Katharina Raabe-Stuppnig, turinti daugiau nei 15 metų teisininkės patirtį, esanti viena iš duomenų apsaugos patariamosios tarybos įkūrėjų ir aktyviai dalyvaujanti bylose Europos Teisingumo Teisme (kartu su Maxu Schremsu ir Thomasu Lohningeriu), yra viena įtakingiausių Europos duomenų apsaugos teisės atstovių. Savo advokatų kontoroje Vienoje, Wickenburggasse gatvėje, ji pasakoja apie savo karjeros kelią, BDAR iššūkius ir vis sudėtingesnius naujus ES skaitmeninius įstatymus.
Nuo žiniasklaidos teisės iki duomenų apsaugos: ekspertas Austrijoje
Katharina Raabe-Stuppnig savo karjerą pradėjo žiniasklaidos teisės srityje. Ji konsultavo leidyklas ir telekomunikacijų bendroves konkurencijos teisės, reklamos ir žiniasklaidos atsakomybės klausimais. Tiltas į duomenų apsaugą atsirado beveik savaime: “Daugelis klientų kreipėsi į mane ir sakė: Jūs žinote mūsų procesus ir mūsų interesų derinimą – ar galite mums padėti ir duomenų apsaugos srityje?”
Įsigaliojus BDAR, duomenų apsauga tapo dar svarbesniu įmonių realybės centru. Milijoninės baudos dar labiau padidino spaudimą. Įmonėms reikėjo aiškių sąvokų – ir jos rėmėsi esama partneryste. Dėl to duomenų apsaugos teisė iš periferinio klausimo virto pagrindiniu jų veiklos objektu.
“Mano noras būtų stiprinti Europos ekonomiką pasitelkiant Europos alternatyvas. Skaitmeninė strategija ir Duomenų aktas yra teisinga kryptis. Vienintelis klausimas: ar tai įvyks laiku?”
Mag. Kathrina Raabe-Stuppnig
Duomenų apsauga kaip pagalbinė priemonė
2018 m. pradėjus taikyti BDAR, teisinės pagalbos poreikis labai išaugo ir išlieka didelis. Taip yra ne tik dėl to, kad reglamente nedaromas skirtumas tarp didelių ir mažų įmonių. Visos jos turi atitikti tuos pačius standartus.
“Veikianti duomenų apsaugos valdymo sistema šiandien yra tikras veiksnys”, – aiškina Raabe-Stuppnig. “Ji suteikia įmonėms galimybę apžvelgti sistemas, procesus ir rizikas bei sudaro pagrindą optimizavimui ir didesniam efektyvumui.”
Kartu aplinka tampa vis sudėtingesnė: nauji teisės aktai, tokie kaip NIS-2, Kibernetinio atsparumo įstatymas, Dirbtinio intelekto įstatymas ir Duomenų įstatymas, kelia papildomus reikalavimus įmonėms visuose sektoriuose. Tos, kurios jau sukūrė stabilų duomenų apsaugos pagrindą, dabar turi aiškų pranašumą.
Skaitmeninės transformacijos strategijos
Problemų, dėl kurių šiandien įmonės kreipiasi į įmonę, yra daug ir įvairių:
- Kaip NIS-2 veikia mane, jei esu ypatingos svarbos infrastruktūros objektų tiekėjas?
- Kokios politikos reikia AI aktui įgyvendinti?
- Kaip elgtis, kai pagal Duomenų įstatymą atsiranda naujos prieigos prie duomenų teisės, nesumažinant iki šiol pasiekto duomenų apsaugos lygio?
Be teisinių vertinimų, vis svarbesni tampa strateginiai klausimai: kur įmonėje turėtų būti paskirstyta atsakomybė? Kaip suderinti atitiktį, kibernetinį saugumą ir gebėjimą diegti naujoves? Raabe-Stuppnig ir jos komanda padeda įmonėms ne tik įgyvendinti, bet ir įsitvirtinti naujoje teisinėje sistemoje.
ES ir JAV: skirtingi pagrindiniai požiūriai
Ypač opus klausimas yra programinės įrangos iš trečiųjų šalių naudojimas, pavyzdžiui, JAV hiperscaleriuose. Nors JAV taip pat galioja duomenų apsaugos įstatymai, Raabe-Stuppnig aiškina, kad apsauga visų pirma taikoma JAV piliečiams. ES piliečiams šie teisės aktai yra gerokai silpnesni.
“Problema slypi svarstyklėse: NSA saugumo interesai dažnai yra svarbesni už ne amerikiečių duomenų apsaugą. ESTT jau du kartus nustatė šį neproporcingumą ir taip panaikino pagrindinius principus, tokius kaip “Saugus uostas” ir “Privatumo skydas”.”
Informuotumo pokyčiai Europoje nuo 2018 m.
Įsigaliojus BDAR, informuotumas Europoje pastebimai pasikeitė. Dabar įmonės daug jautriau elgiasi su asmens duomenimis. Tam didelę reikšmę turėjo žiniasklaidos dėmesys duomenų apsaugos sprendimams ir svarbioms byloms.
“Sukūrėme auksinį duomenų apsaugos standartą Europoje”, – apibendrina Raabe-Stuppnig. “Džiugu matyti, kiek daug įmonių aktyviai stengiasi ne tik atitikti šį standartą, bet ir pasinaudoti juo kaip konkurenciniu pranašumu.”
Kodėl duomenų perdavimas į JAV yra toks jautrus ir kokia yra dabartinė teisinė padėtis ES?
ES ir JAV diskusijos dėl duomenų apsaugos yra sudėtingos ir, svarbiausia, labai dinamiškos teisiniu požiūriu. Skirtingai nuo tokių šalių kaip Šveicarija, dėl kurių ES Komisija priėmė vadinamąjį sprendimą dėl tinkamumo, JAV padėtis buvo ir yra daug sudėtingesnė. Tokiame sprendime teigiama, kad asmens duomenys gali būti perduodami į trečiąją šalį, nes duomenų apsaugos lygis joje yra panašus į ES lygį. Tokiose šalyse kaip Kinija ar Rusija, o ilgą laiką ir JAV, tokio sprendimo nebuvo.
Duomenų tvarkymas JAV – teisinė pusiausvyra
Kai tik įmonės bendradarbiauja su paslaugų teikėjais dėl duomenų tvarkymo, pavyzdžiui, JAV, jos turi imtis papildomų apsaugos priemonių, kad išlaikytų BDAR reikalaujamą duomenų apsaugos lygį. Tai reiškia daugiau pastangų, daugiau privalomų patikrinimų – ir didesnę riziką.
Praktinis pavyzdys: net jei JAV debesijos paslaugų teikėjams pasirenkate serverio vietą ES, problema vis tiek išlieka, pavyzdžiui, jei Europos dukterinę įmonę kontroliuoja JAV patronuojančioji įmonė. Iškilus kritinei situacijai, JAV institucijos, pavyzdžiui, NSA, galėtų reikalauti prieigos prie duomenų – net ir per vidinę pavaldumo grandinę. Jei serveris yra ES, rizika sumažėja, tačiau visiškai nepanaikinama.
Nuo “saugaus uosto” iki duomenų privatumo sistemos: žvilgsnis atgal
ES ir JAV duomenų apsaugos susitarimų istorija primena daugybę teisinių nesėkmių:
- “Saugus uostas” buvo pirmasis susitarimas, kuriuo JAV bendrovėms savanoriškai nustatyti tam tikri duomenų apsaugos standartai. Jis buvo panaikintas 2015 m. priėmus sprendimą byloje Schrems I.
- Privatumo skydas buvo “saugaus uosto” pakeista versija. Tačiau 2020 m. Europos Teisingumo Teismas sprendimu Schrems II šį susitarimą taip pat pripažino negaliojančiu.
- Todėl įsigaliojo Duomenų privatumo sistema, kuria remdamasi ES Komisija dar kartą priėmė sprendimą dėl JAV tinkamumo.
Tačiau naujasis sprendimas ir vėl grindžiamas nepatikimais pagrindais.
Taip yra todėl, kad Duomenų privatumo sistema grindžiama JAV prezidento įsaku, kitaip tariant, įsaku, kuris teoriškai gali būti bet kada atšauktas. Todėl kritikai abejoja šios sistemos ilgalaikiu stabilumu. Europos Teisingumo Teismui jau pateiktas ieškinys dėl sprendimo dėl tinkamumo – jo rezultatas neaiškus.
Be to, atsakinga JAV priežiūros institucija – PCLOB – šiuo metu negali veikti, nes buvęs prezidentas D. Trumpas atleido tris iš penkių jos direktorių. Rezultatas: didelis netikrumas dėl to, kiek stabilus iš tikrųjų yra duomenų apsaugos mechanizmas JAV.
Kiek svarbi ES įmonėms yra duomenų privatumo sistema?
Jei planuojate ilgam laikui ir norite sutelkti dėmesį į duomenų saugumą, neturėtumėte aklai pasikliauti Duomenų privatumo sistema. Kaip ir anksčiau, teisinė padėtis gali greitai pasikeisti. Poveikio duomenų perdavimui vertinimų (PDV) kaina yra didelė, o už pažeidimus gali būti taikomos griežtos baudos, siekiančios iki 4 proc. metinės pasaulinės apyvartos.
JAV debesijos paslaugomis (vis dar) galima naudotis, bet ne be rizikos
JAV paslaugų teikėjų debesijos paslaugomis šiuo metu galima naudotis laikantis **duomenų apsaugos taisyklių, jei įgyvendinamos **atitinkamos apsaugos priemonės, pavyzdžiui, standartinės sutarčių sąlygos ir techninės saugumo priemonės. Tačiau vis dar išlieka likutinė rizika. Ypač daug problemų kelia tai, kad vis dar nėra kasdieniam naudojimui tinkamo galutinio šifravimo, tinkamo visų rūšių naudojimui, pavyzdžiui, nuolatiniam duomenų tvarkymui (“naudojami duomenys”).
Todėl naudojimasis JAV paslaugomis visada turėtų būti vertinamas individualiai: Kiek jautrūs yra tvarkomi duomenys? Kokių saugumo priemonių imamasi? Ir kokiu mastu įmonė iš tikrųjų gali sumažinti riziką?
Tarp juodai balto ir realistinio požiūrio: kaip įmonės turėtų elgtis su duomenų apsauga ir debesijos paslaugų teikėjais
Klausimas, ar įmonės turėtų naudoti tik Europos kilmės programinę įrangą ir debesijos paslaugas, iš pirmo žvilgsnio skamba kaip aiški pozicija. Tačiau būtent dėl to perspėja duomenų apsaugos ekspertė Katharina Raabe-Stuppnig. Toks principas ne tik nepraktiškas, bet ir sunkiai pateisinamas valdžios institucijoms. Vietoj to, kiekvienas sprendimas dėl programinės įrangos ar debesijos paslaugų naudojimo turi būti priimamas kiekvienu konkrečiu atveju – atsižvelgiant į tai, kiek jautrūs yra tvarkomi duomenys ir kokių konkrečių apsaugos priemonių galima imtis.
Nepasiduokite klaidingam saugumo jausmui – net ir su privatumo sistema
Dar viena tema, kuri šiuo metu rūpi daugeliui įmonių: Kas nutiks, jei Europos Teisingumo Teismas (ETT) panaikins naująją ES ir JAV duomenų privatumo sistemą, kaip anksčiau buvo padaryta su “Saugiuoju uostu” ir “Privatumo skydu”? Atsakymas aiškus: vėl kiltų didžiulis teisinis netikrumas. Būtent todėl “Kargl” jau dabar pataria bendrovėms nesiremti vien tik šia sistema, bet susitarti dėl papildomų standartinių sutarčių sąlygų (SCC). Į jas visada turėtų būti įtrauktas poveikio duomenų perdavimui vertinimas (angl. TIA), t. y. duomenų perdavimo į trečiąsias šalis rizikos analizė.
Tačiau teisininkas taip pat aiškiai nurodo, kad jei Duomenų privatumo pagrindų sistema iš tikrųjų žlugtų ir būtų iš esmės suabejota duomenų perdavimo į JAV proporcingumu, TIA taip pat pasiektų savo ribas. Tuomet vilties teikia papildomos techninės ir organizacinės priemonės – visų pirma šifravimas.
Šifravimas: teiginiai ir tikrovė skiriasi
Duomenų apsaugos institucijos ir ESTT reikalauja, kad JAV debesijos paslaugų teikėjai priimtų aiškų sprendimą: duomenys turėtų būti saugomi tik užšifruoti, o raktas turėtų būti valdomas už paslaugų teikėjo ribų – geriausia Europoje ir kontroliuojamas už duomenis atsakingos įmonės arba Europos patikėtinio. Šio vadinamojo ” išorinio rakto valdymo” sprendimo tikslas – užtikrinti, kad net ir tuo atveju, jei JAV institucijos, pavyzdžiui, NSA, gautų prieigą, būtų galima perduoti tik užšifruotus, t. y. nenaudojamus, duomenis.
Tačiau, pasak Katharinos Raabe-Stuppnig, praktiškai tokio tipo šifravimą galima taikyti tik atsarginėms duomenų kopijoms. Kai tik duomenys aktyviai apdorojami kasdieniame gyvenime, reikia prieigos prie nešifruotos medžiagos. Būtent čia ir yra problema: šiuo metu technologija, leidžianti visiškai apdoroti duomenis užšifruotoje būsenoje, egzistuoja tik labai ribotai – pavyzdžiui, paprastiems skaičiavimams ar įverčiams pagal konkrečius scenarijus. Šiuolaikinės technikos lygis dar nėra pakankamas, kad ją būtų galima plačiai naudoti, kaip to reikia ekonomikoje.
Europos vaidmuo: Duomenų akto galimybės
Nepaisant šių iššūkių, teisininkas optimistiškai žvelgia į ateitį: ES duomenų aktas nustatys svarbią kryptį. Debesijos paslaugų teikėjai bus įpareigoti sudaryti sąlygas taikyti kelių debesų strategijas, t. y. remti lengvą paslaugų teikėjų keitimą – be didelių keitimo išlaidų. Taip bus aktyviai dirbama stiprinant Europos suverenumą skaitmeninėje erdvėje ir ilgainiui atsiras daugiau alternatyvų JAV hiperscaleriams.
Lieka klausimas, ar Europa ilgainiui sugebės savarankiškiau ir saugiau veikti skaitmeninėje erdvėje . Vis dėlto M. Raabe-Stuppnig yra įsitikinusi: “Politinė valia yra, o gavus tikslingą paramą ir reguliavimą netrukus gali atsirasti gyvybingų Europos alternatyvų.
Visiškas trečiųjų šalių sprendimų netaikymas nėra nei praktiškai įgyvendinamas, nei teisiškai būtinas. Įmonės turi atidžiai pasverti, kokie jautrūs yra jų duomenys, kokie partneriai yra tinkami – ir kokias konkrečias apsaugos priemones jos gali įgyvendinti. Tie, kurie jau remiasi SCC, TIA ir šifravimu, yra ne tik teisiškai saugūs, bet ir stiprina Europos pozicijas skaitmeninėje konkurencijoje.
