Oma enam kui 15-aastase juristikogemusega, oma rolliga andmekaitse nõuandekogu kaasasutajana ja aktiivse osalemisega Euroopa Kohtu menetlustes – koos Max Schremsi ja Thomas Lohningeriga – on Katharina Raabe-Stuppnig üks mõjukamaid hääli Euroopa andmekaitseõiguses. Oma advokaadibüroos Wickenburggasse’s Viinis räägib ta oma ametialasest teekonnast, GDPRi väljakutsetest ja ELi uute digitaalsete õigusaktide põhjustatud kasvavast keerukusest.
Meediaõigusest andmekaitseni: Ekspert Austrias
Katharina Raabe-Stuppnig alustas oma karjääri meediaõiguse valdkonnas. Ta nõustas kirjastusi ja telekommunikatsiooniettevõtteid konkurentsiõiguse, reklaami ja meediavastutuse küsimustes. Sild andmekaitsesse tekkis peaaegu automaatselt: “Paljud kliendid pöördusid minu poole ja ütlesid: Kas te saate meid toetada ka andmekaitse valdkonnas?”
Kui GDPR jõustus, tõusis andmekaitse rohkem ettevõtte tegelikkuse keskmesse. Miljonitesse ulatuvad trahvid suurendasid survet. Ettevõtted vajavad selgeid kontseptsioone – ja toetuvad olemasolevatele partnerlustele. Selle tulemusena arenes andmekaitseõigus marginaalsest teemast tema töö keskmesse.
“Minu soov oleks tugevdada Euroopa majandust – Euroopa alternatiivide kaudu. Digitaalstrateegia ja andmeseadus on samm õiges suunas. Küsimus on vaid selles, kas see tuleb õigel ajal?”
Mag. Kathrina Raabe-Stuppnig
Andmekaitse kui võimaldaja
Pärast GDPRi kehtestamist 2018. aastal on vajadus õigusabi järele tohutult kasvanud – ja on jätkuvalt suur. Seda mitte ainult seetõttu, et määrus ei tee vahet suurettevõtete ja väikeettevõtete vahel. Kõik peavad vastama samadele standarditele.
“Toimiv andmekaitsehaldussüsteem on tänapäeval tõeline abimees,” selgitab Raabe-Stuppnig. “See annab ettevõtetele ülevaate süsteemidest, protsessidest ja riskidest ning on aluseks optimeerimisele ja tõhususe suurendamisele.”
Samal ajal muutub keskkond üha keerulisemaks: uued õigusaktid, nagu NIS-2, kübervastupidavuse seadus, tehisintellekti seadus või andmeseadus, esitavad ettevõtetele täiendavaid nõudmisi – kõigis tööstusharudes. Need, kes on juba loonud stabiilse andmekaitse aluse, on selge eelis.
Digitaalse ümberkujundamise strateegiad
Küsimused, millega ettevõtted tänapäeval advokaadibüroo poole pöörduvad, on mitmekesised:
- Kuidas mõjutab NIS-2 mind, kui ma olen elutähtsa infrastruktuuri tarnija?
- Milliseid poliitikaid on vaja AI-seaduse jaoks?
- Kuidas ma tegelen uute andmetele juurdepääsu õigustega vastavalt andmeseadusele – ohustamata seejuures seni saavutatud andmekaitse taset?
Lisaks õiguslikele hinnangutele mängivad üha olulisemat rolli strateegilised küsimused: Millised on vastutuse asukohad ettevõttes? Kuidas tasakaalustada nõuetele vastavust, küberturvalisust ja innovatsiooni? Raabe-Stuppnig ja tema meeskond toetavad ettevõtteid mitte ainult rakendamisel, vaid ka positsioneerimisel uues õiguslikus raamistikus.
EL vs. USA: erinevad põhihoiakud
Eriti tundlik küsimus on kolmandatest riikidest pärit tarkvara kasutamine – näiteks USA hüperskalaatorite poolt. Kuigi ka USAs kehtivad andmekaitseseadused, ütles Raabe-Stuppnig, kehtib kaitse eelkõige USA kodanike suhtes. ELi kodanike puhul on need eeskirjad palju nõrgemad.
“Probleem seisneb kaalumisel: NSA julgeolekuhuvid on sageli tähtsamad kui mitteameeriklaste andmekaitse. Euroopa Kohus on seda ebaproportsionaalsust juba kaks korda leidnud – ja seega sellised kesksed põhimõtted nagu Safe Harbor ja Privacy Shield ümber lükanud.”
Teadlikkuse muutus Euroopas alates 2018. aastast
Pärast GDPRi jõustumist on teadlikkus Euroopas märgatavalt muutunud. Ettevõtted on tänapäeval isikuandmete käitlemisel palju tundlikumad. Selles on keskset rolli mänginud meedia tähelepanu andmekaitseotsustele ja kõrgetasemelistele juhtumitele.
“Me oleme loonud Euroopa andmekaitse kuldstandardi,” võtab Raabe-Stuppnig kokku. “Ja on rõõmustav näha, kui paljud ettevõtted püüavad aktiivselt mitte ainult seda standardit täita, vaid kasutavad seda ka konkurentsieelisena.”
Mis teeb andmete edastamise USAsse nii tundlikuks – ja milline on tänane õiguslik olukord ELis?
ELi ja USA vaheline andmekaitsedebatt on keeruline ja eelkõige õiguslikust vaatenurgast väga dünaamiline. Erinevalt sellistest riikidest nagu Šveits, mille kohta on tehtud ELi komisjoni nn piisavuse otsus, oli ja on olukord USAga palju keerulisem. Sellise otsuse kohaselt võib isikuandmeid edastada kolmandale riigile, sest seal on andmekaitse tase võrreldav ELi omaga. Sellistes riikides nagu Hiina või Venemaa – ja pikka aega ka USAs – selline otsus puudus.
Andmetöötlus USAs – õiguslik tasakaalustamine
Näiteks kui ettevõtted töötavad USAs asuvate andmetöötlusteenuse pakkujatega, peavad nad võtma täiendavaid kaitsemeetmeid, et säilitada GDPRis nõutav andmekaitse tase. See tähendab rohkem jõupingutusi, suuremat kontrollikohustust – ja suuremat riski.
Praktiline näide: Isegi kui valite USA pilveteenuse pakkujate jaoks serveri asukoha ELis, jääb probleem püsima – näiteks kui Euroopa tütarettevõte allub USA emaettevõttele. Hädaolukorras võivad USA ametiasutused, näiteks NSA, nõuda juurdepääsu andmetele – sealhulgas sisemise käsuliini kaudu. ELis asuva serveri asukoht vähendab riski, kuid ei kõrvalda seda täielikult.
Alates Safe Harborist kuni andmekaitseraamistikuni: Ülevaade
ELi ja USA vaheliste andmekaitselepingute ajalugu kujutab endast järjestikuseid õiguslikke tagasilööke:
- Safe Harbor oli esimene leping, millega kehtestati vabatahtlikult teatavad andmekaitsestandardid USA ettevõtetele. See tühistati 2015. aastal kohtuotsusega Schrems I.
- Privacy Shield oli järeltulija – Safe Harbori muudetud versioon. Kuid ka selle lepingu tunnistas Euroopa Kohus 2020. aastal Schrems II otsusega kehtetuks.
- Vastuseks jõustus andmekaitseraamistik, mille alusel võttis ELi komisjon taas kord vastu otsuse andmekaitse piisavuse kohta USAs.
Kuid uus otsus on taas kord ebakindlal alusel
Selle põhjuseks on asjaolu, et andmekaitse raamistik põhineb USA presidendi korraldusel, st korraldusel, mida võib teoreetiliselt igal ajal tühistada . Kriitikud kahtlevad seetõttu selle raamistiku pikaajalises stabiilsuses. Adekvaatsuse otsuse vastu on juba esitatud hagi Euroopa Kohtusse – tulemus on lahtine.
Lisaks sellele ei saa USA vastutav järelevalveasutus PCLOB praegu tegutseda, sest kolm selle viiest juhist on endise presidendi Trumpi poolt ametist vabastatud. Tulemus: suur ebakindlus selle suhtes, kui stabiilne on USA andmekaitsemehhanism tegelikult.
Kui oluline on andmekaitse raamistik ELi ettevõtete jaoks?
Kui te plaanite pikemas perspektiivis ja soovite keskenduda andmeturbele, ei tohiks te pimesi toetuda andmekaitse raamistikule. Õiguslik olukord võib kiiresti muutuda – nagu varemgi. Andmevahetuse mõju hindamine nõuab palju tööd ja rikkumised võivad kaasa tuua tõsiseid karistusi: kuni 4% ülemaailmsest aastatulust.
USA pilveteenused on (veel) kasutatavad – kuid mitte ilma riskita
Praegu võib USA teenusepakkujate pilveteenuseid kasutada kooskõlas andmekaitse-eeskirjadega, tingimusel et rakendatakse asjakohaseid kaitsemeetmeid, näiteks standardseid lepingutingimusi ja tehnilisi turvameetmeid. Siiski jääb alles jääkrisk. Eriti problemaatiline on see, et endiselt ei ole ole mas otsekohast krüpteerimist, mis sobiks igapäevaseks kasutamiseks kõigi kasutusviiside puhul – näiteks andmete pidevas töötlemises (“andmed kasutuses”).
Seetõttu tuleks USA teenuste kasutamist alati hinnata individuaalselt : Kui tundlikud on töödeldavad andmed? Milliseid turvameetmeid võetakse? Ja mil määral suudab ettevõte tegelikult riske maandada?
Must-valge ja realismi vahel: kuidas ettevõtted peaksid tegelema andmekaitse ja pilvepakkujatega
Küsimus, kas ettevõtted peaksid kasutama ainult Euroopa päritolu tarkvara ja pilveteenuseid – “kõik või mitte midagi” – kõlab esialgu selge seisukohana. Kuid just selle eest hoiatab andmekaitseekspert Katharina Raabe-Stuppnig. Selline põhimõte ei ole mitte ainult ebapraktiline, vaid seda on ka raske asutustele põhjendada. Pigem tuleb iga otsus tarkvara või pilveteenuste kasutamise kohta teha iga juhtumi puhul eraldi – sõltuvalt sellest, kui tundlikud on töödeldavad andmed ja milliseid kaitsemeetmeid saab konkreetselt võtta.
Ärge laske end vales turvatundes uinutada – isegi kui on olemas privaatsusraamistik.
Teine teema, mis praegu paljusid ettevõtteid hõivab: Mis juhtub, kui Euroopa Kohus tühistab ELi ja USA vahelise uue andmekaitseraamistiku, nagu seda tegid varem “Safe Harbor” ja “Privacy Shield”? Vastus sellele on selge: taas tekiks tohutu õiguskindlusetus. Just seepärast soovitab Kargl juba praegu ettevõtetel mitte tugineda üksnes raamistikule, vaid leppida lisaks sellele kokku standardsetes lepinguklauslites (SCC). Need peaksid alati sisaldama nn andmeedastuse mõju hindamist (TIA), st riskianalüüsi andmete edastamise kohta kolmandatesse riikidesse.
Kuid jurist teeb ka selgeks: kui andmekaitse raamistik tõepoolest langeks ja seega seatakse USAsse andmete edastamise proportsionaalsus põhimõtteliselt kahtluse alla, jõuaksid ka TIAd oma piiridesse. Lootus toetub siis täiendavatele tehnilistele ja korralduslikele meetmetele – eelkõige krüpteerimisele.
Krüpteerimine: Eesmärk ja tegelikkus lahknevad
Andmekaitseasutused ja Euroopa Kohus nõuavad USA pilveteenuse pakkujatelt selget lahendust: andmeid tuleks säilitada ainult krüpteeritud kujul ja võtit tuleks hallata väljaspool teenusepakkujat – ideaalis Euroopas ja andmete eest vastutava ettevõtte või Euroopa usaldusisiku kontrolli all. Selle nn “välise võtmehalduse” lahenduse eesmärk on tagada, et isegi juhul, kui USA ametiasutused, näiteks NSA, pääsevad ligi, saaks andmeid edastada ainult krüpteeritud, st kasutuskõlbmatuid andmeid.
Katharina Raabe-Stuppnigi sõnul saab seda tüüpi krüpteerimist praktikas siiski rakendada ainult varundatud andmete puhul. Niipea, kui andmeid töödeldakse aktiivselt igapäevaelus , on vaja juurdepääsu krüpteerimata materjalile. Just selles seisnebki probleem: Tehnoloogia, mis võimaldab täielikku andmetöötlust krüpteeritud kujul, on praegu olemas ainult väga piiratud ulatuses – näiteks lihtsate arvutuste või hinnangute jaoks konkreetsetes stsenaariumides. Tehnoloogia tase ei ole veel piisav, et seda saaks laialdaselt kasutada ettevõtluses.
Euroopa roll: Võimalused andmeseaduse kaudu
Vaatamata nendele väljakutsetele on jurist tuleviku suhtes optimistlik: ELi andmeseadus seab olulise suuna. Pilveteenuse pakkujad on kohustatud võimaldama mitmepilvestrateegiaid, st toetama probleemivaba üleminekut teenusepakkujate vahel – ilma suurte üleminekukuludeta. See on aktiivne jõupingutus, et tugevdada Euroopa suveräänsust digitaalses ruumis ja luua pikemas perspektiivis rohkem alternatiive USA hüperskaleerijatele.
Küsimus on selles, kas Euroopa suudab seda veel õigeaegselt teha , et olla võimeline tegutsema digitaalses ruumis iseseisvamalt ja turvalisemalt. Siiski on proua Raabe-Stuppnig kindel: Poliitiline tahe on olemas – ning sihipärase rahastamise ja reguleerimise abil võivad varsti tekkida elujõulised Euroopa alternatiivid.
Üldine loobumine kolmandate riikide lahendustest ei ole praktiliselt teostatav ega õiguslikult nõutav. Ettevõtted peavad hoolikalt kaaluma, kui tundlikud on nende andmed, millised partnerid on sobivad – ja milliseid kaitsemeetmeid nad saavad konkreetselt rakendada. Need, kes juba kasutavad SCCsid, TIAsid ja krüpteerimist, ei ole mitte ainult õiguslikult turvaliselt, vaid tugevdavad ka oma Euroopa positsiooni digitaalses konkurentsis.
