Австрийский Datenschutzbehörde (DSB) является ведущим надзорным органом для дел, поданных NOYB — None of Your Business — организацией по защите конфиденциальности, основанной Максом Шремсом. NOYB подала более 1 000 стратегических жалоб GDPR с 2018 года, и DSB рассмотрел 422 из них в 2022–2024 годах. Понимание правоприменения DSB означает понимание стратегических судебных разбирательств, которые дважды преобразовали законодательство ЕС о передаче данных.
NOYB и DSB: паттерн стратегического правоприменения
Schrems I (2015): Жалоба Макса Шремса на передачу данных Facebook между ЕС и США в итоге аннулировала соглашение Safe Harbor, используемое 4 000+ компаниями.
Schrems II (2020): Последующий иск Шремса аннулировал Щит конфиденциальности ЕС–США, затронув 5 000+ компаний и спровоцировав экстренное переговорное урегулирование, результатом которого стала нынешняя Рамочная программа конфиденциальности данных ЕС–США (2023).
Ожидаемый Schrems III (2025–2026): NOYB подала иски против решения об адекватности DPF, утверждая, что Раздел 702 FISA остаётся несовместимым с GDPR. Ожидается направление на рассмотрение в CJEU.
78% дел правоприменения DSB связаны с передачами данных или интеграциями с третьими сторонами — этот ориентированный на передачу акцент является определяющей характеристикой австрийского правоприменения.
Решение DSB по Google Analytics
Решение DSB от января 2022 года по Google Analytics установило паттерн для всего последующего правоприменения в области передачи:
- IP-адреса являются персональными данными. Даже усечённые IP-адреса в сочетании с данными сессии позволяют повторную идентификацию в базе данных Google.
- Доступ американских поставщиков = передача. Когда американские инженеры могут получить доступ к данным пользователей ЕС (для поддержки, обслуживания или юридического принуждения), этот доступ составляет передачу данных по GDPR.
- SCC без адекватной TIA = нарушение. Стандартные договорные оговорки без Оценки воздействия на передачу, демонстрирующей, что законодательство США об наблюдении не аннулирует их, недостаточны.
DSB установил, что австрийский оператор веб-сайта — а не Google — является контролёром данных, ответственным за незаконную передачу. Этот принцип затрагивает каждый бизнес ЕС, внедряющий сторонние скрипты.
Дополнительные технические меры: что на самом деле работает
После Schrems II EDPB выпустил руководство по дополнительным техническим мерам, требуемым, когда SCC в одиночку недостаточны. DSB обеспечивает применение этого руководства:
Шифрование с ключами, хранящимися в ЕС: Если персональные данные ЕС зашифрованы перед передачей в США, и ключи расшифровки хранятся исключительно у держателей ключей на базе ЕС, данные фактически являются анонимными для целей передачи GDPR — американские органы не могут добиться принудительного доступа к данным, которые они не могут читать.
Псевдонимизация перед передачей: Если передаваемые данные содержат только псевдонимные идентификаторы (ключ повторной идентификации хранится в ЕС), передаваемые данные не являются «персональными данными» для передачи.
Локальная обработка: Данные, никогда не покидающие инфраструктуру на хостинге в ЕС, полностью избегают требований к передаче. Только агрегированные, подлинно анонимизированные статистики передаются.
DSB установил, что организации, использующие американских поставщиков SaaS для обработки персональных данных ЕС, должны либо реализовать эти меры, либо продемонстрировать, что данные подлинно анонимизированы.
Риск Schrems III для организаций, использующих американских поставщиков
Организации, полагающиеся исключительно на Рамочную программу конфиденциальности данных ЕС–США (DPF) для передач данных в США, сталкиваются с конкретным риском: если вызов NOYB в CJEU увенчается успехом — как произошло с Safe Harbor (2015) и Privacy Shield (2020) — организации должны будут немедленно срочно искать альтернативные механизмы передачи.
Организации, использующие дополнительные технические меры (шифрование с ключами, хранящимися в ЕС, подлинная анонимизация перед передачей), изолированы от риска аннулирования DPF. Передача технически не происходит, если данные подлинно анонимизированы или зашифрованы с ключами, к которым американский поставщик не может получить доступ.
Конкретно для австрийских операций: веб-аналитика с использованием американских инструментов (Google Analytics, Mixpanel, Amplitude), CRM-системы с американскими материнскими компаниями (Salesforce, HubSpot) и облачная инфраструктура с доступом американского администратора — всё это создаёт уязвимость правоприменения DSB. Мера устранения — обеспечить, чтобы персональные данные в этих системах либо были подлинно анонимизированы до их поступления в системы поставщика, либо зашифрованы ключами, хранящимися исключительно у контролёра ЕС.
Источники: