Poslovne rešitve
25.02.2022 11:09
Posodobljeno 3 leta nazaj.

Deli z drugimi:

Share

Kaj bo z obdelavami osebnih podatkov v ZDA?

Po razveljavitvi Zasebnostnega ščita smo bili priča več odločitvam v EU, da uporaba Google Analitike (GA) ali fontov ni v skladu s pravili, ki jih postavlja GDPR, kar pod vprašaj postavlja skladnost vseh obdelav osebnih podatkov pri ponudnikih s sedežem v ZDA.

Prepoved GA in posledice

V vseh primerih je bilo jedro odločitve v tem, da Google kljub uporabljenim standardnim pogodbenim klavzulam zaradi zahtev zakonodaje ZDA ne more zagotoviti nivoja varovanja zasebnosti, ki bi bil primerljiv z nivojem v EU.

Če mora Google spoštovati zakonodajo ZDA (FISA in CLOUD Act) in je ta zakonodaja vsaj eden od razlogov, zaradi katerih je Googlova Analitika v nemilosti evropskih nadzornih organov, potem moramo nujno predvideti, da bodo prej ali slej v nemilosti nadzornih organov v EU tudi Gmail, Drive, Foto in ostale storitve, ki prinašajo še večjo določljivost kot Googlova analitika. Podobno seveda lahko predvidimo tudi za druge ponudnike in storitve, ki podležejo sporni zakonodaji.

Vprašanje, ki si ga ta trenutek zastavljajo vsi, ki uporabljajo storitev pri ponudnikih iz ZDA, je torej, ali in kako sploh še smemo izvažati osebne podatke v ZDA?

Rešitve ena za vse vam na tem mestu seveda ne moremo dati, lahko pa vam položimo v razmislek nekaj vodil:

  1. Razmislite, ali storitev v resnici potrebujete ali pa lahko zadrego rešite s podobno, za posameznika manj invazivno storitvijo.
  2. Preverite, če lahko primerno rešitev dobite tudi v EU ali vsaj v tretji državi, za katero ne velja zakonodaja podobna FISA ali CLOUD Act. Pri izbiri ne pozabite narediti primerjalne analize zmogljivosti, ki bo hkrati dokaz nadzornemu organu, da ste res preiskali vse možnosti.
  3. Če storitev ponudnika iz ZDA že uporabljate, preverite, če je ponudnik (ali kdorkoli od njegovih pod-obdelovalcev) v resnici zavezan FISA ali CLOUD Act. Bodite vztrajni, saj je to ključno vprašanje ki ga morate odgovoriti, ponudniki pa se po naših izkušnjah radi izogibajo jasnemu odgovoru.

Če pri zgornjem postopku ugotovite, da ponudnik, čeprav iz ZDA, ni zavezan k spoštovanju FISA in/ali CLOUD Act, potem so standardne pogodbene klavzule lahko čisto korektna rešitev, ki niti ne bo zahtevala preveč napora z vaše strani.

Če boste v zgornjem postopku ugotovili, da je vaš ponudnik ali katerikoli od njegovih pod-obdelovalcev zavezan FISA in/ali CLOUD Act, potem se zavedajte, da njegova/njihova obveza velja za vse njihove strežniške kapacitete, ne glede na to, kje na zemeljski obli se le-te nahajajo. Zato:

  1. Ponudnika povprašajte, če svojo storitev nudi tudi preko partnerjev, ki niso zavezani FISA in/ali CLOUD Act.
  2. Od ponudnika zahtevajte (in ne pustite se odgnati), da vam predstavi vse možnosti za dodatne varovalne ukrepe.
  3. Ocenite izvedbo ukrepov, tveganje in potencialne stroške neskladnosti.
  4. Spremljajte alternativne storitve in pravočasno pripravite mitigacijski načrt za menjavo ponudnika.

Skratka, bodite proaktivni, razmišljajte o možnih alternativah in dokumentirajte svojo rešitev.

Ni vse prepovedano

Če torej povzamemo: Osebne podatke bomo še vedno lahko izvažali (tudi) v ZDA. Spremeni pa se pravna podlaga. Pred 16. 7. 2020 smo smeli uporabiti 45. člen GDPR (Prenos na podlagi sklepa o ustreznosti), sedaj pa bomo v takem primeru smeli uporabiti 46. člen GDPR (Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi).

Dosedanje odločitve in sodbe tudi povedo, da bomo v primeru, ko obstaja možnost, da je ponudnik zavezan FISA ali CLOUD Act, morali zelo jasno in strogo določiti zaščitne ukrepe tako, da bo vaš ponudnik lahko kvalificirano potrdil službam v ZDA, da nima dostopa do vaših podatkov – to pa iz tehničnih razlogov ne bo nujno vedno mogoče.

Ravno zaradi kombinacije tehničnih in pravnih izzivov bo zato še bolj pomembno, da svoje odločitve še pred izvedbo preverite tako s pravnega, kakor tudi s tehničnega stališča, kar naj bo tudi vaše vodilo pri morebitni izbiri zunanjih svetovalcev.

Podrobneje to tematiko in druge praktične izzive varstva osebnih podatkov predstavljamo na portalu GDPR GURU.

Avtor prispevka: Primož Govekar, Info hiša


Prijavi napako v članku
Članek je pripravljen v sodelovanju s podjetjem Info hiša d.o.o..


Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

iPROM d.o.o.

Šlandrova ulica 4b, 1231 Ljubljana Črnuče, Tel: 01 511 07 50
Digitalna odličnost, ki prepriča iPROM je hiša znanja in izkušenj, ki naročnikom poenostavlja kompleksnost trženja v digitalnem okolju. Pripravljajo, organizirajo in izvajajo ... Več

TMSA.PINTAR d.o.o.

Podsabotin 47, 5211 Kojsko, Tel: 041 695 667
Zlati partner

COLBY d.o.o.

Ob Dravi 6, 2000 Maribor, Tel: 02 330 33 00
Podjetje Colby d.o.o. je bilo ustanovljeno leta 1993. Ukvarja se s prodajo iger za računalnike in igralne konzole. V začetku so prodajali preko pošte, kasneje preko lastne trgovine. ... Več
Bronasti partner

openIT d.o.o.

Dimičeva ulica 13, 1000 Ljubljana, Tel: 01 589 81 89
OpenIT od leta 2012 izvaja poslovna izobraževanja s področja digitalnega marketinga, računovodstva, upravljanja s človeškimi viri (HR), prodaje, prava, financ, time managementa ... Več