Katharina Raabe-Stuppnig je díky své více než patnáctileté praxi právničky, spoluzakladatelce poradního sboru pro ochranu údajů a aktivní účasti v řízeních před Evropským soudním dvorem – spolu s Maxem Schremsem a Thomasem Lohningerem – jedním z nejvlivnějších hlasů v oblasti evropského práva ochrany údajů. Ve své advokátní kanceláři ve vídeňské Wickenburggasse hovoří o své profesní dráze, výzvách GDPR a rostoucí složitosti způsobené novými digitálními zákony EU.
Od mediálního práva k ochraně údajů: Odborník v Rakousku
Katharina Raabe-Stuppnig začala svou kariéru v oblasti mediálního práva. Radila vydavatelským domům a telekomunikačním společnostem v oblasti práva hospodářské soutěže, reklamy a odpovědnosti médií. Přechod k ochraně osobních údajů byl téměř automatický: “Mnoho klientů se na mě obrátilo a řeklo: Znáte naše procesy a naše vyvažování zájmů – můžete nám pomoci také s ochranou údajů?”.
Když vstoupilo v platnost GDPR, ochrana dat se dostala více do centra firemní reality. Tlak na pokuty v řádech milionů se zvýšil. Společnosti potřebují jasné koncepty – a spoléhají na stávající partnerství. V důsledku toho se právo na ochranu osobních údajů vyvinulo z okrajového tématu v ústřední téma její práce.
“Mým přáním by bylo posílit evropskou ekonomiku – prostřednictvím evropských alternativ. Digitální strategie a datový akt jsou krokem správným směrem. Jedinou otázkou je: přijde to včas?”
Mag. Kathrina Raabe-Stuppnig
Ochrana údajů jako nástroj
Od zavedení GDPR v roce 2018 se potřeba právní podpory enormně zvýšila – a je stále vysoká. V neposlední řadě proto, že nařízení nerozlišuje mezi velkými korporacemi a malými společnostmi. Všechny musí splňovat stejné standardy.
“Fungující systém správy ochrany dat je dnes skutečným pomocníkem,” vysvětluje Raabe-Stuppnig. “Poskytuje firmám přehled o systémech, procesech a rizicích – a tvoří základ pro optimalizaci a zvýšení efektivity.”
Zároveň se prostředí stává stále složitějším: nové právní předpisy, jako je NIS-2, zákon o kybernetické odolnosti, zákon o umělé inteligenci nebo zákon o datech, kladou na společnosti další požadavky – a to ve všech odvětvích. Ti, kteří již vytvořili stabilní základy ochrany dat, mají jasnou výhodu.
Strategie digitální transformace
Otázky, se kterými se dnes firmy obracejí na advokátní kancelář, jsou různorodé:
- Jak se mě týká NIS-2, pokud jsem dodavatelem kritické infrastruktury?
- Jaké zásady potřebuji pro zákon o umělé inteligenci?
- Jak se vypořádat s novými právy přístupu k údajům podle zákona o ochraně osobních údajů – aniž by byla ohrožena úroveň ochrany údajů, kterou jsem dosud vybudoval?
Kromě právního posouzení hrají stále větší roli strategické otázky: Kde ve firmě mají být umístěny odpovědnosti? Jak vyvážit dodržování předpisů, kybernetickou bezpečnost a inovace? Raabe-Stuppnigová a její tým podporují společnosti nejen při implementaci, ale také při umisťování v novém právním rámci.
EU vs. USA: rozdílné základní postoje
Zvláště citlivou otázkou je používání softwaru ze třetích zemí – například americkými hyperskalátory. Ačkoli i v USA existují zákony na ochranu osobních údajů, podle Raabe-Stuppniga se ochrana vztahuje především na občany USA. Pro občany EU jsou tyto předpisy mnohem slabší.
“Problém spočívá ve vážení: Bezpečnostní zájmy NSA mají často přednost před ochranou údajů neamerických občanů. Soudní dvůr EU již dvakrát tuto nepřiměřenost shledal – a zrušil tak ústřední zásady, jako je Safe Harbor a Privacy Shield.”
Změna povědomí v Evropě od roku 2018
Od doby, kdy GDPR vstoupilo v platnost, se povědomí o něm v Evropě výrazně změnilo. Společnosti jsou dnes mnohem citlivější, pokud jde o nakládání s osobními údaji. Hlavní roli v tom hraje mediální pozornost věnovaná rozsudkům o ochraně osobních údajů a významným případům.
“Vytvořili jsme zlatý standard ochrany dat v Evropě,” shrnuje Raabe-Stuppnig. “A je potěšující vidět, kolik společností se aktivně snaží tento standard nejen splnit, ale využít ho jako konkurenční výhodu.”
Proč je předávání údajů do USA tak citlivé a jaká je dnes právní situace v EU?
Debata o ochraně údajů mezi EU a USA je složitá – a především velmi dynamická z právního hlediska. Na rozdíl od zemí, jako je Švýcarsko, pro které bylo vydáno tzv. rozhodnutí Komise EU o odpovídající ochraně, byla a je situace s USA mnohem složitější. V takovém rozhodnutí se uvádí, že osobní údaje mohou být předány do třetí země, protože v ní existuje úroveň ochrany údajů srovnatelná s úrovní ochrany údajů v EU. V zemích, jako je Čína nebo Rusko – a dlouhou dobu také v USA – takové rozhodnutí chybělo.
Zpracování údajů v USA – právní rovnováha
Jakmile například společnosti začnou spolupracovat s poskytovateli služeb zpracování údajů v USA, musí přijmout další ochranná opatření, aby zachovaly úroveň ochrany údajů požadovanou GDPR. To znamená větší úsilí, větší povinnost kontroly – a větší riziko.
Praktický příklad: Problém přetrvává, i když si u amerických poskytovatelů cloudu vyberete umístění serveru v EU – například pokud je evropská dceřiná společnost podřízena americké mateřské společnosti. V případě nouze by americké úřady, jako je například NSA, mohly požadovat přístup k datům – a to i prostřednictvím interního řetězce řízení. Umístění serveru v EU toto riziko snižuje, ale zcela ho neodstraňuje.
Od bezpečného přístavu k rámci pro ochranu osobních údajů: Přehled
Historie dohod o ochraně údajů mezi EU a USA je sledem právních neúspěchů:
- Safe Harbor byl první dohodou, která dobrovolně ukládala americkým společnostem určité standardy ochrany údajů. V roce 2015 byla zrušena rozsudkem ve věci Schrems I.
- Štít soukromí byl nástupcem – revidovanou verzí Safe Harbor. I tuto dohodu však Evropský soudní dvůr v roce 2020 v rozsudku Schrems II prohlásil za neplatnou.
- V reakci na to vstoupil v platnost rámec pro ochranu osobních údajů, na jehož základě Komise EU opět přijala rozhodnutí o odpovídající ochraně pro USA.
Nové rozhodnutí však opět stojí na vratkých základech.
Rámec pro ochranu osobních údajů je totiž založen na exekutivním příkazu amerického prezidenta – tedy příkazu, který může být teoreticky kdykoli odvolán . Kritici proto pochybují o dlouhodobé stabilitě tohoto rámce. Proti rozhodnutí o přiměřenosti již byla podána žaloba k Evropskému soudnímu dvoru – výsledek je otevřený.
Navíc příslušný americký dohledový orgán PCLOB v současné době nemůže jednat, protože tři z jeho pěti manažerů byli odvoláni exprezidentem Trumpem. Výsledek: velká nejistota ohledně toho, jak stabilní mechanismus ochrany údajů v USA skutečně je.
Jak důležitý je rámec pro ochranu osobních údajů pro společnosti v EU?
Pokud plánujete dlouhodobě a chcete se zaměřit na bezpečnost dat, neměli byste se slepě spoléhat na rámec ochrany osobních údajů. Právní situace se může rychle změnit – stejně jako v minulosti. Posouzení dopadu předávání údajů (TIA) vyžaduje velké úsilí a jeho porušení může mít za následek přísné sankce: až 4 % celosvětových ročních příjmů.
Cloudové služby v USA jsou (stále) použitelné – ale ne bez rizika
V současné době lze cloudové služby od amerických poskytovatelů využívat v souladu s předpisy o ochraně údajů, pokud jsou zavedena vhodná ochranná opatření, jako jsou standardní smluvní doložky a technická bezpečnostní opatření. Přetrvává však zbytkové riziko. Problematické je zejména to, že stále neexistuje end-to-end šifrování vhodné pro každodenní použití pro všechny typy použití – například při průběžném zpracování údajů (“data in use”).
Využívání služeb USA by proto mělo být vždy posuzováno individuálně: Jak citlivé jsou zpracovávané údaje? Jaká bezpečnostní opatření jsou přijata? A do jaké míry je společnost schopna skutečně tlumit rizika?
Mezi černobílým a realistickým přístupem: Jak by se firmy měly vypořádat s ochranou dat a poskytovateli cloudu
Otázka, zda by firmy měly používat pouze software a cloudové služby evropského původu – “všechno, nebo nic” – zní na první pohled jako jasný postoj. Ale právě před tím varuje odbornice na ochranu osobních údajů Katharina Raabe-Stuppnigová. Taková zásada je nejen nepraktická, ale také obtížně odůvodnitelná pro úřady. Každé rozhodnutí o používání softwaru nebo cloudových služeb musí být spíše učiněno případ od případu – v závislosti na tom, jak citlivé jsou zpracovávané údaje a jaká ochranná opatření lze konkrétně přijmout.
Nenechte se ukolébat falešným pocitem bezpečí – ani s rámcem pro ochranu osobních údajů
Další téma, které v současné době zaměstnává mnoho firem: Co se stane, pokud Evropský soudní dvůr (ESD) zruší nový rámec pro ochranu osobních údajů mezi EU a USA – stejně jako předtím “Safe Harbor” a “Privacy Shield”? Odpověď na tuto otázku je jasná: opět by vznikla obrovská právní nejistota. Právě proto společnost Kargl již nyní radí společnostem , aby se nespoléhaly výhradně na rámec, ale aby se navíc dohodly na standardních smluvních doložkách (SCC) . Ty by měly vždy obsahovat takzvané posouzení dopadů předávání (Transfer Impact Assessment, TIA) – tedy analýzu rizik pro předávání údajů do třetích zemí.
Právník však také jasně říká: pokud by skutečně padl rámec ochrany osobních údajů a byla by tak zásadně zpochybněna přiměřenost předávání údajů do USA, dosáhly by TIA také svých limitů. Naděje pak spočívá v doplňkových technických a organizačních opatřeních – především v šifrování.
Šifrování: Aspirace a realita se rozcházejí
Úřady pro ochranu osobních údajů a Evropský soudní dvůr požadují od amerických poskytovatelů cloudových služeb jasné řešení: údaje by měly být ukládány pouze v zašifrované podobě a klíč by měl být spravován mimo poskytovatele – ideálně v Evropě a pod kontrolou společnosti odpovědné za údaje nebo evropského správce. Cílem tohoto tzv. externího řešení správy klíčů je zajistit, aby i v případě přístupu amerických orgánů, jako je NSA, mohla být předána pouze zašifrovaná, tj. nepoužitelná data.
Podle Kathariny Raabe-Stuppnigové lze však tento typ šifrování v praxi použít pouze pro zálohování dat. Jakmile jsou data aktivně zpracovávána v každodenním životě , je nutný přístup k nešifrovanému materiálu. Právě v tom spočívá problém: Technologie, která umožňuje
Úloha Evropy: Příležitosti díky Aktu o datech
Navzdory těmto výzvám se právník dívá do budoucnosti optimisticky: Akt EU o ochraně osobních údajů udává důležitý směr. Poskytovatelé cloudu mají být povinni
Otázkou zůstává, zda to Evropa ještě stihne , aby mohla v digitálním prostoru jednat nezávisleji a bezpečněji. Nicméně paní Raabe-Stuppnigová si je jistá: Politická vůle existuje – a s cíleným financováním a regulací by se brzy mohly objevit životaschopné evropské alternativy.
Plošná výjimka z řešení pro třetí země není proveditelná ani právně nutná. Společnosti musí pečlivě zvážit, jak citlivé jsou jejich údaje, kteří partneři jsou vhodní – a která ochranná opatření mohou konkrétně zavést. Ti, kteří se již spoléhají na SCC, TIA a šifrování, jsou nejen na bezpečné straně z právního hlediska, ale také posilují svou evropskou pozici v digitální konkurenci.
