От медийно право до защита на данните: Експерт в Австрия

Катарина Раабе-Щупниг започва кариерата си в областта на медийното право. Тя консултира издателства и телекомуникационни компании по въпросите на конкурентното право, рекламата и медийната отговорност. Мостът към защитата на данните е бил почти автоматичен: “Много клиенти се обръщаха към мен и казваха: Вие познавате нашите процеси и нашето балансиране на интересите – можете ли да ни помогнете и със защитата на данните?”

С влизането в сила на GDPR защитата на данните се премести в центъра на корпоративната реалност. Глобите в милиони увеличиха натиска. Компаниите се нуждаят от ясни концепции – и разчитат на съществуващите партньорства. В резултат на това правото в областта на защитата на данните се превърна от маргинална тема в централен фокус на нейната работа.

“Моето желание е да укрепим европейската икономика – чрез европейски алтернативи. Цифровата стратегия и Законът за данните са стъпка в правилната посока. Единственият въпрос е: ще дойде ли навреме?”

Маг. Катрина Раабе-Щупниг

Защитата на данните като фактор

След въвеждането на GDPR през 2018 г. нуждата от правна помощ нарасна изключително много – и продължава да е висока. Това е така не на последно място, защото регламентът не прави разлика между големите корпорации и малките дружества. Всички трябва да отговарят на едни и същи стандарти.

“Функциониращата система за управление на защитата на данните е истински фактор, който помага днес”, обяснява Раабе-Щупниг. “Тя дава на компаниите общ поглед върху системите, процесите и рисковете – и е основа за оптимизация и повишаване на ефективността.”

В същото време средата става все по-сложна: ново законодателство като NIS-2, Закона за кибер устойчивостта, Закона за изкуствения интелект или Закона за данните поставя допълнителни изисквания към компаниите – във всички отрасли. Тези, които вече са създали стабилна основа за защита на данните, имат ясно предимство.

Стратегии за цифрова трансформация

Въпросите, с които фирмите се обръщат към адвокатската кантора днес, са разнообразни:

• Как ме засяга NIS-2, ако съм доставчик на критична инфраструктура?
  
• Какви политики са ми необходими за Закона за изкуствения интелект?
  
• Как да се справя с новите права за достъп до данни съгласно Закона за данните, без да застрашавам нивото на защита на данните, което съм изградил до момента?

Освен правните оценки все по-важна роля играят и стратегическите въпроси: Къде трябва да бъдат разположени отговорностите в компанията? Как да балансирате между спазването на изискванията, киберсигурността и иновациите? Раабе-Штупниг и нейният екип подкрепят компаниите не само в прилагането, но и в позиционирането в новата правна рамка.

ЕС и САЩ: различни основни нагласи

Особено чувствителен е въпросът за използването на софтуер от трети страни – например от американските хиперскалатори. Въпреки че в САЩ също има закони за защита на данните, Раабе-Щупниг заяви, че защитата се отнася предимно за американските граждани. За гражданите на ЕС тези разпоредби са много по-слаби.

“Проблемът е в претеглянето: Интересите на АНС, свързани със сигурността, често имат предимство пред защитата на данните на неамериканците. Съдът на ЕС вече два пъти е установявал тази непропорционалност – и по този начин е отменял централни принципи като Safe Harbor и Privacy Shield.”

Промяна в информираността в Европа от 2018 г. насам

След влизането в сила на GDPR осведомеността в Европа се е променила чувствително. Днес компаниите са много по-чувствителни, когато става въпрос за обработване на лични данни. Основна роля за това изигра медийното внимание към решенията за защита на данните и известните случаи.

“Създадохме златен стандарт за защита на данните в Европа”, обобщава Раабе-Стюпниг. “И е удовлетворяващо да се види колко много компании активно се стремят не само да спазят този стандарт, но и да го използват като конкурентно предимство.”

Кое прави предаването на данни към САЩ толкова чувствително и какво е правното положение в ЕС днес?

Дебатът за защитата на данните между ЕС и САЩ е сложен и преди всичко изключително динамичен от правна гледна точка. За разлика от страни като Швейцария, за които е издадено т.нар. решение на Комисията на ЕС за адекватност, ситуацията със САЩ беше и е много по-сложна. В такова решение се посочва, че личните данни могат да бъдат предадени на трета държава, тъй като там нивото на защита на данните е сравнимо с това в ЕС. В страни като Китай или Русия – а дълго време и в САЩ – такова решение липсваше.

Обработката на данни в САЩ – правно равновесие

Например, щом дружествата започнат да работят с доставчици на услуги за обработка на данни в САЩ, те трябва да предприемат допълнителни мерки за защита, за да поддържат нивото на защита на данните, изисквано от ОРЗД. Това означава повече усилия, повече задължения за проверка – и повече риск.

Практически пример: Дори и да изберете местоположение на сървъра в ЕС за американските доставчици на облачни услуги, проблемът остава – например, ако европейският филиал е подчинен на американска компания майка. В случай на спешност американските органи, като например NSA, могат да поискат достъп до данните – включително чрез вътрешна верига на управление. Местоположението на сървъра в ЕС намалява риска, но не го елиминира напълно.

От Safe Harbor до Рамката за защита на личните данни: Преглед

Историята на споразуменията за защита на данните между ЕС и САЩ е поредица от правни неуспехи:

• “Безопасно пристанище” е първото споразумение за доброволно налагане на определени стандарти за защита на данните на американските дружества. То беше отменено през 2015 г. с решението по делото Schrems I.
  
• Щитът за защита на личните данни беше наследникът – преработена версия на Safe Harbor. Но и това споразумение беше обявено за невалидно от Съда на Европейския съюз през 2020 г. в решението Schrems II.
  
• В отговор на това влезе в сила Рамката за защита на личните данни, въз основа на която Комисията на ЕС отново прие решение за адекватност по отношение на САЩ.

Въпреки това новото решение отново е поставено на нестабилни основи.

Това е така, защото рамката за защита на личните данни се основава на изпълнителна заповед на президента на САЩ – т.е. заповед, която теоретично може да бъде отменена по всяко време. Поради това критиците се съмняват в дългосрочната стабилност на тази рамка. В Съда на Европейския съюз вече е подаден иск срещу решението за адекватност – резултатът е отворен.

Освен това отговорният надзорен орган на САЩ PCLOB понастоящем не е в състояние да действа, тъй като трима от петимата му ръководители са уволнени от бившия президент Тръмп. Резултатът: голяма несигурност по отношение на това колко стабилен е механизмът за защита на данните в САЩ.

Колко важна е рамката за защита на личните данни за компаниите в ЕС?

Ако планирате в дългосрочен план и искате да се съсредоточите върху сигурността на данните, не трябва да разчитате сляпо на Рамката за защита на личните данни. Правната ситуация може да се промени бързо – както и в миналото. Оценките на въздействието на трансфера на данни (ОВД) изискват много усилия, а нарушенията могат да доведат до сериозни санкции: до 4% от глобалните годишни приходи.

Услугите в облака в САЩ (все още) могат да се използват, но не без риск

Понастоящем услугите в облак от доставчици от САЩ могат да се използват в съответствие с разпоредбите за защита на данните, при условие че се прилагат подходящи защитни мерки, като например стандартни договорни клаузи и технически мерки за сигурност. Но все още съществува остатъчен риск. Особено проблематичен е фактът, че все още не съществува криптиране от край до край, подходящо за ежедневна употреба за всички видове използване – например при текуща обработка на данни (“данни в употреба”).

Поради това използването на услугите на САЩ винаги трябва да се оценява индивидуално: Колко чувствителни са обработваните данни? Какви мерки за безопасност са предприети? И до каква степен компанията е в състояние действително да смекчи рисковете?

Между черно-бялото и реализма: как компаниите трябва да се справят със защитата на данните и доставчиците на облачни услуги

Въпросът дали компаниите трябва да използват само софтуер и облачни услуги с европейски произход – “всичко или нищо” – на пръв поглед звучи като ясна позиция. Но точно това е, за което предупреждава експертът по защита на данните Катарина Раабе-Щупниг. Подобен принцип е не само непрактичен, но и труден за обосноваване пред властите. По-скоро всяко решение за използване на софтуер или облачни услуги трябва да се взема за всеки отделен случай – в зависимост от това колко чувствителни са обработваните данни и какви мерки за защита могат да бъдат предприети конкретно.

Не се подлъгвайте по фалшиво чувство за сигурност – дори с рамката за поверителност

Друга тема, която в момента занимава много компании: Какво ще се случи, ако Съдът на Европейския съюз (СЕС) отмени новата рамка за защита на личните данни между ЕС и САЩ, както преди това направиха “Safe Harbor” и “Privacy Shield”? Отговорът на този въпрос е ясен: отново ще възникне огромна правна несигурност. Точно затова Kargl вече съветва компаниите да не разчитат единствено на рамката, а да се договорят за стандартни договорни клаузи (SCCs) в допълнение . Те винаги трябва да включват т.нар. оценка на въздействието на трансфера (ОВТ) – т.е. анализ на риска за предаване на данни към трети държави.

Но юристът също така ясно заявява: ако Рамката за защита на личните данни действително падне и по този начин пропорционалността на предаването на данни към САЩ бъде поставена под въпрос, TIA също ще достигне своите граници. Тогава надеждата се крепи на допълнителните технически и организационни мерки – преди всичко на криптирането.

Криптиране: Стремежът и реалността се разминават

Органите за защита на данните и Съдът на ЕС изискват ясно решение от американските доставчици на облачни услуги: данните трябва да се съхраняват само в криптиран вид, а ключът трябва да се управлява извън доставчика – в идеалния случай в Европа и под контрола на дружеството, което отговаря за данните, или на европейски попечител. Целта на това т.нар. решение за “външно управление на ключове” е да се гарантира, че дори в случай на достъп от страна на американски органи като NSA, могат да бъдат предадени само криптирани, т.е. неизползваеми данни.

Според Катарина Раабе-Щупниг обаче на практика този тип криптиране може да се прилага само за резервни копия на данни. Веднага щом данните се обработват активно в ежедневието , е необходим достъп до некриптиран материал. Точно в това се състои проблемът: Технологията, която позволява цялостна обработка на данни в криптирано състояние, понастоящем съществува само в много ограничена степен – например за прости изчисления или оценки в конкретни сценарии. Състоянието на техниката все още не е достатъчно за широкото използване, което се изисква в бизнеса.

Ролята на Европа: Възможности чрез Акта за данните

Въпреки тези предизвикателства адвокатът е оптимист за бъдещето: Законът за данните на ЕС задава важна посока. Доставчиците на облачни услуги трябва да бъдат задължени да предоставят възможност за мултиклауд стратегии, т.е. да подпомагат безпроблемното преминаване от един доставчик към друг – без високи разходи за преминаване. Това е активно усилие за укрепване на европейския суверенитет в цифровото пространство и за създаване на повече алтернативи на американските хиперскалатори в дългосрочен план.

Остава въпросът дали Европа ще успее да направи това навреме, за да може да действа по-независимо и сигурно в цифровото пространство. Въпреки това г-жа Раабе-Стюпниг е уверена: Политическата воля е налице – и с целенасочено финансиране и регулиране скоро могат да се появят жизнеспособни европейски алтернативи.

Пълният отказ от решения на трети държави не е нито осъществим, нито законово необходим. Дружествата трябва внимателно да преценят колко чувствителни са техните данни, кои партньори са подходящи – и кои мерки за защита могат да приложат конкретно. Тези, които вече разчитат на SCC, TIA и криптиране, не само са в безопасна позиция от правна гледна точка, но и укрепват европейските си позиции в цифровата конкуренция.