Pravni rat, tehničko pitanje ili zaštita privatnosti: možete li se uskladiti s GDPR-om ako koristite servise iz SAD-a?

Iako već par tjedana nismo čuli novu bombastičnu odluku nekog regulatornog tijela zemlje članice EU oko korištenja uobičajenih digitalnih proizvoda, to ne znači da po tom pitanju vlada zatišje. Štoviše, vlasnici, voditelji ili odgovorne osobe biznisa koji se temelje na bilo kakvom digitalnom poslovanju na sto su muka – nastaviti kao dosad i čekati neki dogovor na višim razinama (ali riskirati kaznu) ili uložiti vrijeme novac i ljudske resurse u zahtjevan proces usklađivanja s GDPR-om?

Međutim, smjer na upućuje nekoliko posljednjih odluka…

• Austrijska web stranica kažnjena je zbog loše implementacije Google Analyticsa,
• francuska web stranica također je kažnjena zbog Google Analytica,
• čak su i institucije EU pod istragom zbog korištenja servisa Googlea, Amazona i Microsofta.

…ukazuje da  je pitanje kako se uopće uskladiti s GDPR-om jer korištenje bilo kakvog digitalnog servisa čije središte je u zemlji izvan EU (i vrlo kratkog popisa ostalih “odobrenih” zemalja) riskira kršenje GDPR-a jer se osobni podaci građana EU prenose u te zemlje, gdje nisu jednako zaštićeni.

S obzirom na to da većina digitalnih proizvoda bez kojih je poslovanje nezamislivo, poput Google Analyticsa, dolazi iz SAD-a, gdje je 2018. usvojen famozni CLOUD Act (prema kojem tajne službe od tvrtki mogu tražiti pristup svim podacima), ne čudi zbunjenost domaćih digitalaca oko toga što da rade. Teško da će američke alate nužne za poslovanje tako lako zamijeniti onim novozelandskima ili andorskima!

AZOP je samo citirao sve dosadašnje odluke

Oči su svi, za početak, uprli u domaće regulatorno tijelo, Agenciju za zaštitu podataka koja je, na konkretan upit koji se odnosio i na korištenje Google Analyticsa, odgovorila citiranjem svih dosadašnjih odluka i preporuka drugih tijela o prijenosu u SAD – što tvrtkama definitivno nije od pretjerane pomoći u ovoj situaciji.

Vrlo zaposleni su ovih dana su i pravnici te stručnjaci koji se bave zaštitom osobnih podataka koji naglašavaju da odluke europskih regulatornih tijela nisu šokantne već logična posljedica rušenja Štita privatnosti presudom Suda Europske unije u lipnju 2020. Činjenica da kazne dolaze tek sad zapravo znači da su tvrtke imale oko godinu i pol da se usklade s novonastalim pravilima.

Nažalost, kaže Duje Kozomara iz tvrtke Consent, činjenica je i da je velik broj tvrtki jednostavno odlučio ignorirati GDPR:

I prije presude Schrems 2 bilo je jasno da će Privacy Shield (Štit privatnosti) kao okvir za zakonit prijenos podataka u SAD pasti, a presuda je donesena prije godinu i pol dana. Poslovni subjekti su imali određen vremenski okvir da shvate što ona znači za njih i prilagode poslovanje.

Posljednje odluke nadzornih tijela samo na konkretnim slučajevima provode tu presudu Suda Europske unije, zaključuje Duje.

“Smanjite rizik pravilnom implementacijom Analyticsa“

Najviše pitanja, vjerujem, trenutno je oko toga kako se uskladiti s GDPR-om i nastaviti koristiti, za poslovanje mnogima nužan, Google Analytics. Zorin Radovančević iz osječkog Escapea vjerojatno je jedna od najkvalificiranijih osoba u Hrvatskoj kad je u pitanju implementacija i tehničkija strana Google Analyticsa.

Zorin, za početak, naglašava kako niti jedna od odluka koje su protumačene kao da je “Google Analytics ilegalan” ne tvrdi to,  već da u te tri konkretne situacije Analytics nije bio implementiran kako treba. Zato Zorin klijentima koji ga pitaju krše li propise ako nastave koristiti Googleovu analitiku savjetuje napraviti analizu i utvrditi kako mogu smanjiti rizik od kazne. Navodi i nekoliko primjera kako:

Tehnički savjet je vrlo jednostavan – smanjite rizik. Rizik se smanjuje tako da smanjite integraciju alata na najmanju moguću razinu, anonimizirate IP adresu, provjerite tko na razini računa sve ima pristup podacima, obrišete GET parametre iz URL-a koji bi mogli prenijeti osobne podatke, obrišete integracije koje nisu potrebne, budite sigurni da imate sve privole za prikupljanje podataka putem Analyticsa…

Osim tehničkih savjeta Zorin pomalo sarkastično navodi i onaj – obratite se pravniku koji može mapirati tehniku i odredbu te predviđa da bi pravni savjet u puno slučajeva mogao biti da odaberete neko drugo rješenje za analitiku.

Zorin daje i primjer kako se do toga dolazi u praksi:

Provjerite sve network requeste koji se izvršavaju u vašem svakodnevnom radu, a posebno na vašoj stranici pa napravite listu svih onih koji završavaju u US ili završavaju u EU, ali u vlasništvu američke tvrtke. Te sve requeste morate blokirati, s obzirom na to da vaša IP adresa, ali i vaših korisnika završavaju preko bare. Ako to napravite, shvatit ćete apsurdnost situacije – u većini slučajeva ne možete nastaviti normalno raditi ili jednostavno nema adekvatne zamjene za američke servise.

“Rijetko koja tvrtka radi u skladu s GDPR-om”

Odnosno, jednom kad se pobrinete da se držite osnovnog bontona (poput anonimizacije IP adresa, na što se odnosi jedna od odluka), malo je toga što se implementacijski, odnosno tehnički može napraviti. Zorin zato kaže da je ovo više pravno, nego tehničko pitanje:

Tehnika u ovom slučaju treba pratiti tumačenje pravnih odredbi, ali ovo je izrazito pravno pitanje jer, čak i uz privolu i vrlo eksplicitno i jasno objašnjenje, zbog prijenosa podataka u SAD niste usklađeni s GDPR-om.

Kazne su moguće, ali prema stanju stvari u Hrvatskoj, ali i šire, rijetko koja tvrtka trenutno radi u skladu s GDPR-om, barem u dijelu zvanom digital. Pregledom web stranica u Hrvatskoj, pa čak i onih organizacija kojima je posao zaštita osobnih podataka, lako je utvrditi i snimiti network requeste i uočiti da i oni šalju podatke u SAD korištenjem svih uobičajenih servisa – fontovi, captcha, CDN, mape, chatbotovi, email servisi…

Još jedan vrlo popularni apsurd je da sve te agencije nedavne odluke oko kršenja GDPR-a komuniciraju putem komunikacijskih platformi i društvenih mreža sa sjedištem u SAD-u, što znači da svi ti naši IP-jevi odlaze negdje.

Znaju li regulatori uopće može li GA biti zakonit?

Kozomara kaže kako se korištenje cloud proizvoda iz SAD-a značajno zakompliciralo za tvrtke koje obrađuju podatke EU korisnika ili su smještene u EU, ali da nije nemoguće. Dodaje da bi nadzorna tijela za zaštitu podataka trebala biti jasnija i direktnija kako bi uklonili bilo kakve nejasnoće za poslovne subjekte:

Posljednje odluke uglavnom idu u smjeru “Google Analytics tvrtka trenutno koristi na nezakonit način, a ako ga ne možete podesiti da se koristi zakonito, nemojte ga koristiti”.

Pravnu nesigurnost stvara upravo taj prostor u kojem se čini kao da ni sami nisu sigurni može li se Analytics ipak namjestiti da bude zakonit. Umjesto ostavljanja takvih praznina, njihova uloga trebala bi biti da što konciznije ustvrde ili da je servis potpuno nezakonit ili da daju jasnu uputu što napraviti da bude zakonit.

“Ovo je rat EU vs SAD”

I Google bi volio da se nadzorna tijela što prije smisle oko Analyticsa jer u svemu ovome pati i njihovo poslovanje iliti, kako je u svojoj reakciji to izrazio sam Google – neometani globalni protok informacija temelj je suvremene digitalne ekonomije. A kako bi se poslovanje nastavilo, Google zaziva EU i SAD da što prije ispregovaraju novi okvir koji će nedvosmisleno regulirati pravila kod prijenosa podataka.

Zorin se slaže da je izvedivost trenutnih pravila upitna te da je jedino logično rješenje na vidiku novi sporazum:

Problem je puno veći i dalekosežniji od postavljanja Analyticsa i udara u srž načina kako internet funkcionira kao globalni i slobodni medij za komunikaciju. Ovo je rat EU vs SAD, gdje EU već godinama gubi u tehnološkom smislu. EU želi zaštiti EU građane i kontrolirati transfer. Super. Mislim da izvedivost nije do kraja promišljena.

Rješenje će doći, s obzirom na to da obje strane u ovakvom sukobu gube. Vrlo vjerojatno kroz dodatna osiguranja vezana za prijenos i posljedični pristup osobnim podacima nakon transfera.

No, opet, moguća je kako struka karikira – izgradnja EU zida.

Zato su mnogi europski digitalni proizvodi požurili iskoristiti svojih pet minuta prilike i promovirati se kao “alternativa Google Analyticsu koja prioritizira zaštitu privatnih podataka” ili “email marketing alat koji je usklađen s GDPR-om”.

Međutim, za mnoge ne postoji adekvatna zamjena – koja isti posao obavlja jednako kvalitetno, jednostavno i za istu cijenu. A često prelazak na drugi servis nije ni lagan, ni praktičan. Recimo, mnoge hrvatske škole koriste Googleove servise za online nastavu i komunikaciju između učenika i profesora – znači li to da bi sad trebali tražiti neku europsku alternativu?

Postoje prijedlozi tech stručnjaka da se baze koje prikupljaju podatke građana EU drže na nekom “odobrenom” cloudu pa integracijskom platformom povežu s ostatkom poslovanja (koji također koriste priliku da promoviraju svoja, europska, tech rješenja), pitanje je – kakvog to sve smisla ima?

Zaključak: Bolje spriječiti, nego liječiti!

Pružatelji cloud usluga sa sjedištem u EU postoje, međutim – opet, niti jedan od njih nije realna alternativa globalnim liderima sa središtem u SAD, a koji drže oko dvije trećine globalnog digitalnog prometa. Čak i kad bismo išli tim putem, i inzistirali da europske tvrtke koriste uglavnom europske alate, rezultat toga na kraju bi bio, kako kaže jedan stručnjak, globalna digitalna ekonomija podijeljena na “europski dio interneta”, “američki dio interneta”, “kineski dio interneta”, “ruski dio interneta”… koji međusobno ne komuniciraju. Jesmo li sigurni da je baš to pravi put?

S druge strane, Kozomara napominje da privatnost i briga za privatnost apsolutno jest “naša digitalna budućnost”. On tvrtkama savjetuje da o privatnosti počnu razmišljati u skladu s osnovnim načelom GDPR-a, a to je “privacy by design”, odnosno “bolje spriječiti, nego liječiti”. O privatnosti ne bi trebale razmišljati kao o minimumu koji moraju napraviti da bi izbjegle kaznu, već o dodanoj vrijednosti za svoje posjetitelje ili korisnike.

Jako često ponavljam i da brigu o zaštiti osobnih podataka ne treba gledati samo iz perspektive straha od kazni, već i rasta povjerenja krajnjih korisnika te reputacije brenda. Najbolji primjer za to je Apple koji je brendiranje odlučio intenzivno okrenuti u smjeru brige o zaštiti privatnosti korisnika.

Dok čekaju hoće li se veliki dogovoriti, mali i srednji biznisi mogu jedino pitanje zaštite osobnih podataka (početi) shvaćati ozbiljno. Za početak, savjetuju stručnjaci,  neka analiziraju kako i koliko u svom digitalnom poslovanju prikupljaju osobne podatke, što s njima rade, koje alate koriste i dobivaju li od njih korisne informacije. I za to im ne trebaju konzultantni koje si ne mogu svi priuštiti – Kozomara savjetuje pratiti AZOP koji se u zadnje vrijeme posvetio edukaciji baš manjih poduzetnika, a Zorin upućuje i na novi europski projekt koji sadrži i upitnik za samoprocjenu rizika za manje i srednje biznise.