Με περισσότερα από 15 χρόνια εμπειρίας ως δικηγόρος, τον ρόλο της ως συνιδρύτριας μιας συμβουλευτικής επιτροπής προστασίας δεδομένων και την ενεργό συμμετοχή της σε διαδικασίες ενώπιον του Ευρωπαϊκού Δικαστηρίου – μαζί με τους Max Schrems και Thomas Lohninger – η Katharina Raabe-Stuppnig είναι μία από τις πιο σημαντικές φωνές στο ευρωπαϊκό δίκαιο προστασίας δεδομένων. Στο δικηγορικό της γραφείο στη Wickenburggasse στη Βιέννη, μιλάει για την επαγγελματική της πορεία, τις προκλήσεις του ΓΚΠΔ και την αυξανόμενη πολυπλοκότητα που προκαλούν οι νέοι ψηφιακοί νόμοι της ΕΕ.
Από το δίκαιο των μέσων ενημέρωσης στην προστασία δεδομένων: εμπειρογνώμονας στην Αυστρία
Η Katharina Raabe-Stuppnig ξεκίνησε την καριέρα της στο δίκαιο των μέσων ενημέρωσης. Συμβούλευε εκδοτικούς οίκους και εταιρείες τηλεπικοινωνιών σε θέματα δικαίου ανταγωνισμού, διαφήμισης και ευθύνης των μέσων ενημέρωσης. Η γέφυρα με την προστασία των δεδομένων ήταν σχεδόν αυτόματη: “Πολλοί πελάτες με πλησίασαν και μου είπαν: Γνωρίζετε τις διαδικασίες μας και την εξισορρόπηση των συμφερόντων μας – μπορείτε να μας υποστηρίξετε και με την προστασία των δεδομένων;”.
Όταν τέθηκε σε ισχύ ο ΓΚΠΔ, η προστασία των δεδομένων μπήκε περισσότερο στο επίκεντρο της εταιρικής πραγματικότητας. Τα πρόστιμα εκατομμυρίων αύξησαν την πίεση. Οι εταιρείες χρειάζονται ξεκάθαρες έννοιες – και βασίζονται στις υπάρχουσες συνεργασίες. Ως αποτέλεσμα, η νομοθεσία περί προστασίας δεδομένων εξελίχθηκε από περιθωριακό θέμα σε κεντρικό σημείο εστίασης της εργασίας της.
“Η επιθυμία μου θα ήταν να ενισχύσω την ευρωπαϊκή οικονομία – μέσω ευρωπαϊκών εναλλακτικών λύσεων. Η ψηφιακή στρατηγική και ο νόμος για τα δεδομένα είναι ένα βήμα προς τη σωστή κατεύθυνση. Το μόνο ερώτημα είναι: Θα έρθει εγκαίρως;”
Mag. Kathrina Raabe-Stuppnig
Η προστασία των δεδομένων ως καταλύτης
Από την εισαγωγή του ΓΚΠΔ το 2018, η ανάγκη για νομική υποστήριξη έχει αυξηθεί πάρα πολύ – και παραμένει υψηλή. Αυτό οφείλεται όχι μόνο στο γεγονός ότι ο κανονισμός δεν κάνει καμία διάκριση μεταξύ μεγάλων και μικρών εταιρειών. Όλες πρέπει να πληρούν τα ίδια πρότυπα.
“Ένα λειτουργικό σύστημα διαχείρισης της προστασίας των δεδομένων αποτελεί σήμερα έναν πραγματικό παράγοντα”, εξηγεί η Raabe-Stuppnig. “Παρέχει στις εταιρείες μια επισκόπηση των συστημάτων, των διαδικασιών και των κινδύνων – και αποτελεί τη βάση για τη βελτιστοποίηση και την αύξηση της αποδοτικότητας.”
Ταυτόχρονα, το περιβάλλον γίνεται όλο και πιο πολύπλοκο: η νέα νομοθεσία, όπως η NIS-2, ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο, ο νόμος για την τεχνητή νοημοσύνη ή ο νόμος για τα δεδομένα, θέτει πρόσθετες απαιτήσεις στις εταιρείες – σε όλους τους κλάδους. Όσοι έχουν ήδη δημιουργήσει ένα σταθερό θεμέλιο προστασίας δεδομένων έχουν σαφές πλεονέκτημα.
Στρατηγικές ψηφιακού μετασχηματισμού
Τα ερωτήματα με τα οποία οι εταιρείες απευθύνονται σήμερα στη δικηγορική εταιρεία είναι πολλαπλά:
- Πώς με επηρεάζει η NIS-2 εάν είμαι προμηθευτής κρίσιμων υποδομών;
- Ποιες πολιτικές χρειάζομαι για την Πράξη ΤΝ;
- Πώς αντιμετωπίζω τα νέα δικαιώματα πρόσβασης στα δεδομένα σύμφωνα με τον νόμο περί δεδομένων – χωρίς να θέσω σε κίνδυνο το επίπεδο προστασίας των δεδομένων που έχω αναπτύξει μέχρι σήμερα;
Εκτός από τις νομικές αξιολογήσεις, τα στρατηγικά ζητήματα διαδραματίζουν ολοένα και πιο σημαντικό ρόλο: Πού πρέπει να τοποθετηθούν οι ευθύνες στην εταιρεία; Πώς εξισορροπούνται η συμμόρφωση, η ασφάλεια στον κυβερνοχώρο και η καινοτομία; Η Raabe-Stuppnig και η ομάδα της υποστηρίζουν τις εταιρείες όχι μόνο στην εφαρμογή, αλλά και στην τοποθέτηση εντός του νέου νομικού πλαισίου.
ΕΕ vs. ΗΠΑ: Διαφορετικές βασικές στάσεις
Ένα ιδιαίτερα ευαίσθητο ζήτημα είναι η χρήση λογισμικού από τρίτες χώρες – για παράδειγμα από τους υπερκλιμακωτές των ΗΠΑ. Αν και υπάρχουν επίσης νόμοι για την προστασία των δεδομένων στις ΗΠΑ, δήλωσε η Raabe-Stuppnig, η προστασία ισχύει κυρίως για τους πολίτες των ΗΠΑ. Για τους πολίτες της ΕΕ, οι κανονισμοί αυτοί είναι πολύ πιο αδύναμοι.
“Το πρόβλημα έγκειται στη στάθμιση: Τα συμφέροντα ασφαλείας της NSA συχνά υπερισχύουν της προστασίας των δεδομένων των μη Αμερικανών. Το ΔΕΚ έχει ήδη διαπιστώσει αυτή τη δυσανάλογη σχέση δύο φορές – και έτσι ανέτρεψε κεντρικές αρχές όπως το Ασφαλές Λιμάνι και η Ασπίδα Προστασίας Προσωπικών Δεδομένων”.
Μεταβολή της ευαισθητοποίησης στην Ευρώπη από το 2018
Από τότε που τέθηκε σε ισχύ ο ΓΚΠΔ, η ευαισθητοποίηση στην Ευρώπη έχει αλλάξει αισθητά. Οι εταιρείες σήμερα είναι πολύ πιο ευαίσθητες όταν πρόκειται για τη διαχείριση προσωπικών δεδομένων. Η προσοχή των μέσων ενημέρωσης γύρω από τις αποφάσεις για την προστασία των δεδομένων και τις υποθέσεις υψηλού προφίλ έχει διαδραματίσει κεντρικό ρόλο σε αυτό.
“Δημιουργήσαμε ένα χρυσό πρότυπο προστασίας δεδομένων στην Ευρώπη”, συνοψίζει η Raabe-Stuppnig. “Και είναι ευχάριστο να βλέπουμε πόσες εταιρείες προσπαθούν ενεργά όχι μόνο να ανταποκριθούν σε αυτό το πρότυπο, αλλά και να το χρησιμοποιήσουν ως ανταγωνιστικό πλεονέκτημα”.
Τι κάνει τη διαβίβαση δεδομένων στις ΗΠΑ τόσο ευαίσθητη – και ποια είναι η νομική κατάσταση στην ΕΕ σήμερα;
Η συζήτηση για την προστασία των δεδομένων μεταξύ της ΕΕ και των ΗΠΑ είναι πολύπλοκη και, κυρίως, ιδιαίτερα δυναμική από νομικής άποψης. Σε αντίθεση με χώρες όπως η Ελβετία, για τις οποίες έχει εκδοθεί η λεγόμενη απόφαση επάρκειας της Επιτροπής της ΕΕ, η κατάσταση με τις ΗΠΑ ήταν και είναι πολύ πιο περίπλοκη. Μια τέτοια απόφαση δηλώνει ότι τα δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβαστούν σε τρίτη χώρα επειδή υπάρχει επίπεδο προστασίας των δεδομένων συγκρίσιμο με εκείνο της ΕΕ. Σε χώρες όπως η Κίνα ή η Ρωσία – και για μεγάλο χρονικό διάστημα και στις ΗΠΑ – μια τέτοια απόφαση έλειπε.
Επεξεργασία δεδομένων στις ΗΠΑ – μια νομική πράξη εξισορρόπησης
Για παράδειγμα, από τη στιγμή που οι εταιρείες συνεργάζονται με παρόχους υπηρεσιών επεξεργασίας δεδομένων στις ΗΠΑ, πρέπει να λαμβάνουν πρόσθετα μέτρα προστασίας για να διατηρήσουν το επίπεδο προστασίας των δεδομένων που απαιτεί ο ΓΚΠΔ. Αυτό σημαίνει περισσότερη προσπάθεια, περισσότερη υποχρέωση ελέγχου – και μεγαλύτερο κίνδυνο.
Ένα πρακτικό παράδειγμα: Ακόμα και αν επιλέξετε μια τοποθεσία διακομιστή εντός της ΕΕ για τους αμερικανικούς παρόχους cloud, το πρόβλημα παραμένει – για παράδειγμα, αν η ευρωπαϊκή θυγατρική υπάγεται σε μια αμερικανική μητρική εταιρεία. Σε περίπτωση έκτακτης ανάγκης, οι αμερικανικές αρχές, όπως η NSA, θα μπορούσαν να απαιτήσουν πρόσβαση στα δεδομένα – μεταξύ άλλων και μέσω μιας εσωτερικής αλυσίδας διοίκησης. Η τοποθεσία του διακομιστή στην ΕΕ μειώνει τον κίνδυνο, αλλά δεν τον εξαλείφει εντελώς.
Από το ασφαλές λιμάνι στο πλαίσιο προστασίας της ιδιωτικής ζωής των δεδομένων: Ανασκόπηση
Το ιστορικό των συμφωνιών προστασίας δεδομένων μεταξύ της ΕΕ και των ΗΠΑ μοιάζει με μια σειρά από νομικές αποτυχίες:
- Το Ασφαλές Λιμάνι ήταν η πρώτη συμφωνία για την εθελοντική επιβολή ορισμένων προτύπων προστασίας δεδομένων στις αμερικανικές εταιρείες. Ανατράπηκε το 2015 με την απόφαση Schrems I.
- Η ασπίδα προστασίας της ιδιωτικής ζωής ήταν ο διάδοχος – μια αναθεωρημένη έκδοση του ασφαλούς λιμένα. Αλλά και αυτή η συμφωνία κηρύχθηκε άκυρη από το Ευρωπαϊκό Δικαστήριο το 2020 με την απόφαση Schrems II.
- Σε απάντηση, τέθηκε σε ισχύ το πλαίσιο προστασίας των δεδομένων, βάσει του οποίου η Επιτροπή της ΕΕ εξέδωσε και πάλι απόφαση επάρκειας για τις ΗΠΑ.
Ωστόσο, η νέα απόφαση βασίζεται και πάλι σε σαθρά θεμέλια.
Αυτό οφείλεται στο γεγονός ότι το πλαίσιο προστασίας των δεδομένων βασίζεται σε εκτελεστικό διάταγμα του προέδρου των ΗΠΑ, δηλαδή σε ένα διάταγμα που θεωρητικά μπορεί να ανακληθεί ανά πάσα στιγμή. Ως εκ τούτου, οι επικριτές αμφιβάλλουν για τη μακροπρόθεσμη σταθερότητα του πλαισίου αυτού. Κατά της απόφασης επάρκειας έχει ήδη κατατεθεί αγωγή στο Ευρωπαϊκό Δικαστήριο – το αποτέλεσμα είναι ανοικτό.
Επιπλέον, η αρμόδια αμερικανική εποπτική αρχή PCLOB δεν είναι επί του παρόντος σε θέση να ενεργήσει, επειδή τρεις από τους πέντε διευθυντές της έχουν απολυθεί από τον πρώην πρόεδρο Τραμπ. Το αποτέλεσμα: μεγάλη αβεβαιότητα ως προς το πόσο σταθερός είναι πραγματικά ο μηχανισμός προστασίας δεδομένων στις ΗΠΑ.
Πόσο σημαντικό είναι το πλαίσιο προστασίας προσωπικών δεδομένων για τις εταιρείες στην ΕΕ;
Εάν σχεδιάζετε μακροπρόθεσμα και θέλετε να επικεντρωθείτε στην ασφάλεια των δεδομένων, δεν θα πρέπει να βασίζεστε τυφλά στο πλαίσιο προστασίας των δεδομένων. Η νομική κατάσταση μπορεί να αλλάξει γρήγορα – όπως και στο παρελθόν. Οι εκτιμήσεις αντικτύπου για τη μεταφορά δεδομένων (TIA) απαιτούν μεγάλη προσπάθεια και οι παραβιάσεις μπορεί να οδηγήσουν σε αυστηρές κυρώσεις: έως και 4% των παγκόσμιων ετήσιων εσόδων.
Οι υπηρεσίες cloud των ΗΠΑ είναι (ακόμα) χρησιμοποιήσιμες – αλλά όχι χωρίς κίνδυνο
Επί του παρόντος, οι υπηρεσίες νέφους από παρόχους των ΗΠΑ μπορούν να χρησιμοποιούνται σύμφωνα με τους κανονισμούς προστασίας δεδομένων, υπό την προϋπόθεση ότι εφαρμόζονται κατάλληλα προστατευτικά μέτρα, όπως τυποποιημένες συμβατικές ρήτρες και μέτρα τεχνικής ασφάλειας. Ωστόσο, παραμένει ένας υπολειπόμενος κίνδυνος. Είναι ιδιαίτερα προβληματικό το γεγονός ότι δεν υπάρχει ακόμη κρυπτογράφηση από άκρο σε άκρο κατάλληλη για καθημερινή χρήση για όλους τους τύπους χρήσης – για παράδειγμα, κατά τη συνεχιζόμενη επεξεργασία δεδομένων (“δεδομένα σε χρήση”).
Συνεπώς, η χρήση των υπηρεσιών των ΗΠΑ θα πρέπει πάντα να αξιολογείται ξεχωριστά: Πόσο ευαίσθητα είναι τα δεδομένα που υποβάλλονται σε επεξεργασία; Ποια μέτρα ασφαλείας λαμβάνονται; Και σε ποιο βαθμό η εταιρεία είναι σε θέση να μετριάσει πραγματικά τους κινδύνους;
Μεταξύ ασπρόμαυρου και ρεαλισμού: Πώς οι εταιρείες πρέπει να αντιμετωπίζουν την προστασία των δεδομένων και τους παρόχους cloud
Το ερώτημα αν οι εταιρείες θα πρέπει να χρησιμοποιούν μόνο λογισμικό και υπηρεσίες νέφους ευρωπαϊκής προέλευσης – ένα “όλα ή τίποτα” – ακούγεται αρχικά σαν μια ξεκάθαρη στάση. Αλλά αυτό ακριβώς είναι που προειδοποιεί η ειδική σε θέματα προστασίας δεδομένων Katharina Raabe-Stuppnig. Μια τέτοια αρχή δεν είναι μόνο ανέφικτη, αλλά και δύσκολο να δικαιολογηθεί στις αρχές. Αντίθετα, κάθε απόφαση για τη χρήση λογισμικού ή υπηρεσιών cloud πρέπει να λαμβάνεται κατά περίπτωση – ανάλογα με το πόσο ευαίσθητα είναι τα δεδομένα που υποβάλλονται σε επεξεργασία και ποια μέτρα προστασίας μπορούν να ληφθούν συγκεκριμένα.
Μην παρασύρεστε σε μια ψευδή αίσθηση ασφάλειας – ακόμη και με το Πλαίσιο Προστασίας Προσωπικών Δεδομένων
Ένα άλλο θέμα που απασχολεί σήμερα πολλές εταιρείες: Τι θα συμβεί αν το Ευρωπαϊκό Δικαστήριο (ΔΕΚ) ανατρέψει το νέο πλαίσιο προστασίας των δεδομένων μεταξύ της ΕΕ και των ΗΠΑ – όπως έκαναν πριν το “Ασφαλές Λιμάνι” και η “Ασπίδα Προστασίας της Ιδιωτικότητας”; Η απάντηση σε αυτό είναι σαφής: θα προκύψει και πάλι τεράστια νομική αβεβαιότητα. Αυτός ακριβώς είναι ο λόγος για τον οποίο η Kargl συμβουλεύει ήδη τις εταιρείες να μην βασίζονται αποκλειστικά στο πλαίσιο, αλλά να συμφωνούν επιπλέον σε τυποποιημένες συμβατικές ρήτρες (SCC) . Αυτές θα πρέπει πάντα να περιλαμβάνουν τη λεγόμενη εκτίμηση επιπτώσεων μεταφοράς (Transfer Impact Assessment – TIA) – δηλαδή μια ανάλυση κινδύνου για τη διαβίβαση δεδομένων σε τρίτες χώρες.
Αλλά ο δικηγόρος το καθιστά επίσης σαφές: Εάν το πλαίσιο προστασίας των προσωπικών δεδομένων όντως πέσει και, επομένως, αμφισβητηθεί εκ βάθρων η αναλογικότητα της διαβίβασης δεδομένων στις ΗΠΑ, οι TIA θα έφταναν επίσης στα όριά τους. Η ελπίδα στηρίζεται τότε σε συμπληρωματικά τεχνικά και οργανωτικά μέτρα – κυρίως στην κρυπτογράφηση.
Κρυπτογράφηση: Απόκλιση μεταξύ φιλοδοξίας και πραγματικότητας
Οι αρχές προστασίας δεδομένων και το ΔΕΚ απαιτούν μια σαφή λύση από τους αμερικανικούς παρόχους cloud: τα δεδομένα θα πρέπει να αποθηκεύονται μόνο σε κρυπτογραφημένη μορφή και η διαχείριση του κλειδιού θα πρέπει να γίνεται εκτός του παρόχου – ιδανικά στην Ευρώπη και υπό τον έλεγχο της υπεύθυνης για τα δεδομένα εταιρείας ή ενός Ευρωπαίου διαχειριστή. Στόχος αυτής της λεγόμενης λύσης “εξωτερικής διαχείρισης κλειδιών” είναι να διασφαλιστεί ότι, ακόμη και σε περίπτωση πρόσβασης από αμερικανικές αρχές όπως η NSA, θα μπορούν να μεταβιβαστούν μόνο κρυπτογραφημένα, δηλαδή άχρηστα, δεδομένα.
Στην πράξη, ωστόσο, σύμφωνα με την Katharina Raabe-Stuppnig, αυτός ο τύπος κρυπτογράφησης μπορεί να εφαρμοστεί μόνο για δεδομένα αντιγράφων ασφαλείας. Από τη στιγμή που τα δεδομένα επεξεργάζονται ενεργά στην καθημερινή ζωή , απαιτείται πρόσβαση σε μη κρυπτογραφημένο υλικό. Σε αυτό ακριβώς το σημείο έγκειται το πρόβλημα: Η τεχνολογία που επιτρέπει την πλήρη επεξεργασία δεδομένων σε κρυπτογραφημένη κατάσταση υπάρχει σήμερα μόνο σε πολύ περιορισμένο βαθμό – για παράδειγμα, για απλούς υπολογισμούς ή εκτιμήσεις σε συγκεκριμένα σενάρια. Το επίπεδο της τεχνολογίας δεν είναι ακόμη επαρκές για την ευρεία χρήση που απαιτείται στις επιχειρήσεις.
Ο ρόλος της Ευρώπης: Data Act: Ευκαιρίες μέσω της Πράξης για τα δεδομένα
Παρά τις προκλήσεις αυτές, ο δικηγόρος είναι αισιόδοξος για το μέλλον: Ο νόμος της ΕΕ για τα δεδομένα θέτει μια σημαντική πορεία. Οι πάροχοι cloud θα πρέπει να υποχρεούνται να επιτρέπουν στρατηγικές multicloud, δηλαδή να υποστηρίζουν την απρόσκοπτη εναλλαγή μεταξύ παρόχων – χωρίς υψηλό κόστος αλλαγής. Πρόκειται για μια ενεργή προσπάθεια να ενισχυθεί η ευρωπαϊκή κυριαρχία στον ψηφιακό χώρο και να δημιουργηθούν μακροπρόθεσμα περισσότερες εναλλακτικές λύσεις έναντι των αμερικανικών hyperscalers.
Το ερώτημα παραμένει αν η Ευρώπη θα είναι ακόμη σε θέση να το κάνει αυτό εγκαίρως, ώστε να είναι σε θέση να ενεργεί πιο ανεξάρτητα και με μεγαλύτερη ασφάλεια στον ψηφιακό χώρο. Παρ’ όλα αυτά, η κα Raabe-Stuppnig είναι σίγουρη: Η πολιτική βούληση υπάρχει – και με στοχευμένη χρηματοδότηση και ρύθμιση, θα μπορούσαν σύντομα να προκύψουν βιώσιμες ευρωπαϊκές εναλλακτικές λύσεις.
Η γενική παραίτηση από τις λύσεις τρίτων χωρών δεν είναι ούτε εφικτή ούτε νομικά απαραίτητη. Οι εταιρείες πρέπει να σταθμίσουν προσεκτικά πόσο ευαίσθητα είναι τα δεδομένα τους, ποιοι εταίροι είναι κατάλληλοι – και ποια μέτρα προστασίας μπορούν να εφαρμόσουν συγκεκριμένα. Όσοι βασίζονται ήδη σε SCC, TIA και κρυπτογράφηση δεν είναι μόνο νομικά ασφαλείς, αλλά ενισχύουν και την ευρωπαϊκή τους θέση στον ψηφιακό ανταγωνισμό.
