DSB Austria: Schrems & transferurile de date
Datenschutzbehörde (DSB) din Austria este autoritatea de supraveghere de origine pentru NOYB. NOYB înseamnă None of Your Business. Max Schrems a fondat organizația. Aceasta a depus peste 1.000 de plângeri GDPR din 2018. DSB a gestionat 422 dintre aceste cazuri între 2022 și 2024.
Acest palmares contează. DSB se află în centrul a două bătălii juridice care au remodelat deja dreptul european privind transferurile.
NOYB și DSB: un tipar
Schrems I (2015): Schrems a depus o plângere cu privire la fluxurile de date Facebook UE-SUA. CJUE a anulat Safe Harbor. Peste 4.000 de firme utilizau acel cadru la momentul respectiv.
Schrems II (2020): O a doua contestație a vizat Privacy Shield. Peste 5.000 de firme se bazau pe acesta. Prăbușirea lui a forțat negocieri noi. Rezultatul a fost Cadrul UE-SUA privind protecția datelor (DPF). DPF a intrat în vigoare în 2023.
Schrems III anticipat (2025–2026): NOYB a contestat decizia de adecvare a DPF. Argumentul: Secțiunea 702 din FISA contravine în continuare GDPR. Se anticipează o trimitere la CJUE.
78% din cazurile DSB implică transferuri transfrontaliere sau instrumente terțe. Această focalizare deosebește autoritățile austriece de alte organisme din UE.
Decizia DSB privind Google Analytics
Decizia DSB din ianuarie 2022 privind Google Analytics a stabilit modelul pentru cazurile de transfer.
Trei constatări cheie au rezultat din aceasta:
- Adresele IP sunt date cu caracter personal. Chiar și IP-urile trunchiate pot permite reidentificarea în sistemele Google. Înregistrările de sesiune agravează situația.
- Accesul unui furnizor din SUA constituie un transfer. Când ingineri americani pot accesa datele utilizatorilor din UE, acel acces reprezintă un transfer în sensul GDPR. Aceasta acoperă asistența, întreținerea și ordinele judiciare.
- CCS fără o TIA nu sunt suficiente. Clauzele Contractuale Standard necesită o Evaluare a Impactului Transferului. TIA trebuie să demonstreze că legile de supraveghere americane nu anulează protecțiile CCS.
DSB a constatat că operatorul austriac al site-ului este responsabil — nu Google. Operatorul era controlorul. Aceasta se aplică oricărei afaceri din UE care integrează scripturi terțe. Consultați ghidul nostru de conformitate GDPR pentru obligațiile controlorului.
Măsuri tehnice suplimentare
După Schrems II, EDPB a publicat orientări privind măsurile tehnice suplimentare. Acestea se aplică atunci când CCS sunt insuficiente de sine stătătoare. DSB aplică aceste orientări.
Trei abordări trec controlul DSB:
Criptare cu chei păstrate în UE. Criptați datele înainte de a părăsi UE. Păstrați cheile de decriptare în mâinile unor entități din UE. Dacă autoritățile americane obligă furnizorul să predea fișierele, aceștia obțin date criptate pe care nu le pot citi.
Pseudonimizare înainte de transfer. Transmiteți doar token-uri pseudonime peste frontiere. Păstrați cheia de reidentificare în interiorul UE. Fișierele transferate nu conțin date personale directe.
Procesare locală. Rulați toate procesările pe servere găzduite în UE. Transferați doar statistici agregate, cu adevărat anonime. Nicio înregistrare personală nu traversează frontierele.
DSB a confirmat această poziție. Organizațiile care utilizează furnizori SaaS din SUA pentru date personale din UE trebuie să aplice cel puțin una dintre aceste abordări. Sau trebuie să demonstreze că conținutul transferat este cu adevărat anonim.
Riscul Schrems III
Firmele care se bazează exclusiv pe DPF se confruntă cu un risc clar. Dacă contestația NOYB la CJUE reușește, acele firme trebuie să găsească rapid instrumente noi pentru transferuri. Exact asta s-a întâmplat în 2015 și 2020.
Organizațiile care utilizează măsuri tehnice suplimentare sunt protejate. Dacă conținutul este cu adevărat anonim, nu are loc niciun transfer GDPR. O prăbușire a DPF nu le afectează cu nimic.
Pentru operațiunile din Austria: instrumentele de analiză (Google Analytics, Mixpanel, Amplitude) creează toate expunere la DSB. La fel și sistemele CRM cu firme-mamă americane (Salesforce, HubSpot). Platformele cloud unde personalul american deține acces administrativ prezintă același risc.
Soluția este aceeași în fiecare caz. Asigurați-vă că înregistrările personale sunt cu adevărat anonime înainte de a ajunge la furnizor. Sau criptați-le cu chei pe care controlorul din UE le deține exclusiv. Prezentarea noastră de securitate și conformitate explică modul în care proiectarea zero-knowledge elimină problema transferului la sursă.
Surse
- DSB: Autoritatea austriacă pentru protecția datelor — VERIFIED-EXTERNAL
- NOYB: Litigii strategice — VERIFIED-EXTERNAL
- CJUE: Decizia Schrems II C-311/18 (2020) — VERIFIED-EXTERNAL
- EDPB: Recomandările 01/2020 privind măsuri suplimentare de transfer — VERIFIED-EXTERNAL