Háttér
Az ügy 2013-ra nyúlik vissza, amikor is Schrems úr és jogvédő csoportja kifogásolta az ír adatvédelmi hatóságnál a Facebook adatvédelmi garanciáit. Hogy a hatóság jól vagy rosszul tette a dolgát, most nem boncoljuk fel, Schremsék több módon eszkalálták az ügyet, ami végül több fordulóban az Európai Bíróságnál kötött ki.
Az alapprobléma, hogy a Facebook Ireland és a Facebook Inc (USA) között ugyan létezik olyan adatvédelmi szerződés, amely GDPR kompatibilis módon garantálja az adatok bizalmas kezelését (teljesítve a 2010/87/EU döntést), de mivel a Facebook Inc amerikai székhelyű cég, ezért ő alanya az ottani FISA 702 és EO 12.333 törvényeknek.
Mi a baj a FISA 702 és EO 12.333-vel?
Ezek a törvények a terrorizmus ellenesség jegyében szinte korlátlan megfigyelési hatalmat adnak az amerikai kormánynak (NSA), továbbá törvényi eszközöket arra, hogy kémkedésüket kiterjesszék bármely amerikai székhellyel rendelkező „elektronikus kommunikáció szolgáltatóra” (electronic communication service provider). A ilyen szolgáltatók definícióját az amerikai rendelet roppant tágan értelmezi, így a legtöbb információtechnológiai szolgáltató potenciális alanya és együttműködője a megfigyelésnek.
Az uniós álláspont szerint, bár bűnüldözéssel kapcsolatos megfigyelés az EU-ban sem ismeretlen, az amerikai szabályozás nem alkalmaz megfelelő korlátokat, így a megfigyelés a magánéletbe való aránytalan mértékű beavatkozással jár, ami nem kompatibilis az uniós adatvédelmi normákkal.
Tehát a probléma…
Mindegy, hogy milyen garanciális instrumentumot választ egy adatkezelő vagy adatfeldolgozó (SCC, BCR, Privacy Shield, DPA), ha van amerikai székhelye, akkor valószínűleg kitett az amerikai megfigyelési törvényeknek, ezért nem tekinthető GDPR megfelelőnek az adatkezelése. Teoretikusan ezzel a döntéssel (C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems) illegálissá vált jópár széles körben használt technológiai szolgáltató használata az EU-ban, mint például MS365, AWS.
Nem eszik olyan forrón a kását
Bár az Európai Bíróság döntése teoretikusan valóban jelentheti a fenti sötét következtetést, egyúttal vissza is passzolja a labdát az adatvédelmi hatóságok térfelére. Hangsúlyozza, hogy a hatóságok feladata az egyes „nagy” adatkezelők vizsgálata és nekik kell kialakítani azokat a szabályokat és keretrendszereket, amelyek a fentiek tükrében gyakorlati megoldásokra lefordíthatók.
Az European Data Protection Board eddig nem sok hasznos dolgot mondott az ügyben. A döntést helytállónak tekintik és felhívják az adatkezelők figyelmét, hogy vizsgálniuk kell a bevont harmadik felek és az adatkezelés esetleges érintettségét. Burkoltan ez már a cégek felelősségre való utalás, de egyelőre sokkal több konkrétumot nem közöltek.
A következők várhatóak:
-
A hatóságok vizsgálják a „nagy” szolgáltatókat
-
A hatóságok kidogozzák az iránymutatásokat
-
Mindeközben diplomáciai társalgás nyílik arról, hogy az USA változtassa meg a megfigyelési törvényeket (nagyon valószínűtlen, hogy ez bekövetkezik)
-
Szolgáltatók lépnek valamit (saját szolgáltatás felszabdalása, Facebook EU, stb születése, viszonylag valószínűtlen, de bizonyos esetekben elképzelhető)
-
A hatóságok elkezdik büntetni a cégeket, akik nem megfelelő harmadik feleket vontak be
Ha most vagyunk a CJEU döntés után a nulladik napnál, akkor ennek a folyamatnak az utolsó lépése (büntetések) nem hiszem, hogy 2 évnél hamarabb megtörténik, de szignifikáns realitása van annak, hogy meg fog történni.
Ezért tanácsadóként, már most a következőket javasoljuk. Ha ki lehet váltani egy kizárólag EU-ban székelő szolgáltatóval az érintett harmadik felek által biztosított technológiát, akkor érdemes ezt megtenni. Ha ez túl komplikált vagy nem lehetséges, meg kell vizsgálni, hogy lehet-e az adatokat oly módon védeni, hogy a szolgáltató ne férjen hozzá. (Például titkosítás az AWS esetén.)
Zárszó
Nem a pánik gomb nyomogatása volt a cél, inkább figyelemfelhívás egy olyan témára, ami a technológiai szektorban sokakat érint és a média mérsékelten prezentálta a lényegi részét a történetnek. Lehetnek a fentiekben tévedések, illetve az is előfordulhat, hogy 1-2 hónap múlva minden átalakul, új állásfoglalások, döntések, megoldások születnek, de érdemes elkezdeni foglalkozni a témával.
Természetesen, a kockázatokkal arányos intézkedések elve itt is valamilyen módon jelen van. Egy AWS-en hosztolt webshop, ami színes pólókat árul, nem folytat érzékeny adatokhoz kapcsolód adatkezelést. Az ilyen adatkezelés szempontjából „könnyűsúlyú” vállalkozás bár elvileg büntethető, gyakorlatban minimális büntetési valószínűséggel és tételekkel kell szembenéznie, ezért nem érdemes túlreagálnia a helyzetet. Azoknak kell ezen alaposan elrágódni, akik nagy mértékű és/vagy érzékeny adatkezelésben érintettek.
- dii blogja
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Szóval az amcsi mammutok adatkezelése nem EU-konform, de helyettük az ő szolgáltatásaikat igénybe vevő EU-s kishalakat fogják rommábírságolni, hogy ne vegyék igénybe? Mi a cél? Az USA gazdasági befolyásának csökkentése? Nem értek se gazdasághoz, se joghoz, de nekem ez így a gyerek és a fürdővíz esetének tűnik; FIXME.
- A hozzászóláshoz be kell jelentkezni
Köszi az írást, elolvasom, addig ha lehet egy tl;dr kérdésem: ha van egy cég, aki EU-ban is és USA-ban is akar kereskedni, akkor USA-ban nem lehet a szerver, mert GDPR, de EU-ban lehet, vagy van valami USA-ban levő párja ennek a törvénynek? Illetve, van még igazán különbség egy átlagos webshopnál pl. egy New York-ban ücsörgő felhasználó részéről, érezhetően, ha ott mellette van a webszerver pár kilóméterrel, mintha London-ban? (Pont most lesz több olyan project-em, aminél ezek a kérdések felmerültek.)
Ha nem válaszolnék kommentben, hát küldj privátot!
- A hozzászóláshoz be kell jelentkezni
Ez nehéz kérdés, mivel az USA szabályokkal nem vagyok ennyire képben. Ugye a GDPR-ban az a csavar, hogy az EU polgárok adatait (elvileg) akkor is védi, ha nem EU cég kezeli őket. Hasonlóról én az Egyesült Államok kapcsán nem tudok, de erősen ajánlott egy helyi szakértővel átnézni, hogy milyen szabályok fognak rátok vonatkozni.
User experience szempontjából, ha EU-ban van a szerver, lesz egy 100-200ms response növekedés, ez egy webshop esetében általában elviselhető.
- A hozzászóláshoz be kell jelentkezni
Azt meg lehet csinálni, hogy eu-s állampolgároknak eu-s szerverről, amerikainak meg amerikairól szolgáltasz?
Psszt, elárulom az IP-címemet: 192.168.0.14
- A hozzászóláshoz be kell jelentkezni
Erre gondoltam én is felületesen átfutva a híreket, csinálják ezt most is cégek, csak technikai okokból.
Ha nem válaszolnék kommentben, hát küldj privátot!
- A hozzászóláshoz be kell jelentkezni
Meg lehet csinálni, de nem a szerver elhelyezkedése, hanem az adott szolgáltatást nyújtó cég székhelye számít - ha ez (mármint a cég székhelye) az USA-ban van, akkor érvényes rá az EU-s oldalról kifogásolt "bármit is megnézhet az NSA" szabályozás,ami nem felel meg az EU-s adatvédelmi irányelveknek.
- A hozzászóláshoz be kell jelentkezni
Szerintem nem az a lényeges, hogy fizikailag hol van a szerver. Hanem talán az, hogy honnan üzemeltetik: USA vagy nem USA cég fennhatósága alá tartozik (adminisztrációs szempontból). Mert nyilván az NSA admin jogot kér a kutakodáshoz, és ezt csak USA-ban bejegyzett cég esetén teheti meg. De javítsatok ki, ha nem így van.
- A hozzászóláshoz be kell jelentkezni
Igen, az NSA szempontjából a cég székhelye a releváns, de hogy milyen esetleges egyéb szabályok vonatkoznak valakire, aki az Államokba akar szolgáltatni, azt nem tudom. Ugye itt arra gondolunk, hogy ha valaki EU állampolgároknak nyújt szolgáltatást, akkor mindegy hol van a székhelye, GDPR vonatkozik rá. Ez lehet akár egy kínai webshop is. (Kicsit elméleti a dolog, de a rendelet így szól.) A kérdés az, hogy van-e hasonló az Egyesült Államok jogrendjében...
- A hozzászóláshoz be kell jelentkezni
És ha nem a webshop tulajdonosát keresi meg az NSA, hanem az AWS-t?
Ha nem válaszolnék kommentben, hát küldj privátot!
- A hozzászóláshoz be kell jelentkezni
Elméletben nem használhatsz AWS-t, vagy olyan módon titkosítod a virtuális gépeken az adatokat, hogy az AWS sem férhet hozzá.
- A hozzászóláshoz be kell jelentkezni
Az oké, de arra gondoltam, hogy hiába van ott a cuccom nekem magyar cégnek, ha az AWS-től kérik ki az adatokat bakhatom.
Ha nem válaszolnék kommentben, hát küldj privátot!
- A hozzászóláshoz be kell jelentkezni
Ez így van. Arra céloztam, hogy ha az AWS-en lévő adatokat titkosítod, akkor hiába kérik az AWS-től, nem tudnak vele mit kezdeni.
- A hozzászóláshoz be kell jelentkezni
Tehát ha mondjuk S3-on tartok adatokat, de oda minden titkosítva kerül, akkor GDPR szerint megfelelhet?
- A hozzászóláshoz be kell jelentkezni
Igen (feltéve, hogy a titkosítás korunk követelményeinek megfelel).
- A hozzászóláshoz be kell jelentkezni
Nagyon köszi, szuper összefoglaló!
- A hozzászóláshoz be kell jelentkezni
Wow! Popcornt bekészít, őveket becsatol! Wow! Köszönöm az összefoglalót!
Véleményem szerint már régen korlátozni kellett volna az USA cégek kémkedésének lehetőségét. Emlékszem, hogy jópár éve volt egy olyan vonulat a céges gondolkodásban, hogy vigyázzunk az adatokra, nem lehet akármivel (pl gmail) levelezni, stb. Most meg mindenhol azt látom, hogy mindenki Teams-ben kommunikál, ezt írja elő a céges policy. Amit ha akarnak simán totál lehallgatnak, vagy örökre rögzítenek. Aki komolyan gondolja, hogy vigyáz a privacy-re, annak az a minimum, hogy maga hosztolja a kommunikációs rendszereit és titkosítva csatlakozik hozzájuk.
- A hozzászóláshoz be kell jelentkezni
Van európai cég, ami képes Google Apps/O365 szintet megközelítő szolgáltatást nyújtani? Vagy az EU-s paragrafusbohócok fognak ilyet gründolni?
- A hozzászóláshoz be kell jelentkezni
Papír van, ceruza van, majd elküldöd postán!
- A hozzászóláshoz be kell jelentkezni
Hogyan is lehetne, amikor éppen beindul egy startup vagy kicsit is jó egy szolgáltató, - Amerikán kívüli székhellyel, - azt azon nyomban valamelyik amerikai cég felvásárolja. Legutóbb a Tik-Tok "indult" az USA-ba...? - (Kicsit sem kéne az egyértelműen stratégiai szempontú felvásárlásokat megengedni! Vagy más, ismeretlen szempontból éppen így jó ez nekünk?)
- A hozzászóláshoz be kell jelentkezni
Azt vágod, hogy a nagyrésze a startupereknek kb. 6-8 éve is már arra tervezte a project-jeit, hogy minimum acquihire, de inkább hammbekaplak legyen a vége? Szerinted, ha ezt betiltják, sok lesz köztük aki hű, tényleg, építsünk EU-s konkurenset a világ legnagyobb cégeinek gondolatnak átadva magát belevág egy ultrakockázatos, mondjuk 10 éves hegymenetbe? Nem azt mondom, hogy nem kéne eu-s IT, csak azt mondom, hogy nem a pofánvágással kell kezdeni, főleg ne a "mieinket" üsd.
Ha nem válaszolnék kommentben, hát küldj privátot!
- A hozzászóláshoz be kell jelentkezni
EU pénzböl garantalt haszonnal miert ne?
- A hozzászóláshoz be kell jelentkezni
Mert a (Google|Facebook|Microsoft|Apple|...) csapatához tartozni menőbb. Mert az EU akkora ostobák gyülekezete tud lenni, hogy a startup alapokra hivatkozik ilyenkor, mint megoldásra. Mert nagyon kevés az IT-s aki egy kicsit is lenne hajlandó kilépni a 9-5-igből.
Ha nem válaszolnék kommentben, hát küldj privátot!
- A hozzászóláshoz be kell jelentkezni
Annyi történt, ahogy a kolléga is írja részben, hogy ki lett értékelve a kérdés, mennyibe kerülne, mennyit hozna, és ahogy szokott lenni, egy jövőbeli, potenciális, nehezen belőhető méretű kár eléggé alulmaradt a "bameg akkor most az egész céget át kell képezni arra, hogy ne a kék ikonra kattintson, hanem a zöldre?" költségeihez képest. Hasonlóan mint a "ma törlöm a facebook app-ot", mert hogy a legtöbb esetben "hú visszatelepítem mert senkit nem érek el" van másnap, az is hirtelen felbuzdulás, aztán visszaállás.
De egyébként amit leírtál szoftverre azt kiterjeszthetnéd hardverre is, és ott vége van a beszélgetésnek, mert senki nem fog gyártani magának európai szinten chip-eket, anélkül meg teljesen mindegy, hogy milyen szoftvert futtatsz.
Ha nem válaszolnék kommentben, hát küldj privátot!
- A hozzászóláshoz be kell jelentkezni
egy jövőbeli, potenciális, nehezen belőhető méretű kár eléggé alulmaradt a "bameg akkor most az egész céget át kell képezni arra, hogy ne a kék ikonra kattintson, hanem a zöldre?" költségeihez képest
És az még a kisebbik baj, a nagyobbik, hogy ezeket a szolgáltatásokat (pl. GSuite, O365, stb.) baromi sok kis cég használja, ahol mondjuk havi 10k-ból megvan a teljes IT weboldallal, levelezéssel, távmunka eszközökkel, stb.
Velük mi lesz?
- A hozzászóláshoz be kell jelentkezni
Van ez a libreoffice, meg hát nekem sincs épp sok munkám, pár hét alatt összedobom az outlook2-t. Lehetne konkurálni, csak hát ez nem 5 perc.
Ha nem válaszolnék kommentben, hát küldj privátot!
- A hozzászóláshoz be kell jelentkezni
Gondolom a ceruzák országáról van szó (Hint: Irónia) :)
- A hozzászóláshoz be kell jelentkezni
Na de épp ez az, hogy a méretgazdaságosság miatt labdába sem rúgsz. Mondjuk legyen a pár hét = a hónap, katázva egy milla. És legyünk nagyon optimisták, olyan fasza lesz a rendszer, hogy soha többet nem kell supportálni. :) Ebből a pénzből egy ötfős cég kap levelezést, fájlmegosztást, csoportmunkát, videohívásokat, Office klienst tabletre, mobilra, webre, 136 hónapra.
- A hozzászóláshoz be kell jelentkezni
Ez szinte minden gazdasági vállalkozásnál igaz, hogy a meglévő konkurencia beérhetetlenül olcsó már most is, a kérdés, hogy tudna-e az új megoldás jobb lenni, és átcsábítani a meglévő konkurencia ügyfeleit. :) Nyilván tudnék olyat írni most szombaton akár, ami jobb mint a Microsoft cuccai.
Ha nem válaszolnék kommentben, hát küldj privátot!
- A hozzászóláshoz be kell jelentkezni
Ez szinte minden gazdasági vállalkozásnál igaz, hogy a meglévő konkurencia beérhetetlenül olcsó már most is, a kérdés, hogy tudna-e az új megoldás jobb lenni, és átcsábítani a meglévő konkurencia ügyfeleit. :) Nyilván tudnék olyat írni most szombaton akár, ami jobb mint a Microsoft cuccai.
Ha nem válaszolnék kommentben, hát küldj privátot!
- A hozzászóláshoz be kell jelentkezni
Tehát a gyakorlatban maximum közelítőleg betartható GDPR-re hivatkozva kezdjük kidobni az O365-öt meg a Google Apps-ot, meg az összes, bármilyen módon az USA-hoz kapcoslható felhőszolgáltatást és miegyebet. Azt persze eddig is tudtuk, hogy a jogalkotás messze áll az életszerűségtől - jó kérdés, hogy ezt hogyan képzelték megvalósítani...
- A hozzászóláshoz be kell jelentkezni
Mi van azokban az esetekben amikor valaki ilyen szolgáltatást használ de az adatközpont az EU-ban van (AWSnek, Microsoftnak van ilyen). Haza vitethetik az adatokat az amerikai törvények miatt? Ha igen akkor pl színtiszta hazugságokat ír az MS itt.
- A hozzászóláshoz be kell jelentkezni
- Elégett néhány titkos iratunk - panaszkodott Bormann.
- Hazaszólhatok, biztos van az otthoniaknál másolat - nyugtatta Stirlitz.
- A hozzászóláshoz be kell jelentkezni
:'D
- A hozzászóláshoz be kell jelentkezni
Az AWS DPA-ban is van ilyen (12.1 ha jól emlékszem), hogy az adat nem hagyja el az EU-t, de a FISA 702 és EO 12.333-nak nincs területi korlátja, tehát EU szerverbe is belenyúlhatnak. A Schrems ügyhöz kötődő szakértők szerint, ha egy EU cégnek, leányvállalatnak van USA kötődése, akkor kiszolgáltatott.
A linkelt Azure Germany nem tudom jogilag mennyire független, erről most hirtelen nem találtam információt. Az AWS esetén az apró betűben ott van, hogy "nem fogja elhagyni az EU-t, kivéve ha törvényi kötelezettségünk van rá".
- A hozzászóláshoz be kell jelentkezni
Ezek után kezdem érteni, miért tiltja le néhány weboldal az EUból való hozzáférést. Ha egy U. S. cég valóban be akarná tartani a törvényeket, pucolna innen.
- A hozzászóláshoz be kell jelentkezni
Azért van ennek jó oldala, hónapokig nem tudtam honnan tudják a zsír új telefonszámomat amire az egyik szendvics-hálózat küldte az sms-spam-et, mire kiderült hogy a telefonon keresztül megkötött autó biztosítása mellé kaptam "ajándékba". Adják-veszik az adataidat az USA-ban, kb semmi kontrollod nincs felette. Ehhez képest megváltás az EU-s szabályozás, még ha néha korlátozónak tűnik is.
- A hozzászóláshoz be kell jelentkezni
Itt nem az adják-veszik a gond, hanem az NSA "mindenbe is, bármilyen indoklás nélkül is belenézhetünk" jogosultsága.
- A hozzászóláshoz be kell jelentkezni
Igaz, nem volt jó a példa, de a probléma forrása ugyan az. Amiért az EU-ban elmeszelnének bárkit, az az USA-ban bevett szokás, törvényes. Ugyan ez jelent most meg magasabb szinten, ami ellen (szerintem jogosan) próbál fellépni az EU.
- A hozzászóláshoz be kell jelentkezni
Index.hu, 24.hu, Időkép.hu bepanaszolása már meg is történt az osztrák adatvédelmnél: https://noyb.eu/en/101-complaints-eu-us-transfers-filed
- A hozzászóláshoz be kell jelentkezni
Jól értem, hogy a GA-t használó site-ok gyakorlatilag mehetnek a lecsóba az agyhalott jogászok baromkodása miatt?! Komolyan mondom, el kell vágni a 3.14csába az összes transzatlanti kábelt, és meg van oldva: nincs USA kitettség, nincs Google, nincs Facebook, nincs Yahoo, Youtube, Microsoft... De persze Android, meg Apple alkalmazásbolt meg cloud szolgáltatás se - aztán a nagy és szakmailag magas szinten szolgáltató EU-s cégek ripsz-ropsz átveszik a helyüket.... Ja, hogy ilyenek nincsenek...?
Ja, és egy újabb eu-s jogászbaromság, amivel bárkit is lehet szivatni, ha épp egy ellenérdekelt fél úgy kívánja... Aztán persze 2-3-5-sok év alatt lehet, hogy születik érdemi felmentő ítélet, vagy megegyezés, de az alatt a "kabátlopási ügybe kevert" fél lehúzta a rollót, ment a levesbe - és utána is rajta marad az emlékekben, hogy kabátlopási ügybe keveredett...
- A hozzászóláshoz be kell jelentkezni
A NAIH-ban és vezetőjében már meg sem bíztak? :D
- A hozzászóláshoz be kell jelentkezni