Багато інструментів можна використовувати лише після отримання згоди від користувача. У наступному огляді показано, які з найвідоміших інструментів вимагають згоди.
Завжди знову виникає питання, чи можна просто так використовувати певний інструмент, наприклад Google Maps, на вебсторінці.
Існує, по суті, три правові підстави, які можна використовувати для прийняття рішення про необхідність отримання згоди:
- Чи обробляються персональні дані без законного інтересу?
- Чи передаються персональні дані в ненадійні треті країни, такі як США?
- Чи використовуються сервісом файли cookie, які не є необхідними, або чи не є сервіс функціонально необхідним?
Обробка, згадана в пункті 1, у більшості випадків прирівнюється до передачі даних. Законний інтерес не можна вважати, зокрема, якщо передачу даних можна було уникнути. Передачі даних явно можна уникнути, наприклад, при отриманні зовнішніх шрифтів.
Вже те, що IP-адреса є особистими даними, означає, що кожен доступ до файлу (зображення, скрипт, відео тощо) з зовнішньої адреси є діям, пов'язаною із захистом даних.
Нестабільні треті країни, які грають у цю гру, навіть за допомогою WHOIS-Abfrage, не можуть бути надійно підтверджені. Але оскільки відповідальний особа за вебсайт повинен довести, що він не спілкується з нестабільними третіми країнами, слід виходити із найгіршого сценарію.
Швидше за все немаєфункціональні Cookies (або їх значення), які можна передавати, тоді діє ePrivacy directive. Вона вимагає згоди незалежно від того, чи зберігаються особисті дані в cookie чи ні. ePrivacy directive діє також для Німеччини, як встановив Бундесгеріхтгоф. Той факт, що тип даних не має значення для вимог щодо згоди, було встановлено у рішенні ЄСПЛ щодо Planet49. ([1])
Огляд показує, які інструменти вимагають згоди на використання, що відповідає вимогам закону, і де її можна отримати. Для деяких інструментів існують спеціальні статті, які надають ще більше інформації. Посилання на ці інструменти наведено в таблиці.
| Інструмент | Потрібна згода? |
|---|---|
| Google Analytics | Так, див. Конфігурації Google Analytics (ePrivacy та ст. 5 і 6 GDPR) |
| Google Maps | Так, тому що задіяні файли cookie (ePrivacy) |
| Google Schriften | Так, тому що передачі даних можна уникнути і тому що дані потенційно поширюються по всьому світу (ст. 5 і 6 GDPR та інші) |
| Google reCAPTCHA | Так, тому що задіяні файли cookie (ePrivacy) |
| Fast Fonts (Fonts.com) | Так, тому що повинен бути інтегрований піксель відстеження і тому що провайдер знаходиться в США (ст. 6 і 44 і далі GDPR) |
| Google Tag Manager | Так, тому що тут задіяні файли cookie (навіть якщо багато хто не хоче в це вірити). Мій внесок у Tag Manager доводить це) і тому, що передачу даних до отримання згоди можна уникнути (ePrivacy та ст. 5 і 6 GDPR) |
| Зовнішні зображення | Так, тому що передачу даних можна легко уникнути (ст. 5 GDPR) |
| SoundCloud Audio Player | Так, тому що задіяні файли cookie (ePrivacy) |
| YouTube Video | Так, тому що задіяні або файли cookie, або широке відстеження без файлів cookie (ePrivacy та ст. 6 GDPR) |
| Vimeo Videos | Так, тому що відбувається передача даних, якої можна було б уникнути, і тому що провайдер знаходиться в США (ст. 6 і 44 і далі GDPR) |
| OneTrust | Так, оскільки постачальник цього інструменту згоди знаходиться в США (ст. 44 і наступні GDPR) |
| Cloudflare Dateien | Так, тому що оператор цієї мережі доставки контенту не ставиться до захисту даних серйозно, а також тому, що передачі даних можна уникнути або тому, що існують центри обробки даних, які сприяють захисту даних (ст. 6 і 44 і далі ЗРЗД) |
| Font Awesome | Так, тому що відбувається передача даних, якої можна уникнути, і тому що постачальник знаходиться в США (ст. 5 і 6, а також 44 і далі GDPR) |
| Facebook Pixel | Так, тому що … все говорить проти цього з точки зору захисту даних. Те саме стосується плагінів Facebook, плагінів Twitter. Плагіни Pinterest тощо. А саме: для відстеження застосовується вимога згоди (ст. 5 і 6 GDPR). Якщо використовуються файли cookie, продовжує діяти Директива про захист персональних даних. |
Хто подумує про рішення щодо згоди, повинен прочитати мої обґрунтовні дослідження щодо інструментів згоди. За цим усі вони в практиці непридатні, бо залишають незаконні вебсторінки. Весь цей процес я назвав Cookiegeddon, бо результат такий стурбувальний.
Хто ще повинен використовувати інструмент отримання згоди, отримає багато роботи. Моя Список перевірок для запитань щодо згоди розкриває чому.
Наступна процедура є кращою:
- Немає необхідності видаляти інструменти. Іноді життя може бути дуже просто (хто тепер буде сердитися, повинен серйозно зайнятися користю деяких інструментів, наприклад, з Google Maps або Google Analytics)
- Використовуйте альтернативи, див. також мої статті про інструменти в таблиці (наприклад: шрифти Google можна інтегрувати локально, відео можна замінити локальною копією або зображенням попереднього перегляду із зовнішнім посиланням)
Під усіма абонентами моїх новинних листівок я від часу до часу розіграю безкоштовні перевірки вебсторінок. Якщо ви хочете мати першу оцінку, напишіть мені коротко. Я надам вам коротке, корисне відгук щодо вашої вебсторінки.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.