Parę lat temu w USA złapano jakiegoś groźnego przestępcę i prowadzono przeciwko niemu postępowanie karne. Ten człowiek korzystał z usług poczty elektronicznej Microsoftu. Jego dane, w tym treść wiadomości elektronicznych były zapisane na serwerach, które znajdowały się w Irlandii i formalnie rzecz biorąc, nie były przechowywane się na terenie USA. Sąd w Nowym Jorku wydał nakaz, który zobowiązywał Microsoft do przekazania wszystkich danych dotyczących tego złego człowieka do FBI. Microsoft przekazał tę część, którą miał w Stanach, odmówił jednak przekazania treści wiadomości e-mail, które znajdowały się na terenie Irlandii.
Dlaczego Microsoft odmówił przekazania danych?
Bo Microsoft uznał, że amerykański sąd nie ma jurysdykcji w zakresie danych przechowywanych na serwerze w Irlandii. Doprowadziło to do sporu pomiędzy Microsoftem a FBI. Sprawy nie ułatwiał fakt, że przepisy, na których opierał się nakaz wydania, pochodziły z roku 1986 i nikt wtedy nie słyszał o jakichś usługach chmurowych (tzw. Stored Communications Act). O samej sprawie pisałem więcej tutaj. Finalnie, kwestia ta miała być rozstrzygnięta przez Sąd Najwyższy USA.
Ale nie była.
Nie była, bo różnego rodzaju agencje rządowe w USA były naprawdę niezadowolone z faktu, że prywatna korporacja odmawia im udzielenia jakichś informacji. Niezadowoleni byli również politycy, którzy stwierdzili, że coś z tym trzeba zrobić i wymyślili projekt ustawy, która nakazywała będzie przekazywanie danych niezależnie od tego gdzie są one przechowywane. Podobno chęć uniknięcia takich sytuacji w przyszłości była tak wielka, że przy stworzeniu projektu ustawy współpracowali zarówno demokraci jak i republikanie.
Przeciwne regulacji były natomiast amerykańskie korporacje działające w branży IT. Oczywiście to nic nie dało i Cloud Act został uchwalony. Wszedł w życie 23 marca 2019 r., w związku z czym Sąd Najwyższy USA nie musiał już rozpoznawać sprawy Microsoftu – bo ten po prostu nie miał wyjścia i musiał przekazać wszystko do FBI.
Żeby było jasne: w USA się wkurzyli, bo jedna z korporacji powiedziała im, że amerykańskie organy takie jak FBI mają uzyskać nakaz wydania określonych informacji w sądzie innym niż sąd amerykański. Dlatego stworzyli prawo, które mówi jasno: jeśli jesteś amerykańską korporacją, to przekazujesz dane – nieważne gdzie one są.
Co wynika z Cloud Act?
Cloud Act ma dwa aspekty – ten bardziej znany oraz ten, o którym słyszy się u nas naprawdę niewiele😊 Pierwszy z nich został już całkiem nieźle opisany na różnych portalach zajmujących się prawem nowych technologii i sprowadza się właśnie do obowiązku przekazywania przez różne podmioty gospodarcze zarejestrowane w USA informacji na podstawie wydanego przez amerykański sąd nakazu. I dane te mają być przekazane niezależnie od tego w jakim kraju i na jakim serwerze amerykańska korporacja je przechowuje.
Główne założenie Cloud Act brzmi następująco: dostawcy usług świadczonych elektronicznie, takich jak usługi chmurowe, usługi związane z przechowywaniem informacji albo ich przekazywaniem (a więc również rozmaici pośrednicy) powinni ujawniać na żądanie amerykańskiego sądu informacje dotyczące użytkownika/subskrybenta świadczonej przez nich usługi, niezależnie od tego czy informacje były przechowywane na terenie USA czy też poza USA. To wszystko nie wymaga zgody czy też nawet wiedzy osoby, której dane dotyczą.
Kiedy korporacja może odmówić przekazania danych?
Technicznie rzecz biorąc, w treści ustawy znalazł się także pewnego rodzaju „wentyl bezpieczeństwa”, który może prowadzić do odmowy przekazania danych. W przypadku gdy dostawca usługi chmurowej otrzyma wezwanie do przekazania informacji amerykańskim organom ścigania, ma 14 dni na to, żeby się odwołać. Może przy tym powołać się na następujące kwestie:
Fakt, że osoba, której dane dotyczą nie jest obywatelem USA i nie przebywa w USA,
Fakt, że przekazanie danych mogłoby doprowadzić do naruszenia przepisów jakiegoś obcego państwa.
Mamy więc tu możliwość powołania się na to, że dane mogą dotyczyć osoby, która jest obywatelem Unii Europejskiej i jej dane podlegają ochronie na podstawie przepisów RODO. Tym samym przekazanie danych doprowadziłoby do tego, że amerykańska korporacja naraziłaby się europejskim organom nadzorczym, bo złamałaby zasady wynikające z RODO.
Przypomnę w tym miejscu tylko, że większość amerykańskich korporacji, które dostarczają usługi chmurowe na dużą skalę (oprócz Apple), przystąpiła do programu Tarcza Prywatności, o którym możecie przeczytać tutaj – a tym samym dobrowolnie zgodziła się na przestrzeganie europejskich zasad dotyczących przetwarzania danych osobowych w stosunku do użytkowników, którzy są obywatelami UE.
Ale to, że dostawca usług chmurowych złoży taki sprzeciw nie oznacza, że nie będzie musiał przekazać informacji o osobie do odpowiedniego amerykańskiego organu. O tym decyduje amerykański sąd, który ma bardzo dużą swobodę w podejmowaniu decyzji. Powinien on uwzględnić bowiem nie tylko istnienie regulacji dotyczących ochrony danych osobowych, ale także takie kwestie jak:
interes USA i interes instytucji, która prowadzi śledztwo związane z koniecznością pozyskania informacji o danej osobie,
wysokość kar, które mogą zostać nałożone na podmiot dostarczający usługi chmurowe w sytuacji gdy przekaże on dane niezgodnie z przepisami prawa obowiązującymi w kraju innym niż USA, chroniącymi dane dotyczące konkretnej osoby,
miejsce przebywania i narodowość osoby, której dane mają podlegać przekazaniu oraz jego związki z USA,
istotność danych dla prowadzonego śledztwa,
możliwość uzyskania danych innymi środkami.
Nawet jeżeli więc sąd uzna, że rzeczywiście przekazanie danych doprowadzi do złamania regulacji dotyczących ochrony danych osobowych obowiązujących w innym niż USA kraju i podmiot świadczący usługi chmurowe zostanie ukarany za to finansowo, to i tak może nakazać wydania danych – np. w sytuacji gdy jest to ważne dla śledztwa albo wymaga tego bezpieczeństwo USA. Cloud Act daje tu więc amerykańskim sądom dużą swobodę i nie przewiduje absolutnej ochrony osób, które przekazują dane dostawcom usług chmurowych z USA.
Umowy pomiędzy USA a państwami trzecimi
Możliwość zawierania umów pomiędzy USA a innymi państwami, które dotyczą przekazywania danych to ten element regulacji Cloud Act, który jest z reguły pomijany i niewiele osób w Polsce o nim słyszało. Cloud Act umożliwia rządowi USA wchodzenie w specjalne porozumienia z rządami innych krajów, które umożliwiają wzajemną wymianę informacji zgromadzonych przez różnych dostawców usług chmurowych. Nie wszystkie kraje mogą taką umowę zawrzeć – to w USA będą decydowali czy dane państwo „się nadaje”, m.in. na podstawie tego jakie posiada regulacje w zakresie ochrony danych osobowych i zwalczania cyberprzestępczości. Do tego musi być państwem prawa, z odpowiednimi gwarancjami w zakresie przestrzegania praw obywatelskich. Konieczne jest także przyjęcie określonych zasad postępowania z danymi obywateli USA, uzyskanymi w ten sposób.
Dzięki umowie państwa, które zawarły umowę mogą, za pomocą uproszczonej procedury, uzyskiwać informacje o osobach, które korzystały z usług chmurowych świadczonych przez amerykańskich dostawców. Musi być to związane z prowadzeniem śledztw w związku z poważnymi przestępstwami i odbywać się pod nadzorem sądu.
Dodatkowo, umowa przewiduje także możliwość uproszczonego żądania przez organy ścigania z USA danych, które są przetwarzane przez dostawców usług chmurowych w tym państwie, które podpisało z USA taką umowę. To działa więc w dwie strony – łatwiej jest uzyskać dane od podmiotów, które działają na terenie USA, ale z drugiej strony trzeba się zobowiązać do tego, że organom z USA łatwiej będzie uzyskać dane od podmiotów, które działają na terenie państwa będącego drugą stroną umowy.
Na razie taką umowę podpisała z USA Wielka Brytania. Mówi się również o tym, że UE podpisze jedną, wspólną umowę w tym zakresie ze stanami. Oznaczało to będzie szerszy przepływ danych pomiędzy UE a USA.
Czy Cloud Act jest „zgodny z RODO”?
Niestety ale Cloud Act i RODO są ze sobą sprzeczne i nie za bardzo się lubią. Zwróciła na to uwagę Europejska Rada Ochrony Danych, która analizowała możliwość przekazywania danych amerykańskim organom przez dostawców usług chmurowych z pominięciem sądów i organów ścigania państw członkowskich UE. I wyszło im, że w niektórych sytuacjach takie przekazanie może być zgodne z prawem, ale to zdarzenia naprawdę wyjątkowe – np. gdy doszło do porwania i dostęp do danych (np. do skrzynki e-mail porywacza) jest potrzebny aby uratować jakąś osobę. Ale generalnie przekazywanie danych na podstawie indywidualnej decyzji sądu USA nie jest zgodne z RODO.
Dlaczego EROD uznał, że Cloud Act nie zapewnia zgodności z RODO?
Bo RODO wskazuje co do zasady na możliwość przekazywania danych podmiotom publicznym w sytuacji gdy jest to uregulowane w prawie państwa członkowskiego albo prawie unijnym. A Cloud Act nie jest ani prawem unijnym ani prawem kraju członkowskiego UE, więc nie może stanowić podstawy do przekazania danych osobowych. Pomimo tego, dostawca usługi chmurowej może być zmuszony do dokonania takiego przekazania! EROD wskazała również na problem związany z tym, że różne urzędy w UE i instytucje państwowe/unijne również korzystają z chmury z USA – a to stawia pod znakiem zapytania bezpieczeństwo danych przechowywanych przez agencje rządowe.
Coś jeszcze? Tak, firma z UE, która decyduje się na wybór dostawcy usługi chmurowej powinna wybrać taki podmiot, który będzie gwarantował przestrzeganie przepisów RODO. Ma bowiem status administratora danych, który musi wybrać taki podmiot przetwarzający, który zagwarantuje bezpieczeństwo danych i zgodność ich przetwarzania z przepisami.
Stąd już można dojść do wniosku, że dostawca z USA nie będzie w stanie tego zagwarantować, nawet jeśli zobowiązał się do przestrzegania postanowień programu Tarcza Prywatności, czyli działania zgodnie z unijnymi zasadami przetwarzania danych osobowych.
I na tej podstawie można przeczytać głosy, że te przedsiębiorstwa, które korzystają z „amerykańskiej chmury”, takiej jak Amazon Web Services, Google Cloud albo Microsoft Azure, nie wspominając już o systemach do przechowywania danych takich jak Dropbox, powinny szukać nagle nowych dostawców, takich z terenu Unii Europejskiej – aby problem Cloud Act zniknął na dobre.
Takie rozwiązanie można proponować w sytuacji gdy nigdy nie wychodzi się zza biurka, a wszystkie dane trzyma na serwerze zamkniętym w szafie w przedpokoju. Niestety realia są takie, że zupełna rezygnacja z amerykańskich usług chmurowych w wielu przypadkach jest po prostu niemożliwa, albo zupełnie nieopłacalna z ekonomicznego punktu widzenia. Oczywiście, jeżeli korzysta się z chmury, to warto mieć „exit plan” na wypadek gdyby pojawiła się konieczność zrezygnowania z tej usługi – i to nie tylko ze względu na Cloud Act. Ale to nie oznacza, że trzeba od razu ten „exit plan” wdrożyć w życie i zacząć przenosić dane do innych dostawców.
W tym przypadku trzeba bowiem uwzględnić ryzyko związane z przekazywaniem danych dostawcom usług chmurowych. Podkreślam tutaj, że nawet Europejska Rada Ochrony Danych nie zaleca aby wycofywać się z wykorzystania chmury z USA. Wskazuje po prostu na to, że obecna sytuacja rodzi wątpliwości na gruncie RODO i wymaga podjęcia przez UE i USA rozmów w przedmiocie zawarcia umowy międzynarodowej, która te kwestie ureguluje. Taka umowa stanowiłaby podstawę do przekazywania danych, wynikającą bezpośrednio z prawa UE – a więc umożliwiałaby przekazywanie danych zgodnie z RODO.
Co o Cloud Act może nam powiedzieć historia programu Tarcza Prywatności?
Aktualizacja 2022:
Program Tarcza Prywatności został unieważniony przez Trybunał Sprawiedliwości Unii Europejskiej. TSUE uznał bowiem, że amerykański system prawa nie spełnia europejskich standardów dotyczących ochrony danych. Chodziło głównie właśnie o przepisy, które przyznają dość szeroki dostęp amerykańskim służbom do danych osób spoza USA.
Obejmuje to m.in. dostęp do tego co trzymają dostawcy usług IT na swoich serwerach. I choć Cloud Act nie został bezpośrednio przywołany w wyroku TSUE (wspomniano np. o przepisach FISA 702 czy też Executive Orders 12333) to trzeba przyznać, że przepisy Cloud Act idealnie wpasowują się w zarzuty TSUE.
Skoro program Tarcza Prywatności został unieważniony to najczęściej wykorzystywaną podstawą prawną do przekazywania danych do USA są tzw. Standardowe Klauzule Umowne (SCC). To taki specjalny wzór umowy, zaakceptowany przez Komisję Europejską, który powinny zaakceptować obie strony transferu - ta z UE i ta z państwa trzeciego. Wzór ten ma w założeniu sprawiać, że podmiot z kraju trzeciego będzie spełniał wymogi wynikające z RODO, tak aby dane po jego stronie były bezpieczne.
Natomiast ich wykorzystanie też jest problematyczne, bo i TSUE i Europejska Rada Ochrony Danych przyjęły dość rygorystyczne wymogi dot. możliwości ich zastosowania. W skrócie można je sprowadzić do tego, że:
Jeśli podmiot z UE chce przekazać dane do jakiegoś kraju trzeciego na podstawie Standardowych Klauzul Umownych, to i tak musi zbadać to czy system prawny takiego kraju umożliwia zastosowanie zasad dot. ochrony danych, wynikających z RODO - są one też odzwierciedlone w samych klauzulach umownych.
Z drugiej strony ten sam TSUE wskazał w swoim wyroku, że USA tych standardów nie spełnia. To zaś oznacza, że przekazywanie danych do Stanów Zjednoczonych na podstawie Standardowych Klauzul Umownych może być uznane za niezgodne z RODO - takie decyzje były zresztą wydawane, np. austriacki organ nadzorczy uznał tak w kontekście korzystania z Google Analytics.
Podsumowanie. Czy można korzystać z chmury z USA?
Po co o tym wszystkim piszę? Po prostu problemy w kwestii ochrony prywatności związane z przetwarzaniem danych przez amerykańskich gigantów internetowych istnieją od lat i Cloud Act tak naprawdę jest kolejnym klockiem tej budowli. Nie chcę tutaj mówić, że Cloud Act jest krystaliczny jak łza i nie wiąże się z żadnym zagrożeniem dla prywatności osób z UE, bo tak nie jest. Ani Cloud Act, ani Schrems II nie sprawiły, że klienci z UE przestali korzystać z USA. Problem ten może zostać rozwiązany na poziomie politycznym. Z perspektywy klienta z UE, rozwiązaniem może być ew. wybranie dostawcy z UE, jeśli w ogóle jest jakaś alternatywa dla usług z USA.
Dodatkowo zwracam uwagę na to, że jeśli Unia Europejska zawrze z USA umowę dotyczącą przekazywania danych na podstawie Cloud Act, to w prawie UE pojawi się wyraźna podstawa prawna do przekazywania danych organom w USA – a tym samym wszystkie opisywane tu wątpliwości znikną. I nie ukrywam, że na ten moment właśnie na to liczę.
Korzystasz z usług chmurowych z USA i masz wątpliwości prawne z tym związane? W takim wypadku możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.
