Vairāk nekā 15 gadu ilgā jurista pieredze, kā arī tas, ka viņa ir datu aizsardzības konsultatīvās padomes līdzdibinātāja un kopā ar Maksu Šremsu un Tomasu Lohningeru aktīvi piedalās tiesvedībā Eiropas Savienības Tiesā, padara Katarīnu Rābi-Štupnigu par vienu no ietekmīgākajām personām Eiropas datu aizsardzības tiesību jomā. Savā advokātu birojā Vīnes Wickenburggasse, Vīnē, viņa stāsta par savu profesionālo ceļu, GDPR izaicinājumiem un jauno ES digitālo tiesību aktu radīto pieaugošo sarežģītību.
No mediju tiesībām līdz datu aizsardzībai: Eksperts Austrijā
Katharina Raabe-Stupniga sāka savu karjeru plašsaziņas līdzekļu tiesību jomā. Viņa konsultēja izdevniecības un telekomunikāciju uzņēmumus konkurences tiesību, reklāmas un mediju atbildības jautājumos. Pāreja uz datu aizsardzību bija gandrīz automātiska: “Daudzi klienti vērsās pie manis un teica: Jūs pārzināt mūsu procesus un mūsu interešu līdzsvarošanu – vai jūs varat mums palīdzēt arī datu aizsardzības jomā?”.
Kad stājās spēkā VDAR, datu aizsardzība vairāk nonāca uzņēmumu realitātes centrā. Miljonos mērāmas soda naudas palielināja spiedienu. Uzņēmumiem ir nepieciešamas skaidras koncepcijas – un jāpaļaujas uz esošajām partnerībām. Rezultātā datu aizsardzības tiesību akti no marginālas tēmas kļuva par viņas darba centrālo tēmu.
“Es vēlos stiprināt Eiropas ekonomiku, izmantojot Eiropas alternatīvas. Digitālā stratēģija un Datu akts ir solis pareizajā virzienā. Vienīgais jautājums ir: vai tas notiks laikus?”
Mag. Kathrina Raabe-Stuppnig
Datu aizsardzība kā veicinošs faktors
Kopš VDAR ieviešanas 2018. gadā nepieciešamība pēc juridiskā atbalsta ir ievērojami pieaugusi un joprojām ir liela. Tas ir ne tikai tāpēc, ka regulā nav atšķirības starp lielām korporācijām un maziem uzņēmumiem. Visiem ir jāievēro vienādi standarti.
“Mūsdienās funkcionējoša datu aizsardzības pārvaldības sistēma ir īsts palīgs,” skaidro Raabe-Stupnigs. “Tā sniedz uzņēmumiem pārskatu par sistēmām, procesiem un riskiem un ir pamats optimizācijai un efektivitātes palielināšanai.”
Tajā pašā laikā vide kļūst arvien sarežģītāka: jauni tiesību akti, piemēram, NIS-2, Kiberdrošības likums, Mākslīgā intelekta likums vai Datu likums, izvirza papildu prasības uzņēmumiem visās nozarēs. Tiem, kas jau ir izveidojuši stabilu datu aizsardzības pamatu, ir nepārprotamas priekšrocības.
Digitālās transformācijas stratēģijas
Jautājumi, ar kuriem uzņēmumi šodien vēršas juridiskajā birojā, ir dažādi:
- Kā NIS-2 ietekmē mani, ja esmu kritiskās infrastruktūras piegādātājs?
- Kādas politikas man ir nepieciešamas saistībā ar Likumu par mākslīgo intelektu?
- Kā rīkoties ar jaunajām datu piekļuves tiesībām saskaņā ar Datu likumu, neapdraudot līdz šim sasniegto datu aizsardzības līmeni?
Papildus juridiskajiem novērtējumiem arvien lielāka nozīme ir stratēģiskajiem jautājumiem: Kur uzņēmumā ir jāizvieto atbildība? Kā sabalansēt atbilstību, kiberdrošību un inovācijas? Raabe-Stupniga un viņas komanda atbalsta uzņēmumus ne tikai ieviešanā, bet arī pozicionēšanā jaunajā tiesiskajā regulējumā.
ES un ASV: atšķirīgas pamatprincipu nostādnes
Īpaši jutīgs jautājums ir trešo valstu programmatūras izmantošana, piemēram, ASV hiperskaleros. Lai gan arī ASV pastāv datu aizsardzības likumi, Raabe-Stupnigs teica, ka aizsardzība galvenokārt attiecas uz ASV pilsoņiem. ES pilsoņiem šie noteikumi ir daudz vājāki.
“Problēma slēpjas svērumā: NSA drošības intereses bieži vien ir svarīgākas par neamerikāņu datu aizsardzību. EKT jau divreiz ir konstatējusi šādu nesamērīgumu un tādējādi atcēla tādus galvenos principus kā “Drošā osta” un “Privātuma vairogs”.”
Izmaiņas informētībā Eiropā kopš 2018. gada
Kopš VDAR stāšanās spēkā informētība Eiropā ir ievērojami mainījusies. Mūsdienās uzņēmumi ir daudz jutīgāki attiecībā uz personas datu apstrādi. Galvenā nozīme tam ir bijusi plašsaziņas līdzekļu uzmanībai, kas saistīta ar datu aizsardzības nolēmumiem un skaļām lietām.
“Mēs esam izveidojuši datu aizsardzības zelta standartu Eiropā,” rezumē Raabe-Stupnigs. “Un ir patīkami redzēt, cik daudzi uzņēmumi aktīvi cenšas ne tikai ievērot šo standartu, bet arī izmantot to kā konkurences priekšrocību.”
Kādēļ datu nosūtīšana uz ASV ir tik sensitīva un kāda ir pašreizējā tiesiskā situācija ES?
Debates par datu aizsardzību starp ES un ASV ir sarežģītas un galvenokārt ļoti dinamiskas no juridiskā viedokļa. Atšķirībā no tādām valstīm kā Šveice, attiecībā uz kuru ES Komisija ir pieņēmusi tā saukto lēmumu par atbilstību, situācija ar ASV bija un ir daudz sarežģītāka. Šāds lēmums nosaka, ka personas datus var nosūtīt uz trešo valsti, jo tajā ir tāds datu aizsardzības līmenis, kas ir salīdzināms ar ES datu aizsardzības līmeni. Tādās valstīs kā Ķīna vai Krievija – un ilgu laiku arī ASV – šāda lēmuma nebija.
Datu apstrāde ASV – juridiskā līdzsvara jautājums
Piemēram, tiklīdz uzņēmumi sāk sadarboties ar datu apstrādes pakalpojumu sniedzējiem ASV, tiem ir jāveic papildu aizsardzības pasākumi, lai saglabātu VDAR noteikto datu aizsardzības līmeni. Tas nozīmē lielākas pūles, lielāku pienākumu veikt pārbaudes – un lielāku risku.
Praktisks piemērs: Pat tad, ja ASV mākoņpakalpojumu sniedzējiem izvēlaties servera atrašanās vietu ES, problēma saglabājas, piemēram, ja Eiropas meitasuzņēmums ir pakļauts ASV mātesuzņēmumam. Ārkārtas gadījumā ASV iestādes, piemēram, NSA, varētu pieprasīt piekļuvi datiem, tostarp izmantojot iekšējo komandķēdi. Servera atrašanās vieta ES samazina risku, bet pilnībā to nenovērš.
No “drošības zonas” līdz datu privātuma regulējumam: Pārskats
ES un ASV datu aizsardzības nolīgumu vēsture ir kā virkne juridisku neveiksmju:
- “Drošā osta” bija pirmais nolīgums, ar kuru ASV uzņēmumiem brīvprātīgi noteica konkrētus datu aizsardzības standartus. Tas tika atcelts 2015. gadā ar spriedumu lietā Schrems I.
- “Privātuma vairogs” bija “Drošās zonas” turpinājums – pārskatīta “Drošās zonas” versija. Taču arī šo nolīgumu Eiropas Savienības Tiesa 2020. gadā ar spriedumu lietā Schrems II pasludināja par spēkā neesošu.
- Reaģējot uz to, stājās spēkā Datu privātuma regulējums, uz kura pamata ES Komisija atkal pieņēma lēmumu par ASV piemērotību.
Tomēr jaunais lēmums atkal ir balstīts uz nestabila pamata.
Tas ir tāpēc, ka Datu privātuma regulējuma pamatā ir ASV prezidenta rīkojums, t. i., rīkojums, ko teorētiski var atcelt jebkurā laikā. Tāpēc kritiķi apšauba šīs sistēmas ilgtermiņa stabilitāti. Eiropas Kopienu Tiesā jau ir iesniegta prasība pret lēmumu par aizsardzības līmeņa pietiekamību – iznākums ir atklāts.
Turklāt atbildīgā ASV uzraudzības iestāde PCLOB pašlaik nespēj rīkoties, jo bijušais prezidents Tramps ir atcēlis trīs no tās pieciem vadītājiem. Rezultāts: liela nenoteiktība par to, cik stabils ir datu aizsardzības mehānisms ASV.
Cik svarīga ES uzņēmumiem ir datu privātuma sistēma?
Ja plānojat ilgtermiņā un vēlaties pievērst uzmanību datu drošībai, nevajadzētu akli paļauties uz datu privātuma regulējumu. Juridiskā situācija var strauji mainīties – tāpat kā iepriekš. Datu nodošanas ietekmes novērtējumi (TIA) prasa daudz pūļu, un par pārkāpumiem var tikt piemērotas bargas sankcijas: līdz pat 4 % no globālajiem gada ieņēmumiem.
ASV mākoņpakalpojumi (joprojām) ir lietojami, taču ne bez riska
Pašlaik mākoņpakalpojumus no ASV pakalpojumu sniedzējiem var izmantot saskaņā ar datu aizsardzības noteikumiem, ja ir īstenoti atbilstoši aizsardzības pasākumi, piemēram, standarta līguma klauzulas un tehniskie drošības pasākumi. Tomēr joprojām pastāv atlikušais risks. Īpaši problemātiski ir tas, ka joprojām nepastāv ikdienas lietošanai piemērota end-to-end šifrēšana vis iem izmantošanas veidiem – piemēram, datu pastāvīgā apstrādē (“dati lietošanā”).
Tāpēc ASV pakalpojumu izmantošana vienmēr ir jāizvērtē individuāli : Cik sensitīvi ir apstrādājamie dati? Kādi drošības pasākumi tiek veikti? Un cik lielā mērā uzņēmums spēj faktiski mazināt riskus?
Starp melnu un baltu un reālismu: kā uzņēmumiem jārisina datu aizsardzības un mākoņpakalpojumu sniedzēju jautājumi
Jautājums par to, vai uzņēmumiem būtu jāizmanto tikai Eiropas izcelsmes programmatūra un mākoņpakalpojumi – “viss vai nekas” – sākotnēji izklausās pēc skaidras nostājas. Taču tieši pret to brīdina datu aizsardzības eksperte Katharina Raabe-Stuppnig. Šāds princips ir ne tikai nepraktisks, bet arī grūti pamatojams iestādēm. Jebkurš lēmums par programmatūras vai mākoņpakalpojumu izmantošanu drīzāk jāpieņem katrā gadījumā atsevišķi – atkarībā no tā, cik sensitīvi ir apstrādājamie dati un kādus aizsardzības pasākumus var veikt konkrēti.
Neļaujiet sevi maldināt ar viltus drošības sajūtu – pat ar konfidencialitātes pamatprincipiem.
Vēl viena tēma, kas šobrīd nodarbina daudzus uzņēmumus: Kas notiks, ja Eiropas Kopienu Tiesa (EKT) atcels jauno ES un ASV datu privātuma regulējumu, kā to jau izdarīja “Drošā osta” un “Privātuma vairogs”? Atbilde uz šo jautājumu ir skaidra: atkal radīsies milzīga juridiskā nenoteiktība. Tieši tāpēc Kargl jau tagad iesaka uzņēmumiem
Taču jurists arī skaidri norāda: ja datu privātuma regulējums patiešām tiktu atcelts un tādējādi tiktu būtiski apšaubīts datu nosūtīšanas uz ASV samērīgums, TIA arī sasniegtu savas robežas. Tad cerības tiek liktas uz papildu tehniskiem un organizatoriskiem pasākumiem – pirmām kārtām uz šifrēšanu.
Šifrēšana: Vēlmes un realitāte atšķiras
Datu aizsardzības iestādes un Eiropas Kopienu Tiesa pieprasa ASV mākoņpakalpojumu sniedzējiem skaidru risinājumu: dati jāglabā tikai šifrētā veidā, un atslēga jāpārvalda ārpus pakalpojuma sniedzēja – ideālā gadījumā Eiropā un par datiem atbildīgā uzņēmuma vai Eiropas pilnvarotā uzraudzībā. Šā tā sauktā “ārējās atslēgas pārvaldības” risinājuma mērķis ir nodrošināt, ka pat ASV iestāžu, piemēram, NSA, piekļuves gadījumā var tikt nodoti tikai šifrēti, t. i., neizmantojami, dati.
Tomēr praksē, pēc Katarīnas Rābes-Štupnigas (Katharina Raabe-Stuppnig) teiktā, šāda veida šifrēšanu var īstenot tikai rezerves datu dublēšanai. Tiklīdz dati tiek
Eiropas loma: Datu akta sniegtās iespējas
Neraugoties uz šiem izaicinājumiem, jurists ir optimistiski noskaņots par nākotni: ES datu akts nosaka svarīgu virzienu. Mākoņpakalpojumu sniedzējiem būs pienākums nodrošināt daudzmākoņpakalpojumu stratēģijas, t. i., atbalstīt bezproblēmu pārslēgšanos starp pakalpojumu sniedzējiem – bez augstām pārslēgšanās izmaksām. Tas ir aktīvs mēģinājums nostiprināt Eiropas suverenitāti digitālajā telpā un ilgtermiņā radīt vairāk alternatīvu ASV hiperskaļķētājiem.
Jautājums joprojām ir par to, vai Eiropa spēs to izdarīt laikus, lai digitālā telpā spētu darboties neatkarīgāk un drošāk. Tomēr Raabe-Stupniga ir pārliecināta: Politiskā griba ir, un ar mērķtiecīgu finansējumu un regulējumu drīzumā varētu rasties dzīvotspējīgas Eiropas alternatīvas.
Vispārēja atteikšanās no trešo valstu risinājumiem nav ne praktiski īstenojama, ne juridiski nepieciešama. Uzņēmumiem ir rūpīgi jāizvērtē, cik sensitīvi ir to dati, kuri partneri ir piemēroti – un kurus aizsardzības pasākumus tie var īstenot konkrēti. Tie, kas jau paļaujas uz SCC, TIA un šifrēšanu, ir ne tikai juridiski drošībā, bet arī nostiprina savas Eiropas pozīcijas digitālajā konkurencē.
