DSB Austrija: Schrems i prekogranicni prijenosi podataka
Austrijsko Datenschutzbehorde (DSB) je maticni regulator za NOYB. NOYB je skracenica za None of Your Business. Max Schrems je utemeljio tu organizaciju. Podnijela je vise od 1.000 GDPR-zalbi od 2018. DSB je rijesio 422 od tih slucajeva izmeu 2022. i 2024.
Taj dosje je vazan. DSB se nalazi u sredistu dviju pravnih bitaka koje su vec preoblikovale EU pravo o prijenosima.
NOYB i DSB: uzorak
Schrems I (2015.): Schrems je podnio prituzbu zbog Facebook-ovih EU-US tokova. CJEU je ukinuo Safe Harbor. Vise od 4.000 tvrtki koristilo je taj okvir u to vrijeme.
Schrems II (2020.): Drugi izazov pogodio je Privacy Shield. Na njega se oslanjalo vise od 5.000 tvrtki. Njegov slom prisilio je na nove pregovore. Rezultat je bio EU-US Data Privacy Framework (DPF). DPF je stupio na snagu 2023.
Ocekivani Schrems III (2025.-2026.): NOYB je osporio odluku o primjerenosti DPF-a. Njihov argument: FISA Section 702 i dalje je u sukobu s GDPR-om. Ocekuje se upucivanje pitanja CJEU-u.
78% slucajeva DSB-a ukljucuje prekogranicne prijenose ili alate treih strana. Taj fokus razlikuje austrijske regulatore od ostalih EU tijela.
Odluka DSB-a o Google Analyticsu
Odluka DSB-a o Google Analyticsu iz sijecnja 2022. postavila je predlozak za slucajeve prijenosa.
Iz nje su proizasla tri kljucna nalaza:
- IP adrese su osobni podaci. Cak i skraceni IP-ovi mogu omoguciti ponovnu identifikaciju unutar Googleovih sustava. Evidencije sesija to pogorsavaju.
- Pristup americkih dobavljaca podacima je prijenos. Kada americkim inzenjerima mogu pristupiti EU korisnickim evidencijama, taj pristup je prijenos prema GDPR-u. To obuhvaca podrsku, odrzavanje i pravne naloge.
- SCC bez TIA nije dovoljno. Standardnim ugovornim klauzulama potrebna je Procjena utjecaja na prijenos. TIA mora pokazati da americko zakonodavstvo o nadzoru ne ponistava zastitu SCC-a.
DSB je utvrdio odgovornost austrijskog operatora web-stranice — ne Googlea. Operator je bio voditelj obrade. To vrijedi za svaki EU poslovni subjekt koji ugrauje skripte treih strana. Pogledajte nas vodic za GDPR uskladivanje za obveze voditelja obrade.
Dodatne tehnicke mjere
Nakon Schrems II, EDPB je objavio smjernice o dodatnim tehnickim mjerama. Primjenjuju se kada SCC ugovori sami po sebi nisu dostatni. DSB provodi ove smjernice.
Tri pristupa prolaze DSB-ovu provjeru:
Enkripcija s kljucevima u EU. Enkripirajte zapise prije nego sto napuste EU. Drzite kljuceve za dekripciju u europskim rukama. Ako americke vlasti prisile dobavljaca na predaju datoteka, dobivaju sifrirani tekst koji ne mogu procitati.
Pseudonimizacija prije prijenosa. Saljite samo pseudonimne tokene preko granica. Drzite kljuc za ponovnu identifikaciju unutar EU-a. Prenesene datoteke ne sadrze izravne osobne podatke.
Lokalna obrada. Provodite svu obradu na EU-hostiranim serverima. Prenosite samo agregatne, zaista anonimne statistike. Nikakvi osobni podaci ne prelaze granice.
DSB je potvrdio ovaj stav. Organizacije koje koriste americke SaaS dobavljace za EU osobne podatke moraju primijeniti barem jedan od ovih pristupa. Ili moraju dokazati da je preneseni sadrzaj zaista anoniman.
Rizik Schrems III
Tvrtke koje se oslanjaju iskljucivo na DPF suocavaju se s jasnim rizikom. Ako NOYB-ov izazov pred CJEU-om uspije, te tvrtke moraju brzo pronaci nove alate za prijenos. Tocno to se dogodilo 2015. i 2020.
Organizacije koje koriste dodatne tehnicke mjere su zasticene. Ako je sadrzaj zaista anoniman, ne dolazi do GDPR prijenosa. Kolaps DPF-a za njih ne mijenja nista.
Za austrijske operacije: analiticki alati (Google Analytics, Mixpanel, Amplitude) stvaraju DSB izlozenost. Isto vrijedi za CRM sustave s americkim maticnim tvrtkama (Salesforce, HubSpot). Cloud platforme gdje americko osoblje ima administrativni pristup nose isti rizik.
Rjesenje je u svim slucajevima isto. Osigurajte da su osobni podaci zaista anonimni prije nego sto dou do dobavljaca. Ili ih enkriptirajte kljucevima koje iskljucivo drzi EU voditelj obrade. Nas pregled sigurnosti i uskladivanja objasnjava kako zero-knowledge dizajn uklanja problem prijenosa iz korijena.