我在我的网站上嵌入了 Youtube 视频,但这会将访问者的 IP 地址发送到 Youtube 服务器,而 GDPR 法律不允许这样做。至少在未经他同意的情况下不会。
有人设法妥善处理这种情况吗? 如果我让用户在加载任何视频之前选择加入此功能,我可以继续嵌入视频吗?如果是,有什么方便的插件可以做到这一点?
最佳答案
根据 GDPR,单纯的 IP 地址可能不构成个人数据,具体取决于它的处理方式以及随之传输的数据。
根据第 4 条第 1 款,n。根据 EU/679/2016 (GDPR) 条例第 1 条,个人数据 是指与已识别或可识别的自然人(“数据主体”)相关的任何信息。
同一段落补充说,可识别的自然人是
可以直接或间接识别的人,特别是通过引用诸如姓名、身份证号码、位置数据、在线标识符等标识符或特定于 body 、生理的一个或多个因素来识别的人,该自然人的遗传、心理、经济、文化或社会身份。
鉴于上述情况,在我看来,在大多数情况下,单纯的 IP 不足以识别用户身份。假设我在一家咖啡馆,通过他们的 WI-FI,我访问了嵌入 YouTube 视频的网站。如果发送到 Youtube 的唯一信息是我的 IP,Google 就无法知道我是谁。这同样适用于用户使用动态 IP 连接互联网的所有情况。
在这方面你可以看看 while n. GDPR 第 30 条(GDPR 第 1 条之前的部分),其中解释了自然人可能与其设备、应用程序、工具和协议(protocol)提供的在线标识符相关联,例如互联网协议(protocol)地址、cookie标识符或其他标识符,例如射频识别标签。这可能会留下痕迹,特别是当与服务器接收到的唯一标识符和其他信息相结合时,这些痕迹可用于创建自然人的个人资料并识别他们。
此“鉴于”确认,当 IP 与其他可识别自然人身份的信息相结合时,该 IP 可能存在问题。例如,如果随 IP 地址一起发送 UUID,或可用于识别用户身份的另一条信息。
然而,有人可以通过从 ISP 获取有关分配的 IP 的信息来将该人链接到某个 IP。但是,让自然人可识别的罪魁祸首就是 ISP,而不是仅仅提供 IP 列表的人。
因此,仅 IP 地址可能被视为个人数据的唯一情况是自然人(即不是公司,而只是实际个人)拥有静态 IP 地址,并以某种方式可识别他/她的 IP 地址,例如通过公开声明他/她从哪个 IP 地址连接到互联网。这是不太可能的。
当然,上述所有内容仅适用于嵌入式 YouTube 视频收集的唯一数据是 IP 地址,对此我不太确定。您还需要评估您是否向 Google (Alphabet Inc.) 发送任何其他信息。例如,如果您使用的是 Google Analytics(分析),那么情况就完全不同了。
由于场景和不同的适用规则非常复杂和庞大,我强烈建议您通过运行自检 www.autoprivacy.eu 来快速检查 GDPR 实际如何为您服务。
关于wordpress - GDPR 和嵌入 YouTube 视频,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50051395/