Kaj bo z obdelavami osebnih podatkov v ZDA?

Prepoved GA in posledice

V vseh primerih je bilo jedro odločitve v tem, da Google kljub uporabljenim standardnim pogodbenim klavzulam zaradi zahtev zakonodaje ZDA ne more zagotoviti nivoja varovanja zasebnosti, ki bi bil primerljiv z nivojem v EU.

Če mora Google spoštovati zakonodajo ZDA (FISA in CLOUD Act) in je ta zakonodaja vsaj eden od razlogov, zaradi katerih je Googlova Analitika v nemilosti evropskih nadzornih organov, potem moramo nujno predvideti, da bodo prej ali slej v nemilosti nadzornih organov v EU tudi Gmail, Drive, Foto in ostale storitve, ki prinašajo še večjo določljivost kot Googlova analitika. Podobno seveda lahko predvidimo tudi za druge ponudnike in storitve, ki podležejo sporni zakonodaji.

Vprašanje, ki si ga ta trenutek zastavljajo vsi, ki uporabljajo storitev pri ponudnikih iz ZDA, je torej, ali in kako sploh še smemo izvažati osebne podatke v ZDA?

Rešitve ena za vse vam na tem mestu seveda ne moremo dati, lahko pa vam položimo v razmislek nekaj vodil:

1. Razmislite, ali storitev v resnici potrebujete ali pa lahko zadrego rešite s podobno, za posameznika manj invazivno storitvijo.
2. Preverite, če lahko primerno rešitev dobite tudi v EU ali vsaj v tretji državi, za katero ne velja zakonodaja podobna FISA ali CLOUD Act. Pri izbiri ne pozabite narediti primerjalne analize zmogljivosti, ki bo hkrati dokaz nadzornemu organu, da ste res preiskali vse možnosti.
3. Če storitev ponudnika iz ZDA že uporabljate, preverite, če je ponudnik (ali kdorkoli od njegovih pod-obdelovalcev) v resnici zavezan FISA ali CLOUD Act. Bodite vztrajni, saj je to ključno vprašanje ki ga morate odgovoriti, ponudniki pa se po naših izkušnjah radi izogibajo jasnemu odgovoru.

Če pri zgornjem postopku ugotovite, da ponudnik, čeprav iz ZDA, ni zavezan k spoštovanju FISA in/ali CLOUD Act, potem so standardne pogodbene klavzule lahko čisto korektna rešitev, ki niti ne bo zahtevala preveč napora z vaše strani.

Če boste v zgornjem postopku ugotovili, da je vaš ponudnik ali katerikoli od njegovih pod-obdelovalcev zavezan FISA in/ali CLOUD Act, potem se zavedajte, da njegova/njihova obveza velja za vse njihove strežniške kapacitete, ne glede na to, kje na zemeljski obli se le-te nahajajo. Zato:

1. Ponudnika povprašajte, če svojo storitev nudi tudi preko partnerjev, ki niso zavezani FISA in/ali CLOUD Act.
2. Od ponudnika zahtevajte (in ne pustite se odgnati), da vam predstavi vse možnosti za dodatne varovalne ukrepe.
3. Ocenite izvedbo ukrepov, tveganje in potencialne stroške neskladnosti.
4. Spremljajte alternativne storitve in pravočasno pripravite mitigacijski načrt za menjavo ponudnika.

Skratka, bodite proaktivni, razmišljajte o možnih alternativah in dokumentirajte svojo rešitev.

Ni vse prepovedano

Če torej povzamemo: Osebne podatke bomo še vedno lahko izvažali (tudi) v ZDA. Spremeni pa se pravna podlaga. Pred 16. 7. 2020 smo smeli uporabiti 45. člen GDPR (Prenos na podlagi sklepa o ustreznosti), sedaj pa bomo v takem primeru smeli uporabiti 46. člen GDPR (Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi).

Dosedanje odločitve in sodbe tudi povedo, da bomo v primeru, ko obstaja možnost, da je ponudnik zavezan FISA ali CLOUD Act, morali zelo jasno in strogo določiti zaščitne ukrepe tako, da bo vaš ponudnik lahko kvalificirano potrdil službam v ZDA, da nima dostopa do vaših podatkov – to pa iz tehničnih razlogov ne bo nujno vedno mogoče.

Ravno zaradi kombinacije tehničnih in pravnih izzivov bo zato še bolj pomembno, da svoje odločitve še pred izvedbo preverite tako s pravnega, kakor tudi s tehničnega stališča, kar naj bo tudi vaše vodilo pri morebitni izbiri zunanjih svetovalcev.

Podrobneje to tematiko in druge praktične izzive varstva osebnih podatkov predstavljamo na portalu GDPR GURU.

Avtor prispevka: Primož Govekar, Info hiša