Zakon CLOUD i europske tvrtke: koji je opseg primjene?

Pravni nadzor br. 40 – Listopad 2021.

Zakon CLOUD i europske tvrtke: koji je opseg primjene?Dematerijalizacija podataka i njihovo pohranjivanje u „oblacima“ imaju temeljne i složene posljedice na obveze tvrtki.

Čak i kada se pohranjuju u Europi, podaci nisu imuni na zahtjev za otkrivanje od strane treće zemlje u pravnom kontekstu.

Sve aktualnije pitanje digitalnog suvereniteta posebno se odražava u evoluciji prava Sjedinjenih Država, s CLOUD Zakonom i njegovim ekstrateritorijalnim područjem primjene.

Pod kojim uvjetima europska podružnica američke tvrtke, ili obrnuto, američka podružnica europske tvrtke, može biti prisiljena priopćiti svoje podatke američkim vlastima?

Zakon CLOUD (Clarifying Lawful Overseas Use of Data - Pojašnjenje zakonite upotrebe podataka u inozemstvu) usvojen je u Sjedinjenim Državama u ožujku 2018. Njegov je cilj omogućiti američkim kaznenim vlastima pristup podacima američkih pružatelja usluga u oblaku, bez obzira na to gdje su podaci pohranjeni, i bez potrebe za pokretanjem postupka putem međunarodne uzajamne pravne pomoći.

Neposredno prije donošenja Zakona o oblaku (CLOUD Act), Microsoft je odbio američkim vlastima dostaviti podatke pohranjene u svom irskom oblaku, navodeći kao razlog neprimjenjivanje američkog zakona na podatke pohranjene u Europi, što je dovelo do dugotrajnih sudskih postupaka.

Zakon CLOUD pojašnjava i proširuje svoj opseg kako bi spriječio ovakvu situaciju.

Tekst također omogućuje stranim državama pristup podacima pružatelja usluga u oblaku sa sjedištem u SAD-u, bez potrebe za podnošenjem zahtjeva za međusobnu pravnu pomoć, u slučaju bilateralnog sporazuma.

Sporazum ove vrste nedavno je sklopljen između Sjedinjenih Država i Ujedinjenog Kraljevstva, prvi takve vrste.

Zakon CLOUD primjenjuje se na bilo koju američku tvrtku u smislu američkog prava, tj. na tvrtku osnovanu u Sjedinjenim Državama i tvrtke kojima ona upravlja.

Europska podružnica ili europska tvrtka kojom upravlja američka tvrtka stoga može biti podložna ovom zakonu, što će neizbježno uzrokovati sukob zakona u mjeri u kojoj te tvrtke također podliježu GDPR-u.

Treba napomenuti da se koncept odnosi i na europske tvrtke s "prisutnošću" u Sjedinjenim Državama, što znatno proširuje njegov opseg.

To ističe Europski odbor za zaštitu podataka u svom stavu iz 2019. godine, kao i švicarsko Ministarstvo pravosuđa u vrlo nedavnoj studiji od 17. rujna 2021. o Zakonu CLOUD.

Ovu nesigurnost oko opsega Zakona CLOUD prenijelo je i samo Ministarstvo pravosuđa Sjedinjenih Država u bijeloj knjizi o toj temi iz travnja 2019., od koje je ovdje izvadak (neslužbeni prijevod):

„Ima li strana korporacija koja se nalazi izvan Sjedinjenih Država, ali pruža usluge u Sjedinjenim Državama, dovoljno kontakata sa Sjedinjenim Državama da bi podlijegala američkoj jurisdikciji, pitanje je specifičnog činjeničnog stanja koje se temelji na prirodi, količini i kvaliteti kontakata korporacije sa Sjedinjenim Državama.“

Što je tvrtka namjernije usmjerila svoje ponašanje prema Sjedinjenim Državama, to je vjerojatnije da će sud utvrditi da tvrtka podliježe jurisdikciji SAD-a.

Američki sudovi koji primjenjuju ovu analizu u građanskim slučajevima koji uključuju web stranice, na primjer, usredotočili su se na stupanj interaktivnosti stranice s korisnicima u svojoj jurisdikciji, uzimajući u obzir čimbenike kao što su funkcija i mehanika web stranice, bilo kakva specifična promocija korisnicima, privlačenje klijenata putem stranice i stvarna upotreba od strane korisnika. 

Ovo tumačenje potencijalno podvrgava vrlo velik broj europskih tvrtki pravnim zahtjevima SAD-a, čak i kada se baze podataka nalaze u Europi. Međutim, prema članku 48. GDPR-a, zakon strane zemlje ne može predstavljati dovoljnu pravnu osnovu za prijenos osobnih podataka tijelima te zemlje.

Tekst GDPR-a izričito određuje da se takvi prijenosi podataka mogu odvijati samo u okviru međunarodnog sporazuma kao što je sporazum o međusobnoj pravnoj pomoći.

Ovo načelo ima za cilj osigurati i zaštitu prenesenih podataka i minimalnu pravnu sigurnost.

Koja rješenja?

S političke perspektive, prije svega, napomenimo da Europska komisija trenutno pregovara o sporazumu sa Sjedinjenim Američkim Državama čiji je cilj olakšati pristup elektroničkim dokazima u kaznenim istragama, dok Vijeće Europe razvija drugi protokol Budimpeštanske konvencije o kibernetičkom kriminalu... dva teksta koja bi pojasnila pravni okvir koji se odnosi na ove prijenose podataka u skladu s europskim pravom.

Točnije, Zakon o računalstvu u oblaku (Cloud Act) predviđa da se tvrtka suočena s sukobom zakona može pozvati na zakon kojem podliježe, u ovom slučaju GDPR, kako bi osporila američki zahtjev („materijalni rizik kršenja stranih zakona“).

To ipak uključuje postupke koji mogu biti dugotrajni i skupi, bez sigurnosti u pogledu njihovog ishoda.

U praksi se mogu poduzeti tehničke mjere za zaštitu podataka, inspirirane preporukama Europskog odbora za zaštitu podataka.

Pohrana podataka u Europi, zabrana zadržavanja podataka „u nečitljivom obliku“, specifične mjere šifriranja poput onih koje je detaljno opisao EDPS u svom mišljenju iz lipnja 2021. o alatima za prijenos podataka izvan Europske unije (str. 30) i zadržavanje ključeva za šifriranje u Europskoj uniji.

Zakon CLOUD ne zabranjuje šifriranje (iako Sjedinjene Države zahtijevaju od tvrtki da surađuju s vladinim vlastima po ovom pitanju) i ne zauzima stav o pravilima dešifriranja trećih zemalja.

Na kraju, dodajmo da su prve europske oblake nedavno odobrila europska tijela za zaštitu podataka: prošlog proljeća CNIL je odobrio prvi europski kodeks ponašanja posvećen pružateljima usluga infrastrukture oblaka.

Također je upravo odobrila Nacionalni laboratorij za mjeriteljstvo i ispitivanje (LNE) i Bureau Veritas Italia Spa za provođenje provjera usklađenosti s ovim kodeksom ponašanja.

Ne smatrajući "sve lokalno" apsolutnim čarobnim lijekom, europski oblaci imaju prednost u tome što nude povećanu pravnu sigurnost, sve dok međunarodni sporazum ne razjasni situaciju.

I također

Francuska:

CNIL je službeno obavijestio tvrtku Francetest kako bi osigurala zdravstvene podatke (screening testove) koje prikuplja u ime ljekarni. Također je kontaktirala više od 300 ljekarni kako bi provjerila njihovu usklađenost s GDPR-om.

Vlasti su također početkom listopada objavile bijela knjiga o podacima i načinima plaćanjai javno savjetovanje o nacrtu vodiča za zapošljavanje.

Konačno, CNIL proučava mogućnost Korištenje prepoznavanja lica za Olimpijske igre od 2024.

Europa

Nizozemska agencija za zaštitu podataka Dana 21. listopada, UK je odbio zahtjev za odobrenje stavljanja na crnu listu sumnjivih prijevara u telekomunikacijama i online plaćanjima.

Španjolska vlast kaznio je osobu odgovornu za implementaciju biometrijskog identifikacijskog sustava na radnom mjestu bez prethodne procjene utjecaja novčanom kaznom od 16.000 eura.

Nakon sigurnosnog propusta u kontekstu korištenja sustava za prepoznavanje lica Clearview AI,Finsko tijelo za zaštitu podataka smatrao je da je policija koristila ovaj softver bez zakonske osnove te joj je naložio da se pridržava zakona i obavijesti dotične osobe.

Pokrajinski upravni sud u Varšavi smatrao je nezakonitim da banka obrađuje osobne podatke na temelju članka 6(1)(f) GDPR-a (ravnoteža interesa), isključivo zbog njihove moguće buduće korisnosti. Izvor nacionalnih odluka: gdprhub

Amazon je sklopio ugovor s Britanska tajna služba (GCHQ, MI5, MI6), putem kojeg će tvrtka hostirati i upravljati analizama umjetne inteligencije na osjetljivim podacima obavještajnih agencija. 

U ŠvicarskojProton, usluga sigurne razmjene poruka i VPN-a, 22. listopada dobio je žalbu protiv obveze praćenja i pohranjivanja podataka svojih korisnika.

Europski parlament Američki Senat je 6. listopada usvojio rezoluciju kojom se odbacuje prepoznavanje lica i prediktivna analiza temeljena na umjetnoj inteligenciji u policijskom radu.

Međunarodno:

43. Međunarodna konferencija tijela za zaštitu podataka održan je u Mexico Cityju putem videokonferencije od 18. do 21. listopada.

Na konferenciji je usvojeno nekoliko rezolucija, uključujući onu o digitalnim pravima djece i drugu o pristupu tijela za provedbu zakona podacima privatnog sektora.

Tijelo za zaštitu podataka Južna Koreja preporučuje odštetu nakon sigurnosnog propusta na Facebooku (Meta) u iznosu od 257 dolara svakom korisniku čiji su podaci nepropisno preneseni trećim stranama.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.