Zakon CLOUD in evropska podjetja: kakšno je področje uporabe?

Pravna ura št. 40 – Oktober 2021

Zakon CLOUD in evropska podjetja: kakšno je področje uporabe?Dematerializacija podatkov in njihovo shranjevanje v »oblakih« imata temeljne in kompleksne posledice za obveznosti podjetij.

Tudi če so podatki shranjeni v Evropi, niso imuni na zahtevo tretje države za razkritje v pravnem kontekstu.

Vse bolj aktualno vprašanje digitalne suverenosti se še posebej odraža v razvoju prava Združenih držav Amerike, zlasti v zakonu CLOUD in njegovem ekstrateritorialnem področju uporabe.

Pod kakšnimi pogoji je lahko evropska podružnica ameriškega podjetja ali obratno, ameriška podružnica evropskega podjetja prisiljena posredovati svoje podatke ameriškim organom?

Zakon CLOUD (Clarifying Lawful Overseas Use of Data - pojasnitev zakonite uporabe podatkov v tujini) je bil v Združenih državah Amerike sprejet marca 2018. Njegov cilj je ameriškim kazenskim organom omogočiti dostop do podatkov ameriških ponudnikov storitev v oblaku, ne glede na to, kje so podatki shranjeni, in brez potrebe po začetku postopka prek mednarodne medsebojne pravne pomoči.

Malo pred sprejetjem zakona CLOUD je Microsoft ameriškim oblastem zavrnil posredovanje podatkov, shranjenih v njegovem irskem oblaku, pri čemer je navedel, da se ameriška zakonodaja ne uporablja za podatke, shranjene v Evropi, kar je privedlo do dolgotrajnih sodnih postopkov.

Zakon CLOUD pojasnjuje in razširja svoje področje uporabe, da bi preprečil tovrstne situacije.

Besedilo omogoča tudi tujim državam dostop do podatkov ponudnikov storitev v oblaku s sedežem v ZDA, ne da bi morale vložiti zahtevo za medsebojno pravno pomoč, v primeru dvostranskega sporazuma.

Tovrstni sporazum je bil nedavno sklenjen med Združenimi državami in Združenim kraljestvom, prvi te vrste.

Zakon CLOUD se uporablja za katero koli ameriško podjetje v smislu ameriške zakonodaje, tj. za podjetje, ustanovljeno v Združenih državah Amerike, in podjetja, ki jih to podjetje nadzoruje.

Za evropsko hčerinsko družbo ali evropsko podjetje, ki ga nadzoruje ameriško podjetje, lahko torej velja ta zakonodaja, kar bo neizogibno povzročilo kolizijo zakonov, če bodo ta podjetja prav tako zavezana GDPR.

Upoštevajte, da je koncept namenjen tudi evropskim podjetjem, ki so "prisotna" v Združenih državah Amerike, kar znatno širi njegov obseg.

Na to opozarjata Evropski odbor za varstvo podatkov v stališču iz leta 2019, pa tudi švicarsko ministrstvo za pravosodje v zelo nedavni študiji o zakonu CLOUD z dne 17. septembra 2021.

To negotovost glede področja uporabe zakona CLOUD je sporočilo samo ameriško ministrstvo za pravosodje v beli knjigi o tej temi iz aprila 2019, katere odlomek (neuradni prevod) je tukaj:

„Ali ima tuja korporacija s sedežem zunaj Združenih držav Amerike, ki pa opravlja storitve v Združenih državah Amerike, dovolj stikov z Združenimi državami Amerike, da bi bila predmet ameriške jurisdikcije, je stvar konkretne preiskave, ki se osredotoča na naravo, količino in kakovost stikov korporacije z Združenimi državami Amerike.“

Bolj ko je podjetje namerno usmerilo svoje ravnanje proti Združenim državam, večja je verjetnost, da bo sodišče ugotovilo, da podjetje spada pod jurisdikcijo ZDA.

Ameriška sodišča, ki to analizo uporabljajo v civilnih zadevah, ki vključujejo spletna mesta, so se na primer osredotočila na stopnjo interaktivnosti spletnega mesta s strankami v njihovi jurisdikciji, pri čemer so upoštevala dejavnike, kot so funkcija in mehanika spletnega mesta, morebitna posebna promocija strankam, pridobivanje poslov prek spletnega mesta in dejanska uporaba s strani strank. 

Zaradi te razlage bi lahko zelo veliko evropskih podjetij podvrgli pravnim zahtevkom ZDA, tudi če se podatkovne zbirke nahajajo v Evropi. Vendar pa v skladu s členom 48 GDPR zakonodaja tuje države ne more predstavljati zadostne pravne podlage za prenos osebnih podatkov organom te države.

Besedilo GDPR izrecno določa, da se takšni prenosi podatkov lahko izvajajo le v okviru mednarodnega sporazuma, kot je sporazum o medsebojni pravni pomoči.

To načelo si prizadeva zagotoviti tako zaščito prenesenih podatkov kot minimalno pravno varnost.

Kakšne rešitve?

S političnega vidika najprej omenimo, da Evropska komisija trenutno z Združenimi državami Amerike pogaja o sporazumu, katerega cilj je olajšati dostop do elektronskih dokazov v kazenskih preiskavah, medtem ko Svet Evrope pripravlja drugi protokol h Budimpeštanski konvenciji o kibernetski kriminaliteti ... dve besedili, ki bi pojasnili pravni okvir glede teh prenosov podatkov v skladu z evropskim pravom.

Natančneje, Zakon o računalništvu v oblaku določa, da se lahko podjetje, ki se sooča s kolizijo zakonov, sklicuje na pravo, ki velja zanj, v tem primeru GDPR, da bi izpodbijalo ameriško zahtevo („bistveno tveganje kršitve tuje zakonodaje“).

Vendar pa to vključuje postopke, ki se lahko izkažejo za dolgotrajne in drage, brez gotovosti glede njihovega izida.

V praksi se lahko za zaščito podatkov sprejmejo tehnični ukrepi, ki jih navdihujejo priporočila Evropskega odbora za varstvo podatkov.

Shranjevanje podatkov v Evropi, prepoved hrambe podatkov „v nejasen obliki“, posebni ukrepi za šifriranje, kot so tisti, ki jih je ENVP podrobno opisal v svojem mnenju iz junija 2021 o orodjih za prenos podatkov zunaj Evropske unije (str. 30), in hramba šifrirnih ključev v Evropski uniji.

Zakon CLOUD ne prepoveduje šifriranja (čeprav Združene države Amerike od podjetij zahtevajo sodelovanje z vladnimi organi pri tem vprašanju) in ne zavzema stališča do pravil tretjih držav za dešifriranje.

Na koncu naj dodamo, da so prve evropske oblake nedavno potrdili evropski organi za varstvo podatkov: lansko pomlad je CNIL odobril prvi evropski kodeks ravnanja, namenjen ponudnikom storitev infrastrukture v oblaku.

Pravkar je odobrila tudi Nacionalni laboratorij za meroslovje in testiranje (LNE) in Bureau Veritas Italia Spa za izvajanje pregledov skladnosti s tem kodeksom ravnanja.

Brez upoštevanja "vse lokalne" rešitve kot absolutnega zdravila imajo evropski oblaki prednost, da ponujajo večjo pravno varnost, dokler mednarodni sporazum ne razjasni razmer.

In tudi

Francija:

CNIL je podjetje uradno obvestil Francetest zavarovati zdravstvene podatke (presejalne teste), ki jih zbira v imenu lekarn. Obrnila se je tudi na več kot 300 lekarn, da bi preverila njihovo skladnost z GDPR.

Organ je v začetku oktobra objavil tudi bela knjiga o podatkih in načinih plačilain javno posvetovanje o osnutku vodnika za zaposlovanje.

Končno, CNIL preučuje možnost Uporaba prepoznavanja obrazov za olimpijske igre od leta 2024.

Evropa

Nizozemski organ za varstvo podatkov Združeno kraljestvo je 21. oktobra zavrnilo zahtevo za dovoljenje za uvrstitev na črni seznam domnevnih goljufij v telekomunikacijah in spletnih plačilih.

Španska oblast je osebi, odgovorni za uvedbo biometričnega identifikacijskega sistema na delovnem mestu brez predhodne ocene učinka, naložil globo v višini 16.000 evrov.

Po varnostni kršitvi v kontekstu uporabe sistema za prepoznavanje obrazov Clearview AI jeFinski organ za varstvo podatkov menil, da je policija to programsko opremo uporabljala brez zakonite podlage, in ji naročil, naj ravna v skladu z zakonom in o tem obvesti vpletene osebe.

Pokrajinsko upravno sodišče v Varšavi menila, da je nezakonito, da banka obdeluje osebne podatke na podlagi člena 6(1)(f) GDPR (ravnotežje interesov), izključno zaradi njihove morebitne prihodnje uporabnosti. Vir nacionalnih odločitev: gdprhub

Amazon je sklenil pogodbo z Britanska tajna služba (GCHQ, MI5, MI6), prek katerega bo podjetje gostilo in izvajalo analize umetne inteligence na podlagi občutljivih podatkov obveščevalnih agencij. 

V ŠviciProton, ponudnik varnega sporočanja in VPN, je 22. oktobra dobil pritožbo zoper obveznost spremljanja in shranjevanja podatkov svojih uporabnikov.

Evropski parlament Ameriški senat je 6. oktobra sprejel resolucijo, s katero je zavrnil prepoznavanje obrazov in napovedno analizo na podlagi umetne inteligence v policijskem delu.

Mednarodno:

43. Mednarodna konferenca organov za varstvo podatkov je potekal v Mexico Cityju in prek videokonference od 18. do 21. oktobra.

Na konferenci je bilo sprejetih več resolucij, vključno z eno o digitalnih pravicah otrok in drugo o dostopu organov pregona do podatkov zasebnega sektorja.

Organ za varstvo podatkov Južna Koreja priporoča odškodnino v višini 257 dolarjev za vsakega uporabnika, čigar podatki so bili nepravilno posredovani tretjim osebam, zaradi kršitve varnosti Facebooka (Meta).

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.