Με περισσότερα από 15 χρόνια εμπειρίας ως δικηγόρος, τον ρόλο της ως συνιδρύτριας μιας συμβουλευτικής επιτροπής προστασίας δεδομένων και την ενεργό συμμετοχή της σε διαδικασίες ενώπιον του Ευρωπαϊκού Δικαστηρίου – μαζί με τους Max Schrems και Thomas Lohninger – η Katharina Raabe-Stuppnig είναι μία από τις πιο σημαντικές φωνές στο ευρωπαϊκό δίκαιο προστασίας δεδομένων. Στο δικηγορικό της γραφείο στη Wickenburggasse στη Βιέννη, μιλάει για την πορεία της καριέρας της, τις προκλήσεις του ΓΚΠΔ και την αυξανόμενη πολυπλοκότητα των νέων ψηφιακών νόμων της ΕΕ.
Από το δίκαιο των μέσων ενημέρωσης στην προστασία των δεδομένων: εμπειρογνώμονας στην Αυστρία
Η Katharina Raabe-Stuppnig ξεκίνησε την καριέρα της στο δίκαιο των μέσων ενημέρωσης. Συμβούλευε εκδοτικούς οίκους και εταιρείες τηλεπικοινωνιών σε θέματα σχετικά με το δίκαιο του ανταγωνισμού, τη διαφήμιση και την ευθύνη των μέσων ενημέρωσης. Η γέφυρα με την προστασία των δεδομένων προέκυψε σχεδόν αυτόματα: “Πολλοί πελάτες με πλησίασαν και μου είπαν: Γνωρίζετε τις διαδικασίες μας και την εξισορρόπηση των συμφερόντων μας – μπορείτε να μας υποστηρίξετε και με την προστασία των δεδομένων;”.
Όταν τέθηκε σε ισχύ ο ΓΚΠΔ, η προστασία των δεδομένων μπήκε περισσότερο στο επίκεντρο της εταιρικής πραγματικότητας. Τα πρόστιμα εκατομμυρίων αύξησαν την πίεση. Οι εταιρείες χρειάζονταν σαφείς έννοιες – και στηρίχθηκαν σε υφιστάμενες συνεργασίες. Ως αποτέλεσμα, η νομοθεσία περί προστασίας δεδομένων εξελίχθηκε από περιφερειακό ζήτημα σε κεντρικό σημείο εστίασης των δραστηριοτήτων τους.
“Η επιθυμία μου θα ήταν να ενισχύσω την ευρωπαϊκή οικονομία – μέσω ευρωπαϊκών εναλλακτικών λύσεων. Η ψηφιακή στρατηγική και ο νόμος για τα δεδομένα κινούνται προς τη σωστή κατεύθυνση. Το μόνο ερώτημα είναι: θα έρθει εγκαίρως;”
Mag. Kathrina Raabe-Stuppnig
Η προστασία των δεδομένων ως καταλύτης
Από την εισαγωγή του ΓΚΠΔ το 2018, η ανάγκη για νομική υποστήριξη έχει αυξηθεί πάρα πολύ – και παραμένει υψηλή. Αυτό δεν οφείλεται τουλάχιστον στο γεγονός ότι ο κανονισμός δεν κάνει καμία διάκριση μεταξύ μεγάλων και μικρών εταιρειών. Όλες πρέπει να πληρούν τα ίδια πρότυπα.
“Ένα λειτουργικό σύστημα διαχείρισης της προστασίας των δεδομένων αποτελεί σήμερα έναν πραγματικό παράγοντα”, εξηγεί η Raabe-Stuppnig. “Παρέχει στις εταιρείες μια επισκόπηση των συστημάτων, των διαδικασιών και των κινδύνων – και αποτελεί τη βάση για τη βελτιστοποίηση και την αύξηση της αποδοτικότητας.”
Ταυτόχρονα, το περιβάλλον γίνεται ολοένα και πιο πολύπλοκο: νέα νομοθεσία όπως η NIS-2, ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο, ο νόμος για την τεχνητή νοημοσύνη και ο νόμος για τα δεδομένα θέτουν πρόσθετες απαιτήσεις στις εταιρείες – σε όλους τους τομείς. Όσοι έχουν ήδη δημιουργήσει ένα σταθερό θεμέλιο προστασίας δεδομένων έχουν πλέον σαφές πλεονέκτημα.
Στρατηγικές για τον ψηφιακό μετασχηματισμό
Τα θέματα με τα οποία οι εταιρείες απευθύνονται σήμερα στην εταιρεία είναι πολλά και ποικίλα:
- Πώς με επηρεάζει η NIS-2 εάν είμαι προμηθευτής κρίσιμων υποδομών;
- Ποιες πολιτικές χρειάζομαι για την Πράξη ΤΝ;
- Πώς αντιμετωπίζω τα νέα δικαιώματα πρόσβασης στα δεδομένα βάσει του νόμου περί δεδομένων – χωρίς να θέσω σε κίνδυνο το επίπεδο προστασίας των δεδομένων που έχω αναπτύξει μέχρι σήμερα;
Εκτός από τις νομικές αξιολογήσεις, όλο και πιο σημαντικό ρόλο παίζουν τα στρατηγικά ζητήματα: Πού θα πρέπει να ανατεθούν οι αρμοδιότητες εντός της εταιρείας; Πώς μπορούν να εναρμονιστούν η συμμόρφωση, η ασφάλεια στον κυβερνοχώρο και η ικανότητα καινοτομίας; Η Raabe-Stuppnig και η ομάδα της υποστηρίζουν τις εταιρείες όχι μόνο στην εφαρμογή, αλλά και στην τοποθέτησή τους εντός του νέου νομικού πλαισίου.
ΕΕ vs. ΗΠΑ: Διαφορετικές βασικές στάσεις
Η χρήση λογισμικού από τρίτες χώρες – για παράδειγμα από αμερικανικές υπερκλίμακες – είναι ένα ιδιαίτερα ευαίσθητο ζήτημα. Αν και υπάρχουν και στις ΗΠΑ νόμοι περί προστασίας δεδομένων, εξηγεί η Raabe-Stuppnig, η προστασία ισχύει κυρίως για τους πολίτες των ΗΠΑ. Οι κανονισμοί αυτοί είναι σημαντικά πιο αδύναμοι για τους πολίτες της ΕΕ.
“Το πρόβλημα έγκειται στη στάθμιση: τα συμφέροντα ασφαλείας της NSA συχνά υπερισχύουν της προστασίας των δεδομένων των μη Αμερικανών. Το ΔΕΚ έχει ήδη διαπιστώσει αυτή τη δυσανάλογη σχέση δύο φορές – και έτσι ανέτρεψε κεντρικές αρχές όπως το Safe Harbour και η Ασπίδα Προστασίας της Ιδιωτικότητας”.
Μεταβολή της ευαισθητοποίησης στην Ευρώπη από το 2018
Από τότε που τέθηκε σε ισχύ ο ΓΚΠΔ, η ευαισθητοποίηση στην Ευρώπη έχει αλλάξει αισθητά. Οι εταιρείες είναι πλέον πολύ πιο ευαίσθητες όσον αφορά τη διαχείριση των προσωπικών δεδομένων. Η προσοχή των μέσων ενημέρωσης γύρω από τις αποφάσεις για την προστασία των δεδομένων και τις εξέχουσες υποθέσεις έπαιξε καθοριστικό ρόλο σε αυτό.
“Δημιουργήσαμε ένα χρυσό πρότυπο για την προστασία των δεδομένων στην Ευρώπη”, συνοψίζει η Raabe-Stuppnig. “Και είναι ευχάριστο να βλέπουμε πόσες εταιρείες προσπαθούν ενεργά όχι μόνο να ανταποκριθούν σε αυτό το πρότυπο, αλλά και να το χρησιμοποιήσουν ως ανταγωνιστικό πλεονέκτημα.”
Τι κάνει τη διαβίβαση δεδομένων στις ΗΠΑ τόσο ευαίσθητη – και ποια είναι η νομική κατάσταση στην ΕΕ σήμερα;
Η συζήτηση για την προστασία των δεδομένων μεταξύ της ΕΕ και των ΗΠΑ είναι πολύπλοκη και, κυρίως, ιδιαίτερα δυναμική από νομική άποψη. Σε αντίθεση με χώρες όπως η Ελβετία, για τις οποίες η Επιτροπή της ΕΕ έχει εκδώσει τη λεγόμενη απόφαση επάρκειας, η κατάσταση στις ΗΠΑ ήταν και είναι πολύ πιο περίπλοκη. Μια τέτοια απόφαση αναφέρει ότι τα δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβαστούν σε τρίτη χώρα επειδή το επίπεδο προστασίας των δεδομένων εκεί είναι συγκρίσιμο με εκείνο της ΕΕ. Σε χώρες όπως η Κίνα ή η Ρωσία – και για μεγάλο χρονικό διάστημα και στις ΗΠΑ – δεν υπήρχε τέτοια απόφαση.
Επεξεργασία δεδομένων στις ΗΠΑ – μια νομική πράξη εξισορρόπησης
Από τη στιγμή που οι εταιρείες συνεργάζονται με παρόχους υπηρεσιών για την επεξεργασία δεδομένων στις ΗΠΑ, για παράδειγμα, πρέπει να λαμβάνουν πρόσθετα μέτρα προστασίας προκειμένου να διατηρήσουν το επίπεδο προστασίας των δεδομένων που απαιτεί ο ΓΚΠΔ. Αυτό σημαίνει περισσότερη προσπάθεια, περισσότερους υποχρεωτικούς ελέγχους – και μεγαλύτερο κίνδυνο.
Ένα πρακτικό παράδειγμα: ακόμη και αν επιλέξετε μια τοποθεσία διακομιστή εντός της ΕΕ για τους αμερικανικούς παρόχους νέφους, το πρόβλημα εξακολουθεί να υφίσταται – για παράδειγμα, αν η ευρωπαϊκή θυγατρική βρίσκεται υπό τον έλεγχο μιας αμερικανικής μητρικής εταιρείας. Σε περίπτωση έκτακτης ανάγκης, οι αμερικανικές αρχές, όπως η NSA, θα μπορούσαν να ζητήσουν πρόσβαση στα δεδομένα – ακόμη και μέσω μιας εσωτερικής αλυσίδας διοίκησης. Η τοποθεσία του διακομιστή στην ΕΕ μειώνει τον κίνδυνο, αλλά δεν τον αποκλείει εντελώς.
Από το ασφαλές λιμάνι στο πλαίσιο προστασίας της ιδιωτικής ζωής των δεδομένων: μια αναδρομή
Το ιστορικό των συμφωνιών προστασίας δεδομένων μεταξύ της ΕΕ και των ΗΠΑ μοιάζει με μια σειρά από νομικές αποτυχίες:
- Το Ασφαλές Λιμάνι ήταν η πρώτη συμφωνία για την επιβολή ορισμένων προτύπων προστασίας δεδομένων στις αμερικανικές εταιρείες σε εθελοντική βάση. Καταργήθηκε το 2015 με την απόφαση Schrems I.
- Η ασπίδα προστασίας της ιδιωτικής ζωής ήταν ο διάδοχος – μια αναθεωρημένη έκδοση του ασφαλούς λιμένα. Ωστόσο, η συμφωνία αυτή κηρύχθηκε επίσης άκυρη από το Ευρωπαϊκό Δικαστήριο με την απόφαση Schrems II το 2020.
- Σε απάντηση, τέθηκε σε ισχύ το πλαίσιο προστασίας της ιδιωτικής ζωής των δεδομένων, βάσει του οποίου η Επιτροπή της ΕΕ εξέδωσε και πάλι απόφαση επάρκειας για τις ΗΠΑ.
Ωστόσο, η νέα απόφαση βασίζεται και πάλι σε σαθρά θεμέλια.
Αυτό οφείλεται στο γεγονός ότι το πλαίσιο προστασίας των δεδομένων βασίζεται σε εκτελεστικό διάταγμα του προέδρου των ΗΠΑ – με άλλα λόγια, σε ένα διάταγμα που θεωρητικά μπορεί να ανακληθεί ανά πάσα στιγμή. Ως εκ τούτου, οι επικριτές αμφιβάλλουν για τη μακροπρόθεσμη σταθερότητα του πλαισίου αυτού. Κατά της απόφασης επάρκειας έχει ήδη κατατεθεί αγωγή στο Ευρωπαϊκό Δικαστήριο – η έκβαση είναι αβέβαιη.
Επιπλέον, η αρμόδια εποπτική αρχή των ΗΠΑ, η PCLOB, δεν είναι επί του παρόντος σε θέση να ενεργήσει, επειδή τρεις από τους πέντε διευθυντές της απολύθηκαν από τον πρώην πρόεδρο Τραμπ. Το αποτέλεσμα: μεγάλη αβεβαιότητα ως προς το πόσο σταθερός είναι πραγματικά ο μηχανισμός προστασίας δεδομένων στις ΗΠΑ.
Πόσο σημαντικό είναι το πλαίσιο προστασίας της ιδιωτικής ζωής των δεδομένων για τις εταιρείες στην ΕΕ;
Εάν σχεδιάζετε μακροπρόθεσμα και θέλετε να επικεντρωθείτε στην ασφάλεια των δεδομένων, δεν θα πρέπει να βασίζεστε τυφλά στο πλαίσιο προστασίας των δεδομένων. Όπως και στο παρελθόν, η νομική κατάσταση μπορεί να αλλάξει γρήγορα. Το κόστος των εκτιμήσεων αντικτύπου για τη μεταφορά δεδομένων είναι υψηλό και οι παραβιάσεις μπορεί να οδηγήσουν σε αυστηρές κυρώσεις που μπορεί να φτάσουν έως και το 4% του ετήσιου παγκόσμιου κύκλου εργασιών.
Οι υπηρεσίες cloud των ΗΠΑ είναι (ακόμα) χρησιμοποιήσιμες – αλλά όχι χωρίς κίνδυνο
Οι υπηρεσίες νέφους από παρόχους των ΗΠΑ μπορούν επί του παρόντος να χρησιμοποιούνται σύμφωνα με τους κανονισμούς **προστασίας δεδομένων, εφόσον εφαρμόζονται **κατάλληλα προστατευτικά μέτρα, όπως τυποποιημένες συμβατικές ρήτρες και μέτρα τεχνικής ασφάλειας. Ωστόσο, εξακολουθεί να υπάρχει ένας υπολειπόμενος κίνδυνος. Είναι ιδιαίτερα προβληματικό το γεγονός ότι δεν υπάρχει ακόμη κρυπτογράφηση από άκρο σε άκρο κατάλληλη για καθημερινή χρήση για όλους τους τύπους χρήσης – για παράδειγμα, για τη συνεχή επεξεργασία δεδομένων (“δεδομένα σε χρήση”).
Συνεπώς, η χρήση των υπηρεσιών των ΗΠΑ θα πρέπει πάντα να αξιολογείται ατομικά: Πόσο ευαίσθητα είναι τα δεδομένα που υποβάλλονται σε επεξεργασία; Ποια μέτρα ασφαλείας λαμβάνονται; Και σε ποιο βαθμό η εταιρεία είναι πράγματι σε θέση να μετριάσει τους κινδύνους;
Μεταξύ ασπρόμαυρου και ρεαλισμού: πώς οι εταιρείες πρέπει να αντιμετωπίζουν την προστασία των δεδομένων και τους παρόχους cloud
Το ερώτημα αν οι εταιρείες θα πρέπει να χρησιμοποιούν μόνο λογισμικό και υπηρεσίες νέφους ευρωπαϊκής προέλευσης – ένα “εντελώς ή καθόλου” – ακούγεται σαν μια ξεκάθαρη στάση με την πρώτη ματιά. Αλλά αυτό ακριβώς είναι που προειδοποιεί η ειδική σε θέματα προστασίας δεδομένων Katharina Raabe-Stuppnig. Μια τέτοια αρχή δεν είναι μόνο ανέφικτη, αλλά και δύσκολο να δικαιολογηθεί στις αρχές. Αντιθέτως, κάθε απόφαση σχετικά με τη χρήση λογισμικού ή υπηρεσιών cloud πρέπει να λαμβάνεται κατά περίπτωση – ανάλογα με το πόσο ευαίσθητα είναι τα δεδομένα που υποβάλλονται σε επεξεργασία και ποια συγκεκριμένα μέτρα προστασίας μπορούν να ληφθούν.
Μην παρασύρεστε σε μια ψευδή αίσθηση ασφάλειας – ακόμη και με το Πλαίσιο Προστασίας Προσωπικών Δεδομένων
Ένα άλλο θέμα που απασχολεί σήμερα πολλές εταιρείες: Τι θα συμβεί αν το Ευρωπαϊκό Δικαστήριο (ΔΕΚ) ανατρέψει το νέο πλαίσιο προστασίας των δεδομένων μεταξύ της ΕΕ και των ΗΠΑ – όπως έκανε προηγουμένως με το “Ασφαλές Λιμάνι” και την “Ασπίδα Προστασίας της Ιδιωτικότητας”; Η απάντηση είναι σαφής: θα προκύψει και πάλι τεράστια νομική αβεβαιότητα. Αυτός ακριβώς είναι ο λόγος για τον οποίο η Kargl συμβουλεύει ήδη τις εταιρείες να μην βασίζονται αποκλειστικά στο πλαίσιο, αλλά να συμφωνούν πρόσθετες τυποποιημένες συμβατικές ρήτρες (SCC). Αυτές θα πρέπει πάντα να περιλαμβάνουν μια εκτίμηση επιπτώσεων μεταφοράς (ΑΜΕ) – δηλαδή μια ανάλυση κινδύνου της μεταφοράς δεδομένων σε τρίτες χώρες.
Ωστόσο, ο δικηγόρος ξεκαθαρίζει επίσης ότι εάν το πλαίσιο προστασίας των δεδομένων πέσει και η αναλογικότητα της διαβίβασης δεδομένων στις ΗΠΑ τεθεί εκ βάθρων υπό αμφισβήτηση, οι ΤΙΑ θα φτάσουν επίσης στα όριά τους. Η ελπίδα στηρίζεται τότε στα συμπληρωματικά τεχνικά και οργανωτικά μέτρα – κυρίως στην κρυπτογράφηση.
Κρυπτογράφηση: ο ισχυρισμός και η πραγματικότητα αποκλίνουν
Οι αρχές προστασίας δεδομένων και το ΔΕΚ απαιτούν μια σαφή λύση από τους αμερικανικούς παρόχους cloud: τα δεδομένα θα πρέπει να αποθηκεύονται μόνο σε κρυπτογραφημένη μορφή και η διαχείριση του κλειδιού θα πρέπει να γίνεται εκτός του παρόχου – ιδανικά στην Ευρώπη και υπό τον έλεγχο της εταιρείας που είναι υπεύθυνη για τα δεδομένα ή ενός Ευρωπαίου διαχειριστή. Στόχος αυτής της λεγόμενης λύσης ” εξωτερικής διαχείρισης κλειδιών” είναι να διασφαλιστεί ότι ακόμη και σε περίπτωση πρόσβασης από αμερικανικές αρχές, όπως η NSA, θα μπορούν να μεταβιβαστούν μόνο κρυπτογραφημένα, δηλαδή άχρηστα, δεδομένα.
Στην πράξη, ωστόσο, σύμφωνα με την Katharina Raabe-Stuppnig, αυτός ο τύπος κρυπτογράφησης μπορεί να εφαρμοστεί μόνο για δεδομένα αντιγράφων ασφαλείας. Από τη στιγμή που τα δεδομένα υφίστανται ενεργή επεξεργασία στην καθημερινή ζωή, απαιτείται πρόσβαση σε μη κρυπτογραφημένο υλικό. Αυτό ακριβώς είναι το πρόβλημα: η τεχνολογία που επιτρέπει την πλήρη επεξεργασία δεδομένων σε κρυπτογραφημένη κατάσταση υπάρχει σήμερα μόνο σε πολύ περιορισμένο βαθμό – για παράδειγμα, για απλούς υπολογισμούς ή εκτιμήσεις σε συγκεκριμένα σενάρια. Το επίπεδο της τεχνολογίας δεν είναι ακόμη επαρκές για ευρεία χρήση, όπως απαιτείται στην οικονομία.
Ο ρόλος της Ευρώπης: ευκαιρίες μέσω της Πράξης για τα δεδομένα
Παρά τις προκλήσεις αυτές, ο δικηγόρος είναι αισιόδοξος για το μέλλον: ο νόμος της ΕΕ για τα δεδομένα θα χαράξει μια σημαντική πορεία. Οι πάροχοι cloud θα υποχρεωθούν να επιτρέπουν στρατηγικές πολλαπλών cloud, δηλαδή να υποστηρίζουν την εύκολη εναλλαγή μεταξύ παρόχων – χωρίς υψηλό κόστος αλλαγής. Αυτό θα λειτουργήσει ενεργά προς την κατεύθυνση της ενίσχυσης της ευρωπαϊκής κυριαρχίας στον ψηφιακό χώρο και της δημιουργίας περισσότερων εναλλακτικών λύσεων έναντι των αμερικανικών hyperscalers μακροπρόθεσμα.
Το ερώτημα παραμένει κατά πόσον η Ευρώπη θα είναι σε θέση να δράσει με μεγαλύτερη ανεξαρτησία και ασφάλεια στον ψηφιακό χώρο με τον καιρό. Η κ. Raabe-Stuppnig είναι ωστόσο βέβαιη: “Η πολιτική βούληση υπάρχει – και με στοχευμένη υποστήριξη και ρύθμιση, σύντομα θα μπορούσαν να προκύψουν βιώσιμες ευρωπαϊκές εναλλακτικές λύσεις.
Η γενική παραίτηση από τις λύσεις τρίτων χωρών δεν είναι ούτε εφικτή ούτε νομικά απαραίτητη. Οι εταιρείες πρέπει να σταθμίζουν προσεκτικά πόσο ευαίσθητα είναι τα δεδομένα τους, ποιοι εταίροι είναι κατάλληλοι – και ποια συγκεκριμένα μέτρα προστασίας μπορούν να εφαρμόσουν. Όσοι βασίζονται ήδη σε SCC, TIA και κρυπτογράφηση δεν είναι μόνο νομικά ασφαλείς, αλλά ενισχύουν επίσης τη θέση της Ευρώπης στον ψηφιακό ανταγωνισμό.
