Datu aizsardzība Eiropā - sproof

Katharina Raabe-Stupniga sāka savu karjeru plašsaziņas līdzekļu tiesību jomā. Viņa konsultēja izdevniecības un telekomunikāciju uzņēmumus konkurences tiesību, reklāmas un mediju atbildības jautājumos. Datu aizsardzības jomā viņa nonāca gandrīz automātiski: Daudzi klienti pie manis vērsās un teica: "Daudzi klienti mani uzrunāja: Jūs pārzināt mūsu procesus un mūsu interešu līdzsvarošanu - vai jūs varat mums palīdzēt arī datu aizsardzības jomā?".

Kad stājās spēkā VDAR, datu aizsardzība vairāk nonāca uzņēmumu realitātes centrā. Miljonos mērāmas soda naudas palielināja spiedienu. Uzņēmumiem bija nepieciešamas skaidras koncepcijas - un tie paļāvās uz esošajām partnerībām. Rezultātā datu aizsardzības tiesību akti no perifērijas jautājuma kļuva par centrālo to darbības fokusu.

Kopš VDAR ieviešanas 2018. gadā nepieciešamība pēc juridiskā atbalsta ir ievērojami pieaugusi un joprojām ir liela. Tas ir saistīts arī ar to, ka regulā nav atšķirības starp lielām korporācijām un maziem uzņēmumiem. Visiem ir jāievēro vienādi standarti.

"Funkcionējoša datu aizsardzības pārvaldības sistēma šodien ir īsts palīgs," skaidro Raabe-Stupnigs. "Tā sniedz uzņēmumiem pārskatu par sistēmām, procesiem un riskiem, kā arī veido pamatu optimizācijai un efektivitātes paaugstināšanai."

Tajā pašā laikā vide kļūst arvien sarežģītāka: jauni tiesību akti, piemēram, NIS-2, Kiberdrošības likums, Mākslīgā intelekta likums un Datu likums, izvirza papildu prasības uzņēmumiem - visās nozarēs. Tiem, kas jau ir izveidojuši stabilu datu aizsardzības pamatu, tagad ir skaidras priekšrocības.

Jautājumi, ar kuriem uzņēmumi šodien vēršas pie advokātu biroja, ir dažādi:

• Kā NIS-2 ietekmē mani, ja esmu kritiskās infrastruktūras piegādātājs?

• Kādas politikas man ir nepieciešamas saistībā ar Likumu par mākslīgo intelektu?

• Kā man rīkoties ar jaunajām datu piekļuves tiesībām saskaņā ar Datu likumu, neapdraudot līdz šim sasniegto datu aizsardzības līmeni?

Papildus juridiskajiem novērtējumiem arvien lielāka nozīme ir stratēģiskajiem jautājumiem: Kur uzņēmumā būtu jāuzņemas atbildība? Kā saskaņot atbilstību, kiberdrošību un spēju ieviest inovācijas? Raabe-Stupniga un viņas komanda palīdz uzņēmumiem ne tikai ar ieviešanu, bet arī ar pozicionēšanu jaunajā tiesiskajā regulējumā.

Īpaši jutīgs jautājums ir trešo valstu programmatūras izmantošana, piemēram, ASV hiperskaleriem. Lai gan arī ASV ir spēkā datu aizsardzības likumi, Raabe-Stuppnig skaidro, ka aizsardzība galvenokārt attiecas uz ASV pilsoņiem. ES pilsoņiem šie noteikumi ir ievērojami vājāki.

"Problēma slēpjas svērumā: NSA drošības intereses bieži vien ir svarīgākas par to iedzīvotāju datu aizsardzību, kas nav ASV pilsoņi. EKT jau divreiz ir konstatējusi šādu nesamērīgumu - un tādējādi atcēla tādus galvenos principus kā "Drošā osta" un "Privātuma vairogs"."

Kopš VDAR stāšanās spēkā informētība Eiropā ir ievērojami mainījusies. Uzņēmumi tagad ir daudz jutīgāki, apstrādājot personas datus. Tam liela nozīme ir bijusi plašsaziņas līdzekļu uzmanībai, kas saistīta ar spriedumiem datu aizsardzības jomā un ievērojamām lietām.

"Mēs esam izveidojuši datu aizsardzības zelta standartu Eiropā," rezumē Raabe-Stupnigs. "Un ir patīkami redzēt, cik daudzi uzņēmumi aktīvi cenšas ne tikai ievērot šo standartu, bet arī izmantot to kā konkurences priekšrocību."

Debates par datu aizsardzību starp ES un ASV ir sarežģītas un, pats galvenais, ļoti dinamiskas no juridiskā viedokļa. Atšķirībā no tādām valstīm kā Šveice, attiecībā uz kuru ES Komisija ir pieņēmusi tā saukto lēmumu par atbilstību, situācija ar ASV bija un ir daudz sarežģītāka. Šāds lēmums nosaka, ka personas datus var nosūtīt uz trešo valsti, jo datu aizsardzības līmenis tajā ir salīdzināms ar ES datu aizsardzības līmeni. Tādās valstīs kā Ķīna vai Krievija - un ilgu laiku arī ASV - šāda lēmuma nebija.

Tiklīdz uzņēmumi sadarbojas ar pakalpojumu sniedzējiem datu apstrādei, piemēram, ASV, tiem ir jāveic papildu aizsardzības pasākumi, lai saglabātu VDAR noteikto datu aizsardzības līmeni. Tas nozīmē vairāk pūļu, vairāk obligāto pārbaužu un lielāku risku.

Praktisks piemērs: pat tad, ja ASV mākoņpakalpojumu sniedzējiem izvēlaties servera atrašanās vietu ES teritorijā, problēma joprojām pastāv, piemēram, ja Eiropas meitasuzņēmums atrodas ASV mātesuzņēmuma kontrolē. Ārkārtas gadījumā ASV iestādes, piemēram, NSA, varētu pieprasīt piekļuvi datiem - pat izmantojot iekšējo komandķēdi. Servera atrašanās vieta ES samazina risku, bet pilnībā to nenovērš.

ES un ASV datu aizsardzības nolīgumu vēsture ir kā virkne juridisku neveiksmju:

• Drošā osta bija pirmais nolīgums, ar kuru ASV uzņēmumiem brīvprātīgi tika noteikti konkrēti datu aizsardzības standarti. Tas tika atcelts 2015. gadā ar spriedumu lietā Schrems I.

• Privātuma vairogs bija tā turpinājums - pārskatīta Safe Harbor versija. Tomēr arī šo nolīgumu Eiropas Savienības Tiesa 2020. gadā ar spriedumu Schrems II pasludināja par spēkā neesošu.

• Reaģējot uz to, stājās spēkā Datu privātuma regulējums, uz kura pamata ES Komisija vēlreiz pieņēma lēmumu par piemērotību ASV.

Tas ir tāpēc, ka Datu privātuma regulējuma pamatā ir ASV prezidenta rīkojums - rīkojums, kuru teorētiski var atcelt jebkurā laikā. Tāpēc kritiķi apšauba šīs sistēmas ilgtermiņa stabilitāti. Eiropas Kopienu Tiesā jau ir iesniegta prasība pret lēmumu par aizsardzības līmeņa pietiekamību - iznākums ir neskaidrs.

Turklāt atbildīgā ASV uzraudzības iestāde PCLOB pašlaik nespēj rīkoties, jo trīs no tās pieciem direktoriem bijušais prezidents Tramps ir atcēlis no amata. Rezultāts: liela nenoteiktība par to, cik stabils ir datu aizsardzības mehānisms ASV.

Ja plānojat ilgtermiņā un vēlaties pievērst uzmanību datu drošībai, nevajadzētu akli paļauties uz datu privātuma regulējumu. Tāpat kā iepriekš, juridiskā situācija var ātri mainīties. Datu nodošanas ietekmes novērtējuma (DIA) izmaksas ir augstas, un par pārkāpumiem var tikt piemēroti bargi sodi līdz pat 4 % no gada globālā apgrozījuma.

ASV pakalpojumu sniedzēju mākoņpakalpojumus pašlaik var izmantot saskaņā ar **datu aizsardzības noteikumiem, ja tiek īstenoti **piemērotie aizsardzības pasākumi, piemēram, standarta līguma klauzulas un tehniskie drošības pasākumi. Tomēr joprojām pastāv atlikušais risks. Īpaši problemātiski ir tas, ka joprojām nepastāv ikdienas lietošanai piemērota end-to-end šifrēšana visiem izmantošanas veidiem - piemēram, pastāvīgai datu apstrādei ("dati lietošanā").

Tāpēc ASV pakalpojumu izmantošana vienmēr jāizvērtē individuāli: Cik sensitīvi ir apstrādājamie dati? Kādi drošības pasākumi tiek veikti? Un cik lielā mērā uzņēmums faktiski spēj mazināt riskus?

Jautājums par to, vai uzņēmumiem būtu jāizmanto tikai Eiropas izcelsmes programmatūra un mākoņpakalpojumi - "pilnībā vai vispār" - pirmajā brīdī izklausās pēc skaidras nostājas. Taču tieši pret to brīdina datu aizsardzības eksperte Katharina Raabe-Stuppnig. Šāds princips ir ne tikai nepraktisks, bet arī grūti pamatojams iestādēm. Tā vietā katrs lēmums par programmatūras vai mākoņpakalpojumu izmantošanu ir jāpieņem katrā gadījumā atsevišķi - atkarībā no tā, cik sensitīvi ir apstrādājamie dati un kādus konkrētus aizsardzības pasākumus var veikt.

Vēl viens temats, kas pašlaik nodarbina daudzus uzņēmumus: Kas notiks, ja Eiropas Kopienu Tiesa (EKT) atcels jauno ES un ASV datu privātuma regulējumu, kā tas iepriekš notika ar "Safe Harbor" un "Privacy Shield"? Atbilde ir skaidra: atkal radīsies milzīga juridiskā nenoteiktība. Tieši tāpēc Kargl jau tagad iesaka uzņēmumiem nepaļauties tikai uz šo regulējumu, bet vienoties par papildu standarta līguma klauzulām (SCC). Tajos vienmēr būtu jāiekļauj datu nodošanas ietekmes novērtējums (TIA ), t. i., riska analīze par datu nodošanu trešām valstīm.

Tomēr jurists arī skaidri norāda, ka gadījumā, ja Datu privātuma regulējums faktiski zaudēs spēku un datu nosūtīšanas uz ASV proporcionalitāte tiks būtiski apšaubīta, TIA arī sasniegs savas robežas. Tad cerības ir saistītas ar papildu tehniskiem un organizatoriskiem pasākumiem - pirmkārt, šifrēšanu.

Datu aizsardzības iestādes un Eiropas Kopienu Tiesa pieprasa ASV mākoņpakalpojumu sniedzējiem skaidru risinājumu: dati jāglabā tikai šifrētā veidā, un atslēga jāpārvalda ārpus pakalpojuma sniedzēja - ideālā gadījumā Eiropā un par datiem atbildīgā uzņēmuma vai Eiropas pilnvarotās personas kontrolē. Šā tā sauktā "ārējās atslēgas pārvaldības" risinājuma mērķis ir nodrošināt, ka pat ASV iestāžu, piemēram, NSA, piekļuves gadījumā var tikt nodoti tikai šifrēti, t. i., neizmantojami, dati.

Tomēr praksē, kā norāda Katharina Raabe-Stuppnig, šāda veida šifrēšanu reāli var īstenot tikai datu dublēšanai. Tiklīdz dati tiek aktīvi apstrādāti ikdienā, ir nepieciešama piekļuve nešifrētiem materiāliem. Tieši šeit slēpjas problēma: tehnoloģija, kas ļauj pilnībā apstrādāt datus šifrētā stāvoklī, pašlaik pastāv tikai ļoti ierobežotā apjomā - piemēram, vienkāršiem aprēķiniem vai aplēsēm konkrētos scenārijos. Tehnoloģiju līmenis vēl nav pietiekams, lai tās varētu plaši izmantot, kā tas ir nepieciešams uzņēmējdarbībā.

Neraugoties uz šiem izaicinājumiem, jurists optimistiski raugās uz nākotni: ES datu akts noteiks svarīgu virzienu. Mākoņpakalpojumu sniedzējiem būs pienākums nodrošināt daudzmākoņpakalpojumu stratēģijas, t. i., atbalstīt vieglu pārslēgšanos starp pakalpojumu sniedzējiem - bez augstām pārslēgšanās izmaksām. Tas ir aktīvs mēģinājums nostiprināt Eiropas suverenitāti digitālajā telpā un ilgtermiņā radīt vairāk alternatīvu ASV hiperskaļķotājiem.

Paliek atklāts jautājums, vai Eiropa ar laiku spēs darboties neatkarīgāk un drošāk digitālajā telpā. Tomēr Raabe-Stupniga ir pārliecināta: "Politiskā griba ir, un ar mērķtiecīgu atbalstu un regulējumu drīzumā varētu rasties dzīvotspējīgas Eiropas alternatīvas.

Vispārēja atteikšanās no trešo valstu risinājumiem nav ne praktiski īstenojama, ne juridiski nepieciešama. Uzņēmumiem ir rūpīgi jāizvērtē, cik sensitīvi ir to dati, kuri partneri ir piemēroti - un kādus konkrētus aizsardzības pasākumus tie var īstenot. Tie, kas jau paļaujas uz SCC, TIA un šifrēšanu, ir ne tikai juridiski drošībā, bet arī nostiprina Eiropas pozīcijas digitālajā konkurencē.