Tietosuoja Euroopassa - sproof

Medialainsäädännöstä tietosuojaan: asiantuntija Itävallassa

Katharina Raabe-Stuppnig aloitti uransa mediaoikeuden parissa. Hän neuvoi kustantamoja ja teleyrityksiä kilpailuoikeuteen, mainontaan ja mediavastuuseen liittyvissä kysymyksissä. Silta tietosuojaan syntyi lähes itsestään: "Monet asiakkaat lähestyivät minua ja sanoivat: Tunnet prosessimme ja etujen tasapainottamisen - voisitko tukea meitä myös tietosuojassa?"

Kun tietosuoja-asetus tuli voimaan, tietosuoja siirtyi entistä enemmän yritystodellisuuden keskiöön. Miljoonien suuruiset sakot lisäsivät painetta. Yritykset tarvitsivat selkeitä konsepteja - ja tukeutuivat olemassa oleviin kumppanuuksiin. Tämän seurauksena tietosuojalainsäädäntö kehittyi syrjäisestä asiasta niiden toiminnan keskeiseksi keskipisteeksi.

Tietosuoja mahdollistajana

Sen jälkeen, kun tietosuoja-asetus otettiin käyttöön vuonna 2018, oikeudellisen tuen tarve on kasvanut valtavasti - ja on edelleen suuri. Tämä ei johdu vähiten siitä, että asetuksessa ei tehdä eroa suuryritysten ja pienyritysten välillä. Kaikkien on täytettävä samat vaatimukset.

"Toimiva tietosuojan hallintajärjestelmä on tänä päivänä todellinen mahdollistaja", Raabe-Stuppnig selittää. "Se antaa yrityksille yleiskuvan järjestelmistä, prosesseista ja riskeistä - ja muodostaa perustan optimoinnille ja tehokkuuden lisäämiselle."

Samaan aikaan ympäristö on muuttumassa yhä monimutkaisemmaksi: uusi lainsäädäntö, kuten NIS-2, kyberkestävyyslaki, tekoälylaki ja tietosuojalaki, asettavat yrityksille lisävaatimuksia - kaikilla toimialoilla. Niillä, jotka ovat jo luoneet vakaan tietosuojan perustan, on nyt selkeä etu.

Digitaalisen muutoksen strategiat

Kysymykset, joiden kanssa yritykset kääntyvät nykyään asianajotoimistojen puoleen, ovat moninaisia:

• Miten NIS-2 vaikuttaa minuun, jos olen kriittisen infrastruktuurin toimittaja?

• Mitä käytäntöjä tarvitsen tekoälylain vuoksi?

• Miten suhtaudun tietosuojalain mukaisiin uusiin tiedonsaantioikeuksiin - vaarantamatta tähän mennessä rakentamaani tietosuojan tasoa?

Oikeudellisten arviointien lisäksi strategiset kysymykset ovat yhä tärkeämmässä asemassa: Mihin vastuualueet tulisi jakaa yrityksessä? Miten vaatimustenmukaisuus, kyberturvallisuus ja kyky innovoida voidaan sovittaa yhteen? Raabe-Stuppnig ja hänen tiiminsä tukevat yrityksiä paitsi täytäntöönpanossa myös asemoinnissa uudessa oikeudellisessa kehyksessä.

EU vs. Yhdysvallat: erilaiset perusasenteet

Kolmansista maista peräisin olevien ohjelmistojen käyttö - esimerkiksi yhdysvaltalaisissa hyperscalereissa - on erityisen arkaluonteinen kysymys. Vaikka myös Yhdysvalloissa on tietosuojalakeja, Raabe-Stuppnig selittää, että suoja koskee ensisijaisesti Yhdysvaltain kansalaisia. EU:n kansalaisia koskevat säännökset ovat huomattavasti heikompia.

"Ongelma piilee painotuksessa: NSA:n turvallisuusintressit menevät usein muiden kuin amerikkalaisten tietosuojaan nähden edelle. EY-tuomioistuin on jo kahdesti todennut tämän suhteettomuuden - ja siten kumonnut keskeiset periaatteet, kuten Safe Harborin ja Privacy Shieldin."

Tietoisuuden muutos Euroopassa vuodesta 2018

Tietoisuus Euroopassa on muuttunut huomattavasti yleisen tietosuoja-asetuksen voimaantulon jälkeen. Yritykset ovat nyt paljon herkempiä käsitellessään henkilötietoja. Tietosuojaa koskeviin tuomioihin ja merkittäviin tapauksiin liittyvä mediahuomio on ollut tässä avainasemassa.

"Olemme luoneet tietosuojalle kultaisen standardin Euroopassa", Raabe-Stuppnig tiivistää. "Ja on ilahduttavaa nähdä, kuinka monet yritykset pyrkivät aktiivisesti paitsi täyttämään tämän standardin myös käyttämään sitä kilpailuetuna."

Mikä tekee tietojen siirrosta Yhdysvaltoihin niin arkaluonteista - ja mikä on EU:n tämänhetkinen oikeudellinen tilanne?

EU:n ja Yhdysvaltojen välinen tietosuojakeskustelu on monimutkainen ja ennen kaikkea oikeudellisesti erittäin dynaaminen. Toisin kuin esimerkiksi Sveitsissä, josta EU:n komissio on tehnyt niin sanotun tietosuojan riittävyyttä koskevan päätöksen, Yhdysvalloissa tilanne oli ja on paljon monimutkaisempi. Tällaisessa päätöksessä todetaan, että henkilötiedot voidaan siirtää kolmanteen maahan, koska tietosuojan taso on siellä verrattavissa EU:n tasoon. Kiinan tai Venäjän kaltaisissa maissa - ja pitkään myös Yhdysvalloissa - tällaista päätöstä ei ollut.

Tietojenkäsittely Yhdysvalloissa - oikeudellinen tasapainoilu

Kun yritykset tekevät yhteistyötä palveluntarjoajien kanssa tietojenkäsittelyä varten esimerkiksi Yhdysvalloissa, niiden on ryhdyttävä ylimääräisiin suojatoimenpiteisiin GDPR:n edellyttämän tietosuojan tason säilyttämiseksi. Tämä tarkoittaa enemmän vaivaa, enemmän auditointivelvoitteita - ja enemmän riskejä.

Käytännön esimerkki: vaikka yhdysvaltalaisille pilvipalveluntarjoajille valittaisiinkin palvelinten sijainti EU:n alueella, ongelma on silti olemassa - esimerkiksi jos eurooppalainen tytäryhtiö on yhdysvaltalaisen emoyhtiön määräysvallassa. Hätätilanteessa Yhdysvaltain viranomaiset, kuten NSA, voisivat vaatia pääsyä tietoihin - jopa sisäisen komentoketjun kautta. Palvelimen sijainti EU:ssa vähentää riskiä, mutta ei poista sitä kokonaan.

Safe Harborista tietosuojapuitteisiin: Katsaus taaksepäin

EU:n ja Yhdysvaltojen välisten tietosuojasopimusten historia on kuin sarja oikeudellisia takaiskuja:

• Safe Harbor oli ensimmäinen sopimus, jolla yhdysvaltalaisille yrityksille asetettiin vapaaehtoisesti tietyt tietosuojanormit. Se kumottiin vuonna 2015 Schrems I -tuomiolla.

• Privacy Shield oli sen seuraaja - tarkistettu versio Safe Harborista. Euroopan yhteisöjen tuomioistuin kuitenkin totesi myös tämän sopimuksen pätemättömäksi Schrems II -tuomiossa vuonna 2020.

• Sen seurauksena tuli voimaan tietosuojapuite, jonka perusteella EU:n komissio teki jälleen kerran Yhdysvaltojen osalta tietosuojan riittävyyttä koskevan päätöksen.

Uusi päätös perustuu kuitenkin jälleen kerran horjuvalle perustalle.

Tämä johtuu siitä, että tietosuojakehys perustuu Yhdysvaltain presidentin toimeenpanomääräykseen - toisin sanoen määräykseen, joka voidaan teoriassa kumota milloin tahansa. Kriitikot epäilevätkin tämän kehyksen vakautta pitkällä aikavälillä. Riittävyyspäätöstä vastaan on jo nostettu kanne Euroopan yhteisöjen tuomioistuimessa - lopputulos on avoin.

Lisäksi Yhdysvaltain vastaava valvontaviranomainen PCLOB ei tällä hetkellä pysty toimimaan, koska entinen presidentti Trump erotti kolme sen viidestä johtajasta. Tuloksena on suuri epävarmuus siitä, kuinka vakaa tietosuojamekanismi Yhdysvalloissa todella on.

Kuinka tärkeä tietosuojapuite on EU:n yrityksille?

Jos suunnittelet pitkällä aikavälillä ja haluat keskittyä tietoturvaan, sinun ei pitäisi luottaa sokeasti tietosuojapuitteeseen. Kuten aiemminkin, oikeudellinen tilanne voi muuttua nopeasti. Tiedonsiirron vaikutustenarviointien kustannukset ovat korkeat, ja rikkomukset voivat johtaa ankariin rangaistuksiin, jotka voivat olla jopa 4 prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta.

Yhdysvaltain pilvipalvelut ovat (vielä) käyttökelpoisia - mutta eivät riskittömiä

Yhdysvaltalaisten palveluntarjoajien pilvipalveluja voidaan tällä hetkellä käyttää **tietosuojasäädösten mukaisesti edellyttäen, että **sopivat suojatoimenpiteet, kuten vakiosopimuslausekkeet ja tekniset turvatoimet, on toteutettu. Jäljelle jää kuitenkin vielä riski. Erityisen ongelmallista on se, että vielä ei ole olemassa jokapäiväiseen käyttöön soveltuvaa päästä päähän -salausta kaikenlaiseen käyttöön - esimerkiksi jatkuvaan tietojenkäsittelyyn ("data in use").

Yhdysvaltalaisten palvelujen käyttö olisi siksi aina arvioitava yksilöllisesti: Kuinka arkaluonteisia tietoja käsitellään? Mitä turvatoimia toteutetaan? Ja missä määrin yritys pystyy tosiasiallisesti lieventämään riskejä?

Mustavalkoisuuden ja realismin välillä: miten yritysten tulisi käsitellä tietosuojaa ja pilvipalvelujen tarjoajia?

Kysymys siitä, pitäisikö yritysten käyttää vain eurooppalaista alkuperää olevia ohjelmistoja ja pilvipalveluja - "kokonaan tai ei lainkaan" - kuulostaa ensi näkemältä selkeältä kannanotolta. Mutta juuri tästä tietosuoja-asiantuntija Katharina Raabe-Stuppnig varoittaa. Tällainen periaate ei ole vain epäkäytännöllinen, vaan sitä on myös vaikea perustella viranomaisille. Sen sijaan jokainen päätös ohjelmistojen tai pilvipalveluiden käytöstä on tehtävä tapauskohtaisesti sen mukaan, kuinka arkaluonteisia käsiteltävät tiedot ovat ja mitä erityisiä suojatoimenpiteitä voidaan toteuttaa.

Älä anna itsellesi väärää turvallisuudentunnetta - edes Privacy Frameworkin avulla

Toinen aihe, joka tällä hetkellä askarruttaa monia yrityksiä: Mitä tapahtuu, jos Euroopan yhteisöjen tuomioistuin kumoaa EU:n ja Yhdysvaltojen välisen uuden tietosuojakehyksen, kuten se on aiemmin tehnyt Safe Harbor- ja Privacy Shield -järjestelyjen kanssa? Vastaus on selvä: syntyisi jälleen kerran valtava oikeudellinen epävarmuus. Juuri tästä syystä Kargl neuvoo jo nyt yrityksiä olemaan luottamatta pelkästään kehykseen ja sopimaan täydentävistä vakiosopimuslausekkeista. Näihin olisi aina sisällytettävä siirtovaikutusten arviointi (TIA) eli riskianalyysi tietojen siirtämisestä kolmansiin maihin.

Asianajaja tekee kuitenkin myös selväksi, että jos tietosuojapuitteet todella kaatuvat ja Yhdysvaltoihin tapahtuvan tietojen siirron oikeasuhteisuus kyseenalaistetaan perusteellisesti, myös TIA:t saavuttavat rajansa. Silloin toivo perustuu täydentäviin teknisiin ja organisatorisiin toimenpiteisiin - ennen kaikkea salaukseen.

Salaus: väitteet ja todellisuus eroavat toisistaan

Tietosuojaviranomaiset ja Euroopan yhteisöjen tuomioistuin vaativat yhdysvaltalaisilta pilvipalveluntarjoajilta selkeää ratkaisua: tietoja olisi säilytettävä vain salatussa muodossa ja avainta olisi hallinnoitava palveluntarjoajan ulkopuolella - mieluiten Euroopassa ja tiedoista vastaavan yrityksen tai eurooppalaisen edunvalvojan valvonnassa. Tämän niin sanotun ** ulkoisen avaimenhallintaratkaisun** tavoitteena on varmistaa, että vaikka Yhdysvaltain viranomaiset, kuten NSA, pääsisivät käsiksi tietoihin, vain salatut eli käyttökelvottomat tiedot voidaan luovuttaa eteenpäin.

Katharina Raabe-Stuppnigin mukaan tällainen salaus voidaan kuitenkin käytännössä toteuttaa vain varmuuskopiointitietojen osalta. Heti kun tietoja käsitellään aktiivisesti jokapäiväisessä elämässä, tarvitaan pääsyä salaamattomaan aineistoon. Juuri tässä piilee ongelma: tekniikkaa, joka mahdollistaa täydellisen tietojenkäsittelyn salatussa tilassa, on tällä hetkellä olemassa vain hyvin rajoitetusti - esimerkiksi yksinkertaisia laskelmia tai arvioita varten tietyissä tilanteissa. Tekniikan taso ei vielä riitä laajamittaiseen käyttöön, jota liike-elämässä tarvitaan.

Euroopan rooli: tietosuojalain tarjoamat mahdollisuudet

Näistä haasteista huolimatta lakimies suhtautuu tulevaisuuteen optimistisesti: EU:n tietosäädös tulee asettamaan tärkeän suunnan. Pilvipalveluntarjoajat velvoitetaan mahdollistamaan monipilvastrategiat eli tukemaan helppoa vaihtamista palveluntarjoajien välillä - ilman suuria vaihtokustannuksia. Tämä on aktiivinen pyrkimys vahvistaa Euroopan suvereniteettia digitaalisella alueella ja luoda pitkällä aikavälillä enemmän vaihtoehtoja yhdysvaltalaisille hyperscalereille.

Kysymykseksi jää, pystyykö Eurooppa toimimaan digitaalisella alueella ajan myötä itsenäisemmin ja turvallisemmin. Raabe-Stuppnig on kuitenkin luottavainen: "Poliittista tahtoa on olemassa, ja kohdennetun tuen ja sääntelyn avulla elinkelpoisia eurooppalaisia vaihtoehtoja voi pian syntyä.

Kolmansien maiden ratkaisuista luopuminen ei ole käytännössä mahdollista eikä oikeudellisesti välttämätöntä. Yritysten on punnittava huolellisesti, kuinka arkaluonteisia niiden tiedot ovat, mitkä kumppanit ovat sopivia - ja mitä erityisiä suojatoimenpiteitä ne voivat toteuttaa. Ne, jotka jo luottavat SCC:hen, TIA:han ja salaukseen, ovat paitsi oikeudellisesti turvassa myös vahvistavat Euroopan asemaa digitaalisessa kilpailussa.