Katharina Raabe-Stuppnig, turinti daugiau nei 15 metų teisininkės patirtį, esanti viena iš duomenų apsaugos patariamosios tarybos įkūrėjų ir aktyviai dalyvaujanti bylose Europos Teisingumo Teisme (kartu su Maxu Schremsu ir Thomasu Lohningeriu), yra viena įtakingiausių Europos duomenų apsaugos teisės atstovių. Savo advokatų kontoroje Vienos Wickenburggasse gatvėje ji pasakoja apie savo profesinį kelią, BDAR iššūkius ir vis didėjantį sudėtingumą, kurį sukelia nauji ES skaitmeniniai įstatymai.
Nuo žiniasklaidos teisės iki duomenų apsaugos: Ekspertas Austrijoje
Katharina Raabe-Stuppnig savo karjerą pradėjo žiniasklaidos teisės srityje. Ji konsultavo leidyklas ir telekomunikacijų bendroves konkurencijos teisės, reklamos ir žiniasklaidos atsakomybės klausimais. Į duomenų apsaugą ji perėjo beveik savaime: “Daugelis klientų kreipdavosi į mane ir sakydavo: Jūs žinote mūsų procesus ir mūsų interesų derinimą – ar galite mums padėti ir duomenų apsaugos srityje?”
Įsigaliojus BDAR, duomenų apsauga tapo dar svarbesniu įmonių realybės centru. Milijoninės baudos dar labiau padidino spaudimą. Įmonėms reikia aiškių koncepcijų – ir remtis esama partneryste. Dėl to duomenų apsaugos teisė iš šalutinės temos virto pagrindiniu jos darbo objektu.
“Mano noras būtų stiprinti Europos ekonomiką pasitelkiant Europos alternatyvas. Skaitmeninė strategija ir Duomenų aktas yra žingsnis teisinga linkme. Vienintelis klausimas: ar tai įvyks laiku?”
Mag. Kathrina Raabe-Stuppnig
Duomenų apsauga kaip pagalbinė priemonė
2018 m. pradėjus taikyti BDAR, teisinės pagalbos poreikis labai išaugo ir išlieka didelis. Taip yra ne tik dėl to, kad reglamente nedaromas skirtumas tarp didelių ir mažų įmonių. Visos jos turi atitikti tuos pačius standartus.
“Veikianti duomenų apsaugos valdymo sistema šiandien yra tikras veiksnys”, – aiškina Raabe-Stuppnig. “Ji leidžia įmonėms apžvelgti sistemas, procesus ir riziką bei sudaro pagrindą optimizavimui ir efektyvumo didinimui.”
Kartu aplinka tampa vis sudėtingesnė: nauji teisės aktai, tokie kaip NIS-2, Kibernetinio atsparumo įstatymas, Dirbtinio intelekto įstatymas ar Duomenų įstatymas, kelia papildomus reikalavimus įmonėms visose pramonės šakose. Tos, kurios jau yra sukūrusios stabilų duomenų apsaugos pagrindą, turi aiškų pranašumą.
Skaitmeninės transformacijos strategijos
Klausimų, su kuriais šiandien įmonės kreipiasi į advokatų kontorą, yra įvairių:
- Kaip NIS-2 veikia mane, jei esu ypatingos svarbos infrastruktūros objektų tiekėjas?
- Kokios politikos reikia AI aktui įgyvendinti?
- Kaip elgtis su naujomis prieigos prie duomenų teisėmis pagal Duomenų įstatymą, nesumažinant iki šiol pasiekto duomenų apsaugos lygio?
Be teisinių vertinimų, vis svarbesni tampa strateginiai klausimai: Kur įmonėje turi būti numatyta atsakomybė? Kaip suderinti atitiktį, kibernetinį saugumą ir inovacijas? Raabe-Stuppnig ir jos komanda padeda įmonėms ne tik įgyvendinti, bet ir nustatyti poziciją naujoje teisinėje sistemoje.
ES ir JAV: skirtingi pagrindiniai požiūriai
Ypač opus klausimas yra trečiųjų šalių programinės įrangos naudojimas, pavyzdžiui, JAV hiperscaleriai. Nors JAV taip pat galioja duomenų apsaugos įstatymai, Raabe-Stuppnig teigė, kad apsauga visų pirma taikoma JAV piliečiams. ES piliečiams šie teisės aktai yra daug silpnesni.
“Problema slypi svorio nustatyme: NSA saugumo interesai dažnai yra svarbesni už ne amerikiečių duomenų apsaugą. ESTT jau du kartus nustatė tokį neproporcingumą ir taip panaikino pagrindinius principus, tokius kaip “Saugus uostas” ir “Privatumo skydas”.”
Informuotumo pokyčiai Europoje nuo 2018 m.
Įsigaliojus BDAR, informuotumas Europoje pastebimai pasikeitė. Šiandien įmonės daug jautriau elgiasi su asmens duomenimis. Žiniasklaidos dėmesys duomenų apsaugos sprendimams ir garsiai nuskambėjusioms byloms suvaidino pagrindinį vaidmenį.
“Sukūrėme auksinį duomenų apsaugos standartą Europoje”, – apibendrina Raabe-Stuppnig. “Džiugu matyti, kiek daug įmonių aktyviai stengiasi ne tik atitikti šį standartą, bet ir pasinaudoti juo kaip konkurenciniu pranašumu.”
Kodėl duomenų perdavimas į JAV yra toks jautrus ir kokia yra dabartinė teisinė padėtis ES?
ES ir JAV diskusija dėl duomenų apsaugos yra sudėtinga ir, svarbiausia, labai dinamiška teisiniu požiūriu. Skirtingai nei su tokiomis šalimis kaip Šveicarija, dėl kurios ES Komisija priėmė vadinamąjį sprendimą dėl tinkamumo, situacija su JAV buvo ir yra daug sudėtingesnė. Tokiame sprendime nurodoma, kad asmens duomenys gali būti perduodami į trečiąją šalį, nes joje duomenų apsaugos lygis yra panašus į ES lygį. Tokiose šalyse kaip Kinija ar Rusija, o ilgą laiką ir JAV, tokio sprendimo nebuvo.
Duomenų tvarkymas JAV – teisinė pusiausvyra
Pavyzdžiui, kai tik įmonės pradeda dirbti su duomenų tvarkymo paslaugų teikėjais JAV, jos turi imtis papildomų apsaugos priemonių, kad išlaikytų BDAR reikalaujamą duomenų apsaugos lygį. Tai reiškia daugiau pastangų, didesnę prievolę tikrinti – ir didesnę riziką.
Praktinis pavyzdys: Net jei JAV debesijos paslaugų teikėjams pasirenkate serverio vietą ES, problema išlieka, pavyzdžiui, jei Europos dukterinė įmonė yra pavaldi JAV patronuojančiai įmonei. Iškilus kritinei situacijai, JAV institucijos, pavyzdžiui, NSA, galėtų reikalauti prieigos prie duomenų, taip pat ir per vidinę pavaldumo grandinę. Jei serveris yra ES, rizika sumažėja, tačiau visiškai nepanaikinama.
Nuo “saugaus uosto” iki duomenų privatumo sistemos: Apžvalga
ES ir JAV duomenų apsaugos susitarimų istorija primena virtinę teisinių nesėkmių:
- “Saugus uostas” buvo pirmasis susitarimas, kuriuo JAV bendrovėms savanoriškai nustatyti tam tikri duomenų apsaugos standartai. Jis buvo panaikintas 2015 m. sprendimu byloje Schrems I.
- Privatumo skydas buvo “saugaus uosto” pakeista versija. Tačiau 2020 m. Europos Teisingumo Teismas sprendimu Schrems II šį susitarimą taip pat pripažino negaliojančiu.
- Todėl įsigaliojo Duomenų privatumo sistema, kuria remdamasi ES Komisija dar kartą priėmė sprendimą dėl JAV tinkamumo.
Tačiau naujasis sprendimas ir vėl remiasi nepatikimais pagrindais.
Taip yra todėl, kad Duomenų privatumo sistema grindžiama JAV prezidento vykdomuoju įsaku, t. y. įsaku, kuris teoriškai gali būti bet kada atšauktas . Todėl kritikai abejoja šios sistemos ilgalaikiu stabilumu. Europos Teisingumo Teismui jau pateiktas ieškinys dėl sprendimo dėl tinkamumo – rezultatas dar neaiškus.
Be to, atsakinga JAV priežiūros institucija PCLOB šiuo metu negali imtis veiksmų, nes buvęs prezidentas D. Trumpas atleido tris iš penkių jos vadovų. Rezultatas: didelis netikrumas dėl to, kiek stabilus iš tikrųjų yra duomenų apsaugos mechanizmas JAV.
Kiek svarbi ES įmonėms yra duomenų privatumo sistema?
Jei planuojate ilgalaikę veiklą ir norite skirti dėmesio duomenų saugumui, neturėtumėte aklai pasikliauti Duomenų privatumo sistema. Teisinė padėtis gali greitai pasikeisti – kaip ir anksčiau. Poveikio duomenų perdavimui vertinimai (TIA) reikalauja daug pastangų, o už pažeidimus gali būti skiriamos griežtos baudos: iki 4 proc. pasaulinių metinių pajamų.
JAV debesijos paslaugomis (vis dar) galima naudotis, bet ne be rizikos
Šiuo metu JAV paslaugų teikėjų debesijos paslaugomis galima naudotis laikantis duomenų apsaugos reglamentų, jei įgyvendinamos tinkamos apsaugos priemonės, pavyzdžiui, standartinės sutarčių sąlygos ir techninės saugumo priemonės. Tačiau išlieka likutinė rizika. Ypač daug problemų kelia tai, kad vis dar nėra kasdieniam naudojimui tinkamo galutinio šifravimo, tinkamo visų rūšių naudojimui, pavyzdžiui, nuolat apdorojant duomenis (“duomenys naudojantis”).
Todėl naudojimasis JAV paslaugomis visada turėtų būti vertinamas individualiai: Kokio jautrumo yra tvarkomi duomenys? Kokių saugumo priemonių imamasi? Ir kokiu mastu įmonė iš tikrųjų gali sušvelninti riziką?
Tarp juodai balto ir realistinio požiūrio: kaip įmonės turėtų elgtis su duomenų apsauga ir debesijos paslaugų teikėjais
Klausimas, ar įmonės turėtų naudoti tik Europos kilmės programinę įrangą ir debesijos paslaugas, t. y. “viskas arba nieko”, iš pradžių skamba aiškiai. Tačiau būtent dėl to perspėja duomenų apsaugos ekspertė Katharina Raabe-Stuppnig. Toks principas ne tik nepraktiškas, bet ir sunkiai pateisinamas valdžios institucijoms. Bet kokį sprendimą naudoti programinę įrangą ar debesijos paslaugas veikiau reikia priimti kiekvienu konkrečiu atveju – priklausomai nuo to, kokie jautrūs yra tvarkomi duomenys ir kokių apsaugos priemonių galima imtis konkrečiai.
Nepasiduokite klaidingam saugumo jausmui – net ir su privatumo sistema
Dar viena tema, kuri šiuo metu aktuali daugeliui įmonių: Kas nutiks, jei Europos Teisingumo Teismas (ETT) panaikins naująją ES ir JAV duomenų privatumo sistemą, kaip anksčiau buvo padaryta su “Saugiuoju uostu” ir “Privatumo skydu”? Atsakymas į šį klausimą aiškus: vėl
Tačiau teisininkas taip pat aiškiai sako: jei Duomenų privatumo sistema iš tikrųjų žlugtų ir taip būtų iš esmės suabejota duomenų perdavimo į JAV proporcingumu, TIA taip pat pasiektų savo ribas. Tuomet viltis dedama į papildomas technines ir organizacines priemones – visų pirma į šifravimą.
Šifravimas: Siekiai ir tikrovė skiriasi
Duomenų apsaugos institucijos ir ESTT reikalauja, kad JAV debesijos paslaugų teikėjai priimtų aiškų sprendimą: duomenys turėtų būti saugomi tik užšifruoti, o raktas turėtų būti valdomas už paslaugų teikėjo ribų – geriausia Europoje ir kontroliuojamas už duomenis atsakingos įmonės arba Europos patikėtinio. Šio vadinamojo “išorinio rakto valdymo” sprendimo tikslas – užtikrinti, kad net ir tuo atveju, jei JAV institucijos, pavyzdžiui, NSA, gautų prieigą, būtų galima perduoti tik užšifruotus, t. y. nenaudojamus, duomenis.
Tačiau, pasak Katharinos Raabe-Stuppnig, praktiškai tokio tipo šifravimą galima taikyti tik atsarginėms duomenų kopijoms. Kai tik duomenys
Europos vaidmuo: Duomenų akto galimybės
Nepaisant šių iššūkių, advokatas optimistiškai žvelgia į ateitį: ES duomenų aktas nustato svarbią kryptį. Debesijos paslaugų teikėjai bus įpareigoti sudaryti sąlygas taikyti kelių debesų kompiuterijos strategijas, t. y. padėti be problemų keisti paslaugų teikėjus – be didelių perėjimo išlaidų. Tai aktyvios pastangos stiprinti Europos suverenumą skaitmeninėje erdvėje ir ilgainiui sukurti daugiau alternatyvų JAV hiperscaleriams.
Lieka klausimas, ar Europa dar spės tai padaryti laiku, kad galėtų savarankiškiau ir saugiau veikti skaitmeninėje erdvėje. Nepaisant to, M. Raabe-Stuppnig yra įsitikinusi: Politinė valia yra, o skiriant tikslingą finansavimą ir reglamentavimą netrukus gali atsirasti gyvybingų Europos alternatyvų.
Visiškas atsisakymas taikyti trečiųjų šalių sprendimus nėra nei praktiškai įgyvendinamas, nei teisiškai privalomas. Įmonės turi atidžiai pasverti, kokie jautrūs yra jų duomenys, kokie partneriai yra tinkami – ir kokias apsaugos priemones jos gali konkrečiai įgyvendinti. Tie, kurie jau remiasi SCC, TIA ir šifravimu, yra ne tik teisiškai saugūs, bet ir sustiprina savo pozicijas Europos skaitmeninėje konkurencijoje.
