С над 15-годишния си опит като адвокат, ролята си на съосновател на консултативен съвет по защита на данните и активното си участие в производства пред Съда на Европейския съюз – заедно с Макс Шремс и Томас Лонингер – Катарина Раабе-Щупниг е един от най-влиятелните гласове в европейското право в областта на защитата на данните. В своята адвокатска кантора на Викенбурггасе във Виена тя разказва за кариерния си път, предизвикателствата на GDPR и нарастващата сложност на новите цифрови закони на ЕС.
От медийно право към защита на данните: експерт в Австрия
Катарина Раабе-Щупниг започва кариерата си в областта на медийното право. Тя консултира издателства и телекомуникационни компании по въпроси, свързани с конкурентното право, рекламата и отговорността на медиите. Мостът към защитата на данните се появява почти автоматично: “Много клиенти се обръщаха към мен и казваха: Вие познавате нашите процеси и балансирането на интересите ни – можете ли да ни подкрепите и по отношение на защитата на данните?”
С влизането в сила на ОРЗД защитата на данните зае централно място в корпоративната реалност. Глобите в милиони увеличиха натиска. Компаниите се нуждаеха от ясни концепции – и разчитаха на съществуващите партньорства. В резултат на това законът за защита на данните се превърна от периферен въпрос в централен фокус на техните дейности.
“Моето желание е да укрепим европейската икономика – чрез европейски алтернативи. Цифровата стратегия и Законът за данните са в правилната посока. Единственият въпрос е: дали това ще стане навреме?”
Маг. Катрин Раабе-Щупниг
Защитата на данните като фактор
След въвеждането на GDPR през 2018 г. нуждата от правна помощ нарасна изключително много – и продължава да е висока. Това се дължи не на последно място на факта, че регламентът не прави разлика между големи и малки корпорации. Всички трябва да отговарят на едни и същи стандарти.
“Функциониращата система за управление на защитата на данните е истински фактор, който помага днес”, обяснява Раабе-Щупниг. “Тя осигурява на компаниите преглед на системите, процесите и рисковете и е основа за оптимизация и повишаване на ефективността.”
В същото време средата става все по-сложна: нови законодателни актове като NIS-2, Закона за киберустойчивостта, Закона за изкуствения интелект и Закона за данните поставят допълнителни изисквания към компаниите – във всички сектори. Тези, които вече са създали стабилна основа за защита на данните, сега имат ясно предимство.
Стратегии за цифровата трансформация
Проблемите, с които фирмите се обръщат към фирмата днес, са много и разнообразни:
- Как ме засяга NIS-2, ако съм доставчик на критична инфраструктура?
- Какви политики са ми необходими за Закона за изкуствения интелект?
- Как да се справя с новите права за достъп до данни съгласно Закона за данните, без да застрашавам нивото на защита на данните, което съм изградил досега?
В допълнение към правните оценки все по-важна роля играят стратегическите въпроси: къде трябва да бъдат разпределени отговорностите в рамките на компанията? Как могат да бъдат хармонизирани съответствието, киберсигурността и способността за иновации? Раабе-Штупниг и нейният екип подпомагат компаниите не само при прилагането, но и при позиционирането им в новата правна рамка.
ЕС и САЩ: различни основни нагласи
Използването на софтуер от трети страни – например от американските хиперскалатори – е особено чувствителен въпрос. Въпреки че в САЩ също има закони за защита на данните, Раабе-Щупниг обяснява, че защитата се отнася предимно за гражданите на САЩ. Тези разпоредби са значително по-слаби за гражданите на ЕС.
“Проблемът се крие в претеглянето: интересите на АНС, свързани със сигурността, често имат предимство пред защитата на данните на неамериканците. Съдът на ЕС вече два пъти е установявал тази непропорционалност – и по този начин е отменял централни принципи като Safe Harbour и Privacy Shield.”
Промяна в информираността в Европа от 2018 г. насам
След влизането в сила на GDPR осведомеността в Европа се е променила чувствително. Компаниите вече са много по-чувствителни, когато става въпрос за обработване на лични данни. Ключова роля за това изигра медийното внимание към съдебните решения и известните случаи в областта на защитата на данните.
“Създадохме златен стандарт за защита на данните в Европа”, обобщава Раабе-Щупниг. “И е приятно да се види колко много компании активно се стремят не само да спазят този стандарт, но и да го използват като конкурентно предимство.”
Кое прави предаването на данни към САЩ толкова чувствително и какво е правното положение в ЕС днес?
Дебатът за защитата на данните между ЕС и САЩ е сложен и най-вече изключително динамичен от правна гледна точка. За разлика от страни като Швейцария, за които Комисията на ЕС е издала т.нар. решение за адекватност, ситуацията в САЩ беше и е много по-сложна. В такова решение се посочва, че личните данни могат да бъдат предадени на трета държава, тъй като нивото на защита на данните в нея е сравнимо с това в ЕС. В страни като Китай или Русия – а дълго време и в САЩ – такова решение не е имало.
Обработката на данни в САЩ – правно равновесие
Щом компаниите започнат да работят с доставчици на услуги за обработка на данни в САЩ например, те трябва да предприемат допълнителни мерки за защита, за да поддържат нивото на защита на данните, изисквано от ОРЗД. Това означава повече усилия, повече задължителни проверки – и повече риск.
Практически пример: дори ако изберете местоположение на сървъра в ЕС за американските доставчици на облачни услуги, проблемът продължава да съществува – например ако европейският филиал е под контрола на американска компания майка. В случай на спешност американските органи, като например NSA, могат да поискат достъп до данните – дори чрез вътрешна командна верига. Разположението на сървъра в ЕС намалява риска, но не го изключва напълно.
От Safe Harbour до Рамката за защита на личните данни: поглед назад
Историята на споразуменията за защита на данните между ЕС и САЩ е поредица от правни неуспехи:
- “Сейф Харбър” е първото споразумение, което налага определени стандарти за защита на данните на американските дружества на доброволна основа. То беше отменено през 2015 г. с решението по делото Schrems I.
- Щитът за защита на личните данни беше наследник – преработена версия на Safe Harbour. Това споразумение обаче също беше обявено за невалидно от Съда на Европейския съюз в решението Schrems II през 2020 г.
- В отговор на това влезе в сила Рамката за защита на личните данни, въз основа на която Комисията на ЕС отново прие решение за адекватност по отношение на САЩ.
Новото решение обаче отново се основава на нестабилни основи.
Това е така, защото Рамката за защита на личните данни се основава на изпълнителна заповед на президента на САЩ – с други думи, заповед, която теоретично може да бъде отменена по всяко време. Поради това критиците се съмняват в дългосрочната стабилност на тази рамка. В Съда на Европейския съюз вече е подаден иск срещу решението за адекватност – резултатът е неясен.
Освен това отговорният надзорен орган на САЩ, PCLOB, понастоящем не е в състояние да действа, тъй като трима от петимата му директори бяха уволнени от бившия президент Тръмп. Резултатът: голяма несигурност по отношение на това колко стабилен е механизмът за защита на данните в САЩ.
Колко важна е рамката за защита на личните данни за компаниите в ЕС?
Ако планирате в дългосрочен план и искате да се съсредоточите върху сигурността на данните, не трябва да разчитате сляпо на Рамката за защита на личните данни. Както и в миналото, правната ситуация може да се промени бързо. Цената на оценките на въздействието на трансфера на данни (ОВД) е висока, а нарушенията могат да доведат до сериозни санкции в размер до 4% от годишния глобален оборот.
Услугите в облака в САЩ (все още) могат да се използват, но не без риск
Понастоящем услугите в облак от доставчици от САЩ могат да се използват в съответствие с **наредбите за защита на данните, при условие че се прилагат **подходящи мерки за защита, като например стандартни договорни клаузи и технически мерки за сигурност. Но все още съществува остатъчен риск. Особено проблематичен е фактът, че все още не съществува криптиране “от край до край”, подходящо за ежедневна употреба за всички видове употреба – например за текуща обработка на данни (“данни в употреба”).
Поради това използването на услуги от САЩ винаги трябва да се оценява индивидуално: Колко чувствителни са обработваните данни? Какви мерки за сигурност са взети? И до каква степен компанията действително е в състояние да намали рисковете?
Между черно-бялото и реализма: как компаниите трябва да се справят със защитата на данните и доставчиците на облачни услуги
Въпросът дали компаниите трябва да използват само софтуер и облачни услуги с европейски произход – “напълно или изобщо” – на пръв поглед звучи като ясна позиция. Но точно това е, за което предупреждава експертът по защита на данните Катарина Раабе-Щупниг. Подобен принцип е не само непрактичен, но и труден за обосноваване пред властите. Вместо това всяко решение за използването на софтуер или облачни услуги трябва да се взема индивидуално – в зависимост от това колко чувствителни са обработваните данни и какви конкретни мерки за защита могат да бъдат предприети.
Не се подлъгвайте по фалшиво чувство за сигурност – дори с рамката за поверителност
Друга тема, която в момента занимава много компании: Какво ще се случи, ако Съдът на Европейския съюз (СЕС) отмени новата рамка за защита на личните данни между ЕС и САЩ, както преди това направи със “Safe Harbour” и “Privacy Shield”? Отговорът е ясен: отново ще възникне огромна правна несигурност. Точно затова Kargl вече съветва дружествата да не разчитат единствено на рамката, а да договорят допълнителни стандартни договорни клаузи (SCC). Те винаги трябва да включват оценка на въздействието на трансфера (ОВТ) – т.е. анализ на риска от трансфера на данни към трети държави.
Адвокатът обаче също така пояснява, че ако Рамката за защита на личните данни действително отпадне и пропорционалността на предаването на данни към САЩ бъде поставена под основен въпрос, ТСИ също ще достигне своите граници. Тогава надеждата е свързана с допълнителни технически и организационни мерки – преди всичко криптиране.
Криптиране: твърдения и реалност се разминават
Органите за защита на данните и Съдът на ЕС изискват от американските доставчици на облачни услуги ясно решение: данните трябва да се съхраняват само в криптиран вид, а ключът трябва да се управлява извън доставчика – в идеалния случай в Европа и под контрола на дружеството, което отговаря за данните, или на европейски попечител. Целта на това т.нар. решение за “външно управление на ключове” е да се гарантира, че дори в случай на достъп от страна на американски органи като NSA, могат да бъдат предадени само криптирани, т.е. неизползваеми данни.
Според Катарина Раабе-Щупниг обаче на практика този тип криптиране може да се прилага само за резервни копия на данни. Щом данните се обработват активно в ежедневието, е необходим достъп до некриптиран материал. Точно тук се крие проблемът: технологията, която позволява цялостна обработка на данни в криптирано състояние, понастоящем съществува само в много ограничена степен – например за прости изчисления или оценки при специфични сценарии. Състоянието на техниката все още не е достатъчно за широка употреба, каквато се изисква в икономиката.
Ролята на Европа: възможности чрез Акта за данните
Въпреки тези предизвикателства адвокатът е оптимист за бъдещето: Актът за данните на ЕС ще определи важна посока. Доставчиците на облачни услуги ще бъдат задължени да предоставят възможност за мултиклауд стратегии, т.е. да подпомагат лесното преминаване от един доставчик към друг – без високи разходи за преминаване. Това ще работи активно за укрепване на европейския суверенитет в цифровото пространство и за създаване на повече алтернативи на американските хиперскалатори в дългосрочен план.
Остава въпросът дали с времето Европа ще може да действа по-независимо и сигурно в цифровото пространство . Въпреки това г-жа Раабе-Ступниг е уверена: “Политическата воля е налице – и с целенасочена подкрепа и регулиране скоро могат да се появят жизнеспособни европейски алтернативи.
Пълният отказ от решения на трети държави не е нито осъществим, нито законово необходим. Компаниите трябва внимателно да преценят колко чувствителни са техните данни, кои партньори са подходящи – и кои конкретни мерки за защита могат да приложат. Тези, които вече разчитат на SCC, TIA и криптиране, не само са в безопасна позиция от правна гледна точка, но и укрепват позицията на Европа в цифровата конкуренция.
