Ochrana údajů v Evropě - sproof

Katharina Raabe-Stuppnig začala svou kariéru v oblasti mediálního práva. Radila vydavatelským domům a telekomunikačním společnostem v otázkách práva hospodářské soutěže, reklamy a odpovědnosti médií. Přechod k ochraně osobních údajů přišel téměř automaticky: "Mnoho klientů se na mě obrátilo a řeklo mi: "Já jsem se rozhodla, že budu muset začít pracovat na ochraně osobních údajů: Znáte naše procesy a naše vyvažování zájmů - můžete nás podpořit také v oblasti ochrany údajů?"

Když vstoupilo v platnost nařízení GDPR, ochrana dat se posunula více do centra firemní reality. Milionové pokuty zvýšily tlak. Společnosti potřebovaly jasné koncepty - a spoléhaly na stávající partnerství. V důsledku toho se zákon o ochraně osobních údajů vyvinul z okrajové záležitosti v ústřední bod jejich činnosti.

Od zavedení GDPR v roce 2018 se potřeba právní podpory enormně zvýšila - a je stále vysoká. V neposlední řadě je to způsobeno tím, že nařízení nerozlišuje mezi velkými korporacemi a malými společnostmi. Všichni musí splňovat stejné standardy.

"Fungující systém řízení ochrany osobních údajů je dnes skutečným pomocníkem," vysvětluje Raabe-Stuppnig. "Poskytuje společnostem přehled o systémech, procesech a rizicích - a tvoří základ pro optimalizaci a zvýšení efektivity."

Současně se prostředí stává stále složitějším: nové právní předpisy, jako je NIS-2, zákon o kybernetické odolnosti, zákon o umělé inteligenci a zákon o datech, kladou na společnosti další požadavky - a to ve všech odvětvích. Ti, kteří již vytvořili stabilní základy ochrany dat, mají nyní jasnou výhodu.

Otázky, se kterými se dnes společnosti obracejí na advokátní kancelář, jsou různorodé:

• Jak se mě týká NIS-2, pokud jsem dodavatelem kritické infrastruktury?

• Jaké zásady potřebuji pro zákon o umělé inteligenci?

• Jak se vypořádám s novými právy přístupu k údajům podle zákona o ochraně osobních údajů - aniž bych ohrozil úroveň ochrany údajů, kterou jsem dosud vybudoval?

Kromě právního posouzení hrají stále důležitější roli strategické otázky: Kde by měly být v rámci společnosti rozděleny odpovědnosti? Jak lze sladit dodržování předpisů, kybernetickou bezpečnost a schopnost inovovat? Raabe-Stuppnigová a její tým podporují společnosti nejen při implementaci, ale také při umisťování v novém právním rámci.

Zvláště citlivou otázkou je používání softwaru ze třetích zemí, například americkými hyperskalátory. Ačkoli i v USA existují zákony na ochranu osobních údajů, vysvětluje Raabe-Stuppnig, ochrana se vztahuje především na občany USA. Pro občany EU jsou tyto předpisy výrazně slabší.

"Problém spočívá v jejich vážení: bezpečnostní zájmy NSA mají často přednost před ochranou údajů neamerických občanů. Soudní dvůr EU již dvakrát tuto nepřiměřenost shledal - a zrušil tak ústřední zásady, jako je Safe Harbor a Privacy Shield."

Od doby, kdy GDPR vstoupilo v platnost, se povědomí o něm v Evropě výrazně změnilo. Firmy jsou nyní při nakládání s osobními údaji mnohem citlivější. Klíčovou roli v tom hraje pozornost médií věnovaná rozsudkům a významným případům v oblasti ochrany osobních údajů.

"Vytvořili jsme zlatý standard ochrany údajů v Evropě," shrnuje Raabe-Stuppnig. "A je potěšující vidět, kolik společností se aktivně snaží tento standard nejen splnit, ale využít ho jako konkurenční výhodu."

Debata o ochraně údajů mezi EU a USA je složitá - a především velmi dynamická z právního hlediska. Na rozdíl od zemí, jako je Švýcarsko, pro které Komise EU vydala tzv. rozhodnutí o odpovídající ochraně, byla a je situace s USA mnohem složitější. Takové rozhodnutí uvádí, že osobní údaje mohou být předány do třetí země, protože úroveň ochrany údajů je tam srovnatelná s úrovní ochrany údajů v EU. V zemích, jako je Čína nebo Rusko - a dlouhou dobu také v USA - takové rozhodnutí neexistovalo.

Jakmile společnosti začnou spolupracovat s poskytovateli služeb pro zpracování údajů například v USA, musí přijmout další ochranná opatření, aby zachovaly úroveň ochrany údajů požadovanou GDPR. To znamená více úsilí, více povinných kontrol - a větší riziko.

Praktický příklad: i když si u amerických poskytovatelů cloudových služeb vyberete umístění serveru v EU, problém stále existuje - například pokud je evropská dceřiná společnost pod kontrolou americké mateřské společnosti. V případě nouze by americké úřady, jako je například NSA, mohly požadovat přístup k datům - a to i prostřednictvím interního řetězce řízení. Umístění serveru v EU toto riziko snižuje, ale zcela ho neodstraňuje.

Historie dohod o ochraně osobních údajů mezi EU a USA připomíná řadu právních neúspěchů:

• Safe Harbor byla první dohodou, která na dobrovolném základě ukládala americkým společnostem určité standardy ochrany údajů. V roce 2015 byla zrušena rozsudkem ve věci Schrems I.

• Štít soukromí byl nástupcem - revidovanou verzí Safe Harbor. I tuto dohodu však Evropský soudní dvůr v rozsudku Schrems II v roce 2020 prohlásil za neplatnou.

• V reakci na to vstoupil v platnost rámec pro ochranu osobních údajů, na jehož základě Komise EU opět přijala rozhodnutí o odpovídající ochraně pro USA.

Rámec pro ochranu osobních údajů je totiž založen na nařízení prezidenta USA, které může být teoreticky kdykoli zrušeno. Kritici proto pochybují o dlouhodobé stabilitě tohoto rámce. Proti rozhodnutí o přiměřenosti již byla podána žaloba k Evropskému soudnímu dvoru - výsledek je nejistý.

Příslušný americký dozorový orgán, PCLOB, navíc v současné době nemůže jednat, protože tři z jeho pěti ředitelů byli bývalým prezidentem Trumpem odvoláni. Výsledek: velká nejistota ohledně toho, jak stabilní mechanismus ochrany údajů v USA skutečně je.

Pokud plánujete dlouhodobě a chcete se zaměřit na bezpečnost dat, neměli byste se slepě spoléhat na rámec ochrany osobních údajů. Stejně jako v minulosti se právní situace může rychle změnit. Náklady na posouzení vlivu předávání údajů (TIA ) jsou vysoké a porušení může vést k přísným sankcím ve výši až 4 % ročního celosvětového obratu.

Cloudové služby od amerických poskytovatelů lze v současné době využívat v souladu s **předpisy o ochraně údajů, pokud jsou zavedena **vhodná ochranná opatření, jako jsou standardní smluvní doložky a technická bezpečnostní opatření. Stále však existuje zbytkové riziko. Problematické je zejména to, že stále neexistuje end-to-end šifrování vhodné pro každodenní použití pro všechny typy použití - například pro průběžné zpracování údajů ("data in use").

Používání amerických služeb by proto mělo být vždy posuzováno individuálně: Jak citlivé jsou zpracovávané údaje? Jaká bezpečnostní opatření jsou přijata? A do jaké míry je společnost skutečně schopna zmírnit rizika?

Otázka, zda by firmy měly používat pouze software a cloudové služby evropského původu - tedy "úplně, nebo vůbec" - zní na první pohled jako jasný postoj. Ale právě před tím varuje odbornice na ochranu osobních údajů Katharina Raabe-Stuppnigová. Taková zásada je nejen nepraktická, ale také těžko odůvodnitelná pro úřady. Namísto toho je třeba každé rozhodnutí o používání softwaru nebo cloudových služeb činit případ od případu - podle toho, jak citlivé jsou zpracovávané údaje a jaká konkrétní ochranná opatření lze přijmout.

Další téma, které v současné době zaměstnává mnoho firem: Co se stane, pokud Evropský soudní dvůr (ESD) zruší nový rámec pro ochranu osobních údajů mezi EU a USA - jako tomu bylo dříve v případě "Safe Harbor" a "Privacy Shield"? Odpověď je jasná: opět by vznikla obrovská právní nejistota. Právě proto společnost Kargl již nyní doporučuje společnostem, aby se nespoléhaly pouze na rámec, ale aby si sjednaly další standardní smluvní doložky (SCC). Ty by měly vždy obsahovat posouzení vlivu předávání údajů (TIA) - tj. analýzu rizik předávání údajů do třetích zemí.

Právník však také jasně říká, že pokud by rámec ochrany osobních údajů skutečně padl a přiměřenost předávání údajů do USA by byla zásadně zpochybněna, TIA by rovněž dosáhla svých limitů. Naděje pak spočívá v doplňkových technických a organizačních opatřeních - především v šifrování.

Úřady pro ochranu osobních údajů a Evropský soudní dvůr požadují od amerických poskytovatelů cloudových služeb jasné řešení: data by měla být ukládána pouze v zašifrované podobě a klíč by měl být spravován mimo poskytovatele - ideálně v Evropě a pod kontrolou společnosti odpovědné za data nebo evropského správce. Cílem tohoto tzv. ** externího řešení správy klíčů** je zajistit, aby i v případě přístupu amerických orgánů, jako je NSA, mohla být předána pouze zašifrovaná, tj. nepoužitelná data.

V praxi však lze podle Kathariny Raabe-Stuppnigové tento typ šifrování skutečně realizovat pouze pro záložní data. Jakmile jsou data aktivně zpracovávána v každodenním životě, je nutný přístup k nešifrovanému materiálu. Právě v tom spočívá problém: technologie, která umožňuje kompletní zpracování dat v zašifrovaném stavu, v současné době existuje jen ve velmi omezené míře - například pro jednoduché výpočty nebo odhady ve specifických scénářích. Současný stav techniky zatím není dostatečný pro široké využití, které je v podnikání vyžadováno.

Navzdory těmto výzvám se právník dívá do budoucna optimisticky: Akt EU o ochraně údajů udává důležitý směr. Poskytovatelé cloudu mají být povinni umožnit multicloudové strategie, tj. podporovat snadný přechod mezi poskytovateli - bez vysokých nákladů na změnu. Jedná se o aktivní snahu posílit evropskou suverenitu v digitálním prostoru a vytvořit v dlouhodobém horizontu více alternativ k americkým hyperskalerům.

Otázkou zůstává, zda bude Evropa časem schopna jednat v digitálním prostoru nezávisleji a bezpečněji. Paní Raabe-Stuppnigová si je nicméně jistá: "Politická vůle tu je - a s cílenou podporou a regulací by se brzy mohly objevit životaschopné evropské alternativy.

Plošné zřeknutí se řešení ze třetích zemí není ani proveditelné, ani právně nutné. Společnosti musí pečlivě zvážit, jak citlivé jsou jejich údaje, kteří partneři jsou vhodní - a jaká konkrétní ochranná opatření mohou zavést. Ti, kteří již spoléhají na SCC, TIA a šifrování, jsou nejen právně v bezpečí, ale také posilují pozici Evropy v digitální konkurenci.