Ochrana údajov v Európe - sproof

Katharina Raabe-Stuppnig začala svoju kariéru v oblasti mediálneho práva. Radila vydavateľstvám a telekomunikačným spoločnostiam v otázkach práva hospodárskej súťaže, reklamy a zodpovednosti médií. K ochrane údajov sa dostala takmer automaticky: "Mnohí klienti sa na mňa obrátili a povedali: Vy poznáte naše procesy a naše vyvažovanie záujmov - môžete nás podporiť aj v oblasti ochrany údajov?"

Keď vstúpilo do platnosti nariadenie GDPR, ochrana údajov sa presunula viac do centra podnikovej reality. Miliónové pokuty zvýšili tlak. Spoločnosti potrebovali jasné koncepty - a spoliehali sa na existujúce partnerstvá. V dôsledku toho sa zákon o ochrane údajov vyvinul z okrajovej záležitosti do centra ich aktivít.

Od zavedenia GDPR v roku 2018 sa potreba právnej podpory enormne zvýšila - a stále je vysoká. Je to v neposlednom rade spôsobené tým, že nariadenie nerozlišuje medzi veľkými korporáciami a malými spoločnosťami. Všetci musia spĺňať rovnaké normy.

"Fungujúci systém riadenia ochrany údajov je dnes skutočným pomocníkom," vysvetľuje Raabe-Stuppnig. "Poskytuje spoločnostiam prehľad o systémoch, procesoch a rizikách - a tvorí základ pre optimalizáciu a zvýšenie efektívnosti."

Prostredie je zároveň čoraz zložitejšie: nové právne predpisy, ako napríklad NIS-2, zákon o kybernetickej odolnosti, zákon o umelej inteligencii a zákon o údajoch, kladú na spoločnosti ďalšie požiadavky - vo všetkých odvetviach. Tí, ktorí už vytvorili stabilný základ ochrany údajov, majú teraz jasnú výhodu.

Otázky, s ktorými sa dnes spoločnosti obracajú na advokátsku kanceláriu, sú rôznorodé:

• Ako sa ma týka NIS-2, ak som dodávateľom kritickej infraštruktúry?

• Aké zásady potrebujem pre zákon o umelej inteligencii?

• Ako sa vysporiadam s novými právami na prístup k údajom podľa zákona o údajoch - bez toho, aby som ohrozil úroveň ochrany údajov, ktorú som si doteraz vybudoval?

Okrem právneho posúdenia zohrávajú čoraz dôležitejšiu úlohu strategické otázky: Kde by sa mali v rámci spoločnosti prideliť zodpovednosti? Ako možno zladiť dodržiavanie predpisov, kybernetickú bezpečnosť a schopnosť inovovať? Raabe-Stuppnigová a jej tím podporujú spoločnosti nielen pri implementácii, ale aj pri umiestňovaní sa v novom právnom rámci.

Používanie softvéru z tretích krajín - napríklad zo strany amerických hyperskalárov - je obzvlášť citlivou otázkou. Hoci aj v USA existujú zákony na ochranu údajov, vysvetľuje Raabe-Stuppnig, ochrana sa vzťahuje predovšetkým na občanov USA. Pre občanov EÚ sú tieto predpisy podstatne slabšie.

"Problém spočíva vo vážení: bezpečnostné záujmy NSA majú často prednosť pred ochranou údajov neamerických občanov. Súdny dvor EÚ už dvakrát zistil túto neprimeranosť - a zrušil tak ústredné zásady, ako sú Safe Harbor a Privacy Shield."

Od nadobudnutia účinnosti GDPR sa povedomie v Európe výrazne zmenilo. Spoločnosti sú teraz pri spracúvaní osobných údajov oveľa citlivejšie. Kľúčovú úlohu v tom zohrala pozornosť médií venovaná rozsudkom a významným prípadom v oblasti ochrany údajov.

"Vytvorili sme zlatý štandard ochrany údajov v Európe," zhrňuje Raabe-Stuppnig. "A je potešujúce vidieť, koľko spoločností sa aktívne snaží tento štandard nielen dodržiavať, ale využívať ho ako konkurenčnú výhodu."

Diskusia o ochrane údajov medzi EÚ a USA je zložitá a predovšetkým veľmi dynamická z právneho hľadiska. Na rozdiel od krajín, ako je Švajčiarsko, pre ktoré Komisia EÚ vydala tzv. rozhodnutie o primeranosti, situácia s USA bola a je oveľa zložitejšia. V takomto rozhodnutí sa uvádza, že osobné údaje sa môžu preniesť do tretej krajiny, pretože úroveň ochrany údajov v nej je porovnateľná s úrovňou ochrany údajov v EÚ. V krajinách ako Čína alebo Rusko - a dlho aj v USA - takéto rozhodnutie neexistovalo.

Hneď ako spoločnosti začnú spolupracovať s poskytovateľmi služieb napríklad na spracúvaní údajov v USA, musia prijať dodatočné ochranné opatrenia na zachovanie úrovne ochrany údajov, ktorú vyžaduje GDPR. To znamená viac úsilia, viac povinných kontrol - a väčšie riziko.

Praktický príklad: aj keď si pre poskytovateľov cloudových služieb v USA vyberiete umiestnenie servera v rámci EÚ, problém stále existuje - napríklad ak je európska dcérska spoločnosť pod kontrolou materskej spoločnosti v USA. V prípade núdze by americké orgány, ako napríklad NSA, mohli požadovať prístup k údajom - dokonca aj prostredníctvom internej hierarchie riadenia. Umiestnenie servera v EÚ znižuje riziko, ale úplne ho neodstraňuje.

História dohôd o ochrane údajov medzi EÚ a USA sa podobá sérii právnych neúspechov:

• Safe Harbor bola prvou dohodou, ktorá na dobrovoľnom základe zaviedla určité normy ochrany údajov pre americké spoločnosti. Bola zrušená v roku 2015 rozsudkom vo veci Schrems I.

• Privacy Shield bol jej nástupcom - revidovanou verziou Safe Harbor. Aj túto dohodu však Európsky súdny dvor v roku 2020 vyhlásil za neplatnú rozsudkom Schrems II.

• V reakcii na to vstúpil do platnosti rámec ochrany osobných údajov, na základe ktorého Komisia EÚ opäť prijala rozhodnutie o primeranosti pre USA.

Rámec na ochranu osobných údajov je totiž založený na výkonnom nariadení prezidenta USA - nariadení, ktoré môže byť teoreticky kedykoľvek zrušené. Kritici preto pochybujú o dlhodobej stabilite tohto rámca. Proti rozhodnutiu o primeranosti už bola podaná žaloba na Európsky súdny dvor - výsledok je neistý.

Okrem toho zodpovedný americký dozorný orgán PCLOB v súčasnosti nemôže konať, pretože bývalý prezident Trump odvolal troch z jeho piatich riaditeľov. Výsledok: veľká neistota, nakoľko je mechanizmus ochrany údajov v USA skutočne stabilný.

Ak plánujete dlhodobo a chcete sa zamerať na bezpečnosť údajov, nemali by ste sa slepo spoliehať na rámec ochrany osobných údajov. Tak ako v minulosti, aj teraz sa môže právna situácia rýchlo zmeniť. Náklady na posúdenie vplyvu prenosu údajov (TIA ) sú vysoké a ich porušenie môže mať za následok prísne sankcie až do výšky 4 % ročného globálneho obratu.

Cloudové služby od poskytovateľov z USA sa v súčasnosti môžu používať v súlade s **nariadeniami o ochrane údajov za predpokladu, že sú zavedené **vhodné ochranné opatrenia, ako sú štandardné zmluvné doložky a technické bezpečnostné opatrenia. Stále však existuje zvyškové riziko. Problematické je najmä to, že stále neexistuje koncové šifrovanie vhodné na každodenné používanie pre všetky typy použitia - napríklad na priebežné spracovanie údajov ("údaje pri používaní").

Používanie služieb USA by sa preto malo vždy posudzovať individuálne: Ako citlivé sú spracovávané údaje? Aké bezpečnostné opatrenia sú prijaté? A do akej miery je spoločnosť skutočne schopná zmierniť riziká?

Otázka, či by spoločnosti mali používať len softvér a cloudové služby európskeho pôvodu - "úplne alebo vôbec" - znie na prvý pohľad ako jasný postoj. Ale práve pred tým varuje odborníčka na ochranu údajov Katharina Raabe-Stuppnigová. Takáto zásada je nielen nepraktická, ale aj ťažko zdôvodniteľná pred úradmi. Namiesto toho sa každé rozhodnutie o používaní softvéru alebo cloudových služieb musí robiť individuálne - v závislosti od toho, aké citlivé sú spracúvané údaje a aké konkrétne ochranné opatrenia možno prijať.

Ďalšia téma, ktorá v súčasnosti zamestnáva mnohé spoločnosti: Čo sa stane, ak Európsky súdny dvor (ESD) zruší nový rámec ochrany osobných údajov medzi EÚ a USA - ako to už urobil v prípade "Safe Harbor" a "Privacy Shield"? Odpoveď je jasná: opäť by vznikla obrovská právna neistota. Práve preto spoločnosť Kargl už teraz radí spoločnostiam, aby sa nespoliehali len na rámec, ale aby si dohodli ďalšie štandardné zmluvné doložky (SCC). Tie by mali vždy obsahovať posúdenie vplyvu prenosu (TIA) - t. j. analýzu rizík prenosu údajov do tretích krajín.

Právnik však tiež jasne uvádza, že ak by rámec ochrany osobných údajov skutočne padol a proporcionalita prenosu údajov do USA by bola zásadne spochybnená, TIA by tiež dosiahla svoje limity. Nádej potom spočíva v doplnkových technických a organizačných opatreniach - predovšetkým v šifrovaní.

Orgány na ochranu údajov a Európsky súdny dvor požadujú od amerických poskytovateľov cloudových služieb jasné riešenie: údaje by sa mali ukladať len v zašifrovanej podobe a kľúč by sa mal spravovať mimo poskytovateľa - ideálne v Európe a pod kontrolou spoločnosti zodpovednej za údaje alebo európskeho správcu. Cieľom tohto takzvaného ** riešenia "externej správy kľúčov** " je zabezpečiť, aby sa aj v prípade prístupu amerických orgánov, ako je napríklad NSA, mohli odovzdať len zašifrované, t. j. nepoužiteľné údaje.

V praxi sa však podľa Kathariny Raabe-Stuppnigovej tento typ šifrovania dá skutočne realizovať len pre záložné údaje. Akonáhle sa údaje aktívne spracúvajú v každodennom živote, je potrebný prístup k nezašifrovanému materiálu. Práve v tom spočíva problém: technológia, ktorá umožňuje kompletné spracovanie údajov v zašifrovanom stave, v súčasnosti existuje len vo veľmi obmedzenom rozsahu - napríklad na jednoduché výpočty alebo odhady v špecifických scenároch. Súčasný stav techniky zatiaľ nepostačuje na široké využitie, aké sa vyžaduje v podnikaní.

Napriek týmto výzvam sa právnik pozerá do budúcnosti optimisticky: Akt EÚ o údajoch určí dôležitý smer. Poskytovatelia cloudu budú povinní umožniť multicloudové stratégie, t. j. podporovať jednoduché prepínanie medzi poskytovateľmi - bez vysokých nákladov na zmenu. Ide o aktívnu snahu posilniť európsku suverenitu v digitálnom priestore a vytvoriť z dlhodobého hľadiska viac alternatív k americkým hyperskalátorom.

Otázkou zostáva, či bude Európa časom schopná konať v digitálnom priestore nezávislejšie a bezpečnejšie. Pani Raabe-Stuppnigová je napriek tomu presvedčená: "Politická vôľa tu je - a s cielenou podporou a reguláciou by sa čoskoro mohli objaviť životaschopné európske alternatívy.

Plošné zrieknutie sa riešení z tretích krajín nie je prakticky možné ani právne potrebné. Spoločnosti musia starostlivo zvážiť, aké citlivé sú ich údaje, ktorí partneri sú vhodní - a ktoré konkrétne ochranné opatrenia môžu zaviesť. Tí, ktorí sa už spoliehajú na SCC, TIA a šifrovanie, sú nielen na bezpečnej strane z právneho hľadiska, ale posilňujú aj pozíciu Európy v digitálnej súťaži.