Przygotuj się na zmiany: Przewodnik dla operatorów stron wobec kryzysu EU-US Privacy Framework (Aktualizacja)

Cofnijmy się o krok, zanim przyjrzymy się wpływowi na strony internetowe i sprawdzimy, co można zrobić.

Podstawy: EU-US Data Privacy Framework

EU-US Data Privacy Framework to porozumienie prawne stworzone w celu bezpiecznego przekazywania danych osobowych z UE do USA. Główne elementy to:

• Silniejsze zabezpieczenia: Nowe wymogi prawne ograniczają inwigilację ze strony amerykańskich służb wywiadowczych i zapewniają, że dostęp do danych z UE jest konieczny i proporcjonalny.
• Środki odwoławcze: Porozumienie daje obywatelom UE rozszerzone możliwości reagowania na nadużycia ich danych, w tym dostęp do nowego sądu kontrolnego.
• Monitoring i zgodność: Przestrzeganie porozumienia jest regularnie weryfikowane przez władze amerykańskie i europejskie, a firmy muszą samocertyfikować się i ujawniać swoje praktyki ochrony prywatności.

Okej, a po co nam to w ogóle? „Zasadniczo prawo UE zabrania eksportowania danych osobowych poza UE od 1995 roku, chyba że istnieje bezwzględna potrzeba (np. przy wysyłaniu e-maila do dowolnego kraju spoza UE) lub gdy kraj spoza UE zapewnia «zasadniczo równoważną» ochronę danych osobowych Europejczyków." (Źródło: Noyb.eu)

Bardzo szczegółowy opis tego porozumienia znajdziesz u Thomas Schwenke tutaj (po niemiecku!) lub oczywiście na Wikipedii.

Aktualny problem

Na temat problemów z porozumieniem Max Schrems skomentował: „To porozumienie od początku było zbudowane na piasku, ale lobby europejskiego biznesu i Komisja Europejska i tak go chciały. Zamiast stabilnych ograniczeń prawnych, UE zgodziła się na obietnice władzy wykonawczej, które mogą zostać cofnięte w kilka sekund. Teraz, gdy pierwsze fale Trumpa uderzają w to porozumienie, może ono wkrótce rozpaść się w sekundę i postawić wiele europejskich firm w prawnej próżni. [...]" (Źródło: Noyb.eu)

Prawnik Thomas Schenke pisze o tym na LinkedIn

Dlaczego powinno cię to obchodzić? ... czyli co to oznacza dla twojej strony internetowej.

Gdy porozumienie upadnie, znajdziesz się w szarej strefie prawnej ze wszystkimi usługami, które na nim bazują. Ostatecznie dotyczy to wszystkiego, co przechodzi przez USA. Prosty test: Otwórz politykę prywatności swojej strony i wyszukaj „Data Privacy Framework". Wszystko, co się pojawi, trafia na twoją listę potencjalnych problemów.

Na przykład: Vimeo, Webflow, Cloudflare, WhatsApp, Google Tag Manager, Google Analytics, Google reCAPTCHA, YouTube, Facebook Pixel, Calendly ... cholera!!

Alternatywnie możesz też odwiedzać strony i klikać „Odrzuć" na banerze cookies. Wiele z tego, co wtedy znika, jest objęte tym problemem — jak widzisz na liście, dotyczy to także rzeczy, których jako odwiedzający nie widzisz.

Możesz też sprawdzić listę tutaj: https://www.dataprivacyframework.gov/list

Jeśli przejrzysz tę listę, szybko zdasz sobie sprawę, że strona internetowa to tylko mały fragment problemu. To porozumienie reguluje znaczną część naszego codziennego życia i pracy w internecie.

Co robić jako operator strony?

Okej, szybka wymiana Webflow jako fundamentu strony będzie trudna do niemożliwej. Twój inspektor ochrony danych może zacząć od „oceny skutków dla ochrony danych", ale ty możesz przejrzeć listę i szukać europejskich alternatyw dla wszystkiego pozostałego.

Przejrzyj i dostosuj narzędzia

• Oceń konieczność każdego narzędzia: Czy na dłuższą metę możesz obejść się bez Google Analytics i używać przyjaznych dla prywatności alternatyw z UE? (Tak, istnieją, np. SimpleAnalytics)
• Lokalny hosting: Integruj skrypty i pliki bezpośrednio na swojej stronie, zamiast ładować je z zewnętrznych źródeł.
• Ogranicz narzędzia marketingowe: Zminimalizuj liczbę narzędzi zbierających dane użytkowników. Zastanów się, co naprawdę jest ci potrzebne, a co to tylko ozdobniki.

Zamienniki dla osadzanych treści

• Zastąp treści takie jak mapy i wideo alternatywami przyjaznymi dla prywatności.
• Mapy: Zastanów się, czy interaktywne mapy są naprawdę potrzebne, czy wystarczy prosty link. Szczerze mówiąc, ta mapa Google Maps na twojej stronie nigdy nie była naprawdę użyteczna.
• Wideo: Zrezygnuj z platform takich jak YouTube i Vimeo i rozważ alternatywy dla hostingu wideo stawiające na prywatność — bez trackingu i bez zgód. (PODPOWIEDŹ: Znamy taką. To my!)
• Czcionki i Captcha: Hostuj Google Fonts lokalnie i używaj alternatyw dla reCAPTCHA, takich jak Friendly Captcha.

Wybierz nowych dostawców z UE

Wybierz nowych dostawców z UE, żeby trwale rozwiązać problem. Wszystkie te porozumienia to niekończąca się saga.

Ale szczerze mówiąc, to także sytuacja win-win dla odwiedzających twoją stronę. Bo wiele z tej listy działa obecnie tylko wtedy, gdy klikną „Zgadzam się" na banerze cookies. Czasem dla wszystkich pozostałych zostaje tylko nieestetyczny szkielet strony. (patrz obraz powyżej)

Dlaczego nam na tym zależy?

Zerknij na naszą misję. Internet jest zepsuty. Banery cookies, inwazyjne technologie, tak skomplikowane porozumienia — wszystko to zniszczyło doświadczenie użytkownika i cofnęło nowoczesne strony internetowe.

Zamiast znów tkwić w szarej strefie prawnej i liczyć na to, że kolejne porozumienie się utrzyma — może po prostu rozwiążmy ten problem? Na stronach internetowych jest to możliwe tylko wtedy, gdy ochrona danych i doświadczenie użytkownika są traktowane razem. Zrobiliśmy to dla hostingu wideo i stworzyliśmy Ignite. To jedyne rozwiązanie, które dostarcza wideo bez cookies i bez zgody, zgodnie z RODO, bez polegania na tych porozumieniach i bez kompromisów w wydajności twojej strony.

Wierzymy, że potrzebujemy więcej rozwiązań z UE dla UE.