Adatvédelem Európában - sproof

Katharina Raabe-Stuppnig a médiajogban kezdte pályafutását. Kiadóvállalatoknak és távközlési cégeknek adott tanácsot versenyjogi, reklám- és médiafelelősségi kérdésekben. Az adatvédelemhez szinte magától jött az átjárás: "Sok ügyfél fordult hozzám azzal, hogy: Ismeri a folyamatainkat és az érdekek kiegyensúlyozását - tudna nekünk az adatvédelemben is segíteni?".

Amikor a GDPR hatályba lépett, az adatvédelem még inkább a vállalati valóság középpontjába került. A milliós nagyságrendű bírságok növelték a nyomást. A vállalatoknak világos koncepciókra volt szükségük - és a meglévő partnerségekre támaszkodtak. Ennek eredményeképpen az adatvédelmi jog periférikus kérdésből a tevékenységük középpontjába került.

A GDPR 2018-as bevezetése óta a jogi támogatás iránti igény óriási mértékben megnövekedett - és továbbra is magas. Ez nem utolsósorban annak köszönhető, hogy a rendelet nem tesz különbséget nagyvállalatok és kisvállalkozások között. Mindenkinek ugyanazoknak az előírásoknak kell megfelelnie.

"Egy működő adatvédelmi irányítási rendszer ma már igazi segítőeszköz" - magyarázza Raabe-Stuppnig. "A vállalatok számára áttekintést nyújt a rendszerekről, a folyamatokról és a kockázatokról - és az optimalizálás és a hatékonyság növelésének alapját képezi"."

Ugyanakkor a környezet egyre összetettebbé válik: az olyan új jogszabályok, mint a NIS-2, a kibertér-ellenálló képességről szóló törvény, a mesterséges intelligenciáról szóló törvény és az adattörvény további követelményeket támasztanak a vállalatokkal szemben - minden iparágban. Azok, akik már stabil adatvédelmi alapokat hoztak létre, most egyértelmű előnyben vannak.

A kérdések, amelyekkel a vállalatok ma az ügyvédi irodához fordulnak, sokrétűek:

• Hogyan hat rám a NIS-2, ha kritikus infrastruktúrát szállítok?

• Milyen irányelvekre van szükségem a mesterséges intelligenciáról szóló törvényhez?

• Hogyan kezeljem az adattörvény szerinti új adathozzáférési jogokat - anélkül, hogy veszélyeztetném az eddig felépített adatvédelmi szintet?

A jogi értékelések mellett egyre fontosabb szerepet játszanak a stratégiai kérdések is: Hová kell a vállalaton belül a felelősségi köröket kijelölni? Hogyan egyeztethető össze a megfelelés, a kiberbiztonság és az innovációs képesség? Raabe-Stuppnig és csapata nemcsak a végrehajtásban, hanem az új jogi kereteken belüli pozicionálásban is támogatja a vállalatokat.

A harmadik országokból származó szoftverek használata - például az amerikai hiperskalálók által - különösen érzékeny kérdés. Bár az Egyesült Államokban is vannak adatvédelmi törvények - magyarázza Raabe-Stuppnig -, a védelem elsősorban az amerikai állampolgárokra vonatkozik. Ezek a szabályok az uniós polgárok esetében lényegesen gyengébbek.

"A probléma a súlyozásban rejlik: az NSA biztonsági érdekei gyakran elsőbbséget élveznek a nem amerikaiak adatvédelmével szemben. Az Európai Bíróság már kétszer is megállapította ezt az aránytalanságot - és ezzel olyan központi elveket döntött meg, mint a Safe Harbor és a Privacy Shield".

A GDPR hatálybalépése óta a tudatosság Európában érezhetően megváltozott. A vállalatok sokkal érzékenyebben kezelik a személyes adatokat. Ebben kulcsszerepet játszott az adatvédelmi ítéleteket és kiemelkedő eseteket övező médiafigyelem.

"Az adatvédelem aranyszabályát alkottuk meg Európában" - foglalja össze Raabe-Stuppnig. "És örömteli látni, hogy milyen sok vállalat aktívan törekszik arra, hogy ne csak megfeleljen ennek a szabványnak, hanem versenyelőnyként is használja azt."

Az EU és az Egyesült Államok közötti adatvédelmi vita összetett - és mindenekelőtt jogi szempontból rendkívül dinamikus. Az olyan országokkal ellentétben, mint Svájc, amelyek esetében az EU Bizottsága úgynevezett megfelelőségi határozatot hozott, az USA-val a helyzet sokkal bonyolultabb volt és az is maradt. Egy ilyen határozat kimondja, hogy a személyes adatok továbbíthatók egy harmadik országba, mivel az ottani adatvédelmi szint az uniós adatvédelemhez hasonló. Az olyan országokban, mint Kína vagy Oroszország - és sokáig az USA-ban is - nem volt ilyen határozat.

Amint a vállalatok például az Egyesült Államokban működő szolgáltatókkal dolgoznak együtt az adatfeldolgozásban, további védelmi intézkedéseket kell hozniuk a GDPR által megkövetelt adatvédelmi szint fenntartása érdekében. Ez több erőfeszítést, több kötelező ellenőrzést - és több kockázatot - jelent.

Egy gyakorlati példa: még akkor is fennáll a probléma, ha az amerikai felhőszolgáltatók esetében az EU-n belüli szerverhelyet választanak, ha például az európai leányvállalat egy amerikai anyavállalat irányítása alatt áll. Vészhelyzetben az amerikai hatóságok, például az NSA követelhetnének hozzáférést az adatokhoz - akár egy belső parancsnoki láncon keresztül is. Az EU-ban található szerver csökkenti a kockázatot, de nem küszöböli ki teljesen.

Az EU és az USA közötti adatvédelmi megállapodások története jogi kudarcok sorozataként olvasható:

• A Safe Harbor volt az első olyan megállapodás, amely önkéntes alapon bizonyos adatvédelmi normákat írt elő az amerikai vállalatok számára. Ezt 2015-ben a Schrems I. ítélet hatályon kívül helyezte.

• A Privacy Shield volt az utód - a Safe Harbor felülvizsgált változata. Az Európai Bíróság azonban ezt a megállapodást is érvénytelennek nyilvánította a Schrems II. ítéletben 2020-ban.

• Erre válaszul hatályba lépett az adatvédelmi keretrendszer, amely alapján az EU Bizottsága ismét megfelelőségi határozatot fogadott el az USA számára.

Ennek oka, hogy az adatvédelmi keretrendszer az amerikai elnök végrehajtási rendeletén alapul - egy olyan rendeleten, amely elméletileg bármikor visszavonható. A kritikusok ezért kétségbe vonják a keret hosszú távú stabilitását. A megfelelőségi határozat ellen már pert indítottak az Európai Bíróságon - a per kimenetele bizonytalan.

Ráadásul az illetékes amerikai felügyeleti hatóság, a PCLOB jelenleg nem tud eljárni, mert öt igazgatójából hármat Trump korábbi elnök menesztett. Az eredmény: nagyfokú bizonytalanság, hogy mennyire stabil az adatvédelmi mechanizmus az USA-ban.

Ha hosszú távra tervez, és az adatbiztonságra kíván összpontosítani, nem szabad vakon az adatvédelmi keretrendszerre hagyatkoznia. Ahogyan a múltban is, a jogi helyzet gyorsan változhat. Az adattovábbítási hatásvizsgálatok (TIA ) költségei magasak, és a jogsértések súlyos, akár az éves globális forgalom 4%-át is elérő büntetést vonhatnak maguk után.

Az amerikai szolgáltatók felhőszolgáltatásai jelenleg az **adatvédelmi szabályoknak megfelelően használhatók, feltéve, hogy **megfelelő védelmi intézkedéseket, például szabványos szerződéses záradékokat és műszaki biztonsági intézkedéseket hajtanak végre. De még mindig fennáll egy fennmaradó kockázat. Különösen problematikus, hogy még mindig nincs olyan végponttól-végpontig tartó titkosítás, amely minden felhasználási típusra - például az adatok folyamatos feldolgozására ("használatban lévő adatok") - alkalmas lenne a mindennapi használatra.

Az amerikai szolgáltatások használatát ezért mindig egyedileg kell értékelni: Mennyire érzékenyek a feldolgozott adatok? Milyen biztonsági intézkedéseket tesznek? És milyen mértékben képes a vállalat ténylegesen csökkenteni a kockázatokat?

Az a kérdés, hogy a vállalatoknak csak európai eredetű szoftvereket és felhőszolgáltatásokat kellene-e használniuk - a "teljesen vagy egyáltalán nem" - első pillantásra egyértelmű álláspontnak tűnik. Katharina Raabe-Stuppnig adatvédelmi szakértő azonban éppen ettől óva int. Egy ilyen elv nem csak nem praktikus, de a hatóságok felé is nehéz igazolni. Ehelyett minden egyes döntést a szoftverek vagy felhőszolgáltatások használatáról eseti alapon kell meghozni - attól függően, hogy mennyire érzékenyek a feldolgozott adatok, és milyen konkrét védelmi intézkedések hozhatók.

Egy másik téma, amely jelenleg sok vállalatot foglalkoztat: Mi történik, ha az Európai Bíróság (EB) felborítja az EU és az USA közötti új adatvédelmi keretrendszert - ahogyan korábban a "Safe Harbor" és a "Privacy Shield" esetében tette? A válasz egyértelmű: ismét hatalmas jogbizonytalanság alakulna ki. Éppen ezért Kargl már most azt tanácsolja a vállalatoknak , hogy ne csak a keretrendszerre támaszkodjanak, hanem további szabványos szerződési záradékokban (SCC) állapodjanak meg. Ezeknek minden esetben tartalmazniuk kell egy adattovábbítási hatásvizsgálatot (TIA ), azaz kockázatelemzést a harmadik országokba történő adattovábbításra vonatkozóan.

A jogász azonban azt is világossá teszi, hogy amennyiben az adatvédelmi keretrendszer valóban megbukik, és az USA-ba irányuló adattovábbítás arányossága alapvetően megkérdőjeleződik, a TIA-k is elérnék a határaikat. A remény ekkor a kiegészítő technikai és szervezési intézkedéseken - mindenekelőtt a titkosításon- nyugszik.

Az adatvédelmi hatóságok és az Európai Bíróság egyértelmű megoldást követelnek az amerikai felhőszolgáltatóktól: az adatokat csak titkosított formában szabad tárolni, és a kulcsot a szolgáltatón kívül kell kezelni - ideális esetben Európában, az adatokért felelős vállalat vagy egy európai megbízott ellenőrzése alatt. Ennek az úgynevezett "külső kulcskezelési" megoldásnak az a célja, hogy még az amerikai hatóságok, például az NSA hozzáférése esetén is csak titkosított, azaz használhatatlan adatokat lehessen továbbítani.

A gyakorlatban azonban Katharina Raabe-Stuppnig szerint ez a fajta titkosítás csak a biztonsági adatok esetében alkalmazható igazán. Amint az adatokat a mindennapi életben aktívan feldolgozzák, szükség van a titkosítatlan anyagokhoz való hozzáférésre. Pontosan itt van a probléma: az a technológia, amely teljes adatfeldolgozást tesz lehetővé titkosított állapotban, jelenleg csak nagyon korlátozott mértékben létezik - például egyszerű számításokhoz vagy becslésekhez bizonyos forgatókönyvekben. A technika jelenlegi állása még nem elégséges a széles körű használathoz, ahogyan azt az üzleti élet megköveteli.

E kihívások ellenére a jogász optimistán tekint a jövőbe: az uniós adatvédelmi törvény fontos irányt fog kijelölni. A felhőszolgáltatókat kötelezni fogják arra, hogy lehetővé tegyék a többfelhős stratégiákat, azaz támogassák a szolgáltatók közötti egyszerű váltást - magas váltási költségek nélkül. Ez egy aktív törekvés az európai szuverenitás megerősítésére a digitális térben, és hosszú távon több alternatívát teremt az amerikai hiperszintű szolgáltatókkal szemben.

A kérdés továbbra is az, hogy Európa idővel képes lesz-e függetlenebbül és biztonságosabban fellépni a digitális térben. Raabe-Stuppnig asszony mindazonáltal bizakodó: "A politikai akarat megvan - és célzott támogatással és szabályozással hamarosan életképes európai alternatívák alakulhatnak ki.

A harmadik országbeli megoldásokról való általános lemondás nem kivitelezhető és jogilag sem szükséges. A vállalatoknak gondosan mérlegelniük kell, hogy mennyire érzékenyek az adataik, mely partnerek alkalmasak - és milyen konkrét védelmi intézkedéseket tudnak végrehajtani. Azok, akik már most is az SCC-kre, a TIA-kra és a titkosításra támaszkodnak, nemcsak jogilag vannak biztonságban, hanem Európa pozícióját is erősítik a digitális versenyben.