DSB Austrija: Schrems i prenosi podataka
Austrijska Datenschutzbehorde (DSB) maticni je regulatorni organ za NOYB. NOYB je skracenica od None of Your Business. Organizaciju je osnovao Max Schrems. Ona je podnela vise od 1.000 GDPR zalbi od 2018. godine. DSB je izmedju 2022. i 2024. obradio 422 od tih predmeta.
Ovaj rezultat je bitan. DSB se nalazi u sredistu dve pravne borbe koje su vec preoblikovale EU zakon o prenosima podataka.
NOYB i DSB: obrazac
Schrems I (2015.): Schrems je podneo zalbu u vezi s EU-US tokovima Facebooka. Sud EU ukinuo je Safe Harbor. Vise od 4.000 firmi koristilo je taj okvir u to vreme.
Schrems II (2020.): Drugi izazov udario je Privacy Shield. Na njega se oslanjalo vise od 5.000 firmi. Njegov krah primorao je na nove pregovore. Rezultat je bio EU-US okvir za zastitu podataka (DPF). DPF je stupio na snagu 2023. godine.
Ocekivani Schrems III (2025–2026.): NOYB je osporio DPF odluku o adekvatnosti. Argument: FISA Section 702 i dalje je u sukobu s GDPR-om. Ocekuje se upucivanje predmeta Sudu EU.
78% DSB predmeta odnosi se na prekogranicne prenose ili alate trecih strana. Taj fokus razlikuje austrijske regulatore od ostalih EU tela.
DSB odluka o Google Analytics-u
DSB odluka o Google Analytics-u iz januara 2022. postavila je obrazac za predmete prekogranicnih prenosa.
Iz nje su proizasla tri kljucna zakljucka:
- IP adrese su licni podaci. Cak i skracene IP adrese mogu omoguciti ponovnu identifikaciju unutar Googleovog sistema. Sesijski zapisi to jos vise otezavaju.
- Pristup americkog prodavca smatra se prenosom. Kada americki inzenjeri mogu da pristupe EU korisnickim podacima, taj pristup je prenos u smislu GDPR-a. Ovo ukljucuje podrsku, odrzavanje i zakonske naloge.
- SCC bez TIA nisu dovoljne. Standardne ugovorne klauzule zahtevaju Procenu uticaja prenosa. TIA mora pokazati da americko zakonodavstvo ne ponistava zastite koje pruza SCC.
DSB je utvrdio odgovornost austrijskog operatera sajta — ne Googlea. Operater je bio rukovalac podacima. Ovo se primenjuje na svaku EU kompaniju koja ugraduje skripte trecih strana. Pogledajte nas GDPR vodic za uskladjenost radi informacija o obavezama rukovaoca podacima.
Dodatne tehnicke mere
Nakon Schremsa II, EDPB je objavio smernice o dodatnim tehnickim merama. One se primenjuju kada SCC same po sebi nisu dovoljne. DSB primenjuje ove smernice.
Tri pristupa prolaze DSB skrutiniju:
Enkripcija s kljucevima u EU. Enkriptujte zapise pre nego sto napuste EU. Drzite kljuceve za dekriptovanje u rukama unutar EU. Ako americke vlasti prisile prodavca da preda kartone, dobijaju sifrovani tekst koji ne mogu procitati.
Pseudoanonimizacija pre prenosa. Saljite samo pseudoanonimne tokene preko granica. Drzite kljuc za ponovnu identifikaciju unutar EU. Preneseni dosijei ne sadrze direktne licne podatke.
Lokalna obrada. Pokrenite svu obradu na serverima smestenim u EU. Prenosite samo zbirne, istinski anonimne statistike. Nikakvi licni podaci ne prelaze granice.
DSB je potvrdio ovaj stav. Organizacije koje koriste americke SaaS prodavce za EU licne podatke moraju primeniti najmanje jedan od ovih pristupa. Ili moraju dokazati da je preneseni sadrzaj istinski anoniman.
Rizik Schremsa III
Firme koje se oslanjaju iskljucivo na DPF suocavaju se s jasnim rizikom. Ako NOYB-ev izazov pred Sudom EU uspe, te firme moraju brzo pronaci nove alate za prenos podataka. Tacno to se desilo 2015. i 2020. godine.
Organizacije koje koriste dodatne tehnicke mere su zasticene. Ako je sadrzaj istinski anoniman, ne dolazi do prenosa u smislu GDPR-a. Eventualnom padom DPF-a nista se za njih ne menja.
Za austrijske operacije: analiticke alatke (Google Analytics, Mixpanel, Amplitude) sve izlazu riziku pred DSB-om. Isto vazi za CRM sisteme s americkim maticnim firmama (Salesforce, HubSpot). Cloud platforme gde americko osoblje ima administrativni pristup nose isti rizik.
Resenje je u svim slucajevima isto. Pobrinite se da su licni podaci istinski anonimni pre nego sto stignu do prodavca. Ili ih enkriptujte s kljucevima koje drzite iskljucivo vi kao rukovalac podacima u EU. Nas pregled bezbednosti i uskladjenosti objasnjava kako zero-knowledge dizajn resava problem prenosa u korenu.