Varstvo podatkov v Evropi - sproof

Katharina Raabe-Stuppnig je svojo poklicno pot začela na področju medijskega prava. Založniškim hišam in telekomunikacijskim podjetjem je svetovala pri vprašanjih konkurenčnega prava, oglaševanja in odgovornosti medijev. Prehod na področje varstva podatkov je bil skoraj samodejen: "Številne stranke so se obrnile name in mi rekle: "Veliko strank se je obrnilo name in reklo: Ali nam lahko pomagate tudi pri varstvu podatkov?"

Ko je začela veljati uredba GDPR, se je varstvo podatkov še bolj pomaknilo v središče podjetniške realnosti. Milijonske globe so povečale pritisk. Podjetja so potrebovala jasne koncepte - in se zanašala na obstoječa partnerstva. Posledično se je zakonodaja o varstvu podatkov iz obrobnega vprašanja spremenila v osrednji poudarek njihovih dejavnosti.

Po uvedbi GDPR leta 2018 se je potreba po pravni podpori zelo povečala - in je še vedno velika. To je nenazadnje posledica dejstva, da uredba ne razlikuje med velikimi in malimi podjetji. Vsi morajo izpolnjevati enake standarde.

"Delujoč sistem za upravljanje varstva podatkov je danes prava pomoč," pojasnjuje Raabe-Stuppnig. "Podjetjem omogoča pregled nad sistemi, procesi in tveganji ter je podlaga za optimizacijo in večjo učinkovitost."

Hkrati postaja okolje vse bolj kompleksno: nova zakonodaja, kot so NIS-2, zakon o kibernetski odpornosti, zakon o umetni inteligenci in zakon o podatkih, postavlja dodatne zahteve podjetjem - v vseh panogah. Tisti, ki so že ustvarili stabilne temelje za varstvo podatkov, so zdaj v očitni prednosti.

Vprašanja, s katerimi se podjetja danes obračajo na odvetniško pisarno, so različna:

• Kako NIS-2 vpliva name, če sem dobavitelj kritične infrastrukture?

• Katere politike potrebujem za zakon o umetni inteligenci?

• Kako naj ravnam z novimi pravicami dostopa do podatkov v skladu z zakonom o podatkih - ne da bi pri tem ogrozil raven varstva podatkov, ki sem jo vzpostavil do zdaj?

Poleg pravnih ocen imajo vse pomembnejšo vlogo tudi strateška vprašanja: Kje v podjetju je treba dodeliti odgovornosti? Kako uskladiti skladnost, kibernetsko varnost in sposobnost inoviranja? Raabe-Stuppnig in njena ekipa podjetjem ne pomagajo le pri izvajanju, temveč tudi pri umeščanju v nov pravni okvir.

Uporaba programske opreme iz tretjih držav, na primer ameriških hiperskalerjev, je še posebej občutljivo vprašanje. Raabe-Stuppnig pojasnjuje, da čeprav tudi v ZDA obstajajo zakoni o varstvu podatkov, velja varstvo predvsem za državljane ZDA. Za državljane EU so ti predpisi bistveno šibkejši.

"Težava je v tehtanju: varnostni interesi NSA imajo pogosto prednost pred varstvom podatkov neameriških državljanov. Sodišče EU je to nesorazmernost ugotovilo že dvakrat - in tako razveljavilo osrednja načela, kot sta varni pristan in zasebnostni ščit."

Od začetka veljavnosti uredbe GDPR se je ozaveščenost v Evropi opazno spremenila. Podjetja so zdaj veliko bolj občutljiva pri ravnanju z osebnimi podatki. Ključno vlogo pri tem je imela medijska pozornost v zvezi s sodbami o varstvu podatkov in pomembnimi primeri.

"Ustvarili smo zlati standard za varstvo podatkov v Evropi," povzame Raabe-Stuppnig. "In razveseljivo je videti, koliko podjetij si dejavno prizadeva, da bi ta standard ne le izpolnjevala, ampak ga tudi uporabila kot konkurenčno prednost."

Razprava o varstvu podatkov med EU in ZDA je zapletena, predvsem pa zelo dinamična s pravnega vidika. V nasprotju z državami, kot je Švica, za katero je Komisija EU izdala tako imenovano odločbo o ustreznosti, je bil in je položaj z ZDA veliko bolj zapleten. Takšna odločba določa, da se osebni podatki lahko prenesejo v tretjo državo, ker je raven varstva podatkov v njej primerljiva z ravnijo varstva podatkov v EU. V državah, kot sta Kitajska ali Rusija - in dolgo časa tudi v ZDA - takšna odločitev ni obstajala.

Takoj ko podjetja začnejo sodelovati s ponudniki storitev za obdelavo podatkov na primer v ZDA, morajo sprejeti dodatne zaščitne ukrepe, da ohranijo raven varstva podatkov, ki jo zahteva GDPR. To pomeni več truda, več obveznih pregledov in več tveganja.

Praktični primer: tudi če za ameriške ponudnike storitev v oblaku izberete lokacijo strežnika v EU, težava še vedno obstaja - na primer, če je evropska podružnica pod nadzorom ameriškega matičnega podjetja. V nujnih primerih lahko ameriški organi, kot je NSA, zahtevajo dostop do podatkov - tudi prek notranje verige poveljevanja. Lokacija strežnika v EU zmanjša tveganje, vendar ga ne odpravi v celoti.

Zgodovina sporazumov o varstvu podatkov med EU in ZDA je podobna vrsti pravnih neuspehov:

• Varni pristan je bil prvi sporazum, ki je ameriškim podjetjem prostovoljno nalagal določene standarde varstva podatkov. Leta 2015 je bil razveljavljen s sodbo Schrems I.

• Zasebnostni ščit je bil naslednik - revidirana različica varnega pristana. Vendar je tudi ta sporazum Evropsko sodišče leta 2020 s sodbo Schrems II razglasilo za neveljavnega.

• Kot odgovor je začel veljati okvir za varstvo zasebnosti podatkov, na podlagi katerega je Komisija EU ponovno sprejela sklep o ustreznosti za ZDA.

Okvir zasebnosti podatkov namreč temelji na izvršnem ukazu predsednika ZDA, ki ga je teoretično mogoče kadar koli preklicati. Kritiki zato dvomijo v dolgoročno stabilnost tega okvira. Na Sodišču Evropskih skupnosti je bila že vložena tožba zoper sklep o ustreznosti - izid je negotov.

Poleg tega pristojni nadzorni organ ZDA, PCLOB, trenutno ne more ukrepati, saj je nekdanji predsednik Trump razrešil tri od njegovih petih direktorjev. Rezultat: velika negotovost glede tega, kako stabilen je v resnici mehanizem varstva podatkov v ZDA.

Če načrtujete dolgoročno in se želite osredotočiti na varnost podatkov, se ne smete slepo zanašati na okvir zasebnosti podatkov. Tako kot v preteklosti se lahko pravni položaj hitro spremeni. Stroški ocen učinka prenosa podatkov (TIA ) so visoki, kršitve pa lahko povzročijo stroge kazni v višini do 4 % letnega svetovnega prometa.

Storitve v oblaku ameriških ponudnikov se trenutno lahko uporabljajo v skladu s **predpisi o varstvu podatkov, če se izvajajo **ustrezni zaščitni ukrepi, kot so standardne pogodbene klavzule in tehnični varnostni ukrepi. Vendar še vedno obstaja preostalo tveganje. Še posebej problematično je, da še vedno ni šifriranja od konca do konca, ki bi bilo primerno za vsakdanjo uporabo za vse vrste uporabe - na primer za stalno obdelavo podatkov ("podatki v uporabi").

Uporabo storitev ZDA je zato treba vedno oceniti individualno: Kako občutljivi so podatki, ki se obdelujejo? Kakšni varnostni ukrepi so sprejeti? In v kolikšni meri je podjetje dejansko sposobno zmanjšati tveganja?

Vprašanje, ali naj podjetja uporabljajo samo programsko opremo in storitve v oblaku evropskega izvora - "v celoti ali sploh ne" - se na prvi pogled zdi jasno. Toda prav pred tem svari strokovnjakinja za varstvo podatkov Katharina Raabe-Stuppnig. Takšno načelo ni le nepraktično, temveč ga je tudi težko utemeljiti pred organi. Namesto tega je treba vsako odločitev o uporabi programske opreme ali storitev v oblaku sprejeti za vsak primer posebej - odvisno od tega, kako občutljivi so obdelovani podatki in katere posebne zaščitne ukrepe je mogoče sprejeti.

Še ena tema, ki trenutno zaposluje številna podjetja: Kaj se bo zgodilo, če bo Sodišče Evropskih skupnosti razveljavilo novi okvir zasebnosti podatkov med EU in ZDA, kot se je to zgodilo v primeru varnega pristana in zasebnostnega ščita? Odgovor je jasen: spet bi se pojavila velika pravna negotovost. Prav zato podjetje Kargl že zdaj svetuje podjetjem, naj se ne zanašajo samo na okvir, temveč naj se dogovorijo o dodatnih standardnih pogodbenih klavzulah (SCC). Te morajo vedno vključevati oceno učinka prenosa (TIA ) - tj. analizo tveganja za prenos podatkov v tretje države.

Vendar pa odvetnik tudi pojasnjuje, da bi v primeru, če bi okvir za varstvo zasebnosti podatkov dejansko padel in bi bila sorazmernost prenosa podatkov v ZDA bistveno vprašljiva, tudi TIA dosegle svoje meje. Takrat se upa na dodatne tehnične in organizacijske ukrepe - predvsem na šifriranje.

Organi za varstvo podatkov in Sodišče EU od ameriških ponudnikov storitev v oblaku zahtevajo jasno rešitev: podatke je treba hraniti le v šifrirani obliki, ključ pa je treba upravljati zunaj ponudnika - po možnosti v Evropi in pod nadzorom podjetja, odgovornega za podatke, ali evropskega skrbnika. Cilj te tako imenovane ** rešitve "zunanjega upravljanja ključev** " je zagotoviti, da se tudi v primeru dostopa ameriških organov, kot je NSA, lahko posredujejo le šifrirani, tj. neuporabni podatki.

V praksi pa je po besedah Katharine Raabe-Stuppnig tovrstno šifriranje dejansko mogoče izvajati le za varnostne kopije podatkov. Takoj ko se podatki aktivno obdelujejo v vsakdanjem življenju, je potreben dostop do nešifriranega gradiva. Ravno tu je težava: tehnologija, ki omogoča popolno obdelavo podatkov v šifriranem stanju, trenutno obstaja le v zelo omejenem obsegu - na primer za preproste izračune ali ocene v posebnih scenarijih. Stanje tehnike še ne zadošča za široko uporabo, ki se zahteva v gospodarstvu.

Kljub tem izzivom je odvetnik optimističen glede prihodnosti: Zakon EU o podatkih bo določil pomembno smer. Ponudniki storitev v oblaku bodo morali omogočiti večoblačne strategije, tj. podpirati enostavno preklapljanje med ponudniki - brez visokih stroškov preklapljanja. Gre za aktivna prizadevanja za krepitev evropske suverenosti v digitalnem prostoru in dolgoročno ustvarjanje več alternativ ameriškim hiperskalerjem.

Vprašanje ostaja, ali bo Evropa sčasoma lahko delovala bolj neodvisno in varno v digitalnem prostoru. Raabe-Stuppnig je kljub temu prepričana: "Politična volja obstaja - z usmerjeno podporo in predpisi bi se lahko kmalu pojavile izvedljive evropske alternative.

Splošna odpoved rešitvam iz tretjih držav ni niti izvedljiva niti pravno zahtevana. Podjetja morajo skrbno pretehtati, kako občutljivi so njihovi podatki, kateri partnerji so primerni - in katere posebne zaščitne ukrepe lahko izvajajo. Tisti, ki se že zanašajo na SCC, TIA in šifriranje, niso le pravno na varni strani, temveč tudi krepijo položaj Evrope v digitalni konkurenci.