GDPR Schrems döntés kihatása, avagy illegális lehet USA székhelyű szolgáltatás használata (AWS és társai)

TL;DR

Az Európai Bíróság döntése kimondja, hogy ha egy adatkezelő vagy adatfeldolgozó amerikai székhellyel rendelkezik, akkor mindegy milyen garanciákkal dolgozik a vállalkozás (SCC, BCR, Privacy Shield), azok elégtelenek az adatok védelme szempontjából. Ennek oka az Egyesült Államokban jelenlévő törvények (50 USC § 1881a (= FISA 702), EO 12.333), amelyek lehetőséget adnak arra, hogy a kormány (NSA) megfigyelés címszóval hozzáférjen az „elektronikus kommunikáció szolgáltatók” adataihoz.

Ennek következménye, hogy GDPR szempontjából illegális lehet olyan szolgáltatót bevonni a megoldásunkban, aki amerikai székhellyel rendelkezik, például AWS, Cloudlare, Microsoft. Nem mellesleg a Privacy Shield intézményét is invalidálta a döntés.

Háttér

Az ügy 2013-ra nyúlik vissza, amikor is Schrems úr és jogvédő csoportja kifogásolta az ír adatvédelmi hatóságnál a Facebook adatvédelmi garanciáit. Hogy a hatóság jól vagy rosszul tette a dolgát, most nem boncoljuk fel, Schremsék több módon eszkalálták az ügyet, ami végül több fordulóban az Európai Bíróságnál kötött ki.

Az alapprobléma, hogy a Facebook Ireland és a Facebook Inc (USA) között ugyan létezik olyan adatvédelmi szerződés, amely GDPR kompatibilis módon garantálja az adatok bizalmas kezelését (teljesítve a 2010/87/EU döntést), de mivel a Facebook Inc amerikai székhelyű cég, ezért ő alanya az ottani FISA 702 és EO 12.333 törvényeknek.

Mi a baj a FISA 702 és EO 12.333-vel?

Ezek a törvények a terrorizmus ellenesség jegyében szinte korlátlan megfigyelési hatalmat adnak az amerikai kormánynak (NSA), továbbá törvényi eszközöket arra, hogy kémkedésüket kiterjesszék bármely amerikai székhellyel rendelkező „elektronikus kommunikáció szolgáltatóra” (electronic communication service provider). A ilyen szolgáltatók definícióját az amerikai rendelet roppant tágan értelmezi, így a legtöbb információtechnológiai szolgáltató potenciális alanya és együttműködője a megfigyelésnek.

Az uniós álláspont szerint, bár bűnüldözéssel kapcsolatos megfigyelés az EU-ban sem ismeretlen, az amerikai szabályozás nem alkalmaz megfelelő korlátokat, így a megfigyelés a magánéletbe való aránytalan mértékű beavatkozással jár, ami nem kompatibilis az uniós adatvédelmi normákkal.

Tehát a probléma…

Mindegy, hogy milyen garanciális instrumentumot választ egy adatkezelő vagy adatfeldolgozó (SCC, BCR, Privacy Shield, DPA), ha van amerikai székhelye, akkor valószínűleg kitett az amerikai megfigyelési törvényeknek, ezért nem tekinthető GDPR megfelelőnek az adatkezelése. Teoretikusan ezzel a döntéssel (C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems) illegálissá vált jópár széles körben használt technológiai szolgáltató használata az EU-ban, mint például MS365, AWS.

Nem eszik olyan forrón a kását

Bár az Európai Bíróság döntése teoretikusan valóban jelentheti a fenti sötét következtetést, egyúttal vissza is passzolja a labdát az adatvédelmi hatóságok térfelére. Hangsúlyozza, hogy a hatóságok feladata az egyes „nagy” adatkezelők vizsgálata és nekik kell kialakítani azokat a szabályokat és keretrendszereket, amelyek a fentiek tükrében gyakorlati megoldásokra lefordíthatók.

Az European Data Protection Board eddig nem sok hasznos dolgot mondott az ügyben. A döntést helytállónak tekintik és felhívják az adatkezelők figyelmét, hogy vizsgálniuk kell a bevont harmadik felek és az adatkezelés esetleges érintettségét. Burkoltan ez már a cégek felelősségre való utalás, de egyelőre sokkal több konkrétumot nem közöltek.

A következők várhatóak:

  • A hatóságok vizsgálják a „nagy” szolgáltatókat

  • A hatóságok kidogozzák az iránymutatásokat

  • Mindeközben diplomáciai társalgás nyílik arról, hogy az USA változtassa meg a megfigyelési törvényeket (nagyon valószínűtlen, hogy ez bekövetkezik)

  • Szolgáltatók lépnek valamit (saját szolgáltatás felszabdalása, Facebook EU, stb születése, viszonylag valószínűtlen, de bizonyos esetekben elképzelhető)

  • A hatóságok elkezdik büntetni a cégeket, akik nem megfelelő harmadik feleket vontak be

Ha most vagyunk a CJEU döntés után a nulladik napnál, akkor ennek a folyamatnak az utolsó lépése (büntetések) nem hiszem, hogy 2 évnél hamarabb megtörténik, de szignifikáns realitása van annak, hogy meg fog történni.

Ezért tanácsadóként, már most a következőket javasoljuk. Ha ki lehet váltani egy kizárólag EU-ban székelő szolgáltatóval az érintett harmadik felek által biztosított technológiát, akkor érdemes ezt megtenni. Ha ez túl komplikált vagy nem lehetséges, meg kell vizsgálni, hogy lehet-e az adatokat oly módon védeni, hogy a szolgáltató ne férjen hozzá. (Például titkosítás az AWS esetén.)

Zárszó

Nem a pánik gomb nyomogatása volt a cél, inkább figyelemfelhívás egy olyan témára, ami a technológiai szektorban sokakat érint és a média mérsékelten prezentálta a lényegi részét a történetnek. Lehetnek a fentiekben tévedések, illetve az is előfordulhat, hogy 1-2 hónap múlva minden átalakul, új állásfoglalások, döntések, megoldások születnek, de érdemes elkezdeni foglalkozni a témával.

Természetesen, a kockázatokkal arányos intézkedések elve itt is valamilyen módon jelen van. Egy AWS-en hosztolt webshop, ami színes pólókat árul, nem folytat érzékeny adatokhoz kapcsolód adatkezelést. Az ilyen adatkezelés szempontjából „könnyűsúlyú” vállalkozás bár elvileg büntethető, gyakorlatban minimális büntetési valószínűséggel és tételekkel kell szembenéznie, ezért nem érdemes túlreagálnia a helyzetet. Azoknak kell ezen alaposan elrágódni, akik nagy mértékű és/vagy érzékeny adatkezelésben érintettek.

Hozzászólások

Szóval az amcsi mammutok adatkezelése nem EU-konform, de helyettük az ő szolgáltatásaikat igénybe vevő EU-s kishalakat fogják rommábírságolni, hogy ne vegyék igénybe? Mi a cél? Az USA gazdasági befolyásának csökkentése? Nem értek se gazdasághoz, se joghoz, de nekem ez így a gyerek és a fürdővíz esetének tűnik; FIXME.

Köszi az írást, elolvasom, addig ha lehet egy tl;dr kérdésem: ha van egy cég, aki EU-ban is és USA-ban is akar kereskedni, akkor USA-ban nem lehet a szerver, mert GDPR, de EU-ban lehet, vagy van valami USA-ban levő párja ennek a törvénynek? Illetve, van még igazán különbség egy átlagos webshopnál pl. egy New York-ban ücsörgő felhasználó részéről, érezhetően, ha ott mellette van a webszerver pár kilóméterrel, mintha London-ban? (Pont most lesz több olyan project-em, aminél ezek a kérdések felmerültek.)

Ha nem válaszolnék kommentben, hát küldj privátot!

Ez nehéz kérdés, mivel az USA szabályokkal nem vagyok ennyire képben. Ugye a GDPR-ban az a csavar, hogy az EU polgárok adatait (elvileg) akkor is védi, ha nem EU cég kezeli őket. Hasonlóról én az Egyesült Államok kapcsán nem tudok, de erősen ajánlott egy helyi szakértővel átnézni, hogy milyen szabályok fognak rátok vonatkozni.

User experience szempontjából, ha EU-ban van a szerver, lesz egy 100-200ms response növekedés, ez egy webshop esetében általában elviselhető.

Meg lehet csinálni, de nem a szerver elhelyezkedése, hanem az adott szolgáltatást nyújtó cég székhelye számít - ha ez (mármint a cég székhelye) az USA-ban van, akkor érvényes rá az EU-s oldalról kifogásolt "bármit is megnézhet az NSA" szabályozás,ami nem felel meg az EU-s adatvédelmi irányelveknek.

Szerintem nem az a lényeges, hogy fizikailag hol van a szerver. Hanem talán az, hogy honnan üzemeltetik: USA vagy nem USA cég fennhatósága alá tartozik (adminisztrációs szempontból). Mert nyilván az NSA admin jogot kér a kutakodáshoz, és ezt csak USA-ban bejegyzett cég esetén teheti meg. De javítsatok ki, ha nem így van.

Igen, az NSA szempontjából a cég székhelye a releváns, de hogy milyen esetleges egyéb szabályok vonatkoznak valakire, aki az Államokba akar szolgáltatni, azt nem tudom. Ugye itt arra gondolunk, hogy ha valaki EU állampolgároknak nyújt szolgáltatást, akkor mindegy hol van a székhelye, GDPR vonatkozik rá. Ez lehet akár egy kínai webshop is. (Kicsit elméleti a dolog, de a rendelet így szól.) A kérdés az, hogy van-e hasonló az Egyesült Államok jogrendjében...

Szerkesztve: 2020. 08. 06., cs - 01:24

Wow! Popcornt bekészít, őveket becsatol! Wow! Köszönöm az összefoglalót!

Véleményem szerint már régen korlátozni kellett volna az USA cégek kémkedésének lehetőségét. Emlékszem, hogy jópár éve volt egy olyan vonulat a céges gondolkodásban, hogy vigyázzunk az adatokra, nem lehet akármivel (pl gmail) levelezni, stb. Most meg mindenhol azt látom, hogy mindenki Teams-ben kommunikál, ezt írja elő a céges policy. Amit ha akarnak simán totál lehallgatnak, vagy örökre rögzítenek. Aki komolyan gondolja, hogy vigyáz a privacy-re, annak az a minimum, hogy maga hosztolja a kommunikációs rendszereit és titkosítva csatlakozik hozzájuk.

Hogyan is lehetne, amikor éppen beindul egy startup vagy kicsit is jó egy szolgáltató, - Amerikán kívüli székhellyel, - azt azon nyomban valamelyik amerikai cég felvásárolja. Legutóbb a Tik-Tok "indult" az USA-ba...? - (Kicsit sem kéne az egyértelműen stratégiai szempontú felvásárlásokat megengedni! Vagy más, ismeretlen szempontból éppen így jó ez nekünk?)

Azt vágod, hogy a nagyrésze a startupereknek kb. 6-8 éve is már arra tervezte a project-jeit, hogy minimum acquihire, de inkább hammbekaplak legyen a vége? Szerinted, ha ezt betiltják, sok lesz köztük aki hű, tényleg, építsünk EU-s konkurenset a világ legnagyobb cégeinek gondolatnak átadva magát belevág egy ultrakockázatos, mondjuk 10 éves hegymenetbe? Nem azt mondom, hogy nem kéne eu-s IT, csak azt mondom, hogy nem a pofánvágással kell kezdeni, főleg ne a "mieinket" üsd.

Ha nem válaszolnék kommentben, hát küldj privátot!

Mert a (Google|Facebook|Microsoft|Apple|...) csapatához tartozni menőbb. Mert az EU akkora ostobák gyülekezete tud lenni, hogy a startup alapokra hivatkozik ilyenkor, mint megoldásra. Mert nagyon kevés az IT-s aki egy kicsit is lenne hajlandó kilépni a 9-5-igből.

Ha nem válaszolnék kommentben, hát küldj privátot!

Annyi történt, ahogy a kolléga is írja részben, hogy ki lett értékelve a kérdés, mennyibe kerülne, mennyit hozna, és ahogy szokott lenni, egy jövőbeli, potenciális, nehezen belőhető méretű kár eléggé alulmaradt a "bameg akkor most az egész céget át kell képezni arra, hogy ne a kék ikonra kattintson, hanem a zöldre?" költségeihez képest. Hasonlóan mint a "ma törlöm a facebook app-ot", mert hogy a legtöbb esetben "hú visszatelepítem mert senkit nem érek el" van másnap, az is hirtelen felbuzdulás, aztán visszaállás.

De egyébként amit leírtál szoftverre azt kiterjeszthetnéd hardverre is, és ott vége van a beszélgetésnek, mert senki nem fog gyártani magának európai szinten chip-eket, anélkül meg teljesen mindegy, hogy milyen szoftvert futtatsz.

Ha nem válaszolnék kommentben, hát küldj privátot!

egy jövőbeli, potenciális, nehezen belőhető méretű kár eléggé alulmaradt a "bameg akkor most az egész céget át kell képezni arra, hogy ne a kék ikonra kattintson, hanem a zöldre?" költségeihez képest

És az még a kisebbik baj, a nagyobbik, hogy ezeket a szolgáltatásokat (pl. GSuite, O365, stb.) baromi sok kis cég használja, ahol mondjuk havi 10k-ból megvan a teljes IT weboldallal, levelezéssel, távmunka eszközökkel, stb.

Velük mi lesz?

Na de épp ez az, hogy a méretgazdaságosság miatt labdába sem rúgsz. Mondjuk legyen a pár hét = a hónap, katázva egy milla. És legyünk nagyon optimisták, olyan fasza lesz a rendszer, hogy soha többet nem kell supportálni. :) Ebből a pénzből egy ötfős cég kap levelezést, fájlmegosztást, csoportmunkát, videohívásokat, Office klienst tabletre, mobilra, webre, 136 hónapra.

Ez szinte minden gazdasági vállalkozásnál igaz, hogy a meglévő konkurencia beérhetetlenül olcsó már most is, a kérdés, hogy tudna-e az új megoldás jobb lenni, és átcsábítani a meglévő konkurencia ügyfeleit. :) Nyilván tudnék olyat írni most szombaton akár, ami jobb mint a Microsoft cuccai.

Ha nem válaszolnék kommentben, hát küldj privátot!

Ez szinte minden gazdasági vállalkozásnál igaz, hogy a meglévő konkurencia beérhetetlenül olcsó már most is, a kérdés, hogy tudna-e az új megoldás jobb lenni, és átcsábítani a meglévő konkurencia ügyfeleit. :) Nyilván tudnék olyat írni most szombaton akár, ami jobb mint a Microsoft cuccai.

Ha nem válaszolnék kommentben, hát küldj privátot!

Tehát a gyakorlatban maximum közelítőleg betartható GDPR-re hivatkozva kezdjük kidobni az O365-öt meg a Google Apps-ot, meg az összes, bármilyen módon az USA-hoz kapcoslható felhőszolgáltatást és miegyebet. Azt persze eddig is tudtuk, hogy a jogalkotás messze áll az életszerűségtől - jó kérdés, hogy ezt hogyan képzelték megvalósítani...

Mi van azokban az esetekben amikor valaki ilyen szolgáltatást használ de az adatközpont az EU-ban van (AWSnek, Microsoftnak van ilyen). Haza vitethetik az adatokat az amerikai törvények miatt? Ha igen akkor pl színtiszta hazugságokat ír az MS itt.

Az AWS DPA-ban is van ilyen (12.1 ha jól emlékszem), hogy az adat nem hagyja el az EU-t, de a FISA 702 és EO 12.333-nak nincs területi korlátja, tehát EU szerverbe is belenyúlhatnak. A Schrems ügyhöz kötődő szakértők szerint, ha egy EU cégnek, leányvállalatnak van USA kötődése, akkor kiszolgáltatott.
A linkelt Azure Germany nem tudom jogilag mennyire független, erről most hirtelen nem találtam információt. Az AWS esetén az apró betűben ott van, hogy "nem fogja elhagyni az EU-t, kivéve ha törvényi kötelezettségünk van rá". 

Ezek után kezdem érteni, miért tiltja le néhány weboldal az EUból való hozzáférést. Ha egy U. S. cég valóban be akarná tartani a törvényeket, pucolna innen.

Azért van ennek jó oldala, hónapokig nem tudtam honnan tudják a zsír új telefonszámomat amire az egyik szendvics-hálózat küldte az sms-spam-et, mire kiderült hogy a telefonon keresztül megkötött autó biztosítása mellé kaptam "ajándékba". Adják-veszik az adataidat az USA-ban, kb semmi kontrollod nincs felette. Ehhez képest megváltás az EU-s szabályozás, még ha néha korlátozónak tűnik is.

Jól értem, hogy a GA-t használó site-ok gyakorlatilag mehetnek a lecsóba az agyhalott jogászok baromkodása miatt?! Komolyan mondom, el kell vágni a 3.14csába az összes transzatlanti kábelt, és meg van oldva: nincs USA kitettség, nincs Google, nincs Facebook, nincs Yahoo, Youtube, Microsoft... De persze Android, meg Apple alkalmazásbolt meg cloud szolgáltatás se - aztán a nagy és szakmailag magas szinten szolgáltató EU-s cégek ripsz-ropsz átveszik a helyüket.... Ja, hogy ilyenek nincsenek...?

 

Ja, és egy újabb eu-s jogászbaromság, amivel bárkit is lehet szivatni, ha épp egy ellenérdekelt fél úgy kívánja... Aztán persze 2-3-5-sok év alatt lehet, hogy születik érdemi felmentő ítélet, vagy megegyezés, de az alatt a "kabátlopási ügybe kevert" fél lehúzta a rollót, ment a levesbe - és utána is rajta marad az emlékekben, hogy kabátlopási ügybe keveredett...