DSB Austria: Schrems & Transfer Data
Datenschutzbehörde (DSB) Austria adalah regulator asal NOYB. NOYB singkatan dari None of Your Business. Max Schrems mendirikan kelompok ini. Kelompok ini telah mengajukan lebih dari 1.000 pengaduan GDPR sejak 2018. DSB menangani 422 kasus tersebut antara 2022 dan 2024.
Rekam jejak ini penting. DSB berada di pusat dua pertempuran hukum yang telah mengubah hukum transfer EU.
NOYB dan DSB: Sebuah Pola
Schrems I (2015): Schrems mengajukan pengaduan tentang aliran EU-AS Facebook. CJEU membatalkan Safe Harbor. Lebih dari 4.000 perusahaan menggunakan kerangka tersebut saat itu.
Schrems II (2020): Tantangan kedua menghantam Privacy Shield. Lebih dari 5.000 perusahaan bergantung padanya. Keruntuhannya memaksa negosiasi baru. Hasilnya adalah EU-US Data Privacy Framework (DPF). DPF mulai berlaku pada 2023.
Schrems III yang Diantisipasi (2025–2026): NOYB telah menantang keputusan kecukupan DPF. Argumennya: FISA Pasal 702 masih bertentangan dengan GDPR. Referral CJEU diperkirakan akan terjadi.
78% kasus DSB melibatkan transfer lintas batas atau alat pihak ketiga. Fokus ini membedakan regulator Austria dari badan EU lainnya.
Putusan Google Analytics DSB
Keputusan Google Analytics DSB Januari 2022 menetapkan template untuk kasus transfer.
Tiga temuan utama muncul dari putusan ini:
- Alamat IP adalah data pribadi. Bahkan IP yang dipotong dapat memungkinkan re-identifikasi dalam sistem Google. Catatan sesi memperburuknya.
- Akses vendor AS dihitung sebagai transfer. Ketika insinyur AS dapat mengakses rekam pengguna EU, akses tersebut merupakan transfer berdasarkan GDPR. Ini mencakup dukungan, pemeliharaan, dan perintah hukum.
- SCC tanpa TIA tidak cukup. Klausul Kontraktual Standar memerlukan Penilaian Dampak Transfer. TIA harus menunjukkan bahwa undang-undang mata-mata AS tidak membatalkan perlindungan SCC.
DSB menemukan operator situs Austria bertanggung jawab — bukan Google. Operator adalah pengontrol. Ini berlaku untuk setiap bisnis EU yang menyematkan skrip pihak ketiga. Lihat panduan kepatuhan GDPR untuk kewajiban pengontrol.
Tindakan Teknis Tambahan
Setelah Schrems II, EDPB menerbitkan panduan tentang tindakan teknis tambahan. Ini berlaku ketika SCC saja tidak mencukupi. DSB menegakkan panduan ini.
Tiga pendekatan lolos pengawasan DSB:
Enkripsi dengan kunci yang dipegang EU. Enkripsi rekam sebelum meninggalkan EU. Pertahankan kunci dekripsi di tangan EU. Jika otoritas AS memaksa vendor menyerahkan berkas, mereka mendapatkan ciphertext yang tidak dapat mereka baca.
Pseudonymisasi sebelum transfer. Kirim hanya token pseudonim lintas batas. Pertahankan kunci re-identifikasi di dalam EU. Berkas yang ditransfer tidak mengandung data pribadi langsung.
Pemrosesan lokal. Jalankan semua pemrosesan di server yang di-host EU. Transfer hanya statistik agregat yang benar-benar anonim. Tidak ada rekam pribadi yang melewati perbatasan.
DSB telah mengonfirmasi posisi ini. Kelompok yang menggunakan vendor SaaS AS untuk data pribadi EU harus menerapkan setidaknya salah satu pendekatan ini. Atau mereka harus membuktikan bahwa konten yang ditransfer benar-benar anonim.
Risiko Schrems III
Perusahaan yang hanya mengandalkan DPF menghadapi risiko nyata. Jika tantangan CJEU NOYB berhasil, perusahaan tersebut harus menemukan alat transfer baru dengan cepat. Itu persis yang terjadi pada 2015 dan 2020.
Kelompok yang menggunakan tindakan teknis tambahan terlindungi. Jika konten benar-benar anonim, tidak ada transfer GDPR yang terjadi. Keruntuhan DPF tidak mengubah apa pun bagi mereka.
Untuk operasi di Austria: alat analitik (Google Analytics, Mixpanel, Amplitude) semuanya menciptakan paparan DSB. Demikian pula sistem CRM dengan perusahaan induk AS (Salesforce, HubSpot). Platform cloud di mana staf AS memegang akses admin membawa risiko yang sama.
Solusinya sama dalam setiap kasus. Pastikan rekam pribadi benar-benar anonim sebelum menjangkau vendor. Atau enkripsi dengan kunci yang hanya dipegang pengontrol EU. Ikhtisar keamanan dan kepatuhan kami menjelaskan cara desain zero-knowledge menghilangkan masalah transfer dari sumbernya.