również uzasadnić tym, że gromadzenie danych (to collect) jest możliwe tylko wtedy, gdy są dane do gromadzenia. Te dane nie spadają z nieba i nie są wyhodowane podczas ich pozyskiwania przez kombinację innych danych, jak to wynika z Art. 4 Nr. 2 DSGVO dotyczącego przetwarzania danych. Także wypowiedzi DSGVO dotyczące przesyłania danych osobowych do państw trzecich bez wystarczającego poziomu ochrony prywatności pokazują, że jest to konieczne, aby proces przetwarzania danych mógł się rozpocząć i była możliwa odpowiedzialność. Przesyłanie danych ponownie wymaga istnienia odbiorcy.

Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 16 lipca 2020 r. (sprawa C-311/18, pkt 83) wyraźnie stwierdził, że „przekazywanie danych osobowych z państwa członkowskiego do kraju trzeciego jako taka jest przetwarzaniem danych osobowych w rozumieniu art. 4 pkt 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679”.

Zaproszenie na przyjęcie przez osobę odpowiedzialną

Proszę swojego lekarza o przesłanie zdjęć rentgenowskich, które otrzymała w klinice. On podaje Paniemu błędny adres. Pani wysyła dane do tego błędnego adresu. Lekarz nie jest odbiorcą danych, ale zainicjował ich odbiór u innych. Jest odpowiedzialny za gromadzenie danych (przez innych).

Bez kontaktu z osobą dotkniętą może również powstać odpowiedzialność: Ktoś reklamuje swoje usługi na plakacie, prosząc o wysyłanie danych. Adresata nie podano prawidłowo, ale jest to adres kogoś innego. Ten odpowiedzialny za plakat staje się odpowiedzialny za dane zebrane u innej osoby bez wcześniejszego kontaktu z osobą dotkniętą. Odpowiedzialny nie wie nawet danych tej osoby i może je nigdy nie poznać.

W tym artykule przypadki takie są zazwyczaj pominięte dla prostoty. Mówi się więc tylko o odbiorcy danych. Jednak w przypadku zewnętrznych linków istnieje różnica, dlatego na ten temat wrócimy później.

Wspólna odpowiedzialność

Otrzymując dane od kogoś, kto je przekazał, może powstać wspólna odpowiedzialność. To wynika m.in. z orzeczenia Trybunału Sprawiedliwości Unii Europejskiej z dnia 29.07.2019 r. – C-40/17 ("Fashion ID"). Orzeczenie to dotyczy pliku Facebooka. Wstawienie pliku na stronie internetowej oznacza technicznie, że zarówno właściciel strony internetowej jak i Facebook mogą uzyskać te same dane od użytkowników (początkowo). Dopiero gdy użytkownik kliknie na link lub przycisk dostarczany przez plik, prowadzący do Facebooka, Facebook może uzyskać dodatkowe dane, które są w bezpośrednim związku z pierwotną gromadzeniem danych.

Jakie skutki mają one, gdy ktoś zna dane dotyczące przetwarzania danych przez osobę trzecią, do której te dane są przekazywane, to zostało omówione w wyroku EuGH w sprawie Fashion-ID (poniżej, nr 77). Przy czym miał na myśli być: Jeżeli ktoś na swojej stronie internetowej włącza plugin i wie, że dane przesyłane przez użytkownika strony (co najmniej adres IP) są wykorzystywane przez producenta plguina, to on jest za to odpowiedzialny. Jest to szczególnie prawdopodobne wtedy, gdy odbiorcą danych jest przedsiębiorstwo internetowe, którego model biznesowy opiera się na wykorzystaniu danych.

Odbiorcy może więc należycie być postrzegani jako grupa podmiotów, jeśli odpowiedzialny za dane przekaże je innemu odpowiedzialnemu.

Poprzednio Facebook może porównać dane, które wcześniej otrzymał od użytkownika z nowymi danymi. Porównanie danych następuje zgodnie z orzeczeniem Trybunału Sprawiedliwości Unii Europejskiej i dotyczy tylko odpowiedzialności Facebooka (ponieważ Facebook otrzymuje jedynie część porównywanych danych). Ten rodzaj przetwarzania danych, który jest wykonywany przez Facebooka samodzielnie i bez wskazówek administratora strony internetowej, dotyczy tylko odpowiedzialności Facebooka, jak orzekł TSUE (np. pkt 85 wyroku). Jednak może być tak tylko wtedy, gdy administrator strony wiedział o tym porównaniu i z niego korzysta.

Kiedyś musiały być dane odebrane, aby mogła powstać odpowiedzialność. Jeśli na stronie internetowej wymienione są kilka firm jako współodpowiedzialne, wystarczy, że jedna z nich otrzymała dane, aby pozostałe firmy wymieniane jako współodpowiedzialne były za to (również) odpowiedzialne. W takim przypadku może nie być prawdziwego odebrania danych, ale jest logiczne. Co najmniej Grupa współodpowiedzialnych (wspólnie) otrzymała dane. Odebranie przez jedną z grupy oznacza w praktyce odebranie przez wszystkich w grupie przy rozstrzyganiu kwestii odpowiedzialności w stosunku do zewnętrznych.

Grupa wspólnie odpowiedzialnych jest zewnętrznie jednostką, z której można wybierać się w dowolnej liczbie. To dotyczy przede wszystkim upomnień, o ile wiem. W stosunkach wewnętrznych może być istotne dla rozstrzygnięcia kwestii winy pomiędzy członkami grupy, który z nich (jako jedyny) faktycznie odebrał lub zebrany dane z grupy odpowiedzialnych, aby mogła odbyć się wewnętrzna rozliczenie winy, która nie musi interesować osoby spoza grupy.

Czy powstaje odpowiedzialność przy włączaniu zewnętrznych obrazków?

Włączając na stronie zdjęcie z adresu trzeciego, przesyłane są dane osobowe odwiedzającego strone do trzeciej osoby, na polecenie administratora strony.

Administrator strony internetowej (lub odpowiedzialny za nią, co często jest to samo) jest zatem odpowiedzialny za włączenie zdjęcia zewnętrznego. Chodzi tutaj tylko o całkiem zwyczajne, statyczne obrazy trzeciej osoby, nie o piksele śledzące itp. Trzeci osoba w tym przykładzie niczego nie wie i nie oferuje żadnej usługi, jeśli zdjęcie zostanie włączone.

Osoba odpowiedzialna za włączenie obrazu zewnętrznego musi przedstawić AVV wobec trzeciej strony lub ponosi odpowiedzialność na podstawie Art. 5 ust. 1 lit. c DSGVO (zasada minimalizacji danych). Nie ma żadnej uzasadnienia, aby umożliwić włączenie statycznego obrazu zewnętrznego, a nie lokalne.

Obrazki powinny być zawsze wplecione lokalnie. W każdym przypadku należy sprawdzić prawo autorskie.

Czy istnieje odpowiedzialność przy ustawianiu zewnętrznych linków?

Czy darcie linków, czyli ktoś, kto na swojej stronie umieszcza link do strony trzeciej, jest za ten link odpowiedzialny z punktu widzenia ochrony danych?

Pierwszym do ustalenia jest fakt, że przekazywanie danych z linku nadawcy na link odbiorcy odbywa się technicznie nie. Odbywa się ono w przeglądarce użytkownika i następuje to na polecenie użytkownika, ponieważ ten kliknął link samodzielnie. Przypadek, w którym link musi zostać „nastawiony”, np. podczas procesu zamówienia, zostaje tutaj pominięty z uwagi na prostotę.

Odbiorca linku nie otrzymuje w swoim kontenerze (skrzynce pocztowej) tych samych danych, które po kliknięciu na link powstają. Nie gromadzi więc danych z powodu kliknięcia na link. Wyjątkiem jest sytuacja, gdy odbiorca linku mógłby w rzeczywistości śledzić kliknięcia na linki za pomocą Google Analytics lub własnych logik JavaScriptowych. W takim przypadku powstawałyby inne kwestie, które mniej dotyczyłyby zewnętrznych linków niż śledzenie użytkowników (porównaj Art. 5 § 1 c DSGVO lub § 15 § 3 TMG).

Podmiot udostępniający link określa cele i środki związane z linkiem wychodzącym. Podmiot udostępniający link spowoduje otrzymanie danych osobowych przez podmiot docelowy. Dlatego też, podmiot udostępniający link ponosi odpowiedzialność.

Celem linku dostaje wyłącznie technicznie niezbędne dane po kliknięciu na link, które dostarcza dający link i przez osobę. Załóżmy, że dający link nie ma żadnego biznesowego lub inżynierskiego związku z celem linku i osoby odpowiedzialnej za ten cel nie znają.

Celem linka jest sama osoba, która przeprowadza badania danych. Według założonych przez nas założeń nie ma wspólnej odpowiedzialności. To samo stwierdził Trybunał Sprawiedliwości Unii Europejskiej w wyroku z Fashion ID.

Źródło linku jest więc odpowiedzialne, ale w ostateczności za nic. Zero pomnożone przez odpowiedzialność daje zero. W związku z tym istnieje teoretycznie (w większości przypadków) odpowiedzialność, ale nie praktyczna odpowiedzialność u dostawcy linków.

Ist es bei Linkach na adresy tak, jakby one wyglądał na transfer danych do niebezpiecznego kraju trzeciego. Tutaj odgrywa rolę Art. 44 RODO, który stał się szczególnie istotny po orzeczeniu Privacy Shield ("Schrems II"). Przyjmuję, że użytkownik przy kliknięciu na zidentyfikowany link zewnętrzny wyraził zgodę na ewentualne ryzyko, jeśli wcześniej miał okazję o tym dowiedzieć się. Bez tego informacyjnego wsparcia ze strony administratora powstałaby m. in. dalsza odpowiedzialność, którą tu nie będę dalej dyskutować.

Pytanie, jak wygląda sytuacja, gdy dawca linku stoi w związku z celem linku, np. poprzez umowę, nie będzie tu dalej rozważane. Ten przypadek jest również bardzo rzadki, porównując go do ogromnej większości zewnętrznych linków, dla których nie istnieje żaden umowny lub inny stosunek pomiędzy dawcą a celem linku.

Ustawianie linków na niezgodne z prawem treści lub treści, których odsłuch może spowodować problemy przy wjeździe do USA, jest raczej problemem treściowym (§ 7 TMG?).

Kiedy powstaje wzajemna odpowiedzialność?

Pojęcie wzajemnej odpowiedzialności zostało przez mnie wprowadzone jedynie pomocniczo. Wzajemna odpowiedzialność ma tu oznaczać, że dwie osoby komunikują się ze sobą i wysyłają sobie nawzajem wiadomości jako odpowiedź na poprzednią wiadomość drugiej osoby.

Pytanie o wzajemną odpowiedzialność jest w istocie już odpowiedziane lub może być odpowiedziane przez powyższe wyjaśnienia, ale dla większej jasności zostanie przykładowo wyjaśnione.

Ktoś wysyła wam niezaproszony e-mail jako prywatnie osobie, na co odpowiadacie. W odpowiedzi znajduje się wasza prywatna adresa, którą jednak nie proszono o podanie (prawdę mówiąc wasza prywatna adresa jest częścią automatycznie dołączanej podpisu w każdej z waszych maili).

Początkowo nie jesteście odpowiedzialni za otrzymaną bez wezwań wiadomość e-mail w sensie RODO. Zebrałeś dane, ale nie zaoferowałeś żadnej propozycji, aby ktoś wysłał Ci tę wiadomość. Nie śledzicie celu, którym jest to, żeby ktoś bez wezwania wysyłał Ci wiadomości.

Odbiorca Twojej odpowiedzi przetwarza Twoje dane. On jest odpowiedzialny za dane osobowe, które otrzymał w związku ze swoją prośbą. Nie jest on odpowiedzialny za dane, które wysłałeś mu bez jego poproszenia i niezwiązane z jego prośbą. Czy części odpowiedzi mogą być związane z prośbą, chociaż nie zostało o to zapytane, należy sprawdzić każdorazowo. Na przykład może być wymagana podpis elektroniczny (np. w korespondencji biznesowej), co mogłoby powodować odpowiedzialność u odbiorcy.

Czy jest dopuszczalne przekazywanie danych niezapytanych o nie?

Tak, jeśli istnieje podstawa prawna. Na przykład organy ścigania mogą być poinformowane o treściach, które uważają za niezgodne z prawem lub groźne dla nich. Niedawno doszło do przypadku kupca dysku twardego na eBay. Kupujący odkrył, że dysk zawiera dane poprzedniego właściciela dysku, który różni się od sprzedawcy. Kupujący skontaktował się z poprzednim właścicielem jako z posiadaczem danych i przekazał mu takie dane. Jeśli posiadacz danych odzyska swoje własne dane od kogoś, kto je niechcątko otrzymał, w większości przypadków nie powstaje problem. Problem może pojawić się, gdy np. nadawca wybierze metodę przesyłania danych będącą niedbałą. Także darmowa i dobrowolna pomoc sąsiadów (z innych przyczyn niż ochrona prywatności) wiążą z sobą istotne obowiązki dla osoby pomagającej!

Podstawy prawne DSGVO dotyczące przetwarzania danych są określone w Art. 6 DSGVO. W przykładzie związku z ściganiem się może to być tak, że podstawy prawne pochodzące z innych ustaw odgrywają rolę, ponieważ w przypadku zagrożenia nie chodzi o ochronę danych osobowych. DSGVO również mówi, że urzędy, które w ramach określonego zlecenia dochodzeniowego na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego mogą otrzymać dane osobowe”, nie są uznawane za odbiorców. Jeśli natomiast przekazanie danych do urzędu jest uzasadnione, to urzędowi nie powstaje odpowiedzialność na podstawie DSGVO, ponieważ bez odbiorcy nie odbywa się gromadzenie danych osobowych. Mam nadzieję, że tak i w związku z tym Art. 2 DSGVO uznaję, że (dlatego) dla urzędów istnieją własne ustawy, które regulują ich odpowiedzialność.

Czy dane mogą być przechowywane bezterminowo?

Z danymi tutaj są dane osobowe, które zostały zebrane przez administratora. Jeśli osoba uzyskała usunięcie zgodnie z art. 17 DSGVO, dane należy usunąć.

Inne przepisy prawa poza DGSVO mogą wymagać dłuższej przechowywania, np. w sprawach podatkowych.

Dane mogą być używane tylko do określonych celów i tylko z przestrzeganiem podstawowych przepisów prawnych z Art. 6 DSGVO. Przetwarzanie danych dla innych celów nie jest dopuszczalne, zgodnie z Art. 5 § 1 b DSGVO. Zapisanie danych nie jest przetwarzaniem danych, dlatego ta norma prawa nie odnosi się do tego przypadku.

Jeśli dane przechowywane nie będą dalej przetwarzane, to zgodnie z moim zdaniem jest dozwolona ich przechowywanie przez dowolną długość czasu, chyba że posiadacz danych sprzeciwi się temu. Oczywiście również w przypadku obowiązków przechowywania. Nie przeprowadziłem tej kwestii na głębsze rozważenia i cieszę się z powrotem informacji.

Wnioski

Definicja pojęcia Zbieranie jest, zdaniem mnie, uzasadniona i logicznie wynikająca. Jest oczywiste, że gromadzenie danych przedstawia najwcześniejszą działalność związana z przetwarzaniem danych. Nie wymaga się przechowywania ani analizy, aby dane były już zgromadzone. Jest również oczywiste, że do gromadzenia danych potrzebna jest _Adres_, na którą zostaje wysłana Nachricht_, z której odbiorca może uzyskać informacje. Nie jest wymagane faktyczne przetworzenie informacji. Wystarcza _Möglichkeit zur Kenntnisnahme_.

Wprawdzie wydaje się, że teoretyczna możliwość pozyskania danych nie wystarcza, aby mogło być mówione o ich pozyskaniu. Zamiast tego musi istnieć taka rzeczywista możliwość pozyskania danych. Przykładem może być pełne skrzynki pocztowe lub listy spalone jeszcze przed dostarczeniem.

Kto z własnych potrzeb zebrane dane osobowe za pomocą wybranych przez sie środków, jest odpowiedzialny i zobowiązany do przetwarzania danych osobowych tylko zgodnie z postanowieniami RODO.

Tekst źródłowy: Die explizite Angabe, dass ein Osoba odpowiedzialna ein Empfänger sein muss or den Empfang bei Dritten veranlasst haben muss, fehlt im Gesetzestext der RODO aus mir nicht näher bekannten Gründen (falls ich irre, bitte ich um Rückmeldung). Meine Annahme is, dass dies dem Umstand der Komplexität der RODO geschuldet is or dass angenommen wurde, dass aus dem Begriff der Übermittlung eine Empfängerrolle offensichtlich wird. Ohne zuvor Daten empfangen zu haben, können Daten anderer nicht vorliegen. Tłumaczenie: Wyraźna deklaracja, że odpowiedzialny musi być odbiorcą lub musiał zainicjować odbiór u innych osób brakuje w tekście prawnym RODO z przyczyn nieznanych mi (jeśli się mylę, proszę o odpowiedź). Mój domysł to fakt, że jest to spowodowane skomplikowaną strukturą RODO lub założono, że z pojęcia przekazywania wynika oczywista rola odbiorcy. Bez wcześniejszego otrzymania danych innych danych nie może istnieć.

Osoba jest odpowiedzialna tylko wtedy, gdy dostarcza ofertę, co w RODO określane jest jako cel.

Uważam to za genialne, że zdefiniowano jako pierwsze możliwe działanie dotyczące przetwarzania danych, pobieranie danych lub ich gromadzenie (Collection) oraz ze w ogóle odnieśliśmy się do pojęcia gromadzenia. Niemal nikt nie przyjdzie na to pomysł, że (zawsze) dochodzi do gromadzenia danych, po tym jak otrzymano dane dotyczące adresu i udostępniono je odbiorcy.

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Sieć Dostarczania Treści Cloudflare: Użycie i ochrona danych osobowych