Stručnjaci: Zbog “pada” Štita privatnosti razmislite hoćete li koristiti američke servise kao što je Mailchimp 

Stručnjaci: Zbog “pada” Štita privatnosti razmislite hoćete li koristiti američke servise kao što je Mailchimp 

Dok se čeka razjašnjenje odnosa između SAD-a i EU u kontekstu prijenosa podataka, tvrtke koje prenose podatke van Europske unije moraju dokazati da su poduzele dovoljne mjere zaštite. Konzultantica za zaštitu podataka, Vlatka Vuković, smatra da su pojedini servisi prešutjeli bitne informacije.

U sjeni svih ostalih nemilih vijesti ostala je ona da je ljetos “pao” takozvani Štit privatnosti između Europske unije i SAD-a. Riječ je o sporazumu o zaštiti podataka koji je 2016. sklopljen između Europske komisije i američkog Ministarstva trgovine, a otkako je ljetos stavljen van snage, diskutabilno je koliko je mudro koristiti servise koji iznose podatke o svojim korisnicima izvan Europske unije. Ukupno je kroz njega bilo certificirano oko 5400 tvrtki.

Mogao bi to biti velik problem jer se među tim tvrtkama nalazi niz alata koje mnogi od nas svakodnevno koriste – najpoznatiji je svakako Facebook, koji je zbog ovoga čak i priprijetio odlaskom iz Europske unije, ali tu su i CloudFlare, Mailchimp, Microsoft i druge.

Mnoge tvrtke odmah su izašle s tvrdnjom da su osigurale siguran prijenos podataka izvan granica EU, a među njima je i Mailchimp (ako ste njihov korisnik, moguće je da ste ovih dana dobili i ažuriranu verziju njihove Izjave o privatnosti). Vlatka Vuković, pravnica i glavna konzultantica iz tvrtke Horvath Wolf, smatra da su u pojedinim objavama i ažuriranim obavijestima o zaštiti podataka izostavljene neke ključne informacije te da bi najsigurnije za njihove korisnike trenutno bilo da pronađu europsku alternativu tom servisu.

No, idemo redom.

Gdje je problem s prijenosom podataka građana van EU?

Glavni problem u prijenosu podataka građana Europske unije u SAD jest da se u kontekstu zaštite podataka Amerika, barem iz europske perspektive, smatra “trećom” zemljom. Zbog nepostojanja jedinstvenog i sveobuhvatnog propisa, kao što u Europskoj uniji postoji GDPR, problematično je kad podaci građana EU prenose u zemlju gdje ovo pitanje nije uređeno na takvoj razini, objašnjava Vlatka.

GDPR definira uvjete pod kojima su prijenosi podataka u treće zemlje dopušteni, ali ne zabranjuje prijenos i razmjenu podataka, napominje moja sugovornica, već propisuje mjere koje je potrebno poduzeti da bi se podaci zaštitili. Neke od takvih mjera su npr. standardne ugovorne klauzule ili obvezujuća korporativna pravila, ili pak odluka Europske komisije kojom se utvrđuje da neka zemlja jamči primjerenu zaštitu. Jednom od takvih odluka uspostavljen je i Privacy Shield.

Naravno, globalna razmjena i prijenos podataka neće prestati niti ih EU zabranjuje, ali svojim građanima želi osigurati zaštitu i kada se njihovi podaci obrađuju u npr. Kini, Rusiji, Indiji ili SAD.

2016. se činilo da SAD može dovoljno zaštiti osobne podatke Europljana, ali danas…

Naime, u trenutku kad je Štit privatnosti stupio na snagu, 2016. godine, Europska komisija procijenila je da SAD može osigurati primjerenu razinu zaštite osobnih podataka i da europski građani imaju jednaka prava pred javnim tijelima i sudovima u SAD kao i američki građani. Međutim, pokazalo se da je ova procjena bila pogrešna i da u praksi to i nije tako, ističe Vlatka.

Dvije su osnovne “zamjerke” koje Sud ističe u presudi.

Prvo, američki savezni zakoni u kombinaciji s ovlastima izvršne vlasti omogućuju masovni obavještajni nadzor, koji se ne svodi uvijek na ono što je nužno u pogledu količine prikupljenih podataka, broja nadziranih osoba ili vremenskog trajanja nadzora.

Drugi problem se odnosi na položaj stranaca pred američkim sudovima i javnim tijelima jer ne uživaju ista prava i zaštitu koje američkim građanima jamči Ustav SAD.

Dakle, procjena  je u samom startu bila pogrešna, a zanimljivo je da ovo nije prvi takav propust Europske komisije. Naime, 2015. Sud EU je presudom u predmetu Schrems I stavio van snage prethodni sporazum EU i SAD o prijenosu podataka – tzv. Safe Harbour.

Što trebaju napraviti tvrtke koje su se oslanjale na Štit privatnosti?

GDPR
Sad kad Privacy Shield više nije primjenjiv, potrebno je podatke koji se prenose u SAD zaštititi na druge načine koje predviđa GDPR.

I, što sad? Što to znači za tvrtke, za njihove korisnike, za same građane. U okviru Štita privatnosti bilo je certificirano preko 5000 tvrtki tvrtki. Među njima su mnoge koje svakodnevno koristimo, kao što su Facebook, Microsoft, Mailchimp, Cloudflare i brojne druge. Sada kada Privacy Shield više nije primjenjiv, potrebno je podatke koji se prenose u SAD zaštititi na druge načine koje predviđa GDPR, kaže Vlatka.

Najčešća i najjednostavnija alternativa su standardne ugovorne klauzule (SCC). Kako i naziv ukazuje, one su standardne i moraju se uvijek primijeniti u izvornom obliku, dakle predloženi tekst, da kažem “špranca”, ne smije se mijenjati.

Sud EU se u odluci osvrnuo na SCC te je naglasio da su kao mjera zaštite i dalje valjane i primjenjive, ne samo za SAD, već i za sve treće zemlje. Međutim, prema jednoj od klauzula prijenos se ne može obaviti ili se mora zaustaviti ako zbog nacionalnih propisa i ovlasti javnih tijela nije moguće ispuniti obaveze koje je na sebe preuzeo uvoznik podataka.

Ukratko, ako je tvrtka kojoj se šalju podaci, primjerice, davatelj elektroničke komunikacijske usluge i obveznik je primjene Foreign Intelligence Surveillance Acta (FISA) ili nekih drugih propisa koji mogu ograničiti prava i slobode građana, SCC ne mogu osigurati primjerenu zaštitu.

S pravne strane situacija je vrlo jasna. Svi gore spomenuti i slični  servisi su davatelji elektroničkih komunikacijskih usluga i obveznici FISA te se ne mogu osloniti na standardne ugovorne klauzule.

Zasad su Europski odbor za zaštitu podataka i nacionalna nadzorna tijela u svojim smjernicama dosta općeniti i savjetuju ocjenu svakog prijenosa, tj. tvrtke kojoj se šalju podaci, po principu “slučaj po slučaj”.

Primjer Mailchimpa: Potrebna su dodatna pojašnjenja da su podaci zaštićeni

Ovo je i političko i gospodarsko pitanje, stoga bi, prije bilo kakvih naglih odluka, bilo mudro pričekati daljnje konkretnije upute, kaže Vlatka, ali i osvrće se na jedan konkretan slučaj – mnogima omiljenog newsletter alata Mailchimpa.

Naime, ova se tvrtka oglasila o toj temi, i u kraćoj i u dužoj formi, a Vlatka, iako potvrđuje da je sve što je tu napisano točno, a u ažuriranoj verziji dodane su i informacije o SCC-u, ističe da su neke činjenice izostavljene.

Mailchimp je obveznik primjene FISA-e, što znači da američke obavještajne službe imaju mogućnost masovnog i neproporcionalnog nadzora nad podacima koje obrađuje Mailchimp. U ovom trenutku Mailchimp je svjestan toga te bi temeljem obveza iz SCC o tome trebao transparentno obavijestiti svoje korisnike iz EU, ali ključne informacije ipak nedostaju. Savjetujemo svima koji koriste Mailchimp da zatraže dokaze i dodatna pojašnjenja da su podaci zaista primjereno zaštićeni. U tome mogu pomoći materijali koje je pripremio NOYB – neprofitna udruga koju je osnovao Max Schrems.

Ti su materijali dostupni na stranici udruge, ali Vlatka smatra da bi ipak najsigurnije rješenje, dok se situacija ne razriješi, bilo korištenje alternativnog servisa koji ima sjedište u Europskoj uniji i ne prenosi podatke van nje.

Facebook se pobunio što je postao izdvojen primjer

Facebook se pobunio što je izdvojen među ostalim tvrtkama, ali iza toga stoji činjenica da je njegova irska tvrtka stranka u sudskom postupku.

Možda smo između 5400 tvrtki nepravedno izdvojili samo Mailchimp, ali isto se može primijeniti i na mnoge druge servise. No, istim argumentom, da je nepravedno izdvojen, koristio se i Facebook u rujnu, kad je navedeno da im nije jasno kako bi ta tvrtka, pod tim uvjetima, mogla nastaviti nuditi usluge Facebooka i Instagrama u Europskoj uniji. To su mnogi shvatili kao prijetnju da će povući svoje usluge iz EU (što je iznimno malo vjerojatan scenarij), a Vlatka objašnjava zašto je uopće došlo do isticanja upravo Facebooka u ovom slučaju.

Mogli bismo reći da je Facebook Ireland Ltd. izdvojen, ali to je zato što je bio stranka u sudskom postupku. Temeljem odluke Suda irsko nadzorno tijelo (DPC) trebalo bi prema Facebooku poduzeti određene mjere – zabraniti prijenos podataka, ali to izbjegava još od 2013. kada je Max Schrems prvi puta postavio zahtjev da se zaustavi prijenos njegovih podataka u SAD, tj. u Facebook Inc.

Trenutno smo svjedoci  pravnog prepucavanja DPC-a, Facebooka i Maxa Schremsa koje sigurno neće tako skoro završiti. DPC i dalje izbjegava odgovornost, a Facebook očekivano, a rekla bih i opravdano, štiti svoje interese i koristi sve dostupno pravno i PR “oružje”.

Sve ovo može biti poprilično zbunjujuće, i za građane, i za tvrtke. Neovisno o ovoj temi, Vlatka smatra da mnoge tvrtke zanemaruju zaštitu podataka ili je svode na prikupljanje privola i usvajanje generičkih dokumenata – pravilnika i procedura. Smatra ključnom edukaciju, i to na svim razinama, jer različite organizacije trebaju primjenjivati i različite tehničke i organizacijske mjere zaštite.

I Britanija bi mogla slijediti sudbinu SAD-a nakon Brexita

Za kraj, zanimljivo je što je i sudbina Velike Britanije neizvjesna. Zbog izlaska iz Europske unije, trenutno je u prijelaznom razdoblju do kraja ove godine. Do tada se primjenjuje GDPR i svi se prijenosi podataka odvijaju se nesmetano, kao i prema bilo kojoj drugoj članici EU. U najboljem slučaju, Europska komisija će do tog roka donijeti odluku da je Britanija primjerena za prijenos osobnih podataka, kaže Vlatka, ali, kako stvari stoje, to nije izgledno.

Naime, nedavnom presudom Suda EU (C-623/17) utvrđeno je da nacionalni propisi u UK omogućavaju obavještajnim službama masovno i neselektivno prikupljanje podataka o građanima, a situaciju dodatno komplicira i činjenica da je UK krajem 2019. sklopilo sporazum s SAD o razmjeni podataka u svrhe sprečavanja kaznenih dijela.

Komisiju zabrinjava mogućnost da temeljem tog sporazuma podaci koji se iz ostalih članica EU prenesu u UK završe u SAD, ali i mogućnost smanjenja razine zaštite i potencijalno ograničavanje prava na zaštitu podataka, sada kada UK više nije obvezna primjenjivati europske propise.

Dakle, moglo bi se dogoditi da i, uz SAD, i Velika Britanija postane “treća zemlja”, a onda bi i britanske tvrtke, kao i one koje prenose podatke u tu zemlju, mogle biti u problemu.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome)
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime (Hrvoje Lončar) ili barem ime i inicijala (Hrvoje L.) te pravu email adresu. Kako koristimo podatke koje tamo ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Komentari

  1. Josip

    Josip

    30. 10. 2020. u 10:45 am Odgovori

    Cijeli taj štit je farsa. Ne znam nijednu osobu koja nije iziritirana beskrajnim klikanjem na GDPR gumb, naravno niti 0,01% ne pročita pravila koja ih tobože štite dok istovremeno sve veće države nesumnjivo prate Internet promet i šta na njemu tko radi i piše.

    EU umjesto da se bavi korisnim stvarima npr kako da bude konkurentna sve više ulazi u područja od kojih samo kompliciraju život ljudima.

  2. Mario

    Mario

    01. 11. 2020. u 1:55 pm Odgovori

    Ako sam dobro razumio, na web stranicama više nije legalno korstiti niti Google Analytics niti FB pixel, bez obzira na uobičajen pristanak korisnika (cookie consent za analitičke kolačiće) jer se podaci izvoze i obrađuju u Americi.
    Može komentar?

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Digitalni marketing

Digitalna industrija je u ku*cu, ali Social Dilemma je jeftina Skynet drama koja to ne zna reći

Social Dilemma nije više #1 izbor na Netflixu, a mnogi su već dali svoje mišljenje neovisno o tome jesu ga gledali. Ovo je kritički osvrt na odlično vizualno ostvarenje dokumentarca koji otvara mnoga pitanja, ali i isceniranu dramu o zlim društvenim mrežama koja daje malo odgovora - često površnih.

Startupi i poslovanje

Mate Rimac transparentno o financijama, svojoj plaći, kampusu i uključivanju radnika kao suvlasnika Rimac Automobila

U izuzetno dobrodošlom primjeru transparentnosti koji rijetko viđamo u svjetskoj, a kamoli hrvatskoj tehnološkoj industriji, Mate Rimac je na YouTubeu objavio sat vremena dug pregled izvještaja Rimac Automobila za treći kvartal 2020. Izdvajamo neke od zanimljivijih informacija.

Startupi i poslovanje

Borealis: Kako je programer Dennis Puzak startup “fail” pretvorio u uspješnu agenciju za digitalne proizvode

Dennis je počeo kao programer i teško zarađene novce uložio u startup - koji nije uspio. No naučeno iskustvo u samo je nekoliko godina pretvorio u agenciju za digitalne proizvode koje želi zadržati malom i izuzetno kvalitetnom.

Što ste propustili

Tehnologija

Ako želimo AI industriju, prvo moramo izgraditi zajednicu

Ciklus razvoja AI proizvoda je poprilično drugačiji od drugih vrsta softverskih proizvoda, a ako želimo da se Hrvatska ucrta na AI mapu svijeta, morat ćemo poraditi na dijeljenju znanja i iskustava među našim stručnjacima i tvrtkama.

Kultura 2.0

Kako je digitalna industrija došla do “Spavat ću kad umrem” stava i što možemo učiniti da to promijenimo

Želimo li u brzopromjenjivoj industriji poput digitalne ostvariti sve što smo zamislili - dan se čini prekratak. Jesu li neprospavane noći investicija ili trošak koji dolazi na naplatu? Možda oboje, a možda možemo bolje...

Startupi i poslovanje

Postaju li IT inženjeri digitalni “prepperi”?

Digitalna tvrtka koja se bavi pružanjem usluge o kojoj ovisi svakodnevica korisnika mora biti dostupna u svim situacijama. Kao IT inženjeri jednostavno morate očekivati - neočekivano. 2020. nije ništa značajno promijenila - samo nam je to još više potvrdila.

Kultura 2.0

4 koraka koja će vas sigurno pripremiti za Black Friday i Cyber Monday!

Prije par godina još se i moglo dogoditi da neke web trgovine potpuno ignoriraju Black Friday, ali ne i u 2020. Puno je izbora, a vremena su neizvjesna - kako pronaći najbolje ponude? Ovi savjeti mogli bi vam poslužiti.

Startupi i poslovanje

Kriza medicinskog kanabisa splitsku tvrtku Agilno pripremila za healthtech boom 2020.

Tržište medicinskog kanabisa prošle je godine doživjelo velike probleme, a što je uvelike utjecalo na glavni projekt splitske tvrtke Agilno - Strainprint aplikaciju. Kako su poučeni tim iskustvom pivotirali u smjer healthtecha?

Kultura 2.0

Sigurnije ne znači lošije – iskustvo, što dvostruka autentifikacija donosi za kupce i trgovce?

Do kraja godine u svim zemljama EU počet će primjena regulative koja će naše digitalne transakcije osigurati s dvostrukom autentifikacijom. Postoje vrlo dobri razlozi zašto zbog toga ne bismo trebali gunđati, već biti sretni i zadovoljni.