S više od 15 godina iskustva kao odvjetnica, svojom ulogom suosnivačice savjetodavnog odbora za zaštitu podataka i aktivnim sudjelovanjem u postupcima pred Europskim sudom pravde – zajedno s Maxom Schremsom i Thomasom Lohningerom – Katharina Raabe-Stuppnig jedna je od najutjecajnijih osoba u europskom pravu zaštite podataka. U svojoj odvjetničkoj tvrtki u Wickenburggasse u Beču govori o svom profesionalnom putu, izazovima GDPR-a i rastućoj složenosti koju donose novi digitalni zakoni EU-a.
Od medijskog prava do zaštite podataka: stručnjak u Austriji
Katharina Raabe-Stuppnig započela je karijeru u medijskom pravu. Savjetovala je izdavačke kuće i telekomunikacijske tvrtke o pravu tržišnog natjecanja, oglašavanju i odgovornosti medija. Most prema zaštiti podataka bio je gotovo automatski: “Mnogi klijenti su mi se obratili i rekli: Znate naše procese i balansiranje interesa – možete li nas također podržati u zaštiti podataka?”
Kada je GDPR stupio na snagu, zaštita podataka pomaknula se više u središte korporativne stvarnosti. Kazne u milijunima povećale su pritisak. Tvrtke trebaju jasne koncepte – i oslanjaju se na postojeća partnerstva. Kao rezultat toga, zakon o zaštiti podataka razvio se iz marginalne teme u središnji fokus njezina rada.
“Moja bi želja bila ojačati europsko gospodarstvo – kroz europske alternative. Digitalna strategija i Zakon o podacima korak su u pravom smjeru. Jedino pitanje je: Hoće li doći na vrijeme?”
Mag. Kathrina Raabe-Stuppnig
Zaštita podataka kao omogućivač
Od uvođenja GDPR-a 2018. godine, potreba za pravnom podrškom znatno je porasla – i ostaje visoka. To nije najmanje zato što propis ne pravi razliku između velikih korporacija i malih tvrtki. Svi moraju zadovoljavati iste standarde.
“Funkcionalan sustav za upravljanje zaštitom podataka danas je pravi pokretač,” objašnjava Raabe-Stuppnig. “Daje tvrtkama pregled sustava, procesa i rizika – te čini osnovu za optimizaciju i povećanje učinkovitosti.”
Istovremeno, okruženje postaje sve složenije: Novi zakoni poput NIS-2, Zakona o kibernetičkoj otpornosti, Zakona o umjetnoj inteligenciji ili Zakona o podacima nameću dodatne zahtjeve tvrtkama – u svim industrijama. Oni koji su već stvorili stabilnu osnovu za zaštitu podataka imaju jasnu prednost.
Strategije digitalne transformacije
Pitanja s kojima se tvrtke danas obraćaju odvjetničkim uredima su brojna:
- Kako NIS-2 utječe na mene ako sam dobavljač kritične infrastrukture?
- Koje politike su mi potrebne za Zakon o umjetnoj inteligenciji?
- Kako da se nosim s novim pravima pristupa podacima prema Zakonu o podacima – a da pritom ne ugrozim razinu zaštite podataka koju sam do sada izgradio?
Osim pravnih procjena, strateška pitanja igraju sve važniju ulogu: Gdje će se u tvrtki smjestiti odgovornosti? Kako usklađujete usklađenost, kibernetičku sigurnost i inovacije? Raabe-Stuppnig i njezin tim podržavaju tvrtke ne samo u provedbi, već i u pozicioniranju unutar novog pravnog okvira.
EU vs. SAD: Različiti osnovni stavovi
Posebno osjetljivo pitanje je korištenje softvera iz trećih zemalja – na primjer od strane američkih hiperskalera. Iako postoje i zakoni o zaštiti podataka u SAD-u, Raabe-Stuppnig je rekla da se zaštita prvenstveno odnosi na američke državljane. Za građane EU-a ti su propisi znatno slabiji.
“Problem leži u ponderiranju: sigurnosni interesi NSA-e često imaju prednost nad zaštitom podataka neamerikanaca. Europski sud pravde već je dvaput utvrdio ovu disproporcionalnost – i time poništio središnja načela poput Safe Harbora i Privacy Shielda.”
Promjena u svijesti u Europi od 2018.
Otkako je GDPR stupio na snazu, svijest u Europi se primjetno promijenila. Danas su tvrtke mnogo osjetljivije kada je riječ o rukovanju osobnim podacima. Medijska pažnja usmjerena na odluke o zaštiti podataka i slučajeve s visokim profilom odigrala je središnju ulogu u tome.
“Stvorili smo zlatni standard u zaštiti podataka u Europi,” sažima Raabe-Stuppnig. “I zadovoljavajuće je vidjeti koliko tvrtki aktivno nastoji ne samo ispuniti taj standard, već ga iskoristiti i kao konkurentsku prednost.”
Što čini prijenos podataka u SAD tako osjetljivim – i kakva je danas pravna situacija u EU?
Rasprava o zaštiti podataka između EU-a i SAD-a je složena – a prije svega vrlo dinamična s pravnog stajališta. Za razliku od zemalja poput Švicarske, za koje je donesena takozvana odluka o adekvatnosti od strane Europske komisije, situacija sa SAD-om bila je i ostala mnogo složenija. Takva odluka navodi da se osobni podaci mogu prenijeti u treću zemlju jer postoji razina zaštite podataka usporediva s onom u EU-u. U zemljama poput Kine ili Rusije – a dugo vremena i u SAD-u – takva odluka nije postojala.
Obrada podataka u SAD-u – pravni balans
Na primjer, čim tvrtke surađuju s pružateljima usluga obrade podataka u SAD-u, moraju poduzeti dodatne zaštitne mjere kako bi održale razinu zaštite podataka propisanu GDPR-om. To znači više truda, više obveze za provjeru – i više rizika.
Praktičan primjer: Čak i ako odaberete lokaciju poslužitelja unutar EU za američke pružatelje oblaka, problem ostaje – na primjer, ako je europska podružnica podređena američkoj matičnoj tvrtki. U hitnim slučajevima, američke vlasti poput NSA-e mogle bi zahtijevati pristup podacima – uključujući i putem internog zapovjednog lanca. Lokacija servera u EU smanjuje rizik, ali ga ne uklanja u potpunosti.
Od Safe Harbora do Okvira za zaštitu privatnosti podataka: Pregled
Povijest sporazuma o zaštiti podataka između EU-a i SAD-a izgleda kao niz pravnih prepreka:
- Safe Harbor bio je prvi sporazum koji je dobrovoljno nametnuo određene standarde zaštite podataka američkim tvrtkama. Presuda je poništena 2015. godine presudom u predmetu Schrems I.
- Privacy Shield bio je nasljednik – revidirana verzija Safe Harbora. No, taj je sporazum također proglašen nevažećim od strane Europskog suda pravde 2020. godine u presudi Schrems II.
- Kao odgovor, na snagu je stupio Okvir za zaštitu privatnosti podataka, na temelju kojeg je Europska komisija ponovno donijela odluku o adekvatnosti za SAD.
Međutim, nova odluka ponovno je na klimavim temeljima
To je zato što se Okvir za privatnost podataka temelji na izvršnoj naredbi američkog predsjednika – tj. naredbi koja se teoretski može opozvati u bilo kojem trenutku. Kritičari stoga sumnjaju u dugoročnu stabilnost ovog okvira. Tužba protiv odluke o adekvatnosti već je podnesena Europskom sudu pravde – ishod je otvoren.
Osim toga, odgovorno američko nadzorno tijelo PCLOB trenutno nije u mogućnosti djelovati jer su tri od njezinih pet menadžera smijenjena od strane bivšeg predsjednika Trumpa. Rezultat: velika neizvjesnost oko toga koliko je mehanizam zaštite podataka u SAD-u zapravo stabilan.
Koliko je važan Okvir za zaštitu privatnosti podataka za tvrtke u EU?
Ako planirate dugoročno i želite se usredotočiti na sigurnost podataka, ne biste se trebali slijepo oslanjati na Okvir za zaštitu privatnosti podataka. Pravna situacija može se brzo promijeniti – kao i ranije. Procjene utjecaja prijenosa podataka (TIA) zahtijevaju mnogo truda, a kršenja mogu rezultirati ozbiljnim kaznama: do 4% globalnih godišnjih prihoda.
Američke cloud usluge su (još uvijek) upotrebljive – ali ne bez rizika
Trenutno se usluge u oblaku američkih pružatelja mogu koristiti u skladu s propisima o zaštiti podataka, pod uvjetom da se provedu odgovarajuće zaštitne mjere poput standardnih ugovornih klauzula i tehničkih sigurnosnih mjera . No, i dalje postoji rezidualni rizik. Posebno je problematično što još uvijek ne postoji end-to-end enkripcija prikladna za svakodnevnu upotrebu u svim vrstama upotrebe – na primjer, u kontinuiranoj obradi podataka (“podaci u upotrebi”).
Stoga se korištenje američkih usluga uvijek treba procjenjivati pojedinačno : Koliko su osjetljivi obrađeni podaci? Koje se sigurnosne mjere poduzimaju? I u kojoj mjeri tvrtka zapravo može ublažiti rizike?
Između crno-bijelog i realizma: Kako bi tvrtke trebale postupati s zaštitom podataka i pružateljima usluga u oblaku
Pitanje trebaju li tvrtke koristiti samo softver i cloud usluge europskog podrijetla – “sve ili ništa” – na prvi pogled zvuči kao jasan stav. No, upravo na to upozorava stručnjakinja za zaštitu podataka Katharina Raabe-Stuppnig. Takvo načelo nije samo nepraktično, već i teško opravdati vlastima. Umjesto toga, svaka odluka o korištenju softvera ili cloud usluga mora se donositi pojedinačno – ovisno o osjetljivosti obrađenih podataka i konkretnim zaštitnim mjerama.
Nemojte se zavaravati lažnim osjećajem sigurnosti – čak ni s Privacy Frameworkom
Još jedna tema koja trenutno okupira mnoge tvrtke: Što se događa ako Europski sud pravde (ESJ) poništi novi Okvir za zaštitu privatnosti podataka između EU-a i SAD-a – kao što su to prije učinili “Safe Harbor” i “Privacy Shield”? Odgovor na to je jasan: ponovno bi nastala velika pravna neizvjesnost . Upravo zato Kargl već savjetuje tvrtkama da se ne oslanjaju isključivo na okvir, već da se dodatno dogovore o standardnim ugovornim klauzulama (SCC ). One bi uvijek trebale uključivati tzv . procjenu utjecaja prijenosa (TIA) – tj. analizu rizika za prijenos podataka u treće zemlje.
No, odvjetnik također jasno ističe: Ako bi Okvir za zaštitu privatnosti podataka zaista pao i time se temeljno dovela u pitanje proporcionalnost prijenosa podataka u SAD, TIA-e bi također dosegle svoje granice. Nada tada počiva na dodatnim tehničkim i organizacijskim mjerama – prije svega enkripciji.
Enkripcija: Težnja i stvarnost se razilaze
Tijela za zaštitu podataka i Europski sud pravde zahtijevaju jasno rješenje od američkih pružatelja usluga u oblaku: podaci bi trebali biti pohranjeni samo u šifriranom obliku, a ključ bi trebao biti upravljan izvan pružatelja – idealno u Europi i pod kontrolom tvrtke koja je odgovorna za podatke ili europskog povjerenika. Cilj ovog takozvanog rješenja za “upravljanje vanjskim ključevima” je osigurati da čak i u slučaju pristupa američkih vlasti poput NSA-e, mogu biti proslijeđeni samo šifrirani, tj. neupotrebljivi podaci.
U praksi, međutim, prema Katharini Raabe-Stuppnig, ova vrsta enkripcije može se zapravo implementirati samo za sigurnosne kopije podataka. Čim se podaci aktivno obrađuju u svakodnevnom životu , potreban je pristup nešifriranom materijalu. Upravo tu leži problem: tehnologija koja omogućuje potpunu obradu podataka u šifriranom stanju trenutno postoji samo u vrlo ograničenoj mjeri – na primjer, za jednostavne izračune ili procjene u specifičnim scenarijima. Stanje tehnologije još nije dovoljno za široku primjenu potrebnu u poslovanju.
Uloga Europe: Prilike kroz Zakon o podacima
Unatoč tim izazovima, odvjetnik je optimističan u pogledu budućnosti: Zakon o podacima EU-a postavlja važan smjer. Cloud pružatelji usluga obvezni su omogućiti multicloud strategije, tj. podržati bezproblemno prebacivanje između pružatelja – bez visokih troškova prebacivanja. Ovo je aktivan napor za jačanje europskog suvereniteta u digitalnom prostoru i stvaranje više alternativa američkim hiperskalerima na dugi rok.
Pitanje ostaje hoće li Europa to uspjeti učiniti na vrijeme da djeluje neovisnije i sigurnije u digitalnom prostoru. Ipak, gospođa Raabe-Stuppnig je uvjerena: politička volja postoji – i uz ciljano financiranje i regulaciju, uskoro bi se mogle pojaviti održive europske alternative.
Opće izuzeće od rješenja trećih zemalja nije ni izvedivo ni zakonski obavezno. Tvrtke moraju pažljivo procijeniti koliko su njihovi podaci osjetljivi, koji su partneri prikladni – i koje zaštitne mjere mogu konkretno primijeniti. Oni koji se već oslanjaju na SCC-ove, TIA-e i enkripciju nisu samo pravno sigurni, već i jačaju svoju europsku poziciju u digitalnoj konkurenciji.
