CLOUD Act ja eurooppalaiset yritykset: mikä on sen soveltamisala?

Oikeudellinen valvonta nro 40 – Lokakuu 2021

CLOUD Act ja eurooppalaiset yritykset: mikä on sen soveltamisala?Tiedon dematerialisoinnilla ja sen tallennuksella "pilviin" on perustavanlaatuisia ja monimutkaisia seurauksia yritysten velvoitteisiin.

Vaikka tiedot säilytettäisiin Euroopassa, ne eivät ole immuuneja kolmannen maan pyynnölle niiden luovuttamisesta oikeudellisessa yhteydessä.

Yhä ajankohtaisemmaksi tuleva digitaalisen itsemääräämisoikeuden kysymys saa erityisen kaiun Yhdysvaltojen lainsäädännön kehityksessä, CLOUD Actin ja sen ekstraterritoriaalisen soveltamisalan myötä.

Millä ehdoilla amerikkalaisen yrityksen eurooppalainen tytäryhtiö tai päinvastoin eurooppalaisen yrityksen amerikkalainen tytäryhtiö voidaan velvoittaa luovuttamaan tietojaan amerikkalaisille viranomaisille?

Yhdysvalloissa hyväksyttiin maaliskuussa 2018 CLOUD Act (Clarifying Lawful Overseas Use of Data). Sen tavoitteena on antaa Yhdysvaltain rikosoikeudellisille viranomaisille pääsy yhdysvaltalaisten pilvipalveluntarjoajien tietoihin riippumatta siitä, missä tiedot on tallennettu, ja ilman kansainvälisen oikeusavun menettelyjen aloittamista.

Hieman ennen CLOUD-lain hyväksymistä Microsoft oli kieltäytynyt toimittamasta Yhdysvaltain viranomaisille Irlannin pilvessään tallennettuja tietoja vedoten siihen, ettei Yhdysvaltain lakia sovelleta Euroopassa tallennettuihin tietoihin, mikä oli johtanut pitkiin oikeudenkäynteihin.

CLOUD-laki selventää ja laajentaa soveltamisalaansa estääkseen tällaiset tilanteet.

Teksti sallii myös ulkomaisten valtioiden päästä käsiksi Yhdysvalloissa sijaitsevien pilvipalveluntarjoajien tietoihin ilman, että niiden tarvitsee jättää keskinäistä oikeusapupyyntöä, jos on olemassa kahdenvälinen sopimus.

Tällainen sopimus solmittiin hiljattain Yhdysvaltojen ja Yhdistyneen kuningaskunnan välillä, ja se on ensimmäinen laatuaan.

CLOUD-lakia sovelletaan kaikkiin yhdysvaltalaisiin yrityksiin Yhdysvaltain lain määritelmän mukaisesti, eli Yhdysvalloissa rekisteröityihin yrityksiin ja niiden määräysvallassa oleviin yrityksiin.

Eurooppalainen tytäryhtiö tai yhdysvaltalaisen yrityksen hallinnoima eurooppalainen yritys voi siksi kuulua tämän lain piiriin, mikä aiheuttaa väistämättä lainvalintaa siltä osin kuin nämä yritykset kuuluvat myös GDPR:n piiriin.

On huomattava, että konsepti kohdistuu myös eurooppalaisiin yrityksiin, joilla on "läsnäolo" Yhdysvalloissa, mikä laajentaa sen soveltamisalaa huomattavasti.

Tämän huomauttaa Euroopan tietosuojavaltuusto vuonna 2019 antamassaan kannanotossa, samoin kuin Sveitsin oikeusministeriö aivan tuoreessa, 17. syyskuuta 2021 julkaistussa CLOUD-lakia koskevassa tutkimuksessaan.

Yhdysvaltain oikeusministeriö itse välittää tämän CLOUD-lain soveltamisalaa koskevan epävarmuuden huhtikuussa 2019 julkaistussa aiheesta kertovassa raportissa, josta tässä on ote (epävirallinen käännös):

"Se, onko Yhdysvaltojen ulkopuolella sijaitsevalla, mutta Yhdysvalloissa palveluja tarjoavalla ulkomaisella yrityksellä riittävästi yhteyksiä Yhdysvaltoihin, jotta se kuuluisi Yhdysvaltojen lainkäyttövallan piiriin, on tosiseikkakohtainen selvitys, joka riippuu yrityksen Yhdysvaltojen-yhteyksien luonteesta, määrästä ja laadusta."

Mitä tietoisemmin yritys on suuntannut toimintansa Yhdysvaltoihin, sitä todennäköisemmin tuomioistuin katsoo yrityksen kuuluvan Yhdysvaltojen lainkäyttövallan piiriin.

Yhdysvaltain tuomioistuimet, jotka soveltavat tätä analyysia esimerkiksi verkkosivustoja koskevissa siviilioikeudellisissa asioissa, ovat keskittyneet sivuston vuorovaikutteisuuden asteeseen asiakkaiden kanssa heidän lainkäyttöalueellaan ottaen huomioon tekijöitä, kuten verkkosivuston toiminnan ja mekaniikan, mahdolliset asiakkaille suunnatut mainokset, liiketoiminnan hankkiminen sivuston kautta ja asiakkaiden todellinen käyttö. 

Tämä tulkinta voi altistaa erittäin suuren määrän eurooppalaisia yrityksiä Yhdysvaltojen oikeusvaatimuksille, vaikka tietokannat sijaitsisivatkin Euroopassa. Yleisen tietosuoja-asetuksen 48 artiklan nojalla toisen maan laki ei kuitenkaan voi olla riittävä oikeusperusta henkilötietojen siirtämiselle kyseisen maan viranomaisille.

GDPR:n tekstissä määrätään nimenomaisesti, että tällaisia tiedonsiirtoja voidaan tehdä vain kansainvälisen sopimuksen, kuten keskinäistä oikeusapua koskevan sopimuksen, puitteissa.

Tämän periaatteen tavoitteena on varmistaa sekä siirrettyjen tietojen suoja että oikeusturvan vähimmäistaso.

Mitä ratkaisuja?

Poliittisesta näkökulmasta on ensinnäkin huomattava, että Euroopan komissio neuvottelee parhaillaan Yhdysvaltojen kanssa sopimuksesta, jonka tarkoituksena on helpottaa sähköisen todistusaineiston saatavuutta rikostutkinnassa, ja Euroopan neuvosto on parhaillaan kehittämässä toista pöytäkirjaa Budapestin tietoverkkorikollisuutta koskevaan yleissopimukseen... kaksi tekstiä, jotka selventäisivät näitä tiedonsiirtoja koskevaa oikeudellista kehystä EU:n lainsäädännön mukaisesti.

Tarkemmin sanottuna pilvilaki säätää, että lainvalintaan törmäävä yritys voi vedota siihen sovellettavaan lakiin, tässä tapauksessa GDPR:ään, riitauttaakseen Yhdysvaltojen pyynnön ("ulkomaisten lakien rikkomisen olennainen riski").

Tämä kuitenkin sisältää menettelyjä, jotka voivat osoittautua pitkiksi ja kalliiksi, eikä niiden lopputuloksesta ole varmuutta.

Käytännössä tietojen suojaamiseksi voidaan toteuttaa teknisiä toimenpiteitä Euroopan tietosuojakomitean suositusten pohjalta.

Tiedontallennus Euroopassa, tietojen säilyttämisen kieltäminen "selkeästi", erityiset salaustoimenpiteet, kuten Euroopan tietosuojavaltuutetun kesäkuussa 2021 antamassa lausunnossa Euroopan unionin ulkopuolisista tiedonsiirtovälineistä (s. 30) yksityiskohtaisesti esittämät toimenpiteet, ja salausavainten säilyttäminen Euroopan unionissa.

CLOUD Act ei kiellä salausta (vaikka Yhdysvallat vaatiikin yrityksiä tekemään yhteistyötä viranomaisten kanssa tässä asiassa) eikä ota kantaa kolmansien osapuolten maiden salauksenpurkusääntöihin.

Lopuksi lisättäköön, että ensimmäiset eurooppalaiset pilvipalvelut ovat äskettäin saaneet Euroopan tietosuojaviranomaisten hyväksynnän: viime keväänä CNIL hyväksyi ensimmäiset eurooppalaiset käytännesäännöt, jotka on tarkoitettu pilvi-infrastruktuuripalveluntarjoajille.

Se on myös juuri hyväksynyt Italian kansallisen metrologian ja testauslaboratorion (LNE) ja Bureau Veritas Italia Spa:n suorittamaan tämän käytännesäännöstön noudattamista koskevia tarkastuksia.

Ilman että "kaikkia paikallisia" pidettäisiin ehdottomana ihmelääkkeenä, eurooppalaisilla pilvipalveluilla on etunaan lisääntynyt oikeusvarmuus, niin kauan kuin kansainvälinen sopimus ei ole selventänyt tilannetta.

Ja myös

Ranska:

CNIL on virallisesti ilmoittanut yritykselle Ranskan testi turvatakseen apteekkien puolesta keräämänsä terveystiedot (seulontatestit). Se on myös ottanut yhteyttä yli 300 apteekkiin varmistaakseen niiden noudattavan GDPR:ää.

Viranomainen julkaisi myös lokakuun alussa white paper datasta ja maksutavoistaja julkinen kuuleminen rekrytointioppaan luonnoksesta.

Lopuksi, CNIL tutkii mahdollisuutta, että Kasvojentunnistuksen käyttö olympialaisissa vuodesta 2024 alkaen.

Eurooppa

Alankomaiden tietosuojaviranomainen Iso-Britannia hylkäsi 21. lokakuuta pyynnön saada lupa asettaa epäillyt petokset televiestinnässä ja verkkomaksuissa mustalle listalle.

Espanjan viranomainen määräsi 16 000 euron sakon biometrisen tunnistusjärjestelmän käyttöönotosta työpaikalla ilman ennakkoarviointia vastuussa olevalle henkilölle.

Clearview AI -kasvojentunnistusjärjestelmän käytön yhteydessä tapahtuneen tietoturvaloukkauksen jälkeenSuomen tietosuojaviranomainen katsoi poliisin käyttäneen tätä ohjelmistoa ilman laillista perustetta, ja määräsi sen noudattamaan lakia ja ilmoittamaan asiasta asianomaisille.

Varsovan maakunnan hallintotuomioistuin piti pankin henkilötietojen käsittelyä laittomana GDPR:n 6(1)(f) artiklan (etujen vertailu) perusteella pelkästään niiden mahdollisen tulevan hyödyllisyyden vuoksi. Kansallisten päätösten lähde: gdprhub

Amazon on tehnyt sopimuksen ns. Britannian salainen palvelu (GCHQ, MI5, MI6), jonka kautta yritys isännöi ja suorittaa tekoälyanalyysejä tiedustelupalveluiden arkaluonteisesta datasta. 

SveitsissäSuojattu viesti- ja VPN-palvelu Proton voitti 22. lokakuuta valituksen, joka koski sille annettua velvollisuutta valvoa ja tallentaa käyttäjiensä tietoja.

Euroopan parlamentti Yhdysvaltain senaatti hyväksyi 6. lokakuuta päätöslauselman, jossa hylättiin kasvojentunnistus ja tekoälyyn perustuva ennakoiva analyysi poliisitoiminnassa.

Kansainvälinen:

43. päivä Tietosuojaviranomaisten kansainvälinen konferenssi pidettiin Méxicossa ja videoneuvotteluna 18.–21. lokakuuta.

Konferenssissa hyväksyttiin useita päätöslauselmia, mukaan lukien yksi lasten digitaalisista oikeuksista ja toinen lainvalvontaviranomaisten pääsystä yksityisen sektorin tietoihin.

Tietosuojaviranomainen Etelä-Korea suosittelee 257 dollarin korvausta Facebookin (Meta) tietoturvaloukkauksen jälkeen jokaiselle käyttäjälle, jonka tietoja on välitetty virheellisesti kolmansille osapuolille.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.