Katharina Raabe-Stuppnig je z več kot 15 leti odvetniških izkušenj, vlogo soustanoviteljice svetovalnega odbora za varstvo podatkov in aktivnim sodelovanjem v postopkih pred Sodiščem Evropskih skupnosti – skupaj z Maxom Schremsom in Thomasom Lohningerjem – eden od najvplivnejših glasov na področju evropskega prava o varstvu podatkov. V svoji odvetniški pisarni na Wickenburggasse na Dunaju govori o svoji poklicni poti, izzivih GDPR in vse večji kompleksnosti nove digitalne zakonodaje EU.
Od medijskega prava do varstva podatkov: strokovnjak v Avstriji
Katharina Raabe-Stuppnig je svojo poklicno pot začela na področju medijskega prava. Svetovala je založniškim hišam in telekomunikacijskim podjetjem glede vprašanj, povezanih s konkurenčnim pravom, oglaševanjem in odgovornostjo medijev. Premostitev z varstvom podatkov je prišla skoraj samodejno: “Veliko strank se je obrnilo name in reklo: poznate naše procese in naše usklajevanje interesov – ali nam lahko pomagate tudi pri varstvu podatkov?”
Ko je začela veljati uredba GDPR, je varstvo podatkov postalo bolj v središču podjetniške realnosti. Milijonske globe so povečale pritisk. Podjetja so potrebovala jasne koncepte – in se zanašala na obstoječa partnerstva. Posledično se je zakonodaja o varstvu podatkov iz obrobnega vprašanja spremenila v osrednji poudarek njihovih dejavnosti.
“Moja želja je okrepiti evropsko gospodarstvo z evropskimi alternativami. Digitalna strategija in akt o podatkih gresta v pravo smer. Vprašanje je le: ali bo to prišlo pravočasno?”
Mag. Kathrina Raabe-Stuppnig
Varstvo podatkov kot spodbujevalec
Po uvedbi GDPR leta 2018 se je potreba po pravni podpori zelo povečala – in je še vedno velika. To je nenazadnje posledica dejstva, da uredba ne razlikuje med velikimi in malimi podjetji. Vsa morajo izpolnjevati enake standarde.
“Delujoči sistem za upravljanje varstva podatkov je danes pravi pripomoček,” pojasnjuje Raabe-Stuppnig. “Podjetjem omogoča pregled nad sistemi, procesi in tveganji ter je podlaga za optimizacijo in večjo učinkovitost.”
Hkrati postaja okolje vse bolj zapleteno: nova zakonodaja, kot so NIS-2, Zakon o kibernetski odpornosti, Zakon o umetni inteligenci in Zakon o podatkih, postavlja dodatne zahteve podjetjem – v vseh sektorjih. Tisti, ki so že ustvarili stabilne temelje za varstvo podatkov, so zdaj v očitni prednosti.
Strategije za digitalno preobrazbo
Vprašanja, s katerimi se podjetja danes obračajo na podjetje, so številna in raznolika:
- Kako NIS-2 vpliva name, če sem dobavitelj kritične infrastrukture?
- Katere politike potrebujem za zakon o umetni inteligenci?
- Kako ravnati z novimi pravicami dostopa do podatkov v skladu z zakonom o podatkih, ne da bi pri tem ogrozili raven varstva podatkov, ki sem jo vzpostavil do zdaj?
Poleg pravne presoje imajo vse pomembnejšo vlogo tudi strateška vprašanja: kje v podjetju je treba razporediti odgovornosti? Kako uskladiti skladnost, kibernetsko varnost in sposobnost inoviranja? Raabe-Stuppnig in njena ekipa podjetjem pomagajo ne le pri izvajanju, temveč tudi pri umeščanju v nov pravni okvir.
EU in ZDA: različna osnovna stališča
Uporaba programske opreme iz tretjih držav, na primer ameriških hiperskalerjev, je še posebej občutljivo vprašanje. Raabe-Stuppnig pojasnjuje, da čeprav tudi v ZDA obstajajo zakoni o varstvu podatkov, velja varstvo predvsem za državljane ZDA. Za državljane EU so ti predpisi bistveno šibkejši.
“Težava se skriva v tehtanju: varnostni interesi NSA imajo pogosto prednost pred varstvom podatkov neameriških državljanov. Sodišče EU je to nesorazmernost ugotovilo že dvakrat – in tako razveljavilo osrednja načela, kot sta varni pristan in zasebnostni ščit.”
Sprememba ozaveščenosti v Evropi od leta 2018
Od začetka veljavnosti uredbe GDPR se je ozaveščenost v Evropi opazno spremenila. Podjetja so zdaj veliko bolj občutljiva pri ravnanju z osebnimi podatki. Ključno vlogo pri tem je imela medijska pozornost, ki je spremljala sodbe in odmevne primere na področju varstva podatkov.
“Ustvarili smo zlati standard za varstvo podatkov v Evropi,” povzame Raabe-Stuppnig. “In razveseljivo je videti, koliko podjetij si dejavno prizadeva, da bi ta standard ne le izpolnila, ampak ga tudi uporabila kot konkurenčno prednost.”
Zakaj je prenos podatkov v ZDA tako občutljiv in kakšen je danes pravni položaj v EU?
Razprava o varstvu podatkov med EU in ZDA je zapletena, predvsem pa zelo dinamična s pravnega vidika. V nasprotju z državami, kot je Švica, za katero je Komisija EU izdala tako imenovano odločbo o ustreznosti, so bile in so razmere v ZDA veliko bolj zapletene. Takšna odločba določa, da se osebni podatki lahko prenesejo v tretjo državo, ker je raven varstva podatkov v njej primerljiva z ravnijo varstva podatkov v EU. V državah, kot sta Kitajska ali Rusija – in dolgo časa tudi v ZDA – takšne odločbe ni bilo.
Obdelava podatkov v ZDA – pravno ravnovesje
Takoj ko podjetja začnejo sodelovati s ponudniki storitev za obdelavo podatkov na primer v ZDA, morajo sprejeti dodatne zaščitne ukrepe, da ohranijo raven varstva podatkov, ki jo zahteva GDPR. To pomeni več truda, več obveznih pregledov in več tveganja.
Praktični primer: tudi če za ameriške ponudnike storitev v oblaku izberete lokacijo strežnika v EU, težava še vedno obstaja – na primer, če je evropska podružnica pod nadzorom ameriške matične družbe. V nujnih primerih lahko ameriški organi, kot je NSA, zahtevajo dostop do podatkov – tudi prek notranje verige poveljevanja. Lokacija strežnika v EU zmanjšuje tveganje, vendar ga ne izključuje v celoti.
Od varnega pristana do okvira zasebnosti podatkov: pogled nazaj
Zgodovina sporazumov o varstvu podatkov med EU in ZDA je podobna vrsti pravnih neuspehov:
- Varni pristan je bil prvi sporazum, s katerim so bili podjetjem v ZDA prostovoljno naloženi določeni standardi varstva podatkov. Leta 2015 je bil razveljavljen s sodbo Schrems I.
- Zasebnostni ščit je bil naslednik – revidirana različica varnega pristana. Vendar je tudi ta sporazum Sodišče Evropskih skupnosti leta 2020 v sodbi Schrems II razglasilo za neveljavnega.
- Kot odgovor je začel veljati okvir za varstvo zasebnosti podatkov, na podlagi katerega je Komisija EU ponovno sprejela sklep o ustreznosti za ZDA.
Vendar nova odločitev ponovno temelji na trhlih temeljih.
Okvir zasebnosti podatkov namreč temelji na izvršilnem ukazu predsednika ZDA, torej na ukazu, ki ga je teoretično mogoče kadar koli preklicati. Kritiki zato dvomijo v dolgoročno stabilnost tega okvira. Na Sodišču Evropskih skupnosti je bila že vložena tožba zoper sklep o ustreznosti – izid je negotov.
Poleg tega pristojni nadzorni organ ZDA, PCLOB, trenutno ne more ukrepati, saj je nekdanji predsednik Trump razrešil tri od njegovih petih direktorjev. Rezultat: velika negotovost glede tega, kako stabilen je v resnici mehanizem za varstvo podatkov v ZDA.
Kako pomemben je okvir zasebnosti podatkov za podjetja v EU?
Če načrtujete dolgoročno in se želite osredotočiti na varnost podatkov, se ne smete slepo zanašati na okvir zasebnosti podatkov. Tako kot v preteklosti se lahko pravni položaj hitro spremeni. Stroški ocen učinka prenosa podatkov (TIA) so visoki, kršitve pa lahko povzročijo stroge kazni v višini do 4 % letnega svetovnega prometa.
Storitve v oblaku v ZDA so (še vedno) uporabne, vendar ne brez tveganja
Storitve v oblaku ameriških ponudnikov se trenutno lahko uporabljajo v skladu s **predpisi o varstvu podatkov, če se izvajajo **ustrezni zaščitni ukrepi, kot so standardne pogodbene klavzule in tehnični varnostni ukrepi. Vendar še vedno obstaja preostalo tveganje. Še posebej problematično je, da še vedno ni šifriranja od konca do konca, ki bi bilo primerno za vsakdanjo uporabo za vse vrste uporabe – na primer za stalno obdelavo podatkov (“podatki v uporabi”).
Zato je treba uporabo storitev ZDA vedno oceniti individualno: Kako občutljivi so obdelovani podatki? Kakšni varnostni ukrepi so sprejeti? In v kolikšni meri je podjetje dejansko sposobno zmanjšati tveganja?
Med črno-belo in realnostjo: kako naj podjetja obravnavajo zaščito podatkov in ponudnike storitev v oblaku
Vprašanje, ali naj podjetja uporabljajo le programsko opremo in storitve v oblaku evropskega izvora – “v celoti ali sploh ne” – se na prvi pogled zdi jasno. Toda prav pred tem svari strokovnjakinja za varstvo podatkov Katharina Raabe-Stuppnig. Takšno načelo ni le nepraktično, temveč ga je tudi težko utemeljiti pred organi. Namesto tega je treba vsako odločitev o uporabi programske opreme ali storitev v oblaku sprejeti za vsak primer posebej – odvisno od tega, kako občutljivi so obdelovani podatki in katere posebne zaščitne ukrepe je mogoče sprejeti.
Ne pustite se premamiti z lažnim občutkom varnosti – tudi z okvirom zasebnosti
Še ena tema, ki trenutno zaposluje številna podjetja: Kaj se bo zgodilo, če bo Sodišče Evropskih skupnosti razveljavilo novi okvir zasebnosti podatkov med EU in ZDA, kot se je to zgodilo v primeru varnega pristana in zasebnostnega ščita? Odgovor je jasen: spet bi se pojavila velika pravna negotovost. Prav zato podjetje Kargl že zdaj svetuje podjetjem , naj se ne zanašajo samo na okvir, temveč naj se dogovorijo o dodatnih standardnih pogodbenih klavzulah (SCC). Te morajo vedno vključevati oceno učinka prenosa (TIA) – tj. analizo tveganja prenosa podatkov v tretje države.
Vendar pa odvetnik tudi pojasnjuje, da bi v primeru, če bi okvir za varstvo zasebnosti podatkov dejansko padel in bi bila sorazmernost prenosa podatkov v ZDA bistveno vprašljiva, tudi TIA dosegle svoje meje. Upanje torej temelji na dodatnih tehničnih in organizacijskih ukrepih – predvsem na šifriranju.
Šifriranje: razhajanje med trditvami in resničnostjo
Organi za varstvo podatkov in Sodišče EU od ameriških ponudnikov storitev v oblaku zahtevajo jasno rešitev: podatke je treba hraniti le v šifrirani obliki, ključ pa je treba upravljati zunaj ponudnika – po možnosti v Evropi in pod nadzorom podjetja, odgovornega za podatke, ali evropskega skrbnika. Cilj te tako imenovane rešitve ” zunanjega upravljanja ključev” je zagotoviti, da se tudi v primeru dostopa ameriških organov, kot je NSA, lahko posredujejo le šifrirani, tj. neuporabni podatki.
Katharina Raabe-Stuppnig meni, da je v praksi to vrsto šifriranja mogoče uporabiti le za varnostne kopije podatkov. Takoj ko se podatki aktivno obdelujejo v vsakdanjem življenju, je potreben dostop do nešifriranega gradiva. Ravno tu je težava: tehnologija, ki omogoča popolno obdelavo podatkov v šifriranem stanju, trenutno obstaja le v zelo omejenem obsegu – na primer za preproste izračune ali ocene v posebnih scenarijih. Stanje tehnike še ne zadošča za široko uporabo, kot jo zahteva gospodarstvo.
Vloga Evrope: priložnosti z Aktom o podatkih
Kljub tem izzivom je odvetnik optimističen glede prihodnosti: Zakon EU o podatkih bo določil pomembno smer. Ponudniki storitev v oblaku bodo morali omogočiti strategije za več oblakov, tj. podpirati enostavno preklapljanje med ponudniki – brez visokih stroškov preklapljanja. To bo aktivno delovalo v smeri krepitve evropske suverenosti v digitalnem prostoru in dolgoročno ustvarilo več alternativ ameriškim hiperskalerjem.
Vprašanje ostaja, ali bo Evropa sčasoma lahko delovala bolj neodvisno in varno v digitalnem prostoru . Raabe-Stuppnig je kljub temu prepričana: “Politična volja obstaja – z usmerjeno podporo in predpisi bi se lahko kmalu pojavile izvedljive evropske alternative.
Splošna opustitev rešitev iz tretjih držav ni niti izvedljiva niti pravno zahtevana. Podjetja morajo skrbno pretehtati, kako občutljivi so njihovi podatki, kateri partnerji so primerni – in katere posebne zaščitne ukrepe lahko izvajajo. Tisti, ki se že zanašajo na SCC, TIA in šifriranje, niso le pravno na varni strani, temveč tudi krepijo položaj Evrope v digitalni konkurenci.
