S više od 15 godina iskustva kao odvjetnik, svojom ulogom suosnivačice savjetodavnog odbora za zaštitu podataka i aktivnim sudjelovanjem u postupcima pred Europskim sudom pravde – zajedno s Maxom Schremsom i Thomasom Lohningerom – Katharina Raabe-Stuppnig jedan je od najutjecajnijih glasova u europskom pravu o zaštiti podataka. U svom odvjetničkom uredu u Wickenburggasse u Beču govori o svom profesionalnom putu, izazovima GDPR-a i sve većoj složenosti uzrokovanoj novim digitalnim zakonima EU-a.
Od medijskog prava do zaštite podataka: stručnjak u Austriji
Katharina Raabe-Stuppnig započela je svoju karijeru u medijskom pravu. Savjetovala je izdavačke kuće i telekomunikacijske tvrtke o pravu tržišnog natjecanja, oglašavanju i odgovornosti medija. Most do zaštite podataka bio je gotovo automatski: “Mnogi klijenti su mi prišli i rekli: Znate naše procese i naše uravnoteženje interesa – možete li nas podržati i u zaštiti podataka?”
Kada je GDPR stupio na snagu, zaštita podataka pomaknula se više u središte korporativne stvarnosti. Novčane kazne u milijunima povećale su pritisak. Tvrtke trebaju jasne koncepte – i oslanjaju se na postojeća partnerstva. Kao rezultat toga, zakon o zaštiti podataka razvio se od marginalne teme do središnjeg fokusa njezina rada.
“Moja bi želja bila ojačati europsko gospodarstvo – europskim alternativama. Digitalna strategija i Akt o podacima korak su u pravom smjeru. Pitanje je samo: Hoće li doći na vrijeme?”
Mag. Kathrina Raabe-Stuppnig
Zaštita podataka kao pokretač
Od uvođenja GDPR-a 2018. potreba za pravnom podrškom enormno se povećala – i još uvijek je visoka. To je ne samo zato što se uredbom ne pravi razlika između velikih korporacija i malih poduzeća. Svi moraju ispunjavati iste standarde.
“Funkcionalan sustav upravljanja zaštitom podataka danas je pravi pokretač”, objašnjava Raabe-Stuppnig. “Daje tvrtkama pregled sustava, procesa i rizika – i čini osnovu za optimizaciju i povećanje učinkovitosti.”
Istodobno, okruženje postaje sve složenije: novi zakoni kao što su NIS-2, Zakon o kibernetičkoj otpornosti, Zakon o umjetnoj inteligenciji ili Zakon o podacima postavljaju dodatne zahtjeve tvrtkama – u svim industrijama. Oni koji su već stvorili stabilne temelje za zaštitu podataka imaju jasnu prednost.
Strategije digitalne transformacije
Pitanja s kojima se tvrtke danas obraćaju odvjetničkom društvu su višestruka:
- Kako NIS-2 utječe na mene ako sam dobavljač kritične infrastrukture?
- Koje su mi politike potrebne za Akt o umjetnoj inteligenciji?
- Kako se nositi s novim pravima pristupa podacima prema Zakonu o podacima – a da pritom ne ugrozim razinu zaštite podataka koju sam do sada izgradio?
Osim pravnih procjena, strateška pitanja igraju sve važniju ulogu: Gdje će se u tvrtki nalaziti odgovornosti? Kako uravnotežujete usklađenost, kibernetičku sigurnost i inovacije? Raabe-Stuppnig i njezin tim podržavaju tvrtke ne samo u provedbi, već i u pozicioniranju unutar novog pravnog okvira.
EU protiv SAD-a: Različiti osnovni stavovi
Posebno osjetljivo pitanje je upotreba softvera iz trećih zemalja, na primjer od strane američkih hiperskalera. Iako u SAD-u postoje i zakoni o zaštiti podataka, rekla je Raabe-Stuppnig, zaštita se prvenstveno odnosi na američke građane. Za građane EU-a ti su propisi mnogo slabiji.
“Problem leži u težini: sigurnosni interesi NSA-e često imaju prednost nad zaštitom podataka neamerikanaca. Sud Europske unije već je dva puta utvrdio tu neproporcionalnost i tako poništio središnja načela kao što su sigurna luka i sustav zaštite privatnosti.”
Promjena svijesti u Europi od 2018.
Otkako je GDPR stupio na snagu, svijest u Europi osjetno se promijenila. Tvrtke su danas mnogo osjetljivije kada je u pitanju rukovanje osobnim podacima. Medijska pozornost oko presuda o zaštiti podataka i istaknutih slučajeva odigrala je središnju ulogu u tome.
“Stvorili smo zlatni standard u zaštiti podataka u Europi”, sažima Raabe-Stuppnig. “I zadovoljstvo je vidjeti koliko tvrtki aktivno nastoji ne samo ispuniti ovaj standard, već ga iskoristiti kao konkurentsku prednost.”
Zašto je prijenos podataka u SAD tako osjetljiv – i kakva je pravna situacija u EU danas?
Rasprava o zaštiti podataka između EU-a i SAD-a složena je – i prije svega vrlo dinamična s pravnog stajališta. Za razliku od zemalja poput Švicarske, za koju je donesena takozvana odluka o primjerenosti Europske komisije, situacija sa SAD-om bila je i jest puno kompliciranija. U takvoj se odluci navodi da se osobni podaci mogu prenijeti u treću zemlju jer postoji razina zaštite podataka usporediva s onom u EU-u. U zemljama poput Kine ili Rusije – a dugo vremena i u SAD-u – takva je odluka nedostajala.
Obrada podataka u SAD-u – zakonsko odvagivanje
Na primjer, čim tvrtke surađuju s pružateljima usluga obrade podataka u SAD-u, moraju poduzeti dodatne zaštitne mjere kako bi održale razinu zaštite podataka koju zahtijeva GDPR. To znači više truda, više obveze provjere – i više rizika.
Praktičan primjer: Čak i ako odaberete lokaciju poslužitelja unutar EU-a za američke pružatelje usluga u oblaku, problem i dalje postoji – na primjer, ako je europska podružnica podređena matičnoj tvrtki u SAD-u. U hitnim slučajevima, američke vlasti poput NSA-e mogle bi zahtijevati pristup podacima – uključujući i putem internog zapovjednog lanca. Lokacija poslužitelja u EU smanjuje rizik, ali ga ne eliminira u potpunosti.
Od sigurne luke do okvira za zaštitu podataka: pregled
Povijest sporazuma o zaštiti podataka između EU-a i SAD-a čita se kao niz pravnih zastoja:
- Safe Harbor bio je prvi sporazum koji je dobrovoljno nametnuo određene standarde zaštite podataka američkim tvrtkama. Poništena je 2015. presudom u predmetu Schrems I.
- Sustav zaštite privatnosti bio je nasljednik – revidirana verzija sustava “sigurne luke”. No, ovaj je sporazum također proglasio nevažećim Europski sud pravde 2020. u presudi Schrems II.
- Kao odgovor na to, na snagu je stupio Okvir za zaštitu podataka na temelju kojeg je Europska komisija ponovno donijela odluku o primjerenosti za SAD.
Međutim, nova odluka ponovno je na klimavim temeljima
To je zato što se Okvir za privatnost podataka temelji na izvršnoj naredbi američkog predsjednika – odnosno naredbi koja se teoretski može opozvati u bilo kojem trenutku. Kritičari stoga sumnjaju u dugoročnu stabilnost ovog okvira. Tužba protiv odluke o primjerenosti već je podnesena Europskom sudu pravde – ishod je otvoren.
Osim toga, odgovorno američko nadzorno tijelo PCLOB trenutno nije u mogućnosti djelovati jer je bivši predsjednik Trump otpustio tri od pet njegovih menadžera. Rezultat: velika neizvjesnost u pogledu stabilnosti mehanizma zaštite podataka u SAD-u.
Koliko je važan okvir za zaštitu podataka za poduzeća u EU-u?
Ako planirate dugoročno i želite se usredotočiti na sigurnost podataka, ne biste se trebali slijepo oslanjati na Okvir za privatnost podataka. Pravna situacija može se brzo promijeniti – kao i u prošlosti. Procjene učinka prijenosa podataka (TIA) zahtijevaju mnogo truda, a kršenja mogu rezultirati strogim kaznama: do 4% globalnog godišnjeg prihoda.
Usluge u oblaku u SAD-u (još uvijek) su upotrebljive – ali ne bez rizika
Trenutno se usluge u oblaku američkih pružatelja usluga mogu koristiti u skladu s propisima o zaštiti podataka, pod uvjetom da se provode odgovarajuće zaštitne mjere kao što su standardne ugovorne klauzule i tehničke sigurnosne mjere . Ali ostaje preostali rizik. Posebno je problematično što još uvijek ne postoji end-to-end enkripcija prikladna za svakodnevnu upotrebu za sve vrste upotrebe – na primjer, u tekućoj obradi podataka (“podaci u upotrebi”).
Korištenje američkih usluga stoga uvijek treba procijeniti pojedinačno : Koliko su osjetljivi obrađeni podaci? Koje se sigurnosne mjere poduzimaju? I u kojoj je mjeri tvrtka zapravo u stanju ublažiti rizike?
Između crnog i bijelog i realizma: Kako bi se tvrtke trebale nositi sa zaštitom podataka i pružateljima usluga u oblaku
Pitanje trebaju li tvrtke koristiti samo softver i usluge u oblaku europskog podrijetla – “sve ili ništa” – na prvu zvuči kao jasan stav. Ali upravo na to upozorava stručnjakinja za zaštitu podataka Katharina Raabe-Stuppnig. Takvo načelo nije samo nepraktično, već je i teško opravdati vlastima. Umjesto toga, svaka odluka o korištenju softvera ili usluga u oblaku mora se donijeti od slučaja do slučaja – ovisno o tome koliko su osjetljivi obrađeni podaci i koje se zaštitne mjere mogu konkretno poduzeti.
Nemojte se uljuljkati u lažni osjećaj sigurnosti – čak i uz Privacy Framework
Još jedna tema koja trenutno zaokuplja mnoge tvrtke: Što će se dogoditi ako Europski sud pravde (ECJ) poništi novi okvir za privatnost podataka između EU-a i SAD-a – kao što su to prije učinili “Safe Harbor” i “Privacy Shield”? Odgovor na to je jasan: ponovno bi se pojavila velika pravna nesigurnost . Upravo zato Kargl već savjetuje tvrtkama da se ne oslanjaju isključivo na okvir, već da se dodatno dogovore o standardnim ugovornim klauzulama (SCC). One bi uvijek trebale uključivati takozvanu procjenu učinka prijenosa (TIA), odnosno analizu rizika za prijenos podataka u treće zemlje.
Ali odvjetnik također jasno kaže: ako bi okvir za privatnost podataka doista pao i time proporcionalnost prijenosa podataka u SAD bila u osnovi dovedena u pitanje, TIA-e bi također dosegle svoje granice. Nada tada počiva na dodatnim tehničkim i organizacijskim mjerama – prije svega enkripciji.
Enkripcija: Težnja i stvarnost se razlikuju
Tijela za zaštitu podataka i Sud Europske unije zahtijevaju jasno rješenje od američkih pružatelja usluga u oblaku: podaci bi se trebali pohranjivati samo u šifriranom obliku, a ključem bi se trebalo upravljati izvan pružatelja usluga – idealno u Europi i pod kontrolom tvrtke odgovorne za podatke ili europskog povjerenika. Cilj ovog takozvanog rješenja za “upravljanje vanjskim ključevima” je osigurati da se čak i u slučaju pristupa američkih vlasti kao što je NSA, mogu proslijediti samo šifrirani, odnosno neupotrebljivi podaci.
U praksi, međutim, prema Katharini Raabe-Stuppnig, ova vrsta enkripcije može se stvarno implementirati samo za sigurnosne kopije podataka. Čim se podaci aktivno obrađuju u svakodnevnom životu , potreban je pristup nešifriranom materijalu. Upravo u tome leži problem: tehnologija koja omogućuje potpunu obradu podataka u šifriranom stanju trenutno postoji samo u vrlo ograničenoj mjeri – na primjer, za jednostavne izračune ili procjene u određenim scenarijima. Stanje tehnike još nije dovoljno za široku upotrebu potrebnu u poslovanju.
Uloga Europe: mogućnosti putem Akta o podacima
Unatoč tim izazovima, odvjetnik je optimističan u pogledu budućnosti: Akt EU-a o podacima postavlja važan smjer. Pružatelji usluga u oblaku trebali bi biti obvezni omogućiti strategije za više oblaka, odnosno podržati nesmetanu promjenu pružatelja usluga – bez visokih troškova promjene pružatelja. To je aktivan napor za jačanje europskog suvereniteta u digitalnom prostoru i dugoročno stvaranje više alternativa američkim hiperskalerima .
Ostaje pitanje hoće li Europa to moći učiniti na vrijeme kako bi mogla djelovati neovisnije i sigurnije u digitalnom prostoru. Ipak, gospođa Raabe-Stuppnig uvjerena je: politička volja postoji – a uz ciljano financiranje i regulaciju, uskoro bi se mogle pojaviti održive europske alternative.
Opće izuzeće od rješenja trećih zemalja nije izvedivo niti zakonski potrebno. Tvrtke moraju pažljivo odvagnuti koliko su njihovi podaci osjetljivi, koji su partneri prikladni – i koje zaštitne mjere mogu konkretno primijeniti. Oni koji se već oslanjaju na standardne ugovorne klauzule, TIA-e i enkripciju ne samo da su pravno sigurni, već i jačaju svoju europsku poziciju u digitalnoj konkurenciji.
