Katharina Raabe-Stuppnig je díky své více než patnáctileté praxi právničky, spoluzakladatelce poradního sboru pro ochranu údajů a aktivní účasti v řízeních před Evropským soudním dvorem – spolu s Maxem Schremsem a Thomasem Lohningerem – jedním z nejvlivnějších hlasů v oblasti evropského práva ochrany údajů. Ve své advokátní kanceláři na Wickenburggasse ve Vídni hovoří o své kariérní cestě, výzvách GDPR a rostoucí složitosti nových digitálních zákonů EU.
Od mediálního práva k ochraně údajů: odborník v Rakousku
Katharina Raabe-Stuppnig začala svou kariéru v oblasti mediálního práva. Radila vydavatelským domům a telekomunikačním společnostem v otázkách týkajících se práva hospodářské soutěže, reklamy a odpovědnosti médií. Most k ochraně osobních údajů vznikl téměř automaticky: “Mnoho klientů se na mě obrátilo se slovy: Znáte naše procesy a vyvažování zájmů – můžete nás podpořit také v oblasti ochrany osobních údajů?”.
Po vstupu GDPR v platnost se ochrana dat dostala více do centra firemní reality. Tlak na pokuty v řádech milionů se zvýšil. Společnosti potřebovaly jasné koncepty – a spoléhaly na stávající partnerství. V důsledku toho se právo na ochranu osobních údajů vyvinulo z okrajové záležitosti v ústřední bod jejich činnosti.
“Mým přáním by bylo posílit evropskou ekonomiku – prostřednictvím evropských alternativ. Digitální strategie a datový akt jdou správným směrem. Jedinou otázkou je: přijde to včas?”
Mag. Kathrina Raabe-Stuppnig
Ochrana údajů jako nástroj
Od zavedení GDPR v roce 2018 se potřeba právní podpory enormně zvýšila – a je stále vysoká. V neposlední řadě je to způsobeno tím, že nařízení nerozlišuje mezi velkými korporacemi a malými společnostmi. Všechny musí splňovat stejné standardy.
“Fungující systém správy ochrany dat je dnes skutečným pomocníkem,” vysvětluje Raabe-Stuppnig. “Poskytuje podnikům přehled o systémech, procesech a rizicích – a tvoří základ pro optimalizaci a zvýšení efektivity.”
Zároveň se prostředí stává stále složitějším: nové právní předpisy, jako je NIS-2, zákon o kybernetické odolnosti, zákon o umělé inteligenci a zákon o ochraně osobních údajů, kladou na společnosti další požadavky – a to ve všech odvětvích. Ti, kteří již vytvořili stabilní základy ochrany dat, mají nyní jasnou výhodu.
Strategie digitální transformace
Problémů, se kterými se dnes firmy na firmu obracejí, je mnoho a jsou různorodé:
- Jak se mě týká NIS-2, pokud jsem dodavatelem kritické infrastruktury?
- Jaké zásady potřebuji pro zákon o umělé inteligenci?
- Jak se vypořádat s novými právy na přístup k údajům podle zákona o ochraně osobních údajů – aniž by byla ohrožena úroveň ochrany údajů, kterou jsem dosud vybudoval?
Kromě právního posouzení hrají stále důležitější roli strategické otázky: Kam by měly být v rámci společnosti přiřazeny odpovědnosti? Jak lze sladit dodržování předpisů, kybernetickou bezpečnost a schopnost inovovat? Raabe-Stuppnigová a její tým podporují společnosti nejen při implementaci, ale také při vytváření pozice v novém právním rámci.
EU vs. USA: rozdílné základní postoje
Zvláště citlivou otázkou je používání softwaru ze třetích zemí, například americkými hyperskalátory. Ačkoli i v USA existují zákony na ochranu osobních údajů, vysvětluje Raabe-Stuppnig, ochrana se vztahuje především na občany USA. Pro občany EU jsou tyto předpisy výrazně slabší.
“Problém spočívá ve vážení: bezpečnostní zájmy NSA mají často přednost před ochranou údajů neamerických občanů. Evropský soudní dvůr tuto nepřiměřenost konstatoval již dvakrát – a zrušil tak ústřední zásady, jako je Safe Harbour a Privacy Shield.”
Změna povědomí v Evropě od roku 2018
Od doby, kdy GDPR vstoupilo v platnost, se povědomí o něm v Evropě výrazně změnilo. Společnosti jsou nyní mnohem citlivější, pokud jde o nakládání s osobními údaji. Klíčovou roli v tom sehrála pozornost médií věnovaná rozsudkům a významným případům v oblasti ochrany osobních údajů.
“Vytvořili jsme zlatý standard ochrany dat v Evropě,” shrnuje Raabe-Stuppnig. “A je potěšující vidět, kolik společností se aktivně snaží tento standard nejen splnit, ale využít ho jako konkurenční výhodu.”
Proč je předávání údajů do USA tak citlivé a jaká je dnes právní situace v EU?
Debata o ochraně údajů mezi EU a USA je složitá – a především velmi dynamická z právního hlediska. Na rozdíl od zemí, jako je Švýcarsko, pro které Komise EU vydala tzv. rozhodnutí o odpovídající ochraně, byla a je situace v USA mnohem složitější. Takové rozhodnutí uvádí, že osobní údaje mohou být předány do třetí země, protože úroveň ochrany údajů je tam srovnatelná s úrovní ochrany údajů v EU. V zemích, jako je Čína nebo Rusko – a dlouhou dobu také v USA – takové rozhodnutí neexistovalo.
Zpracování údajů v USA – právní rovnováha
Jakmile společnosti začnou spolupracovat s poskytovateli služeb pro zpracování údajů například v USA, musí přijmout další ochranná opatření, aby zachovaly úroveň ochrany údajů požadovanou GDPR. To znamená více úsilí, více povinných kontrol – a větší riziko.
Praktický příklad: i když si u amerických poskytovatelů cloudových služeb vyberete umístění serveru v EU, problém stále existuje – například pokud je evropská dceřiná společnost pod kontrolou americké mateřské společnosti. V případě nouze by americké úřady, jako je například NSA, mohly požadovat přístup k datům – a to i prostřednictvím interního řetězce řízení. Umístění serveru v EU toto riziko snižuje, ale zcela ho neodstraňuje.
Od bezpečného přístavu k rámci pro ochranu osobních údajů: ohlédnutí zpět
Historie dohod o ochraně osobních údajů mezi EU a USA připomíná řadu právních neúspěchů:
- Safe Harbor byl první dohodou, která americkým společnostem dobrovolně ukládala určité standardy ochrany údajů. V roce 2015 byla zrušena rozsudkem ve věci Schrems I.
- Štít na ochranu soukromí byl nástupcem – revidovanou verzí Safe Harbour. I tuto dohodu však Evropský soudní dvůr v rozsudku Schrems II v roce 2020 prohlásil za neplatnou.
- V reakci na to vstoupil v platnost rámec pro ochranu osobních údajů, na jehož základě Komise EU opět přijala rozhodnutí o odpovídající ochraně pro USA.
Nové rozhodnutí je však opět založeno na vratkých základech.
Důvodem je skutečnost, že rámec pro ochranu osobních údajů je založen na exekutivním příkazu amerického prezidenta – jinými slovy na příkazu, který může být teoreticky kdykoli odvolán. Kritici proto pochybují o dlouhodobé stabilitě tohoto rámce. Proti rozhodnutí o přiměřenosti již byla podána žaloba k Evropskému soudnímu dvoru – výsledek je nejistý.
Kromě toho příslušný americký dozorový orgán PCLOB v současné době nemůže jednat, protože tři z jeho pěti ředitelů byli bývalým prezidentem Trumpem odvoláni. Výsledek: velká nejistota ohledně toho, jak stabilní mechanismus ochrany údajů v USA skutečně je.
Jak důležitý je rámec pro ochranu osobních údajů pro společnosti v EU?
Pokud plánujete dlouhodobě a chcete se zaměřit na bezpečnost dat, neměli byste se slepě spoléhat na rámec ochrany osobních údajů. Stejně jako v minulosti se právní situace může rychle změnit. Náklady na posouzení vlivu předávání údajů (TIA) jsou vysoké a porušení může vést k přísným sankcím ve výši až 4 % ročního celosvětového obratu.
Cloudové služby v USA jsou (stále) použitelné – ale ne bez rizika
Cloudové služby od amerických poskytovatelů lze v současné době využívat v souladu s **předpisy o ochraně údajů, pokud jsou zavedena **vhodná ochranná opatření, jako jsou standardní smluvní doložky a technická bezpečnostní opatření. Stále však existuje zbytkové riziko. Problematické je zejména to, že stále neexistuje end-to-end šifrování vhodné pro každodenní použití pro všechny typy použití – například pro průběžné zpracování údajů (“data in use”).
Využívání služeb USA by proto mělo být vždy posuzováno individuálně: Jak citlivé jsou zpracovávané údaje? Jaká bezpečnostní opatření jsou přijata? A do jaké míry je společnost skutečně schopna zmírnit rizika?
Mezi černobílým a realistickým přístupem: jak by se firmy měly vypořádat s ochranou dat a poskytovateli cloudových služeb
Otázka, zda by firmy měly používat pouze software a cloudové služby evropského původu – tedy “úplně, nebo vůbec” – zní na první pohled jako jasný postoj. Ale právě před tím varuje odbornice na ochranu osobních údajů Katharina Raabe-Stuppnigová. Taková zásada je nejen nepraktická, ale také těžko odůvodnitelná pro úřady. Namísto toho je třeba každé rozhodnutí o používání softwaru nebo cloudových služeb činit případ od případu – podle toho, jak citlivé jsou zpracovávané údaje a jaká konkrétní ochranná opatření lze přijmout.
Nenechte se ukolébat falešným pocitem bezpečí – ani s rámcem pro ochranu osobních údajů
Další téma, které v současné době zaměstnává mnoho společností: Co se stane, pokud Evropský soudní dvůr (ESD) zruší nový rámec pro ochranu osobních údajů mezi EU a USA – jako tomu bylo dříve v případě “Safe Harbour” a “Privacy Shield”? Odpověď je jasná: opět by vznikla obrovská právní nejistota. Právě proto společnost Kargl již nyní doporučuje společnostem , aby se nespoléhaly pouze na rámec, ale aby si sjednaly další standardní smluvní doložky (SCC). Ty by měly vždy obsahovat posouzení vlivu předávání údajů (TIA) – tj. analýzu rizik předávání údajů do třetích zemí.
Právník však také jasně uvádí, že pokud by rámec ochrany osobních údajů skutečně padl a přiměřenost předávání údajů do USA by byla zásadně zpochybněna, dosáhly by TIA rovněž svých limitů. Naděje pak spočívá v doplňkových technických a organizačních opatřeních – především v šifrování.
Šifrování: tvrzení a realita se rozcházejí
Úřady pro ochranu osobních údajů a Evropský soudní dvůr požadují od amerických poskytovatelů cloudových služeb jasné řešení: data by měla být ukládána pouze v zašifrované podobě a klíč by měl být spravován mimo poskytovatele – ideálně v Evropě a pod kontrolou společnosti odpovědné za data nebo evropského správce. Cílem tohoto tzv. externího řešení správy klíčů je zajistit, aby i v případě přístupu amerických orgánů, jako je NSA, mohla být předána pouze zašifrovaná, tj. nepoužitelná data.
Podle Kathariny Raabe-Stuppnigové lze však tento typ šifrování v praxi použít pouze pro zálohování dat. Jakmile jsou data aktivně zpracovávána v každodenním životě, je nutný přístup k nešifrovanému materiálu. Právě v tom spočívá problém: technologie, která umožňuje kompletní zpracování dat v zašifrovaném stavu, v současné době existuje jen ve velmi omezené míře – například pro jednoduché výpočty nebo odhady ve specifických scénářích. Stav techniky zatím není dostatečný pro široké využití, které je v ekonomice vyžadováno.
Úloha Evropy: příležitosti díky Aktu o datech
Navzdory těmto výzvám se právník dívá do budoucna optimisticky: Akt EU o ochraně údajů udává důležitý směr. Poskytovatelé cloudu mají být povinni umožnit multi-cloudové strategie, tj. podporovat snadný přechod mezi poskytovateli – bez vysokých nákladů na přechod. To bude aktivně působit na posílení evropské suverenity v digitálním prostoru a v dlouhodobém horizontu vytvoří více alternativ k americkým hyperscalerům.
Otázkou zůstává, zda bude Evropa časem schopna jednat v digitálním prostoru nezávisleji a bezpečněji . Paní Raabe-Stuppnigová si je nicméně jistá: “Politická vůle tu je – a s cílenou podporou a regulací by se brzy mohly objevit životaschopné evropské alternativy.
Plošné zproštění řešení ze třetích zemí není proveditelné ani právně vyžadované. Společnosti musí pečlivě zvážit, jak citlivé jsou jejich údaje, kteří partneři jsou vhodní – a která konkrétní ochranná opatření mohou zavést. Ti, kteří již spoléhají na SCC, TIA a šifrování, jsou nejen právně v bezpečí, ale také posilují pozici Evropy v digitální konkurenci.
