Προστασία δεδομένων στην Ευρώπη - sproof

Η Katharina Raabe-Stuppnig ξεκίνησε την καριέρα της στο δίκαιο των μέσων ενημέρωσης. Συμβούλευε εκδοτικούς οίκους και εταιρείες τηλεπικοινωνιών σε θέματα δικαίου ανταγωνισμού, διαφήμισης και ευθύνης των μέσων ενημέρωσης. Η γέφυρα με την προστασία των δεδομένων ήρθε σχεδόν αυτόματα: "Πολλοί πελάτες με πλησίασαν και μου είπαν: "Η προστασία των προσωπικών δεδομένων είναι πολύ σημαντική: Γνωρίζετε τις διαδικασίες μας και την εξισορρόπηση των συμφερόντων μας - μπορείτε να μας υποστηρίξετε και με την προστασία των δεδομένων;".

Όταν τέθηκε σε ισχύ ο ΓΚΠΔ, η προστασία των δεδομένων μετακινήθηκε περισσότερο στο κέντρο της εταιρικής πραγματικότητας. Τα πρόστιμα εκατομμυρίων αύξησαν την πίεση. Οι εταιρείες χρειάζονταν σαφείς έννοιες - και στηρίχθηκαν στις υφιστάμενες συνεργασίες. Ως αποτέλεσμα, η νομοθεσία περί προστασίας δεδομένων εξελίχθηκε από περιφερειακό ζήτημα σε κεντρικό σημείο εστίασης των δραστηριοτήτων τους.

Από την εισαγωγή του ΓΚΠΔ το 2018, η ανάγκη για νομική υποστήριξη έχει αυξηθεί πάρα πολύ - και παραμένει υψηλή. Αυτό δεν οφείλεται τουλάχιστον στο γεγονός ότι ο κανονισμός δεν κάνει καμία διάκριση μεταξύ μεγάλων και μικρών εταιρειών. Όλοι πρέπει να πληρούν τα ίδια πρότυπα.

"Ένα λειτουργικό σύστημα διαχείρισης της προστασίας δεδομένων αποτελεί σήμερα έναν πραγματικό παράγοντα ενεργοποίησης", εξηγεί η Raabe-Stuppnig. "Παρέχει στις εταιρείες επισκόπηση των συστημάτων, των διαδικασιών και των κινδύνων - και αποτελεί τη βάση για βελτιστοποίηση και αύξηση της αποδοτικότητας".

Ταυτόχρονα, το περιβάλλον γίνεται ολοένα και πιο πολύπλοκο: νέα νομοθετήματα όπως η NIS-2, ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο, ο νόμος για την τεχνητή νοημοσύνη και ο νόμος για τα δεδομένα θέτουν πρόσθετες απαιτήσεις στις εταιρείες - σε όλους τους κλάδους. Όσοι έχουν ήδη δημιουργήσει ένα σταθερό θεμέλιο προστασίας δεδομένων έχουν πλέον σαφές πλεονέκτημα.

Τα ερωτήματα με τα οποία οι εταιρείες απευθύνονται σήμερα στο δικηγορικό γραφείο είναι πολλαπλά:

• Πώς με επηρεάζει η NIS-2 εάν είμαι προμηθευτής κρίσιμων υποδομών;

• Ποιες πολιτικές χρειάζομαι για τον νόμο περί ΤΝ;

• Πώς αντιμετωπίζω τα νέα δικαιώματα πρόσβασης στα δεδομένα βάσει του νόμου περί δεδομένων - χωρίς να θέσω σε κίνδυνο το επίπεδο προστασίας των δεδομένων που έχω δημιουργήσει μέχρι σήμερα;

Εκτός από τις νομικές αξιολογήσεις, τα στρατηγικά ερωτήματα διαδραματίζουν ολοένα και πιο σημαντικό ρόλο: Πού θα πρέπει να ανατεθούν οι αρμοδιότητες εντός της εταιρείας; Πώς μπορούν να συμβιβαστούν η συμμόρφωση, η ασφάλεια στον κυβερνοχώρο και η ικανότητα καινοτομίας; Η Raabe-Stuppnig και η ομάδα της υποστηρίζουν τις εταιρείες όχι μόνο στην εφαρμογή, αλλά και στην τοποθέτησή τους εντός του νέου νομικού πλαισίου.

Η χρήση λογισμικού από τρίτες χώρες - για παράδειγμα από αμερικανικές υπερκλίμακες - είναι ένα ιδιαίτερα ευαίσθητο ζήτημα. Αν και υπάρχουν και στις ΗΠΑ νόμοι περί προστασίας δεδομένων, εξηγεί η Raabe-Stuppnig, η προστασία ισχύει κυρίως για τους πολίτες των ΗΠΑ. Οι κανονισμοί αυτοί είναι σημαντικά πιο αδύναμοι για τους πολίτες της ΕΕ.

"Το πρόβλημα έγκειται στη στάθμιση: τα συμφέροντα ασφαλείας της NSA συχνά υπερισχύουν της προστασίας των δεδομένων των μη Αμερικανών. Το ΔΕΚ έχει ήδη διαπιστώσει αυτή τη δυσανάλογη σχέση δύο φορές - και έτσι ανέτρεψε κεντρικές αρχές όπως το Safe Harbor και η Ασπίδα Προστασίας της Ιδιωτικότητας".

Από τότε που τέθηκε σε ισχύ ο ΓΚΠΔ, η ευαισθητοποίηση στην Ευρώπη έχει αλλάξει αισθητά. Οι εταιρείες είναι πλέον πολύ πιο ευαίσθητες όταν χειρίζονται προσωπικά δεδομένα. Η προσοχή των μέσων ενημέρωσης γύρω από τις αποφάσεις και τις εξέχουσες υποθέσεις προστασίας δεδομένων έχει διαδραματίσει καθοριστικό ρόλο σε αυτό.

"Δημιουργήσαμε ένα χρυσό πρότυπο για την προστασία των δεδομένων στην Ευρώπη", συνοψίζει η Raabe-Stuppnig. "Και είναι ευχάριστο να βλέπουμε πόσες εταιρείες προσπαθούν ενεργά όχι μόνο να πληρούν αυτό το πρότυπο, αλλά και να το χρησιμοποιούν ως ανταγωνιστικό πλεονέκτημα".

Η συζήτηση για την προστασία των δεδομένων μεταξύ της ΕΕ και των ΗΠΑ είναι πολύπλοκη και, κυρίως, ιδιαίτερα δυναμική από νομική άποψη. Σε αντίθεση με χώρες όπως η Ελβετία, για τις οποίες η Επιτροπή της ΕΕ έχει εκδώσει τη λεγόμενη απόφαση επάρκειας, η κατάσταση με τις ΗΠΑ ήταν και είναι πολύ πιο περίπλοκη. Μια τέτοια απόφαση αναφέρει ότι τα δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβαστούν σε τρίτη χώρα επειδή το επίπεδο προστασίας των δεδομένων εκεί είναι συγκρίσιμο με εκείνο της ΕΕ. Σε χώρες όπως η Κίνα ή η Ρωσία - και για μεγάλο χρονικό διάστημα και στις ΗΠΑ - δεν υπήρχε τέτοια απόφαση.

Από τη στιγμή που οι εταιρείες συνεργάζονται με παρόχους υπηρεσιών για την επεξεργασία δεδομένων στις ΗΠΑ, για παράδειγμα, πρέπει να λαμβάνουν πρόσθετα μέτρα προστασίας για να διατηρήσουν το επίπεδο προστασίας των δεδομένων που απαιτεί ο ΓΚΠΔ. Αυτό σημαίνει περισσότερη προσπάθεια, περισσότερους υποχρεωτικούς ελέγχους - και μεγαλύτερο κίνδυνο.

Ένα πρακτικό παράδειγμα: ακόμη και αν επιλέξετε μια τοποθεσία διακομιστή εντός της ΕΕ για τους παρόχους cloud των ΗΠΑ, το πρόβλημα εξακολουθεί να υφίσταται - για παράδειγμα, αν η ευρωπαϊκή θυγατρική βρίσκεται υπό τον έλεγχο μιας μητρικής εταιρείας των ΗΠΑ. Σε περίπτωση έκτακτης ανάγκης, οι αμερικανικές αρχές, όπως η NSA, θα μπορούσαν να ζητήσουν πρόσβαση στα δεδομένα - ακόμη και μέσω μιας εσωτερικής αλυσίδας διοίκησης. Η τοποθεσία του διακομιστή στην ΕΕ μειώνει τον κίνδυνο, αλλά δεν τον εξαλείφει εντελώς.

Το ιστορικό των συμφωνιών προστασίας δεδομένων μεταξύ της ΕΕ και των ΗΠΑ μοιάζει με μια σειρά από νομικές αποτυχίες:

• Το ασφαλές λιμάνι ήταν η πρώτη συμφωνία που επέβαλε ορισμένα πρότυπα προστασίας δεδομένων στις αμερικανικές εταιρείες σε εθελοντική βάση. Καταργήθηκε το 2015 με την απόφαση Schrems I.

• Η ασπίδα προστασίας της ιδιωτικής ζωής ήταν ο διάδοχος - μια αναθεωρημένη έκδοση του ασφαλούς λιμένα. Ωστόσο, και αυτή η συμφωνία κηρύχθηκε άκυρη από το Ευρωπαϊκό Δικαστήριο με την απόφαση Schrems II το 2020.

• Σε απάντηση, τέθηκε σε ισχύ το πλαίσιο προστασίας της ιδιωτικής ζωής των δεδομένων, βάσει του οποίου η Επιτροπή της ΕΕ εξέδωσε και πάλι απόφαση επάρκειας για τις ΗΠΑ.

Αυτό οφείλεται στο γεγονός ότι το πλαίσιο προστασίας των δεδομένων βασίζεται σε εκτελεστικό διάταγμα του προέδρου των ΗΠΑ - ένα διάταγμα που θεωρητικά μπορεί να ανακληθεί ανά πάσα στιγμή. Ως εκ τούτου, οι επικριτές αμφιβάλλουν για τη μακροπρόθεσμη σταθερότητα του πλαισίου αυτού. Κατά της απόφασης επάρκειας έχει ήδη κατατεθεί αγωγή στο Ευρωπαϊκό Δικαστήριο - η έκβαση είναι αβέβαιη.

Επιπλέον, η αρμόδια εποπτική αρχή των ΗΠΑ, η PCLOB, δεν είναι επί του παρόντος σε θέση να ενεργήσει, επειδή τρεις από τους πέντε διευθυντές της απολύθηκαν από τον πρώην πρόεδρο Τραμπ. Το αποτέλεσμα: μεγάλη αβεβαιότητα ως προς το πόσο σταθερός είναι πραγματικά ο μηχανισμός προστασίας δεδομένων στις ΗΠΑ.

Εάν σχεδιάζετε μακροπρόθεσμα και θέλετε να επικεντρωθείτε στην ασφάλεια των δεδομένων, δεν θα πρέπει να βασίζεστε τυφλά στο πλαίσιο προστασίας των δεδομένων. Όπως και στο παρελθόν, η νομική κατάσταση μπορεί να αλλάξει γρήγορα. Το κόστος των εκτιμήσεων αντικτύπου για τη μεταφορά δεδομένων είναι υψηλό και οι παραβιάσεις μπορεί να οδηγήσουν σε αυστηρές κυρώσεις που μπορεί να φτάσουν έως και το 4% του ετήσιου παγκόσμιου κύκλου εργασιών.

Οι υπηρεσίες νέφους από παρόχους των ΗΠΑ μπορούν επί του παρόντος να χρησιμοποιούνται σύμφωνα με τους κανονισμούς **προστασίας δεδομένων, εφόσον εφαρμόζονται **κατάλληλα προστατευτικά μέτρα, όπως τυποποιημένες συμβατικές ρήτρες και μέτρα τεχνικής ασφάλειας. Ωστόσο, εξακολουθεί να υπάρχει ένας υπολειπόμενος κίνδυνος. Είναι ιδιαίτερα προβληματικό το γεγονός ότι δεν υπάρχει ακόμη κρυπτογράφηση από άκρο σε άκρο κατάλληλη για καθημερινή χρήση για όλους τους τύπους χρήσης - για παράδειγμα, για τη συνεχή επεξεργασία δεδομένων ("δεδομένα σε χρήση").

Συνεπώς, η χρήση υπηρεσιών των ΗΠΑ θα πρέπει πάντα να αξιολογείται σε ατομική βάση: Πόσο ευαίσθητα είναι τα δεδομένα που υποβάλλονται σε επεξεργασία; Ποια μέτρα ασφαλείας λαμβάνονται; Και σε ποιο βαθμό η εταιρεία είναι πράγματι σε θέση να μετριάσει τους κινδύνους;

Το ερώτημα αν οι εταιρείες θα πρέπει να χρησιμοποιούν μόνο λογισμικό και υπηρεσίες νέφους ευρωπαϊκής προέλευσης - ένα "εντελώς ή καθόλου" - ακούγεται σαν μια ξεκάθαρη στάση με την πρώτη ματιά. Αλλά αυτό ακριβώς είναι που προειδοποιεί η ειδική σε θέματα προστασίας δεδομένων Katharina Raabe-Stuppnig. Μια τέτοια αρχή δεν είναι μόνο ανέφικτη, αλλά και δύσκολο να δικαιολογηθεί στις αρχές. Αντιθέτως, κάθε απόφαση σχετικά με τη χρήση λογισμικού ή υπηρεσιών cloud πρέπει να λαμβάνεται κατά περίπτωση - ανάλογα με το πόσο ευαίσθητα είναι τα δεδομένα που υποβάλλονται σε επεξεργασία και ποια συγκεκριμένα μέτρα προστασίας μπορούν να ληφθούν.

Ένα άλλο θέμα που απασχολεί σήμερα πολλές εταιρείες: Τι θα συμβεί αν το Ευρωπαϊκό Δικαστήριο (ΔΕΚ) ανατρέψει το νέο πλαίσιο προστασίας των δεδομένων μεταξύ της ΕΕ και των ΗΠΑ - όπως έκανε προηγουμένως με το "Ασφαλές Λιμάνι" και την "Ασπίδα Προστασίας της Ιδιωτικότητας"; Η απάντηση είναι σαφής: θα προκύψει και πάλι τεράστια νομική αβεβαιότητα. Αυτός ακριβώς είναι ο λόγος για τον οποίο η Kargl συμβουλεύει ήδη τις εταιρείες να μην βασίζονται αποκλειστικά στο πλαίσιο, αλλά να συμφωνούν πρόσθετες τυποποιημένες συμβατικές ρήτρες (SCC). Αυτές θα πρέπει πάντα να περιλαμβάνουν μια εκτίμηση επιπτώσεων μεταφοράς (ΑΜΕ ) - δηλαδή μια ανάλυση κινδύνου για τη μεταφορά δεδομένων σε τρίτες χώρες.

Ωστόσο, ο δικηγόρος ξεκαθαρίζει επίσης ότι σε περίπτωση που το πλαίσιο για την προστασία της ιδιωτικής ζωής των δεδομένων πράγματι πέσει και η αναλογικότητα της διαβίβασης δεδομένων στις ΗΠΑ τεθεί εκ βάθρων υπό αμφισβήτηση, οι TIA θα φτάσουν επίσης στα όριά τους. Η ελπίδα στηρίζεται τότε σε συμπληρωματικά τεχνικά και οργανωτικά μέτρα - κυρίως στην κρυπτογράφηση.

Οι αρχές προστασίας δεδομένων και το ΔΕΚ απαιτούν μια σαφή λύση από τους αμερικανικούς παρόχους cloud: τα δεδομένα θα πρέπει να αποθηκεύονται μόνο σε κρυπτογραφημένη μορφή και η διαχείριση του κλειδιού θα πρέπει να γίνεται εκτός του παρόχου - ιδανικά στην Ευρώπη και υπό τον έλεγχο της εταιρείας που είναι υπεύθυνη για τα δεδομένα ή ενός Ευρωπαίου διαχειριστή. Στόχος αυτής της λεγόμενης ** λύσης "εξωτερικής διαχείρισης κλειδιών** " είναι να διασφαλιστεί ότι, ακόμη και σε περίπτωση πρόσβασης από αμερικανικές αρχές όπως η NSA, θα μπορούν να μεταβιβαστούν μόνο κρυπτογραφημένα, δηλαδή άχρηστα, δεδομένα.

Στην πράξη, ωστόσο, σύμφωνα με την Katharina Raabe-Stuppnig, αυτός ο τύπος κρυπτογράφησης μπορεί να εφαρμοστεί πραγματικά μόνο για τα εφεδρικά δεδομένα. Από τη στιγμή που τα δεδομένα υφίστανται ενεργή επεξεργασία στην καθημερινή ζωή, απαιτείται πρόσβαση σε μη κρυπτογραφημένο υλικό. Αυτό ακριβώς είναι το πρόβλημα: η τεχνολογία που επιτρέπει την πλήρη επεξεργασία δεδομένων σε κρυπτογραφημένη κατάσταση υπάρχει σήμερα μόνο σε πολύ περιορισμένο βαθμό - για παράδειγμα, για απλούς υπολογισμούς ή εκτιμήσεις σε συγκεκριμένα σενάρια. Η κατάσταση της τεχνολογίας δεν είναι ακόμη επαρκής για ευρεία χρήση, όπως απαιτείται στις επιχειρήσεις.

Παρά τις προκλήσεις αυτές, ο δικηγόρος είναι αισιόδοξος για το μέλλον: η πράξη της ΕΕ για τα δεδομένα θα χαράξει μια σημαντική πορεία. Οι πάροχοι cloud θα υποχρεωθούν να επιτρέπουν στρατηγικές πολλαπλών cloud, δηλαδή να υποστηρίζουν την εύκολη εναλλαγή μεταξύ παρόχων - χωρίς υψηλό κόστος αλλαγής. Πρόκειται για μια ενεργή προσπάθεια να ενισχυθεί η ευρωπαϊκή κυριαρχία στον ψηφιακό χώρο και να δημιουργηθούν μακροπρόθεσμα περισσότερες εναλλακτικές λύσεις έναντι των αμερικανικών hyperscalers.

Το ερώτημα παραμένει κατά πόσον η Ευρώπη θα είναι σε θέση να ενεργεί με μεγαλύτερη ανεξαρτησία και ασφάλεια στον ψηφιακό χώρο σε βάθος χρόνου. Η κ. Raabe-Stuppnig είναι ωστόσο βέβαιη: "Η πολιτική βούληση υπάρχει - και με στοχευμένη υποστήριξη και ρύθμιση, σύντομα θα μπορούσαν να προκύψουν βιώσιμες ευρωπαϊκές εναλλακτικές λύσεις.

Μια γενική παραίτηση από λύσεις τρίτων χωρών δεν είναι ούτε εφικτή ούτε νομικά απαραίτητη. Οι εταιρείες πρέπει να σταθμίσουν προσεκτικά πόσο ευαίσθητα είναι τα δεδομένα τους, ποιοι εταίροι είναι κατάλληλοι - και ποια συγκεκριμένα μέτρα προστασίας μπορούν να εφαρμόσουν. Όσοι βασίζονται ήδη σε SCC, TIA και κρυπτογράφηση δεν είναι μόνο νομικά ασφαλείς, αλλά ενισχύουν και τη θέση της Ευρώπης στον ψηφιακό ανταγωνισμό.