Katharina Raabe-Stuppnigová je vďaka svojej viac ako 15-ročnej praxi právničky, úlohe spoluzakladateľky poradného výboru pre ochranu údajov a aktívnej účasti na konaniach pred Európskym súdnym dvorom – spolu s Maxom Schremsom a Thomasom Lohningerom – jedným z najvplyvnejších hlasov v európskom práve ochrany údajov. Vo svojej advokátskej kancelárii na Wickenburggasse vo Viedni hovorí o svojej kariérnej ceste, výzvach GDPR a rastúcej zložitosti nových digitálnych zákonov EÚ.
Od mediálneho práva k ochrane údajov: expert v Rakúsku
Katharina Raabe-Stuppnig začala svoju kariéru v oblasti mediálneho práva. Radila vydavateľstvám a telekomunikačným spoločnostiam v otázkach týkajúcich sa práva hospodárskej súťaže, reklamy a zodpovednosti médií. Premostenie na ochranu údajov prišlo takmer automaticky: “Mnohí klienti ma oslovili a povedali: Vy poznáte naše procesy a naše vyvažovanie záujmov – môžete nás podporiť aj v oblasti ochrany údajov?”
Po nadobudnutí účinnosti GDPR sa ochrana údajov dostala viac do centra firemnej reality. Miliónové pokuty zvýšili tlak. Spoločnosti potrebovali jasné koncepty – a spoliehali sa na existujúce partnerstvá. V dôsledku toho sa právo na ochranu údajov vyvinulo z okrajovej záležitosti do centra ich aktivít.
“Mojím želaním by bolo posilniť európske hospodárstvo – prostredníctvom európskych alternatív. Digitálna stratégia a Akt o údajoch idú správnym smerom. Jedinou otázkou je: príde to včas?”
Mag. Kathrina Raabe-Stuppnig
Ochrana údajov ako nástroj
Od zavedenia GDPR v roku 2018 sa potreba právnej podpory enormne zvýšila – a stále je vysoká. Je to v neposlednom rade spôsobené tým, že nariadenie nerozlišuje medzi veľkými korporáciami a malými spoločnosťami. Všetky musia spĺňať rovnaké normy.
“Fungujúci systém riadenia ochrany údajov je dnes skutočným pomocníkom,” vysvetľuje Raabe-Stuppnig. “Poskytuje spoločnostiam prehľad o systémoch, procesoch a rizikách – a tvorí základ pre optimalizáciu a zvýšenie efektívnosti.”
Zároveň sa prostredie stáva čoraz zložitejším: nové právne predpisy, ako napríklad NIS-2, zákon o kybernetickej odolnosti, zákon o umelej inteligencii a zákon o údajoch, kladú na spoločnosti ďalšie požiadavky – vo všetkých odvetviach. Tí, ktorí už vytvorili stabilný základ ochrany údajov, majú teraz jasnú výhodu.
Stratégie digitálnej transformácie
Problémy, s ktorými sa dnes spoločnosti na firmu obracajú, sú rôzne:
- Ako sa ma týka NIS-2, ak som dodávateľom kritickej infraštruktúry?
- Aké zásady potrebujem pre zákon o umelej inteligencii?
- Ako sa vysporiadať s novými právami na prístup k údajom podľa zákona o údajoch – bez toho, aby bola ohrozená úroveň ochrany údajov, ktorú som doteraz dosiahol?
Okrem právneho posúdenia zohrávajú čoraz dôležitejšiu úlohu aj strategické otázky: Kam by sa mali v rámci spoločnosti prideliť zodpovednosti? Ako možno zosúladiť dodržiavanie predpisov, kybernetickú bezpečnosť a schopnosť inovovať? Raabe-Stuppnig a jej tím podporujú spoločnosti nielen pri implementácii, ale aj pri ich umiestňovaní v novom právnom rámci.
EÚ a USA: rozdielne základné postoje
Používanie softvéru z tretích krajín – napríklad zo strany amerických hyperskalárov – je obzvlášť citlivou otázkou. Hoci aj v USA existujú zákony na ochranu údajov, vysvetľuje Raabe-Stuppnig, ochrana sa vzťahuje predovšetkým na občanov USA. Pre občanov EÚ sú tieto predpisy podstatne slabšie.
“Problém spočíva vo vážení: bezpečnostné záujmy NSA majú často prednosť pred ochranou údajov neamerických občanov. Súdny dvor EÚ už dvakrát konštatoval túto neprimeranosť – a zrušil tak ústredné zásady, ako sú Safe Harbour a Privacy Shield.”
Zmena povedomia v Európe od roku 2018
Od nadobudnutia účinnosti GDPR sa povedomie v Európe výrazne zmenilo. Spoločnosti sú teraz oveľa citlivejšie, pokiaľ ide o zaobchádzanie s osobnými údajmi. Kľúčovú úlohu v tom zohrala pozornosť médií venovaná rozsudkom a významným prípadom v oblasti ochrany údajov.
“Vytvorili sme zlatý štandard ochrany údajov v Európe,” zhrnul Raabe-Stuppnig. “A je potešujúce vidieť, koľko spoločností sa aktívne snaží tento štandard nielen dodržiavať, ale aj využívať ako konkurenčnú výhodu.”
Prečo je prenos údajov do USA taký citlivý a aká je dnes právna situácia v EÚ?
Diskusia o ochrane údajov medzi EÚ a USA je zložitá a predovšetkým veľmi dynamická z právneho hľadiska. Na rozdiel od krajín, ako je Švajčiarsko, pre ktoré Komisia EÚ vydala tzv. rozhodnutie o primeranosti, situácia v USA bola a je oveľa zložitejšia. V takomto rozhodnutí sa uvádza, že osobné údaje sa môžu preniesť do tretej krajiny, pretože úroveň ochrany údajov v nej je porovnateľná s úrovňou ochrany údajov v EÚ. V krajinách ako Čína alebo Rusko – a dlho aj v USA – takéto rozhodnutie neexistovalo.
Spracovanie údajov v USA – právne vyvažovanie
Hneď ako spoločnosti začnú spolupracovať s poskytovateľmi služieb napríklad na spracúvaní údajov v USA, musia prijať dodatočné ochranné opatrenia, aby zachovali úroveň ochrany údajov, ktorú vyžaduje GDPR. To znamená viac úsilia, viac povinných kontrol – a väčšie riziko.
Praktický príklad: aj keď si pre poskytovateľov cloudu z USA vyberiete umiestnenie servera v rámci EÚ, problém stále existuje – napríklad ak je európska dcérska spoločnosť pod kontrolou materskej spoločnosti v USA. V prípade núdze by americké orgány, ako napríklad NSA, mohli požadovať prístup k údajom – dokonca aj prostredníctvom internej hierarchie riadenia. Umiestnenie servera v EÚ znižuje riziko, ale úplne ho neodstraňuje.
Od bezpečného prístavu k rámcu na ochranu osobných údajov: pohľad späť
História dohôd o ochrane údajov medzi EÚ a USA sa podobá sérii právnych neúspechov:
- Bezpečný prístav bol prvou dohodou, ktorá na dobrovoľnom základe zaviedla pre americké spoločnosti určité normy ochrany údajov. Bola zrušená v roku 2015 rozsudkom vo veci Schrems I.
- Štít na ochranu súkromia bol nástupcom – revidovanou verziou Safe Harbour. Aj túto dohodu však Európsky súdny dvor v rozsudku Schrems II v roku 2020 vyhlásil za neplatnú.
- V reakcii na to vstúpil do platnosti rámec na ochranu osobných údajov, na základe ktorého Komisia EÚ opäť prijala rozhodnutie o primeranosti pre USA.
Nové rozhodnutie je však opäť založené na vratkých základoch
Rámec na ochranu osobných údajov je totiž založený na výkonnom nariadení prezidenta USA – inými slovami, na nariadení, ktoré môže byť teoreticky kedykoľvek zrušené. Kritici preto pochybujú o dlhodobej stabilite tohto rámca. Proti rozhodnutiu o primeranosti už bola podaná žaloba na Európsky súdny dvor – výsledok je neistý.
Okrem toho príslušný dozorný orgán USA, PCLOB, v súčasnosti nemôže konať, pretože bývalý prezident Trump odvolal troch z jeho piatich riaditeľov. Výsledok: veľká neistota, nakoľko je mechanizmus ochrany údajov v USA skutočne stabilný.
Aký význam má rámec ochrany osobných údajov pre spoločnosti v EÚ?
Ak plánujete dlhodobo a chcete sa zamerať na bezpečnosť údajov, nemali by ste sa slepo spoliehať na rámec ochrany osobných údajov. Tak ako v minulosti, aj teraz sa môže právna situácia rýchlo zmeniť. Náklady na posúdenie vplyvu prenosu údajov (TIA) sú vysoké a ich porušenie môže mať za následok prísne sankcie až do výšky 4 % ročného globálneho obratu.
Americké cloudové služby sú (stále) použiteľné, ale nie bez rizika
Cloudové služby od poskytovateľov z USA sa v súčasnosti môžu používať v súlade s **nariadeniami o ochrane údajov za predpokladu, že sú zavedené **vhodné ochranné opatrenia, ako sú štandardné zmluvné doložky a technické bezpečnostné opatrenia. Stále však existuje zvyškové riziko. Problematické je najmä to, že stále neexistuje koncové šifrovanie vhodné na každodenné používanie pre všetky typy použitia – napríklad na priebežné spracovanie údajov (“údaje pri používaní”).
Využívanie služieb USA by sa preto malo vždy posudzovať individuálne: Ako citlivé sú spracúvané údaje? Aké bezpečnostné opatrenia sú prijaté? A do akej miery je spoločnosť skutočne schopná zmierniť riziká?
Medzi čiernobielym a realistickým prístupom: ako by mali spoločnosti riešiť ochranu údajov a poskytovateľov cloudových služieb
Otázka, či by spoločnosti mali používať len softvér a cloudové služby európskeho pôvodu – “úplne alebo vôbec” – znie na prvý pohľad ako jasný postoj. Ale práve pred tým varuje odborníčka na ochranu údajov Katharina Raabe-Stuppnigová. Takáto zásada je nielen nepraktická, ale aj ťažko zdôvodniteľná pred úradmi. Namiesto toho sa každé rozhodnutie o používaní softvéru alebo cloudových služieb musí robiť individuálne – v závislosti od toho, aké citlivé sú spracúvané údaje a aké konkrétne ochranné opatrenia možno prijať.
Nenechajte sa ukolísať falošným pocitom bezpečia – ani v prípade rámca ochrany osobných údajov
Ďalšia téma, ktorá v súčasnosti zamestnáva mnohé spoločnosti: Čo sa stane, ak Európsky súdny dvor (ESD) zruší nový rámec ochrany osobných údajov medzi EÚ a USA – ako to už urobil v prípade “Safe Harbour” a “Privacy Shield”? Odpoveď je jasná: opäť by vznikla obrovská právna neistota. Práve preto spoločnosť Kargl už teraz radí spoločnostiam , aby sa nespoliehali len na rámec, ale aby si dohodli ďalšie štandardné zmluvné doložky (SCC). Tie by mali vždy obsahovať posúdenie vplyvu prenosu (TIA) – t. j. analýzu rizík prenosu údajov do tretích krajín.
Právnik však tiež jasne uvádza, že ak by rámec ochrany osobných údajov skutočne padol a proporcionalita prenosu údajov do USA by bola zásadne spochybnená, TIA by tiež dosiahli svoje limity. Nádej potom spočíva v doplnkových technických a organizačných opatreniach – predovšetkým v šifrovaní.
Šifrovanie: tvrdenie a skutočnosť sa rozchádzajú
Orgány na ochranu údajov a Európsky súdny dvor požadujú od amerických poskytovateľov cloudových služieb jasné riešenie: údaje by sa mali ukladať len v zašifrovanej podobe a kľúč by sa mal spravovať mimo poskytovateľa – ideálne v Európe a pod kontrolou spoločnosti zodpovednej za údaje alebo európskeho správcu. Cieľom tohto takzvaného riešenia ” externej správy kľúčov” je zabezpečiť, aby sa aj v prípade prístupu amerických orgánov, ako je napríklad NSA, mohli odovzdať len zašifrované, t. j. nepoužiteľné údaje.
Podľa Kathariny Raabe-Stuppnig sa však v praxi tento typ šifrovania dá použiť len na zálohovanie údajov. Akonáhle sa údaje aktívne spracúvajú v každodennom živote, je potrebný prístup k nezašifrovanému materiálu. Práve v tom spočíva problém: technológia, ktorá umožňuje kompletné spracovanie údajov v zašifrovanom stave, v súčasnosti existuje len vo veľmi obmedzenom rozsahu – napríklad na jednoduché výpočty alebo odhady v špecifických scenároch. Súčasný stav techniky zatiaľ nie je dostatočný na široké využitie, aké sa vyžaduje v hospodárstve.
Úloha Európy: príležitosti prostredníctvom Aktu o údajoch
Napriek týmto výzvam sa právnik pozerá do budúcnosti optimisticky: Akt EÚ o údajoch určí dôležitý smer. Poskytovatelia cloudu budú povinní umožniť multicloudové stratégie, t. j. podporovať jednoduchý prechod medzi poskytovateľmi – bez vysokých nákladov na zmenu. Tým sa bude aktívne pracovať na posilnení európskej suverenity v digitálnom priestore a v dlhodobom horizonte sa vytvorí viac alternatív k americkým hyperskalátorom.
Otázkou zostáva, či bude Európa časom schopná konať nezávislejšie a bezpečnejšie v digitálnom priestore . Pani Raabe-Stuppnigová je napriek tomu presvedčená: “Politická vôľa tu je – a s cielenou podporou a reguláciou by sa čoskoro mohli objaviť životaschopné európske alternatívy.
Plošné zrušenie riešení tretích krajín nie je možné ani právne požadované. Spoločnosti musia starostlivo zvážiť, aké citlivé sú ich údaje, ktorí partneri sú vhodní – a ktoré konkrétne ochranné opatrenia môžu zaviesť. Tí, ktorí sa už spoliehajú na SCC, TIA a šifrovanie, sú nielen na bezpečnej strane z právneho hľadiska, ale posilňujú aj pozíciu Európy v digitálnej konkurencii.
