Oma enam kui 15-aastase advokaaditöö kogemusega, oma rolliga andmekaitse nõuandekogu kaasasutajana ja aktiivse osalemisega Euroopa Kohtu menetlustes – koos Max Schremsi ja Thomas Lohningeriga – on Katharina Raabe-Stuppnig üks mõjukamaid hääli Euroopa andmekaitseõiguses. Oma advokaadibüroos Wickenburggasse’s Viinis räägib ta oma karjäärist, GDPRi väljakutsetest ja uute ELi digitaalsete õigusaktide kasvavast keerukusest.
Meediaõigusest andmekaitseni: ekspert Austrias
Katharina Raabe-Stuppnig alustas oma karjääri meediaõiguse valdkonnas. Ta nõustas kirjastusi ja telekommunikatsiooniettevõtteid konkurentsiõiguse, reklaami ja meediavastutuse küsimustes. Sild andmekaitse juurde tekkis peaaegu automaatselt: “Paljud kliendid pöördusid minu poole ja ütlesid: “Te tunnete meie protsesse ja meie huvide tasakaalustamist – kas te saate meid toetada ka andmekaitse valdkonnas?””
Kui GDPR jõustus, tõusis andmekaitse rohkem ettevõtte tegelikkuse keskmesse. Miljonitesse ulatuvad trahvid suurendasid survet. Ettevõtted vajasid selgeid kontseptsioone – ja tuginesid olemasolevatele partnerlustele. Selle tulemusel muutus andmekaitseõigus perifeersest küsimusest nende tegevuse keskpunktiks.
“Minu soov oleks tugevdada Euroopa majandust – Euroopa alternatiivide kaudu. Digitaalstrateegia ja andmeseadus liiguvad õiges suunas. Küsimus on vaid selles, kas see jõuab õigel ajal?”
Mag. Kathrina Raabe-Stuppnig
Andmekaitse kui võimaldaja
Pärast GDPRi kehtestamist 2018. aastal on vajadus õigusabi järele tohutult kasvanud – ja on jätkuvalt suur. See ei ole tingitud mitte ainult sellest, et määrus ei tee vahet suurettevõtete ja väikeettevõtete vahel. Kõik peavad vastama samadele standarditele.
“Toimiv andmekaitsehaldussüsteem on tänapäeval tõeline abimees,” selgitab Raabe-Stuppnig. “See annab ettevõtetele ülevaate süsteemidest, protsessidest ja riskidest ning on aluseks optimeerimisele ja tõhususe suurendamisele.”
Samal ajal muutub keskkond üha keerulisemaks: uued õigusaktid, nagu NIS-2, kübervastupidavuse seadus, tehisintellekti seadus ja andmeseadus, esitavad ettevõtetele täiendavaid nõudmisi – kõigis sektorites. Neil, kes on juba loonud stabiilse andmekaitse aluse, on nüüd selge eelis.
Strateegiad digitaalseks ümberkujundamiseks
Probleemid, millega ettevõtted tänapäeval ettevõtte poole pöörduvad, on mitmesugused:
- Kuidas mõjutab NIS-2 mind, kui ma olen elutähtsa infrastruktuuri tarnija?
- Milliseid poliitikaid on vaja AI-seaduse jaoks?
- Kuidas ma tegelen uute andmetele juurdepääsu õigustega andmeseaduse alusel – ohustamata seejuures seni saavutatud andmekaitse taset?
Lisaks õiguslikele hinnangutele mängivad üha olulisemat rolli strateegilised küsimused: kuhu tuleks ettevõttes jagada vastutusalad? Kuidas ühtlustada nõuetele vastavust, küberturvalisust ja innovatsioonivõimet? Raabe-Stuppnig ja tema meeskond toetavad ettevõtteid mitte ainult rakendamisel, vaid ka uue õigusraamistiku raames positsioneerimisel.
EL vs. USA: erinevad põhihoiakud
Kolmandatest riikidest pärit tarkvara kasutamine – näiteks USA hüperskalaatorite poolt – on eriti tundlik teema. Kuigi ka USAs kehtivad andmekaitseseadused, selgitab Raabe-Stuppnig, kehtib kaitse eelkõige USA kodanike suhtes. ELi kodanike puhul on need eeskirjad oluliselt nõrgemad.
“Probleem seisneb kaalutluses: NSA julgeolekuhuvid on sageli tähtsamad kui mitteameeriklaste andmekaitse. Euroopa Kohus on selle ebaproportsionaalsuse juba kaks korda kindlaks teinud – ja seega sellised kesksed põhimõtted nagu Safe Harbour ja Privacy Shield ümber lükanud.”
Teadlikkuse muutus Euroopas alates 2018. aastast
Pärast GDPRi jõustumist on teadlikkus Euroopas märgatavalt muutunud. Ettevõtted on nüüd isikuandmete käitlemisel palju tundlikumad. Olulist rolli on selles mänginud meedia tähelepanu, mis on seotud andmekaitsealaste kohtuotsuste ja silmapaistvate juhtumitega.
“Oleme loonud Euroopa andmekaitse kuldstandardi,” võtab Raabe-Stuppnig kokku. “Ja on meeldiv näha, kui paljud ettevõtted püüavad aktiivselt mitte ainult seda standardit täita, vaid kasutavad seda ka konkurentsieelisena.”
Mis teeb andmete edastamise USAsse nii tundlikuks – ja milline on tänane õiguslik olukord ELis?
ELi ja USA vaheline andmekaitsedebatt on keeruline ja eelkõige õiguslikust vaatenurgast väga dünaamiline. Erinevalt sellistest riikidest nagu Šveits, mille kohta ELi komisjon on teinud nn piisavuse otsuse, oli ja on olukord USAs palju keerulisem. Sellise otsuse kohaselt võib isikuandmeid edastada kolmandasse riiki, sest sealne andmekaitse tase on võrreldav ELi omaga. Sellistes riikides nagu Hiina või Venemaa – ja pikka aega ka USAs – sellist otsust ei olnud.
Andmetöötlus USAs – õiguslik tasakaalustamine
Niipea, kui ettevõtted teevad koostööd näiteks USAs asuvate teenusepakkujatega andmete töötlemiseks, peavad nad võtma täiendavaid kaitsemeetmeid, et säilitada GDPRis nõutav andmekaitse tase. See tähendab rohkem jõupingutusi, rohkem kohustuslikke kontrolle – ja rohkem riske.
Praktiline näide: isegi kui valite USA pilveteenuse pakkujate jaoks serveri asukoha ELis, on probleem ikkagi olemas – näiteks kui Euroopa tütarettevõte on USA emaettevõtte kontrolli all. Hädaolukorras võivad USA ametiasutused, näiteks NSA, nõuda juurdepääsu andmetele – isegi sisemise käsuliini kaudu. ELis asuva serveri asukoht vähendab riski, kuid ei välista seda täielikult.
Turvasadamast andmekaitse raamistiku juurde: tagasivaade
ELi ja USA vaheliste andmekaitselepingute ajalugu on nagu rida õiguslikke tagasilööke:
- Safe Harbor oli esimene leping, millega kehtestati USA ettevõtetele vabatahtlikult teatavad andmekaitsestandardid. See tühistati 2015. aastal Schrems I kohtuotsusega.
- Privacy Shield oli järeltulija – Safe Harbori muudetud versioon. Kuid ka see leping tunnistati Euroopa Kohtu poolt 2020. aasta Schrems II kohtuotsuses kehtetuks.
- Vastuseks jõustus andmekaitse raamistik, mille alusel võttis ELi komisjon taas kord vastu otsuse andmekaitse piisavuse kohta USA jaoks.
Kuid uus otsus põhineb taas kord ebakindlal alusel.
Selle põhjuseks on see, et andmekaitse raamistik põhineb USA presidendi korraldusel – teisisõnu korraldusel, mille võib teoreetiliselt igal ajal tagasi võtta . Kriitikud kahtlevad seetõttu selle raamistiku pikaajalises stabiilsuses. Adekvaatsuse otsuse vastu on juba esitatud hagi Euroopa Kohtusse – selle tulemus on ebaselge.
Lisaks sellele ei saa USA vastutav järelevalveasutus PCLOB praegu tegutseda, sest kolm selle viiest direktorist vabastati endise presidendi Trumpi poolt ametist. Tulemus: suur ebakindlus selle suhtes, kui stabiilne on USA andmekaitsemehhanism tegelikult.
Kui oluline on andmekaitse raamistik ELi ettevõtete jaoks?
Kui te plaanite pikemas perspektiivis ja soovite keskenduda andmeturbele, ei tohiks te pimesi toetuda andmekaitse raamistikule. Nagu varemgi, võib õiguslik olukord kiiresti muutuda. Andmevahetuse mõju hindamise (TIA) kulud on suured ja rikkumised võivad kaasa tuua tõsiseid karistusi , mis võivad ulatuda kuni 4% aastasest ülemaailmsest käibest.
USA pilveteenused on (veel) kasutatavad – kuid mitte ilma riskita
USA teenusepakkujate pilveteenuseid võib praegu kasutada kooskõlas **andmekaitse-eeskirjadega, tingimusel, et rakendatakse **vastavaid kaitsemeetmeid, näiteks standardseid lepinguklausleid ja tehnilisi turvameetmeid. Kuid siiski on veel jääkrisk. Eriti problemaatiline on see, et endiselt ei ole olemas otsekohast krüpteerimist, mis sobiks igapäevaseks kasutamiseks kõigi kasutusviiside puhul – näiteks andmete pidevaks töötlemiseks (“andmed kasutuses”).
Seetõttu tuleks USA teenuste kasutamist alati hinnata individuaalselt: Kui tundlikud on töödeldavad andmed? Milliseid turvameetmeid võetakse? Ja mil määral suudab ettevõte tegelikult riske vähendada?
Must-valge ja realismi vahel: kuidas ettevõtted peaksid tegelema andmekaitse ja pilvepakkujatega
Küsimus, kas ettevõtted peaksid kasutama ainult Euroopa päritolu tarkvara ja pilveteenuseid – “täielikult või üldse mitte” – kõlab esmapilgul selge seisukohana. Kuid just selle eest hoiatab andmekaitseekspert Katharina Raabe-Stuppnig. Selline põhimõte ei ole mitte ainult ebapraktiline, vaid seda on ka raske ametiasutustele põhjendada. Selle asemel tuleb iga otsus tarkvara või pilveteenuste kasutamise kohta teha iga üksikjuhtumi puhul eraldi – sõltuvalt sellest, kui tundlikud on töödeldavad andmed ja milliseid konkreetseid kaitsemeetmeid saab võtta.
Ärge laske end vales turvatundes uinutada – isegi kui on olemas privaatsusraamistik.
Veel üks teema, mis praegu paljusid ettevõtteid vaevab: Mis juhtub, kui Euroopa Kohus tühistab ELi ja USA vahelise uue andmekaitseraamistiku – nagu ta tegi seda varem “Safe Harbouri” ja “Privacy Shieldi” puhul? Vastus on selge: taas tekib tohutu õiguskindlusetus. Just seepärast soovitab Kargl juba praegu ettevõtetel mitte tugineda üksnes raamistikule, vaid leppida kokku täiendavates standardsetes lepinguklauslites (SCC). Need peaksid alati sisaldama andmeedastuse mõju hindamist (TIA), st kolmandatele riikidele andmete edastamise riskianalüüsi.
Samas teeb jurist ka selgeks, et kui andmekaitseraamistik tegelikult kukub ja andmete USAsse edastamise proportsionaalsus põhimõtteliselt kahtluse alla seatakse, jõuavad ka TIAd oma piiridesse. Lootus toetub siis täiendavatele tehnilistele ja korralduslikele meetmetele – eelkõige krüpteerimisele.
Krüpteerimine: väide ja tegelikkus lahknevad teineteisest
Andmekaitseasutused ja Euroopa Kohus nõuavad USA pilveteenuse pakkujatelt selget lahendust: andmeid tuleks säilitada ainult krüpteeritud kujul ja võtit tuleks hallata väljaspool teenusepakkujat – ideaalis Euroopas ja andmete eest vastutava ettevõtte või Euroopa usaldusisiku kontrolli all. Selle nn ” välise võtmehalduse” lahenduse eesmärk on tagada, et isegi juhul, kui USA ametiasutused, näiteks NSA, pääsevad ligi, saaks andmeid edastada ainult krüpteeritud, st kasutuskõlbmatuid andmeid.
Katharina Raabe-Stuppnigi sõnul saab seda tüüpi krüpteerimist praktikas siiski rakendada ainult varundatud andmete puhul. Niipea, kui andmeid hakatakse igapäevaelus aktiivselt töötlema, on vaja juurdepääsu krüpteerimata materjalile. Just selles seisnebki probleem: tehnoloogia, mis võimaldab andmete täielikku töötlemist krüpteeritud kujul, on praegu olemas ainult väga piiratud ulatuses – näiteks lihtsate arvutuste või hinnangute jaoks konkreetsetes stsenaariumides. Tehnoloogia tase ei ole veel piisav laiaulatuslikuks kasutamiseks, nagu on vaja majanduses.
Euroopa roll: võimalused andmeseaduse kaudu
Vaatamata nendele väljakutsetele on jurist tuleviku suhtes optimistlik: ELi andmeseadus seab olulise suuna. Pilveteenuse pakkujad on kohustatud võimaldama mitmepilvestrateegiaid, st toetama lihtsat üleminekut teenusepakkujate vahel – ilma suurte üleminekukuludeta. See aitab aktiivselt kaasa Euroopa suveräänsuse tugevdamisele digitaalses ruumis ja loob pikemas perspektiivis rohkem alternatiive USA hüperskaleerijatele.
Jääb küsimus, kas Euroopa suudab aja jooksul digitaalses ruumis iseseisvamalt ja turvalisemalt tegutseda . Raabe-Stuppnig on siiski veendunud: “Poliitiline tahe on olemas ning sihipärase toetuse ja reguleerimise abil võivad varsti tekkida elujõulised Euroopa alternatiivid.
Üldine loobumine kolmandate riikide lahendustest ei ole praktiliselt võimalik ega õiguslikult nõutav. Ettevõtted peavad hoolikalt kaaluma, kui tundlikud on nende andmed, millised partnerid on sobivad – ja milliseid konkreetseid kaitsemeetmeid nad saavad rakendada. Need, kes juba kasutavad SCCsid, TIAsid ja krüpteerimist, ei ole mitte ainult õiguslikult turvaliselt kaitstud, vaid tugevdavad ka Euroopa positsiooni digitaalses konkurentsis.
