Prenos osobných údajov z EÚ do USA: porušuje známa služba GDPR?

Európske dozorné orgány sa začínajú zaoberať prenosmi osobných údajov európskych užívateľov do USA. Do pozornosti sa dostala predovšetkým služba Google Analytics.

Podľa rakúskeho dozorného orgánu porušuje služba Google Analytics GDPR, keďže dochádza k prenosu dát užívateľov na servery v USA. Za problematické považujú americké zákony, ktoré umožňujú zdieľanie dát užívateľov s americkými agentúrami v prípade, ak ich tie vyžiadajú. Na tieto praktiky americkej vlády upozornil aj známy whistleblower Edward Snowden.

Za problematický považuje Google Analytics aj Európsky dozorný úrad pre ochranu údajov (EDPS), ktorý z rovnakých dôvodov pokarhal Európsky parlament. Ten využíval služby Google Analytics a Stripe na webovej stránke slúžiacej na testovanie COVID-19. O nezákonnosti prenosu údajov do USA pri využívaní Google Analytics rozhodol už aj francúzsky dozorný orgán. Obe rozhodnutia nadväzujú na 101 sťažností podaných občianskym združením noyb, z ktorých sa tri týkajú aj slovenských webových stránok.

Používanie Google Analytics je zvýšené riziko pre prevádzkovateľa webstránky

Známe rakúske rozhodnutie konštatujúce porušovanie GDPR pri používaní Google Analytics hodnotilo jeho nastavenie a zmluvnú dokumentáciu z augusta 2020. Google zareagoval prijatím novej zmluvnej dokumentácie aj dodatočných opatrení platných pre Google Analytics vychádzajúcich aj z kľúčových odporúčaní Európskeho výboru pre ochranu údajov v septembri 2021. Aktuálne tak panuje neistota v tom, že či aj pri aplikovaní týchto „nových“ dodatočných záruk a využití nových nastavení zo strany prevádzkovateľa webstránky, by používanie Google Analytics mohlo viesť k porušovaniu GDPR.

Kým sa situácia pod vplyvom ďalšej rozhodovacej praxe dozorných orgánov viac nevyjasní, bude existujúce riziko vhodné zmierniť najmä súhrnom viacerých opatrení, a to najmä:

  1. používaním funkčnej opt-in lišty na udelenie súhlasu / nesúhlasu s cookies,
  2. uzatvorením zmluvy o spracúvaní osobných údajov a nových štandardných zmluvných doložiek,
  3. nepovolením spracúvania celej IP adresy pre Google,
  4. vypnutím zdieľania údajov a využívania údajov na reklamné účely pre Google v nastaveniach Google Analytics,
  5. deaktivovaním funkcie User ID Google,
  6. vykonaním rizikového posúdenia cezhraničného prenosu do USA (tzv. Transfer Impact Assessment) a podľa jeho záveru sa definitívne rozhodnúť, či Google Analytics možno v podmienkach konkrétneho prevádzkovateľa využívať.

Komplexné riešenie v nedohľadne

Napriek záujmu Európskej komisie a dozorných orgánov viacerých členských krajín stále nie sú problémy súvisiace s prenosmi dát do USA vyriešené. Dostupné alternatívy sú podľa odborníka na ochranu osobných údajov buď zmeny v legislatíve USA na federálnej úrovni, alebo výrazné obmedzenia ziskov amerických firiem.

„Ideálne by bolo, aby Spojené štáty opäť získali status primeranosti, čo je však po zrušení predchádzajúcich dvoch rozhodnutí Komisie možné len v prípade schválenia nového federálneho zákona, podobného GDPR. To však podľa aktuálnych informácií nepovažujem v blízkej budúcnosti za reálne. Alternatívou je oddelenie serverov a uchovávanie dát spadajúcich pod GDPR v Európskom hospodárskom priestore, čo by zo strany amerických spoločností vyžadovalo viaceré investície. V prípade nevhodne zvolenej stratégie by mohlo dôjsť tiež k zníženiu presnosti poskytovaných cielených či analytických služieb. S ohľadom na komplexnosť tzv. FISA legislatívy navyše nevedia často ani špecializovaní americkí právnici s istotou povedať, či by sa na americké entity a ich dcérske spoločnosti problematický zákon naďalej nevzťahoval,“ sumarizuje advokát Jakub Berthoty z Dagital Legal.

Ak chcú užívatelia služieb ako Google Analytics dodržiavať GDPR, nemajú veľa možností. „Klientom odporúčame využívať softvér inštalovateľný na ich vlastný webový server, prípadne zvážiť európskych poskytovateľov. To sú aktuálne 100 % bezpečné možnosti, ako predísť v tomto ohľade rozporu s GDPR. Uzatvorenie dodatkov k zmluvám s Google, ako Data Processing Agreement (DPA) a Standard Contractual Clauses (SCC), či vykonanie ďalších doplnkových opatrení sú len kroky na zmiernenie dôsledkov na ochranu osobných údajov,“ upozorňuje Jakub Berthoty a uzatvára: „Najmä je však v prípade akýchkoľvek prenosov do USA a krajín s podobným statusom nevyhnutné vykonať tzv. transfer impact assessment, ktorým sa vyhodnotí bezpečnosť a okolnosti daného prenosu. Dozorné orgány v celej EÚ sa naň začínajú stále viac sústreďovať.“ Práve výsledok takéhoto posúdenia by mal podľa Berthotyho poskytnúť aj konkrétnu odpoveď, či nejakú službu z tretej krajiny používať, alebo radšej nie.

Zdroj: CHAPTER 4 Slovakia

Viac podobných článkov nájdete na www.podnikajte.sk


Firmy môžu prísť o cookies: poskytovateľ cookie líšt čelí žalobe

Belgický dozorný orgán rozhodol, že cookie lišta od IAB Europe je v rozpore s GDPR, čo môže ovplyvniť aj slovenských prevádzkovateľov webov. Ako sa vyhnúť problémom?

Cookies od 1.2.2022: odborníci o dopade nových pravidiel na podnikanie

Odborníci o tom, ako nový zákon o elektronických komunikáciách ovplyvní online podnikanie, aké zmeny treba zaviesť do konca januára a či to zvládnu aj podnikatelia bez pomoci programátora.

Cookies a pravidlá ich spracúvania od 1.2.2022

Za porušenie nových pravidiel spracúvania cookies hrozí sankcia do 10 % z obratu. Na čo dať pozor, ako po novom súhlas získať a ako dlho ho možno uchovať? Odpovede na praktické otázky.

Ako na správnu krízovú komunikáciu pri kybernetickom útoku na zamestnancov

Firmy často čelia úniku údajov zamestnancov, no takmer polovica z nich tieto incidenty nezverejňuje. Prečo je to chyba a ako môže správna komunikácia pomôcť predchádzať ďalším útokom?
Videonávod podania návrhu na zápis údajov do obchodného registra

Ako zvládnete zápis do 30.9.2022 svojpomocne krok po kroku.

Zistiť viac
To najlepšie z Podnikajte.sk do vašej schránky