Pravni rat, tehničko pitanje ili zaštita privatnosti: možete li se uskladiti s GDPR-om ako koristite servise iz SAD-a?

Infobip ❤️ Netokracijašto akvizicija znači za vas - i nas?

Pravni rat, tehničko pitanje ili zaštita privatnosti: možete li se uskladiti s GDPR-om ako koristite servise iz SAD-a?

"Rijetko koja tvrtka trenutno radi u skladu s GDPR-om, barem u digitalnom dijelu", zaključuje stručnjak za implementaciju Google Analyticsa Zorin Radovančević. Kako bi se pitanje prijenosa podataka građana EU u SAD korištenjem američkih digitalnih proizvoda moglo razriješiti pitali smo njega i stručnjaka za zaštitu privatnosti, Duju Kozomaru.

Iako već par tjedana nismo čuli novu bombastičnu odluku nekog regulatornog tijela zemlje članice EU oko korištenja uobičajenih digitalnih proizvoda, to ne znači da po tom pitanju vlada zatišje. Štoviše, vlasnici, voditelji ili odgovorne osobe biznisa koji se temelje na bilo kakvom digitalnom poslovanju na sto su muka – nastaviti kao dosad i čekati neki dogovor na višim razinama (ali riskirati kaznu) ili uložiti vrijeme novac i ljudske resurse u zahtjevan proces usklađivanja s GDPR-om?

Međutim, smjer na upućuje nekoliko posljednjih odluka…

…ukazuje da  je pitanje kako se uopće uskladiti s GDPR-om jer korištenje bilo kakvog digitalnog servisa čije središte je u zemlji izvan EU (i vrlo kratkog popisa ostalih “odobrenih” zemalja) riskira kršenje GDPR-a jer se osobni podaci građana EU prenose u te zemlje, gdje nisu jednako zaštićeni.

S obzirom na to da većina digitalnih proizvoda bez kojih je poslovanje nezamislivo, poput Google Analyticsa, dolazi iz SAD-a, gdje je 2018. usvojen famozni CLOUD Act (prema kojem tajne službe od tvrtki mogu tražiti pristup svim podacima), ne čudi zbunjenost domaćih digitalaca oko toga što da rade. Teško da će američke alate nužne za poslovanje tako lako zamijeniti onim novozelandskima ili andorskima!

AZOP je samo citirao sve dosadašnje odluke

Oči su svi, za početak, uprli u domaće regulatorno tijelo, Agenciju za zaštitu podataka koja je, na konkretan upit koji se odnosio i na korištenje Google Analyticsa, odgovorila citiranjem svih dosadašnjih odluka i preporuka drugih tijela o prijenosu u SAD – što tvrtkama definitivno nije od pretjerane pomoći u ovoj situaciji.

Vrlo zaposleni su ovih dana su i pravnici te stručnjaci koji se bave zaštitom osobnih podataka koji naglašavaju da odluke europskih regulatornih tijela nisu šokantne već logična posljedica rušenja Štita privatnosti presudom Suda Europske unije u lipnju 2020. Činjenica da kazne dolaze tek sad zapravo znači da su tvrtke imale oko godinu i pol da se usklade s novonastalim pravilima.

Nažalost, kaže Duje Kozomara iz tvrtke Consent, činjenica je i da je velik broj tvrtki jednostavno odlučio ignorirati GDPR:

I prije presude Schrems 2 bilo je jasno da će Privacy Shield (Štit privatnosti) kao okvir za zakonit prijenos podataka u SAD pasti, a presuda je donesena prije godinu i pol dana. Poslovni subjekti su imali određen vremenski okvir da shvate što ona znači za njih i prilagode poslovanje.

Posljednje odluke nadzornih tijela samo na konkretnim slučajevima provode tu presudu Suda Europske unije, zaključuje Duje.

“Smanjite rizik pravilnom implementacijom Analyticsa

Najviše pitanja, vjerujem, trenutno je oko toga kako se uskladiti s GDPR-om i nastaviti koristiti, za poslovanje mnogima nužan, Google Analytics. Zorin Radovančević iz osječkog Escapea vjerojatno je jedna od najkvalificiranijih osoba u Hrvatskoj kad je u pitanju implementacija i tehničkija strana Google Analyticsa.

Zorin, za početak, naglašava kako niti jedna od odluka koje su protumačene kao da je “Google Analytics ilegalan” ne tvrdi to,  već da u te tri konkretne situacije Analytics nije bio implementiran kako treba. Zato Zorin klijentima koji ga pitaju krše li propise ako nastave koristiti Googleovu analitiku savjetuje napraviti analizu i utvrditi kako mogu smanjiti rizik od kazne. Navodi i nekoliko primjera kako:

Tehnički savjet je vrlo jednostavan – smanjite rizik. Rizik se smanjuje tako da smanjite integraciju alata na najmanju moguću razinu, anonimizirate IP adresu, provjerite tko na razini računa sve ima pristup podacima, obrišete GET parametre iz URL-a koji bi mogli prenijeti osobne podatke, obrišete integracije koje nisu potrebne, budite sigurni da imate sve privole za prikupljanje podataka putem Analyticsa…

Osim tehničkih savjeta Zorin pomalo sarkastično navodi i onaj – obratite se pravniku koji može mapirati tehniku i odredbu te predviđa da bi pravni savjet u puno slučajeva mogao biti da odaberete neko drugo rješenje za analitiku.

Zorin daje i primjer kako se do toga dolazi u praksi:

Provjerite sve network requeste koji se izvršavaju u vašem svakodnevnom radu, a posebno na vašoj stranici pa napravite listu svih onih koji završavaju u US ili završavaju u EU, ali u vlasništvu američke tvrtke. Te sve requeste morate blokirati, s obzirom na to da vaša IP adresa, ali i vaših korisnika završavaju preko bare. Ako to napravite, shvatit ćete apsurdnost situacije – u većini slučajeva ne možete nastaviti normalno raditi ili jednostavno nema adekvatne zamjene za američke servise.

“Rijetko koja tvrtka radi u skladu s GDPR-om”

Odnosno, jednom kad se pobrinete da se držite osnovnog bontona (poput anonimizacije IP adresa, na što se odnosi jedna od odluka), malo je toga što se implementacijski, odnosno tehnički može napraviti. Zorin zato kaže da je ovo više pravno, nego tehničko pitanje:

Tehnika u ovom slučaju treba pratiti tumačenje pravnih odredbi, ali ovo je izrazito pravno pitanje jer, čak i uz privolu i vrlo eksplicitno i jasno objašnjenje, zbog prijenosa podataka u SAD niste usklađeni s GDPR-om.

Kazne su moguće, ali prema stanju stvari u Hrvatskoj, ali i šire, rijetko koja tvrtka trenutno radi u skladu s GDPR-om, barem u dijelu zvanom digital. Pregledom web stranica u Hrvatskoj, pa čak i onih organizacija kojima je posao zaštita osobnih podataka, lako je utvrditi i snimiti network requeste i uočiti da i oni šalju podatke u SAD korištenjem svih uobičajenih servisa – fontovi, captcha, CDN, mape, chatbotovi, email servisi…

Još jedan vrlo popularni apsurd je da sve te agencije nedavne odluke oko kršenja GDPR-a komuniciraju putem komunikacijskih platformi i društvenih mreža sa sjedištem u SAD-u, što znači da svi ti naši IP-jevi odlaze negdje.

Znaju li regulatori uopće može li GA biti zakonit?

Kozomara kaže kako se korištenje cloud proizvoda iz SAD-a značajno zakompliciralo za tvrtke koje obrađuju podatke EU korisnika ili su smještene u EU, ali da nije nemoguće. Dodaje da bi nadzorna tijela za zaštitu podataka trebala biti jasnija i direktnija kako bi uklonili bilo kakve nejasnoće za poslovne subjekte:

Posljednje odluke uglavnom idu u smjeru “Google Analytics tvrtka trenutno koristi na nezakonit način, a ako ga ne možete podesiti da se koristi zakonito, nemojte ga koristiti”.

Pravnu nesigurnost stvara upravo taj prostor u kojem se čini kao da ni sami nisu sigurni može li se Analytics ipak namjestiti da bude zakonit. Umjesto ostavljanja takvih praznina, njihova uloga trebala bi biti da što konciznije ustvrde ili da je servis potpuno nezakonit ili da daju jasnu uputu što napraviti da bude zakonit.

“Ovo je rat EU vs SAD”

I Google bi volio da se nadzorna tijela što prije smisle oko Analyticsa jer u svemu ovome pati i njihovo poslovanje iliti, kako je u svojoj reakciji to izrazio sam Google – neometani globalni protok informacija temelj je suvremene digitalne ekonomije. A kako bi se poslovanje nastavilo, Google zaziva EU i SAD da što prije ispregovaraju novi okvir koji će nedvosmisleno regulirati pravila kod prijenosa podataka.

Zorin se slaže da je izvedivost trenutnih pravila upitna te da je jedino logično rješenje na vidiku novi sporazum:

Problem je puno veći i dalekosežniji od postavljanja Analyticsa i udara u srž načina kako internet funkcionira kao globalni i slobodni medij za komunikaciju. Ovo je rat EU vs SAD, gdje EU već godinama gubi u tehnološkom smislu. EU želi zaštiti EU građane i kontrolirati transfer. Super. Mislim da izvedivost nije do kraja promišljena.

Rješenje će doći, s obzirom na to da obje strane u ovakvom sukobu gube. Vrlo vjerojatno kroz dodatna osiguranja vezana za prijenos i posljedični pristup osobnim podacima nakon transfera.

No, opet, moguća je kako struka karikira – izgradnja EU zida.

Zato su mnogi europski digitalni proizvodi požurili iskoristiti svojih pet minuta prilike i promovirati se kao “alternativa Google Analyticsu koja prioritizira zaštitu privatnih podataka” ili “email marketing alat koji je usklađen s GDPR-om”.

Međutim, za mnoge ne postoji adekvatna zamjena – koja isti posao obavlja jednako kvalitetno, jednostavno i za istu cijenu. A često prelazak na drugi servis nije ni lagan, ni praktičan. Recimo, mnoge hrvatske škole koriste Googleove servise za online nastavu i komunikaciju između učenika i profesora – znači li to da bi sad trebali tražiti neku europsku alternativu?

Postoje prijedlozi tech stručnjaka da se baze koje prikupljaju podatke građana EU drže na nekom “odobrenom” cloudu pa integracijskom platformom povežu s ostatkom poslovanja (koji također koriste priliku da promoviraju svoja, europska, tech rješenja), pitanje je – kakvog to sve smisla ima?

Zaključak: Bolje spriječiti, nego liječiti!

Pružatelji cloud usluga sa sjedištem u EU postoje, međutim – opet, niti jedan od njih nije realna alternativa globalnim liderima sa središtem u SAD, a koji drže oko dvije trećine globalnog digitalnog prometa. Čak i kad bismo išli tim putem, i inzistirali da europske tvrtke koriste uglavnom europske alate, rezultat toga na kraju bi bio, kako kaže jedan stručnjak, globalna digitalna ekonomija podijeljena na “europski dio interneta”, “američki dio interneta”, “kineski dio interneta”, “ruski dio interneta”… koji međusobno ne komuniciraju. Jesmo li sigurni da je baš to pravi put?

S druge strane, Kozomara napominje da privatnost i briga za privatnost apsolutno jest “naša digitalna budućnost”. On tvrtkama savjetuje da o privatnosti počnu razmišljati u skladu s osnovnim načelom GDPR-a, a to je “privacy by design”, odnosno “bolje spriječiti, nego liječiti”. O privatnosti ne bi trebale razmišljati kao o minimumu koji moraju napraviti da bi izbjegle kaznu, već o dodanoj vrijednosti za svoje posjetitelje ili korisnike.

Jako često ponavljam i da brigu o zaštiti osobnih podataka ne treba gledati samo iz perspektive straha od kazni, već i rasta povjerenja krajnjih korisnika te reputacije brenda. Najbolji primjer za to je Apple koji je brendiranje odlučio intenzivno okrenuti u smjeru brige o zaštiti privatnosti korisnika.

Dok čekaju hoće li se veliki dogovoriti, mali i srednji biznisi mogu jedino pitanje zaštite osobnih podataka (početi) shvaćati ozbiljno. Za početak, savjetuju stručnjaci,  neka analiziraju kako i koliko u svom digitalnom poslovanju prikupljaju osobne podatke, što s njima rade, koje alate koriste i dobivaju li od njih korisne informacije. I za to im ne trebaju konzultantni koje si ne mogu svi priuštiti – Kozomara savjetuje pratiti AZOP koji se u zadnje vrijeme posvetio edukaciji baš manjih poduzetnika, a Zorin upućuje i na novi europski projekt koji sadrži i upitnik za samoprocjenu rizika za manje i srednje biznise.

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Novost

Što se događa u tech industriji? Masovna otpuštanja, kripto-burza propala preko noći, a tek Twitter…

Malo je reći kako ovaj tjedan nije bio dobar za IT industriju. Zapravo, poprilično je kaotičan i čini se kako stabilnost neće doći uskoro...

Zabava i zanimljivosti

Marin u San Franciscu: TechCrunch Disruptom kruže roboti, na Golden Gateu nema signala

"I Left My Heart In San Francisco" pjevao je kultni američki pjevač Tony Bennett. Mogu li ja uskliknuti isto? Ne baš, ali San Francisco je grad koji će mi definitivno ostati u sjećanju do kraja života...

Društvene mreže

Gdje ćemo se družiti i raspravljati ako propadne Twitter?

Bilo da vas brine koliko dugo će još Twitter funkcionirati (što nije čudo s obzirom na svakodnevne vijesti o zbunjujućim poslovnim potezima) ili da ne želite biti dio Muskovog Twittera, evo što se nudi od alternativa.

Što ste propustili

Tvrtke i poslovanje

Marko Rakar: Cyber kriminalci često su u sustavu tjednima prije nego “zaključaju” sve što imate

Koje su ono stereotipne tvrdnje za Hrvatsku? Obožavamo nogomet i kavu, imamo predivnu obalu... što je još ostalo? Tako je! Zaboravili smo našu sklonost korupciji, a koliko je ta skonost jaka pokazalo je opširno istraživanje. Na Dan cybersigurnosti komentiramo podatke s glavnim čovjekom iza istraživanja - Markom Rakarom.

Digitalni proizvodi

Hrvatski Meddox digitaliziranjem zdravstvenih nalaza privukao 10 tisuća aktivnih korisnika

Novi hrvatski healthtech projekt grabi naprijed. U prvoj godini, nakon investicije od 1,5 milijun kuna, došli su do 10 tisuća aktivnih korisnika, a za iduću godinu im je plan doći do 50 tisuća. Što ih čeka prije toga i kako su došli do trenutnih rezultata, otkrivaju nam suosnivačice.

Tvrtke i poslovanje

Engineering Management lekcije o Performance Managementu: kako izvući maksimum iz svog tima?

Ako ste vodili ljude, na pamet vam sigurno često padne ona poznata: sto ljudi - sto ćudi. A vi ste jedan menadžer! Kako izbalansirati različit učinak, očekivanja i mogućnosti kolega u timu otkrivamo ususret posljednjeg Photomathovog Engineering Management meetupa ove godine.

Tvrtke i poslovanje

Može li softver doista pomoći zviždačima koji upozoravaju na nepravilnosti u tvrtkama? Da, ali…

Iako može igrati važnu ulogu u poticanju prijava nepravilnosti i zaštiti identiteta, softver ne može riješiti ključne probleme s kojima se zviždači susreću.

Intervju

Zašto svaki NBA klub zapošljava podatkovne znanstvenike? Ispričat će Iztok Franko na Advanced Technlogy Days

Što stručnjak za digitalni marketing radi kao predavač na konferenciji koja se zove Advanced Technology Days? I kakve veze s tim ima košarka?

Digitalni marketing

Maja Bilić iz Googlea savjetuje kako se pripremiti za ukidanje kolačića treće strane

U novoj epizodi Netokracijinog podcasta ugostila sam - svoju sestru! Ne samo jer mi je sestra :D, nego jer je Maja odlična sugovornica na temu o kojoj intenzivno razmišljaju svi koji se bave digitalnim marketingom, e-commerceom ili rade u digitalnim medijima.