Pravni rat, tehničko pitanje ili zaštita privatnosti: možete li se uskladiti s GDPR-om ako koristite servise iz SAD-a?

Pravni rat, tehničko pitanje ili zaštita privatnosti: možete li se uskladiti s GDPR-om ako koristite servise iz SAD-a?

"Rijetko koja tvrtka trenutno radi u skladu s GDPR-om, barem u digitalnom dijelu", zaključuje stručnjak za implementaciju Google Analyticsa Zorin Radovančević. Kako bi se pitanje prijenosa podataka građana EU u SAD korištenjem američkih digitalnih proizvoda moglo razriješiti pitali smo njega i stručnjaka za zaštitu privatnosti, Duju Kozomaru.

Iako već par tjedana nismo čuli novu bombastičnu odluku nekog regulatornog tijela zemlje članice EU oko korištenja uobičajenih digitalnih proizvoda, to ne znači da po tom pitanju vlada zatišje. Štoviše, vlasnici, voditelji ili odgovorne osobe biznisa koji se temelje na bilo kakvom digitalnom poslovanju na sto su muka – nastaviti kao dosad i čekati neki dogovor na višim razinama (ali riskirati kaznu) ili uložiti vrijeme novac i ljudske resurse u zahtjevan proces usklađivanja s GDPR-om?

Međutim, smjer na upućuje nekoliko posljednjih odluka…

…ukazuje da  je pitanje kako se uopće uskladiti s GDPR-om jer korištenje bilo kakvog digitalnog servisa čije središte je u zemlji izvan EU (i vrlo kratkog popisa ostalih “odobrenih” zemalja) riskira kršenje GDPR-a jer se osobni podaci građana EU prenose u te zemlje, gdje nisu jednako zaštićeni.

S obzirom na to da većina digitalnih proizvoda bez kojih je poslovanje nezamislivo, poput Google Analyticsa, dolazi iz SAD-a, gdje je 2018. usvojen famozni CLOUD Act (prema kojem tajne službe od tvrtki mogu tražiti pristup svim podacima), ne čudi zbunjenost domaćih digitalaca oko toga što da rade. Teško da će američke alate nužne za poslovanje tako lako zamijeniti onim novozelandskima ili andorskima!

AZOP je samo citirao sve dosadašnje odluke

Oči su svi, za početak, uprli u domaće regulatorno tijelo, Agenciju za zaštitu podataka koja je, na konkretan upit koji se odnosio i na korištenje Google Analyticsa, odgovorila citiranjem svih dosadašnjih odluka i preporuka drugih tijela o prijenosu u SAD – što tvrtkama definitivno nije od pretjerane pomoći u ovoj situaciji.

Vrlo zaposleni su ovih dana su i pravnici te stručnjaci koji se bave zaštitom osobnih podataka koji naglašavaju da odluke europskih regulatornih tijela nisu šokantne već logična posljedica rušenja Štita privatnosti presudom Suda Europske unije u lipnju 2020. Činjenica da kazne dolaze tek sad zapravo znači da su tvrtke imale oko godinu i pol da se usklade s novonastalim pravilima.

Nažalost, kaže Duje Kozomara iz tvrtke Consent, činjenica je i da je velik broj tvrtki jednostavno odlučio ignorirati GDPR:

I prije presude Schrems 2 bilo je jasno da će Privacy Shield (Štit privatnosti) kao okvir za zakonit prijenos podataka u SAD pasti, a presuda je donesena prije godinu i pol dana. Poslovni subjekti su imali određen vremenski okvir da shvate što ona znači za njih i prilagode poslovanje.

Posljednje odluke nadzornih tijela samo na konkretnim slučajevima provode tu presudu Suda Europske unije, zaključuje Duje.

“Smanjite rizik pravilnom implementacijom Analyticsa

Najviše pitanja, vjerujem, trenutno je oko toga kako se uskladiti s GDPR-om i nastaviti koristiti, za poslovanje mnogima nužan, Google Analytics. Zorin Radovančević iz osječkog Escapea vjerojatno je jedna od najkvalificiranijih osoba u Hrvatskoj kad je u pitanju implementacija i tehničkija strana Google Analyticsa.

Zorin, za početak, naglašava kako niti jedna od odluka koje su protumačene kao da je “Google Analytics ilegalan” ne tvrdi to,  već da u te tri konkretne situacije Analytics nije bio implementiran kako treba. Zato Zorin klijentima koji ga pitaju krše li propise ako nastave koristiti Googleovu analitiku savjetuje napraviti analizu i utvrditi kako mogu smanjiti rizik od kazne. Navodi i nekoliko primjera kako:

Tehnički savjet je vrlo jednostavan – smanjite rizik. Rizik se smanjuje tako da smanjite integraciju alata na najmanju moguću razinu, anonimizirate IP adresu, provjerite tko na razini računa sve ima pristup podacima, obrišete GET parametre iz URL-a koji bi mogli prenijeti osobne podatke, obrišete integracije koje nisu potrebne, budite sigurni da imate sve privole za prikupljanje podataka putem Analyticsa…

Osim tehničkih savjeta Zorin pomalo sarkastično navodi i onaj – obratite se pravniku koji može mapirati tehniku i odredbu te predviđa da bi pravni savjet u puno slučajeva mogao biti da odaberete neko drugo rješenje za analitiku.

Zorin daje i primjer kako se do toga dolazi u praksi:

Provjerite sve network requeste koji se izvršavaju u vašem svakodnevnom radu, a posebno na vašoj stranici pa napravite listu svih onih koji završavaju u US ili završavaju u EU, ali u vlasništvu američke tvrtke. Te sve requeste morate blokirati, s obzirom na to da vaša IP adresa, ali i vaših korisnika završavaju preko bare. Ako to napravite, shvatit ćete apsurdnost situacije – u većini slučajeva ne možete nastaviti normalno raditi ili jednostavno nema adekvatne zamjene za američke servise.

“Rijetko koja tvrtka radi u skladu s GDPR-om”

Odnosno, jednom kad se pobrinete da se držite osnovnog bontona (poput anonimizacije IP adresa, na što se odnosi jedna od odluka), malo je toga što se implementacijski, odnosno tehnički može napraviti. Zorin zato kaže da je ovo više pravno, nego tehničko pitanje:

Tehnika u ovom slučaju treba pratiti tumačenje pravnih odredbi, ali ovo je izrazito pravno pitanje jer, čak i uz privolu i vrlo eksplicitno i jasno objašnjenje, zbog prijenosa podataka u SAD niste usklađeni s GDPR-om.

Kazne su moguće, ali prema stanju stvari u Hrvatskoj, ali i šire, rijetko koja tvrtka trenutno radi u skladu s GDPR-om, barem u dijelu zvanom digital. Pregledom web stranica u Hrvatskoj, pa čak i onih organizacija kojima je posao zaštita osobnih podataka, lako je utvrditi i snimiti network requeste i uočiti da i oni šalju podatke u SAD korištenjem svih uobičajenih servisa – fontovi, captcha, CDN, mape, chatbotovi, email servisi…

Još jedan vrlo popularni apsurd je da sve te agencije nedavne odluke oko kršenja GDPR-a komuniciraju putem komunikacijskih platformi i društvenih mreža sa sjedištem u SAD-u, što znači da svi ti naši IP-jevi odlaze negdje.

Znaju li regulatori uopće može li GA biti zakonit?

Kozomara kaže kako se korištenje cloud proizvoda iz SAD-a značajno zakompliciralo za tvrtke koje obrađuju podatke EU korisnika ili su smještene u EU, ali da nije nemoguće. Dodaje da bi nadzorna tijela za zaštitu podataka trebala biti jasnija i direktnija kako bi uklonili bilo kakve nejasnoće za poslovne subjekte:

Posljednje odluke uglavnom idu u smjeru “Google Analytics tvrtka trenutno koristi na nezakonit način, a ako ga ne možete podesiti da se koristi zakonito, nemojte ga koristiti”.

Pravnu nesigurnost stvara upravo taj prostor u kojem se čini kao da ni sami nisu sigurni može li se Analytics ipak namjestiti da bude zakonit. Umjesto ostavljanja takvih praznina, njihova uloga trebala bi biti da što konciznije ustvrde ili da je servis potpuno nezakonit ili da daju jasnu uputu što napraviti da bude zakonit.

“Ovo je rat EU vs SAD”

I Google bi volio da se nadzorna tijela što prije smisle oko Analyticsa jer u svemu ovome pati i njihovo poslovanje iliti, kako je u svojoj reakciji to izrazio sam Google – neometani globalni protok informacija temelj je suvremene digitalne ekonomije. A kako bi se poslovanje nastavilo, Google zaziva EU i SAD da što prije ispregovaraju novi okvir koji će nedvosmisleno regulirati pravila kod prijenosa podataka.

Zorin se slaže da je izvedivost trenutnih pravila upitna te da je jedino logično rješenje na vidiku novi sporazum:

Problem je puno veći i dalekosežniji od postavljanja Analyticsa i udara u srž načina kako internet funkcionira kao globalni i slobodni medij za komunikaciju. Ovo je rat EU vs SAD, gdje EU već godinama gubi u tehnološkom smislu. EU želi zaštiti EU građane i kontrolirati transfer. Super. Mislim da izvedivost nije do kraja promišljena.

Rješenje će doći, s obzirom na to da obje strane u ovakvom sukobu gube. Vrlo vjerojatno kroz dodatna osiguranja vezana za prijenos i posljedični pristup osobnim podacima nakon transfera.

No, opet, moguća je kako struka karikira – izgradnja EU zida.

Zato su mnogi europski digitalni proizvodi požurili iskoristiti svojih pet minuta prilike i promovirati se kao “alternativa Google Analyticsu koja prioritizira zaštitu privatnih podataka” ili “email marketing alat koji je usklađen s GDPR-om”.

Međutim, za mnoge ne postoji adekvatna zamjena – koja isti posao obavlja jednako kvalitetno, jednostavno i za istu cijenu. A često prelazak na drugi servis nije ni lagan, ni praktičan. Recimo, mnoge hrvatske škole koriste Googleove servise za online nastavu i komunikaciju između učenika i profesora – znači li to da bi sad trebali tražiti neku europsku alternativu?

Postoje prijedlozi tech stručnjaka da se baze koje prikupljaju podatke građana EU drže na nekom “odobrenom” cloudu pa integracijskom platformom povežu s ostatkom poslovanja (koji također koriste priliku da promoviraju svoja, europska, tech rješenja), pitanje je – kakvog to sve smisla ima?

Zaključak: Bolje spriječiti, nego liječiti!

Pružatelji cloud usluga sa sjedištem u EU postoje, međutim – opet, niti jedan od njih nije realna alternativa globalnim liderima sa središtem u SAD, a koji drže oko dvije trećine globalnog digitalnog prometa. Čak i kad bismo išli tim putem, i inzistirali da europske tvrtke koriste uglavnom europske alate, rezultat toga na kraju bi bio, kako kaže jedan stručnjak, globalna digitalna ekonomija podijeljena na “europski dio interneta”, “američki dio interneta”, “kineski dio interneta”, “ruski dio interneta”… koji međusobno ne komuniciraju. Jesmo li sigurni da je baš to pravi put?

S druge strane, Kozomara napominje da privatnost i briga za privatnost apsolutno jest “naša digitalna budućnost”. On tvrtkama savjetuje da o privatnosti počnu razmišljati u skladu s osnovnim načelom GDPR-a, a to je “privacy by design”, odnosno “bolje spriječiti, nego liječiti”. O privatnosti ne bi trebale razmišljati kao o minimumu koji moraju napraviti da bi izbjegle kaznu, već o dodanoj vrijednosti za svoje posjetitelje ili korisnike.

Jako često ponavljam i da brigu o zaštiti osobnih podataka ne treba gledati samo iz perspektive straha od kazni, već i rasta povjerenja krajnjih korisnika te reputacije brenda. Najbolji primjer za to je Apple koji je brendiranje odlučio intenzivno okrenuti u smjeru brige o zaštiti privatnosti korisnika.

Dok čekaju hoće li se veliki dogovoriti, mali i srednji biznisi mogu jedino pitanje zaštite osobnih podataka (početi) shvaćati ozbiljno. Za početak, savjetuju stručnjaci,  neka analiziraju kako i koliko u svom digitalnom poslovanju prikupljaju osobne podatke, što s njima rade, koje alate koriste i dobivaju li od njih korisne informacije. I za to im ne trebaju konzultantni koje si ne mogu svi priuštiti – Kozomara savjetuje pratiti AZOP koji se u zadnje vrijeme posvetio edukaciji baš manjih poduzetnika, a Zorin upućuje i na novi europski projekt koji sadrži i upitnik za samoprocjenu rizika za manje i srednje biznise.

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Ekskluzivno

Daytona osigurala 2 milijuna dolara od investitora poput CEO-a Stack Overflowa i Damira Sabola

U najranijoj, pre-seed rundi financiranja, Daytona je osigurala investiciju od čak 2 milijuna dolara, primarno od poznatih američkih i hrvatskih (su)osnivača.

Društvene mreže

Biste li plaćali za korištenje Facebooka i Instagrama? A YouTubea i X-a?

Nova epizoda Netokracijina podcasta kao da se nije odmaknula od Noći vještica jer strava se nastavlja - big tech ekipa uvodi pretplate na sve strane. No, dogodila se jedna stvar koja nam daje nadu... Elon Musk održao je prvi "all hands" sastanak!

Startupi

Horor priča iz industrije: Matematička formula za marketinški rast

"Mi smo B2B kompanija, nećemo koristiti non-binary opise, uplitati se u politiku...", rekao je osnivač. "Kakvu politiku? They je množina", odgovorila sam.

Što ste propustili

Ecommerce

50% hrvatskih kupaca primarno kupuje u hrvatskim online trgovinama

Hrvatski online kupci znatno više vjeruju domaćim web trgovinama te iskustvo kupnje na njima ocjenjuju pozitivnim. Među najbitnijim stavkama koje su im iznimno važne navode cijenu dostave, mogućnosti plaćanja, kvalitetne akcije, besplatan povrat - i recenzije!

Sponzorirano

Infobip o privlačenju generacije Z: Ove godine gotovo 2000 prijava na program za mlade talente!

Infobip je već niz godina uključen u akademsku zajednicu, no posebno su uspješni u privlačenju mladih talenata na svoje programe pripravništva. Samo ove godine dobili su nešto manje od 2000 prijava, a otvara se i novi ciklus prijava!

Novost

Prvo europsko gimnastičko online natjecanje pratite putem hrvatske platforme, Elevien

Natjecanje "European Men’s Artistic Gymnastics Online Test Event!" sprema se ući u povijest kao prvo 100% live online gimnastičko natjecanje.

Tehnologija

Tomislav Tipurić uoči ATD-a: Moramo poraditi na promjeni definicije junior developera

Uoči 18. konferencije Advanced Technology Days porazgovarali smo s osobom zaduženom za program, Tomislavom Tipurićem, o svemu što ne smijete propustiti na samom događaju, a i u svijetu tehnologije posljednjih godina i dana. Naravno, AI je neizostavna tema.

Netokracija Podcast

Sam Altman: Od CEO-a do otkaza i povratka u 5 dana

Bombastična sapunica IT industrije zvana OpenAI odjeknula je glasno s raznim fabularnim zapletima kojih se ne bi posramio ni Stephen King. Na jednom mjestu donosimo pregled situacije i sve najvažnije detalje.

Tvrtke i poslovanje

Deloitte Technology Fast 50: Devōt 4. najbrže rastuća tvrtka u srednjoj Europi

Na popisu se nalazi čak 5 hrvatskih tvrtki: Uz Devōt, tu su Aircash, HiveTech, Luminum ICT i Orqa.