Poslovne rešitve
25.02.2022 11:09
Posodobljeno 3 leta nazaj.

Deli z drugimi:

Share

Kaj bo z obdelavami osebnih podatkov v ZDA?

Po razveljavitvi Zasebnostnega ščita smo bili priča več odločitvam v EU, da uporaba Google Analitike (GA) ali fontov ni v skladu s pravili, ki jih postavlja GDPR, kar pod vprašaj postavlja skladnost vseh obdelav osebnih podatkov pri ponudnikih s sedežem v ZDA.

Prepoved GA in posledice

V vseh primerih je bilo jedro odločitve v tem, da Google kljub uporabljenim standardnim pogodbenim klavzulam zaradi zahtev zakonodaje ZDA ne more zagotoviti nivoja varovanja zasebnosti, ki bi bil primerljiv z nivojem v EU.

Če mora Google spoštovati zakonodajo ZDA (FISA in CLOUD Act) in je ta zakonodaja vsaj eden od razlogov, zaradi katerih je Googlova Analitika v nemilosti evropskih nadzornih organov, potem moramo nujno predvideti, da bodo prej ali slej v nemilosti nadzornih organov v EU tudi Gmail, Drive, Foto in ostale storitve, ki prinašajo še večjo določljivost kot Googlova analitika. Podobno seveda lahko predvidimo tudi za druge ponudnike in storitve, ki podležejo sporni zakonodaji.

Vprašanje, ki si ga ta trenutek zastavljajo vsi, ki uporabljajo storitev pri ponudnikih iz ZDA, je torej, ali in kako sploh še smemo izvažati osebne podatke v ZDA?

Rešitve ena za vse vam na tem mestu seveda ne moremo dati, lahko pa vam položimo v razmislek nekaj vodil:

  1. Razmislite, ali storitev v resnici potrebujete ali pa lahko zadrego rešite s podobno, za posameznika manj invazivno storitvijo.
  2. Preverite, če lahko primerno rešitev dobite tudi v EU ali vsaj v tretji državi, za katero ne velja zakonodaja podobna FISA ali CLOUD Act. Pri izbiri ne pozabite narediti primerjalne analize zmogljivosti, ki bo hkrati dokaz nadzornemu organu, da ste res preiskali vse možnosti.
  3. Če storitev ponudnika iz ZDA že uporabljate, preverite, če je ponudnik (ali kdorkoli od njegovih pod-obdelovalcev) v resnici zavezan FISA ali CLOUD Act. Bodite vztrajni, saj je to ključno vprašanje ki ga morate odgovoriti, ponudniki pa se po naših izkušnjah radi izogibajo jasnemu odgovoru.

Če pri zgornjem postopku ugotovite, da ponudnik, čeprav iz ZDA, ni zavezan k spoštovanju FISA in/ali CLOUD Act, potem so standardne pogodbene klavzule lahko čisto korektna rešitev, ki niti ne bo zahtevala preveč napora z vaše strani.

Če boste v zgornjem postopku ugotovili, da je vaš ponudnik ali katerikoli od njegovih pod-obdelovalcev zavezan FISA in/ali CLOUD Act, potem se zavedajte, da njegova/njihova obveza velja za vse njihove strežniške kapacitete, ne glede na to, kje na zemeljski obli se le-te nahajajo. Zato:

  1. Ponudnika povprašajte, če svojo storitev nudi tudi preko partnerjev, ki niso zavezani FISA in/ali CLOUD Act.
  2. Od ponudnika zahtevajte (in ne pustite se odgnati), da vam predstavi vse možnosti za dodatne varovalne ukrepe.
  3. Ocenite izvedbo ukrepov, tveganje in potencialne stroške neskladnosti.
  4. Spremljajte alternativne storitve in pravočasno pripravite mitigacijski načrt za menjavo ponudnika.

Skratka, bodite proaktivni, razmišljajte o možnih alternativah in dokumentirajte svojo rešitev.

Ni vse prepovedano

Če torej povzamemo: Osebne podatke bomo še vedno lahko izvažali (tudi) v ZDA. Spremeni pa se pravna podlaga. Pred 16. 7. 2020 smo smeli uporabiti 45. člen GDPR (Prenos na podlagi sklepa o ustreznosti), sedaj pa bomo v takem primeru smeli uporabiti 46. člen GDPR (Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi).

Dosedanje odločitve in sodbe tudi povedo, da bomo v primeru, ko obstaja možnost, da je ponudnik zavezan FISA ali CLOUD Act, morali zelo jasno in strogo določiti zaščitne ukrepe tako, da bo vaš ponudnik lahko kvalificirano potrdil službam v ZDA, da nima dostopa do vaših podatkov – to pa iz tehničnih razlogov ne bo nujno vedno mogoče.

Ravno zaradi kombinacije tehničnih in pravnih izzivov bo zato še bolj pomembno, da svoje odločitve še pred izvedbo preverite tako s pravnega, kakor tudi s tehničnega stališča, kar naj bo tudi vaše vodilo pri morebitni izbiri zunanjih svetovalcev.

Podrobneje to tematiko in druge praktične izzive varstva osebnih podatkov predstavljamo na portalu GDPR GURU.

Avtor prispevka: Primož Govekar, Info hiša


Prijavi napako v članku
Članek je pripravljen v sodelovanju s podjetjem Info hiša d.o.o..


Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

CARPEDIEM d.o.o.

Soška cesta 17, 5250 Solkan, Tel: 05 330 00 50
Če ni na spletu, ne obstaja. To je vodilo potrošnikov, ko iščejo in se odločajo za nakup določenega izdelka ali storitev. Identiteta podjetja je neposredno povezana s spletno ... Več

PRIMO TELEFONIJA d.o.o.

Šmartinska cesta 106, 1000 Ljubljana, Tel: 07 490 14 50
Zlati partner

SOPHOS d.o.o.

Germova ulica 9, 8000 Novo mesto, Tel: 07 393 56 00
Podjetje Sophos je sinonim za zagotavljanje IT varnosti in varovanje podatkov za podjetja. Danes njihovi izdelki varujejo več kot 240.000 podjetij in 100 milijonov uporabnikov. Zaupajo ... Več
Zlati partner

MIKROGRAFIJA d.o.o.

Foersterjeva ulica 10, 8000 Novo mesto, Tel: 080 51 15
Specialisti s pravimi rešitvami. In pika. V podjetju Mikrografija d.o.o. so zaposleni izkušeni strokovnjaki s področja informatike, obvladovanja dokumentov in arhivistike. ... Več