Több mint 15 éves ügyvédi tapasztalatával, egy adatvédelmi tanácsadó testület társalapítójaként és az Európai Bíróság előtti eljárásokban való aktív részvételével – Max Schremsszel és Thomas Lohningerrel együtt – Katharina Raabe-Stuppnig az európai adatvédelmi jog egyik legbefolyásosabb hangja. A bécsi Wickenburggasse-ban található ügyvédi irodájában beszél szakmai útjáról, a GDPR kihívásairól és az új uniós digitális jogszabályok okozta növekvő komplexitásról.
A médiajogtól az adatvédelemig: Szakértő Ausztriában
Katharina Raabe-Stuppnig a médiajogban kezdte pályafutását. Kiadóvállalatoknak és távközlési cégeknek adott tanácsokat versenyjogi, reklám- és médiafelelősségi kérdésekben. A híd az adatvédelemhez szinte automatikusan átvezetett: “Sok ügyfél fordult hozzám azzal, hogy: Ismeri a folyamatainkat és az érdekek kiegyensúlyozását – tudna nekünk az adatvédelemben is segíteni?”.
A GDPR hatálybalépésével az adatvédelem még inkább a vállalati valóság középpontjába került. A milliós nagyságrendű bírságok növelték a nyomást. A vállalatoknak világos koncepciókra van szükségük – és a meglévő partnerségekre támaszkodnak. Ennek eredményeképpen az adatvédelmi jog marginális témából a munkája középpontjába került.
“Az lenne a kívánságom, hogy erősítsük az európai gazdaságot – európai alternatívák révén. A digitális stratégia és az adattörvény a helyes irányba tett lépés. A kérdés csak az, hogy vajon időben jön-e?”
Mag. Kathrina Raabe-Stuppnig
Az adatvédelem mint elősegítő tényező
A GDPR 2018-as bevezetése óta a jogi támogatás iránti igény óriási mértékben megnövekedett – és továbbra is magas. Ez nem utolsósorban azért van így, mert a rendelet nem tesz különbséget a nagyvállalatok és a kisvállalkozások között. Mindegyiknek ugyanazoknak az előírásoknak kell megfelelnie.
“Egy működő adatvédelmi menedzsmentrendszer ma már valódi eszköz” – magyarázza Raabe-Stuppnig. “A vállalatoknak áttekintést ad a rendszerekről, folyamatokról és kockázatokról – és az optimalizálás és a hatékonyságnövelés alapját képezi.”
Ugyanakkor a környezet egyre összetettebbé válik: az olyan új jogszabályok, mint a NIS-2, a kibertér-ellenálló képességről szóló törvény, a mesterséges intelligenciáról szóló törvény vagy az adattörvény további követelményeket támasztanak a vállalatokkal szemben – minden iparágban. Azok, akik már stabil adatvédelmi alapokat hoztak létre, egyértelmű előnyben vannak.
Digitális átalakulási stratégiák
A kérdések, amelyekkel a vállalatok ma az ügyvédi irodához fordulnak, sokrétűek:
- Hogyan hat rám a NIS-2, ha létfontosságú infrastruktúrát szállítok?
- Milyen irányelvekre van szükségem a mesterséges intelligenciáról szóló törvényhez?
- Hogyan kezeljem az új adathozzáférési jogokat az adatvédelmi törvény szerint – anélkül, hogy veszélyeztetném az eddig felépített adatvédelmi szintet?
A jogi értékelések mellett a stratégiai kérdések is egyre fontosabb szerepet játszanak: Hol kell elhelyezni a felelősséget a vállalaton belül? Hogyan lehet egyensúlyt teremteni a megfelelés, a kiberbiztonság és az innováció között? Raabe-Stuppnig és csapata nemcsak a végrehajtásban, hanem az új jogi kereteken belüli pozicionálásban is támogatja a vállalatokat.
EU vs. USA: eltérő alapvető hozzáállás
Különösen érzékeny kérdés a harmadik országokból származó szoftverek használata – például az amerikai hiperscalerek által. Bár az USA-ban is vannak adatvédelmi törvények, Raabe-Stuppnig szerint a védelem elsősorban az amerikai állampolgárokra vonatkozik. Az uniós polgárok esetében ezek a rendelkezések sokkal gyengébbek.
“A probléma a súlyozásban rejlik: Az NSA biztonsági érdekei gyakran elsőbbséget élveznek a nem amerikaiak adatvédelmével szemben. Az Európai Bíróság már kétszer is megállapította ezt az aránytalanságot – és ezzel olyan központi elveket döntött meg, mint a Safe Harbor és a Privacy Shield.”
A tudatosság változása Európában 2018 óta
A GDPR hatálybalépése óta a tudatosság Európában érezhetően megváltozott. A vállalatok ma már sokkal érzékenyebben kezelik a személyes adatokat. Ebben központi szerepet játszott az adatvédelmi határozatok és a nagy visszhangot kiváltó ügyek körüli médiafigyelem.
“Az európai adatvédelemben aranyszabályt hoztunk létre” – összegez Raabe-Stuppnig. “És örömteli látni, hogy milyen sok vállalat aktívan törekszik arra, hogy ne csak megfeleljen ennek a szabványnak, hanem versenyelőnyként is használja azt.”
Miért olyan érzékeny az USA-ba irányuló adattovábbítás – és mi a jogi helyzet ma az EU-ban?
Az EU és az USA közötti adatvédelmi vita összetett – és mindenekelőtt jogi szempontból rendkívül dinamikus -. Az olyan országokkal ellentétben, mint például Svájc, amelyre vonatkozóan az EU Bizottság úgynevezett megfelelőségi határozatot hozott, az USA-val a helyzet sokkal bonyolultabb volt és ma is az. Egy ilyen határozat kimondja, hogy a személyes adatok továbbíthatók egy harmadik országba, mivel ott az adatvédelem szintje az uniós adatvédelemhez hasonló. Az olyan országokban, mint Kína vagy Oroszország – és sokáig az USA-ban is – hiányzott egy ilyen határozat.
Adatfeldolgozás az USA-ban – jogi egyensúlyozás
Amint például a vállalatok adatfeldolgozó szolgáltatókkal dolgoznak az Egyesült Államokban, további védelmi intézkedéseket kell hozniuk a GDPR által megkövetelt adatvédelmi szint fenntartása érdekében. Ez több erőfeszítést, több ellenőrzési kötelezettséget – és több kockázatot – jelent.
Egy gyakorlati példa: Még akkor is fennáll a probléma, ha az amerikai felhőszolgáltatók esetében az EU-n belüli szerverhelyet választunk, például ha az európai leányvállalat egy amerikai anyavállalatnak van alárendelve. Vészhelyzetben az amerikai hatóságok, például az NSA követelhetnének hozzáférést az adatokhoz – akár egy belső parancsnoki láncon keresztül is. Az EU-ban található szerver csökkenti a kockázatot, de nem küszöböli ki teljesen.
A biztonságos kikötőtől az adatvédelmi keretrendszerig: Visszatekintés
Az EU és az Egyesült Államok közötti adatvédelmi megállapodások története jogi kudarcok sorozata:
- A biztonságos kikötő volt az első olyan megállapodás, amely önkéntesen bizonyos adatvédelmi normákat írt elő az amerikai vállalatok számára. Ezt 2015-ben a Schrems I. ítélet hatályon kívül helyezte.
- A Privacy Shield volt az utód – a Safe Harbor felülvizsgált változata. Az Európai Bíróság azonban 2020-ban ezt a megállapodást is érvénytelennek nyilvánította a Schrems II. ügyben hozott ítéletében.
- Erre válaszul hatályba lépett az adatvédelmi keretszabályozás, amely alapján az EU Bizottsága ismét megfelelőségi határozatot fogadott el az Egyesült Államokra vonatkozóan.
Az új határozat azonban ismét ingatag alapokon nyugszik.
Ennek oka, hogy az adatvédelmi keretrendszer az amerikai elnök végrehajtási rendeletén alapul – azaz olyan rendeleten, amely elméletileg bármikor visszavonható . A kritikusok ezért kétségbe vonják a keret hosszú távú stabilitását. A megfelelőségi határozat ellen már pert indítottak az Európai Bíróságon – az eredmény még nem ismert.
Ráadásul az illetékes amerikai felügyeleti hatóság, a PCLOB jelenleg nem tud eljárni, mert öt vezetőjéből hármat Trump exelnök menesztett. Az eredmény: nagyfokú bizonytalanság, hogy mennyire stabil az adatvédelmi mechanizmus az USA-ban.
Mennyire fontos az adatvédelmi keretrendszer az uniós vállalatok számára?
Ha hosszú távra tervez, és az adatbiztonságra kíván összpontosítani, nem szabad vakon az adatvédelmi keretrendszerre hagyatkoznia. A jogi helyzet gyorsan változhat – ahogyan a múltban is. Az adattovábbítási hatásvizsgálatok (TIA) sok erőfeszítést igényelnek, és a jogsértések súlyos büntetéseket vonhatnak maguk után: akár a globális éves bevétel 4%-át is elérhetik .
Az amerikai felhőszolgáltatások (még) használhatóak – de nem kockázatmentesek
Jelenleg az amerikai szolgáltatók felhőszolgáltatásai az adatvédelmi szabályoknak megfelelően használhatók, feltéve, hogy megfelelő védelmi intézkedéseket, például szabványos szerződési záradékokat és technikai biztonsági intézkedéseket hajtanak végre. Marad azonban egy fennmaradó kockázat. Különösen problematikus, hogy még mindig nincs olyan végponttól végpontig terjedő titkosítás, amely a mindennapi használatra alkalmas lenne minden felhasználási típusra – például a folyamatban lévő adatfeldolgozásra (“használatban lévő adatok”).
Az amerikai szolgáltatások igénybevételét ezért mindig egyedileg kell értékelni: Mennyire érzékenyek a feldolgozott adatok? Milyen biztonsági intézkedéseket tesznek? És milyen mértékben képes a vállalat ténylegesen tompítani a kockázatokat?
A fekete-fehér és a realizmus között: Hogyan kezeljék a vállalatok az adatvédelmet és a felhőszolgáltatókat?
Az a kérdés, hogy a vállalatok csak európai eredetű szoftvereket és felhőszolgáltatásokat használjanak-e – “mindent vagy semmit” -, elsőre egyértelmű álláspontnak tűnik. Katharina Raabe-Stuppnig adatvédelmi szakértő azonban éppen ettől óva int. Egy ilyen elv nem csak nem praktikus, de a hatóságok előtt is nehezen indokolható. Inkább minden egyes szoftver vagy felhőszolgáltatás használatáról szóló döntést eseti alapon kell meghozni – attól függően, hogy a feldolgozott adatok mennyire érzékenyek, és milyen védelmi intézkedések hozhatók konkrétan.
Ne hagyja magát hamis biztonságérzetbe ringatni – még az Adatvédelmi keretrendszerrel sem
Egy másik téma, amely jelenleg sok vállalatot foglalkoztat: Mi történik, ha az Európai Bíróság (EB) felborítja az EU és az USA közötti új adatvédelmi keretrendszert – mint korábban a “Safe Harbor” és a “Privacy Shield”? A válasz erre egyértelmű: ismét hatalmas jogbizonytalanság keletkezne. Éppen ezért Kargl már most azt tanácsolja a vállalatoknak , hogy ne hagyatkozzanak kizárólag a keretrendszerre, hanem ezen felül állapodjanak meg szabványos szerződéses záradékokban (SCC). Ezeknek mindig tartalmazniuk kell egy úgynevezett adattovábbítási hatásvizsgálatot (TIA), azaz a harmadik országokba történő adattovábbítás kockázatelemzését.
Az ügyvéd azonban azt is világossá teszi: ha az adatvédelmi keretrendszer valóban megbukna, és így az USA-ba irányuló adattovábbítás arányossága alapvetően megkérdőjeleződne, akkor a TIA-k is elérnék a határaikat. A remény ekkor a kiegészítő technikai és szervezési intézkedéseken – mindenekelőtt a titkosításon– nyugszik.
Titkosítás: A törekvés és a valóság eltér egymástól
Az adatvédelmi hatóságok és az Európai Bíróság egyértelmű megoldást követelnek az amerikai felhőszolgáltatóktól: az adatokat csak titkosított formában szabad tárolni, és a kulcsot a szolgáltatón kívül kell kezelni – ideális esetben Európában, az adatfelelős vállalat vagy egy európai megbízott ellenőrzése alatt. Ennek az úgynevezett “külső kulcskezelési” megoldásnak az a célja , hogy még az amerikai hatóságok, például az NSA hozzáférése esetén is csak titkosított, azaz használhatatlan adatokat lehessen továbbítani.
Katharina Raabe-Stuppnig szerint azonban a gyakorlatban ez a fajta titkosítás csak a biztonsági adatok esetében alkalmazható. Amint az adatokat a mindennapi életben aktívan feldolgozzák , a titkosítatlan anyaghoz való hozzáférés szükséges. Pontosan ez az a pont, ahol a probléma rejlik: A technológia, amely lehetővé teszi a teljes adatfeldolgozást titkosított állapotban, jelenleg csak nagyon korlátozott mértékben létezik – például egyszerű számításokhoz vagy becslésekhez bizonyos forgatókönyvekben. A technika jelenlegi állása még nem elegendő az üzleti életben szükséges széles körű használat hoz.
Európa szerepe: Lehetőségek az adatvédelmi törvény révén
A kihívások ellenére az ügyvéd optimistán tekint a jövőbe: Az uniós adatvédelmi törvény fontos irányt mutat. A felhőszolgáltatókat kötelezni fogják arra, hogy lehetővé tegyék a többfelhős stratégiákat, azaz támogassák a szolgáltatók közötti problémamentes váltást – magas váltási költségek nélkül. Ez egy aktív törekvés az európai szuverenitás megerősítésére a digitális térben, és hosszú távon több alternatívát teremt az amerikai hiperszintű szolgáltatókkal szemben.
Kérdés, hogy Európa képes lesz-e még időben megtenni ezt, hogy függetlenebbül és biztonságosabban tudjon fellépni a digitális térben. Raabe-Stuppnig asszony mindazonáltal bizakodó: A politikai akarat megvan, és célzott finanszírozással és szabályozással hamarosan életképes európai alternatívák alakulhatnak ki.
A harmadik országbeli megoldásokról való általános lemondás nem megvalósítható és jogilag sem szükséges. A vállalatoknak gondosan mérlegelniük kell, hogy mennyire érzékenyek az adataik, mely partnerek alkalmasak – és milyen védelmi intézkedéseket tudnak konkrétan végrehajtani. Azok, akik már most is az SCC-kre, a TIA-kra és a titkosításra támaszkodnak, nemcsak jogilag vannak biztonságban, hanem megerősítik európai pozíciójukat a digitális versenyben.
