Katharina Raabe-Stuppnig je z več kot 15 leti odvetniških izkušenj, vlogo soustanoviteljice svetovalnega odbora za varstvo podatkov in aktivnim sodelovanjem v postopkih pred Sodiščem Evropskih skupnosti – skupaj z Maxom Schremsom in Thomasom Lohningerjem – eden od najvplivnejših glasov na področju evropskega prava o varstvu podatkov. V svoji odvetniški pisarni na Wickenburggasse na Dunaju govori o svoji poklicni poti, izzivih GDPR in vse večji zapletenosti, ki jo povzročajo novi digitalni zakoni EU.
Od medijskega prava do varstva podatkov: Strokovnjak v Avstriji
Katharina Raabe-Stuppnig je svojo poklicno pot začela na področju medijskega prava. Založniškim hišam in telekomunikacijskim podjetjem je svetovala na področju konkurenčnega prava, oglaševanja in medijske odgovornosti. Prehod na varstvo podatkov je bil skoraj samodejen: “Številne stranke so se obrnile name in mi rekle: “Veliko jih je bilo: Ali nam lahko pomagate tudi pri varstvu podatkov?”
Ko je začela veljati uredba GDPR, je varstvo podatkov postalo bolj v središču podjetniške realnosti. Milijonske globe so povečale pritisk. Podjetja potrebujejo jasne koncepte – in se zanašajo na obstoječa partnerstva. Posledično se je pravo o varstvu podatkov iz obrobne teme razvilo v osrednje področje njenega dela.
“Moja želja je okrepiti evropsko gospodarstvo z evropskimi alternativami. Digitalna strategija in akt o podatkih sta korak v pravo smer. Vprašanje je le: ali bo to prišlo pravočasno?”
Mag. Kathrina Raabe-Stuppnig
Varstvo podatkov kot spodbujevalec
Po uvedbi GDPR leta 2018 se je potreba po pravni podpori zelo povečala – in je še vedno velika. Ne nazadnje tudi zato, ker uredba ne razlikuje med velikimi in malimi podjetji. Vsa morajo izpolnjevati enake standarde.
“Delujoči sistem za upravljanje varstva podatkov je danes pravi pripomoček,” pojasnjuje Raabe-Stuppnig. “Podjetjem omogoča pregled nad sistemi, procesi in tveganji ter je podlaga za optimizacijo in povečanje učinkovitosti.”
Hkrati postaja okolje vse bolj zapleteno: nova zakonodaja, kot so NIS-2, Zakon o kibernetski odpornosti, Zakon o umetni inteligenci ali Zakon o podatkih, postavlja podjetjem dodatne zahteve – v vseh panogah. Tisti, ki so že ustvarili stabilne temelje za varstvo podatkov, imajo jasno prednost.
Strategije digitalne preobrazbe
Vprašanja, s katerimi se podjetja danes obračajo na odvetniško pisarno, so različna:
- Kako NIS-2 vpliva name, če sem dobavitelj kritične infrastrukture?
- Katere politike potrebujem za zakon o umetni inteligenci?
- Kako ravnati z novimi pravicami dostopa do podatkov v skladu z zakonom o podatkih, ne da bi ogrozili raven varstva podatkov, ki sem jo vzpostavil do zdaj?
Poleg pravnih ocen imajo vse pomembnejšo vlogo tudi strateška vprašanja: Kje v podjetju je treba razporediti odgovornosti? Kako uravnotežiti skladnost, kibernetsko varnost in inovacije? Raabe-Stuppnig in njena ekipa podjetij ne podpirajo le pri izvajanju, temveč tudi pri umeščanju v nov pravni okvir.
EU in ZDA: različna osnovna stališča
Posebej občutljivo vprašanje je uporaba programske opreme iz tretjih držav, na primer ameriških hiperskalerjev. Čeprav tudi v ZDA obstajajo zakoni o varstvu podatkov, Raabe-Stuppnig pravi, da to varstvo velja predvsem za državljane ZDA. Za državljane EU so ti predpisi veliko šibkejši.
“Težava je v ponderiranju: Varnostni interesi NSA imajo pogosto prednost pred varstvom podatkov neameriških državljanov. Sodišče EU je to nesorazmernost ugotovilo že dvakrat – in tako razveljavilo osrednja načela, kot sta varni pristan in zasebnostni ščit.”
Sprememba ozaveščenosti v Evropi od leta 2018
Od začetka veljavnosti uredbe GDPR se je ozaveščenost v Evropi opazno spremenila. Podjetja so danes veliko bolj občutljiva pri ravnanju z osebnimi podatki. Pri tem je imela osrednjo vlogo medijska pozornost v zvezi s sodbami o varstvu podatkov in odmevnimi primeri.
“Ustvarili smo zlati standard na področju varstva podatkov v Evropi,” povzame Raabe-Stuppnig. “In razveseljivo je videti, koliko podjetij si dejavno prizadeva, da bi ta standard ne le izpolnila, ampak ga tudi uporabila kot konkurenčno prednost.”
Zakaj je prenos podatkov v ZDA tako občutljiv in kakšen je danes pravni položaj v EU?
Razprava o varstvu podatkov med EU in ZDA je zapletena, predvsem pa zelo dinamična s pravnega vidika. V nasprotju z državami, kot je Švica, za katero je Komisija EU izdala tako imenovano odločbo o ustreznosti, je bil in je položaj z ZDA veliko bolj zapleten. Takšna odločba določa, da se osebni podatki lahko prenesejo v tretjo državo, ker je raven varstva podatkov v njej primerljiva z ravnijo varstva podatkov v EU. V državah, kot sta Kitajska ali Rusija – in dolgo časa tudi v ZDA – takšnega sklepa ni bilo.
Obdelava podatkov v ZDA – pravno ravnovesje
Na primer, takoj ko podjetja začnejo sodelovati s ponudniki storitev obdelave podatkov v ZDA, morajo sprejeti dodatne zaščitne ukrepe, da ohranijo raven varstva podatkov, ki jo zahteva GDPR. To pomeni več truda, več obveznosti preverjanja – in več tveganja.
Praktični primer: Tudi če za ameriške ponudnike storitev v oblaku izberete lokacijo strežnika v EU, težava ostaja – na primer, če je evropska podružnica podrejena ameriški matični družbi. V nujnih primerih lahko ameriški organi, kot je NSA, zahtevajo dostop do podatkov – tudi prek notranje verige poveljevanja. Lokacija strežnika v EU zmanjša tveganje, vendar ga ne odpravi v celoti.
Od varnega pristana do okvira zasebnosti podatkov: Pregled
Zgodovina sporazumov o varstvu podatkov med EU in ZDA je podobna vrsti pravnih neuspehov:
- “Varni pristan” je bil prvi sporazum, ki je ameriškim podjetjem prostovoljno naložil določene standarde za varstvo podatkov. Leta 2015 je bil razveljavljen s sodbo Schrems I.
- Zasebnostni ščit je bil naslednik – revidirana različica varnega pristana. Vendar je tudi ta sporazum Sodišče Evropskih skupnosti leta 2020 v sodbi Schrems II razglasilo za neveljavnega.
- Kot odgovor je začel veljati okvir za varstvo zasebnosti podatkov, na podlagi katerega je Komisija EU ponovno sprejela sklep o ustreznosti za ZDA.
Vendar pa je nova odločitev ponovno temeljila na negotovih temeljih.
Okvir zasebnosti podatkov namreč temelji na izvršilnem ukazu predsednika ZDA, tj. ukazu, ki ga je teoretično mogoče kadar koli preklicati . Kritiki zato dvomijo v dolgoročno stabilnost tega okvira. Zoper sklep o ustreznosti je bila na Sodišču Evropskih skupnosti že vložena tožba – izid je še odprt.
Poleg tega pristojni nadzorni organ ZDA PCLOB trenutno ne more ukrepati, saj je nekdanji predsednik Trump odstavil tri od petih vodij. Rezultat: velika negotovost glede tega, kako stabilen je v resnici mehanizem za varstvo podatkov v ZDA.
Kako pomemben je okvir zasebnosti podatkov za podjetja v EU?
Če načrtujete dolgoročno in se želite osredotočiti na varnost podatkov, se ne smete slepo zanašati na okvir zasebnosti podatkov. Pravni položaj se lahko hitro spremeni – tako kot v preteklosti. Ocene učinka prenosa podatkov (TIA) zahtevajo veliko truda, kršitve pa lahko povzročijo stroge kazni: do 4 % svetovnih letnih prihodkov.
Storitve v oblaku v ZDA so (še vedno) uporabne, vendar ne brez tveganja
Trenutno se lahko storitve v oblaku ponudnikov iz ZDA uporabljajo v skladu s predpisi o varstvu podatkov, če se izvajajo ustrezni zaščitni ukrepi, kot so standardne pogodbene klavzule in tehnični varnostni ukrepi. Vendar še vedno obstaja preostalo tveganje. Še posebej problematično je, da še vedno ni šifriranja od konca do konca, ki bi bilo primerno za vsakodnevno uporabo za vse vrste uporabe – na primer pri tekoči obdelavi podatkov (“podatki v uporabi”).
Zato je treba uporabo storitev ZDA vedno oceniti individualno: Kako občutljivi so obdelovani podatki? Kateri varnostni ukrepi so bili sprejeti? In v kolikšni meri lahko podjetje dejansko ublaži tveganja?
Med črno-belo in realnostjo: kako naj podjetja obravnavajo zaščito podatkov in ponudnike storitev v oblaku
Vprašanje, ali naj podjetja uporabljajo samo programsko opremo in storitve v oblaku evropskega izvora – “vse ali nič” – se sprva zdi jasno. Toda prav pred tem svari strokovnjakinja za varstvo podatkov Katharina Raabe-Stuppnig. Takšno načelo ni le nepraktično, temveč ga je tudi težko utemeljiti pred organi. Namesto tega je treba vsako odločitev o uporabi programske opreme ali storitev v oblaku sprejeti za vsak primer posebej – odvisno od tega, kako občutljivi so obdelovani podatki in kakšne zaščitne ukrepe je mogoče konkretno sprejeti.
Ne pustite se premamiti z lažnim občutkom varnosti – tudi z okvirom zasebnosti
Še ena tema, ki trenutno zaposluje številna podjetja: Kaj se bo zgodilo, če bo Evropsko sodišče razveljavilo novi okvir zasebnosti podatkov med EU in ZDA, kot sta to storila “varni pristan” in “zasebnostni ščit”? Odgovor na to je jasen: spet
Vendar pa je odvetnik tudi jasen: če bi okvir za varstvo zasebnosti podatkov dejansko padel in bi bila sorazmernost prenosa podatkov v ZDA v temelju vprašljiva, bi tudi TIA dosegle svoje meje. Takrat se upanje opira na dodatne tehnične in organizacijske ukrepe – predvsem na šifriranje.
Šifriranje: Želje in realnost se razhajajo
Organi za varstvo podatkov in Sodišče EU od ameriških ponudnikov storitev v oblaku zahtevajo jasno rešitev: podatke je treba hraniti le v šifrirani obliki, ključ pa je treba upravljati zunaj ponudnika – po možnosti v Evropi in pod nadzorom podjetja, ki je odgovorno za podatke, ali evropskega skrbnika. Cilj te tako imenovane rešitve “zunanjega upravljanja ključev” je zagotoviti, da se tudi v primeru dostopa ameriških organov, kot je NSA, lahko posredujejo le šifrirani, tj. neuporabni podatki.
Katharina Raabe-Stuppnig meni, da je v praksi to vrsto šifriranja m ogoče uporabiti le za varnostne kopije podatkov. Takoj ko se podatki
Vloga Evrope: Priložnosti, ki jih prinaša Akt o podatkih
Kljub tem izzivom je odvetnik optimističen glede prihodnosti: Zakon EU o varstvu podatkov določa pomembno smer. Ponudniki storitev v oblaku bodo morali omogočiti večoblačne strategije, tj. podpirati nemoteno prehajanje med ponudniki – brez visokih stroškov prehoda. Gre za aktivno prizadevanje za krepitev evropske suverenosti v digitalnem prostoru in dolgoročno ustvarjanje več alternativ ameriškim hiperskalerjem.
Vprašanje ostaja, ali bo Evropa to zmogla pravočasno, da bo lahko v digitalnem prostoru delovala bolj neodvisno in varno. Kljub temu je gospa Raabe-Stuppnig prepričana: Politična volja obstaja, z usmerjenim financiranjem in predpisi pa bi se lahko kmalu pojavile izvedljive evropske alternative.
Splošna opustitev rešitev iz tretjih držav ni niti izvedljiva niti pravno zahtevana. Podjetja morajo skrbno pretehtati, kako občutljivi so njihovi podatki, kateri partnerji so primerni – in katere zaščitne ukrepe lahko konkretno izvedejo. Tisti, ki se že zanašajo na SCC, TIA in šifriranje, niso le pravno na varni strani, temveč tudi krepijo svoj evropski položaj v digitalni konkurenci.
