CLOUD įstatymas ir Europos bendrovės: kokia taikymo sritis?

Teisinis stebėjimas Nr. 40 – 2021 m. spalis

CLOUD įstatymas ir Europos bendrovės: kokia taikymo sritis?Duomenų dematerializavimas ir saugojimas „debesyse“ turi esminių ir sudėtingų pasekmių įmonių įsipareigojimams.

Net ir saugomi Europoje, duomenys nėra apsaugoti nuo trečiosios šalies prašymo atskleisti juos teisiniu kontekstu.

Vis labiau aktualus skaitmeninio suvereniteto klausimas ypač atsispindi Jungtinių Valstijų teisės raidoje, atsižvelgiant į CLOUD įstatymą ir jo ekstrateritorinę taikymo sritį.

Kokiomis sąlygomis Amerikos bendrovės Europos dukterinė įmonė arba, atvirkščiai, Europos bendrovės Amerikos dukterinė įmonė gali būti priversta perduoti savo duomenis Amerikos valdžios institucijoms?

2018 m. kovo mėn. Jungtinėse Valstijose buvo priimtas CLOUD įstatymas (teisėto duomenų naudojimo užsienyje išaiškinimas). Jo tikslas – leisti JAV baudžiamosios teisės institucijoms pasiekti JAV debesijos paslaugų teikėjų duomenis, neatsižvelgiant į tai, kur duomenys saugomi, ir nepradedant tarptautinės savitarpio teisinės pagalbos procedūrų.

Netrukus prieš priimant CLOUD įstatymą „Microsoft“ atsisakė JAV valdžios institucijoms pateikti Airijos debesyje saugomus duomenis, nurodydama, kad JAV įstatymai netaikomi Europoje saugomiems duomenims, dėl ko buvo pradėti ilgi teisiniai procesai.

CLOUD įstatymas patikslina ir išplečia savo taikymo sritį, kad būtų išvengta tokio tipo situacijų.

Tekste taip pat leidžiama užsienio valstybėms turėti prieigą prie JAV įsikūrusių debesijos paslaugų teikėjų duomenų, nereikalaujant teikti savitarpio teisinės pagalbos prašymo, jei yra sudarytas dvišalis susitarimas.

Tokio tipo susitarimas neseniai buvo sudarytas tarp Jungtinių Amerikos Valstijų ir Jungtinės Karalystės – tai pirmasis tokio pobūdžio susitarimas.

CLOUD įstatymas taikomas bet kuriai JAV bendrovei, kaip apibrėžta JAV teisėje, t. y. Jungtinėse Valstijose įsteigtai bendrovei ir jos kontroliuojamoms bendrovėms.

Todėl Europos dukterinė įmonė arba Europos įmonė, kurią kontroliuoja Amerikos įmonė, gali būti šios teisės subjektas, o tai neišvengiamai sukels teisės kolizijų tiek, kiek šioms įmonėms taip pat taikomas BDAR.

Atkreipkite dėmesį, kad ši koncepcija taip pat skirta Europos įmonėms, turinčioms atstovybę Jungtinėse Valstijose, o tai gerokai išplečia jos taikymo sritį.

Tai pabrėžia Europos duomenų apsaugos komitetas savo 2019 m. pozicijoje, taip pat Šveicarijos teisingumo ministerija savo 2021 m. rugsėjo 17 d. atliktame tyrime dėl CLOUD įstatymo.

Šį netikrumą dėl CLOUD įstatymo taikymo srities 2019 m. balandžio mėn. baltojoje knygoje šia tema perteikė pats Jungtinių Valstijų Teisingumo departamentas, kurio ištrauką (neoficialų vertimą) pateikiame čia:

„Ar užsienio korporacija, įsikūrusi už Jungtinių Valstijų ribų, bet teikianti paslaugas Jungtinėse Valstijose, turi pakankamai ryšių su Jungtinėmis Valstijomis, kad jai būtų taikoma JAV jurisdikcija, yra faktinis tyrimas, kuris priklauso nuo korporacijos ryšių su Jungtinėmis Valstijomis pobūdžio, kiekybės ir kokybės.“

Kuo sąmoningiau bendrovė nukreipė savo veiksmus į Jungtines Valstijas, tuo didesnė tikimybė, kad teismas nuspręs, jog bendrovė priklauso JAV jurisdikcijai.

JAV teismai, taikydami šią analizę civilinėse bylose, susijusiose su svetainėmis, pavyzdžiui, daugiausia dėmesio skyrė svetainės interaktyvumo laipsniui su klientais jų jurisdikcijoje, atsižvelgdami į tokius veiksnius kaip svetainės funkcija ir mechanika, bet kokia konkreti klientams skirta reklama, verslo prašymas per svetainę ir faktinis klientų naudojimas. 

Toks aiškinimas gali sukelti JAV teisinių ieškinių labai daugeliui Europos įmonių, net kai duomenų bazės yra Europoje. Tačiau pagal BDAR 48 straipsnį užsienio šalies teisė negali būti pakankamas teisinis pagrindas perduoti asmens duomenis tos šalies valdžios institucijoms.

BDAR tekste aiškiai numatyta, kad toks duomenų perdavimas gali vykti tik pagal tarptautinį susitarimą, pavyzdžiui, savitarpio teisinės pagalbos susitarimą.

Šiuo principu siekiama užtikrinti tiek perduodamų duomenų apsaugą, tiek minimalų teisinį saugumą.

Kokie sprendimai?

Politiniu požiūriu, pirmiausia atkreipkime dėmesį, kad Europos Komisija šiuo metu derasi dėl susitarimo su Jungtinėmis Valstijomis, kuriuo siekiama palengvinti prieigą prie elektroninių įrodymų atliekant baudžiamuosius tyrimus, o Europos Taryba rengia antrąjį Budapešto konvencijos dėl kibernetinių nusikaltimų protokolą... du tekstus, kurie paaiškintų teisinę sistemą, susijusią su šiais duomenų perdavimais, laikantis Europos teisės.

Tiksliau sakant, Debesijos įstatymas numato, kad bendrovė, susidūrusi su teisės kolizija, gali remtis jai taikoma teise, šiuo atveju BDAR, kad užginčytų Amerikos prašymą („esminė užsienio įstatymų pažeidimo rizika“).

Vis dėlto tai apima procedūras, kurios gali būti ilgos ir brangios, o jų rezultatas gali būti neaiškus.

Praktiškai, remiantis Europos duomenų apsaugos komiteto rekomendacijomis, galima imtis techninių duomenų apsaugos priemonių.

Duomenų saugojimas Europoje, duomenų nesaugojimas „skaidrioje formoje“, konkrečios šifravimo priemonės, tokios kaip išsamiai aprašytos EDAPP 2021 m. birželio mėn. nuomonėje dėl duomenų perdavimo priemonių už Europos Sąjungos ribų (p. 30), ir šifravimo raktų saugojimas Europos Sąjungoje.

CLOUD įstatymas nedraudžia šifravimo (nors Jungtinės Valstijos reikalauja, kad įmonės bendradarbiautų su valdžios institucijomis šiuo klausimu) ir neužima pozicijos dėl trečiųjų šalių iššifravimo taisyklių.

Galiausiai pridurkime, kad pirmieji Europos debesijos kompiuterijos projektai neseniai sulaukė Europos duomenų apsaugos institucijų pritarimo: praėjusį pavasarį CNIL patvirtino pirmąjį Europos elgesio kodeksą, skirtą debesijos infrastruktūros paslaugų teikėjams.

Ji taip pat ką tik patvirtino Nacionalinę metrologijos ir bandymų laboratoriją (LNE) ir „Bureau Veritas Italia Spa“ atlikti šio elgesio kodekso laikymosi patikrinimus.

Nors „visiškai vietiniai“ sprendimai nelaikomi absoliučia panacėja, Europos debesijos privalumai yra didesnio teisinio saugumo užtikrinimas, kol padėtis nėra išaiškinta tarptautiniu susitarimu.

Ir taip pat

Prancūzija:

CNIL oficialiai pranešė bendrovei Prancūzija siekiant apsaugoti vaistinių vardu renkamus sveikatos duomenis (atrankos tyrimus). Ji taip pat kreipėsi į daugiau nei 300 vaistinių, kad patikrintų jų atitiktį BDAR.

Institucija taip pat spalio pradžioje paskelbė Baltoji knyga apie duomenis ir mokėjimo būdusir viešas konsultacijas dėl įdarbinimo vadovo projekto.

Galiausiai, CNIL nagrinėja galimybę Veido atpažinimo naudojimas olimpinėse žaidynėse nuo 2024 m.

Europa

Nyderlandų duomenų apsaugos institucija Spalio 21 d. JK atmetė prašymą leisti įtraukti įtariamo sukčiavimo telekomunikacijų ir internetinių mokėjimų srityje juodąjį sąrašą.

Ispanijos valdžia skyrė 16 000 eurų baudą asmeniui, atsakingam už biometrinės identifikavimo sistemos įdiegimą darbo vietoje be išankstinio poveikio vertinimo.

Po saugumo pažeidimo, susijusio su „Clearview AI“ veido atpažinimo sistemos naudojimu,Suomijos duomenų apsaugos institucija nusprendė, kad policija šią programinę įrangą naudojo neturėdama teisinio pagrindo, ir įpareigojo ją laikytis įstatymų bei informuoti atitinkamus asmenis.

Varšuvos vaivadijos administracinis teismas manė, kad bankui neteisėta tvarkyti asmens duomenis remiantis BDAR 6 straipsnio 1 dalies f punktu (interesų pusiausvyra) vien dėl jų galimo naudingumo ateityje. Nacionalinių sprendimų šaltinis: gdprhub

„Amazon“ sudarė sutartį su Britų slaptoji tarnyba (GCHQ, MI5, MI6), per kurį bendrovė talpins ir vykdys dirbtinio intelekto analizę, pagrįstą slaptais žvalgybos agentūrų duomenimis. 

ŠveicarijojeSaugaus pranešimų siuntimo ir VPN paslauga „Proton“ spalio 22 d. laimėjo apeliaciją dėl jai įpareigoto stebėti ir saugoti savo naudotojų duomenis.

Europos Parlamentas Spalio 6 d. JAV Senatas priėmė rezoliuciją, kuria atmetamas veido atpažinimo ir dirbtinio intelekto pagrindu veikiančios nuspėjamosios analizės naudojimas policijos veikloje.

Tarptautinis:

43-iasis Tarptautinė duomenų apsaugos institucijų konferencija vyko Meksiko mieste ir vaizdo konferencijos būdu spalio 18–21 d.

Konferencijoje buvo priimtos kelios rezoliucijos, įskaitant vieną dėl vaikų skaitmeninių teisių ir kitą dėl teisėsaugos institucijų prieigos prie privačiojo sektoriaus duomenų.

Duomenų apsaugos institucija Pietų Korėja rekomenduoja skirti 257 USD kompensaciją po „Facebook“ („Meta“) saugumo pažeidimo kiekvienam vartotojui, kurio duomenys buvo netinkamai perduoti trečiosioms šalims.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.