Katharina Raabe-Stuppnig on yli 15 vuoden kokemuksellaan lakimiehenä, tietosuoja-alan neuvoa-antavan lautakunnan toisena perustajana ja osallistumalla aktiivisesti Euroopan yhteisöjen tuomioistuimessa käytyihin menettelyihin yhdessä Max Schremsin ja Thomas Lohningerin kanssa yksi Euroopan tietosuojaoikeuden vaikutusvaltaisimmista äänistä. Wienissä Wickenburggassella sijaitsevassa asianajotoimistossaan hän puhuu ammatillisesta polustaan, tietosuoja-asetuksen haasteista ja EU:n uusien digitaalilakien aiheuttamasta kasvavasta monimutkaisuudesta.
Medialainsäädännöstä tietosuojaan: Asiantuntija Itävallassa
Katharina Raabe-Stuppnig aloitti uransa mediaoikeuden parissa. Hän neuvoi kustantamoja ja teleyrityksiä kilpailuoikeudessa, mainonnassa ja mediavastuussa. Silta tietosuojaan oli lähes automaattinen: “Monet asiakkaat lähestyivät minua ja sanoivat: Tunnet prosessimme ja etujen tasapainottamisen – voitko tukea meitä myös tietosuojassa?”
Kun yleinen tietosuoja-asetus tuli voimaan, tietosuoja siirtyi entistä enemmän yritysten todellisuuden keskiöön. Miljoonien suuruiset sakot lisäsivät painetta. Yritykset tarvitsevat selkeitä käsitteitä – ja luottavat olemassa oleviin kumppanuuksiin. Tämän seurauksena tietosuojaoikeus kehittyi marginaalisesta aiheesta hänen työnsä keskeiseksi painopisteeksi.
“Toiveeni olisi vahvistaa Euroopan taloutta – eurooppalaisten vaihtoehtojen avulla. Digistrategia ja tietosuojalaki ovat askel oikeaan suuntaan. Ainoa kysymys on: tuleeko se ajoissa?”
Mag. Kathrina Raabe-Stuppnig
Tietosuoja mahdollistajana
GDPR:n käyttöönoton jälkeen vuonna 2018 oikeudellisen tuen tarve on kasvanut valtavasti – ja on edelleen suuri. Tämä ei johdu vähiten siitä, että asetuksessa ei tehdä eroa suuryritysten ja pienyritysten välillä. Kaikkien on täytettävä samat vaatimukset.
“Toimiva tietosuojan hallintajärjestelmä on nykyään todellinen mahdollistaja”, Raabe-Stuppnig selittää. “Se antaa yrityksille yleiskuvan järjestelmistä, prosesseista ja riskeistä – ja muodostaa perustan optimoinnille ja tehokkuuden lisäämiselle.”
Samaan aikaan ympäristö on muuttumassa yhä monimutkaisemmaksi: uusi lainsäädäntö, kuten NIS-2, kyberkestävyyslaki, tekoälylaki tai tietolaki, asettaa yrityksille lisävaatimuksia kaikilla toimialoilla. Niillä, jotka ovat jo luoneet vakaan tietosuojan perustan, on selkeä etu.
Digitaalisen muutoksen strategiat
Yritykset kääntyvät nykyään monien kysymysten kanssa asianajotoimiston puoleen:
- Miten NIS-2 vaikuttaa minuun, jos olen kriittisen infrastruktuurin toimittaja?
- Mitä käytäntöjä tarvitsen tekoälylakia varten?
- Miten käsittelen uusia tietosuojalain mukaisia tiedonsaantioikeuksia vaarantamatta tähän mennessä saavuttamaani tietosuojan tasoa?
Oikeudellisten arviointien lisäksi strategiset kysymykset ovat yhä tärkeämmässä asemassa: Mihin vastuualueet sijoitetaan yrityksessä? Miten tasapainotetaan sääntöjen noudattamista, kyberturvallisuutta ja innovointia? Raabe-Stuppnig ja hänen tiiminsä tukevat yrityksiä paitsi täytäntöönpanossa myös asemoinnissa uudessa oikeudellisessa kehyksessä.
EU vs. Yhdysvallat: erilaiset perusasenteet
Erityisen arkaluonteinen kysymys on kolmansista maista peräisin olevien ohjelmistojen käyttö – esimerkiksi yhdysvaltalaisissa hyperscalereissa. Vaikka myös Yhdysvalloissa on tietosuojalakeja, Raabe-Stuppnigin mukaan suoja koskee ensisijaisesti Yhdysvaltain kansalaisia. EU:n kansalaisten osalta nämä säännökset ovat paljon heikompia.
“Ongelma on painotuksessa: NSA:n turvallisuusintressit ovat usein etusijalla muiden kuin amerikkalaisten tietosuojaan nähden. Euroopan yhteisöjen tuomioistuin on jo kahdesti todennut tämän suhteettomuuden – ja siten kumonnut keskeiset periaatteet, kuten Safe Harborin ja Privacy Shieldin.”
Tietoisuuden muutos Euroopassa vuodesta 2018
Tietoisuus Euroopassa on muuttunut huomattavasti yleisen tietosuoja-asetuksen voimaantulon jälkeen. Yritykset ovat nykyään paljon herkempiä henkilötietojen käsittelyssä. Tietosuojapäätösten ja korkean profiilin tapausten saama mediahuomio on ollut tässä keskeisessä asemassa.
“Olemme luoneet Euroopan tietosuojalle kultaisen standardin”, Raabe-Stuppnig tiivistää. “On ilahduttavaa nähdä, kuinka monet yritykset pyrkivät aktiivisesti paitsi täyttämään tämän standardin myös käyttämään sitä kilpailuetuna.”
Mikä tekee tietojen siirrosta Yhdysvaltoihin niin arkaluonteista – ja mikä on EU:n tämänhetkinen oikeudellinen tilanne?
EU:n ja Yhdysvaltojen välinen tietosuojakeskustelu on monimutkainen ja ennen kaikkea oikeudellisesti erittäin dynaaminen. Toisin kuin Sveitsin kaltaisissa maissa, joiden osalta EU:n komissio on tehnyt niin sanotun riittävyyspäätöksen, tilanne Yhdysvaltojen kanssa oli ja on paljon monimutkaisempi. Tällaisessa päätöksessä todetaan, että henkilötiedot voidaan siirtää kolmanteen maahan, koska siellä on EU:n tasoa vastaava tietosuojan taso. Kiinan tai Venäjän kaltaisissa maissa – ja pitkään myös Yhdysvalloissa – tällainen päätös puuttui.
Tietojenkäsittely Yhdysvalloissa – oikeudellinen tasapainoilu
Esimerkiksi heti, kun yritykset työskentelevät Yhdysvalloissa sijaitsevien tietojenkäsittelypalvelujen tarjoajien kanssa, niiden on toteutettava ylimääräisiä suojatoimenpiteitä GDPR:n edellyttämän tietosuojan tason ylläpitämiseksi. Tämä tarkoittaa enemmän vaivaa, enemmän tarkastusvelvollisuutta – ja enemmän riskejä.
Käytännön esimerkki: Vaikka yhdysvaltalaisille pilvipalveluntarjoajille valittaisiin palvelinsijainti EU:n sisällä, ongelma on edelleen olemassa – esimerkiksi jos eurooppalainen tytäryhtiö on yhdysvaltalaisen emoyhtiön alainen. Hätätilanteessa Yhdysvaltain viranomaiset, kuten NSA, voisivat vaatia pääsyä tietoihin – myös sisäisen komentoketjun kautta. Palvelimen sijainti EU:ssa vähentää riskiä, mutta ei poista sitä kokonaan.
Safe Harborista tietosuojapuitteisiin: Katsaus
EU:n ja Yhdysvaltojen välisten tietosuojasopimusten historia on kuin sarja oikeudellisia takaiskuja:
- Safe Harbor oli ensimmäinen sopimus, jossa yhdysvaltalaisille yrityksille asetettiin vapaaehtoisesti tietyt tietosuojavaatimukset. Se kumottiin vuonna 2015 Schrems I -tuomiolla.
- Privacy Shield oli seuraaja – tarkistettu versio Safe Harborista. Euroopan yhteisöjen tuomioistuin totesi kuitenkin myös tämän sopimuksen pätemättömäksi vuonna 2020 antamassaan Schrems II -päätöksessä.
- Vastauksena tähän tuli voimaan tietosuojakehys, jonka perusteella EU:n komissio on jälleen kerran tehnyt Yhdysvaltojen osalta tietosuojan riittävyyttä koskevan päätöksen.
Uusi päätös on kuitenkin jälleen kerran horjuvalla pohjalla.
Tämä johtuu siitä, että tietosuojakehys perustuu Yhdysvaltain presidentin toimeenpanomääräykseen – eli määräykseen, joka voidaan teoriassa kumota milloin tahansa. Kriitikot epäilevätkin tämän kehyksen vakautta pitkällä aikavälillä. Riittävyyspäätöstä vastaan on jo nostettu kanne Euroopan yhteisöjen tuomioistuimessa – lopputulos on avoin.
Lisäksi Yhdysvaltain vastuullinen valvontaviranomainen PCLOB ei tällä hetkellä pysty toimimaan, koska ex-presidentti Trump on erottanut kolme sen viidestä johtajasta. Tuloksena on suuri epävarmuus siitä, kuinka vakaa tietosuojamekanismi Yhdysvalloissa todella on.
Kuinka tärkeä tietosuojapuite on EU:n yrityksille?
Jos suunnittelet pitkällä aikavälillä ja haluat keskittyä tietoturvaan, sinun ei pitäisi luottaa sokeasti tietosuojapuitteisiin. Oikeudellinen tilanne voi muuttua nopeasti – kuten aiemminkin. Tiedonsiirron vaikutustenarvioinnit (TIA) vaativat paljon työtä, ja rikkomukset voivat johtaa ankariin rangaistuksiin: jopa 4 prosenttiin maailmanlaajuisista vuosituloista.
Yhdysvaltain pilvipalvelut ovat (vielä) käyttökelpoisia – mutta eivät riskittömiä
Tällä hetkellä yhdysvaltalaisten palveluntarjoajien pilvipalveluja voidaan käyttää tietosuojasäädösten mukaisesti edellyttäen, että asianmukaiset suojatoimenpiteet, kuten vakiosopimuslausekkeet ja tekniset turvatoimet, on toteutettu. Jäljelle jää kuitenkin riski. Erityisen ongelmallista on se, että vielä ei ole olemassa jokapäiväiseen käyttöön soveltuvaa päästä päähän -salausta kaikentyyppiseen käyttöön – esimerkiksi jatkuvaan tietojenkäsittelyyn (“data in use”).
Yhdysvaltalaisten palvelujen käyttö on siksi aina arvioitava erikseen: Kuinka arkaluonteisia käsiteltävät tiedot ovat? Mitä turvatoimia toteutetaan? Ja missä määrin yritys pystyy tosiasiallisesti pehmentämään riskejä?
Mustavalkoisuuden ja realismin välillä: miten yritysten tulisi käsitellä tietosuojaa ja pilvipalvelujen tarjoajia?
Kysymys siitä, pitäisikö yritysten käyttää vain eurooppalaista alkuperää olevia ohjelmistoja ja pilvipalveluja – “kaikki tai ei mitään” – kuulostaa aluksi selkeältä kannanotolta. Mutta juuri tästä tietosuoja-asiantuntija Katharina Raabe-Stuppnig varoittaa. Tällainen periaate on epäkäytännöllinen ja sitä on myös vaikea perustella viranomaisille. Päätös ohjelmistojen tai pilvipalveluiden käytöstä on pikemminkin tehtävä tapauskohtaisesti – sen mukaan, kuinka arkaluonteisia käsiteltävät tiedot ovat ja mitä suojatoimenpiteitä voidaan konkreettisesti toteuttaa.
Älä anna itsellesi väärää turvallisuudentunnetta – edes Privacy Frameworkin avulla
Toinen aihe, joka työllistää tällä hetkellä monia yrityksiä: Mitä tapahtuu, jos Euroopan yhteisöjen tuomioistuin kumoaa EU:n ja Yhdysvaltojen välisen uuden tietosuojakehyksen – kuten Safe Harbor- ja Privacy Shield -järjestelyt aiemmin? Vastaus tähän on selvä: syntyisi jälleen valtava oikeudellinen epävarmuus. Juuri tästä syystä Kargl neuvoo jo nyt yrityksiä
Asianajaja tekee kuitenkin myös selväksi, että jos tietosuojapuitteet todella kaatuvat ja näin ollen Yhdysvaltoihin tapahtuvan tiedonsiirron oikeasuhteisuus kyseenalaistetaan perusteellisesti, myös TIA-sopimukset saavuttaisivat rajansa. Silloin toivo perustuu täydentäviin teknisiin ja organisatorisiin toimenpiteisiin – ennen kaikkea salaukseen.
Salaus: Tavoitteet ja todellisuus eroavat toisistaan
Tietosuojaviranomaiset ja Euroopan yhteisöjen tuomioistuin vaativat yhdysvaltalaisilta pilvipalveluntarjoajilta selkeää ratkaisua: tietoja olisi säilytettävä vain salatussa muodossa ja avainta olisi hallinnoitava palveluntarjoajan ulkopuolella – mieluiten Euroopassa ja tietovelvollisen yrityksen tai eurooppalaisen edunvalvojan valvonnassa. Tämän niin sanotun ulkoisen avaimenhallintaratkaisun tavoitteena on varmistaa, että vaikka Yhdysvaltain viranomaiset, kuten NSA, pääsisivät käsiksi tietoihin, vain salatut eli käyttökelvottomat tiedot voidaan siirtää eteenpäin.
Katharina Raabe-Stuppnigin mukaan tämäntyyppinen salaus voidaan kuitenkin käytännössä toteuttaa vain varmuuskopiointitietoihin. Heti kun tietoja käsitellään aktiivisesti jokapäiväisessä elämässä, tarvitaan pääsyä salaamattomaan aineistoon. Juuri tässä on ongelma: Tekniikkaa, joka mahdollistaa tietojen käsittelyn kokonaan salatussa tilassa, on tällä hetkellä olemassa vain hyvin rajoitetusti – esimerkiksi yksinkertaisia laskelmia tai arvioita varten tietyissä tilanteissa. Tekniikan taso ei vielä riitä liike-elämässä tarvittavaan laajaan käyttöön.
Euroopan rooli: Mahdollisuudet tietosuojalain kautta
Näistä haasteista huolimatta asianajaja suhtautuu tulevaisuuteen toiveikkaasti: EU: n tietosuojalaki asettaa tärkeän suunnan. Pilvipalveluntarjoajat velvoitetaan
Kysymys kuuluu, kykeneekö Eurooppa tähän vielä ajoissa, jotta se voisi toimia itsenäisemmin ja turvallisemmin digitaalisella alueella. Raabe-Stuppnig on kuitenkin luottavainen: Kohdennetun rahoituksen ja sääntelyn avulla elinkelpoisia eurooppalaisia vaihtoehtoja voi pian syntyä.
Kolmansien maiden ratkaisuista luopuminen ei ole käytännössä mahdollista eikä oikeudellisesti välttämätöntä. Yritysten on punnittava huolellisesti, kuinka arkaluonteisia niiden tiedot ovat, mitkä yhteistyökumppanit ovat sopivia – ja mitkä suojatoimenpiteet ne voivat toteuttaa konkreettisesti. Ne, jotka jo luottavat SCC- ja TIA-sopimuksiin ja salaukseen, ovat paitsi oikeudellisesti turvassa myös vahvistavat eurooppalaista asemaansa digitaalisessa kilpailussa.
