Stručnjaci: Zbog “pada” Štita privatnosti razmislite hoćete li koristiti američke servise kao što je Mailchimp 

Stručnjaci: Zbog “pada” Štita privatnosti razmislite hoćete li koristiti američke servise kao što je Mailchimp 

Dok se čeka razjašnjenje odnosa između SAD-a i EU u kontekstu prijenosa podataka, tvrtke koje prenose podatke van Europske unije moraju dokazati da su poduzele dovoljne mjere zaštite. Konzultantica za zaštitu podataka, Vlatka Vuković, smatra da su pojedini servisi prešutjeli bitne informacije.

U sjeni svih ostalih nemilih vijesti ostala je ona da je ljetos “pao” takozvani Štit privatnosti između Europske unije i SAD-a. Riječ je o sporazumu o zaštiti podataka koji je 2016. sklopljen između Europske komisije i američkog Ministarstva trgovine, a otkako je ljetos stavljen van snage, diskutabilno je koliko je mudro koristiti servise koji iznose podatke o svojim korisnicima izvan Europske unije. Ukupno je kroz njega bilo certificirano oko 5400 tvrtki.

Mogao bi to biti velik problem jer se među tim tvrtkama nalazi niz alata koje mnogi od nas svakodnevno koriste – najpoznatiji je svakako Facebook, koji je zbog ovoga čak i priprijetio odlaskom iz Europske unije, ali tu su i CloudFlare, Mailchimp, Microsoft i druge.

Mnoge tvrtke odmah su izašle s tvrdnjom da su osigurale siguran prijenos podataka izvan granica EU, a među njima je i Mailchimp (ako ste njihov korisnik, moguće je da ste ovih dana dobili i ažuriranu verziju njihove Izjave o privatnosti). Vlatka Vuković, pravnica i glavna konzultantica iz tvrtke Horvath Wolf, smatra da su u pojedinim objavama i ažuriranim obavijestima o zaštiti podataka izostavljene neke ključne informacije te da bi najsigurnije za njihove korisnike trenutno bilo da pronađu europsku alternativu tom servisu.

No, idemo redom.

Gdje je problem s prijenosom podataka građana van EU?

Glavni problem u prijenosu podataka građana Europske unije u SAD jest da se u kontekstu zaštite podataka Amerika, barem iz europske perspektive, smatra “trećom” zemljom. Zbog nepostojanja jedinstvenog i sveobuhvatnog propisa, kao što u Europskoj uniji postoji GDPR, problematično je kad podaci građana EU prenose u zemlju gdje ovo pitanje nije uređeno na takvoj razini, objašnjava Vlatka.

GDPR definira uvjete pod kojima su prijenosi podataka u treće zemlje dopušteni, ali ne zabranjuje prijenos i razmjenu podataka, napominje moja sugovornica, već propisuje mjere koje je potrebno poduzeti da bi se podaci zaštitili. Neke od takvih mjera su npr. standardne ugovorne klauzule ili obvezujuća korporativna pravila, ili pak odluka Europske komisije kojom se utvrđuje da neka zemlja jamči primjerenu zaštitu. Jednom od takvih odluka uspostavljen je i Privacy Shield.

Naravno, globalna razmjena i prijenos podataka neće prestati niti ih EU zabranjuje, ali svojim građanima želi osigurati zaštitu i kada se njihovi podaci obrađuju u npr. Kini, Rusiji, Indiji ili SAD.

2016. se činilo da SAD može dovoljno zaštiti osobne podatke Europljana, ali danas…

Naime, u trenutku kad je Štit privatnosti stupio na snagu, 2016. godine, Europska komisija procijenila je da SAD može osigurati primjerenu razinu zaštite osobnih podataka i da europski građani imaju jednaka prava pred javnim tijelima i sudovima u SAD kao i američki građani. Međutim, pokazalo se da je ova procjena bila pogrešna i da u praksi to i nije tako, ističe Vlatka.

Dvije su osnovne “zamjerke” koje Sud ističe u presudi.

Prvo, američki savezni zakoni u kombinaciji s ovlastima izvršne vlasti omogućuju masovni obavještajni nadzor, koji se ne svodi uvijek na ono što je nužno u pogledu količine prikupljenih podataka, broja nadziranih osoba ili vremenskog trajanja nadzora.

Drugi problem se odnosi na položaj stranaca pred američkim sudovima i javnim tijelima jer ne uživaju ista prava i zaštitu koje američkim građanima jamči Ustav SAD.

Dakle, procjena  je u samom startu bila pogrešna, a zanimljivo je da ovo nije prvi takav propust Europske komisije. Naime, 2015. Sud EU je presudom u predmetu Schrems I stavio van snage prethodni sporazum EU i SAD o prijenosu podataka – tzv. Safe Harbour.

Što trebaju napraviti tvrtke koje su se oslanjale na Štit privatnosti?

GDPR
Sad kad Privacy Shield više nije primjenjiv, potrebno je podatke koji se prenose u SAD zaštititi na druge načine koje predviđa GDPR.

I, što sad? Što to znači za tvrtke, za njihove korisnike, za same građane. U okviru Štita privatnosti bilo je certificirano preko 5000 tvrtki tvrtki. Među njima su mnoge koje svakodnevno koristimo, kao što su Facebook, Microsoft, Mailchimp, Cloudflare i brojne druge. Sada kada Privacy Shield više nije primjenjiv, potrebno je podatke koji se prenose u SAD zaštititi na druge načine koje predviđa GDPR, kaže Vlatka.

Najčešća i najjednostavnija alternativa su standardne ugovorne klauzule (SCC). Kako i naziv ukazuje, one su standardne i moraju se uvijek primijeniti u izvornom obliku, dakle predloženi tekst, da kažem “špranca”, ne smije se mijenjati.

Sud EU se u odluci osvrnuo na SCC te je naglasio da su kao mjera zaštite i dalje valjane i primjenjive, ne samo za SAD, već i za sve treće zemlje. Međutim, prema jednoj od klauzula prijenos se ne može obaviti ili se mora zaustaviti ako zbog nacionalnih propisa i ovlasti javnih tijela nije moguće ispuniti obaveze koje je na sebe preuzeo uvoznik podataka.

Ukratko, ako je tvrtka kojoj se šalju podaci, primjerice, davatelj elektroničke komunikacijske usluge i obveznik je primjene Foreign Intelligence Surveillance Acta (FISA) ili nekih drugih propisa koji mogu ograničiti prava i slobode građana, SCC ne mogu osigurati primjerenu zaštitu.

S pravne strane situacija je vrlo jasna. Svi gore spomenuti i slični  servisi su davatelji elektroničkih komunikacijskih usluga i obveznici FISA te se ne mogu osloniti na standardne ugovorne klauzule.

Zasad su Europski odbor za zaštitu podataka i nacionalna nadzorna tijela u svojim smjernicama dosta općeniti i savjetuju ocjenu svakog prijenosa, tj. tvrtke kojoj se šalju podaci, po principu “slučaj po slučaj”.

Primjer Mailchimpa: Potrebna su dodatna pojašnjenja da su podaci zaštićeni

Ovo je i političko i gospodarsko pitanje, stoga bi, prije bilo kakvih naglih odluka, bilo mudro pričekati daljnje konkretnije upute, kaže Vlatka, ali i osvrće se na jedan konkretan slučaj – mnogima omiljenog newsletter alata Mailchimpa.

Naime, ova se tvrtka oglasila o toj temi, i u kraćoj i u dužoj formi, a Vlatka, iako potvrđuje da je sve što je tu napisano točno, a u ažuriranoj verziji dodane su i informacije o SCC-u, ističe da su neke činjenice izostavljene.

Mailchimp je obveznik primjene FISA-e, što znači da američke obavještajne službe imaju mogućnost masovnog i neproporcionalnog nadzora nad podacima koje obrađuje Mailchimp. U ovom trenutku Mailchimp je svjestan toga te bi temeljem obveza iz SCC o tome trebao transparentno obavijestiti svoje korisnike iz EU, ali ključne informacije ipak nedostaju. Savjetujemo svima koji koriste Mailchimp da zatraže dokaze i dodatna pojašnjenja da su podaci zaista primjereno zaštićeni. U tome mogu pomoći materijali koje je pripremio NOYB – neprofitna udruga koju je osnovao Max Schrems.

Ti su materijali dostupni na stranici udruge, ali Vlatka smatra da bi ipak najsigurnije rješenje, dok se situacija ne razriješi, bilo korištenje alternativnog servisa koji ima sjedište u Europskoj uniji i ne prenosi podatke van nje.

Facebook se pobunio što je postao izdvojen primjer

Facebook se pobunio što je izdvojen među ostalim tvrtkama, ali iza toga stoji činjenica da je njegova irska tvrtka stranka u sudskom postupku.

Možda smo između 5400 tvrtki nepravedno izdvojili samo Mailchimp, ali isto se može primijeniti i na mnoge druge servise. No, istim argumentom, da je nepravedno izdvojen, koristio se i Facebook u rujnu, kad je navedeno da im nije jasno kako bi ta tvrtka, pod tim uvjetima, mogla nastaviti nuditi usluge Facebooka i Instagrama u Europskoj uniji. To su mnogi shvatili kao prijetnju da će povući svoje usluge iz EU (što je iznimno malo vjerojatan scenarij), a Vlatka objašnjava zašto je uopće došlo do isticanja upravo Facebooka u ovom slučaju.

Mogli bismo reći da je Facebook Ireland Ltd. izdvojen, ali to je zato što je bio stranka u sudskom postupku. Temeljem odluke Suda irsko nadzorno tijelo (DPC) trebalo bi prema Facebooku poduzeti određene mjere – zabraniti prijenos podataka, ali to izbjegava još od 2013. kada je Max Schrems prvi puta postavio zahtjev da se zaustavi prijenos njegovih podataka u SAD, tj. u Facebook Inc.

Trenutno smo svjedoci  pravnog prepucavanja DPC-a, Facebooka i Maxa Schremsa koje sigurno neće tako skoro završiti. DPC i dalje izbjegava odgovornost, a Facebook očekivano, a rekla bih i opravdano, štiti svoje interese i koristi sve dostupno pravno i PR “oružje”.

Sve ovo može biti poprilično zbunjujuće, i za građane, i za tvrtke. Neovisno o ovoj temi, Vlatka smatra da mnoge tvrtke zanemaruju zaštitu podataka ili je svode na prikupljanje privola i usvajanje generičkih dokumenata – pravilnika i procedura. Smatra ključnom edukaciju, i to na svim razinama, jer različite organizacije trebaju primjenjivati i različite tehničke i organizacijske mjere zaštite.

I Britanija bi mogla slijediti sudbinu SAD-a nakon Brexita

Za kraj, zanimljivo je što je i sudbina Velike Britanije neizvjesna. Zbog izlaska iz Europske unije, trenutno je u prijelaznom razdoblju do kraja ove godine. Do tada se primjenjuje GDPR i svi se prijenosi podataka odvijaju se nesmetano, kao i prema bilo kojoj drugoj članici EU. U najboljem slučaju, Europska komisija će do tog roka donijeti odluku da je Britanija primjerena za prijenos osobnih podataka, kaže Vlatka, ali, kako stvari stoje, to nije izgledno.

Naime, nedavnom presudom Suda EU (C-623/17) utvrđeno je da nacionalni propisi u UK omogućavaju obavještajnim službama masovno i neselektivno prikupljanje podataka o građanima, a situaciju dodatno komplicira i činjenica da je UK krajem 2019. sklopilo sporazum s SAD o razmjeni podataka u svrhe sprečavanja kaznenih dijela.

Komisiju zabrinjava mogućnost da temeljem tog sporazuma podaci koji se iz ostalih članica EU prenesu u UK završe u SAD, ali i mogućnost smanjenja razine zaštite i potencijalno ograničavanje prava na zaštitu podataka, sada kada UK više nije obvezna primjenjivati europske propise.

Dakle, moglo bi se dogoditi da i, uz SAD, i Velika Britanija postane “treća zemlja”, a onda bi i britanske tvrtke, kao i one koje prenose podatke u tu zemlju, mogle biti u problemu.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome)
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime (Hrvoje Lončar) ili barem ime i inicijala (Hrvoje L.) te pravu email adresu. Kako koristimo podatke koje tamo ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Komentari

  1. Josip

    Josip

    30. 10. 2020. u 10:45 am Odgovori

    Cijeli taj štit je farsa. Ne znam nijednu osobu koja nije iziritirana beskrajnim klikanjem na GDPR gumb, naravno niti 0,01% ne pročita pravila koja ih tobože štite dok istovremeno sve veće države nesumnjivo prate Internet promet i šta na njemu tko radi i piše.

    EU umjesto da se bavi korisnim stvarima npr kako da bude konkurentna sve više ulazi u područja od kojih samo kompliciraju život ljudima.

  2. Mario

    Mario

    01. 11. 2020. u 1:55 pm Odgovori

    Ako sam dobro razumio, na web stranicama više nije legalno korstiti niti Google Analytics niti FB pixel, bez obzira na uobičajen pristanak korisnika (cookie consent za analitičke kolačiće) jer se podaci izvoze i obrađuju u Americi.
    Može komentar?

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Sponzorirano

Kako izbjeći sklizak “onboarding” iliti zašto sam se uspješno ukrcala na RBA brod?

Prvi tjedni (a često i prvi mjeseci) ključni su za uspješno uključivanje zaposlenika na novo radno mjesto. Ovo su moja prva iskustva onboarding procesa na poziciju Senior Enterprise programerke u Raiffeisen banci iz kojih se daju izvući zanimljive pouke kako za novozaposlene, tako i za poslodavce.

Startupi i poslovanje

Može li servis PlatiMe pomoći onima koji ne mogu čekati naplatu računa?

Duga dospijeća plaćanja računa bolna su točka svakog poduzetnika, a u Hrvatskoj donedavno nije postojao praktičan način da ovaj problem riješite. Provjerili smo što to sprema domaći Moj-eRačun.

Startupi i poslovanje

Hrvatski jednorog pokreće program za startupe: Infobip Startup Tribe!

Hrvatska se nalazi u idealnom momentu za ekspanzivni rast startup ekosustava, ističe Nikola Pavešić, voditelj Infobipova tima kojim žele pridonijeti rastu i razvoju startupa u Hrvatskoj, ali i diljem drugih lokacija gdje je Infobip prisutan.

Što ste propustili

Izvještaj

Fintech startupi žele biti regulirani, ali traže otvorenost regulatora, brže odgovore i transparentne kriterije

Kriptovalute neizbježna su tema kada govorimo o financijskome svijetu koji se sve više digitalizira. Na dan održavanja konferencije Fintech – inovacije, rizici i odgovornost, jedan Bitcoin vrijedio je 238.940,91, a u trenutku pisanja ovoga članka vrijedi 196.236,28 kuna.

Startupi i poslovanje

Što je zapravo hrvatski TeamUp kojeg opisuju kao “Tinder za startupe”?

Hrvatski TeamUp već je zaradio vrlo dobre reakcije, a najbolje rezultate vide u pronalasku "soft skill" kadrova - više detalja otkrili smo u razgovoru s pokretačima.

Digitalni marketing

Raiffeisen bank pomaže perspektivnim studentima digitalnog marketinga putem stipendije “Luka Mak”

Luka Mak imao je tu nevjerojatnu sposobnost da iskreno kaže svoje mišljenje, a da pritom baš nikoga ne povrijedi. Uvijek se trudio biti bolji, svaki je dan učio od drugih i učio druge te pomicao granice. Ako i tebe krase takve osobine – možda te čeka stipendija Luka Mak.

Startupi i poslovanje

Brendiranje inovativnosti: Što Hrvatska može naučiti od Izraela, Švicarske i Velike Britanije?

Hrvatska ne gradi svoj imidž na inovativnosti, ne koristi inovativnost kao snažan komunikacijski alat u brendiranju zemlje niti prepoznaje potencijal inovativnosti kao hrvatsku "meku moć" kojom može konkurirati na svjetskom tržištu...

Video

Komentiramo EURO 2020 uz Nogometne Ikone!

EURO 2020 je tu, tko će kiksati, a tko iznenaditi? U novoj epizodi Netokracija Podcasta imamo malo netipičnu temu za nas, ali, naravno, iz digitalnog ugla uz pokretača Nogometnih ikona!

Intervju

Što SofaScore traži od “direktora proizvoda” čiju platformu svakodnevno koristi 20 milijuna korisnika?

"Product Director" možda nije titula koju toliko često vidimo na našem području, ali je izuzetno važna u tvrtkama posvećenima digitalnim proizvodima kao što je SofaScore.