W Sądzie Najwyższym USA toczy się sprawa dotycząca możliwości żądania przez amerykańskich prokuratorów wglądu do wiadomości e-mail osoby oskarżonej o handel narkotykami. Wiadomości te zapisane są na serwerach Microsoftu.
O co chodzi? Handlarz narkotyków założył sobie skrzynkę pocztową na serwerze Microsoftu. Korzystał następnie z tej skrzynki w celu prowadzenia swojej przestępczej działalności. A przynajmniej tak podejrzewają amerykańskie organy ścigania. Przeciwko temu handlarzowi toczy się bowiem śledztwo, prowadzone przez amerykańskich prokuratorów. Aby znaleźć dowody na nielegalną działalność podejrzanego, zażądali od Microsoftu przekazania korespondencji mailowej domniemanego handlarza. Korporacja odmówiła przekazania danych, wskazując, że podważa to zaufanie użytkowników do świadczonych przez nich usług chmurowych.
Sprawa byłaby prostsza, gdyby nie fakt, że wiadomości e-mail znajdują się na serwerze Microsoftu znajdującym się w Irlandii. W takim przypadku dane te podlegają ochronie, którą zapewnia prawo irlandzkie, jak i prawo Unii Europejskiej. Dlatego też sąd pierwszej instancji uznał skargę Microsoftu za zasadną i wskazał, że amerykańskie organy ścigania nie mogą żądać danych, które znajdują się poza USA bez uwzględnienia prawa państw, w których się znajdują.
Dlatego kilka dni temu również Unia Europejska zabrała głos w tej sprawie, kierując pismo do Sądu Najwyższego USA. Można się z nim zapoznać tutaj. W samej treści pisma wskazano, że żądanie amerykańskich organów ścigania powinno zostać rozpoznane z uwzględnieniem unijnych regulacji, dotyczących kwestii ochrony prywatności danych. Ponadto, ewentualne rozstrzygnięcie powinno brać pod uwagę międzynarodowe traktaty dotyczące przekazywania danych osobowych. W innym przypadku bowiem może dojść do sytuacji, gdy obszar działania prawa USA zostanie rozciągnięty na inne kraje, co stanowiłoby niedopuszczalną ingerencję w międzynarodowe normy jurysdykcyjne.
Dlaczego to takie ważne? Bo obecnie w bazach danych amerykańskich korporacji przechowywane są dane (i to dużo naprawdę osobistych danych) miliardów ludzi. I nie będzie dobrze, gdy absolutny dostęp do tych danych uzyska jedno państwo, bez oglądania się na reguły obowiązujące w innych krajach. Dlatego w RODO mamy bardzo szerokie uregulowanie dotyczące tego, kto jest administratorem danych i wcale nie musi być to podmiot, którego siedziba znajduje się w Unii Europejskiej. Celem takiej regulacji jest właśnie m.in. zapewnienie bezpieczeństwa osobom, których dane znajdują się w rękach wielkich korporacji, oferujących swoje usługi w UE, ale mających siedzibę w innych krajach.
Przyznam, że z niecierpliwością będę oczekiwał na rozstrzygnięcie Sądu Najwyższego USA. Oczywiście jak się tylko pojawi – opiszę to na blogu!