Adatvédelem Európában - sproof

A médiajogtól az adatvédelemig: szakértő Ausztriában

Katharina Raabe-Stuppnig a médiajogban kezdte pályafutását. Kiadóvállalatoknak és távközlési cégeknek adott tanácsot versenyjogi, reklám- és médiafelelősségi kérdésekben. A híd az adatvédelemhez szinte magától jött: "Sok ügyfél fordult hozzám azzal, hogy: Ismeri a folyamatainkat és az érdekek kiegyensúlyozását - tudna nekünk az adatvédelemben is segíteni?".

Amikor a GDPR hatályba lépett, az adatvédelem még inkább a vállalati valóság középpontjába került. A milliós nagyságrendű bírságok növelték a nyomást. A vállalatoknak világos koncepciókra volt szükségük - és a meglévő partnerségekre támaszkodtak. Ennek eredményeképpen az adatvédelmi jog periférikus kérdésből a tevékenységük középpontjába került.

Az adatvédelem mint elősegítő tényező

A GDPR 2018-as bevezetése óta a jogi támogatás iránti igény óriási mértékben megnövekedett - és továbbra is magas. Ez nem utolsósorban annak köszönhető, hogy a rendelet nem tesz különbséget nagyvállalatok és kisvállalkozások között. Mindenkinek ugyanazoknak az előírásoknak kell megfelelnie.

"Egy működő adatvédelmi irányítási rendszer ma már igazi segítőeszköz" - magyarázza Raabe-Stuppnig. "A vállalatok számára áttekintést nyújt a rendszerekről, a folyamatokról és a kockázatokról - és az optimalizálás és a hatékonyság növelésének alapját képezi"."

Ugyanakkor a környezet egyre összetettebbé válik: az olyan új jogszabályok, mint a NIS-2, a kibertér-ellenálló képességről szóló törvény, a mesterséges intelligenciáról szóló törvény és az adattörvény további követelményeket támasztanak a vállalatokkal szemben - minden iparágban. Azok, akik már stabil adatvédelmi alapokat hoztak létre, most egyértelmű előnyben vannak.

Stratégiák a digitális átalakuláshoz

A kérdések, amelyekkel a vállalatok ma az ügyvédi irodához fordulnak, sokrétűek:

• Hogyan érint engem a NIS-2, ha kritikus infrastruktúrát szállítok?

• Milyen irányelvekre van szükségem a mesterséges intelligenciáról szóló törvényhez?

• Hogyan kezeljem az adattörvény szerinti új adathozzáférési jogokat - anélkül, hogy veszélyeztetném az eddig kiépített adatvédelmi szintemet?

A jogi értékelések mellett egyre fontosabb szerepet játszanak a stratégiai kérdések is: Hová kell a vállalaton belül a felelősségi köröket kijelölni? Hogyan egyeztethető össze a megfelelés, a kiberbiztonság és az innovációs képesség? Raabe-Stuppnig és csapata nemcsak a végrehajtásban, hanem az új jogi kereteken belüli pozicionálásban is támogatja a vállalatokat.

EU vs. USA: eltérő alapvető hozzáállás

A harmadik országokból származó szoftverek használata - például az amerikai hiperskalálók által - különösen érzékeny kérdés. Bár az Egyesült Államokban is vannak adatvédelmi törvények - magyarázza Raabe-Stuppnig -, a védelem elsősorban az amerikai állampolgárokra vonatkozik. Ezek a szabályok az uniós polgárok esetében lényegesen gyengébbek.

"A probléma a súlyozásban rejlik: az NSA biztonsági érdekei gyakran elsőbbséget élveznek a nem amerikaiak adatvédelmével szemben. Az Európai Bíróság már kétszer is megállapította ezt az aránytalanságot - és ezzel olyan központi elveket döntött meg, mint a Safe Harbor és a Privacy Shield."

A tudatosság változása Európában 2018 óta

A tudatosság Európában érezhetően megváltozott a GDPR hatálybalépése óta. A vállalatok sokkal érzékenyebben kezelik a személyes adatokat. Ebben kulcsszerepet játszott az adatvédelmi ítéleteket és kiemelkedő eseteket övező médiafigyelem.

"Az adatvédelem aranyszabályát alkottuk meg Európában" - foglalja össze Raabe-Stuppnig. "És örömteli látni, hogy milyen sok vállalat aktívan törekszik arra, hogy ne csak megfeleljen ennek a szabványnak, hanem versenyelőnyként is használja azt."

Miért olyan érzékeny az USA-ba irányuló adattovábbítás - és mi a jogi helyzet ma az EU-ban?

Az EU és az USA közötti adatvédelmi vita összetett - és mindenekelőtt jogi szempontból rendkívül dinamikus. Az olyan országokkal ellentétben, mint Svájc, amelyre vonatkozóan az EU Bizottsága úgynevezett megfelelőségi határozatot hozott, az USA-ban a helyzet sokkal bonyolultabb volt és ma is az. Egy ilyen határozat kimondja, hogy a személyes adatok továbbíthatók egy harmadik országba, mivel az ottani adatvédelmi szint az uniós adatvédelemhez hasonló. Az olyan országokban, mint Kína vagy Oroszország - és sokáig az USA-ban is - nem volt ilyen határozat.

Adatfeldolgozás az USA-ban - jogi egyensúlyozás

Amint a vállalatok például az USA-ban adatfeldolgozás céljából szolgáltatókkal dolgoznak együtt, további védelmi intézkedéseket kell hozniuk a GDPR által előírt adatvédelmi szint fenntartása érdekében. Ez több erőfeszítést, több ellenőrzési kötelezettséget - és nagyobb kockázatot - jelent.

Egy gyakorlati példa: még akkor is fennáll a probléma, ha az amerikai felhőszolgáltatók esetében az EU-n belüli szerverhelyet választanak, ha például az európai leányvállalat egy amerikai anyavállalat irányítása alatt áll. Vészhelyzetben az amerikai hatóságok, például az NSA követelhetnének hozzáférést az adatokhoz - akár belső parancsnoki láncon keresztül is. Az EU-ban található szerver csökkenti a kockázatot, de nem küszöböli ki teljesen.

A biztonságos kikötőtől az adatvédelmi keretrendszerig: Visszatekintés

Az EU és az USA közötti adatvédelmi megállapodások története jogi kudarcok sorozataként olvasható:

• A Safe Harbor volt az első olyan megállapodás, amely önkéntes alapon bizonyos adatvédelmi normákat írt elő az amerikai vállalatok számára. Ezt 2015-ben a Schrems I. ítélet hatályon kívül helyezte.

• A Privacy Shield volt az utód - a Safe Harbor felülvizsgált változata. Az Európai Bíróság azonban ezt a megállapodást is érvénytelennek nyilvánította a Schrems II ítéletben 2020-ban.

• Erre válaszul hatályba lépett az adatvédelmi keretrendszer, amely alapján az EU Bizottsága ismét megfelelőségi határozatot fogadott el az USA számára.

Az új határozat azonban ismét ingatag alapokon nyugszik.

Az adatvédelmi keretrendszer ugyanis az amerikai elnök végrehajtási rendeletén alapul - más szóval egy olyan rendeleten, amely elméletileg bármikor visszavonható. A kritikusok ezért kétségbe vonják a keret hosszú távú stabilitását. A megfelelőségi határozat ellen már pert indítottak az Európai Bíróságon - az eredmény még nem ismert.

Ráadásul az illetékes amerikai felügyeleti hatóság, a PCLOB jelenleg nem tud eljárni, mert öt igazgatójából hármat Trump volt elnök menesztett. Az eredmény: nagyfokú bizonytalanság, hogy mennyire stabil az adatvédelmi mechanizmus az USA-ban.

Mennyire fontos az adatvédelmi keretrendszer az uniós vállalatok számára?

Ha hosszú távra tervez, és az adatbiztonságra kíván összpontosítani, nem szabad vakon az adatvédelmi keretrendszerre hagyatkoznia. Ahogyan a múltban is, a jogi helyzet gyorsan változhat. Az adattovábbítási hatásvizsgálatok (TIA ) költségei magasak, és a jogsértések súlyos, akár az éves globális forgalom 4%-át is elérő büntetést vonhatnak maguk után.

Az amerikai felhőszolgáltatások (még) használhatóak - de nem kockázatmentesek

Az amerikai szolgáltatók felhőszolgáltatásai jelenleg az **adatvédelmi előírásoknak megfelelően használhatók, feltéve, hogy **megfelelő védelmi intézkedéseket, például szabványos szerződéses záradékokat és műszaki biztonsági intézkedéseket hajtanak végre. De még mindig fennáll egy maradék kockázat. Különösen problematikus, hogy még mindig nincs olyan végponttól végpontig tartó titkosítás, amely minden felhasználási típusra - például a folyamatos adatfeldolgozásra ("használatban lévő adatok") - alkalmas lenne a mindennapi használatra.

Az amerikai szolgáltatások használatát ezért mindig egyedileg kell értékelni: Mennyire érzékenyek a feldolgozott adatok? Milyen biztonsági intézkedéseket tesznek? És milyen mértékben képes a vállalat ténylegesen csökkenteni a kockázatokat?

A fekete-fehér és a realizmus között: hogyan kezeljék a vállalatok az adatvédelmet és a felhőszolgáltatókat?

Az a kérdés, hogy a vállalatok csak európai eredetű szoftvereket és felhőszolgáltatásokat használjanak-e - egy "teljesen vagy egyáltalán nem" - első pillantásra egyértelmű álláspontnak tűnik. Katharina Raabe-Stuppnig adatvédelmi szakértő azonban éppen ettől óva int. Egy ilyen elv nem csak nem praktikus, de a hatóságok felé is nehéz igazolni. Ehelyett minden egyes döntést a szoftverek vagy felhőszolgáltatások használatáról eseti alapon kell meghozni - attól függően, hogy mennyire érzékenyek a feldolgozott adatok, és milyen konkrét védelmi intézkedések hozhatók.

Ne hagyja magát hamis biztonságérzetbe ringatni - még az Adatvédelmi keretrendszerrel sem

Egy másik téma, amely jelenleg sok vállalatot foglalkoztat: Mi történik, ha az Európai Bíróság (EB) felborítja az EU és az USA közötti új adatvédelmi keretrendszert - ahogyan azt korábban a "Safe Harbor" és a "Privacy Shield" esetében tette? A válasz egyértelmű: ismét hatalmas jogbizonytalanság alakulna ki. Éppen ezért Kargl már most azt tanácsolja a vállalatoknak , hogy ne csak a keretrendszerre támaszkodjanak, hanem további szabványos szerződési záradékokban (SCC) állapodjanak meg. Ezeknek minden esetben tartalmazniuk kell egy adattovábbítási hatásvizsgálatot (TIA ), azaz kockázatelemzést a harmadik országokba történő adattovábbításra vonatkozóan.

A jogász azonban azt is világossá teszi, hogy amennyiben az adatvédelmi keretrendszer valóban megbukik, és az USA-ba irányuló adattovábbítás arányossága alapvetően megkérdőjeleződik, a TIA-k is elérnék a határaikat. A remény ekkor a kiegészítő technikai és szervezési intézkedéseken - mindenekelőtt a titkosításon- nyugszik.

Titkosítás: az állítás és a valóság eltér egymástól

Az adatvédelmi hatóságok és az Európai Bíróság egyértelmű megoldást követelnek az amerikai felhőszolgáltatóktól: az adatokat csak titkosított formában szabad tárolni, a kulcsot pedig a szolgáltatón kívül kell kezelni - ideális esetben Európában, az adatokért felelős vállalat vagy egy európai megbízott ellenőrzése alatt. Ennek az úgynevezett "külső kulcskezelési" megoldásnak az a célja, hogy még az amerikai hatóságok, például az NSA hozzáférése esetén is csak titkosított, azaz használhatatlan adatokat lehessen továbbítani.

A gyakorlatban azonban Katharina Raabe-Stuppnig szerint ez a fajta titkosítás csak a biztonsági adatok esetében alkalmazható igazán. Amint az adatokat a mindennapi életben aktívan feldolgozzák, szükség van a titkosítatlan anyagokhoz való hozzáférésre. Pontosan itt van a probléma: az a technológia, amely teljes adatfeldolgozást tesz lehetővé titkosított állapotban, jelenleg csak nagyon korlátozott mértékben létezik - például egyszerű számításokhoz vagy becslésekhez bizonyos forgatókönyvekben. A technika jelenlegi állása még nem elégséges a széles körű használathoz, ahogyan azt az üzleti élet megköveteli.

Európa szerepe: lehetőségek az adatvédelmi törvényen keresztül

A kihívások ellenére a jogász optimistán tekint a jövőbe: az uniós adatvédelmi törvény fontos irányt fog kijelölni. A felhőszolgáltatókat kötelezni fogják arra, hogy lehetővé tegyék a többfelhős stratégiákat, azaz támogassák a szolgáltatók közötti egyszerű váltást - magas váltási költségek nélkül. Ez egy aktív törekvés az európai szuverenitás megerősítésére a digitális térben, és hosszú távon több alternatívát teremt az amerikai hiperszintű szolgáltatókkal szemben.

A kérdés továbbra is az, hogy Európa idővel képes lesz-e függetlenebbül és biztonságosabban fellépni a digitális térben. Raabe-Stuppnig asszony mindazonáltal bizakodó: "A politikai akarat megvan - és célzott támogatással és szabályozással hamarosan életképes európai alternatívák alakulhatnak ki.

A harmadik országbeli megoldásokról való általános lemondás nem kivitelezhető és jogilag sem szükséges. A vállalatoknak gondosan mérlegelniük kell, hogy mennyire érzékenyek az adataik, mely partnerek alkalmasak - és milyen konkrét védelmi intézkedéseket tudnak végrehajtani. Azok, akik már most is az SCC-kre, a TIA-kra és a titkosításra támaszkodnak, nemcsak jogilag vannak biztonságban, hanem Európa pozícióját is erősítik a digitális versenyben.