USA pilvelahendused isikuandmete kaitse piiramisrõngas: kui kaua neid veel lubatakse?

• Estonia

• General

26-01-2022

Austria andmekaitseasutuse otsus Google Analytics teenuse vastuolust isikuandmete kaitse üldmääruse (GDPR) nõuetega mõjus külma dušina üle kogu Euroopa.

12. jaanuaril 2022 leidis Austrias isikuandmete kaitse üle järelevalvet teostav riiklik andmekaitseasutus ("Datenschutzbehörde" või "DSB"), et Google Analytics teenuse kasutamine Austrias tegutseva veebilehe operaatori poolt, mis hõlmab isikuandmete USA-sse edastamist, ei ole GDPR-iga kooskõlas.

Loo taust on seotud teadatuntud isikuandmete aktivisti Max Schremsi algatatud kaebustega erinevatele Euroopa andmekaitseasutustele seoses Euroopa Liidus asuvate teenusepakkujate edastatavate andmetega USA-sse. Schremsi enda poolt varem algatatud kohtuasjades tehtud Euroopa Kohtu otsustega tuvastati, et USA julgeolekuasutuste jälgimisprogrammid ja nuhkimismeetmed (PRISM, FISA) võimaldavad USA asutustel euroopalike andmekaitsestandardeid eirates saada kergekäeliselt ligi eurooplaste isikuandmetele.

Pärast 2020.a. suvel tehtud otsust nn Schrems II asjas on üle Atlandi andmevahetus olnud justkui maa ja taeva vahel. Selle Euroopa Kohtu otsusega tõmmati vaip alt nn. privaatsuskilbil, mis oli piltlikult justkui nimekiri USA ettevõtetest, kellele võis julgesti ka Euroopast isikuandmeid saata. Peale seda otsust on Euroopa Andmekaitsenõukogu ja erinevad kohalikud asutused andnud Euroopa turuosalistele segaseid ja kohmakaid suuniseid, kuidas võiks uues muutunud olukorras USA teenusepakkujatega koostööd jätkata, kuid realistlikud ja teostatavad lahendused on seni puudunud.

Seda enam, et taustal on juba alates 2020 sügisest toimunud aktiivsed läbirääkimised Euroopa Komisjoni ja USA Föderaalvalitsuse vahel uue üle Atlandi andmeedastusaluse loomises, mis peaks kujutama endast justkui parandatud versiooni 2020.a. tühistatud privaatsuskilbist. Lootused on kogu aeg olnud kõrgel teadmisega, et peatselt olukord selgineb ja koostöö saab tavapärastel alustel jätkuda. Globaliseeruvas maailmas, kus eriti USA tehnoloogiasektor kannab juhtivat rolli, ei ole mõeldav, et Euroopa jäetakse sabassörkijaks, kelle parim võimalus on leiutada oma uued geniaalsed jalgrattad, sh oma Google, HubSpot, Stripe või Mailchimp.

Kuid Austria DSB otsus Google Analytics osas mõjus turuosalistele kainestavalt. Esmalt tuvastas DSB, et Google Analytics teenuse kaudu on juurdepääs viidatud Austria veebilehe külastusandmetele ka Google USA üksustel. Seejuures ei vaidlustanud nimetatud asjaolu ka Google ise. DSB leidis edasi, et veebikülastuste ja veebikasutamise analüütika tarbeks Google Analytics teenust kasutanud Austria veebilehe operaatori lepingulised, tehnilised ja organisatsioonilised lisakaitsemeetmed ei ole piisavad ning millegagi pole tagatud, et Google suudab takistada USA julgeolekuasutuste kergekäelist juurdepääsu isikuandmetele, sh vajadusel Austria veebilehe külastus- ja kasutusandmetele.

Kurioossemaks muudab olukorra veel tõsiasi, et kõnealuses asjas ei ole tegemist otsest isikutuvastust võimaldavate isikuandmetega nagu nimi, aadress, kontaktandmed vms. Austria DSB seisukoha järgi piisab isikuandmete töötlemise kvalifitseerimiseks siinkohal juba sellest, kui suudetakse veebilehe kasutaja andmed nö. eristada (ingl. k. singling out of user information). Samuti ei piisanud siinkohal nn IP anonümiseerimise funktsionaalsuse kasutamisest, mida on ka senini jätkuva üle Atlandi andmevahetuse osas õigustusena kasutatud.

DSB otsustas, et eraldamismeetmed ja krüpteerimine ei paku piisavat kaitsetaset, kuna need ei muuda asjaolu, et Google'i serverid alluvad USA luureagentuuride järelevalvele. Seetõttu ei saanud isikuandmeid kuidagi piisavalt kaitsta.

Millised on selle otsuse mõjud laiemalt?

Täna Eesti Andmekaitse Inspektsioon sellel teemal vaikib nagu hetkel ka ülejäänud Euroopa kohalikud andmekaitseasutused. Kuid märgiliselt leidis Euroopa andmekaitseinspektor (EDPS) kohe mõne päeva möödudes Austria asutuse otsusest sarnastel põhjendustel, et ka Euroopa Parlament rikub GDPR-i, võimaldades kasutajate seadmetesse paigutada Google Analyticsi ja makseteenuse Stripe küpsiseid oma Covid-19 testimise veebilehel.

On tunda, et Austria DSB otsus ei sündinud vaid Austriakeskselt, vaid selle tegemise juures on konsulteeritud teiste riikide pädevate asutustega ja ilmselt ka Euroopa Andmekaitsenõukoguga. Seetõttu võib eeldada, et isikuandmetega seotud USA teenusepakkujad ja eriti pilvelahendused, mille kasutamine on Euroopas nii tarbijatele kui ettevõtetele igapäevane ja vajalik, laulavad täna Euroopale oma luigelaulu. Ei ole välistatud, et Austriaga sarnased juhtumid leiavad peatselt aset ka mujal Euroopas, sealhulgas Eestis.

Seejuures on tähelepanuväärne, et aktivist Max Schrems on siinkirjutajale teadaolevalt esitanud mitu sarnast kaebust ka Eesti Andmekaitse Inspektsioonile. GDPR kohaldub ühtviisi nii Austrias, Eestis, kui ka ülejäänud Euroopa Liidu liikmesriikides.

Google Analytics koos teiste Google'i analüüsiteenustega, nagu Google Universal Analytics ja Google Global Site Tag, esindab enam kui 70% globaalsest veebianalüüsiturust. Seega Euroopa ettevõtete loobumine sellisest mõjusast tööriistast ja ka teistest USA teenusepakkujate lahendustest võib mõistetavalt olla valulik. Viimaste arengute valguses võib siiski olla õige aeg asuda otsima Euroopa alternatiive, vältimaks järsu keelustamise mõjudega seotud majandustegevuse raskusi.

< Go back

Public link

Please use the above public link if you want to share this noodl on another website.