Andmekaitse Euroopas - sproof

Katharina Raabe-Stuppnig alustas oma karjääri meediaõiguse valdkonnas. Ta nõustas kirjastusi ja telekommunikatsiooniettevõtteid konkurentsiõiguse, reklaami ja meediavastutuse küsimustes. Sild andmekaitse juurde tekkis peaaegu automaatselt: "Paljud kliendid pöördusid minu poole ja ütlesid: Kas te saate meid toetada ka andmekaitse valdkonnas?"

Kui GDPR jõustus, liikus andmekaitse rohkem ettevõtete tegelikkuse keskmesse. Miljonitesse ulatuvad trahvid suurendasid survet. Ettevõtted vajasid selgeid kontseptsioone - ja tuginesid olemasolevatele partnerlustele. Selle tulemusel muutus andmekaitseõigus perifeersest küsimusest nende tegevuse keskpunktiks.

Pärast GDPRi kehtestamist 2018. aastal on vajadus õigusabi järele tohutult kasvanud - ja on jätkuvalt suur. See ei ole tingitud mitte ainult sellest, et määrus ei tee vahet suurettevõtete ja väikeettevõtete vahel. Kõik peavad vastama samadele standarditele.

"Toimiv andmekaitsehaldussüsteem on täna tõeline abimees," selgitab Raabe-Stuppnig. "See annab ettevõtetele ülevaate süsteemidest, protsessidest ja riskidest - ning on aluseks optimeerimisele ja tõhususe suurendamisele."

Samal ajal muutub keskkond üha keerulisemaks: uued õigusaktid, nagu NIS-2, kübervastupidavuse seadus, tehisintellekti seadus ja andmeseadus, esitavad ettevõtetele täiendavaid nõudmisi - kõigis tööstusharudes. Neil, kes on juba loonud stabiilse andmekaitse aluse, on nüüd selge eelis.

Küsimusi, millega ettevõtted tänapäeval advokaadibüroo poole pöörduvad, on palju:

• Kuidas mõjutab NIS-2 mind, kui ma olen elutähtsa infrastruktuuri tarnija?

• Milliseid poliitikaid ma vajan seoses AI-seadusega?

• Kuidas ma tegelen andmesideseaduse kohaste uute andmetele juurdepääsu õigustega - ohustamata seejuures minu seni saavutatud andmekaitse taset?

Lisaks õiguslikele hinnangutele mängivad üha olulisemat rolli strateegilised küsimused: Kuhu tuleks ettevõttes jagada vastutusalad? Kuidas saab ühitada nõuetele vastavust, küberturvalisust ja innovatsioonivõimet? Raabe-Stuppnig ja tema meeskond toetavad ettevõtteid mitte ainult rakendamisel, vaid ka uue õigusraamistiku raames positsioneerimisel.

Kolmandatest riikidest pärit tarkvara kasutamine - näiteks USA hüperskalaatorite poolt - on eriti tundlik teema. Kuigi ka USAs kehtivad andmekaitseseadused, selgitab Raabe-Stuppnig, kehtib kaitse eelkõige USA kodanike suhtes. ELi kodanike puhul on need eeskirjad oluliselt nõrgemad.

"Probleem seisneb kaalutluses: NSA julgeolekuhuvid on sageli tähtsamad kui mitteameeriklaste andmekaitse. Euroopa Kohus on seda ebaproportsionaalsust juba kaks korda leidnud - ja seega sellised kesksed põhimõtted nagu Safe Harbor ja Privacy Shield ümber lükanud."

Pärast GDPRi jõustumist on teadlikkus Euroopas märgatavalt muutunud. Ettevõtted on nüüd isikuandmete töötlemisel palju tundlikumad. Olulist rolli selles on mänginud meedia tähelepanu, mis on seotud andmekaitsealaste kohtuotsuste ja silmapaistvate juhtumitega.

"Oleme loonud Euroopas andmekaitse kuldstandardi," võtab Raabe-Stuppnig kokku. "Ja on meeldiv näha, kui paljud ettevõtted püüavad aktiivselt mitte ainult seda standardit täita, vaid kasutavad seda ka konkurentsieelisena."

ELi ja USA vaheline andmekaitsedebatt on keeruline ja eelkõige õiguslikust vaatenurgast väga dünaamiline. Erinevalt sellistest riikidest nagu Šveits, mille kohta ELi komisjon on teinud nn piisavuse otsuse, oli ja on olukord USAga palju keerulisem. Sellise otsuse kohaselt võib isikuandmeid edastada kolmandale riigile, sest sealne andmekaitse tase on võrreldav ELi omaga. Sellistes riikides nagu Hiina või Venemaa - ja pikka aega ka USAs - sellist otsust ei olnud.

Niipea, kui ettevõtted teevad koostööd näiteks USAs asuvate teenusepakkujatega andmete töötlemiseks, peavad nad võtma täiendavaid kaitsemeetmeid, et säilitada GDPRis nõutav andmekaitse tase. See tähendab rohkem jõupingutusi, rohkem kohustuslikke kontrolle - ja rohkem riske.

Praktiline näide: isegi kui valite USA pilveteenuse pakkujate jaoks serveri asukoha ELis, on probleem ikkagi olemas - näiteks kui Euroopa tütarettevõte on USA emaettevõtte kontrolli all. Hädaolukorras võivad USA ametiasutused, näiteks NSA, nõuda juurdepääsu andmetele - isegi sisemise käsuliini kaudu. ELis asuva serveri asukoht vähendab riski, kuid ei kõrvalda seda täielikult.

ELi ja USA vaheliste andmekaitselepingute ajalugu on nagu rida õiguslikke tagasilööke:

• Safe Harbor oli esimene leping, millega kehtestati USA ettevõtetele vabatahtlikult teatavad andmekaitsestandardid. See tühistati 2015. aastal Schrems I kohtuotsusega.

• Privacy Shield oli selle järeltulija - Safe Harbori muudetud versioon. Kuid ka selle lepingu tunnistas Euroopa Kohus 2020. aastal Schrems II otsusega kehtetuks.

• Vastusena jõustus andmekaitse raamistik, mille alusel võttis ELi komisjon taas vastu USA jaoks adekvaatsuse otsuse.

Selle põhjuseks on asjaolu, et andmekaitse raamistik põhineb USA presidendi korraldusel, mille võib teoreetiliselt igal ajal tühistada. Kriitikud kahtlevad seetõttu selle raamistiku pikaajalises stabiilsuses. Euroopa Kohtusse on juba esitatud hagi adekvaatsuse otsuse vastu - selle tulemus on ebaselge.

Lisaks ei saa USA vastutav järelevalveasutus PCLOB praegu tegutseda, sest kolm selle viiest direktorist on endise presidendi Trumpi poolt ametist vabastatud. Tulemus: suur ebakindlus selle suhtes, kui stabiilne on USA andmekaitsemehhanism tegelikult.

Kui te plaanite pikemas perspektiivis ja soovite keskenduda andmeturbele, ei tohiks te pimesi toetuda andmekaitse raamistikule. Nagu varemgi, võib õiguslik olukord kiiresti muutuda. Andmevahetuse mõju hindamise (TIA ) kulud on suured ja rikkumised võivad kaasa tuua tõsiseid karistusi, mis võivad ulatuda kuni 4% aastasest ülemaailmsest käibest.

USA teenusepakkujate pilveteenuseid võib praegu kasutada kooskõlas **andmekaitse-eeskirjadega, tingimusel, et rakendatakse **vastavaid kaitsemeetmeid, näiteks standardseid lepinguklausleid ja tehnilisi turvameetmeid. Kuid siiski on veel jääkrisk. Eriti problemaatiline on see, et endiselt ei ole olemas otsekohast krüpteerimist, mis sobiks igapäevaseks kasutamiseks kõigi kasutusviiside puhul - näiteks andmete pidevaks töötlemiseks ("andmed kasutuses").

Seetõttu tuleks USA teenuste kasutamist alati hinnata individuaalselt: Kui tundlikud on töödeldavad andmed? Milliseid turvameetmeid võetakse? Ja millisel määral on ettevõte tegelikult võimeline riske vähendama?

Küsimus, kas ettevõtted peaksid kasutama ainult Euroopa päritolu tarkvara ja pilveteenuseid - "täielikult või üldse mitte" - kõlab esmapilgul selge seisukohana. Kuid just selle eest hoiatab andmekaitseekspert Katharina Raabe-Stuppnig. Selline põhimõte ei ole mitte ainult ebapraktiline, vaid seda on ka raske ametiasutustele põhjendada. Selle asemel tuleb iga otsus tarkvara või pilveteenuste kasutamise kohta teha iga üksikjuhtumi puhul eraldi - sõltuvalt sellest, kui tundlikud on töödeldavad andmed ja milliseid konkreetseid kaitsemeetmeid saab võtta.

Veel üks teema, mis praegu paljusid ettevõtteid vaevab: Mis juhtub, kui Euroopa Kohus tühistab ELi ja USA vahelise uue andmekaitseraamistiku - nagu ta tegi seda varem "Safe Harbori" ja "Privacy Shieldi" puhul? Vastus on selge: taas tekib tohutu õiguskindlusetus. Just seepärast soovitab Kargl juba praegu ettevõtetel mitte tugineda üksnes raamistikule, vaid leppida kokku täiendavates standardsetes lepinguklauslites (SCC). Need peaksid alati sisaldama andmeedastuse mõju hindamist (TIA ), st riskianalüüsi andmete edastamise kohta kolmandatesse riikidesse.

Samas teeb jurist ka selgeks, et kui andmekaitseraamistik peaks tegelikult langema ja andmete USAsse edastamise proportsionaalsus põhimõtteliselt kahtluse alla seatakse, jõuavad ka TIAd oma piiridesse. Lootus toetub siis täiendavatele tehnilistele ja korralduslikele meetmetele - eelkõige krüpteerimisele.

Andmekaitseasutused ja Euroopa Kohus nõuavad USA pilveteenuse pakkujatelt selget lahendust: andmeid tuleks säilitada ainult krüpteeritud kujul ja võtit tuleks hallata väljaspool teenusepakkujat - ideaalis Euroopas ja andmete eest vastutava ettevõtte või Euroopa usaldusisiku kontrolli all. Selle nn "välise võtmehalduse" lahenduse eesmärk on tagada, et isegi juhul, kui USA ametiasutused, näiteks NSA, pääsevad ligi, saaks andmeid edastada ainult krüpteeritud, st kasutuskõlbmatuid andmeid.

Katharina Raabe-Stuppnigi sõnul saab sellist krüpteerimist praktikas siiski rakendada ainult varundatud andmete puhul. Niipea, kui andmeid hakatakse igapäevaelus aktiivselt töötlema, on vaja juurdepääsu krüpteerimata materjalile. Just selles seisnebki probleem: tehnoloogia, mis võimaldab andmete täielikku töötlemist krüpteeritud kujul, on praegu olemas ainult väga piiratud ulatuses - näiteks lihtsate arvutuste või hinnangute jaoks konkreetsetes stsenaariumides. Tehnoloogia tase ei ole veel piisav laiaulatuslikuks kasutamiseks, nagu seda on vaja ettevõtluses.

Vaatamata nendele väljakutsetele on jurist tuleviku suhtes optimistlik: ELi andmeseadus määrab olulise suuna. Pilveteenuse pakkujad on kohustatud võimaldama mitmepilvestrateegiaid, st toetama lihtsat üleminekut teenusepakkujate vahel - ilma suurte üleminekukuludeta. See on aktiivne jõupingutus, et tugevdada Euroopa suveräänsust digitaalses ruumis ja luua pikemas perspektiivis rohkem alternatiive USA hüperskaleerijatele.

Jääb üle küsida, kas Euroopa suudab aja jooksul digitaalses ruumis iseseisvamalt ja turvalisemalt tegutseda. Raabe-Stuppnig on siiski kindel: "Poliitiline tahe on olemas ning sihipärase toetuse ja reguleerimise abil võivad varsti tekkida elujõulised Euroopa alternatiivid.

Üldine loobumine kolmandate riikide lahendustest ei ole praktiliselt võimalik ega õiguslikult vajalik. Ettevõtted peavad hoolikalt kaaluma, kui tundlikud on nende andmed, millised partnerid on sobivad ja milliseid konkreetseid kaitsemeetmeid nad saavad rakendada. Need, kes juba kasutavad SCCsid, TIAsid ja krüpteerimist, ei ole mitte ainult õiguslikult turvaliselt kaitstud, vaid tugevdavad ka Euroopa positsiooni digitaalses konkurentsis.