Dzięki ponad 15-letniemu doświadczeniu jako prawnik, współzałożycielce rady doradczej ds. ochrony danych oraz aktywnemu udziałowi w postępowaniach przed Europejskim Trybunałem Sprawiedliwości – wraz z Maxem Schremsem i Thomasem Lohningerem – Katharina Raabe-Stuppnig jest jednym z najbardziej wpływowych głosów w europejskim prawie ochrony danych. W swojej kancelarii adwokackiej przy Wickenburggasse w Wiedniu opowiada o swojej ścieżce zawodowej, wyzwaniach związanych z RODO oraz rosnącej złożoności spowodowanej nowymi unijnymi przepisami cyfrowymi.
Od prawa mediów do ochrony danych: ekspert w Austrii
Katharina Raabe-Stuppnig rozpoczęła swoją karierę zawodową w dziedzinie prawa mediów. Doradzała wydawnictwom i firmom telekomunikacyjnym w zakresie prawa konkurencji, reklamy i odpowiedzialności mediów. Most do ochrony danych był niemal automatyczny: “Wielu klientów zwracało się do mnie i pytało: Zna Pan/Pani nasze procesy i nasze wyważenie interesów – czy może Pan/Pani wesprzeć nas również w zakresie ochrony danych?”
Wraz z wejściem w życie RODO ochrona danych osobowych przeniosła się bardziej w centrum korporacyjnej rzeczywistości. Wielomilionowe grzywny zwiększały presję. Firmy potrzebują jasnych koncepcji – i polegają na istniejących partnerstwach. W związku z tym prawo ochrony danych osobowych przekształciło się z tematu marginalnego w centralny punkt jej pracy.
“Moim życzeniem byłoby wzmocnienie gospodarki europejskiej – poprzez europejskie alternatywy. Strategia cyfrowa i akt w sprawie danych to krok we właściwym kierunku. Pytanie tylko: czy to przyjdzie na czas?”
Mag. Kathrina Raabe-Stuppnig
Ochrona danych jako czynnik wspomagający
Od czasu wprowadzenia RODO w 2018 r. zapotrzebowanie na wsparcie prawne ogromnie wzrosło – i nadal jest wysokie. Dzieje się tak nie tylko dlatego, że rozporządzenie nie wprowadza rozróżnienia między dużymi korporacjami a małymi firmami. Wszystkie muszą spełniać te same standardy.
“Sprawnie działający system zarządzania ochroną danych jest dziś prawdziwym motorem napędowym”, wyjaśnia Raabe-Stuppnig. “Daje on przedsiębiorstwom wgląd w systemy, procesy i ryzyka – i stanowi podstawę do optymalizacji i wzrostu wydajności”.
Jednocześnie środowisko staje się coraz bardziej złożone: nowe przepisy, takie jak NIS-2, Cyber Resilience Act, AI Act czy Data Act, nakładają dodatkowe wymagania na firmy – we wszystkich branżach. Ci, którzy już stworzyli stabilny fundament ochrony danych, mają wyraźną przewagę.
Strategie transformacji cyfrowej
Pytania, z którymi firmy zwracają się dziś do kancelarii prawnej, są wielorakie:
- Jak NIS-2 wpływa na mnie, jeśli jestem dostawcą infrastruktury krytycznej?
- Jakie zasady są potrzebne do wdrożenia aktu w sprawie sztucznej inteligencji?
- Jak poradzić sobie z nowymi prawami dostępu do danych zgodnie z ustawą o ochronie danych – bez narażania na szwank poziomu ochrony danych, który zbudowałem do tej pory?
Oprócz ocen prawnych coraz większą rolę odgrywają pytania strategiczne: Gdzie w firmie mają być zlokalizowane obowiązki? Jak zachować równowagę między zgodnością, cyberbezpieczeństwem i innowacjami? Raabe-Stuppnig i jej zespół wspierają firmy nie tylko we wdrożeniu, ale także w pozycjonowaniu w nowych ramach prawnych.
UE kontra USA: różne podstawowe postawy
Szczególnie drażliwą kwestią jest korzystanie z oprogramowania pochodzącego z państw trzecich – na przykład przez amerykańskich hiperskalerów. Chociaż w USA istnieją również przepisy dotyczące ochrony danych, Raabe-Stuppnig powiedziała, że ochrona dotyczy przede wszystkim obywateli USA. Dla obywateli UE przepisy te są znacznie słabsze.
“Problem polega na tym, że interesy bezpieczeństwa NSA często biorą górę nad ochroną danych nie-Amerykanów. ETS już dwukrotnie stwierdził tę nieproporcjonalność – i w ten sposób obalił podstawowe zasady, takie jak Safe Harbor i Tarcza Prywatności.
Zmiana świadomości w Europie od 2018 r.
Od czasu wejścia w życie RODO świadomość w Europie wyraźnie się zmieniła. Dzisiejsze firmy są znacznie bardziej wrażliwe, jeśli chodzi o obchodzenie się z danymi osobowymi. Główną rolę odegrało w tym zainteresowanie mediów orzeczeniami w sprawie ochrony danych osobowych i głośnymi sprawami.
“Stworzyliśmy złoty standard w zakresie ochrony danych w Europie”, podsumowuje Raabe-Stuppnig. “Cieszy fakt, że wiele firm aktywnie dąży nie tylko do spełnienia tego standardu, ale także do wykorzystania go jako przewagi konkurencyjnej”.
Co sprawia, że przekazywanie danych do USA jest tak wrażliwe – i jaka jest obecnie sytuacja prawna w UE?
Spór o ochronę danych między UE a USA jest złożony, a przede wszystkim bardzo dynamiczny z prawnego punktu widzenia. W przeciwieństwie do krajów takich jak Szwajcaria, dla których została wydana tzw. decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony, sytuacja z USA była i jest znacznie bardziej skomplikowana. Decyzja taka stanowi, że dane osobowe mogą być przekazywane do państwa trzeciego, ponieważ istnieje poziom ochrony danych porównywalny z poziomem ochrony Unii. W krajach takich jak Chiny czy Rosja – a przez długi czas także w USA – takiej decyzji brakowało.
Przetwarzanie danych w USA – równowaga prawna
Na przykład, gdy tylko firmy współpracują z dostawcami usług przetwarzania danych w USA, muszą podjąć dodatkowe środki ochronne, aby utrzymać poziom ochrony danych wymagany przez RODO. Oznacza to więcej wysiłku, więcej obowiązku sprawdzania – i większe ryzyko.
Praktyczny przykład: nawet jeśli wybierzesz lokalizację serwera w UE dla amerykańskich dostawców usług w chmurze, problem będzie nadal istniał – na przykład, jeśli europejska spółka zależna jest podporządkowana amerykańskiej spółce macierzystej. W nagłych przypadkach władze amerykańskie, takie jak NSA, mogą zażądać dostępu do danych – w tym za pośrednictwem wewnętrznego łańcucha dowodzenia. Lokalizacja serwera w UE zmniejsza ryzyko, ale nie eliminuje go całkowicie.
Od programu “bezpieczna przystań” do ram ochrony danych osobowych: przegląd
Historia umów o ochronie danych między UE a USA przypomina ciąg niepowodzeń prawnych:
- Safe Harbor było pierwszą umową, która dobrowolnie narzuciła pewne standardy ochrony danych firmom amerykańskim. Został on uchylony w 2015 r. wyrokiem w sprawie Schrems I.
- Następcą była Tarcza Prywatności – zmieniona wersja programu Safe Harbor. Umowa ta została jednak również uznana za nieważną przez Europejski Trybunał Sprawiedliwości w 2020 r. w wyroku w sprawie Schrems II.
- W związku z tym weszły w życie ramy ochrony danych, na podstawie których Komisja Europejska po raz kolejny przyjęła decyzję stwierdzającą odpowiedni stopień ochrony w odniesieniu do USA.
Jednak nowa decyzja po raz kolejny opiera się na chwiejnych fundamentach
Wynika to z faktu, że ramy ochrony danych opierają się na rozporządzeniu wykonawczym prezydenta USA – tj. zarządzeniu, które teoretycznie można w każdej chwili odwołać. Krytycy wątpią zatem w długoterminową stabilność tych ram. Skarga na decyzję stwierdzającą odpowiedni stopień ochrony została już złożona do Europejskiego Trybunału Sprawiedliwości – jej wynik jest otwarty.
Ponadto właściwy amerykański organ nadzorczy PCLOB nie jest obecnie w stanie podjąć działań, ponieważ trzech z pięciu jego menedżerów zostało zwolnionych przez byłego prezydenta Trumpa. Rezultat: duża niepewność co do tego, jak stabilny jest mechanizm ochrony danych w USA.
Jak ważne są ramy ochrony danych dla firm w UE?
Jeśli planujesz długoterminowo i chcesz skupić się na bezpieczeństwie danych, nie powinieneś ślepo polegać na Zasadach Ochrony Danych Osobowych. Sytuacja prawna może się szybko zmienić – tak jak w przeszłości. Data Transfer Impact Assessments (TIA) wymaga dużego wysiłku, a naruszenia mogą skutkować surowymi karami: do 4% globalnych rocznych przychodów.
Usługi w chmurze w USA są (nadal) użyteczne – ale nie bez ryzyka
Obecnie można korzystać z usług w chmurze od dostawców z USA zgodnie z przepisami o ochronie danych, pod warunkiem wdrożenia odpowiednich środków ochronnych, takich jak standardowe klauzule umowne i techniczne środki bezpieczeństwa . Pozostaje jednak ryzyko szczątkowe. Szczególnie problematyczne jest to, że nadal nie ma szyfrowania end-to-end odpowiedniego do codziennego użytku dla wszystkich rodzajów zastosowań – na przykład w bieżącym przetwarzaniu danych (“dane w użyciu”).
W związku z tym korzystanie z usług amerykańskich powinno być zawsze oceniane indywidualnie: Jak wrażliwe są przetwarzane dane? Jakie środki bezpieczeństwa są podejmowane? I w jakim stopniu firma jest w stanie faktycznie zamortyzować ryzyko?
Między czernią a bielą a realizmem: jak firmy powinny radzić sobie z ochroną danych i dostawcami usług w chmurze
Pytanie, czy firmy powinny korzystać wyłącznie z oprogramowania i usług chmurowych pochodzenia europejskiego – zasada “wszystko albo nic” – na pierwszy rzut oka brzmi jak jasne stanowisko. Ale właśnie przed tym ostrzega ekspertka ds. ochrony danych Katharina Raabe-Stuppnig. Taka zasada jest nie tylko niepraktyczna, ale także trudna do uzasadnienia przed władzami. Decyzja o korzystaniu z oprogramowania lub usług w chmurze musi być raczej podejmowana indywidualnie dla każdego przypadku – w zależności od tego, jak wrażliwe są przetwarzane dane i jakie konkretnie środki ochronne można podjąć.
Nie daj się zwieść fałszywemu poczuciu bezpieczeństwa – nawet przy użyciu ram prywatności
Inny temat, który obecnie zajmuje wiele firm: co się stanie, jeśli Europejski Trybunał Sprawiedliwości (ETS) uchyli nowe ramy ochrony danych między UE a USA – tak jak wcześniej zrobiły to “Safe Harbor” i “Tarcza Prywatności”? Odpowiedź na to pytanie jest jasna: ponownie pojawiłaby się ogromna niepewność prawna . Właśnie dlatego Kargl już teraz doradza firmom,
Prawnik stawia jednak sprawę jasno: gdyby ramy ochrony danych osobowych faktycznie upadły, a tym samym proporcjonalność przekazywania danych do USA zostałaby zasadniczo zakwestionowana, TIA również osiągnęłyby swoje granice. Nadzieja spoczywa więc na dodatkowych środkach technicznych i organizacyjnych – przede wszystkim na szyfrowaniu.
Szyfrowanie: aspiracje i rzeczywistość rozchodzą się
Organy ochrony danych i Europejski Trybunał Sprawiedliwości domagają się jasnego rozwiązania od amerykańskich dostawców usług w chmurze: dane powinny być przechowywane wyłącznie w formie zaszyfrowanej , a klucz powinien być zarządzany poza dostawcą – najlepiej w Europie i pod kontrolą firmy odpowiedzialnej za dane lub europejskiego powiernika. Celem tego tak zwanego rozwiązania “zarządzania kluczami zewnętrznymi” jest zapewnienie, że nawet w przypadku dostępu przez organy amerykańskie, takie jak NSA, można przekazywać tylko zaszyfrowane, tj. bezużyteczne, dane.
W praktyce jednak, według Kathariny Raabe-Stuppnig, ten rodzaj szyfrowania można tak naprawdę wdrożyć tylko w przypadku danych kopii zapasowych. Gdy tylko dane są
Rola Europy: możliwości wynikające z aktu w sprawie danych
Pomimo tych wyzwań prawnik z optymizmem patrzy w przyszłość: Unijny akt w sprawie danych wyznacza ważny kierunek. Dostawcy usług chmurowych mają być zobowiązani do umożliwienia stosowania strategii multicloud, czyli wspierania bezproblemowej zmiany dostawcy – bez wysokich kosztów zmiany. Jest to aktywny wysiłek na rzecz wzmocnienia europejskiej suwerenności w przestrzeni cyfrowej i stworzenia większej liczby alternatyw dla amerykańskich hiperskalerów w dłuższej perspektywie.
Pozostaje pytanie, czy Europa będzie jeszcze w stanie to zrobić na czas , aby móc działać w sposób bardziej niezależny i bezpieczny w przestrzeni cyfrowej. Mimo to Raabe-Stuppnig jest przekonana, że wola polityczna istnieje, a dzięki ukierunkowanemu finansowaniu i regulacjom wkrótce mogą pojawić się realne europejskie alternatywy.
Całkowite odstąpienie od rozwiązań z państw trzecich nie jest ani wykonalne, ani wymagane z prawnego punktu widzenia. Firmy muszą dokładnie rozważyć, jak wrażliwe są ich dane, którzy partnerzy są odpowiedni i jakie środki ochronne mogą konkretnie wdrożyć. Ci , którzy już polegają na SCC, TIA i szyfrowaniu, są nie tylko bezpieczni pod względem prawnym, ale także wzmacniają swoją europejską pozycję w konkurencji cyfrowej.
