Stručnjaci: Zbog “pada” Štita privatnosti razmislite hoćete li koristiti američke servise kao što je Mailchimp 

Infobip ❤️ Netokracijašto akvizicija znači za vas - i nas?

Stručnjaci: Zbog “pada” Štita privatnosti razmislite hoćete li koristiti američke servise kao što je Mailchimp 

Dok se čeka razjašnjenje odnosa između SAD-a i EU u kontekstu prijenosa podataka, tvrtke koje prenose podatke van Europske unije moraju dokazati da su poduzele dovoljne mjere zaštite. Konzultantica za zaštitu podataka, Vlatka Vuković, smatra da su pojedini servisi prešutjeli bitne informacije.

U sjeni svih ostalih nemilih vijesti ostala je ona da je ljetos “pao” takozvani Štit privatnosti između Europske unije i SAD-a. Riječ je o sporazumu o zaštiti podataka koji je 2016. sklopljen između Europske komisije i američkog Ministarstva trgovine, a otkako je ljetos stavljen van snage, diskutabilno je koliko je mudro koristiti servise koji iznose podatke o svojim korisnicima izvan Europske unije. Ukupno je kroz njega bilo certificirano oko 5400 tvrtki.

Mogao bi to biti velik problem jer se među tim tvrtkama nalazi niz alata koje mnogi od nas svakodnevno koriste – najpoznatiji je svakako Facebook, koji je zbog ovoga čak i priprijetio odlaskom iz Europske unije, ali tu su i CloudFlare, Mailchimp, Microsoft i druge.

Mnoge tvrtke odmah su izašle s tvrdnjom da su osigurale siguran prijenos podataka izvan granica EU, a među njima je i Mailchimp (ako ste njihov korisnik, moguće je da ste ovih dana dobili i ažuriranu verziju njihove Izjave o privatnosti). Vlatka Vuković, pravnica i glavna konzultantica iz tvrtke Horvath Wolf, smatra da su u pojedinim objavama i ažuriranim obavijestima o zaštiti podataka izostavljene neke ključne informacije te da bi najsigurnije za njihove korisnike trenutno bilo da pronađu europsku alternativu tom servisu.

No, idemo redom.

Gdje je problem s prijenosom podataka građana van EU?

Glavni problem u prijenosu podataka građana Europske unije u SAD jest da se u kontekstu zaštite podataka Amerika, barem iz europske perspektive, smatra “trećom” zemljom. Zbog nepostojanja jedinstvenog i sveobuhvatnog propisa, kao što u Europskoj uniji postoji GDPR, problematično je kad podaci građana EU prenose u zemlju gdje ovo pitanje nije uređeno na takvoj razini, objašnjava Vlatka.

GDPR definira uvjete pod kojima su prijenosi podataka u treće zemlje dopušteni, ali ne zabranjuje prijenos i razmjenu podataka, napominje moja sugovornica, već propisuje mjere koje je potrebno poduzeti da bi se podaci zaštitili. Neke od takvih mjera su npr. standardne ugovorne klauzule ili obvezujuća korporativna pravila, ili pak odluka Europske komisije kojom se utvrđuje da neka zemlja jamči primjerenu zaštitu. Jednom od takvih odluka uspostavljen je i Privacy Shield.

Naravno, globalna razmjena i prijenos podataka neće prestati niti ih EU zabranjuje, ali svojim građanima želi osigurati zaštitu i kada se njihovi podaci obrađuju u npr. Kini, Rusiji, Indiji ili SAD.

2016. se činilo da SAD može dovoljno zaštiti osobne podatke Europljana, ali danas…

Naime, u trenutku kad je Štit privatnosti stupio na snagu, 2016. godine, Europska komisija procijenila je da SAD može osigurati primjerenu razinu zaštite osobnih podataka i da europski građani imaju jednaka prava pred javnim tijelima i sudovima u SAD kao i američki građani. Međutim, pokazalo se da je ova procjena bila pogrešna i da u praksi to i nije tako, ističe Vlatka.

Dvije su osnovne “zamjerke” koje Sud ističe u presudi.

Prvo, američki savezni zakoni u kombinaciji s ovlastima izvršne vlasti omogućuju masovni obavještajni nadzor, koji se ne svodi uvijek na ono što je nužno u pogledu količine prikupljenih podataka, broja nadziranih osoba ili vremenskog trajanja nadzora.

Drugi problem se odnosi na položaj stranaca pred američkim sudovima i javnim tijelima jer ne uživaju ista prava i zaštitu koje američkim građanima jamči Ustav SAD.

Dakle, procjena  je u samom startu bila pogrešna, a zanimljivo je da ovo nije prvi takav propust Europske komisije. Naime, 2015. Sud EU je presudom u predmetu Schrems I stavio van snage prethodni sporazum EU i SAD o prijenosu podataka – tzv. Safe Harbour.

Što trebaju napraviti tvrtke koje su se oslanjale na Štit privatnosti?

GDPR
Sad kad Privacy Shield više nije primjenjiv, potrebno je podatke koji se prenose u SAD zaštititi na druge načine koje predviđa GDPR.

I, što sad? Što to znači za tvrtke, za njihove korisnike, za same građane. U okviru Štita privatnosti bilo je certificirano preko 5000 tvrtki tvrtki. Među njima su mnoge koje svakodnevno koristimo, kao što su Facebook, Microsoft, Mailchimp, Cloudflare i brojne druge. Sada kada Privacy Shield više nije primjenjiv, potrebno je podatke koji se prenose u SAD zaštititi na druge načine koje predviđa GDPR, kaže Vlatka.

Najčešća i najjednostavnija alternativa su standardne ugovorne klauzule (SCC). Kako i naziv ukazuje, one su standardne i moraju se uvijek primijeniti u izvornom obliku, dakle predloženi tekst, da kažem “špranca”, ne smije se mijenjati.

Sud EU se u odluci osvrnuo na SCC te je naglasio da su kao mjera zaštite i dalje valjane i primjenjive, ne samo za SAD, već i za sve treće zemlje. Međutim, prema jednoj od klauzula prijenos se ne može obaviti ili se mora zaustaviti ako zbog nacionalnih propisa i ovlasti javnih tijela nije moguće ispuniti obaveze koje je na sebe preuzeo uvoznik podataka.

Ukratko, ako je tvrtka kojoj se šalju podaci, primjerice, davatelj elektroničke komunikacijske usluge i obveznik je primjene Foreign Intelligence Surveillance Acta (FISA) ili nekih drugih propisa koji mogu ograničiti prava i slobode građana, SCC ne mogu osigurati primjerenu zaštitu.

S pravne strane situacija je vrlo jasna. Svi gore spomenuti i slični  servisi su davatelji elektroničkih komunikacijskih usluga i obveznici FISA te se ne mogu osloniti na standardne ugovorne klauzule.

Zasad su Europski odbor za zaštitu podataka i nacionalna nadzorna tijela u svojim smjernicama dosta općeniti i savjetuju ocjenu svakog prijenosa, tj. tvrtke kojoj se šalju podaci, po principu “slučaj po slučaj”.

Primjer Mailchimpa: Potrebna su dodatna pojašnjenja da su podaci zaštićeni

Ovo je i političko i gospodarsko pitanje, stoga bi, prije bilo kakvih naglih odluka, bilo mudro pričekati daljnje konkretnije upute, kaže Vlatka, ali i osvrće se na jedan konkretan slučaj – mnogima omiljenog newsletter alata Mailchimpa.

Naime, ova se tvrtka oglasila o toj temi, i u kraćoj i u dužoj formi, a Vlatka, iako potvrđuje da je sve što je tu napisano točno, a u ažuriranoj verziji dodane su i informacije o SCC-u, ističe da su neke činjenice izostavljene.

Mailchimp je obveznik primjene FISA-e, što znači da američke obavještajne službe imaju mogućnost masovnog i neproporcionalnog nadzora nad podacima koje obrađuje Mailchimp. U ovom trenutku Mailchimp je svjestan toga te bi temeljem obveza iz SCC o tome trebao transparentno obavijestiti svoje korisnike iz EU, ali ključne informacije ipak nedostaju. Savjetujemo svima koji koriste Mailchimp da zatraže dokaze i dodatna pojašnjenja da su podaci zaista primjereno zaštićeni. U tome mogu pomoći materijali koje je pripremio NOYB – neprofitna udruga koju je osnovao Max Schrems.

Ti su materijali dostupni na stranici udruge, ali Vlatka smatra da bi ipak najsigurnije rješenje, dok se situacija ne razriješi, bilo korištenje alternativnog servisa koji ima sjedište u Europskoj uniji i ne prenosi podatke van nje.

Facebook se pobunio što je postao izdvojen primjer

Facebook se pobunio što je izdvojen među ostalim tvrtkama, ali iza toga stoji činjenica da je njegova irska tvrtka stranka u sudskom postupku.

Možda smo između 5400 tvrtki nepravedno izdvojili samo Mailchimp, ali isto se može primijeniti i na mnoge druge servise. No, istim argumentom, da je nepravedno izdvojen, koristio se i Facebook u rujnu, kad je navedeno da im nije jasno kako bi ta tvrtka, pod tim uvjetima, mogla nastaviti nuditi usluge Facebooka i Instagrama u Europskoj uniji. To su mnogi shvatili kao prijetnju da će povući svoje usluge iz EU (što je iznimno malo vjerojatan scenarij), a Vlatka objašnjava zašto je uopće došlo do isticanja upravo Facebooka u ovom slučaju.

Mogli bismo reći da je Facebook Ireland Ltd. izdvojen, ali to je zato što je bio stranka u sudskom postupku. Temeljem odluke Suda irsko nadzorno tijelo (DPC) trebalo bi prema Facebooku poduzeti određene mjere – zabraniti prijenos podataka, ali to izbjegava još od 2013. kada je Max Schrems prvi puta postavio zahtjev da se zaustavi prijenos njegovih podataka u SAD, tj. u Facebook Inc.

Trenutno smo svjedoci  pravnog prepucavanja DPC-a, Facebooka i Maxa Schremsa koje sigurno neće tako skoro završiti. DPC i dalje izbjegava odgovornost, a Facebook očekivano, a rekla bih i opravdano, štiti svoje interese i koristi sve dostupno pravno i PR “oružje”.

Sve ovo može biti poprilično zbunjujuće, i za građane, i za tvrtke. Neovisno o ovoj temi, Vlatka smatra da mnoge tvrtke zanemaruju zaštitu podataka ili je svode na prikupljanje privola i usvajanje generičkih dokumenata – pravilnika i procedura. Smatra ključnom edukaciju, i to na svim razinama, jer različite organizacije trebaju primjenjivati i različite tehničke i organizacijske mjere zaštite.

I Britanija bi mogla slijediti sudbinu SAD-a nakon Brexita

Za kraj, zanimljivo je što je i sudbina Velike Britanije neizvjesna. Zbog izlaska iz Europske unije, trenutno je u prijelaznom razdoblju do kraja ove godine. Do tada se primjenjuje GDPR i svi se prijenosi podataka odvijaju se nesmetano, kao i prema bilo kojoj drugoj članici EU. U najboljem slučaju, Europska komisija će do tog roka donijeti odluku da je Britanija primjerena za prijenos osobnih podataka, kaže Vlatka, ali, kako stvari stoje, to nije izgledno.

Naime, nedavnom presudom Suda EU (C-623/17) utvrđeno je da nacionalni propisi u UK omogućavaju obavještajnim službama masovno i neselektivno prikupljanje podataka o građanima, a situaciju dodatno komplicira i činjenica da je UK krajem 2019. sklopilo sporazum s SAD o razmjeni podataka u svrhe sprečavanja kaznenih dijela.

Komisiju zabrinjava mogućnost da temeljem tog sporazuma podaci koji se iz ostalih članica EU prenesu u UK završe u SAD, ali i mogućnost smanjenja razine zaštite i potencijalno ograničavanje prava na zaštitu podataka, sada kada UK više nije obvezna primjenjivati europske propise.

Dakle, moglo bi se dogoditi da i, uz SAD, i Velika Britanija postane “treća zemlja”, a onda bi i britanske tvrtke, kao i one koje prenose podatke u tu zemlju, mogle biti u problemu.

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Komentari

  1. Josip

    Josip

    30. 10. 2020. u 10:45 am Odgovori

    Cijeli taj štit je farsa. Ne znam nijednu osobu koja nije iziritirana beskrajnim klikanjem na GDPR gumb, naravno niti 0,01% ne pročita pravila koja ih tobože štite dok istovremeno sve veće države nesumnjivo prate Internet promet i šta na njemu tko radi i piše.

    EU umjesto da se bavi korisnim stvarima npr kako da bude konkurentna sve više ulazi u područja od kojih samo kompliciraju život ljudima.

  2. Mario

    Mario

    01. 11. 2020. u 1:55 pm Odgovori

    Ako sam dobro razumio, na web stranicama više nije legalno korstiti niti Google Analytics niti FB pixel, bez obzira na uobičajen pristanak korisnika (cookie consent za analitičke kolačiće) jer se podaci izvoze i obrađuju u Americi.
    Može komentar?

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Novost

Što se događa u tech industriji? Masovna otpuštanja, kripto-burza propala preko noći, a tek Twitter…

Malo je reći kako ovaj tjedan nije bio dobar za IT industriju. Zapravo, poprilično je kaotičan i čini se kako stabilnost neće doći uskoro...

Zabava i zanimljivosti

Marin u San Franciscu: TechCrunch Disruptom kruže roboti, na Golden Gateu nema signala

"I Left My Heart In San Francisco" pjevao je kultni američki pjevač Tony Bennett. Mogu li ja uskliknuti isto? Ne baš, ali San Francisco je grad koji će mi definitivno ostati u sjećanju do kraja života...

Društvene mreže

Gdje ćemo se družiti i raspravljati ako propadne Twitter?

Bilo da vas brine koliko dugo će još Twitter funkcionirati (što nije čudo s obzirom na svakodnevne vijesti o zbunjujućim poslovnim potezima) ili da ne želite biti dio Muskovog Twittera, evo što se nudi od alternativa.

Što ste propustili

Intervju

Dobili ste poruku od “prijatelja” koji moli da mu kupite bon? Evo što kaže policija o takvim prijevarama

Uvijek razmišljaš kako se upravo tako nešto neće dogoditi tebi... Ali ipak se dogodi.

Prikaz

Marko Rakar: Cyber kriminalci često su u sustavu tjednima prije nego “zaključaju” sve što imate

Koje su ono stereotipne tvrdnje za Hrvatsku? Obožavamo nogomet i kavu, imamo predivnu obalu... što je još ostalo? Tako je! Zaboravili smo našu sklonost korupciji, a koliko je ta skonost jaka pokazalo je opširno istraživanje. Na Dan cybersigurnosti komentiramo podatke s glavnim čovjekom iza istraživanja - Markom Rakarom.

Intervju

Hrvatski Meddox digitaliziranjem zdravstvenih nalaza privukao 10.000 aktivnih korisnika

Novi hrvatski healthtech projekt grabi naprijed. U prvoj godini, nakon investicije od 1,5 milijun kuna, došli su do 10 tisuća aktivnih korisnika, a za iduću godinu im je plan doći do 50 tisuća. Što ih čeka prije toga i kako su došli do trenutnih rezultata, otkrivaju nam suosnivačice.

Tvrtke i poslovanje

Engineering Management lekcije o Performance Managementu: kako izvući maksimum iz svog tima?

Ako ste vodili ljude, na pamet vam sigurno često padne ona poznata: sto ljudi - sto ćudi. A vi ste jedan menadžer! Kako izbalansirati različit učinak, očekivanja i mogućnosti kolega u timu otkrivamo ususret posljednjeg Photomathovog Engineering Management meetupa ove godine.

Tvrtke i poslovanje

Može li softver doista pomoći zviždačima koji upozoravaju na nepravilnosti u tvrtkama? Da, ali…

Iako može igrati važnu ulogu u poticanju prijava nepravilnosti i zaštiti identiteta, softver ne može riješiti ključne probleme s kojima se zviždači susreću.

Tehnologija

Zašto svaki NBA klub zapošljava podatkovne znanstvenike? Ispričat će Iztok Franko na Advanced Technlogy Days

Što stručnjak za digitalni marketing radi kao predavač na konferenciji koja se zove Advanced Technology Days? I kakve veze s tim ima košarka?