streda 9. marca 2022

GDPR: Je prenos osobných údajov z EÚ do USA zakázaný?

Európske dozorné orgány sa začínajú zaoberať prenosmi osobných údajov európskych používateľov do USA. Za problematické považujú americké zákony, ktoré umožňujú 
po vyžiadaní zdieľanie dát používateľov s americkými agentúrami. Na tieto praktiky americkej vlády upozornil aj známy whistleblower Edward Snowden. Do pozornosti sa v ostatných mesiacoch dostala predovšetkým obľúbená služba Google Analytics.

Podľa rakúskeho dozorného orgánu porušuje služba Google Analytics GDPR, keďže dochádza k prenosu dát používateľov na servery v USA. V súlade s americkou legislatívou k preneseným údajom následne môžu získať prístup americké štátne agentúry, napríklad FBI alebo NSA. Za problematický považuje Google Analytics aj Európsky dozorný úrad pre ochranu údajov (EDPS), ktorý z rovnakých dôvodov pokarhal Európsky parlament. Ten využíval služby Google Analytics a Stripe na webovej stránke slúžiacej na testovanie COVID-19. O nezákonnosti prenosu údajov do USA pri využívaní Google Analytics rozhodol už aj francúzsky dozorný orgán. Obe rozhodnutia nadväzujú na 101 sťažností podaných občianskym združením noyb, z ktorých sa tri týkajú aj slovenských webových stránok.

Známe rakúske rozhodnutie konštatujúce porušovanie GDPR pri používaní Google Analytics hodnotilo jeho nastavenie a zmluvnú dokumentáciu z augusta 2020. Google zareagoval prijatím novej zmluvnej dokumentácie aj dodatočných opatrení platných pre Google Analytics vychádzajúce aj z kľúčových odporúčaní Európskeho výboru pre ochranu údajov v septembri 2021. Aktuálne tak panuje neistota v tom, že či aj pri aplikovaní týchto „nových“ dodatočných záruk a využití nových nastavení zo strany prevádzkovateľa webstránky, by používanie Google Analytics mohlo viesť k porušovaniu GDPR. Kým sa situácia pod vplyvom ďalšej rozhodovacej praxe dozorných orgánov viac nevyjasní, bude existujúce riziko vhodné zmierniť najmä súhrnom viacerých opatrení, a to najmä:
1) používaním funkčnej opt-in lišty na udelenie súhlasu / nesúhlasu s cookies,
2) uzatvorením zmluvy o spracúvaní osobných údajov a nových štandardných zmluvných doložiek,
3) nepovolením spracúvania celej IP adresy pre Google,
4) vypnutím zdieľania údajov a využívania údajov na reklamné účely pre Google v nastaveniach Google Analytics,
5) deaktivovaním funkcie User ID Google,
6) vykonaním rizikového posúdenie cezhraničného prenosu do USA (tzv. Transfer Impact Assessment) a podľa jeho záveru sa definitívne rozhodnúť, či Google Analytics možno v podmienkach konkrétneho prevádzkovateľa využívať.

Napriek záujmu Európskej komisie a dozorných orgánov viacerých členských krajín stále nie sú problémy súvisiace s prenosmi dát do USA vyriešené. Dostupné alternatívy sú podľa odborníka na ochranu osobných údajov buď zmeny v legislatíve USA na federálnej úrovni alebo výrazné obmedzenia ziskov amerických firiem. „Ideálne by bolo, aby Spojené štáty opäť získali status primeranosti, čo je však po zrušení predchádzajúcich dvoch rozhodnutí Európskej komisie možné len v prípade schválenia nového federálneho zákona, podobného GDPR. To však podľa aktuálnych informácií nepovažujem v blízkej budúcnosti za reálne. Alternatívou je oddelenie serverov a uchovávanie dát spadajúcich pod GDPR v Európskom hospodárskom priestore, čo by zo strany amerických spoločností vyžadovalo viaceré investície. V prípade nevhodne zvolenej stratégie by mohlo dôjsť tiež k zníženiu presnosti poskytovaných cielených či analytických služieb. S ohľadom na komplexnosť tzv. FISA legislatívy navyše nevedia často ani špecializovaní americkí právnici s istotou povedať, či by sa na americké entity a ich dcérske spoločnosti problematický zákon naďalej nevzťahoval“, sumarizuje Jakub Berthoty.

Ak chcú používatelia služieb ako Google Analytics dodržiavať GDPR, nemajú veľa možností. „Klientom odporúčame využívať softvér inštalovateľný na ich vlastný webový server, prípadne zvážiť európskych poskytovateľov. To sú aktuálne 100% bezpečné možnosti, ako predísť v tomto ohľade rozporu s GDPR. Uzatvorenie dodatkov k zmluvám s Google, ako Data Processing Agreement (DPA) a Standard Contractual Clauses (SCC), či vykonanie ďalších doplnkových opatrení sú len kroky na zmiernenie dôsledkov na ochranu osobných údajov“, upozorňuje Jakub Berthoty. V prípade akýchkoľvek prenosov do USA a krajín s podobným statusom je nevyhnutné vykonať tzv. transfer impact assessment, ktorým sa vyhodnotí bezpečnosť a okolnosti daného prenosu. Dozorné orgány v celej EÚ sa naň začínajú stále viac sústreďovať. Práve výsledok takéhoto posúdenia by mal podľa Berthotyho poskytnúť aj konkrétnu odpoveď, či nejakú službu z tretej krajiny používať alebo radšej nie.