Duomenų apsauga Europoje - sproof

Nuo žiniasklaidos teisės iki duomenų apsaugos: ekspertas Austrijoje

Katharina Raabe-Stuppnig savo karjerą pradėjo žiniasklaidos teisės srityje. Ji konsultavo leidyklas ir telekomunikacijų bendroves konkurencijos teisės, reklamos ir žiniasklaidos atsakomybės klausimais. Į duomenų apsaugą ji perėjo beveik savaime: "Daugelis klientų kreipėsi į mane ir sakė: "Dauguma mano klientų: Jūs žinote mūsų procesus ir mūsų interesų derinimą - ar galite mums padėti ir duomenų apsaugos srityje?"

Įsigaliojus BDAR, duomenų apsauga dar labiau persikėlė į įmonių realybės centrą. Milijoninės baudos padidino spaudimą. Įmonėms reikėjo aiškių sąvokų - ir jos rėmėsi esama partneryste. Dėl to duomenų apsaugos teisė iš periferinio klausimo virto pagrindiniu jų veiklos objektu.

Duomenų apsauga kaip pagalbinė priemonė

2018 m. pradėjus taikyti BDAR, teisinės pagalbos poreikis labai išaugo ir išlieka didelis. Taip yra ne tik dėl to, kad reglamentas nedaro skirtumo tarp didelių ir mažų įmonių. Visi turi atitikti tuos pačius standartus.

"Veikianti duomenų apsaugos valdymo sistema šiandien yra tikra pagalbinė priemonė", - aiškina Raabe-Stuppnig. "Ji suteikia įmonėms galimybę apžvelgti sistemas, procesus ir rizikas - ir yra optimizavimo bei didesnio efektyvumo pagrindas."

Kartu aplinka tampa vis sudėtingesnė: nauji teisės aktai, tokie kaip NIS-2, Kibernetinio atsparumo įstatymas, Įstatymas dėl dirbtinio intelekto ir Duomenų įstatymas, kelia papildomus reikalavimus įmonėms - visose pramonės šakose. Tos, kurios jau yra sukūrusios stabilų duomenų apsaugos pagrindą, dabar turi aiškų pranašumą.

Skaitmeninės transformacijos strategijos

Klausimų, su kuriais šiandien įmonės kreipiasi į advokatų kontorą, yra įvairių:

• Kaip NIS-2 veikia mane, jei esu ypatingos svarbos infrastruktūros objektų tiekėjas?

• Kokios politikos man reikia pagal dirbtinio intelekto įstatymą?

• Kaip elgtis su naujomis prieigos prie duomenų teisėmis pagal Duomenų įstatymą - nepakenkiant iki šiol pasiektam duomenų apsaugos lygiui?

Be teisinių vertinimų, vis svarbesnis vaidmuo tenka strateginiams klausimams: Kur bendrovėje turėtų būti paskirstyta atsakomybė? Kaip suderinti atitiktį, kibernetinį saugumą ir gebėjimą diegti naujoves? Raabe-Stuppnig ir jos komanda padeda įmonėms ne tik įgyvendinti, bet ir įsitvirtinti naujoje teisinėje sistemoje.

ES ir JAV: skirtingi pagrindiniai požiūriai

Programinės įrangos iš trečiųjų šalių naudojimas, pavyzdžiui, JAV hiperscaleriuose, yra ypač opus klausimas. Nors JAV taip pat galioja duomenų apsaugos įstatymai, Raabe-Stuppnig aiškina, kad apsauga visų pirma taikoma JAV piliečiams. ES piliečiams šie teisės aktai yra gerokai silpnesni.

"Problema slypi svarstyklėse: NSA saugumo interesai dažnai yra svarbesni už ne amerikiečių duomenų apsaugą. ESTT jau du kartus nustatė šį neproporcingumą - ir taip panaikino pagrindinius principus, pavyzdžiui, "Saugaus uosto" ir "Privatumo skydo"."

Informuotumo pokyčiai Europoje nuo 2018 m.

Įsigaliojus BDAR, informuotumas Europoje pastebimai pasikeitė. Įmonės dabar daug jautriau elgiasi su asmens duomenimis. Tam labai svarbus vaidmuo teko žiniasklaidos dėmesiui, susijusiam su duomenų apsaugos sprendimais ir svarbiomis bylomis.

"Sukūrėme auksinį duomenų apsaugos standartą Europoje", - apibendrina Raabe-Stuppnig. "Džiugu matyti, kiek daug įmonių aktyviai stengiasi ne tik atitikti šį standartą, bet ir pasinaudoti juo kaip konkurenciniu pranašumu."

Kodėl duomenų perdavimas į JAV yra toks jautrus ir kokia yra dabartinė teisinė padėtis ES?

Diskusijos dėl duomenų apsaugos tarp ES ir JAV yra sudėtingos ir, svarbiausia, labai dinamiškos teisiniu požiūriu. Skirtingai nuo tokių šalių kaip Šveicarija, dėl kurių ES Komisija priėmė vadinamąjį sprendimą dėl tinkamumo, padėtis JAV buvo ir yra daug sudėtingesnė. Tokiame sprendime teigiama, kad asmens duomenys gali būti perduodami į trečiąją šalį, nes duomenų apsaugos lygis joje yra panašus į ES lygį. Tokiose šalyse kaip Kinija ar Rusija, o ilgą laiką ir JAV, tokio sprendimo nebuvo.

Duomenų tvarkymas JAV - teisinė pusiausvyra

Kai tik įmonės bendradarbiauja su paslaugų teikėjais dėl duomenų tvarkymo, pavyzdžiui, JAV, jos turi imtis papildomų apsaugos priemonių, kad išlaikytų BDAR reikalaujamą duomenų apsaugos lygį. Tai reiškia daugiau pastangų, daugiau audito įpareigojimų - ir didesnę riziką.

Praktinis pavyzdys: net jei JAV debesijos paslaugų teikėjams pasirenkate serverio vietą ES, problema vis tiek išlieka, pavyzdžiui, jei Europos patronuojamoji įmonė yra kontroliuojama JAV patronuojančiosios įmonės. Iškilus kritinei situacijai, JAV institucijos, pavyzdžiui, NSA, galėtų pareikalauti prieigos prie duomenų - net ir per vidinę pavaldumo grandinę. Jei serveris yra ES, rizika sumažėja, tačiau visiškai nepanaikinama.

Nuo "saugaus uosto" iki duomenų privatumo sistemos: Žvilgsnis atgal

ES ir JAV duomenų apsaugos susitarimų istorija primena teisinių nesėkmių virtinę:

• "Saugusis uostas" buvo pirmasis susitarimas, kuriuo JAV bendrovėms savanoriškai nustatyti tam tikri duomenų apsaugos standartai. Jis buvo panaikintas 2015 m. priėmus sprendimą byloje Schrems I.

• Privatumo skydas buvo jo tęsinys - peržiūrėta "saugaus uosto" versija. Tačiau šį susitarimą Europos Teisingumo Teismas 2020 m. sprendimu Schrems II taip pat pripažino negaliojančiu.

• Reaguojant į tai, įsigaliojo Duomenų privatumo sistema, kuria remdamasi ES Komisija dar kartą priėmė sprendimą dėl JAV tinkamumo.

Tačiau naujasis sprendimas ir vėl grindžiamas nepatikimais pagrindais.

Taip yra todėl, kad Duomenų privatumo sistema grindžiama JAV prezidento įsaku, kitaip tariant, įsaku, kuris teoriškai gali būti bet kada atšauktas. Todėl kritikai abejoja šios sistemos ilgalaikiu stabilumu. Europos Teisingumo Teismui jau pateiktas ieškinys dėl sprendimo dėl tinkamumo - jo rezultatas dar neaiškus.

Be to, atsakinga JAV priežiūros institucija - PCLOB- šiuo metu negali veikti, nes buvęs prezidentas D. Trumpas atleido tris iš penkių jos direktorių. Rezultatas: didelis netikrumas dėl to, kiek stabilus iš tikrųjų yra duomenų apsaugos mechanizmas JAV.

Kiek svarbi ES įmonėms yra duomenų privatumo sistema?

Jei planuojate ilgalaikę veiklą ir norite sutelkti dėmesį į duomenų saugumą, neturėtumėte aklai pasikliauti Duomenų privatumo sistema. Kaip ir anksčiau, teisinė padėtis gali greitai pasikeisti. Poveikio duomenų perdavimui vertinimų (PDV ) kaina yra didelė, o už pažeidimus gali būti skiriamos griežtos baudos, siekiančios iki 4 proc. metinės pasaulinės apyvartos.

JAV debesijos paslaugomis (vis dar) galima naudotis, bet ne be rizikos

JAV paslaugų teikėjų debesijos paslaugomis šiuo metu galima naudotis laikantis **duomenų apsaugos taisyklių, jei įgyvendinamos **atitinkamos apsaugos priemonės, pavyzdžiui, standartinės sutarčių sąlygos ir techninės saugumo priemonės. Tačiau vis dar išlieka rizika. Ypač daug problemų kelia tai, kad vis dar nėra kasdieniam naudojimui tinkamo galutinio šifravimo, tinkamo visų rūšių naudojimui, pavyzdžiui, nuolatiniam duomenų tvarkymui ("naudojami duomenys").

Todėl naudojimasis JAV paslaugomis visada turėtų būti vertinamas individualiai: Kiek jautrūs yra tvarkomi duomenys? Kokių saugumo priemonių imamasi? Ir kokiu mastu įmonė iš tikrųjų gali sumažinti riziką?

Tarp juodai balto ir realistinio požiūrio: kaip įmonės turėtų elgtis su duomenų apsauga ir debesijos paslaugų teikėjais

Klausimas, ar įmonės turėtų naudoti tik Europos kilmės programinę įrangą ir debesijos paslaugas - "visiškai arba visai" - iš pirmo žvilgsnio skamba kaip aiški pozicija. Tačiau būtent dėl to perspėja duomenų apsaugos ekspertė Katharina Raabe-Stuppnig. Toks principas ne tik nepraktiškas, bet ir sunkiai pateisinamas valdžios institucijoms. Vietoj to, kiekvienas sprendimas dėl programinės įrangos ar debesijos paslaugų naudojimo turi būti priimamas kiekvienu konkrečiu atveju - atsižvelgiant į tai, kiek jautrūs yra tvarkomi duomenys ir kokių konkrečių apsaugos priemonių galima imtis.

Nepasiduokite klaidingam saugumo jausmui - net ir su privatumo sistema

Dar viena tema, kuri šiuo metu rūpi daugeliui įmonių: Kas nutiks, jei Europos Teisingumo Teismas (ETT) panaikins naująją ES ir JAV duomenų privatumo sistemą, kaip anksčiau buvo padaryta su "saugiuoju uostu" ir "privatumo skydu"? Atsakymas aiškus: vėl kiltų didžiulis teisinis netikrumas. Būtent todėl "Kargl" jau dabar pataria bendrovėms nesiremti vien tik šia sistema, bet susitarti dėl papildomų standartinių sutarčių sąlygų (SCC). Į jas visada turėtų būti įtrauktas poveikio duomenų perdavimui vertinimas (angl. transfer impact assessment, TIA), t. y. duomenų perdavimo į trečiąsias šalis rizikos analizė.

Tačiau teisininkas taip pat aiškiai nurodo, kad jei Duomenų privatumo sistema iš tikrųjų žlugtų ir būtų iš esmės suabejota duomenų perdavimo į JAV proporcingumu, TIA taip pat pasiektų savo ribas. Tuomet viltis dedama į papildomas technines ir organizacines priemones - visų pirma šifravimą.

Šifravimas: teiginiai ir tikrovė skiriasi

Duomenų apsaugos institucijos ir ETT reikalauja, kad JAV debesijos paslaugų teikėjai priimtų aiškų sprendimą: duomenys turėtų būti saugomi tik užšifruoti, o raktas turėtų būti valdomas už paslaugų teikėjo ribų - geriausia Europoje ir kontroliuojamas už duomenis atsakingos įmonės arba Europos patikėtinio. Šio vadinamojo "išorinio rakto valdymo" sprendimo tikslas - užtikrinti, kad net ir tuo atveju, jei JAV institucijos, pavyzdžiui, NSA, gautų prieigą, būtų galima perduoti tik užšifruotus, t. y. nenaudojamus, duomenis.

Tačiau, pasak Katharinos Raabe-Stuppnig, praktiškai tokio tipo šifravimas iš tikrųjų gali būti taikomas tik atsarginėms duomenų kopijoms. Kai tik duomenys aktyviai apdorojami kasdieniame gyvenime, reikia prieigos prie nešifruotos medžiagos. Būtent čia ir yra problema: šiuo metu technologija, leidžianti visiškai apdoroti duomenis užšifruotoje būsenoje, egzistuoja tik labai ribotai - pavyzdžiui, paprastiems skaičiavimams ar įverčiams pagal konkrečius scenarijus. Šiuolaikinės technikos lygis dar nėra pakankamas, kad ją būtų galima plačiai naudoti, kaip to reikia versle.

Europos vaidmuo: Duomenų akto galimybės

Nepaisant šių iššūkių, teisininkas optimistiškai žvelgia į ateitį: ES duomenų aktas nustatys svarbią kryptį. Debesijos paslaugų teikėjai bus įpareigoti sudaryti sąlygas taikyti daugialypės debesijos strategijas, t. y. remti lengvą paslaugų teikėjų keitimą - be didelių keitimo išlaidų. Tai aktyvios pastangos stiprinti Europos suverenumą skaitmeninėje erdvėje ir ilgainiui sukurti daugiau alternatyvų JAV hiperscaleriams.

Lieka klausimas, ar Europa laikui bėgant sugebės savarankiškiau ir saugiau veikti skaitmeninėje erdvėje. Vis dėlto M. Raabe-Stuppnig yra įsitikinusi: "Politinė valia yra, o gavus tikslingą paramą ir reguliavimą netrukus gali atsirasti gyvybingų Europos alternatyvų.

Visiškas trečiųjų šalių sprendimų atsisakymas nėra nei praktiškai įgyvendinamas, nei teisiškai būtinas. Įmonės turi kruopščiai pasverti, kokie jautrūs yra jų duomenys, kokie partneriai yra tinkami - ir kokias konkrečias apsaugos priemones jos gali įgyvendinti. Tie, kurie jau naudojasi SCC, TIA ir šifravimu, yra ne tik teisiškai saugūs, bet ir stiprina Europos pozicijas skaitmeninėje konkurencijoje.