Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Hur betyder att samla in data i samband med GDPR? En av de viktigaste begreppen inom datapolitik

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Bearbetningen av data börjar redan när personuppgifter samlas in. Datainsamlingen är den tidigaste möjliga bearbetningsåtgärden. Därav kan redan en ansvarighet enligt GDPR samt ett stort antal skyldigheter uppstå. Bara den som samlar in data kan vara ansvarig. Men vad innebär det att samla in data?

Varför är datinsamling en viktig term?

Att samla in data är detsamma som att bearbeta data. Bara den som bearbetar personuppgifter eller föranstår en annan med att göra det kan vara ansvarig (och ofta också, om syfte och medel bestäms).

Den som är ansvarig enligt GDPR måste följa de bestämmelserna i GDPR. Det är därför viktigt att veta vad Erheben von Daten betyder. Dataskyddsförordningens lagtext definierar ingenting härvidlag.

Följande begrepp införs av mig för att förklara vad som menas med insamling av data:

  • Adresse
  • Fack (i bemärkelse av brevlåda eller buffert)
  • Samlar
  • Annons

Nu förvåras ni säkert över vissa av dessa begrepp i samband med datinsamling. Framför allt är det begreppet Container, som jag här inför, nytt inom dataskyddskretsar om man undantar arkivförstöring. De andra begreppen dyker inte upp (eller bara delvis och i begränsad utsträckning) i lagtexten till GDPR. Kanske är det begreppet Brevlåda bättre förståeligt, även om det är för konkret och därmed oskarpt.

Denna artikel riktar sig till informationer som har lämnats till en ansvarig och inte till sådana som en ansvarig har tagit hand om själv.

Gränsdragning.

Förutom det sker en åtskillnad mellan Datenerhebung och Verantwortlichkeit. Datenerhebungen i sig är ännu inget kritiskt dataskyddsuppdrag, utan det kommer nog att bli så när en ansvarighet uppstår. En ansvarighet föreligger återigen endast om en Datenerhebung skett. Att för någon Datenerhebung vara verantwortlich är detsamma som att inte ha någon Verantwortlichkeit alls.

Inledning

I Artikel 4, punkt 2 i GDPR är behandling av data definierad som (Including the original numbering)

Erheben, att ta emot, organisera, ordna, lagra, anpassa eller ändra, läsa ut, fråga, använda, avslöja genom överföring, spridning eller en annan form av tillgängliggörande, jämföra eller koppla samman, begränsa, radera eller förstöra

Begreppet datapolitik enligt artikel 4, punkt 2 i GDPR.

I det engelska lagtexten används ordet Samling (från to collect) för uppsamling.

I lagtexten finns ingen definition av begreppet "att hämta". Därför måste jag skriva denna artikel för att ge klarhet.

I detta inlägg behandlas endast insamlingar av personuppgifter i den icke-offentliga sektorn, som antingen sker automatiskt eller delvis automatiskt, eller lagras i ett filsystem eller ska lagras. Detta motsvarar tillämpningsområdet för dataskyddsförordningen enligt artikel 2 GDPR, exklusive de undantag som nämns i avsnitt 2.

Datainsamling är den första bearbetningsaktiviteten

Det märks att de aktiviteter som innebär bearbetning, är i ordnad följd upptagna. Ordningen består i att den första nämnda aktiviteten, lyftandet, är den tidigaste möjliga bearbetningsaktiviteten och alla ytterligare bearbetningsprocesser sker senare.

De tre i lagtexten nämnda aktiviteter, begränsningen, raderingen och förstörandet, lägger jag åt sidan härnäst, eftersom det handlar om destruktiva aktiviteter som är mer positivt att värdera enligt dataskyddslagen, eftersom de minskar eller gör en ansvarighet obehövlig.

Aktiviteterna som en dataverkstad innebär är enligt Artikel 4 § 2 i tidslag, dvs i den ordning som nämns i lagtexten:

  1. Höja, sedan kan man det
  2. Följa upp, sedan kommer det
  3. Organisation möjlig, likaså det
  4. Ordna, därefter (eller även utan organisation eller ordning) är det
  5. Lagring möjligt, därefter (eller alternativt innan lagringen) de
  6. Ändring, men först efter sparning det
  7. Läsning eller det
  8. Fråga. Med eller utan lagring följer möjligheten till
  9. Användning eller de
  10. Öppnande genom överföring, spridning eller en annan form av tillgängliggörande, likaså den
  11. Jämförelse eller koppling.

Denna ordning är alltså inte slump och kan inte vara slumpen, eftersom det finns 11! (11 fakultet) möjligheter att sätta upp denna lista. 11! = 11 * 10 * 9 * 8 * 7 * 6 * 5 * 4 * 3 * 2 * 1 = 39.916.800, alltså knappt 40 miljoner. Även om man ser två av de elfte begreppsparet som likvärdiga är antalet möjligheter över 300.000. Sannolikheten för att listan kom till slumpen skulle vara 1/362.880 = 0,0000028.

Artikel 29 Arbetsgruppen, yttrande 3/2013 har också klart gjort att insamlingen är den första dataverksamheten.

Lagstiftaren har alltså helt tydligt och utan någon tvekan placerat inledningen av en datapolitisk behandling vid insamlingen. Detta framgår också tydligt av rubriken i Artikel 13 DSGVO: "Informationsplikt vid insamling av personuppgifter hos den berörda personen".

Den som samlar in data hanterar data. Datainsamlingen är den tidigaste formen av datahandling!

Sammanfattning enligt artiklarna 4 punkt 2 i GDPR.

Datinsamlingen sker före datininsamlingen, som lagenspeglar säger. Att samla in betyder enligt Duden att "sammansätta" eller "samla ihop", vilket också kan utläsas ur det engelska lagtextet ("to collect").

Det tyska ordet zusammentragen låter till en början lite konstigt. Det har tagit mig några minuter att fundera över begreppet och bevisa det.

Att samla in data kräver en mottagareddress.

Min insikt om definitionen av begreppet datinsamling.

En datinsamling kan bara ske om en adress är angiven till vilken någon kan skicka ett meddelande. Till och med från adressen kan man förvånat utläsa begreppet insamling! Som visas behöver inte heller den faktiska mottagaren vara angiven, utan det kan vara en helt obekant person.

Insamlingen av data sker alltså efter mottagandet och innan det registreras (recording).

En adress implikerar en Samlareskåp. Detta framstår ännu mer förvånande. Denna insikt fyller mig med en viss tillfredsställelse, särskilt eftersom denna typ av härledning inte finns någon annan stans.

En behållare kallas i engelskan, men också inom datavetenskapen, för Behållare eller Collection. Programmeringsspråket Java känner till begreppet Collection och Containers också.

Exempel på adresser med angivande av tillhörande behållare är:

  • Postadress: Postlåda
  • E-postadress: Inkomstpost (precisare: inkomstpostserver)
  • IP-adress vid anrop av en webbplats: Serverns huvudminne
  • Personlig underhållning: Huvudet på den som talas till (minnet)
  • Telefonnummer/Telefonat: dito
  • Telefonnummer/Svarfunktion: "Band"-upptagning (numera oftast digital)

En adress är en behållare som kan nås via en unik identifiering och vars innehåll kan avslöjas för en mottagare.

Min definition av adress i sammanhanget med GDPR.

En död brevlåda, som (varför också) objektivt inte kan tömmas av någon, är inte en adress i den mening. Möjligheten att få kännedom om meddelanden finns inte här. I datavetenskapen finns det ett nollgerät som "virtuellt utskriftsmedium", "där allt som skrivs till det förstörs" (Källa: Wikipedia, vars påstående jag som datavetare kan bekräftat). Nollgeräten kallas också för NUL-mål och är inte en adress i mening av DSGVO, eftersom det praktiskt taget är omöjligt att få kännedom om mottagna meddelanden.

En särskild fall är en adress med ett kärl som bara kan ta emot en meddelande åt gången. Om kärringen inte töms i tid går meddelanden förlorade. Detta är också tänkbart för varje kärl med högre kapacitet för att ta emot meddelanden. Från praktiken är säkert bekant problemet med ett fullständigt e-postinläggsfack som inte kan ta emot ytterligare meddelanden förrän det töms. Att ta emot ytterligare meddelanden är således inte möjligt, eftersom bara att ta emot varken var möjligt.

Begreppet samlingshandlande (i behållaren) menar först och främst en mellanlagring, ingen lagring eller varaktig lagring. Att en varaktig lagring är möjlig vid några behållare står inte i motsats till detta (exempel: e-postlåda).

Inhämtning av data är den möjliga mottagningen av en meddelande av en mottagare som skickats till ett adress.

Min definition av begreppet insamling av personuppgifter skall gälla. Artikel 2, 1 st GDPR skall tillämpas.

En datinsamling innebär alltså den möjliga kännedomsförening av en meddelande som skickats till en adress. Den faktiska kännedomsföreningen kan också ske automatiskt (det står också i Artikel 4 § 2 DSGVO), till exempel genom en server som tillhandahåller en webbplats. Kännedomsföreningen sker av en mottagare. Datapolitiken måste då ske enligt Artikel 2 § 1 DSGVO.

Den möjliga mottagningen av uppgifter behandlas i DSGVO med begreppet Mottagare, som definieras i Artikel 4 § 9. En mottagare är enligt definitionen en fysisk eller juridisk person till vilken personuppgifter lämnats ut.

Skillnad till att ta emot data

Samlningen av data är en senare process än mottagandet av data. Ett synonym för motta är (få till hands). Utsändelsen i postens mening har skett när ett meddelande korrekt har anlänt till rätt adress, alltså dedikerat mottagit blivit.

En postlåda får således meddelanden. Dessa räknas som mottagna eller uppskickade i det ögonblick de tas emot och som härrörande från postlådan i det ögonblick den är tömd på innehåll. Om postlådan är full, är både mottagandet och uppskickningen av meddelanden inte möjliga (utan att ta hänsyn till att en postman kunde lämna brevet personligen). Om ett brev skickas till fel adress, exempelvis på grund av ett misstag från postmannens sida, har ägaren av postlådan mottagit meddelandet men inte uppskickat det.

En brevlåda vars innehåll bara hanteras manuellt och inte lagras i ett filsystem eller ska göras, är utanför övervägandet. Se art. 2 § 1 DSGVO. Vissa företag använder dock särskilt skannrar för att automatiskt hantera alla post. I den mån skulle innehållet i brevlådan tillhörande dessa företags område av tillämpningsområdet för DSGVO. Även användningen av data i en e-post eller att skicka dessa data via en e-post motsvarar automatiskt lagring i ett filsystem.

Ett Inkastbrev bekräftar mottagandet eller uppgörandet, även om det är rättsligt bindande, så länge som brevet har levererats till rätt adress och i ett skickligt skick, och mottagaren faktiskt kunde ha känt till meddelandet. Som datum för leverans gäller det datum som posten fastställt för att lämna in brevet (eller delvis överlämnade det till mottagaren personligen, vilket skulle vara ett steg längre). Om ett ordentligt och rättvist inskrivet brev direkt efter leveransen och uppenbart utan mottagarens fel från en tjuv tas ur posten, så ligger slutligen ingen datauppgift hos mottagaren, eftersom denne inte hade någon faktisk möjlighet att känna till meddelandet.

Med hjälp av inlämningsbeviset framgår det tydligt att en plikt för en avsedd mottagare finns. En sådan mottagare är faktiskt tvungen att tömma sin brevlåda regelbundet (om detta är möjligt, skulle jag säga). Den som får en varning kan med fog hänvisa till att han inte tömt brevlådan på sju dagar, eftersom vädret var så dåligt. Denna plikt följer dock inte av GDPR utan högst av andra rättsregler som jag ännu inte har kunnat finna och som tydligen inte finns heller. Rättsuppfattningar från domar och juristers uttalanden antyder emellertid att denna plikt följer av dessa regler.

Medvetande av ett meddelande

Först, när ett meddelande har tagits ur brevlådan, når det fram till mottagaren. När en postbrynyta är tömd, blir detta snabbt uppenbart. Vid behållare som hjärnan sker denna process implicit.

En behållare tjänar till att samla in föremål.

Min definition av begreppet "behållare" i sammanhang med dataskydd är att data är objekt

När det gäller behållare (tekniskt: Container) som huvudminnet på en Server för en webbplats sker processen att ta reda på ett meddelande implicit, men utifrån teknisk synvinkel explicit (servern har programmerats så). En server med bara en inkommande nätverksledning kan bara hantera ett signal samtidigt. Processen tar vanligtvis längre tid än överföringen. För att inget signal (= meddelande eller begäran) ska gå förlorat, puffar en server inkommande signaler tills den kan bearbeta dem. En puff är ett behållare.

Om en server är överbelastad och därmed måste avvisa en begäran, var det faktiskt inte möjligt att ta reda på detta. Detta innefattar dock att den begärda informationen aldrig kunde accepteras tekniskt sett, dvs på grund av begränsningarna i hårdvaran och inte först av programtekniska skäl blockerades.

Vem är ansvarig enligt GDPR?

Att samla in data är inte tillräckligt. Man måste också vara ansvarig för insamlingen av data så att skyldigheter uppstår.

Ansvarig enligt GDPR (Artikel 4 Nr. 7) är den som "samt eller tillsammans med andra fattar beslut om syfte och medel för behandling av personuppgifter". Den som samlar in personuppgifter till ett givet syfte och med vissa angivna medel, är i synnerhet ansvarig enligt GDPR och måste enligt Artikel 13 GDPR ge den berörda personen information.

Termen Zweck kunde man också definiera med termen Annons. Betydelsen av termen Angebot är i vidaste mening att förstå och har jag här valt, eftersom Zweck är en rätt abstrakt term. Ett erbjudande kan vara ett informationserbjudande, en tjänst och därtill mera.

En ansvarighet uppstår först på grund av ett erbjudande.

Min slutsats (för en verklig ansvarighet måste ytterligare villkor inträffa)

Ohne erbjudande sker ingen ansvarighet. Skickar någon dig sin sjukjournal utan att du begärt det, och den hamnar i dina händer, så sker (sannolikt) en uppgiftssamling hos dig, men du är inte ansvarig för detta.

Om ni är läkare och begär att en patient skickar över sina kliniska uppgifter, samlar er praktik in data så snart er praktik får ta emot patientens uppgifter och dessa kan nå en person i er praktik.

Om en ansvarighet även utan erbjudande var möjlig, kunde varje människa göra någon till ansvarig mot sin vilja.

Ansvar för uppgifter som samlats in men inte blivit kända

Har någon samlade data och har ännu inte fått kännedom om dem, ställs frågan om faktiska ansvar. Har någon på grund av sin erbjudande fått en meddelande i sin brevlåda och den kommer utan att han fått kännedom om innehållet i brevet till andra, är han för det ansvarig? Det beror på. Jag gissar att här spelar Ansvar att vara noggrann och andra rättsliga åtaganden en roll. Om någon inte låser sin brevlåda är han enligt min mening dataskyddslagen ansvarig om tredje man olovligt tar sig till innehållet i brevlådan.

Data som inte nått ansvarig eller andra men uppmätts av ansvarig utan att denne har känt till detta skapar först inga problem, men ålägger skyldighet. En dataägare kan i alla fall begära radering, vilket då måste utföras på ett sätt så att ansvarig måste få kännedom om de uppmätta datumen för att sedan kunna radera dessa ordentligt utan att skada andra data.

Liksom vid icke kända data sker det enligt min mening också med data som man lagrar men inte bearbetar och inte delar med andra. Därav uppstår inget problem, men en skyldighet, till exempel en sorgfaltspflicht. Ett raderingsbegäran skulle då kunna uppfyllas med ett förkortat förfarande som i det tidigare fallet eftersom känslighetsbeteckningen redan hade skett.

Den som uppmanar till att dela med sig av data som själv har samlats in men inte blivit uppmärksammade, är också ansvarig för detta.

Inga data som inte kan automatiseras och inte lagras i ett filsystem är bara kunskap, men frågan är om det faktiskt var möjligt att få tillgång till denna kunskap och om sedan en automatisk bearbetning eller lagring i ett filsystem planerats. Om detta planerats säger jag att datainsamlingen ändå skedde även utan att någon hade kännedom om det.

Exempel på datainsamling: Webbplats

En webbplats är ett erbjudande som bestäms av syfte genom innehåll. Den tillhandahålls med hjälp av internet och andra tekniska förutsättningar (HTML etc.). I Artikel 8 § 1 DSGVO nämns begreppet erbjudande, men då i samband med tillhandahållande av elektroniska tjänster, vilket gäller webbplatser.

Som webbplats förstås här en allmänt tillgänglig internetpräsenz. En präsenz som är skyddad med lösenord utgör ett annat fall. Lösenordskyddet måste dock ske direkt på servernivå, så att det inte utgör samma fall som en allmänt tillgänglig webbplats. Detta kan uppnås genom en direktiv i den s.k. .htaccess -filen.

IP-adressen är personuppgifter. Vid varje anrop av en webbplats överförs på grund av internetstandarden TCP (Transmission Control Protocol) IP-adressen för anroparen till servern som tillhandahåller webbplatsen. I och med det gäller DSGVO för alla offentligt tillgängliga webbplatser.

Detta leder till en ansvarighet enligt artikeln 4 nr 7 i GDPR , eftersom

  1. En datinsamling äger rum (se ovan)
  2. Personuppgifter samlas in (d.v.s. åtminstone IP-adresser)
  3. Syftet ges är bestämt (erbjudande över innehåll på webbplatsen)
  4. Hur medlen ska bestämmas (internet m.fl.)

Varje offentliga tillgängliga webbplats som har ett syfte måste ha en integritetspolicy

Anledning: För webbplatser av detta slag föreligger en ansvarighet enligt artikeln 4 § 7 i dataskyddsförordningen (GDPR)

Därför måste varje offentligt tillgänglig webbplats visa upp en Personuppgiftspolicy. Den enda möjliga undantaget kunde vara ett webbplats som inte utgör något erbjudande, det vill säga ett webbplats som helt saknar innehåll. Men även en Landningssida för en tillgänglig webbadress, som ofta i få ord presenterar den adressen av den webbplats man just besökt för försäljning, utgör tydligt ett erbjudande. Även en webbvisitenkort är ett erbjudande. Om det inte vore så, varför står det där? Särskilt gäller detta för en annars tom webbplats med Impressum som utgör ett erbjudande, om inte Impressum har visat sig ha blivit lagt upp av en överskott av försiktighet. Antingen är nämligen Impressum lagt upp enligt § 5 TMG, vilket innebär att det finns ett affärsmässigt erbjudande. Eller så har Impressum lagts upp enligt §18 MStV, vilket innebär att det finns ett informationserbjudande. Och antingen är båda (detta är den vanligaste fallen).

Exempel på datainsamling: e-postkommunikation

Här finns flera fall att skilja på, till exempel:

  1. E-postuppgift i företagsinformationen på en webbplats: Ni erbjuder att man skriver till er (i det här fallet eftersom ni enligt § 5 TMG eller § 18 MStV är tvungna att göra detta). Någon utnyttjar detta för en allmän fråga via e-post, och inte av rättsliga skäl
  2. Allmänt kontaktformulär: Ni erbjuder ett sådant på er webbplats. Någon använder detta för en allmän begäran. I bakgrunden skickas en e-post till er
  3. E-postadress som kontaktmöjlighet vid behov av råd: Ni erbjuder att man skriver till er. Någon utnyttjar detta för att han vill acceptera ert rådgivningserbjudande
  4. Kontaktformulär vid rådgivningsbehov: Ni erbjuder ett sådant på er webbplats. Någon använder detta, eftersom han vill uppmärksamma er rådgivande erbjudande. I bakgrunden skickas en e-post till er
  5. Någon har ringt till er. De ber honom om att han skickar något till den e-postadress som nämns på deras hemsida, t.ex. sin kontaktinformation, så att de kan skicka ett erbjudande via e-post

I alla fall ligger en insamling av data för. Fallen 1 och 2 utgör dock inte (tydligt) ett erbjudande, eftersom inget bestämt syfte eftersträvas (vid juridiska tvister som uppstått via en kontakt till imprint kan detta vara annorlunda). Fallen 3-5 återfinns istället i form av ett erbjudande med ett bestämt syfte.

Från enbart datainsamling följer ingen skyldighet!

Skyldigheten uppstår först när ytterligare villkor är uppfyllda

En insamling av data leder inte till någon skyldighet i sig. Tvärtom måste du vara ansvarig för insamlingen av data, så att skyldigheter enligt GDPR uppstår för dig.

Beträffande de ovannämnda fallen av e-postkommunikation innebär detta i praktiken:

  • Hösten 1, att ange en e-postadress för allmänt kontaktagande har ingen bestämd mening. Från ett ombetalt mejl uppstår inget ansvar. Liksom om någon tar in er mejladress (eller postadress) i ett register eller telefonkatalog och kontaktar er
  • Hösten 2, det allmänna kontaktformuläret (utan val eller förutsättning av ett ärende), har ingen bestämd syfte. Från en härifrån ombetald meddelande (per e-post eller på annat sätt) uppstår inget ansvar
  • Om man i höstningen anger en e-postadress för att erbjuda rådgivning, innebär det att ett ansvar uppstår
  • Att i hög sommar erbjuder ett kontaktformulär för att erbjuda råd innebär att en ansvarighet uppstår
  • Om någon skickar dig en personlig information i höst 5, betyder det att du tar på dig ett ansvar. Du ger här uppdraget att ta hand om något.

I fallen 1 och 2 bestämmer du medel men inte ändamål. I fallen 3 till 5 bestämmer du medel och ändamål, är därför ansvarig. Till kontaktformuläret krävs regelbundet en enskildhetsbedömning för att klara om det faktiskt finns ett erbjudande eller ett alternativ till att ange en e-postadress för allmän kontakt (det bästa är utan uppenbart marknadsföringsintresse). Detta är dock inte en frågeställning av dataskydd, utan något annat.

Om man utan föranmälan får personuppgifter, bör man utesluta en möjlig ansvarighet genom att radera dessa uppgifter. Till exempel kunde ett dataläckande annars orsaka ytterligare problem (om detta är fallet måste man i varje fall undersöka).

En ansvarig är eller har varit en mottagare

Bara den som är eller har varit mottagare av data, eller den som har föranlett en tredje part att ta emot data, kan bli ansvarig. I motiveringsgrunderna 31, 61 och 68 DSGVO, samt i Artikel 14, punkt 3 c DSGVO hittar man för dessa bevis en logisk konsekvens.

Bara vem som har varit eller är mottagare av data eller senare har angett att någon annan ska ta emot data kan bli ansvarig.

Logisk slutsats från lagtexten i GDPR

Det faktum att en mottagare-roll finns när ansvarig eller på ansvarigens initiativ, kan också förklaras genom att ett samlade data (to collect) endast är möjligt om det finns data att samla in. Dessa data faller inte från himlen och uppgifterna erhålls inte genom kombination av andra data, som listan i Artikel 4 § 2 GDPR till dataskydd klargör. Även uttalanden i GDPR om överföring av personuppgifter till tredjeländer utan tillräckligt skyddsnivå visar att en överföring är nödvändig för att ett datahanteringsförfarande ska kunna börja och ansvarlighet kan uppstå. En överföring kräver å andra sidan en mottagare.

Eu-domstolen har i domen den 16 juli 2020 (mål C-311/18, punkt 83) klart upp att "överföring av personuppgifter från ett medlemsland till ett tredje land i sig är en behandling av personuppgifter enligt artikel 4.2 i GDPR".

Uppkallande av en mottagning genom en ansvarig person

Din läkare ber om att skicka med dina röntgenbilder som du fick i kliniken. Han ger dig en felaktig adress och du skickar dina uppgifter till den adressen. Din läkare är inte mottagare av uppgifterna, men har ordnat så att någon annan får dem. Han ansvarar för insamlingen av data (av någon annan).

Utan kontakt med den berörda personen kan även en ansvarighet uppstå: Någon annonserar sina tjänster på ett plakat och begär att man ska skicka in uppgifter. Plakaten anger fel mottagare, men det är faktiskt en adress till någon annan. Den som står för plaketten anses vara ansvarig för de uppgifter som samlats in hos en annan mottagare, utan att ha haft kontakt med den berörda personen tidigare. Ansvariga vet inte ens vilka uppgifter den berörda personen har och kommer aldrig att få veta det.

I den här artikeln lämnas fall som detta oftast bort för enkelhetens skull. Därför talas det bara om mottagaren av data. Vid externa länkar spelar det dock roll, varför vi senare kommer att gå in mer på denna fråga.

Samhällsansvar

Om någon får data eftersom en annan har skickat över dessa till honom kan en gemensam ansvarighet uppstå. Detta framgår bl.a. av Eu-domstolens dom från den 29 juli 2019 – C-40/17 ("Fashion ID"). Eu-domstolens dom handlar om Facebooks plugin. Att infoga ett plugin på en webbplats betyder tekniskt att både webbplatsägaren och Facebook får samma data från användare (kan få). Först när en användare klickar på en länk eller knapp som tillhandahålls av pluginet, som leder till Facebook, kan Facebook hämta ytterligare data som står i orsakssamband med den ursprungliga datinsamlingen.

Vilka effekter har det att en ansvarig person känner till hur datahantering sker hos en tredje part, som den ansvarige överför data till, behandlades av EU-domstolen i Fashion-ID-förhandsavgivningen (se nedan, punkt 77). Då gällande var att om någon på sin webbplats infogar ett plugin och vet att besökares trafikdata (minst meningen IP-adressen) från plugin-utvecklaren analyseras, är han ansvarig för detta. Detta gäller särskilt då mottagaren är ett internetföretag vars affärsmodell bygger på att utvinna data.

Som mottagare måste alltså möjligen en grupp av aktörer förstås, om en ansvarig person överför data till en annan ansvarig person.

Före detta kan Facebook dock jämföra data som Facebook tidigare fått från användaren med de nya datan. Denna jämförelse sker enligt Eu-domstolens dom endast inom Facebooks ansvar (eftersom Facebook ensam mottog delar av de jämnade datan). Den typen av datahantering som bara utfördes av Facebook och utan direkt anvisning från webbplatsägaren sker också enbart inom Facebooks ansvar, som Eu-domstolen klart uttalade (ungefär Rn. 85 i domen). Men det är möjligt att detta endast gäller om webbplatsägaren inte wissentlich från denna jämförelse profitera.

Det måste ha funnits data som mottagits någon gång för att en ansvarighet ska kunna uppstå. Om flera företag anges på en webbplats som gemensamt ansvariga räcker det att ett av dessa ansvariga har mottagit data, så att de andra som anges som gemensamma ansvariga också är medansvariga för detta. Här kan då under vissa omständigheter inte ett verkligt men ett logiskt data-mottagande föreligga. I varje fall har en Grupp av gemensamt ansvariga (gemensam) mottagit data. Ett mottagande genom någon i gruppen innebär samtidigt ungefär ett mottagande genom alla i gruppen vid utredningen av frågan om ansvarighet i yttre förhållanden.

Gruppen av gemensamt ansvariga är utåt en enhet, från vilken man kan välja att ta ut sig själv eller alla. Det gäller i varje fall för varningar, såvitt jag vet. Innetydning kan det vara relevant för att klara av en skuldfråga mellan medlemmarna i gruppen att veta vem (som enda) faktiskt mottog eller uppgav data inom gruppen av ansvariga, så att en intern skuldredovisning kan ske, som inte intresserar någon utanför gruppen.

Förväntas en ansvarighet uppstå vid infogande av externa bilder?

Om en webbplats laddar upp ett bild från en tredjepartsadress, överförs personuppgifter om besökaren på webbplatsen till den tredje parten på initiativ av webbplatsägaren.

Webbplatsens ägare (eller den ansvarige för webbplatsen, som oft är identisk) är således ansvarig för att infoga det externa bilden. Det handlar här bara om helt vanliga och statiska bilder från en tredje part, inte om spårpixel o.dyl. Den tredje parten vet i detta exempel heller ingenting om sin lycka och erbjuder heller ingen tjänst när bilden infogas.

Den ansvarige för att infoga ett externt bild måste antingen visa upp en AVV gentemot den tredje parten eller han är ansvarig enligt Artikel 5 §1 c DSGVO (principen om dataminimering). För det externa infogandet av ett statiskt bild finns ingen giltighetshöjd för att lokal infogande inte skulle vara möjlig eller inte acceptabel.

Photos ska alltså alltid lokalt integreras. I varje fall är upphovsrätten att pröva.

Förväntas en ansvarighet uppstå vid att lägga in externt länkar?

Är en länkare, alltså någon som på sin webbplats sätter en länk till en tredjepartswebbplats, ansvarig enligt dataskyddslagen för denna länk?

Först och främst är det viktigt att notera att en dataöverföring från länkaren till mottagaren inte sker på teknisk nivå. Den sker i stället i webbläsaren hos användaren, och detta sker på initiativ av användaren eftersom denne själv klickat på länken. Fallet där en länk måste klickas, till exempel för att man ska kunna slutföra ett beställningsförfarande, ska härvid utelämnas för att förenkla saken.

Länkutgivaren får i alla fall inte samma data i sin behållare (postlåda) som man får när man klickar på en länk. Han samlar därför inte in data med anledning av att någon har klickat på en länk. Utelämnad är här den fall, där en länkutgivare i själva verket hade möjlighet att följa upp klick på länkar, till exempel genom Google Analytics eller med egna JavaScript-logiker. Detta fall skulle ställa andra frågeställningar, som snarare har att göra med att följa upp användare än med externa länkar (se till exempel Artikel 5 § 1 c DSGVO eller § 15 § 3 TMG).

Länkaren bestämmer ändamål och medel för extern länk. Länkaren anordnar mottagande av personuppgifter hos mållänken. Därför är länkaren ansvarig.

Det länkade målet får endast tekniskt nödvändiga uppgifter genom att klicka på länken, som den som lämnar länken tillhandahåller, av en person. Anta att den som lämnar länken står inte i någon affärsmässig eller annan avtalad relation till det länkade målet och att de ansvariga bakom det länkade målet heller inte känner till detta.

Målläget är också självt ansvarigt för insamling av uppgifter om sig själv och det finns enligt ovan nämnda antaganden ingen gemensam ansvarighet. Detta har även EU-domstolen fastslagit i ovan nämnda domen Fashion ID.

Länkaren är således ansvarig men i slutändan för ingenting. Noll multiplicerat med ansvar ger noll. I och med det finns en teoretisk, men ingen faktisk ansvarighet hos länkaren.

Och Anders tycker det kan se ut som att klicka på länkar till adresser som innebär en datatransfer till ett osäkert tredje land. Här spelar Artikel 44 DSGVO en roll, särskilt efter Privacy Shield domen ("Schrems II"). Jag antar att användaren har givit sitt samtycke till eventuella risker genom att klicka på en synlig extern länk, om han hade chansen att få information om detta innan. Utan detta informationsutbud från ansvarig skulle det med följd bli ytterligare en skuld som jag inte kan diskutera här.

Frågan om hur det ser ut när länkaren står i förbindelse med mål för länken, till exempel genom ett kontrakt, ska inte gå vidare här. Denna situation är dessutom mycket ovanlig jämfört med den överväldigande delen av externa länkar där ingen avtalsmässig eller liknande relation mellan länkaren och mål för länken finns.

Att lägga länkar till olagliga innehåll eller innehåll som kan leda till problem vid inträde i USA är snarare ett innehållsrelaterat problem (§ 7 TMG?).

När uppstår en ömsesidig ansvarighet?

Begreppet förväxlingsansvar har jag och endast hjälpmedelsskäl infört. Förväxlingsansvar ska här betyda att två personer kommunicerar med varandra och sänder, vardera på initiativ av den föregående meddelandet från den andra, ett meddelande som är en respons till det tidigare.

Frågan om den gemensamma ansvarigheten är egentligen redan besvarad eller kan genom ovanstående utlägg besvaras, men skall för att klargöra illustreras med ett exempel.

Någon skickar er en e-post i din roll som privatperson utan att du blivit ombedd. Du svarar. I ditt svar finns din privata adress med, fastän du inte blivit ombedd (snarare är din privata adress i form av en automatiskt infogad signatur en del av alla dina e-poster).

I första hand är du inte ansvarig enligt GDPR för den oannonserade e-posten. Du har bara hämtat de data som erhölls, men inget erbjudande gjorts att du ska få ta emot meddelandet. Du följer ingen uppsikt med detta, så att någon skickar dig ett oannonserat meddelande.

Mottagaren av er svaret har ansvar för de personuppgifter som han begärt. Han är inte ansvarig för de uppgifter som du skickat utan att bli ombedd och som inte heller har något samband med hans fråga. Om delar av ett svar kan ha samband med en fråga, även om man inte blivit ombedd om det, måste detta i varje fall prövas. Till exempel kan en e-postsignatur vara obligatorisk (t.ex. vid affärskorrespondens), vilket skulle kunna ge mottagaren ansvar för uppgifterna.

Är det tillåtet att sprida data som man inte blivit ombedd att ta emot?

Ja, om det finns en rättslig grund för detta. Till exempel kan brottsbekämpande myndigheter informeras av dig om du har fått innehåll som du anser vara olagligt eller som hotar dig. Nyligen var det ett fall med en köpare av en hårddisk på eBay. Köparen upptäckte att hårddisken innehöll data från tidigare ägaren till hårddisken, som inte var samma person som säljaren. Köparen kontaktade tidigare ägaren som dataägare och överförde så dataägarens data tillbaka till denne. Om en dataägare återfår sina egna data från någon som oavsiktligt fått dem, uppstår vanligtvis inga problem. Ett problem kan uppstå om till exempel sändaren väljer en grov och vårdslös överföringsmetod. Även den kostnadsfria och av vänlighet driven hjälpen i grannskapet medför (utanför frågan om dataskydd) betydande skyldigheter för den som hjälper till!

Rättsliga grunderna för dataskyddsförordningens (DSGVO) behandling av data är definierade i Artikel 6 DSGVO. I det exempel som nämnts tidigare, rörande utredningen, kan det vara så att rättsliga grunder från andra lagar spelar en roll, eftersom hotbilden inte handlar om dataskydd. Dessutom säger DSGVO att "myndigheter som inom ramen för ett visst undersökningsuppdrag enligt unionsrätten eller medlemsstaternas rätt kan få personuppgifter", inte ska betraktas som mottagare. Om dataöverföringen till en myndighet är laglig, uppstår inte DSGVO:s ansvar för myndigheten, eftersom det utan mottagare inte sker någon dataskyddsförordning. Jag hoppas att detta stämmer och enligt Artikel 2 DSGVO antar jag att (därför) finns egna lagar för myndigheter som reglerar deras ansvar.

Får data sparas hur länge som helst?

Med data avses här personuppgifter som en ansvarig har inhämtat. Om en person erhållit rätt att enligt artikel 17 DSGVO få sina uppgifter raderade, skall dessa raderas.

Andra rättsliga föreskrifter utanför GDPR kan förhindra en längre lagring, till exempel i skattesaker.

Data får bara användas för vissa ändamål och endast i enlighet med rättsliga grunder från Artikel 6 DSGVO. En fortsatt bearbetning för andra ändamål är enligt Artikel 5 § 1 b DSGVO inte tillåten. En lagring är dock ingen fortsatt bearbetning, varför denna rättsregel inte gäller.

Om sparade data inte ska bearbetas, är en obegränsad lagring av min åsikt tillåten, så länge ägaren inte motsätter sig detta eller liknande. Naturligtvis även från ett skyldighetsperspektiv. Jag har inte undersökt detta närmare och ser fram emot respons.

Sammandrag

Definitionen av begreppet Höja tycks vara rimliga och logiskt förlösta. Klar är att datinsamling utgör den tidigaste möjliga aktiviteten inom datahantering. Det behövs ingen lagring eller analys för att ha samlat in data redan. Klar är också att det krävs en Adresse till vilken en Meddelande skickas, från vilken ett Mottagare kan få kännedom om. En faktisk kännedomsförvärkning är inte nödvändig. Den Möjligheten till kännedomsförvärkning räcker utmärkt.

Men det verkar som att enbart teoretisk möjlighet till kännedom inte räcker för att ett insamlingsarbete ska kunna anses föreligga. Istället måste det finnas en verklig möjlighet till kännedom. Se exempelvis på den fulla e-postlådan eller brevlådan som brann upp direkt efter att posten hade kommit.

Den som samlar in personuppgifter för egna ändamål med hjälp av valda medel är ansvarig och därmed skyldig att behandla personuppgifterna enligt de bestämmelser som gäller i GDPR.

Den uttryckliga angivelsen att en Ansvarig måste vara mottagare eller ha anställt någon annan att ta emot, saknas i lagtexten till GDPR från mig inte närmare kända skäl (om jag är felaktig, ber jag om återkoppling). Min antagande är att detta beror på komplexiteten i GDPR eller att man antagit att begreppet Överföring tydligt anger en mottagarroll. Utan att tidigare ha tagit emot data kan andra personers data inte finnas tillgängliga.

Ansvarig blir någon endast om han eller hon erbjuder ett Annons, som i GDPR kallas syfte.

Jag tycker det är lysande att definiera insamlingen av data eller samlingsprocessen (Originaltext: Collection) respektive dataskyddsförordningen som den första möjliga processen för datahantering och överhuvudtaget att fokusera på begreppet samlingsprocess. Knappt någon skulle komma på idén att (alltid) en datainsamling sker, efter att data har erhållits för en adress och lämnats till mottagaren.

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Cloudflares innehållsdistributionsnätverk: Användning och dataskydd