Tietosuoja Euroopassa - sproof

Katharina Raabe-Stuppnig aloitti uransa mediaoikeuden parissa. Hän neuvoi kustantamoja ja teleyrityksiä kilpailuoikeuteen, mainontaan ja mediavastuuseen liittyvissä kysymyksissä. Silta tietosuojaan tuli lähes itsestään: "Monet asiakkaat lähestyivät minua ja sanoivat: Tunnet prosessimme ja etujen tasapainottamisen - voitko tukea meitä myös tietosuojassa?"

Kun tietosuoja-asetus tuli voimaan, tietosuoja siirtyi entistä enemmän yritystodellisuuden keskiöön. Miljoonien suuruiset sakot lisäsivät painetta. Yritykset tarvitsivat selkeitä konsepteja - ja tukeutuivat olemassa oleviin kumppanuuksiin. Tämän seurauksena tietosuojalainsäädäntö kehittyi syrjäisestä asiasta niiden toiminnan keskeiseksi painopisteeksi.

GDPR:n käyttöönoton jälkeen vuonna 2018 oikeudellisen tuen tarve on kasvanut valtavasti - ja on edelleen suuri. Tämä ei johdu vähiten siitä, että asetuksessa ei tehdä eroa suuryritysten ja pienyritysten välillä. Kaikkien on täytettävä samat vaatimukset.

"Toimiva tietosuojan hallintajärjestelmä on tänä päivänä todellinen mahdollistaja", Raabe-Stuppnig selittää. "Se antaa yrityksille yleiskuvan järjestelmistä, prosesseista ja riskeistä - ja muodostaa perustan optimoinnille ja tehokkuuden lisäämiselle."

Samaan aikaan ympäristö on muuttumassa yhä monimutkaisemmaksi: uusi lainsäädäntö, kuten NIS-2, kyberkestävyyslaki, tekoälylaki ja tietosuojalaki, asettavat yrityksille lisävaatimuksia - kaikilla toimialoilla. Niillä, jotka ovat jo luoneet vakaan tietosuojan perustan, on nyt selkeä etu.

Yritykset kääntyvät nykyään asianajotoimiston puoleen moninaisissa kysymyksissä:

• Miten NIS-2 vaikuttaa minuun, jos olen kriittisen infrastruktuurin toimittaja?

• Mitä toimintatapoja tarvitsen tekoälylakia varten?

• Miten suhtaudun tietosuojalain mukaisiin uusiin tiedonsaantioikeuksiin - vaarantamatta tähän mennessä rakentamaani tietosuojan tasoa?

Oikeudellisten arviointien lisäksi strategiset kysymykset ovat yhä tärkeämmässä asemassa: Mihin vastuualueet tulisi jakaa yrityksessä? Miten vaatimustenmukaisuus, kyberturvallisuus ja kyky innovoida voidaan sovittaa yhteen? Raabe-Stuppnig ja hänen tiiminsä tukevat yrityksiä paitsi täytäntöönpanossa myös asemoinnissa uudessa oikeudellisessa kehyksessä.

Erityisen arkaluonteinen kysymys on kolmansista maista peräisin olevien ohjelmistojen käyttö esimerkiksi yhdysvaltalaisten hyperscalereiden toimesta. Vaikka myös Yhdysvalloissa on tietosuojalakeja, Raabe-Stuppnig selittää, että suoja koskee ensisijaisesti Yhdysvaltain kansalaisia. EU:n kansalaisia koskevat säännökset ovat huomattavasti heikompia.

"Ongelma piilee painotuksessa: NSA:n turvallisuusintressit menevät usein muiden kuin amerikkalaisten tietosuojaan nähden edelle. EY-tuomioistuin on jo kahdesti todennut tämän suhteettomuuden - ja siten kumonnut keskeiset periaatteet, kuten Safe Harborin ja Privacy Shieldin."

Tietoisuus Euroopassa on muuttunut huomattavasti yleisen tietosuoja-asetuksen voimaantulon jälkeen. Yritykset ovat nyt paljon herkempiä käsitellessään henkilötietoja. Tietosuojaa koskeviin tuomioihin ja merkittäviin tapauksiin liittyvä mediahuomio on ollut tässä avainasemassa.

"Olemme luoneet Euroopan tietosuojalle kultaisen standardin", Raabe-Stuppnig tiivistää. "Ja on ilahduttavaa nähdä, kuinka monet yritykset pyrkivät aktiivisesti paitsi täyttämään tämän standardin myös käyttämään sitä kilpailuetuna."

EU:n ja Yhdysvaltojen välinen tietosuojakeskustelu on monimutkainen ja ennen kaikkea oikeudellisesti erittäin dynaaminen. Toisin kuin Sveitsin kaltaisissa maissa, joiden osalta EU:n komissio on tehnyt niin sanotun riittävyyspäätöksen, tilanne Yhdysvaltojen kanssa oli ja on paljon monimutkaisempi. Tällaisessa päätöksessä todetaan, että henkilötiedot voidaan siirtää kolmanteen maahan, koska tietosuojan taso on siellä verrattavissa EU:n tasoon. Kiinan tai Venäjän kaltaisissa maissa - ja pitkään myös Yhdysvalloissa - tällaista päätöstä ei ollut.

Kun yritykset tekevät yhteistyötä palveluntarjoajien kanssa esimerkiksi Yhdysvalloissa tapahtuvaa tietojenkäsittelyä varten, niiden on ryhdyttävä ylimääräisiin suojatoimenpiteisiin GDPR:n edellyttämän tietosuojan tason säilyttämiseksi. Tämä tarkoittaa enemmän vaivaa, enemmän pakollisia tarkastuksia - ja enemmän riskejä.

Käytännön esimerkki: vaikka yhdysvaltalaisille pilvipalveluntarjoajille valittaisiinkin palvelimen sijainti EU:n alueella, ongelma on silti olemassa - esimerkiksi jos eurooppalainen tytäryhtiö on yhdysvaltalaisen emoyhtiön määräysvallassa. Hätätilanteessa Yhdysvaltain viranomaiset, kuten NSA, voisivat vaatia pääsyä tietoihin - jopa sisäisen komentoketjun kautta. Palvelimen sijainti EU:ssa vähentää riskiä, mutta ei poista sitä kokonaan.

EU:n ja Yhdysvaltojen välisten tietosuojasopimusten historia on kuin sarja oikeudellisia takaiskuja:

• Safe Harbor oli ensimmäinen sopimus, jolla yhdysvaltalaisille yrityksille asetettiin vapaaehtoisesti tietyt tietosuojanormit. Se kumottiin vuonna 2015 Schrems I -tuomiolla.

• Privacy Shield oli sen seuraaja - tarkistettu versio Safe Harborista. Euroopan yhteisöjen tuomioistuin kuitenkin totesi myös tämän sopimuksen pätemättömäksi Schrems II -tuomiossa vuonna 2020.

• Sen seurauksena tuli voimaan tietosuojapuite, jonka perusteella EU:n komissio teki jälleen kerran Yhdysvaltojen osalta tietosuojan riittävyyttä koskevan päätöksen.

Tämä johtuu siitä, että tietosuojakehys perustuu Yhdysvaltain presidentin toimeenpanomääräykseen, joka voidaan teoriassa kumota milloin tahansa. Kriitikot epäilevätkin tämän kehyksen vakautta pitkällä aikavälillä. Riittävyyspäätöstä vastaan on jo nostettu kanne Euroopan yhteisöjen tuomioistuimessa - lopputulos on epävarma.

Lisäksi Yhdysvaltain vastuullinen valvontaviranomainen PCLOB ei tällä hetkellä pysty toimimaan, koska entinen presidentti Trump erotti kolme sen viidestä johtajasta. Tuloksena on suuri epävarmuus siitä, kuinka vakaa tietosuojamekanismi Yhdysvalloissa todella on.

Jos suunnittelet pitkällä aikavälillä ja haluat keskittyä tietoturvaan, sinun ei pitäisi luottaa sokeasti tietosuojapuitteisiin. Kuten aiemminkin, oikeudellinen tilanne voi muuttua nopeasti. Tiedonsiirron vaikutustenarvioinnit (TIA ) ovat kalliita, ja rikkomukset voivat johtaa ankariin rangaistuksiin, jotka voivat olla jopa 4 prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta.

Yhdysvaltalaisten palveluntarjoajien pilvipalveluja voidaan tällä hetkellä käyttää **tietosuojasäädösten mukaisesti edellyttäen, että **sopivat suojatoimenpiteet, kuten vakiosopimuslausekkeet ja tekniset turvatoimet, on toteutettu. Jäljelle jää kuitenkin vielä riski. Erityisen ongelmallista on se, että vielä ei ole olemassa jokapäiväiseen käyttöön soveltuvaa päästä päähän -salausta kaikenlaiseen käyttöön - esimerkiksi jatkuvaan tietojenkäsittelyyn ("data in use").

Yhdysvaltalaisten palvelujen käyttö olisi siksi aina arvioitava yksilöllisesti: Kuinka arkaluonteisia tietoja käsitellään? Mitä turvatoimia toteutetaan? Ja missä määrin yritys pystyy tosiasiallisesti vähentämään riskejä?

Kysymys siitä, pitäisikö yritysten käyttää vain eurooppalaista alkuperää olevia ohjelmistoja ja pilvipalveluja - "kokonaan tai ei lainkaan" - kuulostaa ensi näkemältä selkeältä kannanotolta. Mutta juuri tästä tietosuoja-asiantuntija Katharina Raabe-Stuppnig varoittaa. Tällainen periaate ei ole vain epäkäytännöllinen, vaan sitä on myös vaikea perustella viranomaisille. Sen sijaan jokainen päätös ohjelmistojen tai pilvipalveluiden käytöstä on tehtävä tapauskohtaisesti sen mukaan, kuinka arkaluonteisia käsiteltävät tiedot ovat ja mitä erityisiä suojatoimenpiteitä voidaan toteuttaa.

Toinen monia yrityksiä tällä hetkellä askarruttava aihe: Mitä tapahtuu, jos Euroopan yhteisöjen tuomioistuin kumoaa EU:n ja Yhdysvaltojen välisen uuden tietosuojakehyksen - kuten se teki aiemmin Safe Harbor- ja Privacy Shield -järjestelyjen kanssa? Vastaus on selvä: syntyisi jälleen valtava oikeudellinen epävarmuus. Juuri tästä syystä Kargl neuvoo jo nyt yrityksiä olemaan luottamatta pelkästään kehykseen ja sopimaan täydentävistä vakiosopimuslausekkeista. Näihin olisi aina sisällytettävä siirtovaikutusten arviointi (TIA) eli riskianalyysi tietojen siirtämisestä kolmansiin maihin.

Asianajaja tekee kuitenkin myös selväksi, että jos tietosuojapuitteet todella kaatuvat ja Yhdysvaltoihin tapahtuvan tietojen siirron oikeasuhteisuus kyseenalaistetaan perusteellisesti, myös TIA:t saavuttavat rajansa. Silloin toivo perustuu täydentäviin teknisiin ja organisatorisiin toimenpiteisiin - ennen kaikkea salaukseen.

Tietosuojaviranomaiset ja Euroopan yhteisöjen tuomioistuin vaativat yhdysvaltalaisilta pilvipalveluntarjoajilta selkeää ratkaisua: tietoja olisi säilytettävä vain salatussa muodossa, ja avainta olisi hallinnoitava palveluntarjoajan ulkopuolella - mieluiten Euroopassa ja tiedoista vastaavan yrityksen tai eurooppalaisen edunvalvojan valvonnassa. Tämän niin sanotun ** ulkoisen avaimenhallintaratkaisun** tavoitteena on varmistaa, että vaikka Yhdysvaltain viranomaiset, kuten NSA, pääsisivät käsiksi tietoihin, vain salatut eli käyttökelvottomat tiedot voidaan luovuttaa eteenpäin.

Katharina Raabe-Stuppnigin mukaan tällainen salaus voidaan kuitenkin käytännössä toteuttaa vain varmuuskopiointitietojen osalta. Heti kun tietoja käsitellään aktiivisesti jokapäiväisessä elämässä, tarvitaan pääsyä salaamattomaan aineistoon. Juuri tässä piilee ongelma: tekniikkaa, joka mahdollistaa täydellisen tietojenkäsittelyn salatussa tilassa, on tällä hetkellä olemassa vain hyvin rajoitetusti - esimerkiksi yksinkertaisia laskelmia tai arvioita varten tietyissä tilanteissa. Tekniikan taso ei vielä riitä laajamittaiseen käyttöön, jota liike-elämässä tarvitaan.

Näistä haasteista huolimatta lakimies suhtautuu tulevaisuuteen optimistisesti: EU:n tietosuojalaki tulee asettamaan tärkeän suunnan. Pilvipalveluntarjoajat velvoitetaan mahdollistamaan monipilvastrategiat eli tukemaan helppoa vaihtamista palveluntarjoajien välillä - ilman korkeita vaihtokustannuksia. Tämä on aktiivinen pyrkimys vahvistaa Euroopan suvereniteettia digitaalisella alueella ja luoda pitkällä aikavälillä enemmän vaihtoehtoja yhdysvaltalaisille hyperscalereille.

Kysymykseksi jää, pystyykö Eurooppa toimimaan digitaalisella alueella ajan myötä itsenäisemmin ja turvallisemmin. Raabe-Stuppnig on kuitenkin luottavainen: "Poliittista tahtoa on olemassa, ja kohdennetun tuen ja sääntelyn avulla elinkelpoisia eurooppalaisia vaihtoehtoja voi pian syntyä.

Kolmansien maiden ratkaisuista luopuminen ei ole käytännössä mahdollista eikä oikeudellisesti välttämätöntä. Yritysten on punnittava huolellisesti, kuinka arkaluonteisia niiden tiedot ovat, mitkä kumppanit ovat sopivia - ja mitä erityisiä suojatoimenpiteitä ne voivat toteuttaa. Ne, jotka jo luottavat SCC:hen, TIA:han ja salaukseen, ovat paitsi oikeudellisesti turvassa myös vahvistavat Euroopan asemaa digitaalisessa kilpailussa.