Ali lokalizacija podatkov prihaja v Evropo?

Ali lokalizacija podatkov prihaja v Evropo?
30. 08. 2022 objavil/a Administrator
EU-ZDA
hramba podatkov
prenos podatkov
Schrems II
standardne pogodbene klavzule
storitve v oblaku

Posledice sodbe v zadevi "Schrems II" vse bolj krepijo agendo digitalne suverenosti EU, ki vse bolj vidi lokalizacijo podatkov kot enega svojih osrednjih elementov. 

Članek je bil objavljen 23.8.2022

Od sodbe izpred dveh let si predsedniška administracija ZDA in Evropska komisija prizadevata za zamenjavo čezatlantskega sporazuma z novim, ki bi lahko prestal sodno presojo pred vrhovnim evropskim sodiščem.

Medtem ko se zdi, da je Bruselj zavezan k ponovni vzpostavitvi okvira za prenos podatkov s svojim najbližjim zaveznikom, oblikovalci politik EU postopoma preučujejo elemente lokalizacije podatkov, ki bi uvedli veliko strožje omejitve za čezatlantske tokove podatkov.

Izpad "Schrems II"

Sodba "Schrems II" je potrdila, da so prenosi podatkov v jurisdikciji, ki nima enakovredne ravni varstva podatkov kot Splošna uredba EU o varstvu podatkov, nezakoniti, razen če so vzpostavljeni ustrezni zaščitni ukrepi. Ni jasno, ali in v kakšnem obsegu je prenos podatkov v ZDA mogoč tudi brez odločitve o ustreznosti. Sporno je, v kolikšni meri standardne pogodbene klavzule ostajajo učinkovito orodje, nasprotujoče si izjave nadzornih organov pa povečujejo negotovost med podjetji.

Sodna praksa je v središče postavila sistem EU za ustreznost podatkov, pri čemer Evropska komisija odloči, da ima država ustrezno raven varstva podatkov, kar ima za posledico neomejene prenose s to državo.

Za druge države obstaja zelo dolgoročen trend, da sprejmejo zakonodajo, podobno GDPR, da olajšajo sprejemanje odločitev o ustreznosti.

Problem pristojnosti

Evropski odbor za varstvo podatkov je izdal smernice o zagotavljanju skladnosti z GDPR pri prenosu podatkov z državami, ki niso zajete v sklepih o ustreznosti. Pravni analitiki so menili, da so evropski organi za varstvo podatkov v tem priporočilu pozvali k lokalizaciji podatkov in bolj ali manj implicitno podpirali tiste, ki se za to zavzemajo v kontekstu evropske digitalne suverenosti. Mednarodni režim prenosa podatkov v EU, vsaj v teoriji, je nasprotje režima lokalizacije podatkov, saj je bil zasnovan tako, da omogoča mednarodne prenose osebnih podatkov pri tem pa zagotavlja, da so podatki zaščiteni podobno, kot če bi bili v EU.

Kljub temu pa v skupnem mnenju EDPS in EDPB o zakonodajnem predlogu EU Health Data Space pozivajo zakonodajalca, naj uvede zahteve glede lokalizacije zdravstvenih podatkov. Obrazložitev je, da če se infrastruktura za obdelavo nahaja zunaj njihove pristojnosti, "nadzor nad skladnostjo s pravili EU o varstvu podatkov morda ne bo vedno v celoti zagotovljen." Zato se zdi, da evropski nadzorni organi vse bolj podpirajo zahteve po lokalizaciji podatkov, ki gredo z roko v roki s trenutno politično agendo v Bruslju, tudi za države z ustrezno ravnjo varstva podatkov.

Digitalna suverenost

Vprašanje, katera jurisdikcija velja, je ključno v smislu suverenosti. Smiselno je bila sodba "Schrems II" motivirana z dejstvom, da imajo ameriške obveščevalne službe nesorazmeren dostop do podatkov prebivalcev EU brez možnosti sodnega varstva. Sorazmernost in pravno sredstvo sta dve temeljni načeli EU.

Umestitev evropskih podatkov, vključno z neosebnimi, zunaj tujih jurisdikcij, ima pri tem ključno vlogo. Akt o upravljanju podatkov na primer od posrednikov podatkov zahteva, da sprejmejo vse razumne ukrepe za preprečitev mednarodnega prenosa ali vladnega dostopa do neosebnih podatkov, ki se hranijo v EU, kar bi lahko povzročilo nasprotje z zakonodajo EU ali nacionalno zakonodajo. Podobne določbe so bile vključene tudi v zakon o podatkih. Za evropske oblikovalce politik razlogi za te ukrepe niso kaznovalni, ampak zagotoviti, da strogih pravil, ki jih EU uvaja za ustvarjanje trga za industrijske podatke, ni mogoče zaobiti zgolj s prebivališčem zunaj bloka. Ni ideja, da se oteži delovanje zunanjih akterjev v EU, ampak da se zagotovi, da vsi upoštevajo enaka pravila. Obveznosti, ki se določajo, sploh niso prepovedujoče za zunanje akterje.

Oblačna infrastruktura

Vidik infrastrukture v oblaku je bil še en vidik, pri katerem je agenda EU prevzela lastnosti lokalizacije podatkov. Po mnenju zagovornikov digitalne suverenosti je Evropa preveč odvisna od neevropskih ponudnikov storitev v oblaku. EU si je v okviru evropske podatkovne strategije zadala nalogo, »da zmanjša svojo tehnološko odvisnost v teh strateških infrastrukturah«.

Najnovejša pobuda izhaja iz Evropske certifikacijske sheme za kibernetsko varnost za storitve v oblaku, certificiranja, ki temelji na Zakonu o kibernetski varnosti. Shema ima tri stopnje zagotovila, od katerih najvišja naj bi postala obvezna za organizacije, ki zagotavljajo bistvene storitve v skladu z nedavno sprejeto revizijo direktive o varnosti omrežij in informacij. Glede na osnutek, ki je pricurljal v javnost, shema visokega jamstva vključuje zahteve glede suverenosti, ki bi onemogočile podelitev certifikata neevropskim podjetjem. Ponudnik storitev v oblaku bi moral imeti sedež v Evropi, ne bi smel biti pod nadzorom nobenega subjekta zunaj EU in bi moral biti popolnoma neodvisen od zakonov zunaj EU.

Predlog, ki sta ga podprli Francija in Evropska komisija, je naletel na odpor več držav članic in predstavnikov gospodarstva, ki so nasprotovali zamisli o uvedbi politično motiviranih meril v tehnično razpravo o varni infrastrukturi. Ločnice so tiste, ki so značilne za razpravo o digitalni suverenosti. Francija in druge velike države EU si prizadevajo za emancipacijo ameriške tehnologije z ustvarjanjem evropskih prvakov.

Nasprotno pa manjše in bolj liberalne države članice želijo najboljšo razpoložljivo tehnologijo in ne želijo plačevati za povečevanje francosko-nemških podjetij. Ustvarjanje avtarkičnih podatkovnih prostorov je tveganje za inovativni razvoj. Poleg tega bi bilo v času pomanjkanja čipov in glede na omejene računalniške zmogljivosti v Evropski uniji tudi infrastrukturni problem shranjevati vse podatke samo v Evropski uniji.

Kolizije zakonov

Ker je veljavna jurisdikcija ključni vidik digitalne suverenosti, koncept neizogibno vodi do temeljnega problema kolizije zakonov. Tega vprašanja ni mogoče rešiti preprosto z zakonodajo, ki si daje prednost, saj po definiciji na druge "suverene" jurisdikcije ne vpliva tisto, kar določa drug pravni sistem. Preprosto je nerealno, da Evropi uspe preprečiti jurisdikcijam tretjih držav dostop do podatkov EU.

Če ste evropsko podjetje in so vsi vaši podatki shranjeni v Evropi, vendar poslujete v ZDA, ste še vedno predmet ustreznih zahtev ZDA za podatke. Edini enostranski način, da to resnično spremenite, bi bil, da od evropskih podjetij zahtevate, naj prenehajo z svojo prisotnostjo v ZDA, kar bi bilo samouničujoče.

Dostop do celotnega članka tukaj

Vir: Iapp

Naslovna fotografija: RawPixel