Dzięki ponad 15-letniemu doświadczeniu jako prawnik, współzałożycielce rady doradczej ds. ochrony danych oraz aktywnemu udziałowi w postępowaniach przed Europejskim Trybunałem Sprawiedliwości – wraz z Maxem Schremsem i Thomasem Lohningerem – Katharina Raabe-Stuppnig jest jednym z najbardziej wpływowych głosów w europejskim prawie ochrony danych. W swojej kancelarii adwokackiej przy Wickenburggasse w Wiedniu opowiada o swojej ścieżce zawodowej, wyzwaniach związanych z RODO oraz rosnącej złożoności spowodowanej nowymi unijnymi przepisami cyfrowymi.
Od prawa mediów do ochrony danych: ekspert w Austrii
Katharina Raabe-Stuppnig rozpoczęła swoją karierę w dziedzinie prawa mediów. Doradzała wydawnictwom i firmom telekomunikacyjnym w kwestiach prawa konkurencji, reklamy i odpowiedzialności mediów. Pomost do ochrony danych pojawił się niemal automatycznie: “Wielu klientów zwracało się do mnie i mówiło: znasz nasze procesy i nasze równoważenie interesów – czy możesz nas również wesprzeć w zakresie ochrony danych?”.
Wraz z wejściem w życie RODO ochrona danych znalazła się w centrum korporacyjnej rzeczywistości. Grzywny liczone w milionach zwiększyły presję. Firmy potrzebowały jasnych koncepcji i polegały na istniejących partnerstwach. W rezultacie prawo ochrony danych przekształciło się z marginalnego tematu w centralny punkt jej pracy.
“Moim życzeniem byłoby wzmocnienie gospodarki europejskiej – poprzez europejskie alternatywy. Strategia cyfrowa i akt w sprawie danych to krok we właściwym kierunku. Pytanie tylko: czy to przyjdzie na czas?”
Mag. Kathrina Raabe-Stuppnig
Ochrona danych jako czynnik wspomagający
Od czasu wprowadzenia RODO w 2018 r. zapotrzebowanie na wsparcie prawne ogromnie wzrosło – i nadal jest wysokie. Dzieje się tak nie tylko dlatego, że rozporządzenie nie wprowadza rozróżnienia między dużymi korporacjami a małymi firmami. Wszystkie muszą spełniać te same standardy.
“Funkcjonujący system zarządzania ochroną danych jest dziś prawdziwym czynnikiem wspomagającym” – wyjaśnia Raabe-Stuppnig. “Zapewnia firmom przegląd systemów, procesów i zagrożeń – i stanowi podstawę do optymalizacji i poprawy wydajności”.
Jednocześnie środowisko staje się coraz bardziej złożone: nowe przepisy, takie jak NIS-2, ustawa o cyberodporności, ustawa o sztucznej inteligencji i ustawa o danych nakładają dodatkowe wymagania na firmy – we wszystkich sektorach. Ci, którzy stworzyli już stabilne podstawy ochrony danych, mają teraz wyraźną przewagę.
Strategie transformacji cyfrowej
Pytania, z którymi firmy zwracają się dziś do kancelarii prawnej, są wielorakie:
- Jak NIS-2 wpływa na mnie, jeśli jestem dostawcą infrastruktury krytycznej?
- Jakie zasady są potrzebne do wdrożenia aktu w sprawie sztucznej inteligencji?
- Jak poradzić sobie z nowymi prawami dostępu do danych zgodnie z ustawą o ochronie danych – bez narażania na szwank poziomu ochrony danych, który zbudowałem do tej pory?
Oprócz oceny prawnej, coraz ważniejszą rolę odgrywają kwestie strategiczne: Gdzie w firmie powinny być zlokalizowane obowiązki? Jak można zharmonizować zgodność z przepisami, cyberbezpieczeństwo i zdolność do innowacji? Raabe-Stuppnig i jej zespół wspierają firmy nie tylko we wdrażaniu, ale także w pozycjonowaniu w nowych ramach prawnych.
UE kontra USA: różne podstawowe postawy
Szczególnie wrażliwą kwestią jest korzystanie z oprogramowania z krajów trzecich – na przykład przez amerykańskich hiperskalerów. Chociaż istnieją również przepisy dotyczące ochrony danych w USA, Raabe-Stuppnig mówi, że ochrona dotyczy przede wszystkim obywateli USA. Przepisy te są znacznie słabsze dla obywateli UE.
“Problem polega na tym, że interesy bezpieczeństwa NSA często biorą górę nad ochroną danych nie-Amerykanów. ETS już dwukrotnie stwierdził tę nieproporcjonalność – i w ten sposób obalił podstawowe zasady, takie jak Safe Harbor i Tarcza Prywatności.
Zmiana świadomości w Europie od 2018 r.
Od czasu wejścia w życie RODO świadomość w Europie wyraźnie się zmieniła. Firmy są dziś znacznie bardziej wrażliwe, jeśli chodzi o przetwarzanie danych osobowych. Główną rolę odegrało w tym zainteresowanie mediów wyrokami dotyczącymi ochrony danych i ważnymi sprawami.
“Stworzyliśmy złoty standard ochrony danych w Europie”, podsumowuje Raabe-Stuppnig. “Miło jest widzieć, jak wiele firm aktywnie dąży nie tylko do spełnienia tego standardu, ale także do wykorzystania go jako przewagi konkurencyjnej”.
Co sprawia, że przekazywanie danych do USA jest tak wrażliwe – i jaka jest obecnie sytuacja prawna w UE?
Spór o ochronę danych między UE a USA jest złożony, a przede wszystkim bardzo dynamiczny z prawnego punktu widzenia. W przeciwieństwie do krajów takich jak Szwajcaria, dla których została wydana tzw. decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony, sytuacja z USA była i jest znacznie bardziej skomplikowana. Decyzja taka stanowi, że dane osobowe mogą być przekazywane do państwa trzeciego, ponieważ istnieje poziom ochrony danych porównywalny z poziomem ochrony Unii. W krajach takich jak Chiny czy Rosja – a przez długi czas także w USA – takiej decyzji brakowało.
Przetwarzanie danych w USA – równowaga prawna
Na przykład, gdy tylko firmy współpracują z dostawcami usług w zakresie przetwarzania danych w USA, muszą podjąć dodatkowe środki ochronne w celu utrzymania poziomu ochrony danych wymaganego przez RODO. Oznacza to więcej pracy, więcej obowiązkowych inspekcji i większe ryzyko.
Praktyczny przykład: nawet jeśli wybierzesz lokalizację serwera w UE dla amerykańskich dostawców usług w chmurze, problem nadal istnieje – na przykład, jeśli europejska spółka zależna znajduje się pod kontrolą amerykańskiej spółki dominującej. W sytuacji awaryjnej władze USA, takie jak NSA, mogłyby zażądać dostępu do danych – nawet za pośrednictwem wewnętrznego łańcucha dowodzenia. Lokalizacja serwera w UE zmniejsza ryzyko, ale nie eliminuje go całkowicie.
Od programu “bezpieczna przystań” do ram ochrony danych osobowych: przegląd
Historia umów o ochronie danych między UE a USA przypomina ciąg niepowodzeń prawnych:
- Safe Harbor było pierwszą umową, która dobrowolnie narzuciła pewne standardy ochrony danych firmom amerykańskim. Został on uchylony w 2015 r. wyrokiem w sprawie Schrems I.
- Następcą była Tarcza Prywatności – zmieniona wersja programu Safe Harbor. Umowa ta została jednak również uznana za nieważną przez Europejski Trybunał Sprawiedliwości w 2020 r. w wyroku w sprawie Schrems II.
- W związku z tym weszły w życie ramy ochrony danych, na podstawie których Komisja Europejska po raz kolejny przyjęła decyzję stwierdzającą odpowiedni stopień ochrony w odniesieniu do USA.
Jednak nowa decyzja po raz kolejny opiera się na chwiejnych fundamentach
Wynika to z faktu, że ramy ochrony danych opierają się na rozporządzeniu wykonawczym prezydenta USA – tj. zarządzeniu, które teoretycznie można w każdej chwili odwołać. Krytycy wątpią zatem w długoterminową stabilność tych ram. Skarga na decyzję stwierdzającą odpowiedni stopień ochrony została już złożona do Europejskiego Trybunału Sprawiedliwości – jej wynik jest otwarty.
Ponadto właściwy amerykański organ nadzorczy PCLOB nie jest obecnie w stanie podjąć działań, ponieważ trzech z pięciu jego menedżerów zostało zwolnionych przez byłego prezydenta Trumpa. Rezultat: duża niepewność co do tego, jak stabilny jest mechanizm ochrony danych w USA.
Jak ważne są ramy ochrony danych dla firm w UE?
Jeśli planujesz długoterminowo i chcesz skupić się na bezpieczeństwie danych, nie powinieneś ślepo polegać na Zasadach Ochrony Danych Osobowych. Sytuacja prawna może się szybko zmienić – tak jak w przeszłości. Data Transfer Impact Assessments (TIA) wymaga dużego wysiłku, a naruszenia mogą skutkować surowymi karami: do 4% globalnych rocznych przychodów.
Usługi w chmurze w USA są (nadal) użyteczne – ale nie bez ryzyka
Obecnie można korzystać z usług w chmurze od dostawców z USA zgodnie z przepisami o ochronie danych, pod warunkiem wdrożenia odpowiednich środków ochronnych, takich jak standardowe klauzule umowne i techniczne środki bezpieczeństwa . Pozostaje jednak ryzyko szczątkowe. Szczególnie problematyczne jest to, że nadal nie ma szyfrowania end-to-end odpowiedniego do codziennego użytku dla wszystkich rodzajów zastosowań – na przykład w bieżącym przetwarzaniu danych (“dane w użyciu”).
W związku z tym korzystanie z usług amerykańskich powinno być zawsze oceniane indywidualnie: Jak wrażliwe są przetwarzane dane? Jakie środki bezpieczeństwa są podejmowane? I w jakim stopniu firma jest w stanie faktycznie zamortyzować ryzyko?
Między czernią a bielą a realizmem: jak firmy powinny radzić sobie z ochroną danych i dostawcami usług w chmurze
Pytanie, czy firmy powinny korzystać wyłącznie z oprogramowania i usług chmurowych pochodzenia europejskiego – zasada “wszystko albo nic” – na pierwszy rzut oka brzmi jak jasne stanowisko. Ale właśnie przed tym ostrzega ekspertka ds. ochrony danych Katharina Raabe-Stuppnig. Taka zasada jest nie tylko niepraktyczna, ale także trudna do uzasadnienia przed władzami. Decyzja o korzystaniu z oprogramowania lub usług w chmurze musi być raczej podejmowana indywidualnie dla każdego przypadku – w zależności od tego, jak wrażliwe są przetwarzane dane i jakie konkretnie środki ochronne można podjąć.
Nie daj się zwieść fałszywemu poczuciu bezpieczeństwa – nawet przy użyciu ram prywatności
Inny temat, który obecnie zajmuje wiele firm: co się stanie, jeśli Europejski Trybunał Sprawiedliwości (ETS) uchyli nowe ramy ochrony danych między UE a USA – tak jak wcześniej zrobiły to “Safe Harbor” i “Tarcza Prywatności”? Odpowiedź na to pytanie jest jasna: ponownie pojawiłaby się ogromna niepewność prawna . Właśnie dlatego Kargl już teraz doradza firmom, aby nie polegały wyłącznie na ramach, ale dodatkowo uzgodniły standardowe klauzule umowne (SCC). Powinny one zawsze obejmować tzw. Transfer Impact Assessment (TIA) – czyli analizę ryzyka związanego z przekazywaniem danych do państw trzecich.
Prawnik stawia jednak sprawę jasno: gdyby ramy ochrony danych osobowych faktycznie upadły, a tym samym proporcjonalność przekazywania danych do USA zostałaby zasadniczo zakwestionowana, TIA również osiągnęłyby swoje granice. Nadzieja spoczywa więc na dodatkowych środkach technicznych i organizacyjnych – przede wszystkim na szyfrowaniu.
Szyfrowanie: aspiracje i rzeczywistość rozchodzą się
Organy ochrony danych i Europejski Trybunał Sprawiedliwości domagają się jasnego rozwiązania od amerykańskich dostawców usług w chmurze: dane powinny być przechowywane wyłącznie w formie zaszyfrowanej , a klucz powinien być zarządzany poza dostawcą – najlepiej w Europie i pod kontrolą firmy odpowiedzialnej za dane lub europejskiego powiernika. Celem tego tak zwanego rozwiązania “zarządzania kluczami zewnętrznymi” jest zapewnienie, że nawet w przypadku dostępu przez organy amerykańskie, takie jak NSA, można przekazywać tylko zaszyfrowane, tj. bezużyteczne, dane.
W praktyce jednak, według Kathariny Raabe-Stuppnig, ten rodzaj szyfrowania można tak naprawdę wdrożyć tylko w przypadku danych kopii zapasowych. Gdy tylko dane są aktywnie przetwarzane w życiu codziennym , wymagany jest dostęp do niezaszyfrowanych materiałów. Właśnie w tym tkwi problem: technologia, która umożliwia pełne przetwarzanie danych w stanie zaszyfrowanym , istnieje obecnie tylko w bardzo ograniczonym zakresie – na przykład do prostych obliczeń lub szacunków w określonych scenariuszach. Obecny stan wiedzy nie jest jeszcze wystarczający do powszechnego stosowania wymaganego w biznesie.
Rola Europy: możliwości wynikające z aktu w sprawie danych
Pomimo tych wyzwań prawnik z optymizmem patrzy w przyszłość: Unijny akt w sprawie danych wyznacza ważny kierunek. Dostawcy usług chmurowych mają być zobowiązani do umożliwienia stosowania strategii multicloud, czyli wspierania bezproblemowej zmiany dostawcy – bez wysokich kosztów zmiany. Jest to aktywny wysiłek na rzecz wzmocnienia europejskiej suwerenności w przestrzeni cyfrowej i stworzenia większej liczby alternatyw dla amerykańskich hiperskalerów w dłuższej perspektywie.
Pozostaje pytanie, czy Europa będzie jeszcze w stanie to zrobić na czas , aby móc działać w sposób bardziej niezależny i bezpieczny w przestrzeni cyfrowej. Mimo to Raabe-Stuppnig jest przekonana, że wola polityczna istnieje, a dzięki ukierunkowanemu finansowaniu i regulacjom wkrótce mogą pojawić się realne europejskie alternatywy.
Całkowite odstąpienie od rozwiązań z państw trzecich nie jest ani wykonalne, ani wymagane z prawnego punktu widzenia. Firmy muszą dokładnie rozważyć, jak wrażliwe są ich dane, którzy partnerzy są odpowiedni i jakie środki ochronne mogą konkretnie wdrożyć. Ci , którzy już polegają na SCC, TIA i szyfrowaniu, są nie tylko bezpieczni pod względem prawnym, ale także wzmacniają swoją europejską pozycję w konkurencji cyfrowej.
