CLOUD likums un Eiropas uzņēmumi: kāda ir tā piemērošanas joma?

Juridiskā uzraudzība Nr. 40 — 2021. gada oktobris

CLOUD likums un Eiropas uzņēmumi: kāda ir tā piemērošanas joma?Datu dematerializācijai un to glabāšanai “mākoņos” ir fundamentālas un sarežģītas sekas uz uzņēmumu saistībām.

Pat ja dati tiek glabāti Eiropā, tie nav imūni pret trešās valsts pieprasījumu tos izpaust juridiskā kontekstā.

Arvien aktuālākais digitālās suverenitātes jautājums īpaši atbalsojas Amerikas Savienoto Valstu tiesību aktu attīstībā, ņemot vērā CLOUD likumu un tā ekstrateritoriālo piemērošanas jomu.

Kādos apstākļos amerikāņu uzņēmuma meitasuzņēmums Eiropā vai, gluži pretēji, Eiropas uzņēmuma meitasuzņēmums Amerikā var tikt spiests paziņot savus datus Amerikas iestādēm?

CLOUD likums (Clarifying Legal Overseas Use of Data — skaidrojums par datu likumīgu izmantošanu ārzemēs) tika pieņemts Amerikas Savienotajās Valstīs 2018. gada martā. Tā mērķis ir ļaut ASV krimināltiesību iestādēm piekļūt datiem no ASV mākoņpakalpojumu sniedzējiem neatkarīgi no tā, kur dati tiek glabāti, un bez nepieciešamības uzsākt tiesvedību, izmantojot starptautisko savstarpējo tiesisko palīdzību.

Neilgi pirms CLOUD likuma pieņemšanas Microsoft atteicās sniegt ASV iestādēm datus, kas glabājas tā Īrijas mākonī, atsaucoties uz ASV tiesību aktu nepiemērošanu datiem, kas glabājas Eiropā, kas izraisīja ilgstošas tiesvedības.

CLOUD likums precizē un paplašina tā darbības jomu, lai novērstu šāda veida situācijas.

Teksts arī ļauj ārvalstīm piekļūt datiem no mākoņpakalpojumu sniedzējiem, kas atrodas ASV, bez nepieciešamības iesniegt savstarpējas tiesiskās palīdzības pieprasījumu divpusēja nolīguma gadījumā.

Šāda veida nolīgums nesen tika noslēgts starp Amerikas Savienotajām Valstīm un Apvienoto Karalisti, un tas ir pirmais šāda veida nolīgums.

CLOUD likums attiecas uz jebkuru ASV uzņēmumu ASV tiesību aktu izpratnē, t. i., uzņēmumu, kas reģistrēts Amerikas Savienotajās Valstīs, un uzņēmumiem, kurus tas kontrolē.

Tādēļ Eiropas meitasuzņēmums vai Eiropas uzņēmums, ko kontrolē Amerikas uzņēmums, var būt šī likuma subjekts, kas neizbēgami radīs tiesību normu kolīzijas tiktāl, ciktāl šie uzņēmumi ir pakļauti arī GDPR.

Jāņem vērā, ka šī koncepcija attiecas arī uz Eiropas uzņēmumiem, kuriem ir “klātbūtne” Amerikas Savienotajās Valstīs, kas ievērojami paplašina tās darbības jomu.

To norāda Eiropas Datu aizsardzības komiteja 2019. gada nostājā, kā arī Šveices Tieslietu ministrija pavisam nesenā, 2021. gada 17. septembra pētījumā par CLOUD likumu.

Šo nenoteiktību par CLOUD likuma darbības jomu pauž pati Amerikas Savienoto Valstu Tieslietu ministrija 2019. gada aprīļa informatīvajā dokumentā par šo tēmu, no kura šeit ir fragments (neoficiāls tulkojums):

“Tas, vai ārvalstu korporācijai, kas atrodas ārpus Amerikas Savienotajām Valstīm, bet sniedz pakalpojumus Amerikas Savienotajās Valstīs, ir pietiekami daudz kontaktu ar Amerikas Savienotajām Valstīm, lai tā būtu pakļauta ASV jurisdikcijai, ir faktiem specifisks pētījums, kas ir atkarīgs no korporācijas kontaktu ar Amerikas Savienotajām Valstīm rakstura, kvantitātes un kvalitātes.”

Jo apzinātāk uzņēmums ir vērsis savu rīcību uz Amerikas Savienotajām Valstīm, jo lielāka iespēja, ka tiesa atzīs, ka uzņēmums ir pakļauts ASV jurisdikcijai.

Piemēram, ASV tiesas, piemērojot šo analīzi civillietās, kas saistītas ar tīmekļa vietnēm, ir koncentrējušās uz vietnes mijiedarbības pakāpi ar klientiem to jurisdikcijā, ņemot vērā tādus faktorus kā tīmekļa vietnes funkcija un mehānika, jebkāda īpaša klientu reklamēšana, uzņēmējdarbības piesaiste, izmantojot vietni, un klientu faktiskā lietošana. 

Šāda interpretācija potenciāli pakļauj ļoti lielu skaitu Eiropas uzņēmumu ASV juridiskām prasībām, pat ja datubāzes atrodas Eiropā. Tomēr saskaņā ar GDPR 48. pantu ārvalsts tiesību akti nevar būt pietiekams juridiskais pamats personas datu nosūtīšanai šīs valsts iestādēm.

GDPR tekstā ir skaidri noteikts, ka šāda datu pārsūtīšana var notikt tikai starptautiska nolīguma, piemēram, savstarpējas tiesiskās palīdzības nolīguma, ietvaros.

Šī principa mērķis ir nodrošināt gan pārsūtīto datu aizsardzību, gan minimālu juridisko drošību.

Kādi risinājumi?

No politiskā viedokļa, pirmkārt, atzīmēsim, ka Eiropas Komisija pašlaik risina sarunas ar Amerikas Savienotajām Valstīm par nolīgumu, kura mērķis ir atvieglot piekļuvi elektroniskajiem pierādījumiem kriminālizmeklēšanā, savukārt Eiropas Padome izstrādā otro protokolu Budapeštas konvencijai par kibernoziegumiem... divi teksti, kas precizētu tiesisko regulējumu attiecībā uz šo datu nosūtīšanu saskaņā ar Eiropas tiesību aktiem.

Konkrētāk, Mākoņdatošanas likums paredz, ka uzņēmums, kas saskaras ar tiesību normu kolīziju, var atsaukties uz tiesību aktiem, kuriem tas ir pakļauts, šajā gadījumā GDPR, lai apstrīdētu Amerikas pieprasījumu ("būtisks ārvalstu tiesību aktu pārkāpuma risks").

Tomēr tas ietver procedūras, kas var izrādīties ilgas un dārgas, bez skaidrības par to iznākumu.

Praksē datu aizsardzībai var veikt tehniskus pasākumus, iedvesmojoties no Eiropas Datu aizsardzības komitejas ieteikumiem.

Datu glabāšana Eiropā, datu nesaglabāšana "skaidrā veidā", īpaši šifrēšanas pasākumi, piemēram, tie, ko EDAU sīki aprakstījis savā 2021. gada jūnija atzinumā par datu pārsūtīšanas rīkiem ārpus Eiropas Savienības (30. lpp.), un šifrēšanas atslēgu saglabāšana Eiropas Savienībā.

CLOUD likums neaizliedz šifrēšanu (lai gan Amerikas Savienotās Valstis pieprasa uzņēmumiem sadarboties ar valdības iestādēm šajā jautājumā) un neieņem nostāju par trešo pušu valstu atšifrēšanas noteikumiem.

Visbeidzot, piebildīsim, ka pirmos Eiropas mākoņus nesen ir apstiprinājušas Eiropas datu aizsardzības iestādes: pagājušajā pavasarī CNIL apstiprināja pirmo Eiropas rīcības kodeksu, kas veltīts mākoņinfrastruktūras pakalpojumu sniedzējiem.

Tā arī tikko ir apstiprinājusi Nacionālo metroloģijas un testēšanas laboratoriju (LNE) un Bureau Veritas Italia Spa, lai veiktu pārbaudes par atbilstību šim rīcības kodeksam.

Neuzskatot "pilnīgi lokālu" par absolūtu panaceju, Eiropas mākoņiem ir tāda priekšrocība, ka tie piedāvā lielāku juridisko drošību, kamēr starptautisks nolīgums nav precizējis situāciju.

Un arī

Francija:

CNIL ir oficiāli paziņojusi uzņēmumam. Francetest lai nodrošinātu veselības datu (skrīninga testu) drošību, ko tā vāc aptieku vārdā. Tā ir arī sazinājusies ar vairāk nekā 300 aptiekām, lai pārbaudītu to atbilstību GDPR.

Iestāde oktobra sākumā arī publicēja informatīvais dokuments par datiem un maksājumu metodēmun sabiedrisko apspriešanu par darbā pieņemšanas rokasgrāmatas projektu.

Visbeidzot, CNIL pēta iespēju, ka Sejas atpazīšanas izmantošana Olimpiskajās spēlēs no 2024. gada.

Eiropa

Nīderlandes Datu aizsardzības iestāde 21. oktobrī Apvienotā Karaliste noraidīja lūgumu atļaut iekļaut melnajā sarakstā aizdomās turētos krāpšanas gadījumus telekomunikāciju un tiešsaistes maksājumu jomā.

Spānijas iestāde sodīja personu, kas atbildīga par biometriskās identifikācijas sistēmas ieviešanu darba vietā bez iepriekšēja ietekmes novērtējuma, ar 16 000 eiro naudas sodu.

Pēc drošības pārkāpuma saistībā ar Clearview mākslīgā intelekta sejas atpazīšanas sistēmas izmantošanu,Somijas Datu aizsardzības iestāde uzskatīja, ka policija šo programmatūru ir izmantojusi bez likumīga pamata, un lika tai ievērot likumu un informēt attiecīgās personas.

Varšavas apgabala administratīvā tiesa uzskatīja par nelikumīgu, ka banka apstrādā personas datus, pamatojoties uz GDPR 6. panta 1. punkta f) apakšpunktu (interešu līdzsvarošana), tikai to iespējamās lietderības nākotnē dēļ. Valsts lēmumu avots: gdprhub

Amazon ir noslēdzis līgumu ar Britu slepenais dienests (GCHQ, MI5, MI6), ar kuru starpniecību uzņēmums mitinās un veiks mākslīgā intelekta analīzes, izmantojot sensitīvus datus no izlūkdienestiem. 

ŠveicēDrošās ziņojumapmaiņas un VPN pakalpojums Proton 22. oktobrī uzvarēja apelācijā pret tam noteikto pienākumu uzraudzīt un uzglabāt lietotāju datus.

Eiropas Parlaments 6. oktobrī ASV Senāts pieņēma rezolūciju, kas noraida sejas atpazīšanas un mākslīgā intelekta paredzošās analīzes izmantošanu policijas darbā.

Starptautiskās:

43. datums Starptautiskā datu aizsardzības iestāžu konference notika Mehiko un videokonferences veidā no 18. līdz 21. oktobrim.

Konferencē tika pieņemtas vairākas rezolūcijas, tostarp viena par bērnu digitālajām tiesībām un otra par tiesībaizsardzības iestāžu piekļuvi privātā sektora datiem.

Datu aizsardzības iestāde Dienvidkoreja iesaka izmaksāt kompensāciju 257 ASV dolāru apmērā katram lietotājam, kura dati tika nepareizi nosūtīti trešajām personām pēc Facebook (Meta) drošības pārkāpuma.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.