Duomenų apsauga Europoje - sproof

Katharina Raabe-Stuppnig savo karjerą pradėjo žiniasklaidos teisės srityje. Ji konsultavo leidyklas ir telekomunikacijų bendroves konkurencijos teisės, reklamos ir žiniasklaidos atsakomybės klausimais. Į duomenų apsaugą ji perėjo beveik savaime: "Daugelis klientų kreipėsi į mane ir sakė: "Aš norėjau, kad jie dirbtų su šiomis paslaugomis: Jūs išmanote mūsų procesus ir mūsų interesų derinimą - ar galite mums padėti ir duomenų apsaugos srityje?"

Įsigaliojus BDAR, duomenų apsauga dar labiau persikėlė į įmonių realybės centrą. Milijoninės baudos padidino spaudimą. Įmonėms reikėjo aiškių sąvokų - ir jos rėmėsi esama partneryste. Dėl to duomenų apsaugos teisė iš periferinio klausimo virto pagrindiniu jų veiklos objektu.

2018 m. pradėjus taikyti BDAR, teisinės pagalbos poreikis labai išaugo ir išlieka didelis. Taip yra ne tik dėl to, kad reglamente nedaromas skirtumas tarp didelių ir mažų įmonių. Visi turi atitikti tuos pačius standartus.

"Veikianti duomenų apsaugos valdymo sistema šiandien yra tikra pagalbinė priemonė", - aiškina Raabe-Stuppnig. "Ji suteikia įmonėms galimybę apžvelgti sistemas, procesus ir rizikas - ir yra optimizavimo bei didesnio efektyvumo pagrindas."

Kartu aplinka tampa vis sudėtingesnė: nauji teisės aktai, tokie kaip NIS-2, Kibernetinio atsparumo įstatymas, Įstatymas dėl dirbtinio intelekto ir Duomenų įstatymas, kelia papildomus reikalavimus įmonėms - visose pramonės šakose. Tos, kurios jau sukūrė stabilų duomenų apsaugos pagrindą, dabar turi aiškų pranašumą.

Šiandien įmonės į advokatų kontorą kreipiasi įvairiais klausimais:

• Kaip NIS-2 veikia mane, jei esu ypatingos svarbos infrastruktūros objektų tiekėjas?

• Kokios politikos man reikia pagal dirbtinio intelekto įstatymą?

• Kaip elgtis su naujomis prieigos prie duomenų teisėmis pagal Duomenų įstatymą - nepakenkiant iki šiol pasiektam duomenų apsaugos lygiui?

Be teisinių vertinimų, vis svarbesnis vaidmuo tenka strateginiams klausimams: Kur bendrovėje turėtų būti paskirstyta atsakomybė? Kaip suderinti atitiktį, kibernetinį saugumą ir gebėjimą diegti naujoves? Raabe-Stuppnig ir jos komanda padeda įmonėms ne tik įgyvendinti, bet ir įsitvirtinti naujoje teisinėje sistemoje.

Ypač opus klausimas yra programinės įrangos iš trečiųjų šalių naudojimas, pavyzdžiui, JAV hiperscaleriuose. Nors JAV taip pat galioja duomenų apsaugos įstatymai, Raabe-Stuppnig aiškina, kad apsauga visų pirma taikoma JAV piliečiams. ES piliečiams šie teisės aktai yra gerokai silpnesni.

"Problema slypi svarstyklėse: NSA saugumo interesai dažnai yra svarbesni už ne amerikiečių duomenų apsaugą. ESTT jau du kartus nustatė šį neproporcingumą - ir taip panaikino pagrindinius principus, pavyzdžiui, "Saugaus uosto" ir "Privatumo skydo"."

Įsigaliojus BDAR, informuotumas Europoje pastebimai pasikeitė. Dabar įmonės daug jautriau elgiasi su asmens duomenimis. Tam didelę reikšmę turėjo žiniasklaidos dėmesys duomenų apsaugos sprendimams ir svarbioms byloms.

"Sukūrėme auksinį duomenų apsaugos standartą Europoje", - apibendrina Raabe-Stuppnig. "Džiugu matyti, kiek daug įmonių aktyviai stengiasi ne tik atitikti šį standartą, bet ir pasinaudoti juo kaip konkurenciniu pranašumu."

ES ir JAV diskusijos dėl duomenų apsaugos yra sudėtingos ir, svarbiausia, labai dinamiškos teisiniu požiūriu. Skirtingai nuo tokių šalių kaip Šveicarija, dėl kurių ES Komisija yra priėmusi vadinamąjį sprendimą dėl tinkamumo, situacija su JAV buvo ir yra daug sudėtingesnė. Tokiame sprendime teigiama, kad asmens duomenys gali būti perduodami į trečiąją šalį, nes duomenų apsaugos lygis joje yra panašus į ES lygį. Tokiose šalyse, kaip Kinija ar Rusija, o ilgą laiką ir JAV, tokio sprendimo nebuvo.

Kai tik įmonės bendradarbiauja su paslaugų teikėjais dėl duomenų tvarkymo, pavyzdžiui, JAV, jos turi imtis papildomų apsaugos priemonių, kad išlaikytų BDAR reikalaujamą duomenų apsaugos lygį. Tai reiškia daugiau pastangų, daugiau privalomų patikrinimų - ir didesnę riziką.

Praktinis pavyzdys: net jei JAV debesijos paslaugų teikėjams pasirenkate serverio vietą ES, problema vis tiek išlieka, pavyzdžiui, jei Europos patronuojamoji įmonė yra kontroliuojama JAV patronuojančiosios įmonės. Iškilus kritinei situacijai, JAV institucijos, pavyzdžiui, NSA, galėtų pareikalauti prieigos prie duomenų - net ir per vidinę pavaldumo grandinę. Jei serveris yra ES, rizika sumažėja, tačiau visiškai nepanaikinama.

ES ir JAV duomenų apsaugos susitarimų istorija primena daugybę teisinių nesėkmių:

• "Saugus uostas" buvo pirmasis susitarimas, kuriuo JAV bendrovėms savanoriškai nustatyti tam tikri duomenų apsaugos standartai. Jis buvo panaikintas 2015 m. priėmus sprendimą byloje Schrems I.

• Privatumo skydas buvo jo tęsinys - peržiūrėta "saugaus uosto" versija. Tačiau šį susitarimą Europos Teisingumo Teismas 2020 m. sprendimu Schrems II taip pat pripažino negaliojančiu.

• Reaguojant į tai, įsigaliojo Duomenų privatumo sistema, kuria remdamasi ES Komisija dar kartą priėmė sprendimą dėl JAV tinkamumo.

Taip yra todėl, kad Duomenų privatumo sistema yra pagrįsta JAV prezidento įsaku, kuris teoriškai gali būti bet kada atšauktas. Todėl kritikai abejoja šios sistemos ilgalaikiu stabilumu. Europos Teisingumo Teismui jau pateiktas ieškinys dėl sprendimo dėl tinkamumo - jo rezultatas neaiškus.

Be to, atsakinga JAV priežiūros institucija - PCLOB- šiuo metu negali veikti, nes buvęs prezidentas D. Trumpas atleido tris iš penkių jos direktorių. Rezultatas: didelis netikrumas dėl to, kiek stabilus iš tikrųjų yra duomenų apsaugos mechanizmas JAV.

Jei planuojate ilgam laikui ir norite sutelkti dėmesį į duomenų saugumą, neturėtumėte aklai pasikliauti Duomenų privatumo sistema. Kaip ir anksčiau, teisinė padėtis gali greitai pasikeisti. Poveikio duomenų perdavimui vertinimų (PDV ) kaina yra didelė, o už pažeidimus gali būti taikomos griežtos baudos, siekiančios iki 4 proc. metinės pasaulinės apyvartos.

JAV paslaugų teikėjų debesijos paslaugomis šiuo metu galima naudotis laikantis **duomenų apsaugos taisyklių, jei įgyvendinamos **atitinkamos apsaugos priemonės, pavyzdžiui, standartinės sutarties sąlygos ir techninės saugumo priemonės. Tačiau vis dar išlieka likutinė rizika. Ypač daug problemų kelia tai, kad vis dar nėra kasdieniam naudojimui tinkamo galutinio šifravimo, tinkamo visų rūšių naudojimui, pavyzdžiui, nuolatiniam duomenų tvarkymui ("naudojami duomenys").

Todėl naudojimasis JAV paslaugomis visada turėtų būti vertinamas individualiai: Kiek jautrūs yra tvarkomi duomenys? Kokių saugumo priemonių imamasi? Ir kokiu mastu įmonė iš tikrųjų gali sumažinti riziką?

Klausimas, ar įmonės turėtų naudoti tik Europos kilmės programinę įrangą ir debesijos paslaugas, iš pirmo žvilgsnio skamba kaip aiški pozicija. Tačiau būtent dėl to perspėja duomenų apsaugos ekspertė Katharina Raabe-Stuppnig. Toks principas ne tik nepraktiškas, bet ir sunkiai pateisinamas valdžios institucijoms. Vietoj to, kiekvienas sprendimas dėl programinės įrangos ar debesijos paslaugų naudojimo turi būti priimamas kiekvienu konkrečiu atveju - atsižvelgiant į tai, kiek jautrūs yra tvarkomi duomenys ir kokių konkrečių apsaugos priemonių galima imtis.

Dar viena tema, kuri šiuo metu rūpi daugeliui įmonių: Kas nutiks, jei Europos Teisingumo Teismas (ETT) panaikins naująją ES ir JAV duomenų privatumo sistemą, kaip anksčiau buvo padaryta su "saugiuoju uostu" ir "privatumo skydu"? Atsakymas aiškus: vėl kiltų didžiulis teisinis netikrumas. Būtent todėl "Kargl" jau dabar pataria bendrovėms nesiremti vien tik šia sistema, bet susitarti dėl papildomų standartinių sutarčių sąlygų (SCC). Į jas visada turėtų būti įtrauktas poveikio duomenų perdavimui vertinimas (angl. transfer impact assessment, TIA), t. y. duomenų perdavimo į trečiąsias šalis rizikos analizė.

Tačiau teisininkas taip pat aiškiai nurodo, kad jei Duomenų privatumo sistema iš tikrųjų žlugtų ir būtų iš esmės suabejota duomenų perdavimo į JAV proporcingumu, TIA taip pat pasiektų savo ribas. Tuomet viltis dedama į papildomas technines ir organizacines priemones - visų pirma šifravimą.

Duomenų apsaugos institucijos ir ESTT reikalauja, kad JAV debesijos paslaugų teikėjai priimtų aiškų sprendimą: duomenys turėtų būti saugomi tik užšifruoti, o raktas turėtų būti valdomas už paslaugų teikėjo ribų - geriausia Europoje ir kontroliuojamas už duomenis atsakingos įmonės arba Europos patikėtinio. Šio vadinamojo "išorinio rakto valdymo" sprendimo tikslas - užtikrinti, kad net ir tuo atveju, jei JAV institucijos, pavyzdžiui, NSA, gautų prieigą, būtų galima perduoti tik užšifruotus, t. y. nenaudojamus, duomenis.

Tačiau, pasak Katharinos Raabe-Stuppnig, praktiškai tokio tipo šifravimą iš tikrųjų galima įgyvendinti tik atsarginėms duomenų kopijoms. Kai tik duomenys aktyviai apdorojami kasdieniame gyvenime, reikia prieigos prie nešifruotos medžiagos. Būtent čia ir yra problema: šiuo metu technologija, leidžianti visiškai apdoroti duomenis užšifruotoje būsenoje, egzistuoja tik labai ribotai - pavyzdžiui, paprastiems skaičiavimams ar įverčiams pagal konkrečius scenarijus. Šiuolaikinės technikos lygis dar nėra pakankamas, kad ją būtų galima plačiai naudoti, kaip to reikia versle.

Nepaisant šių iššūkių, teisininkas optimistiškai žvelgia į ateitį: ES duomenų aktas nustatys svarbią kryptį. Debesijos paslaugų teikėjai bus įpareigoti sudaryti sąlygas taikyti kelių debesų kompiuterijos strategijas, t. y. remti lengvą paslaugų teikėjų keitimą - be didelių keitimo išlaidų. Tai aktyvios pastangos stiprinti Europos suverenumą skaitmeninėje erdvėje ir ilgainiui sukurti daugiau alternatyvų JAV hiperscaleriams.

Lieka klausimas, ar Europa laikui bėgant sugebės savarankiškiau ir saugiau veikti skaitmeninėje erdvėje. Vis dėlto M. Raabe-Stuppnig yra įsitikinusi: "Politinė valia yra, o gavus tikslingą paramą ir reguliavimą netrukus gali atsirasti gyvybingų Europos alternatyvų.

Visiškas trečiųjų šalių sprendimų atsisakymas nėra nei praktiškai įgyvendinamas, nei teisiškai būtinas. Įmonės turi kruopščiai pasverti, kokie jautrūs yra jų duomenys, kokie partneriai yra tinkami - ir kokias konkrečias apsaugos priemones jos gali įgyvendinti. Tie, kurie jau naudojasi SCC, TIA ir šifravimu, yra ne tik teisiškai saugūs, bet ir stiprina Europos pozicijas skaitmeninėje konkurencijoje.