Stručnjaci: Zbog “pada” Štita privatnosti razmislite hoćete li koristiti američke servise kao što je Mailchimp 

Stručnjaci: Zbog “pada” Štita privatnosti razmislite hoćete li koristiti američke servise kao što je Mailchimp 

Dok se čeka razjašnjenje odnosa između SAD-a i EU u kontekstu prijenosa podataka, tvrtke koje prenose podatke van Europske unije moraju dokazati da su poduzele dovoljne mjere zaštite. Konzultantica za zaštitu podataka, Vlatka Vuković, smatra da su pojedini servisi prešutjeli bitne informacije.

U sjeni svih ostalih nemilih vijesti ostala je ona da je ljetos “pao” takozvani Štit privatnosti između Europske unije i SAD-a. Riječ je o sporazumu o zaštiti podataka koji je 2016. sklopljen između Europske komisije i američkog Ministarstva trgovine, a otkako je ljetos stavljen van snage, diskutabilno je koliko je mudro koristiti servise koji iznose podatke o svojim korisnicima izvan Europske unije. Ukupno je kroz njega bilo certificirano oko 5400 tvrtki.

Mogao bi to biti velik problem jer se među tim tvrtkama nalazi niz alata koje mnogi od nas svakodnevno koriste – najpoznatiji je svakako Facebook, koji je zbog ovoga čak i priprijetio odlaskom iz Europske unije, ali tu su i CloudFlare, Mailchimp, Microsoft i druge.

Mnoge tvrtke odmah su izašle s tvrdnjom da su osigurale siguran prijenos podataka izvan granica EU, a među njima je i Mailchimp (ako ste njihov korisnik, moguće je da ste ovih dana dobili i ažuriranu verziju njihove Izjave o privatnosti). Vlatka Vuković, pravnica i glavna konzultantica iz tvrtke Horvath Wolf, smatra da su u pojedinim objavama i ažuriranim obavijestima o zaštiti podataka izostavljene neke ključne informacije te da bi najsigurnije za njihove korisnike trenutno bilo da pronađu europsku alternativu tom servisu.

No, idemo redom.

Gdje je problem s prijenosom podataka građana van EU?

Glavni problem u prijenosu podataka građana Europske unije u SAD jest da se u kontekstu zaštite podataka Amerika, barem iz europske perspektive, smatra “trećom” zemljom. Zbog nepostojanja jedinstvenog i sveobuhvatnog propisa, kao što u Europskoj uniji postoji GDPR, problematično je kad podaci građana EU prenose u zemlju gdje ovo pitanje nije uređeno na takvoj razini, objašnjava Vlatka.

GDPR definira uvjete pod kojima su prijenosi podataka u treće zemlje dopušteni, ali ne zabranjuje prijenos i razmjenu podataka, napominje moja sugovornica, već propisuje mjere koje je potrebno poduzeti da bi se podaci zaštitili. Neke od takvih mjera su npr. standardne ugovorne klauzule ili obvezujuća korporativna pravila, ili pak odluka Europske komisije kojom se utvrđuje da neka zemlja jamči primjerenu zaštitu. Jednom od takvih odluka uspostavljen je i Privacy Shield.

Naravno, globalna razmjena i prijenos podataka neće prestati niti ih EU zabranjuje, ali svojim građanima želi osigurati zaštitu i kada se njihovi podaci obrađuju u npr. Kini, Rusiji, Indiji ili SAD.

2016. se činilo da SAD može dovoljno zaštiti osobne podatke Europljana, ali danas…

Naime, u trenutku kad je Štit privatnosti stupio na snagu, 2016. godine, Europska komisija procijenila je da SAD može osigurati primjerenu razinu zaštite osobnih podataka i da europski građani imaju jednaka prava pred javnim tijelima i sudovima u SAD kao i američki građani. Međutim, pokazalo se da je ova procjena bila pogrešna i da u praksi to i nije tako, ističe Vlatka.

Dvije su osnovne “zamjerke” koje Sud ističe u presudi.

Prvo, američki savezni zakoni u kombinaciji s ovlastima izvršne vlasti omogućuju masovni obavještajni nadzor, koji se ne svodi uvijek na ono što je nužno u pogledu količine prikupljenih podataka, broja nadziranih osoba ili vremenskog trajanja nadzora.

Drugi problem se odnosi na položaj stranaca pred američkim sudovima i javnim tijelima jer ne uživaju ista prava i zaštitu koje američkim građanima jamči Ustav SAD.

Dakle, procjena  je u samom startu bila pogrešna, a zanimljivo je da ovo nije prvi takav propust Europske komisije. Naime, 2015. Sud EU je presudom u predmetu Schrems I stavio van snage prethodni sporazum EU i SAD o prijenosu podataka – tzv. Safe Harbour.

Što trebaju napraviti tvrtke koje su se oslanjale na Štit privatnosti?

GDPR
Sad kad Privacy Shield više nije primjenjiv, potrebno je podatke koji se prenose u SAD zaštititi na druge načine koje predviđa GDPR.

I, što sad? Što to znači za tvrtke, za njihove korisnike, za same građane. U okviru Štita privatnosti bilo je certificirano preko 5000 tvrtki tvrtki. Među njima su mnoge koje svakodnevno koristimo, kao što su Facebook, Microsoft, Mailchimp, Cloudflare i brojne druge. Sada kada Privacy Shield više nije primjenjiv, potrebno je podatke koji se prenose u SAD zaštititi na druge načine koje predviđa GDPR, kaže Vlatka.

Najčešća i najjednostavnija alternativa su standardne ugovorne klauzule (SCC). Kako i naziv ukazuje, one su standardne i moraju se uvijek primijeniti u izvornom obliku, dakle predloženi tekst, da kažem “špranca”, ne smije se mijenjati.

Sud EU se u odluci osvrnuo na SCC te je naglasio da su kao mjera zaštite i dalje valjane i primjenjive, ne samo za SAD, već i za sve treće zemlje. Međutim, prema jednoj od klauzula prijenos se ne može obaviti ili se mora zaustaviti ako zbog nacionalnih propisa i ovlasti javnih tijela nije moguće ispuniti obaveze koje je na sebe preuzeo uvoznik podataka.

Ukratko, ako je tvrtka kojoj se šalju podaci, primjerice, davatelj elektroničke komunikacijske usluge i obveznik je primjene Foreign Intelligence Surveillance Acta (FISA) ili nekih drugih propisa koji mogu ograničiti prava i slobode građana, SCC ne mogu osigurati primjerenu zaštitu.

S pravne strane situacija je vrlo jasna. Svi gore spomenuti i slični  servisi su davatelji elektroničkih komunikacijskih usluga i obveznici FISA te se ne mogu osloniti na standardne ugovorne klauzule.

Zasad su Europski odbor za zaštitu podataka i nacionalna nadzorna tijela u svojim smjernicama dosta općeniti i savjetuju ocjenu svakog prijenosa, tj. tvrtke kojoj se šalju podaci, po principu “slučaj po slučaj”.

Primjer Mailchimpa: Potrebna su dodatna pojašnjenja da su podaci zaštićeni

Ovo je i političko i gospodarsko pitanje, stoga bi, prije bilo kakvih naglih odluka, bilo mudro pričekati daljnje konkretnije upute, kaže Vlatka, ali i osvrće se na jedan konkretan slučaj – mnogima omiljenog newsletter alata Mailchimpa.

Naime, ova se tvrtka oglasila o toj temi, i u kraćoj i u dužoj formi, a Vlatka, iako potvrđuje da je sve što je tu napisano točno, a u ažuriranoj verziji dodane su i informacije o SCC-u, ističe da su neke činjenice izostavljene.

Mailchimp je obveznik primjene FISA-e, što znači da američke obavještajne službe imaju mogućnost masovnog i neproporcionalnog nadzora nad podacima koje obrađuje Mailchimp. U ovom trenutku Mailchimp je svjestan toga te bi temeljem obveza iz SCC o tome trebao transparentno obavijestiti svoje korisnike iz EU, ali ključne informacije ipak nedostaju. Savjetujemo svima koji koriste Mailchimp da zatraže dokaze i dodatna pojašnjenja da su podaci zaista primjereno zaštićeni. U tome mogu pomoći materijali koje je pripremio NOYB – neprofitna udruga koju je osnovao Max Schrems.

Ti su materijali dostupni na stranici udruge, ali Vlatka smatra da bi ipak najsigurnije rješenje, dok se situacija ne razriješi, bilo korištenje alternativnog servisa koji ima sjedište u Europskoj uniji i ne prenosi podatke van nje.

Facebook se pobunio što je postao izdvojen primjer

Facebook se pobunio što je izdvojen među ostalim tvrtkama, ali iza toga stoji činjenica da je njegova irska tvrtka stranka u sudskom postupku.

Možda smo između 5400 tvrtki nepravedno izdvojili samo Mailchimp, ali isto se može primijeniti i na mnoge druge servise. No, istim argumentom, da je nepravedno izdvojen, koristio se i Facebook u rujnu, kad je navedeno da im nije jasno kako bi ta tvrtka, pod tim uvjetima, mogla nastaviti nuditi usluge Facebooka i Instagrama u Europskoj uniji. To su mnogi shvatili kao prijetnju da će povući svoje usluge iz EU (što je iznimno malo vjerojatan scenarij), a Vlatka objašnjava zašto je uopće došlo do isticanja upravo Facebooka u ovom slučaju.

Mogli bismo reći da je Facebook Ireland Ltd. izdvojen, ali to je zato što je bio stranka u sudskom postupku. Temeljem odluke Suda irsko nadzorno tijelo (DPC) trebalo bi prema Facebooku poduzeti određene mjere – zabraniti prijenos podataka, ali to izbjegava još od 2013. kada je Max Schrems prvi puta postavio zahtjev da se zaustavi prijenos njegovih podataka u SAD, tj. u Facebook Inc.

Trenutno smo svjedoci  pravnog prepucavanja DPC-a, Facebooka i Maxa Schremsa koje sigurno neće tako skoro završiti. DPC i dalje izbjegava odgovornost, a Facebook očekivano, a rekla bih i opravdano, štiti svoje interese i koristi sve dostupno pravno i PR “oružje”.

Sve ovo može biti poprilično zbunjujuće, i za građane, i za tvrtke. Neovisno o ovoj temi, Vlatka smatra da mnoge tvrtke zanemaruju zaštitu podataka ili je svode na prikupljanje privola i usvajanje generičkih dokumenata – pravilnika i procedura. Smatra ključnom edukaciju, i to na svim razinama, jer različite organizacije trebaju primjenjivati i različite tehničke i organizacijske mjere zaštite.

I Britanija bi mogla slijediti sudbinu SAD-a nakon Brexita

Za kraj, zanimljivo je što je i sudbina Velike Britanije neizvjesna. Zbog izlaska iz Europske unije, trenutno je u prijelaznom razdoblju do kraja ove godine. Do tada se primjenjuje GDPR i svi se prijenosi podataka odvijaju se nesmetano, kao i prema bilo kojoj drugoj članici EU. U najboljem slučaju, Europska komisija će do tog roka donijeti odluku da je Britanija primjerena za prijenos osobnih podataka, kaže Vlatka, ali, kako stvari stoje, to nije izgledno.

Naime, nedavnom presudom Suda EU (C-623/17) utvrđeno je da nacionalni propisi u UK omogućavaju obavještajnim službama masovno i neselektivno prikupljanje podataka o građanima, a situaciju dodatno komplicira i činjenica da je UK krajem 2019. sklopilo sporazum s SAD o razmjeni podataka u svrhe sprečavanja kaznenih dijela.

Komisiju zabrinjava mogućnost da temeljem tog sporazuma podaci koji se iz ostalih članica EU prenesu u UK završe u SAD, ali i mogućnost smanjenja razine zaštite i potencijalno ograničavanje prava na zaštitu podataka, sada kada UK više nije obvezna primjenjivati europske propise.

Dakle, moglo bi se dogoditi da i, uz SAD, i Velika Britanija postane “treća zemlja”, a onda bi i britanske tvrtke, kao i one koje prenose podatke u tu zemlju, mogle biti u problemu.

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Komentari

  1. Josip

    Josip

    30. 10. 2020. u 10:45 am Odgovori

    Cijeli taj štit je farsa. Ne znam nijednu osobu koja nije iziritirana beskrajnim klikanjem na GDPR gumb, naravno niti 0,01% ne pročita pravila koja ih tobože štite dok istovremeno sve veće države nesumnjivo prate Internet promet i šta na njemu tko radi i piše.

    EU umjesto da se bavi korisnim stvarima npr kako da bude konkurentna sve više ulazi u područja od kojih samo kompliciraju život ljudima.

  2. Mario

    Mario

    01. 11. 2020. u 1:55 pm Odgovori

    Ako sam dobro razumio, na web stranicama više nije legalno korstiti niti Google Analytics niti FB pixel, bez obzira na uobičajen pristanak korisnika (cookie consent za analitičke kolačiće) jer se podaci izvoze i obrađuju u Americi.
    Može komentar?

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Tehnologija

Modrić, papige i printeri znaju da nas roboti neće zamijeniti

Poplava GPT-4 gurua i Microsoft vs Google utrke stvara dojam friške revolucije, no umjetna inteligencija već desetljećima skriva iste kosture u ormaru. Dobrih ideja i rješenja ima mnogo. Lovaca u mutnom vjerojatno i više. Pitanje je samo - tko će biti glasniji?

Društvene mreže

Sve više mama-influencerica skriva lica svoje djece s interneta. I to je ispravna odluka.

Djeca influencera i djeca influenceri koja su odrasla na internetu danas na pragu zrelosti osvještavaju da im se zapravo nije sviđalo djetinjstvo pred kamerama i u suradnjama s brendovima. Ujedno je i sve više i daleko ozbiljnijih situacija gdje iskorištavanje djece na internetu graniči s kaznenim djelima.

Panel

Tri godine poslije pandemije: Jesmo li doista promijenili modele rada ili smo se vratili u urede?

Globalni tehnološki divovi skoro pa na silu vraćaju zaposlenike u urede, jesu li domaće IT tvrtke prigrlile fleksibilnost analiziramo uz primjere iz Photomatha, Combisa, Endave i Ars Future...

Što ste propustili

Intervju

Andrea Knez Karačić: Broj godina iskustva ne određuje nečiji senioritet

U seriji intervjua s iskusnim inženjerima domaće IT industrije otkrivamo kako su izgledali njihovi karijerni putovi, kako se postaje senior i ostaje u tijeku s novim tehnologijama, je li bolje specijalizirati se za određenu tehnologiju ili biti generalist i - što bi savjetovali juniorima.

Karijere

Je li doktorski studij korak na koji se isplati odvažiti – dok radite?

Ivan, Petar, Tomislav i Goran iz Poslovne inteligencije opisali su nam svoj put do doktorske titule: zašto su upisali doktorski studij, što im je pomoglo kad je bilo najteže te koliko im je na kraju donio znanja koja danas mogu koristiti na poslu.

Mobilne aplikacije

Zašto (i) Spotify želi postati TikTok?

Spotify je najavio velike promjene unutar aplikacije koje narušavaju korisničko iskustvo samog slušanja glazbe. Zašto se podigla tolika prašina, što nam donose nove funkcionalnosti i hoće li Spotify izgubiti vjerne korisnike?

Kolumna

ChatGPT je novi makretinški mesija. Ili?

Svake godine, a ponekad, ako smo dovoljno dobri, i dva puta godišnje pojavi se novi mesija marketinga koji je došao odagnati apsolutno sve naše marketinške muke, promijeniti svijet marketinga i dati nam odrješenje svih naših marketinških grijeha. Trenutno, po nekima, to je ChatGPT.

Tvrtke i poslovanje

Hrvatska platforma GameBoost osigurala 2 milijuna eura od Fil Rouge Capitala i Feelsgooda

GameBoost planira pobijediti globalnu konkurenciju u ponudi gaming usluga poput treniranja igrača i zajedničkog igranja u popularnim online multiplayer video igrama. Korak bliže tome dovodi ih nova investicijska runda.

Novost

Infobip imenovao Richarda Krasku na mjesto financijskog direktora

Richard Kraska je iskusni financijski stručnjak, koji je prije dolaska u Infobip obnašao dužnosti financijskog direktora u nekoliko brzorastućih softverskih tvrtki.