DSB Austrija: Schrems & datu pārsūtīšana
Austrijas Datenschutzbehörde (DSB) ir mājas regulators NOYB organizācijai. NOYB nozīmē "None of Your Business". Max Schrems nodibināja šo grupu. Kopš 2018. gada tā ir iesniegusi vairāk nekā 1 000 GDPR sūdzību. DSB izskatīja 422 no šīm lietām no 2022. līdz 2024. gadam.
Šis vēsturiskais precedents ir nozīmīgs. DSB atrodas divu juridisko cīņu centrā, kas jau pārveidoja ES pārsūtīšanas tiesību aktus.
NOYB un DSB: shēma
Schrems I (2015): Schrems iesniedza sūdzību par Facebook ES un ASV datu plūsmām. ECTK atcēla Safe Harbor. Tolaik šo regulējumu izmantoja vairāk nekā 4 000 uzņēmumu.
Schrems II (2020): Otrais izaicinājums skāra Privacy Shield. Vairāk nekā 5 000 uzņēmumu bija uz to paļāvušies. Tā sabrukums izraisīja jaunas sarunas. Rezultāts bija ES un ASV Datu privātuma sistēma (DPF). DPF stājās spēkā 2023. gadā.
Paredzamais Schrems III (2025.–2026.): NOYB ir apstrīdējis DPF pietiekamības lēmumu. Arguments: FISA 702. sadaļa joprojām ir pretrunā GDPR. Sagaidāma lietas nodošana ECTK.
78% DSB lietu ir saistītas ar pārrobežu pārsūtīšanu vai trešo pušu rīkiem. Šī uzmanība atšķir Austrijas regulatorus no citām ES iestādēm.
DSB Google Analytics lēmums
DSB 2022. gada janvāra Google Analytics lēmums noteica paraugu pārsūtīšanas lietām.
No tā izrietēja trīs galvenie secinājumi:
- IP adreses ir personas dati. Pat saīsinātas IP adreses var ļaut atkārtoti identificēt personas Google sistēmās. Sesiju ieraksti situāciju pasliktina.
- ASV pārdevēja piekļuve ir pārsūtīšana. Kad ASV inženieri var piekļūt ES lietotāju datiem, šī piekļuve saskaņā ar GDPR ir pārsūtīšana. Tas attiecas uz atbalstu, apkopi un juridiskiem rīkojumiem.
- SCC bez TIA nav pietiekami. Standarta līguma klauzulām nepieciešams pārsūtīšanas ietekmes novērtējums. TIA jāparāda, ka ASV izlūkošanas likumi neatceļ SCC aizsardzību.
DSB konstatēja, ka atbildīgs ir Austrijas vietnes operators, nevis Google. Operators bija pārzinis. Tas attiecas uz katru ES uzņēmumu, kas integrē trešo pušu skriptus. Skatiet mūsu GDPR atbilstības ceļvedi par pārziņa pienākumiem.
Papildu tehniskie pasākumi
Pēc Schrems II EDPB publicēja norādījumus par papildu tehniskiem pasākumiem. Tie attiecas, kad SCC vieni paši nav pietiekami. DSB izpilda šos norādījumus.
Trīs pieejas iztur DSB pārbaudi:
Šifrēšana ar ES glabātām atslēgām. Šifrējiet ierakstus pirms to iziešanas no ES. Glabājiet atšifrēšanas atslēgas ES rokās. Ja ASV iestādes pieprasa pārdevējam nodot failus, tās saņem šifrētus datus, ko nevar nolasīt.
Pseidonimizācija pirms pārsūtīšanas. Nosūtiet pāri robežām tikai pseidonīmus tokenus. Glabājiet atkārtotas identifikācijas atslēgu ES iekšienē. Pārsūtītajos failos nav tiešu personas datu.
Lokāla apstrāde. Veiciet visu apstrādi ES serveros. Pārsūtiet tikai apkopotas, patiesi anonīmas statistikas datus. Nekādi personas ieraksti nepārkāpj robežas.
DSB ir apstiprinājusi šo nostāju. Grupām, kas izmanto ASV SaaS pakalpojumu sniedzējus ES personas datiem, jāpiemēro vismaz viens no šiem pasākumiem. Vai arī jāpierāda, ka pārsūtītais saturs ir patiesi anonīms.
Schrems III risks
Uzņēmumi, kas paļaujas tikai uz DPF, saskaras ar skaidru risku. Ja NOYB ECTK izaicinājums izdosies, šiem uzņēmumiem ātri jāatrod jauni pārsūtīšanas instrumenti. Tieši tā notika 2015. un 2020. gadā.
Grupas, kas izmanto papildu tehniskos pasākumus, ir pasargātas. Ja saturs ir patiesi anonīms, nenotiek GDPR pārsūtīšana. DPF sabrukums neko nemaina šīm grupām.
Austrijas operācijām: analītikas rīki (Google Analytics, Mixpanel, Amplitude) rada DSB risku. Tāpat arī CRM sistēmas ar ASV mātes uzņēmumiem (Salesforce, HubSpot). Mākoņa platformas, kurās ASV darbinieki ir administratori, rada tādu pašu risku.
Risinājums ir viens un tas pats katrā gadījumā. Pārliecinieties, ka personas ieraksti ir patiesi anonīmi pirms to sasniegšanas pārdevējam. Vai šifrējiet tos ar atslēgām, ko glabā tikai ES pārzinis. Mūsu drošības un atbilstības pārskats paskaidro, kā nulles zināšanu dizains novērš pārsūtīšanas problēmu pie tās avota.