Австрийският Datenschutzbehörde (DSB) е водещият надзорен орган за случаи, заведени от NOYB — None of Your Business — организацията за защита на поверителността, основана от Макс Шремс. NOYB е подал над 1000 стратегически жалби GDPR от 2018 г. насам, а DSB е обработил 422 от тях през 2022-2024 г. Разбирането на прилагането на DSB означава разбиране на стратегическите съдебни спорове, които промениха законодателството на ЕС за трансфер на данни два пъти.
NOYB и DSB: Стратегически модел за прилагане
Schrems I (2015): Оплакването на Max Schrems относно прехвърлянето на данни на Facebook между ЕС и САЩ в крайна сметка обезсили рамката Safe Harbor, използвана от 4000+ компании.
Schrems II (2020): Последващото предизвикателство на Schrems направи невалиден EU-US Privacy Shield, засягайки 5000+ компании и задействайки спешно предоговаряне, което доведе до текущата рамка за поверителност на данните EU-US (2023).
Очакван Schrems III (2025-2026): NOYB подаде оспорване на решението за адекватност на DPF, като твърди, че FISA Раздел 702 остава несъвместим със GDPR. Очаква се препращане по CJEU.
78% от делата за принудително изпълнение DSB включват трансфер на данни или интеграция на трети страни — този фокус върху трансфера е определящата характеристика на австрийското правоприлагане.
Решението за анализ на DSB Google
Решението Google Analytics на DSB от януари 2022 г. установи модела за всички последващи принудителни прехвърляния:
- IP адресите са лични данни. Дори съкратените IP адреси, комбинирани с данни за сесията, позволяват повторно идентифициране в базата данни на Google.
- Достъп на доставчик от САЩ = прехвърляне. Когато инженери от САЩ имат достъп до потребителски данни в ЕС (за поддръжка, поддръжка или законова принуда), този достъп представлява прехвърляне на данни съгласно GDPR.
- SCCs без адекватни TIA = нарушение. Стандартните договорни клаузи без оценка на въздействието на трансфера, показваща, че законът за наблюдение на САЩ не ги анулира, са недостатъчни.
DSB установи, че операторът на австрийския уебсайт — а не Google — е администраторът на данни, отговорен за незаконното прехвърляне. Този принцип засяга всеки бизнес в ЕС, който вгражда скриптове на трети страни.
Допълнителни технически мерки: Какво всъщност работи
След Schrems II, EDPB издаде насоки за допълнителни технически мерки, необходими, когато SCC сами по себе си са недостатъчни. DSB прилага това ръководство:
Шифроване с ключове, държани в ЕС: Ако личните данни в ЕС са криптирани преди прехвърляне в САЩ и ключовете за декриптиране се държат изключително от базирани в ЕС притежатели на ключове, данните са ефективно анонимни за целите на прехвърлянето на GDPR — властите на САЩ не могат да принудят достъп до данни, които не могат да прочетат.
Псевдонимизация преди прехвърляне: Ако прехвърлените данни съдържат само псевдонимни идентификатори (ключ за повторна идентификация, съхраняван в ЕС), прехвърлените данни не са „лични данни“ за прехвърлянето.
Локална обработка: Данните, които никога не напускат хостваната в ЕС инфраструктура, избягват изцяло изискванията за трансфер. Прехвърлят се само обобщени, наистина анонимизирани статистики.
DSB установи, че организациите, използващи американски доставчици на SaaS за обработка на лични данни в ЕС, трябва или да прилагат тези мерки, или да демонстрират, че данните са наистина анонимни.
Рискът от Schrems III за организации, използващи американски доставчици
Организациите, които разчитат единствено на EU-US Data Privacy Framework (DPF) за прехвърляне на данни в САЩ, са изправени пред специфичен риск: ако CJEU предизвикателството на NOYB успее — както се случи с Safe Harbor (2015) и Privacy Shield (2020) — организациите трябва незабавно да се борят за алтернативни механизми за трансфер.
Организациите, използващи допълнителни технически мерки (криптиране с ключове, поддържани от ЕС, истинска анонимност преди прехвърляне), са изолирани от риска от анулиране на DPF. Прехвърлянето технически не се осъществява, ако данните са наистина анонимизирани или криптирани с ключове, до които американският доставчик няма достъп.
Конкретно за австрийските операции: анализите на уебсайтове, използващи американски инструменти (Google Analytics, Mixpanel, Amplitude), CRM системи с американски компании майки (Salesforce, HubSpot) и облачна инфраструктура с администраторски достъп, достъпен от САЩ, създават излагане на DSB. Смекчаването гарантира, че личните данни в тези системи са или наистина анонимизирани, преди да достигнат до системите на доставчика, или криптирани с ключове, съхранявани изключително от администратора на ЕС.
Източници: