Вступ
У статті 6 ДЗВП вказані правові підстави, відповідно до яких дозволена обробка даних. Для вебсайтів існує майже дві причини, чому дозволена обробка даних. ([1])
Перший ґрунт — це вільно дана згода відвідувача вебсайту. Ця згода також називається Consent і може бути скасована відвідувачем будь-коли знову.
Другий ґрунт — це правильне інтерес власника вебсторінки.
Через те, що отримання згоди пов'язане з суттєвими формальними вимогами, а запит на згоду часто прагнуть уникнути, багато хто намагається використовувати законне інтерес як підставу. Це також використовується як виправдання, коли нічого іншого не приходить на розум, наприклад, при відповіді на запит від зацікавленої особи або в судовому процесі.
Для чого потрібна згода?
Cookies
Зібрала досить чітка ситуація, коли на вебсторінці встановлюються файли cookie, які технічною необхідністю не володіють. До них належать усі файли cookie, які не зовсім обов'язкові. Як справжньо необхідні можуть бути розцілені файли cookie для управління сесією або для розрахунків із ВГ Слово Німеччини щодо розрахунку законодавчено затвердженої авторської премії.
Все, що призначене для відстеження користувачів, тобто для підрахунку користувачів, спочатку потрібно ретельно перевірити, і на мою думку, гарантовано не є необхідним, якщо термін дії cookie перевищує 24 години.
Правова основа для необхідності згоди щодо використання файлів cookie регулюється в Art. 5 Abs. 3 ePrivacy directive або новіше у § 25 TTDSG. TTDSG стверджує, що файли cookie для відстеження користувачів не є технічною необхідністю, оскільки сесійні файли cookie для обліку користувачів не потрібні, "щоб провайдер послуг телекомунікаційного сервісу міг надати бажаний користувачеві телекомунікаційний сервіс." Аналогічно вказується в ePrivacy directive, оскільки TTDSG дуже тісно орієнтується на текст цієї директиви.
Недбалі передачі даних
У ст. 5 абз. 1 c ДЗПВ згадується обов'язок мінімалізації даних. Відповідно до цього, обробка даних повинна бути відповідною меті та обмежуватися тим, що необхідно для цілей обробки даних. Також ст. 25 ДЗПВ передбачає сприятливий щодо захисту даних підхід.
Наприклад, для ненадобних передач даних є приклади зображень, які вбудовані на сторінці та завантажуються із сервера третього боку. Відповідно до своєї природи, зображення можуть зберігатися також і на власному сервері. При завантаженні з іншого серверу передаються дані про відвідування разом із мережевою адресою користувача до третього боку. Поскольку мережева адреса вважається особистими даними , такий передавання даних спочатку не дозволено. Тому, навпаки від того, що багато хто вважає: передачі даних до третіх сторін є в собі заборонені та лише у конкретному випадку можуть бути допустимими. ([1])
Критичні дані-трансфери
Я вважаю критичними передачі даних в небезпечні треті країни. Небезпечною третьою країною є будь-яка країна, для якої не застосовується GDPR, і для якої не існує рішення про відповідність з боку Європейської Комісії. Також, на мою думку, це стосується рішень про відповідність, які не здаються переконливими. Наприклад, жодне рішення Європейської Комісії не змінює того, що США згідно з GDPR незаконно обробляють дані європейських громадян.
Здатні провайдери з нестабільних третіх країн можуть укладати стандартні угоди про умови використання даних (SCC) або обов'язкові внутрішні правила компанії (CBR), щоб вирішити цю проблему. Але це можливо лише тоді, коли національне законодавство дозволяє такі домовленості. У США цього не відбувається. Поки існують Cloud Act, FISA та EO 12333, відповідь на питання про те, чи дозволені без згоди дані передачі до третіх осіб у США, завжди така: ні.
Стаття 44 ДЗПВ та наступні статті вказують вимоги. Згoda на ризиковані передачі даних дозволена лише винятково і не постійно, як повідомляє стаття 49 ДЗПВ. nearly кожна сторінка, яка запитує згода для інструментів американських провайдерів, наприклад, для Facebook Pixel або Google Analytics , порушує цю вимогу. ([1]) ([2])
Критичний обмін даними відбувається, наприклад, при завантаженні файлу з сервера американського постачальника. У цьому випадку завжди передається адрес мережі користувача як особиста інформація.
Виїзд: Рішення щодо згоди
Вже багато хто не хоче знати або навіть не знає про це. Обидві речі дуже погані: інструменти отримання згоди від OneTrust та UserCentrics можуть передавати дані до США, а саме тоді, коли завантажуються сценарії для створення запитів щодо згоди (дивіться пов'язані практичні тести, які показують, що в реальності OneTrust та UserCentrics повинні бути оцінені згідно з ДЗП).
Внаслідок цього запит про згоду від OneTrust та UserCentrics потребував згоди ще до того, як цей ніякий і часто дуже недосконалий так званий вікно Cookie Popup було виведено на екран. ([1])
Технічно необхідні послуги
У цифровий послугу також називають Навігаційне засобо. Послуги в цьому сенсі є, наприклад, Matomo, Google Maps, OpenStreetMap або зовнішні шрифти. Позначення послуги тут має найширший зміст і включає навіть зовнішні зображення. Позначення можна виправдати англійським словом "to serve". Сервер є таким чином слугою чи виконавцем. Кожен запит до зовнішнього сервера означає використання послуги. У цьому сенсі також включені дані, які відправляються на сервер без очікування відповіді (приклад: відправлення даних про відвідування Google Analytics на Google-сервер).
Цифровий сервіс – це будь-яка комунікація з сервером.
Широке визначення поняття "послуга" в контексті цифрового захисту даних
Сама відвідана веб-сторінка також може розглядатися як послуга. Надання веб-сторінки, яка була затребувана в браузері, очевидно, є технічно необхідним, якщо хтось хоче надавати цю веб-сторінку. Для цього не потрібна згода.
Будь-які запити до власних файлів з власного сервера, які не передбачають передачі даних третім сторонам, а також не передбачають додаткової обробки даних, крім тієї, що вже дозволена в процесі надання веб-сторінки, є несуперечливими та не вимагають згоди.
Інакше, спочатку, жодних інших послуг технічно не потрібно. Сама веб-сторінка спочатку може функціонувати без додаткових послуг. Якщо веб-сторінка інтегрує систему управління записами іншого провайдера, це може бути технічно необхідним з огляду на мету веб-сторінки. Однак тоді слід очікувати, що буде укладено угоду про захист даних (DPA) з провайдером системи управління записами, і провайдер повністю та гарантовано підкориться GDPR. Провайдери з ненадійних третіх країн виключаються в цьому випадку, якщо не бажано отримувати згоду.
Майже жоден сервіс не є технічно необхідним для веб-сторінки
Висновок з детального вивчення анатомії веб-сторінки
Якщо безумовно потрібна система управління записами, то власник веб-сайту повинен знайти надійного постачальника, який дотримується вимог до захисту даних. Якщо такого постачальника не знайдено, то власнику веб-сайту доведеться або відмовитися від системи управління записами, або розробити її самостійно. Останнє, на мій погляд, є допустимим. Або ця оцінка зрештою не має значення. Якщо ви не знайдете паркомісця, щоб пішки пройти до супермаркету та зробити покупки, це не означає, що ви маєте неправильно паркуватися. Не має значення, чи не зможете ви зробити покупки через відсутність звичайного паркомісця. Лише в надзвичайній ситуації можна було б в окремому випадку стверджувати, що неправильне паркування є допустимим. Однак такий випадок на веб-сайтах практично ніколи не трапляється, оскільки веб-сайт автоматично завжди звертається до великої кількості потенційних користувачів зі своїм повністю публічно доступним набором послуг.
В будь-ласка, але я не можу виконувати цю вимогу. ([1])
Короткий зміст: важливих технічно необхідних послуг майже не існує. Залежно від типу веб-сайту, деякі функції можуть бути важливими, але їх потрібно реалізовувати відповідно до вимог до захисту даних. Повний захист даних не може бути відмовлений через нібито важливу функцію.
Технічно необхідні cookie
Більшість cookie абсолютно не потрібні. Це починається з того, що cookie не просто існують, а створюються та використовуються службами. Однак ці послуги, як вже було описано, у більшості випадків не є технічно необхідними. Отже, абсолютна більшість cookie також не є технічно необхідними.
Cookies майже завжди не є технічно необхідними
Існує лише дуже небагато винятків
Технічно необхідні cookie можна перелічити на меншій ніж на одній руці. До них входять:
- Cookies для керування сесією
- VG Wort Cookies для розрахунку авторських відсотків
- Cookies для зберігання налаштувань користувача, таких як мова
- Для забезпечення безпеки можуть бути необхідні файли cookie, але не обов'язково без особливих обставин. Дивіться CSRF Tokens
- Наразі мені нічого більше не спадає на думку
Управління сесіями включає в себе можливості для редакторів, адміністраторів та, крім того, користувачів онлайн-магазину авторизуватися. Також управління сесіями передбачає управління кошиком товарів.
Cookies VG Wort необхідні для того, щоб якнайефективніше виявляти шахрайство та подвійне реєстрацію швидких послідовних звернень однією особою.
Для багатомовних веб-сторінок корисним може бути також cookie для запам'ятовування обраної мови. Ця функція управління мовою була б можлива й без cookie, але тоді, можливо, вона була б більш громіздкою і змусила б з самого початку вибрати відповідну структуру веб-сторінки. Наприклад, URL-шляхи до контенту повинні були б бути обрані таким чином, щоб мова була закодована в шляху. З іншого боку, тоді для кожної сторінки потрібно було б мати варіант для кожної запропонованої мови, щоб завжди було зрозуміло, в якому мовному просторі перебуває користувач.
Також можливі інші налаштування, які користувач може внести на веб-сторінці. До них належать також рішення щодо налаштувань конфіденційності (згоду). Opt-Out cookie, які читаються третіми сторонами, я вважаю неприпустимими. Бо опційний третій сервіс, який завантажується, щоб потім нічого не робити, не має сенсу і тому не є необхідним. Його взагалі не слід завантажувати, якщо користувач цього не бажає.
Висновок
Я стверджую, що доки не буде доведено інше, всі сторонні cookie потребують згоди. АВВ (анулювання винятку з правила) вже є мінімальним, що очікується. Тоді третій бік не є таким більше, а стає першим. Будь ласка, напишіть мені, якщо ви знаєте випадок, коли сторонній cookie є технічно необхідним, тобто коли немає АВВ!
Те саме стосується запитань даних від третіх осіб. Мені не спадає на думку жодного прикладу, який би був законодавчо регулюваним та вимагав б виконання DPA, окрім VG Слово счётні пікселі або подібних ситуацій. Будь ласка, повідомте мені про будь-який приклад, якщо ви знаєте щось подібне.
Цей матеріал розрахований на викликання дискусії та (ще) не претендує на вичерпність, враховуючи всі можливі ситуації. Однак я припускаю, що, принаймні, наближаюсь до істини, якщо не йду прямо до неї.
Ключові тези цього посту
Веб-сайти можуть обробляти дані лише тоді, коли це технічно необхідно, або користувач надав згоду, або існує інша правова підстава.
Передача даних до країн поза ЄС часто заборонена, якщо ці країни не мають достатніх правил захисту даних.
Більшість цифрових послуг на веб-сайтах не є технічно необхідними та повинні бути реалізовані відповідно до вимог захисту даних.
Більшість cookie не є технічно необхідними та тому вимагають згоди користувача.
Переклад: Про ці основні твердження
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.