Cum să Transferați Date în SUA Conform GDPR

De Ce Aceste Măsuri Suplimentare

Companiile din UE și SUA puteau transfera date liber între ele bazându-se pe Principiile de Confidențialitate Safe Harbour.

Și apoi a apărut Max Schrems.

Maximillian Schrems este un activist pentru confidențialitatea datelor din Austria. Este unul dintre fondatorii organizației None of Your Business, un ONG care se luptă împotriva marilor companii care gestionează date personale în scopuri profitabile.

Facebook este una dintre aceste companii. Aceștia au obținut datele sale și le-au transferat în SUA. El s-a plâns că SUA, ca țară, nu oferă protecție suficientă datelor personale ale cetățenilor UE.

Curtea de Justiție a UE (CJEU) a decis în favoarea lui și a anulat Principiile în 2016. Hotărârea a fost numită decizia Schrems.

Un an mai târziu, în 2016, SUA și UE au semnat Privacy Shield, un acord între UE și SUA care permitea:

• Fiecare companie din SUA să transfere date personale în Europa
• Fiecare companie din UE să transfere date personale către companiile din SUA certificate sub Privacy Shield.

Fluxurile de date au devenit din nou relativ libere, iar Facebook l-a transferat din nou pe Max Schrems în SUA, așa că el s-a prezentat din nou. S-a plâns că Privacy Shield nu oferă protecție suficientă datelor personale ale cetățenilor UE.

CJEU a decis din nou în favoarea lui, anulând Privacy Shield. Această hotărâre a fost numită decizia Schrems II.

Ce este Decizia Schrems II?

Decizia Schrems II a anulat Privacy Shield dintre companiile din UE și cele din SUA. Astfel, nu mai pot transfera liber datele utilizatorilor din UE către SUA.

Motivul pentru care nu pot face acest lucru se datorează a două legi controversate din SUA:

Legea Supravegherii Străine pentru Informații (FISA) 1978 este legea care permite guvernului SUA să spioneze cetățeni străini și guverne. Aceasta include procedurile pentru colectarea de informații despre „puterile străine și agenții lor suspecți de spionaj și terorism”.

Dacă guvernul SUA crede că cineva ar putea fi implicat în spionaj sau terorism, poate colecta informații despre acea persoană.

Liniile directoare ale EDPB menționează în mod explicit această lege ca un exemplu de lege care constituie un obstacol pentru transferul de date către o țară terță (consultați pagina 15).

Actul de Clarificare a Utilizării Datelor Peste Hotare (CLOUD Act) 2018 permite guvernului SUA să solicite orice informație personală stocată pe servere operate sau deținute de companii americane.

Asta înseamnă că, dacă datele dvs. sunt stocate pe serverele Amazon Web Services (AWS) și autoritățile SUA emit un mandat pentru divulgarea unor astfel de informații, AWS nu are altă opțiune decât să le transmită.

Nu contează unde sunt localizate serverele – fie în SUA, UE, Asia sau în altă parte. Fiecare companie din SUA trebuie să se conformeze cererii.

Merită menționat că guvernele se ajută reciproc în cazuri penale, dar există multă birocrație implicată, ceea ce face procesul foarte lent. Ca rezultat, autoritățile reacționează adesea târziu la infracțiuni. Guvernul SUA dorește să simplifice procesul cu CLOUD Act, dar EDPB nu este mulțumit de asta.

Rezumând, autoritățile SUA pot spiona străini care ar putea fi implicați în spionaj și terorism și pot solicita date personale stocate pe orice servere operate de companiile americane din întreaga lume (ceea ce reprezintă o mare parte din serverele din lume).

De aceea, EDPB este preocupat de transmiterea datelor utilizatorilor din UE către SUA.

Transferați Date către SUA?

Dacă vă întrebați dacă transferați sau nu date personale către SUA, verificați dacă utilizați instrumente terțe pentru prelucrarea datelor la care se aplică GDPR.

GDPR se aplică la:

• Date personale colectate de o companie din UE și
• Date personale ale utilizatorilor din UE colectate de oricine.

Instrumente terțe pentru prelucrarea datelor pot fi Amazon Web Services, Mailchimp, Convertkit, Facebook, Google Analytics și orice alt instrument care face ceva cu datele dvs.

Când colectați date personale, trebuie să le prelucrați pentru a obține rezultate specifice. De exemplu, folosiți Convertkit pentru a colecta adrese de e-mail, pentru a segmenta utilizatorii și a le trimite e-mailuri personalizate.

Asta înseamnă că Convertkit prelucrează datele dvs. Asta înseamnă, de asemenea, că transferați date către un procesor de date din SUA.

Unicul caz în care nu transferați date ale utilizatorilor din UE

Aceasta nu înseamnă că fiecare fragment de date al utilizatorilor din UE trimis către un procesor de date din SUA este supus măsurilor suplimentare.

Dacă sunteți o companie non-UE, GDPR se aplică doar relației dvs. cu utilizatorii din UE.

Aceasta înseamnă că trebuie să respectați legea doar atunci când interacționați cu cineva dintr-un stat membru al UE. Prin urmare, nu aveți nevoie de măsuri suplimentare dacă:

• Colectați consimțământul lor pentru prelucrare în mod legal și
• Îi informați prin politica de confidențialitate că utilizați instrumente terțe de prelucrare care procesează date în SUA.

Astfel, veți obține consimțământul pentru transfer la colectare. Dacă utilizatorul consimte prelucrarea în SUA, sunteți liber să o prelucrați în Statele Unite.

Procesul în Șase Pași pentru Transferul Datelor către SUA conform GDPR

Dacă ați descoperit că transferați date ale utilizatorilor din UE din UE către SUA, trebuie să implementați procesul în șase pași pentru transferuri de date recomandat de EDPB și veți fi în regulă să continuați transferul datelor.

Până la conformare, trebuie să încetați transferurile de date.

Deci, vestea bună este că puteți continua să utilizați instrumentele valoroase de prelucrare a datelor furnizate de companiile din SUA. Vestea proastă este că trebuie să faceți ceva muncă înainte de a continua să faceți acest lucru.

Acest proces este după cum urmează:

1. Evaluați Transferurile Dvs. de Date

Dacă ați examinat dacă transferați sau nu date în SUA, așa cum a fost descris mai sus, s-ar putea să fiți deja gata cu acest pas.

Trebuie să fiți conștienți de transferurile dvs. de date. Asta înseamnă că trebuie să știți de la cine colectați datele și unde le transferați pentru prelucrare.

Dacă transferurile dvs. de date implică trimiterea datelor către SUA, continuați să citiți.

2. Verificați Instrumentele de Transfer pe care se Bazează Transferurile Dvs.

Când sunteți siguri că trimiteți date către o țară terță, trebuie să evaluați instrumentele dvs. de transfer.

GDPR definește instrumentele de transfer ca fiind baza legală pentru transferul datelor către o țară terță. Acestea includ:

• Decizie de adecvare
• Clauze contractuale standard (SCCs)
• Reguli corporative obligatorii (BCRs)
• Consimțământul utilizatorului
• Interesul public și alte excepții menționate expres în GDPR.

Privacy Shield a fost o decizie pseudo-adecvată între UE și SUA care a permis fluxul liber de date personale, dar acum nu mai există.

Asta înseamnă că trebuie să vă bazați pe SCCs, BCRs sau pe consimțământul utilizatorilor (alte baze sunt improbabile în majoritatea scenariilor).

3. Evaluați Riscurile pe care Legislația SUA le Aduce

Al treilea pas vă cere să evaluați riscurile legislației naționale pentru transferurile dvs. de date.

În cazul transferurilor către SUA, aceasta include riscul divulgării datelor dvs. de către procesorii dvs. de date din SUA la cererea autorităților SUA.

Dacă transferați date și către alte țări, nu evaluați riscurile asociate cu legile lor.

4. Identificați și Adoptați Măsuri Suplimentare pentru a Proteja Datele Dvs.

Acest pas include majoritatea muncii grele. Când știți că transferați date către o țară cu risc, trebuie să implementați măsuri de siguranță pentru a vă proteja datele.

EDPB oferă îndrumări privind aceste măsuri. Acestea oferă afacerilor o idee despre ce ar putea face pentru a proteja datele utilizatorilor și pentru a rămâne în conformitate cu GDPR.

Există două cazuri în care niciuna dintre măsuri nu este suficient de bună pentru un transfer legal de date:

• Transferul de date în cloud în mod clar, unde autoritățile au acces la date într-un mod care nu este așteptat într-o societate democratică, sau
• Accesul la distanță la date într-o țară terță, unde autoritățile au acces la date într-un mod care nu este așteptat într-o societate democratică.

În toate celelalte cazuri, vă puteți baza pe măsuri de siguranță adecvate.

Aceste măsuri pot fi tehnice, organizaționale și contractuale. Iată un rezumat al acestora:

Măsuri Tehnice

Măsurile dvs. tehnice vor funcționa dacă asigură că protecția datelor în țara terță este adecvată celei furnizate în UE.

Cu alte cuvinte, măsurile tehnice ar trebui să asigure că autoritățile SUA nu pot pune mâna pe datele utilizatorilor dvs.

Iată câteva exemple despre ce înseamnă o măsură tehnică adecvată:

Încifrarea Datelor

Încifrarea datelor este o măsură tehnică eficientă atâta timp cât îndeplinește următoarele cerințe:

• Datele personale sunt încifrate înainte de a fi trimise instrumentelor de prelucrare a datelor. Asta înseamnă că trebuie să trimiteți datele încifrate și să nu vă bazați pe procesorul de date pentru a vă încifra datele.
• Numai dvs. controlați cheile de cifrare, ceea ce înseamnă că procesorul de date nu poate accesa datele fără ca dvs. să le acordați accesul. Acest lucru ar trebui să asigure că, atunci când procesorul dvs. de date este confruntat cu o cerere de către o autoritate pe care trebuie să o respecte, nu vor avea niciun mijloc de a furniza datele acestora, deoarece veți fi singurul care deține cheile de cifrare.
• Încifrarea trebuie să fie de ultimă generație.

Încifrarea datelor care tranzitează doar către țări terțe

Este posibil să doriți să transferați date către o țară adecvată, dar aceasta trebuie să tranziteze printr-o țară nesigură. În acest caz, puteți lua în considerare încifrarea de ultimă generație astfel încât:

• Datele să poată fi decriptate numai în țara de destinație
• Transferul să fie de ultimă generație
• Sunteți singurul care controlează cheile de decriptare.

Pseudonimizarea datelor

Datele personale pseudonimizate nu sunt la fel de eficiente ca și criptarea datelor, dar sunt suficient de bune dacă îndeplinesc următoarele cerințe:

• O singură persoană nu poate fi identificată fără utilizarea unor informații suplimentare
• Aceste informații suplimentare trebuie să fie stocate în Uniunea Europeană
• O singură persoană nu poate fi identificată prin corelarea datelor deținute de o țară terță
• Doar dvs. dețineți algoritmul de pseudonimizare

Prelucrarea divizată sau multi-parte

Puteți diviza datele astfel încât o singură persoană să nu poată fi identificată și să le transferați mai multor procesatori de date fără a dezvălui datele pe care alți procesatori le-au primit.

În acest mod, datele dvs. pot fi prelucrate de procesatori din țări terțe fără posibilitatea de a identifica o persoană fizică.

Prelucrarea divizată a datelor trebuie să îndeplinească următoarele cerințe:

• Loturile separate de date ar trebui trimise unor entități separate în jurisdicții diferite
• Nicio singură persoană nu poate fi identificată cu datele divizate
• Algoritmul de procesare este sigur
• Nu există dovezi care să facă credibilă presupunerea că autoritățile din ambele (sau toate) jurisdicții colaborează pentru a accesa datele
• O singură persoană nu poate fi identificată prin corelarea datelor deținute de o țară terță

Destinatari protejați ai datelor personale

Puteți transfera în mod liber date destinatarilor protejați ai datelor personale, cum ar fi avocații sau medicii, dacă:

• Țara terță protejează confidențialitatea comunicării cu aceștia
• Această confidențialitate include toate tipurile de informații, inclusiv chei de criptare, parole etc.
• Ei nu vor fi obligați să divulge date personale autorităților în niciun caz
• Criptarea este de ultimă generație
• Doar dvs. controlați cheile de criptare

Măsuri organizaționale

Măsurile organizaționale ar trebui să ajute organizația dvs. să implementeze măsurile tehnice fără erori. Acestea se completează reciproc. Implementarea măsurilor organizaționale fără cele tehnice este inutilă.

Cele mai comune măsuri organizaționale includ:

• Politici interne pentru implementarea măsurilor tehnice (atat timp cât sunt compatibile cu legile UE)
• Metode organizaționale
• Metode de minimizare a datelor
• Măsuri de transparență și responsabilitate
• Adoptarea standardelor și celor mai bune practici

Nu vă limitați doar la aceste măsuri. Adaptați-le în funcție de organizația dvs.

Măsuri contractuale

Utilizați măsuri contractuale doar în combinație cu măsurile tehnice și organizaționale. Dacă includeți acțiuni contractuale în contractele dvs. cu procesatorii de date din SUA, dar nu implementați măsurile tehnice și organizaționale necesare, nu respectați GDPR.

Recomandările EDPB listează multe clauze contractuale pentru a îmbogăți contractele dvs. cu procesatorii de date pentru a îndeplini cerințele de transfer.

5. Întreprindeți Pașii Procedurali Necesari

Al cincilea pas vă cere să întreprindeți pașii procedurali necesari pentru implementarea măsurilor din pasul patru.

Aceasta înseamnă includerea măsurilor suplimentare în SCCs sau BCRs, și în politica de confidențialitate, dacă este necesar.

6. Reevaluați Protecția la Interle Adecvate

Revizuiți transferurile dvs., instrumentele de transfer și riscurile legislației naționale relevante la intervale adecvate pentru a vă asigura că respectați reglementările.

În practică, aceasta ar însemna efectuarea unei astfel de evaluări la fiecare 6 până la 12 luni, unde ați verifica modul și locul în care transferați date, baza legală pentru a face acest lucru și orice riscuri noi.

Riscurile noi ar implica, de obicei, schimbări în legi și reglementări, schimbări în mediul politic, schimbări în locațiile serverelor procesorului etc.

Procesul Pas cu Pas

Pentru a rezuma, iată un proces pe care l-ați putea urma pentru transferuri de date conforme:

• 1. Asigurați-vă că GDPR se aplică în cazul dvs.
• 2. Dacă se aplică, evaluați-vă procesorii de date
• 3. Verificați unde procesorii dvs. prelucrează datele
• 4. Evaluați instrumentele dvs. de transfer de date
• 5. Dacă transferați date în SUA (sau în alte țări terțe cu riscuri similare), recunoașteți că aveți nevoie de măsuri suplimentare
• 6. Evaluați situația dvs. specifică și decideți ce măsuri tehnice, organizaționale și contractuale aveți nevoie. Dacă aveți nevoie de ajutor, este înțelept să discutați cu un avocat specializat în protecția datelor și cu personal IT.
• 7. Implementați măsurile
• 8. Includeți măsurile în politicile, contractele și alte documente relevante, după caz
• 9. Fiți atenți la orice schimbări în legile relevante care ar putea afecta transferurile dvs. de date.

Credeți că o Companie Transferă Ilegal Datele Dvs. în SUA?

Dacă sunteți un simplu utilizator de site web sau aplicație a cărui date sunt transferate în SUA într-un mod care contravine principiilor GDPR, este posibil ca drepturile dvs. GDPR să fie încălcate.

Pentru a determina dacă acesta este cazul, trebuie să depuneți o cerere ca subiect al datelor. Dar nu orice fel de cerere.

Trimiteți o cerere pentru a obține informații despre procesarea datelor. Atunci când o trimiteți, nu uitați să solicitați informații despre transferurile de date și baza legală a acestor transferuri.

Dacă responsabilul cu prelucrarea datelor primește cererile printr-un formular de contact care nu permite personalizarea recomandărilor, așteptați pur și simplu răspunsul lor. Dacă acesta nu conține detalii despre transferuri, trimiteți o cerere suplimentară prin e-mail.

Dacă transferă date în SUA, dar nu au o bază legală pentru a face acest lucru sau nu au implementat măsuri suficiente, aveți câteva opțiuni:

• Informați-i, cereți-le să respecte legea și așteptați să vedeți ce se întâmplă
• Depuneți o plângere la autoritatea competentă pentru protecția datelor.

Dacă responsabilul cu prelucrarea datelor a transferat date în SUA încălcând GDPR, dar nu este conștient de aceasta, s-ar putea să fie dispus să schimbe aceasta.

În orice alt caz, ar putea fi necesar să implicați autoritatea pentru protecția datelor.

O companie poate, de asemenea, să primească o amendă consistentă GDPR pentru nerespectarea reglementărilor UE.

Concluzii

Dacă sunteți o companie care prelucrează date personale, ar trebui să înțelegeți că transferurile de date către SUA sunt o afacere riscantă.

Deși mulți văd acest lucru ca încă o povară impusă de UE asupra afacerilor la nivel global, ar trebui să știți că aceasta se face în beneficiul utilizatorilor. Ei trebuie să aibă datele protejate.

Măsurile tehnice nu sunt atât de dificil de implementat. Dacă nu știți de unde să începeți, ar fi înțelept să solicitați ajutor de la un profesionist IT și un avocat.