DSB Austria: Schrems ja andmeedastused
Austria Datenschutzbehörde (DSB) on NOYB kodune järelevalveasutus. NOYB tähistab fraasi "None of Your Business". Max Schrems asutas selle organisatsiooni. See on esitanud alates 2018. aastast üle 1000 GDPR-kaebuse. DSB menetles 422 neist juhtumitest aastatel 2022–2024.
See kogemus on oluline. DSB asub kahe õiguslahingu keskel, mis on juba EL-i andmeedastusõigust ümber kujundanud.
NOYB ja DSB: muster
Schrems I (2015): Schrems esitas kaebuse Facebooki EL-USA andmevoogude kohta. Euroopa Liidu Kohus tühistas Safe Harbori. Seda raamistikku kasutas sel ajal üle 4000 ettevõtte.
Schrems II (2020): Teine väljakutse tabas Privacy Shieldi. Sellele tugines üle 5000 ettevõtte. Selle kokkuvarisemine sundis uusi läbirääkimisi. Tulemuseks oli EL-USA andmeprivaatsuse raamistik (DPF). DPF jõustus 2023. aastal.
Eeldatav Schrems III (2025–2026): NOYB on vaidlustanud DPF piisavusotsuse. Argument: FISA paragrahv 702 on endiselt GDPR-iga vastuolus. Oodatakse ELK-i eelotsusetaotlust.
78% DSB juhtumitest hõlmab piiriüleseid edastusi või kolmanda osapoole tööriistu. See fookus eristab Austria regulaatoreid teistest EL-i asutustest.
DSB Google Analyticsi otsus
DSB jaanuari 2022 Google Analyticsi otsus seadis andmeedastuse juhtumite mudeli.
Sellest tulid välja kolm peamist järeldust:
- IP-aadressid on isikuandmed. Isegi kärbitud IP-d võimaldavad Google'i süsteemides taasidentifitseerimist. Seansikirjed muudavad olukorra halvemaks.
- USA müüja juurdepääs loeb edastusena. Kui USA inseneritel on juurdepääs EL-i kasutajate andmetele, on see GDPR-i tähenduses edastus. See hõlmab tuge, hooldust ja õiguslikke korraldusi.
- SCC-d ilma TIA-ta ei piisa. Standardsed lepingutingimused vajavad andmeedastuse mõjuhinnangut. TIA peab näitama, et USA luurealased seadused ei tühista SCC kaitsemeetmeid.
DSB leidis, et Austria veebisaidi operaator — mitte Google — on vastutav. Operaator oli vastutav töötleja. See kehtib iga EL-i ettevõtte kohta, kes manustab kolmandate osapoolte skripte. Vaadake meie GDPR vastavusjuhendit vastutava töötleja kohustuste kohta.
Täiendavad tehnilised meetmed
Pärast Schremsi II avaldas Euroopa Andmekaitsenõukogu juhised täiendavate tehniliste meetmete kohta. Need kehtivad, kui SCC-d üksi ei ole piisavad. DSB jõustab neid juhiseid.
Kolm lähenemisviisi läbivad DSB kontrolli:
Krüpteerimine EL-is hoitavate võtmetega. Krüptige andmed enne EL-ist lahkumist. Hoidke dekrüpteerimisvõtmed EL-i kätes. Kui USA ametiasutused kohustavad müüjat faile üle andma, saavad nad šifreeritud teksti, mida nad ei suuda lugeda.
Pseudonümiseerimine enne edastust. Saatke piiriüleselt ainult pseudonüümsed tokenid. Hoidke taasidentifitseerimise võtit EL-is. Edastatud failid ei sisalda otseseid isikuandmeid.
Kohalik töötlemine. Käitage kogu töötlemist EL-is asuvatel serveritel. Edastage ainult agregeeritud, tõeliselt anonüümseid statistikaid. Isikuandmed ei ületa piiri.
DSB on seda seisukohta kinnitanud. Grupid, kes kasutavad EL-i isikuandmete jaoks USA SaaS-müüjaid, peavad rakendama vähemalt üht neist lähenemisviisidest. Või peavad nad tõestama, et edastatud sisu on tõeliselt anonüümne.
Schremsi III risk
Ettevõtted, kes toetuvad ainult DPF-ile, seisavad silmitsi selge riskiga. Kui NOYB ELK-i väljakutse õnnestub, peavad need ettevõtted kiiresti uued edastamisvahendid leidma. See on täpselt see, mis juhtus 2015. ja 2020. aastal.
Grupid, kes kasutavad täiendavaid tehnilisi meetmeid, on kaitstud. Kui sisu on tõeliselt anonüümne, ei toimu GDPR-i kohast edastust. DPF-i kokkuvarisemine ei muuda nende jaoks midagi.
Austria toimingute puhul: analüütikavahendid (Google Analytics, Mixpanel, Amplitude) loovad kõik DSB-d puudutava riski. Samuti loovad USA emaettevõtetega CRM-süsteemid (Salesforce, HubSpot). Pilveplatvormid, kus USA töötajatel on administraatoriõigused, kannavad sama riski.
Lahendus on igal juhul sama. Veenduge, et isikuandmed on tõeliselt anonüümsed enne müüjani jõudmist. Või krüptige need võtmetega, mida hoiab ainult EL-i vastutav töötleja. Meie turvalisuse ja vastavuse ülevaade selgitab, kuidas nullteadmistega disain kõrvaldab edastamise probleemi selle allikas.