CLOUD Act ja Euroopa ettevõtted: milline on kohaldamisala?

Õiguslik valve nr 40 – Oktoober 2021

CLOUD Act ja Euroopa ettevõtted: milline on kohaldamisala?Andmete dematerialiseerimine ja nende salvestamine „pilvedes“ avaldab ettevõtete kohustustele põhimõttelist ja keerulist mõju.

Isegi Euroopas säilitamisel ei ole andmed kaitstud kolmanda riigi avalikustamistaotluse eest õiguslikus kontekstis.

Üha aktuaalsemaks muutuv digitaalse suveräänsuse teema leiab erilist kaja Ameerika Ühendriikide õiguse arengus, CLOUD Acti ja selle ekstraterritoriaalse kohaldamisala kaudu.

Millistel tingimustel saab Ameerika ettevõtte Euroopa tütarettevõtet või vastupidi, Euroopa ettevõtte Ameerika tütarettevõtet sundida edastama oma andmeid Ameerika ametivõimudele?

Ameerika Ühendriikides võeti 2018. aasta märtsis vastu CLOUD Act (andmete seadusliku välismaise kasutamise selgitamine). Selle eesmärk on võimaldada USA kriminaalasutustel juurde pääseda USA pilveteenuse pakkujate andmetele, olenemata andmete salvestamise kohast, ja ilma et oleks vaja algatada rahvusvahelise vastastikuse õigusabi menetlust.

Vahetult enne CLOUD Acti vastuvõtmist keeldus Microsoft USA ametivõimudele edastamast oma Iirimaa pilves talletatud andmeid, viidates USA seaduste mittekohaldamisele Euroopas talletatud andmetele, mis oli viinud pikkade kohtumenetlusteni.

CLOUD Act selgitab ja laiendab oma ulatust, et sellist olukorda ära hoida.

Samuti võimaldab tekst välisriikidel kahepoolse lepingu korral juurde pääseda USA-s asuvate pilveteenuse pakkujate andmetele ilma vastastikuse õigusabi taotlust esitamata.

Hiljuti sõlmiti Ameerika Ühendriikide ja Ühendkuningriigi vahel selline leping, mis on esimene omataoline.

CLOUD Act kehtib iga USA äriühingu kohta USA õiguse tähenduses, st Ameerika Ühendriikides asutatud äriühingu ja selle kontrolli all olevate äriühingute kohta.

Seega võib Ameerika ettevõtte kontrolli all olev Euroopa tütarettevõte või Euroopa ettevõte kuuluda selle seaduse alla, mis põhjustab paratamatult õiguslikke konflikte ulatuses, milles need ettevõtted kuuluvad ka isikuandmete kaitse üldmääruse alla.

Pange tähele, et kontseptsioon on suunatud ka Euroopa ettevõtetele, millel on Ameerika Ühendriikides „esindus“, mis laiendab selle ulatust märkimisväärselt.

Seda juhib tähelepanu Euroopa Andmekaitsekomitee 2019. aasta seisukohas ja Šveitsi justiitsministeerium hiljutises, 17. septembril 2021 avaldatud uuringus CLOUD Acti kohta.

Seda CLOUD Acti ulatuse ebakindlust kajastab Ameerika Ühendriikide justiitsministeerium ise 2019. aasta aprillikuu valges raamatus, mille mitteametlik tõlge on siin:

„See, kas väljaspool Ameerika Ühendriike asuval, kuid Ameerika Ühendriikides teenuseid pakkuval välismaisel korporatsioonil on Ameerika Ühendriikidega piisavalt kontakte, et alluda USA jurisdiktsioonile, on faktispetsiifiline uuring, mis sõltub korporatsiooni Ameerika Ühendriikidega peetavate kontaktide olemusest, kvantiteedist ja kvaliteedist.“

Mida teadlikumalt on ettevõte oma tegevuse Ameerika Ühendriikidesse suunanud, seda tõenäolisemalt leiab kohus, et ettevõte kuulub USA jurisdiktsiooni alla.

Näiteks USA kohtud, kes rakendavad seda analüüsi veebisaitidega seotud tsiviilasjades, on keskendunud saidi interaktiivsuse astmele oma jurisdiktsiooni kuuluvate klientidega, võttes arvesse selliseid tegureid nagu veebisaidi funktsioon ja mehaanika, klientidele suunatud konkreetne reklaam, saidi kaudu äritegevuse pakkumine ja klientide tegelik kasutamine. 

See tõlgendus võib potentsiaalselt seada USA õiguslikele nõuete alla väga suure hulga Euroopa ettevõtteid, isegi kui andmebaasid asuvad Euroopas. Isikuandmete kaitse üldmääruse artikli 48 kohaselt ei saa välisriigi õigus olla aga piisav õiguslik alus isikuandmete edastamiseks selle riigi ametiasutustele.

Isikuandmete kaitse üldmääruse tekst sätestab sõnaselgelt, et selline andmeedastus võib toimuda ainult rahvusvahelise lepingu, näiteks vastastikuse õigusabi lepingu raames.

Selle põhimõtte eesmärk on tagada nii edastatavate andmete kaitse kui ka minimaalne õiguskindlus.

Milliseid lahendusi?

Poliitilisest vaatenurgast olgu kõigepealt märgitud, et Euroopa Komisjon peab praegu Ameerika Ühendriikidega läbirääkimisi lepingu üle, mille eesmärk on hõlbustada juurdepääsu elektroonilistele tõenditele kriminaaluurimistes, samal ajal kui Euroopa Nõukogu on välja töötamas Budapesti küberkuritegevuse konventsiooni teist protokolli... kahte teksti, mis selgitaksid nende andmeedastuste õigusraamistikku kooskõlas Euroopa õigusega.

Täpsemalt sätestab pilveseadus, et õigusnormide konflikti sattunud ettevõte võib Ameerika taotluse vaidlustamiseks tugineda oma kehtivale õigusele, antud juhul isikuandmete kaitse üldmäärusele ("välisriikide seaduste rikkumise oluline oht").

See hõlmab siiski protseduure, mis võivad osutuda pikkadeks ja kulukateks ning mille tulemuse osas puudub kindlus.

Praktikas saab andmete kaitsmiseks võtta tehnilisi meetmeid, mis on inspireeritud Euroopa Andmekaitsekomitee soovitustest.

Andmete salvestamine Euroopas, andmete säilitamise keeld „salvsetel alustel“, konkreetsed krüpteerimismeetmed, näiteks need, mida Euroopa Andmekaitseinspektor kirjeldas oma 2021. aasta juuni arvamuses andmeedastusvahendite kohta väljaspool Euroopa Liitu (lk 30), ja krüpteerimisvõtmete säilitamine Euroopa Liidus.

CLOUD Act ei keela krüpteerimist (kuigi Ameerika Ühendriigid nõuavad ettevõtetelt selles küsimuses valitsusasutustega koostööd) ega võta seisukohta kolmandate osapoolte riikide dekrüpteerimisreeglite kohta.

Lõpetuseks olgu öeldud, et esimesed Euroopa pilveteenused on hiljuti saanud Euroopa andmekaitseasutuste heakskiidu: eelmisel kevadel kiitis CNIL heaks esimese Euroopa käitumisjuhendi, mis on pühendatud pilveinfrastruktuuri teenusepakkujatele.

Samuti andis see äsja loa riiklikule metroloogia- ja katselaborile (LNE) ning Bureau Veritas Italia Spa-le kontrollida selle käitumisjuhendi järgimist.

Ilma et „täielikult kohalikku” lahendust absoluutseks imerohiks peetaks, on Euroopa pilvetehnoloogial eeliseks suurem õiguskindlus, kui olukord pole rahvusvahelise kokkuleppega selgemaks tehtud.

Ja ka

Prantsusmaa:

CNIL on ettevõtet ametlikult teavitanud. Francetest apteekide nimel kogutavate terviseandmete (sõeltestide) turvamiseks. Samuti on ettevõte pöördunud enam kui 300 apteegi poole, et kontrollida nende vastavust isikuandmete kaitse üldmäärusele.

Samuti avaldas asutus oktoobri alguses valge raamat andmete ja makseviiside kohtaja avalik konsultatsioon värbamisjuhendi kavandi kohta.

Lõpuks uurib CNIL võimalust, et Näotuvastuse kasutamine olümpiamängudel alates 2024. aastast.

Euroopa

Hollandi andmekaitseamet 21. oktoobril lükkas Ühendkuningriik tagasi taotluse anda luba telekommunikatsiooni- ja internetimaksete pettuste kahtluse korral musta nimekirja lisada.

Hispaania ametivõim trahvis töökohal biomeetrilise tuvastussüsteemi rakendamise eest vastutavat isikut ilma eelneva mõjuhinnanguta 16 000 euroga.

Pärast turvarikkumist Clearview tehisintellekti näotuvastussüsteemi kasutamise kontekstisSoome andmekaitseamet leidis, et politsei oli seda tarkvara kasutanud ilma seadusliku aluseta, ning kohustas neid seadust järgima ja asjaomaseid isikuid teavitama.

Varssavi provintsi halduskohus pidas panga poolt isikuandmete töötlemist isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f (huvide tasakaalustamine) alusel ebaseaduslikuks ainuüksi nende võimaliku tulevase kasulikkuse tõttu. Riiklike otsuste allikas: gdprhub

Amazon on sõlminud lepingu ettevõttega Briti salateenistus (GCHQ, MI5, MI6), mille kaudu ettevõte majutab ja haldab luureagentuuride tundlike andmete tehisintellekti analüüse. 

ŠveitsisTurvaline sõnumside- ja VPN-teenus Proton võitis 22. oktoobril apellatsioonkaebuse, mis vaidlustas talle pandud kohustuse jälgida ja säilitada oma kasutajate andmeid.

Euroopa Parlament 6. oktoobril võttis USA senat vastu resolutsiooni, millega lükati tagasi näotuvastuse ja tehisintellektil põhineva ennustava analüüsi kasutamine politseitöös.

Rahvusvaheline:

43. Andmekaitseasutuste rahvusvaheline konverents toimus Mehhikos ja videokonverentsi teel 18.–21. oktoobrini.

Konverentsil võeti vastu mitu resolutsiooni, sealhulgas üks laste digitaalsete õiguste kohta ja teine õiguskaitseasutuste juurdepääsu kohta erasektori andmetele.

Andmekaitseamet Lõuna-Korea soovitab Facebooki (Meta) turvaintsidendi järel maksta 257 dollarit hüvitist igale kasutajale, kelle andmeid ebaõigesti kolmandatele isikutele edastati.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.