Katharina Raabe-Stuppnigová je vďaka svojej viac ako 15-ročnej praxi právničky, úlohe spoluzakladateľky poradného výboru pre ochranu údajov a aktívnej účasti na konaniach pred Európskym súdnym dvorom – spolu s Maxom Schremsom a Thomasom Lohningerom – jedným z najvplyvnejších hlasov v európskom práve ochrany údajov. Vo svojej advokátskej kancelárii na Wickenburggasse vo Viedni hovorí o svojej profesionálnej ceste, výzvach GDPR a rastúcej zložitosti spôsobenej novými digitálnymi zákonmi EÚ.
Od mediálneho práva k ochrane údajov: Odborník v Rakúsku
Katharina Raabe-Stuppnig začala svoju kariéru v oblasti mediálneho práva. Radila vydavateľstvám a telekomunikačným spoločnostiam v oblasti práva hospodárskej súťaže, reklamy a mediálnej zodpovednosti. Premostenie k ochrane údajov bolo takmer automatické: “Mnohí klienti sa na mňa obrátili a povedali: Vy poznáte naše procesy a naše vyvažovanie záujmov – môžete nám pomôcť aj s ochranou údajov?”
Po nadobudnutí účinnosti GDPR sa ochrana údajov dostala viac do centra firemnej reality. Miliónové pokuty zvýšili tlak. Spoločnosti potrebujú jasné koncepty – a spoliehajú sa na existujúce partnerstvá. V dôsledku toho sa právo na ochranu údajov vyvinulo z okrajovej témy na ústredné zameranie jej práce.
“Mojím želaním by bolo posilniť európske hospodárstvo – prostredníctvom európskych alternatív. Digitálna stratégia a Akt o údajoch sú krokom správnym smerom. Jedinou otázkou je: príde to včas?”
Mag. Kathrina Raabe-Stuppnig
Ochrana údajov ako nástroj
Od zavedenia GDPR v roku 2018 sa potreba právnej podpory enormne zvýšila – a stále je vysoká. V neposlednom rade je to aj preto, že nariadenie nerozlišuje medzi veľkými korporáciami a malými spoločnosťami. Všetky musia spĺňať rovnaké normy.
“Fungujúci systém riadenia ochrany údajov je dnes skutočným pomocníkom,” vysvetľuje Raabe-Stuppnig. “Poskytuje spoločnostiam prehľad o systémoch, procesoch a rizikách – a tvorí základ pre optimalizáciu a zvýšenie efektívnosti.”
Zároveň sa prostredie stáva čoraz zložitejším: nové právne predpisy, ako napríklad NIS-2, zákon o kybernetickej odolnosti, zákon o umelej inteligencii alebo zákon o údajoch, kladú na spoločnosti ďalšie požiadavky – vo všetkých odvetviach. Tí, ktorí už vytvorili stabilný základ ochrany údajov, majú jasnú výhodu.
Stratégie digitálnej transformácie
Otázky, s ktorými sa dnes spoločnosti obracajú na advokátsku kanceláriu, sú rôznorodé:
- Ako sa ma týka NIS-2, ak som dodávateľom kritickej infraštruktúry?
- Aké zásady potrebujem pre zákon o umelej inteligencii?
- Ako sa mám vysporiadať s novými právami na prístup k údajom podľa zákona o údajoch – bez toho, aby som ohrozil úroveň ochrany údajov, ktorú som doteraz vybudoval?
Okrem právneho posúdenia zohrávajú čoraz dôležitejšiu úlohu aj strategické otázky: Kde sa majú v spoločnosti nachádzať zodpovednosti? Ako vyvážiť dodržiavanie predpisov, kybernetickú bezpečnosť a inovácie? Raabe-Stuppnig a jej tím podporujú spoločnosti nielen pri implementácii, ale aj pri umiestňovaní v novom právnom rámci.
EÚ a USA: rozdielne základné postoje
Obzvlášť citlivou otázkou je používanie softvéru z tretích krajín – napríklad zo strany amerických hyperskalárov. Hoci aj v USA platia zákony o ochrane údajov, Raabe-Stuppnigová uviedla, že ochrana sa vzťahuje predovšetkým na občanov USA. Pre občanov EÚ sú tieto predpisy oveľa slabšie.
“Problém spočíva vo vážení: Bezpečnostné záujmy NSA majú často prednosť pred ochranou údajov neamerických občanov. Súdny dvor EÚ už dvakrát zistil túto neprimeranosť – a zrušil tak ústredné zásady, ako sú Safe Harbor a Privacy Shield.”
Zmena povedomia v Európe od roku 2018
Od nadobudnutia účinnosti GDPR sa povedomie v Európe výrazne zmenilo. Spoločnosti sú dnes oveľa citlivejšie, pokiaľ ide o zaobchádzanie s osobnými údajmi. Hlavnú úlohu v tom zohrala pozornosť médií venovaná rozhodnutiam o ochrane údajov a významným prípadom.
“Vytvorili sme zlatý štandard v oblasti ochrany údajov v Európe,” zhrnul Raabe-Stuppnig. “A je potešujúce vidieť, koľko spoločností sa aktívne usiluje nielen o splnenie tohto štandardu, ale aj o jeho využitie ako konkurenčnej výhody.”
Prečo je prenos údajov do USA taký citlivý a aká je dnes právna situácia v EÚ?
Diskusia o ochrane údajov medzi EÚ a USA je zložitá a predovšetkým veľmi dynamická z právneho hľadiska. Na rozdiel od krajín, ako je Švajčiarsko, pre ktoré bolo vydané tzv. rozhodnutie Komisie EÚ o primeranosti, situácia s USA bola a je oveľa komplikovanejšia. V takomto rozhodnutí sa uvádza, že osobné údaje sa môžu preniesť do tretej krajiny, pretože v nej existuje úroveň ochrany údajov porovnateľná s úrovňou ochrany údajov v EÚ. V krajinách ako Čína alebo Rusko – a dlho aj v USA – takéto rozhodnutie chýbalo.
Spracovanie údajov v USA – právne vyvažovanie
Napríklad hneď ako spoločnosti začnú spolupracovať s poskytovateľmi služieb spracovania údajov v USA, musia prijať dodatočné ochranné opatrenia na zachovanie úrovne ochrany údajov, ktorú vyžaduje GDPR. Znamená to viac úsilia, viac povinnosti kontroly – a väčšie riziko.
Praktický príklad: Aj keď si pre amerických poskytovateľov cloudu vyberiete umiestnenie servera v rámci EÚ, problém pretrváva – napríklad ak je európska dcérska spoločnosť podriadená materskej spoločnosti v USA. V prípade núdze by americké orgány, ako napríklad NSA, mohli požadovať prístup k údajom – a to aj prostredníctvom internej hierarchie riadenia. Umiestnenie servera v EÚ znižuje riziko, ale úplne ho neodstraňuje.
Od bezpečného prístavu k rámcu na ochranu osobných údajov: Prehľad
História dohôd o ochrane údajov medzi EÚ a USA je ako sled právnych neúspechov:
- Bezpečný prístav bol prvou dohodou, ktorou sa americkým spoločnostiam dobrovoľne uložili určité normy ochrany údajov. V roku 2015 bola zrušená rozsudkom vo veci Schrems I.
- Štít na ochranu súkromia bol nástupcom – revidovanou verziou Safe Harbor. Aj túto dohodu však Európsky súdny dvor v roku 2020 v rozsudku Schrems II vyhlásil za neplatnú.
- V reakcii na to vstúpil do platnosti rámec ochrany osobných údajov, na základe ktorého Komisia EÚ opäť prijala rozhodnutie o primeranosti pre USA.
Nové rozhodnutie však opäť stojí na vratkých základoch
Rámec na ochranu osobných údajov je totiž založený na výkonnom nariadení prezidenta USA, t. j. nariadení, ktoré môže byť teoreticky kedykoľvek zrušené . Kritici preto pochybujú o dlhodobej stabilite tohto rámca. Proti rozhodnutiu o primeranosti už bola podaná žaloba na Európsky súdny dvor – výsledok je otvorený.
Okrem toho zodpovedný americký dozorný orgán PCLOB v súčasnosti nemôže konať, pretože bývalý prezident Trump odvolal troch z jeho piatich manažérov. Výsledok: veľká neistota, nakoľko je mechanizmus ochrany údajov v USA skutočne stabilný.
Aký význam má rámec ochrany osobných údajov pre spoločnosti v EÚ?
Ak plánujete dlhodobo a chcete sa zamerať na bezpečnosť údajov, nemali by ste sa slepo spoliehať na rámec ochrany osobných údajov. Právna situácia sa môže rýchlo zmeniť – rovnako ako v minulosti. Posudzovanie vplyvu prenosu údajov (TIA) si vyžaduje veľa úsilia a jeho porušenie môže mať za následok prísne sankcie: až do výšky 4 % globálnych ročných príjmov.
Americké cloudové služby sú (stále) použiteľné, ale nie bez rizika
V súčasnosti sa cloudové služby od poskytovateľov z USA môžu používať v súlade s predpismi o ochrane údajov za predpokladu, že sú zavedené vhodné ochranné opatrenia, ako sú štandardné zmluvné doložky a technické bezpečnostné opatrenia. Stále však existuje zvyškové riziko. Problematické je najmä to, že stále neexistuje koncové šifrovanie vhodné na každodenné používanie pre všetky typy použitia – napríklad pri priebežnom spracúvaní údajov (“data in use”).
Využívanie služieb USA by sa preto malo vždy posudzovať individuálne: Ako citlivé sú spracúvané údaje? Aké bezpečnostné opatrenia sa prijímajú? A do akej miery je spoločnosť schopná skutočne zmierniť riziká?
Medzi čiernobielym a realistickým prístupom: Ako by mali spoločnosti riešiť ochranu údajov a poskytovateľov cloudových služieb
Otázka, či by spoločnosti mali používať len softvér a cloudové služby európskeho pôvodu – “všetko alebo nič” – znie na prvý pohľad ako jasný postoj. Ale presne pred tým varuje odborníčka na ochranu údajov Katharina Raabe-Stuppnigová. Takáto zásada je nielen nepraktická, ale aj ťažko odôvodniteľná pre orgány. Každé rozhodnutie o používaní softvéru alebo cloudových služieb sa musí robiť skôr individuálne – v závislosti od toho, aké citlivé sú spracúvané údaje a aké ochranné opatrenia sa dajú konkrétne prijať.
Nenechajte sa ukolísať falošným pocitom bezpečia – ani s rámcom ochrany osobných údajov
Ďalšia téma, ktorá v súčasnosti zamestnáva mnohé spoločnosti: Čo sa stane, ak Európsky súdny dvor (ESD) zruší nový rámec ochrany osobných údajov medzi EÚ a USA – ako to predtým urobili “Safe Harbor” a “Privacy Shield”? Odpoveď na túto otázku je jasná: opäť by vznikla obrovská právna neistota. Práve preto spoločnosť Kargl už teraz radí spoločnostiam , aby sa nespoliehali výlučne na rámec, ale aby sa okrem toho dohodli na štandardných zmluvných doložkách (SCC) . Tie by mali vždy obsahovať tzv. posúdenie vplyvu prenosu (TIA) – t. j. analýzu rizík prenosu údajov do tretích krajín.
Právnik však tiež jasne hovorí, že ak by rámec ochrany osobných údajov skutočne padol, a teda by sa zásadne spochybnila proporcionalita prenosu údajov do USA, TIA by tiež dosiahli svoje limity. Nádej potom spočíva v doplnkových technických a organizačných opatreniach – predovšetkým v šifrovaní.
Šifrovanie: Ambície a realita sa rozchádzajú
Orgány na ochranu údajov a Európsky súdny dvor požadujú od amerických poskytovateľov cloudových služieb jasné riešenie: údaje by sa mali ukladať len v zašifrovanej podobe a kľúč by sa mal spravovať mimo poskytovateľa – ideálne v Európe a pod kontrolou spoločnosti zodpovednej za údaje alebo európskeho správcu. Cieľom tohto takzvaného riešenia “externej správy kľúčov” je zabezpečiť, aby sa aj v prípade prístupu amerických orgánov, ako je napríklad NSA, mohli odovzdať len zašifrované, t. j. nepoužiteľné údaje.
Podľa Kathariny Raabe-Stuppnig sa však v praxi tento typ šifrovania dá použiť len na zálohovanie údajov. Akonáhle sa údaje
Úloha Európy: Príležitosti prostredníctvom Aktu o údajoch
Napriek týmto výzvam je právnik optimistický, pokiaľ ide o budúcnosť: Akt EÚ o údajoch udáva dôležitý smer. Poskytovatelia cloudu majú byť povinní umožniť multicloudové stratégie, t. j. podporovať bezproblémové prepínanie medzi poskytovateľmi – bez vysokých nákladov na zmenu. Ide o aktívnu snahu o posilnenie európskej suverenity v digitálnom priestore a o vytvorenie viacerých alternatív k americkým hyperskalárom v dlhodobom horizonte.
Otázkou zostáva, či to Európa ešte stihne , aby mohla v digitálnom priestore konať nezávislejšie a bezpečnejšie. Napriek tomu je pani Raabe-Stuppnigová presvedčená: Politická vôľa tu je – a s cieleným financovaním a reguláciou by sa čoskoro mohli objaviť životaschopné európske alternatívy.
Plošné upustenie od riešení z tretích krajín nie je možné ani právne požadované. Spoločnosti musia starostlivo zvážiť, aké citlivé sú ich údaje, ktorí partneri sú vhodní – a ktoré ochranné opatrenia môžu konkrétne zaviesť. Tí, ktorí sa už spoliehajú na SCC, TIA a šifrovanie, sú nielen na bezpečnej strane z právneho hľadiska, ale posilňujú aj svoje európske postavenie v digitálnej konkurencii.
