Google je premjestio zaštitu privatnosti svojih korisnika iz Ujedinjenog Kraljevstva u svoj entitet u SAD-u - ovo je promjena koja utječe na vas

Sa službenim Brexitom od siječnja 31, Ujedinjeno Kraljevstvo i EU sada imaju samo 10 mjeseci da dogovore pojedinosti politike svog razdvajanja. U međuvremenu, pravila -- uključujući one primjenjive na privatnost podataka -- nastavit će se primjenjivati ​​kao i obično. Međutim, Google ne čeka kraj prijelaznog razdoblja za ažuriranje njegove odredbe i uvjete jer se odnose na privatnost; upravo je najavio tehnološki div da će, budući da Ujedinjeno Kraljevstvo napušta EU, od 31. ožujka 2020. Google LLC (Googleov američki entitet) postati pružatelj usluga i voditelj obrade podataka odgovoran za račune korisnika u Ujedinjenom Kraljevstvu -- umjesto Googleovih europskih entitet.

Ako mislite da je ovo samo detalj za odvjetnike i stručnjake za zaštitu podataka, razmislite još jednom! Ova odluka možda neće rezultirati trenutnom, materijalnom promjenom privatnosti korisnika u UK-u, ali hoće uskoro. Postavljanje Google LLC-a kao voditelja obrade osobnih podataka u Ujedinjenom Kraljevstvu znači da:

1. Googleovo poslovanje u Velikoj Britaniji bit će izvan dosega europskih regulatora zaštite podataka. Zbog izvanteritorijalnog učinka GDPR-a, Google LLC će se i dalje morati pridržavati ovih pravila što se tiče osobnih podataka njegovih korisnika u Ujedinjenom Kraljevstvu.[i] Međutim, sve buduće odluke ili radnje ovrhe koje je u Google Irsku donijelo bilo koje tijelo za zaštitu podataka EU (DPA) neće utjecati na Googleovo poslovanje u Ujedinjenom Kraljevstvu. Googleova odluka dolazi u vrijeme dok nekoliko DPA-a provodi istragu njegove prakse privatnosti diljem Europe. To znači da korisnici iz Ujedinjenog Kraljevstva mogu, ali i ne moraju, vidjeti bilo kakvu korist od ovih radnji, dok korisnici iz Europe hoće.
2. Slučaj statusa primjerenosti Ujedinjenog Kraljevstva upravo je postao kompliciraniji. UK ICO (Ured povjerenika za informiranje) pojasnio je da će se GDPR primjenjivati ​​do završetka prijelaznog razdoblja i potencijalno čak i nakon toga. Ovdje se ne radi samo o pravilima koja će se u budućnosti primjenjivati ​​na osobne podatke u Ujedinjenom Kraljevstvu, već i o budućnosti prijenosa podataka iz EU u Ujedinjeno Kraljevstvo. Zapravo, regulatorni režim UK-a bit će faktor u odluci Europske komisije o priznavanju stanje primjerenosti u UK. Međutim, ako drugi tehnološki divovi slijede Googleovo vodstvo, to je vjerojatno zato što očekuju da Ujedinjeno Kraljevstvo promijeni standarde privatnosti na takav način da njima ide u korist. Ako se to pokaže točnim, slučaj primjerenosti UK-a sigurno postaje kompliciraniji ako EU smatra da je UK previše promijenio svoje standarde. A to će biti glavobolja za sve tvrtke koje se oslanjaju na prijenos podataka iz EU u UK.
3. Vladi će biti još lakše pristupiti podacima korisnika Googlea u Velikoj Britaniji. Kao i za sve druge tvrtke sa sjedištem u SAD-u, Google LLC podliježe zakonima, poput zakona iz 2018 US-UK CLOUD Act, koji zahtijevaju od američkih tvrtki da predaju podatke američkih građana tražene američkim nalogom ili sudskim pozivom -- bez obzira na to gdje su pohranjeni. Preko bilateralnih sporazuma, Zakon o CLOUD-u iz 2018. također dopušta stranim vladama da od pružatelja usluga oblaka iz SAD-a izravno traže pristup podacima svojih građana za potrebe provedbe zakona. Budući da je Google LLC postao voditelj obrade podataka za korisnike iz UK-a, vladi UK-a još je lakše legalno dobiti pristup podacima građana pod kontrolom Google LLC-a.

Tvrtke koje posluju s Googleom u EU i Ujedinjenom Kraljevstvu moraju pažljivo analizirati ove implikacije. Zbog svoje odluke da korisnike iz Ujedinjenog Kraljevstva učinkovito udalji od zaštite europskih tijela za zaštitu podataka, Stručnjaci za rizike i privatnost moraju ponovno procijeniti svoje planove rizika trećih strana i ažurirati svoje mjere ublažavanja ako potrebno. Tvrtke koje nisu izravni partneri s Googleom također moraju razmotriti kako se ova odluka odražava na širu raspravu o prijenosu podataka između EU i UK-a. Organizacije moraju:

1. Pregledajte sporazume o prijenosu podataka između EU i Ujedinjenog Kraljevstva. Ako poslovna zajednica pokaže da dijeli očekivanja Googlea o potencijalnoj promjeni podataka standarda zaštite u Ujedinjenom Kraljevstvu, odluka Europske komisije o primjerenosti mogla bi biti manja Vjerojatno. Organizacije koje prenose podatke građana EU-a u UK -- koristeći infrastrukturu oblaka u UK-u od bilo kojeg pružatelja -- mora pripremiti za dodatnu birokratiju. Kako bi osigurali da se ti prijenosi podataka i dalje odvijaju zakonito, tvrtke moraju birati između malog skupa dostupne opcije. Standardne ugovorne klauzule (SCC) ostaju jedne od najboljih. Druga alternativa, čak i ako je drastičnija i glomaznija, bila bi potpuno izbjegavanje prijenosa.
2. Procijenite je li Google LLC još uvijek u granicama tolerancije rizika. Ako partner promijeni svoje odredbe i uvjete, uključujući svoju politiku privatnosti, morate utvrditi da li ova promjena više ne ispunjava vaše zahtjeve i, ako je tako, zahtijeva promjenu partnerovih status. Usklađenost s GDPR-om, na primjer, prisilila je organizacije da raskinu ugovore i ograniče partnerstva s partnerima koji nisu spremni za susret s novim standardima. Morate utvrditi jesu li budući scenariji još uvijek unutar vaše tolerancije rizika. Čineći to, osigurajte da uzmete u obzir sve utjecaje koje ovaj rizik može imati na vašu organizaciju, uključujući vaš marketing i digitalne odjele, gdje bi Google mogao biti partner izbora za oglašavanje, personalizaciju i drugu analitiku inicijative.
3. Budite spremni proaktivno popuniti prazninu ako korisnici iz Ujedinjenog Kraljevstva smatraju da su u lošijoj situaciji. Zaboravimo na trenutak pravila o zaštiti podataka i razmislimo o očekivanjima potrošača u Ujedinjenom Kraljevstvu u pogledu privatnosti. Naši podaci sugeriraju da su korisnici iz Ujedinjenog Kraljevstva vrlo svjesni svojih prava na privatnost i da bi prestali surađivati ​​s tvrtkom ako im se ne sviđaju njezine prakse privatnosti. Kada ih pitamo o vrijednosti koji su im važni pri odabiru tvrtke s kojom će poslovati, privatnost podataka i povjerljivost na vrhu popisa. Ti će potrošači vjerojatno imati problema s činjenicom da su njihovi osobni podaci manje zaštićeni nego što su tradicionalno bili. Pobrinite se da vaša tvrtka ponudi jasno objašnjenje kako će popuniti tu prazninu i pružiti im vjerodostojne alternative.

[i] Dok prijelazno razdoblje ne završi, GDPR će se i dalje primjenjivati ​​u Ujedinjenom Kraljevstvu. Osim toga, vlada Ujedinjenog Kraljevstva najavila je planove za usvajanje "UK GDPR-a". Kao što naziv govori, ovaj set od pravila će biti usko usklađena s postojećom EU GDPR-om i pratit će postojeći Zakon o zaštiti podataka Ujedinjenog Kraljevstva 2018. Najvjerojatnije će samo ICO i sudovi UK-a nadzirati provedbu ovih pravila.

Ovaj post napisala je viša analitičarka Enza Iannopollo i on se izvorno pojavio ovdje.