Zákon CLOUD a európske spoločnosti: aký je rozsah pôsobnosti?

Právne správy č. 40 – Október 2021

Zákon CLOUD a európske spoločnosti: aký je rozsah pôsobnosti?Dematerializácia dát a ich ukladanie v „cloudoch“ má zásadné a komplexné dôsledky pre povinnosti spoločností.

Aj keď sú údaje uložené v Európe, nie sú imúnne voči žiadosti o zverejnenie zo strany tretej krajiny v právnom kontexte.

Čoraz aktuálnejšia otázka digitálnej suverenity nachádza osobitný odozvu vo vývoji práva Spojených štátov, najmä so zákonom CLOUD Act a jeho exteritoriálnou pôsobnosťou.

Za akých podmienok môže byť európska dcérska spoločnosť americkej spoločnosti alebo naopak americká dcérska spoločnosť európskej spoločnosti nútená oznámiť svoje údaje americkým orgánom?

Zákon CLOUD (Clarifying Lawful Overseas Use of Data – objasnenie zákonného používania údajov v zahraničí) bol v Spojených štátoch prijatý v marci 2018. Jeho cieľom je umožniť orgánom činným v trestnom konaní v USA prístup k údajom od poskytovateľov cloudových služieb z USA bez ohľadu na to, kde sú údaje uložené, a bez nutnosti začatia konania prostredníctvom medzinárodnej vzájomnej právnej pomoci.

Krátko pred prijatím zákona CLOUD Act spoločnosť Microsoft odmietla poskytnúť americkým orgánom údaje uložené v jej írskom cloude s odvolaním sa na neuplatňovanie amerického práva na údaje uložené v Európe, čo viedlo k zdĺhavým súdnym konaniam.

Zákon CLOUD objasňuje a rozširuje svoju pôsobnosť, aby sa predišlo tomuto typu situácií.

Text tiež umožňuje zahraničným štátom mať prístup k údajom od poskytovateľov cloudových služieb so sídlom v USA bez toho, aby museli podať žiadosť o vzájomnú právnu pomoc, v prípade dvojstrannej dohody.

Dohoda tohto typu bola nedávno uzavretá medzi Spojenými štátmi a Spojeným kráľovstvom, prvá svojho druhu.

Zákon CLOUD sa vzťahuje na akúkoľvek americkú spoločnosť v zmysle amerického práva, t. j. na spoločnosť založenú v Spojených štátoch a na spoločnosti ňou kontrolované.

Európska dcérska spoločnosť alebo európska spoločnosť kontrolovaná americkou spoločnosťou preto môže podliehať tomuto právu, čo nevyhnutne spôsobí kolíziu právnych predpisov v rozsahu, v akom sa na tieto spoločnosti vzťahuje aj GDPR.

Treba poznamenať, že koncept sa zameriava aj na európske spoločnosti s „prítomnosťou“ v Spojených štátoch, čo značne rozširuje jeho rozsah pôsobnosti.

Na to poukazuje Európsky výbor pre ochranu údajov vo svojom stanovisku z roku 2019, ako aj švajčiarske ministerstvo spravodlivosti vo veľmi nedávnej štúdii zo 17. septembra 2021 o zákone CLOUD.

Túto neistotu ohľadom rozsahu pôsobnosti zákona CLOUD vyjadrilo samotné Ministerstvo spravodlivosti Spojených štátov v bielej knihe z apríla 2019 na túto tému, z ktorej je tu výňatok (neoficiálny preklad):

„Či má zahraničná spoločnosť so sídlom mimo Spojených štátov, ale poskytujúca služby v Spojených štátoch, dostatočné kontakty so Spojenými štátmi na to, aby podliehala jurisdikcii USA, je predmetom vyšetrovania konkrétneho faktu, ktoré sa odvíja od povahy, kvantity a kvality kontaktov spoločnosti so Spojenými štátmi.“

Čím zámernejšie spoločnosť smeruje svoje správanie voči Spojeným štátom, tým je pravdepodobnejšie, že súd zistí, že spoločnosť podlieha jurisdikcii USA.

Americké súdy, ktoré uplatňujú túto analýzu v občianskoprávnych prípadoch týkajúcich sa webových stránok, sa napríklad zamerali na stupeň interaktivity stránky so zákazníkmi v ich jurisdikcii, pričom zohľadňovali faktory, ako je funkcia a mechanika webovej stránky, akákoľvek konkrétna propagácia pre zákazníkov, oslovovanie zákazníkov prostredníctvom stránky a skutočné používanie zákazníkmi. 

Tento výklad potenciálne vystavuje veľmi veľký počet európskych spoločností právnym nárokom zo strany USA, a to aj v prípade, že databázy sa nachádzajú v Európe. Podľa článku 48 GDPR však právo cudzej krajiny nemôže predstavovať dostatočný právny základ na prenos osobných údajov orgánom tejto krajiny.

Text GDPR výslovne stanovuje, že takéto prenosy údajov sa môžu uskutočniť len v rámci medzinárodnej dohody, ako je napríklad dohoda o vzájomnej právnej pomoci.

Cieľom tejto zásady je zabezpečiť ochranu prenášaných údajov a minimálnu právnu istotu.

Aké riešenia?

Z politického hľadiska si v prvom rade všimnime, že Európska komisia v súčasnosti rokuje so Spojenými štátmi o dohode zameranej na uľahčenie prístupu k elektronickým dôkazom pri vyšetrovaní trestných činov, zatiaľ čo Rada Európy pracuje na vypracovaní druhého protokolu k Budapeštianskemu dohovoru o kybernetickej kriminalite... dvoch textov, ktoré by objasnili právny rámec týkajúci sa týchto prenosov údajov v súlade s európskym právom.

Konkrétnejšie, zákon o cloude stanovuje, že spoločnosť, ktorá čelí kolízii právnych predpisov, sa môže odvolať na právo, ktorému podlieha, v tomto prípade nariadenie GDPR, aby napadla americkú žiadosť („podstatné riziko porušenia zahraničných zákonov“).

To však zahŕňa postupy, ktoré sa môžu ukázať ako zdĺhavé a nákladné, bez istoty ohľadom ich výsledku.

V praxi možno prijať technické opatrenia na ochranu údajov, inšpirované odporúčaniami Európskeho výboru pre ochranu údajov.

Uchovávanie údajov v Európe, zákaz uchovávania údajov „v otvorenom stave“, špecifické šifrovacie opatrenia, ako sú tie, ktoré podrobne opísal EDPS vo svojom stanovisku z júna 2021 týkajúceho sa nástrojov na prenos údajov mimo Európskej únie (s. 30), a uchovávanie šifrovacích kľúčov v Európskej únii.

Zákon CLOUD nezakazuje šifrovanie (hoci Spojené štáty vyžadujú, aby spoločnosti v tejto otázke spolupracovali s vládnymi orgánmi) a nezaujíma stanovisko k pravidlám dešifrovania tretích krajín.

Na záver dodajme, že prvé európske cloudové riešenia nedávno schválili európske orgány na ochranu údajov: minulú jar schválila CNIL prvý európsky kódex správania venovaný poskytovateľom služieb cloudovej infraštruktúry.

Taktiež práve schválila Národné metrologické a skúšobné laboratórium (LNE) a spoločnosť Bureau Veritas Italia Spa na vykonávanie kontrol dodržiavania tohto kódexu správania.

Bez toho, aby sme považovali „úplne lokálne“ za absolútny všeliek, európske cloudy majú výhodu v tom, že ponúkajú zvýšenú právnu istotu, pokiaľ medzinárodná dohoda situáciu neobjasní.

A tiež

Francúzsko:

CNIL formálne informovala spoločnosť Francetest zabezpečiť zdravotné údaje (skríningové testy), ktoré zhromažďuje v mene lekární. Oslovila tiež viac ako 300 lekární, aby overila ich súlad s GDPR.

Úrad tiež začiatkom októbra zverejnil biela kniha o údajoch a platobných metódacha verejnú konzultáciu k návrhu príručky pre prijímanie zamestnancov.

Nakoniec, CNIL skúma možnosť Využitie rozpoznávania tváre na olympijských hrách od roku 2024.

Európa

Holandský úrad na ochranu údajov Spojené kráľovstvo 21. októbra zamietlo žiadosť o povolenie zaradiť na čiernu listinu podozrivých podvodov v oblasti telekomunikácií a online platieb.

Španielsky úrad uložil osobe zodpovednej za zavedenie biometrického identifikačného systému na pracovisku bez predchádzajúceho posúdenia vplyvu pokutu vo výške 16 000 eur.

Po narušení bezpečnosti v súvislosti s používaním systému rozpoznávania tváre Clearview AIFínsky úrad na ochranu údajov usúdil, že polícia použila tento softvér bez právneho základu, a nariadil jej, aby konala v súlade so zákonom a informovala dotknuté osoby.

Provinčný správny súd vo Varšave považoval za nezákonné, aby banka spracúvala osobné údaje na základe článku 6 ods. 1 písm. f) GDPR (vyváženie záujmov), a to výlučne z dôvodu ich možnej budúcej užitočnosti. Zdroj vnútroštátnych rozhodnutí: gdprhub

Spoločnosť Amazon uzavrela zmluvu s Britská tajná služba (GCHQ, MI5, MI6), prostredníctvom ktorých bude spoločnosť hostiť a prevádzkovať analýzy umelej inteligencie na základe citlivých údajov od spravodajských agentúr. 

Vo ŠvajčiarskuSpoločnosť Proton, poskytovateľ zabezpečených správ a VPN služieb, 22. októbra vyhrala odvolanie proti povinnosti monitorovať a uchovávať údaje svojich používateľov.

Európsky parlament Americký Senát 6. októbra prijal rezolúciu, ktorá odmieta rozpoznávanie tváre a prediktívnu analýzu založenú na umelej inteligencii v policajnej práci.

Medzinárodné:

43. Medzinárodná konferencia orgánov na ochranu údajov sa konalo v Mexico City prostredníctvom videokonferencie od 18. do 21. októbra.

Na konferencii bolo prijatých niekoľko uznesení vrátane uznesenia o digitálnych právach detí a ďalšieho týkajúceho sa prístupu orgánov presadzovania práva k údajom zo súkromného sektora.

Úrad na ochranu údajov Južná Kórea odporúča kompenzáciu vo výške 257 dolárov pre každého používateľa, ktorého údaje boli neoprávnene prenesené tretím stranám, po narušení bezpečnosti siete Facebook (Meta).

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.