DSB Австрия: Schrems и трансфери на данни
Австрийската Datenschutzbehorde (DSB) е домашният регулатор на NOYB. NOYB означава None of Your Business. Макс Шремс е основал организацията. Тя е подала над 1000 жалби по GDPR от 2018 г. насам. DSB е разгледала 422 от тях между 2022 и 2024 г.
Това е важен факт. DSB е в центъра на две правни битки, които вече са преформирали европейското законодателство за трансфери.
NOYB и DSB: модел на поведение
Schrems I (2015 г.): Шремс е подал жалба относно потоците на данни от ЕС към САЩ на Facebook. Съдът на ЕС е отменил Safe Harbor. Повече от 4000 компании са използвали тази рамка по онова време.
Schrems II (2020 г.): Второто предизвикателство е засегнало Privacy Shield. Над 5000 компании са разчитали на него. Неговото разпадане е наложило нови преговори. Резултатът е рамката EU-US Data Privacy Framework (DPF), влязла в сила през 2023 г.
Очакван Schrems III (2025–2026 г.): NOYB е оспорила решението за адекватност на DPF. Аргументът: FISA Section 702 все още противоречи на GDPR. Очаква се препращане до Съда на ЕС.
78% от случаите на DSB включват трансфери между граници или инструменти на трети страни. Този фокус отличава австрийските регулатори от другите органи в ЕС.
Решението на DSB за Google Analytics
Решението на DSB от януари 2022 г. за Google Analytics е установило шаблона за случаи с трансфери.
От него произтичат три ключови констатации:
- IP адресите са лични данни. Дори съкратените IP адреси могат да позволят повторна идентификация в системите на Google. Данните за сесии влошават ситуацията.
- Достъпът от страна на американски доставчик се счита за трансфер. Когато американски инженери могат да достигнат до данни на потребители от ЕС, този достъп е трансфер по смисъла на GDPR. Това обхваща поддръжка, техническа помощ и правни разпореждания.
- SCCs без TIA не са достатъчни. Стандартните договорни клаузи изискват оценка на въздействието на трансфера. TIA трябва да покаже, че американското разузнавателно законодателство не отменя защитата на SCC.
DSB е установила, че отговорен е операторът на австрийския сайт — не Google. Операторът е бил администратор. Това се прилага за всеки бизнес в ЕС, вграждащ скриптове на трети страни. Вижте нашето ръководство за съответствие с GDPR за задълженията на администраторите.
Допълнителни технически мерки
След Schrems II EDPB е публикувал насоки за допълнителни технически мерки. Те се прилагат, когато SCCs сами по себе си не са достатъчни. DSB прилага тези насоки.
Три подхода издържат проверката на DSB:
Криптиране с ключове, съхранявани в ЕС. Шифровайте данните, преди да напуснат ЕС. Пазете ключовете за декриптиране в ЕС. Ако американските власти задължат доставчика да предаде файлове, те получават шифъртекст, който не могат да прочетат.
Псевдонимизация преди трансфер. Изпращайте само псевдонимни токени между граници. Пазете ключа за повторна идентификация в ЕС. Прехвърляните файлове не съдържат преки лични данни.
Локална обработка. Извършвайте цялата обработка на сървъри, хоствани в ЕС. Прехвърляйте само агрегирана, наистина анонимна статистика. Никакви лични данни не преминават граници.
DSB е потвърдила тази позиция. Организациите, използващи американски SaaS доставчици за лични данни от ЕС, трябва да прилагат поне един от тези подходи. Или трябва да докажат, че прехвърляното съдържание е наистина анонимно.
Рискът от Schrems III
Компаниите, разчитащи само на DPF, са изправени пред очевиден риск. Ако предизвикателството на NOYB пред Съда на ЕС успее, те ще трябва бързо да намерят нови инструменти за трансфер. Точно това се е случило през 2015 и 2020 г.
Организациите, прилагащи допълнителни технически мерки, са защитени. Ако съдържанието е наистина анонимно, не се извършва трансфер по GDPR. Разпадането на DPF не засяга с нищо тях.
За австрийски операции: аналитичните инструменти (Google Analytics, Mixpanel, Amplitude) всички създават риск пред DSB. Същото важи за CRM системи с американски компании-майки (Salesforce, HubSpot). Облачните платформи, при които американски служители имат администраторски достъп, носят същия риск.
Решението е едно и също за всеки случай. Уверете се, че личните данни са наистина анонимни, преди да достигнат до доставчика. Или ги шифровайте с ключове, притежавани единствено от администратора в ЕС. Нашият преглед на сигурността и съответствието обяснява как дизайнът с нулево знание елиминира проблема с трансфера от самия му корен.