Vairāk nekā 15 gadu ilgā jurista pieredze, kā arī tas, ka viņa ir datu aizsardzības konsultatīvās padomes līdzdibinātāja un kopā ar Maksu Šremsu un Tomasu Lohningeru aktīvi piedalās tiesvedībā Eiropas Savienības Tiesā, padara Katarīnu Rābi-Štupnigu par vienu no ietekmīgākajām personām Eiropas datu aizsardzības tiesību jomā. Savā advokātu birojā Vīnē, Vikenburgas ielā (Wickenburggasse), viņa stāsta par savu karjeras ceļu, GDPR izaicinājumiem un jauno ES digitālo tiesību aktu pieaugošo sarežģītību.
No mediju tiesībām līdz datu aizsardzībai: eksperts Austrijā
Katharina Raabe-Stupniga sāka savu karjeru plašsaziņas līdzekļu tiesību jomā. Viņa konsultēja izdevniecības un telekomunikāciju uzņēmumus jautājumos, kas saistīti ar konkurences tiesībām, reklāmu un mediju atbildību. Pāreja uz datu aizsardzību radās gandrīz automātiski: “Daudzi klienti vērsās pie manis un teica: jūs pārzināt mūsu procesus un mūsu interešu līdzsvarošanu – vai jūs varat mums palīdzēt arī datu aizsardzības jomā?”.
Kad stājās spēkā VDAR, datu aizsardzība vairāk nonāca uzņēmumu realitātes centrā. Miljonos mērāmas soda naudas palielināja spiedienu. Uzņēmumiem bija nepieciešamas skaidras koncepcijas – un tie paļāvās uz esošajām partnerībām. Rezultātā datu aizsardzības tiesību akti no perifērijas jautājuma pārtapa par centrālo to darbības fokusu.
“Es vēlos stiprināt Eiropas ekonomiku, izmantojot Eiropas alternatīvas. Digitālā stratēģija un Datu akts ir virzīti pareizajā virzienā. Vienīgais jautājums ir: vai tas notiks laikā?”
Mag. Katrīna Rābe-Štupniga (Kathrina Raabe-Stuppnig)
Datu aizsardzība kā veicinošs faktors
Kopš VDAR ieviešanas 2018. gadā nepieciešamība pēc juridiskā atbalsta ir ievērojami pieaugusi un joprojām ir liela. Tas ir saistīts arī ar to, ka regulā nav atšķirības starp lielām korporācijām un maziem uzņēmumiem. Visiem ir jāievēro vienādi standarti.
“Mūsdienās funkcionējoša datu aizsardzības pārvaldības sistēma ir īsts palīgs,” skaidro Raabe-Stupnigs. “Tā sniedz uzņēmumiem pārskatu par sistēmām, procesiem un riskiem un ir pamats optimizācijai un efektivitātes palielināšanai.”
Tajā pašā laikā vide kļūst arvien sarežģītāka: jauni tiesību akti, piemēram, NIS-2, Kiberdrošības likums, Mākslīgā intelekta likums un Datu likums, izvirza papildu prasības uzņēmumiem visās nozarēs. Tiem, kas jau ir izveidojuši stabilu datu aizsardzības pamatu, tagad ir skaidras priekšrocības.
Digitālās transformācijas stratēģijas
Problēmas, ar kurām uzņēmumi šodien vēršas pie uzņēmuma, ir daudz un dažādas:
- Kā NIS-2 ietekmē mani, ja esmu kritiskās infrastruktūras piegādātājs?
- Kādas politikas man ir nepieciešamas saistībā ar Likumu par mākslīgo intelektu?
- Kā rīkoties, lai nodrošinātu jaunās datu piekļuves tiesības saskaņā ar Datu likumu, neapdraudot līdz šim sasniegto datu aizsardzības līmeni?
Papildus juridiskajam novērtējumam arvien lielāka nozīme ir stratēģiskajiem jautājumiem: kur uzņēmumā būtu jānosaka atbildības jomas? Kā saskaņot atbilstību, kiberdrošību un inovācijas spēju? Raabe-Stupniga un viņas komanda palīdz uzņēmumiem ne tikai ar ieviešanu, bet arī ar pozicionēšanu jaunajā tiesiskajā regulējumā.
ES un ASV: atšķirīgas pamatprincipu nostādnes
Īpaši jutīgs jautājums ir trešo valstu programmatūras izmantošana, piemēram, ASV hiperskaleriem. Lai gan arī ASV ir spēkā datu aizsardzības likumi, Raabe-Stuppnig skaidro, ka aizsardzība galvenokārt attiecas uz ASV pilsoņiem. ES pilsoņiem šie noteikumi ir ievērojami vājāki.
“Problēma slēpjas svērumā: NSA drošības interesēm bieži ir prioritāte pār neamerikāņu datu aizsardzību. EKT jau divreiz ir konstatējusi šo nesamērīgumu – un tādējādi atcēla tādus galvenos principus kā “Safe Harbour” un “Privātuma vairogs”.”
Izmaiņas informētībā Eiropā kopš 2018. gada
Kopš VDAR stāšanās spēkā informētība Eiropā ir ievērojami mainījusies. Uzņēmumi tagad ir daudz jutīgāki attiecībā uz personas datu apstrādi. Tam liela nozīme ir bijusi plašsaziņas līdzekļu uzmanībai, kas saistīta ar spriedumiem datu aizsardzības jomā un ievērojamām lietām.
“Mēs esam izveidojuši datu aizsardzības zelta standartu Eiropā,” rezumē Raabe-Stupnigs. “Un ir patīkami redzēt, cik daudzi uzņēmumi aktīvi cenšas ne tikai ievērot šo standartu, bet arī izmantot to kā konkurences priekšrocību.”
Kāpēc datu nosūtīšana uz ASV ir tik sensitīva un kāda ir pašreizējā tiesiskā situācija ES?
Debates par datu aizsardzību starp ES un ASV ir sarežģītas un, pats galvenais, ļoti dinamiskas no juridiskā viedokļa. Atšķirībā no tādām valstīm kā Šveice, attiecībā uz kuru ES Komisija ir pieņēmusi tā saukto lēmumu par atbilstību, situācija ASV bija un ir daudz sarežģītāka. Šāds lēmums nosaka, ka personas datus var nosūtīt uz trešo valsti, jo datu aizsardzības līmenis tajā ir salīdzināms ar ES līmeni. Tādās valstīs kā Ķīna vai Krievija – un ilgu laiku arī ASV – šāda lēmuma nebija.
Datu apstrāde ASV – juridiskā līdzsvara jautājums
Tiklīdz uzņēmumi sadarbojas ar pakalpojumu sniedzējiem datu apstrādei, piemēram, ASV, tiem ir jāveic papildu aizsardzības pasākumi, lai saglabātu VDAR noteikto datu aizsardzības līmeni. Tas nozīmē vairāk pūļu, vairāk obligāto pārbaužu un lielāku risku.
Praktisks piemērs: pat ja ASV mākoņpakalpojumu sniedzējiem izvēlaties servera atrašanās vietu ES, problēma joprojām pastāv, piemēram, ja Eiropas meitasuzņēmumu kontrolē ASV mātesuzņēmums. Ārkārtas gadījumā ASV iestādes, piemēram, NSA, varētu pieprasīt piekļuvi datiem – pat izmantojot iekšējo komandķēdi. Servera atrašanās vieta ES mazina risku, taču pilnībā to neizslēdz.
Atskats pagātnē – no “drošās zonas” līdz datu privātuma pamatprincipu ietvarstruktūrai
ES un ASV datu aizsardzības nolīgumu vēsture ir kā virkne juridisku neveiksmju:
- “Drošā osta” bija pirmais nolīgums, ar kuru ASV uzņēmumiem brīvprātīgi tika noteikti konkrēti datu aizsardzības standarti. Tas tika atcelts 2015. gadā ar spriedumu lietā Schrems I.
- “Privātuma vairogs” bija tā turpinājums – pārskatīta “Drošā ostas” versija. Tomēr arī šo nolīgumu Eiropas Kopienu Tiesa 2020. gadā spriedumā Schrems II atzina par spēkā neesošu.
- Reaģējot uz to, stājās spēkā Datu privātuma regulējums, uz kura pamata ES Komisija vēlreiz pieņēma lēmumu par ASV piemērotību.
Tomēr jaunais lēmums atkal ir balstīts uz nestabila pamata.
Tas ir tāpēc, ka Datu privātuma regulējuma pamatā ir ASV prezidenta rīkojums – citiem vārdiem sakot, rīkojums, kuru teorētiski var atcelt jebkurā laikā. Tāpēc kritiķi apšauba šīs sistēmas ilgtermiņa stabilitāti. Eiropas Kopienu Tiesā jau ir iesniegta prasība pret lēmumu par aizsardzības līmeņa pietiekamību – iznākums ir neskaidrs.
Turklāt atbildīgā ASV uzraudzības iestāde PCLOB pašlaik nespēj rīkoties, jo bijušais prezidents Tramps ir atcēlis trīs no tās pieciem direktoriem. Rezultāts: liela nenoteiktība par to, cik stabils ir datu aizsardzības mehānisms ASV.
Cik svarīga ES uzņēmumiem ir datu privātuma sistēma?
Ja plānojat ilgtermiņā un vēlaties pievērst uzmanību datu drošībai, nevajadzētu akli paļauties uz datu privātuma regulējumu. Tāpat kā iepriekš, juridiskā situācija var ātri mainīties. Datu nodošanas ietekmes novērtējuma (DIA) izmaksas ir augstas, un par pārkāpumiem var tikt piemēroti bargi sodi līdz pat 4 % no gada globālā apgrozījuma.
ASV mākoņpakalpojumi (joprojām) ir lietojami, taču ne bez riska
ASV pakalpojumu sniedzēju mākoņpakalpojumus pašlaik var izmantot saskaņā ar **datu aizsardzības noteikumiem, ja tiek īstenoti **piemērotie aizsardzības pasākumi, piemēram, standarta līguma klauzulas un tehniskie drošības pasākumi. Tomēr joprojām pastāv atlikušais risks. Īpaši problemātiski ir tas, ka joprojām nepastāv ikdienas lietošanai piemērota end-to-end šifrēšana visiem izmantošanas veidiem – piemēram, pastāvīgai datu apstrādei (“dati lietošanā”).
Tāpēc ASV pakalpojumu izmantošana vienmēr jāizvērtē individuāli: Cik sensitīvi ir apstrādājamie dati? Kādi drošības pasākumi tiek veikti? Un cik lielā mērā uzņēmums faktiski spēj mazināt riskus?
Starp melnu un baltu un reālismu: kā uzņēmumiem jārisina datu aizsardzības un mākoņpakalpojumu sniedzēju jautājumi
Jautājums par to, vai uzņēmumiem būtu jāizmanto tikai Eiropas izcelsmes programmatūra un mākoņpakalpojumi – “pilnībā vai vispār” – pirmajā brīdī izklausās pēc skaidras nostājas. Taču tieši pret to brīdina datu aizsardzības eksperte Katharina Raabe-Stuppnig. Šāds princips ir ne tikai nepraktisks, bet arī grūti pamatojams iestādēm. Tā vietā katrs lēmums par programmatūras vai mākoņpakalpojumu izmantošanu ir jāpieņem katrā gadījumā atsevišķi – atkarībā no tā, cik sensitīvi ir apstrādājamie dati un kādus konkrētus aizsardzības pasākumus var veikt.
Neļaujiet sevi maldināt ar viltus drošības sajūtu – pat ar konfidencialitātes pamatprincipiem.
Vēl viens temats, kas pašlaik nodarbina daudzus uzņēmumus: Kas notiks, ja Eiropas Kopienu Tiesa (EKT) atcels jauno ES un ASV datu privātuma regulējumu, kā tas notika iepriekš ar “Safe Harbour” un “Privacy Shield”? Atbilde ir skaidra: atkal radīsies milzīga juridiskā nenoteiktība. Tieši tāpēc Kargl jau tagad iesaka uzņēmumiem nepaļauties tikai uz šo regulējumu, bet vienoties par papildu standarta līguma klauzulām (SCC). Tajos vienmēr būtu jāiekļauj datu nodošanas ietekmes novērtējums (TIA), t. i., riska analīze par datu nodošanu trešām valstīm.
Tomēr jurists arī skaidri norāda, ka gadījumā, ja Datu privātuma pamatprincipu ietvars patiešām zaudēs spēku un datu nosūtīšanas uz ASV samērīgums tiks būtiski apšaubīts, TIA arī sasniegs savas robežas. Tad cerības ir saistītas ar papildu tehniskiem un organizatoriskiem pasākumiem, pirmām kārtām šifrēšanu.
Šifrēšana: apgalvojumi un realitāte atšķiras
Datu aizsardzības iestādes un Eiropas Kopienu Tiesa pieprasa ASV mākoņpakalpojumu sniedzējiem skaidru risinājumu: dati jāglabā tikai šifrētā veidā, un atslēga jāpārvalda ārpus pakalpojuma sniedzēja – ideālā gadījumā Eiropā un par datiem atbildīgā uzņēmuma vai Eiropas pilnvarotās personas kontrolē. Šā tā sauktā ” ārējās atslēgas pārvaldības” risinājuma mērķis ir nodrošināt, ka pat ASV iestāžu, piemēram, NSA, piekļuves gadījumā var tikt nodoti tikai šifrēti, t. i., neizmantojami, dati.
Tomēr praksē, pēc Katarīnas Rābes-Štupnigas (Katharina Raabe-Stuppnig) teiktā, šāda veida šifrēšanu reāli var izmantot tikai rezerves datu dublēšanai. Tiklīdz dati tiek aktīvi apstrādāti ikdienā, ir nepieciešama piekļuve nešifrētam materiālam. Tieši šeit slēpjas problēma: tehnoloģija, kas ļauj pilnībā apstrādāt datus šifrētā stāvoklī, pašlaik pastāv tikai ļoti ierobežotā apjomā – piemēram, vienkāršiem aprēķiniem vai aplēsēm konkrētos scenārijos. Jaunākie sasniegumi vēl nav pietiekami, lai tos varētu plaši izmantot, kā tas ir nepieciešams ekonomikā.
Eiropas loma: iespējas, ko sniedz Datu akts
Neraugoties uz šiem izaicinājumiem, jurists optimistiski raugās uz nākotni: ES datu akts noteiks svarīgu virzienu. Mākoņpakalpojumu sniedzējiem būs pienākums nodrošināt daudzmākoņpakalpojumu stratēģijas, t. i., atbalstīt vieglu pārslēgšanos starp pakalpojumu sniedzējiem – bez augstām pārslēgšanās izmaksām. Tas ilgtermiņā aktīvi darbosies Eiropas suverenitātes stiprināšanas virzienā digitālajā telpā un radīs vairāk alternatīvu ASV hiperskaļķotājiem.
Jautājums paliek atklāts, vai Eiropa ar laiku spēs darboties patstāvīgāk un drošāk digitālajā telpā . Tomēr Raabe-Stupniga ir pārliecināta: “Politiskā griba ir, un ar mērķtiecīgu atbalstu un regulējumu drīz varētu rasties dzīvotspējīgas Eiropas alternatīvas.
Vispārēja atteikšanās no trešo valstu risinājumiem nav ne praktiski īstenojama, ne juridiski nepieciešama. Uzņēmumiem ir rūpīgi jāizvērtē, cik sensitīvi ir to dati, kuri partneri ir piemēroti – un kādus konkrētus aizsardzības pasākumus tie var īstenot. Tie, kas jau paļaujas uz SCC, TIA un šifrēšanu, ir ne tikai juridiski drošībā, bet arī nostiprina Eiropas pozīcijas digitālajā konkurencē.
