• Twitter Social Icon
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram Social Icon

Projekt: 2019 Michał Nosowski, Toruń. 

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

Czym jest Cloud Act i czy trzeba się go bać?

11.18.2019

 

Parę lat temu w USA złapano jakiegoś groźnego przestępcę i prowadzono przeciwko niemu postępowanie karne. Ten człowiek korzystał z usług poczty elektronicznej Microsoftu. Jego dane,  w tym treść wiadomości elektronicznych były zapisane na serwerach, które znajdowały się w Irlandii i formalnie rzecz biorąc, nie były przechowywane się na terenie USA. Sąd w Nowym Jorku wydał nakaz, który zobowiązywał Microsoft do przekazania wszystkich danych dotyczących tego złego człowieka do FBI. Microsoft przekazał tę część, którą miał w Stanach, odmówił jednak przekazania treści wiadomości e-mail, które znajdowały się na terenie Irlandii.

 

Dlaczego Microsoft odmówił przekazania danych?

 

Bo Microsoft uznał, że amerykański sąd nie ma jurysdykcji w zakresie danych przechowywanych na serwerze w Irlandii. Doprowadziło to do sporu pomiędzy Microsoftem a FBI. Sprawy nie ułatwiał fakt, że przepisy, na których opierał się nakaz wydania, pochodziły z roku 1986 i nikt wtedy nie słyszał o jakichś usługach chmurowych (tzw. Stored Communications Act). O samej sprawie pisałem więcej tutaj. Finalnie, kwestia ta miała być rozstrzygnięta przez Sąd Najwyższy USA.

 

Ale nie była.

 

Nie była, bo różnego rodzaju agencje rządowe w USA były naprawdę niezadowolone z faktu, że prywatna korporacja odmawia im udzielenia jakichś informacji. Niezadowoleni byli również politycy, którzy stwierdzili, że coś z tym trzeba zrobić i wymyślili projekt ustawy, która nakazywała będzie przekazywanie danych niezależnie od tego gdzie są one przechowywane. Podobno chęć uniknięcia takich sytuacji w przyszłości była tak wielka, że przy stworzeniu projektu ustawy współpracowali zarówno demokraci jak i republikanie. Przeciwne regulacji były natomiast amerykańskie korporacje działające w branży IT. Oczywiście to nic nie dało i Cloud Act został uchwalony. Wszedł w życie 23 marca 2019 r., w związku z czym Sąd Najwyższy USA nie musiał już rozpoznawać sprawy Microsoftu – bo ten po prostu nie miał wyjścia i musiał przekazać wszystko do FBI.

 

Żeby było jasne: w USA się wkurzyli, bo jedna z korporacji powiedziała im, że amerykańskie organy takie jak FBI mają uzyskać nakaz wydania określonych informacji w sądzie innym niż sąd amerykański. Dlatego stworzyli prawo, które mówi jasno: jeśli jesteś amerykańską korporacją, to przekazujesz dane – nieważne gdzie one są.

 

Co wynika z Cloud Act?

 

Cloud Act ma dwa aspekty – ten bardziej znany oraz ten, o którym słyszy się u nas naprawdę niewiele😊 Pierwszy z nich został już całkiem nieźle opisany na różnych portalach zajmujących się prawem nowych technologii i sprowadza się właśnie do obowiązku przekazywania przez różne podmioty gospodarcze zarejestrowane w USA informacji na podstawie wydanego przez amerykański sąd nakazu. I dane te mają być przekazane niezależnie od tego w jakim kraju i na jakim serwerze amerykańska korporacja je przechowuje.

 

Główne założenie Cloud Act brzmi następująco: dostawcy usług świadczonych elektronicznie, takich jak usługi chmurowe, usługi związane z przechowywaniem informacji albo ich przekazywaniem (a więc również rozmaici pośrednicy) powinni ujawniać na żądanie amerykańskiego sądu informacje dotyczące użytkownika/subskrybenta świadczonej przez nich usługi, niezależnie od tego czy informacje były przechowywane na terenie USA czy też poza USA. To wszystko nie wymaga zgody czy też nawet wiedzy osoby, której dane dotyczą.

 

Kiedy korporacja może odmówić przekazania danych?

 

Technicznie rzecz biorąc, w treści ustawy znalazł się także pewnego rodzaju „wentyl bezpieczeństwa”, który może prowadzić do odmowy przekazania danych. W przypadku gdy dostawca usługi chmurowej otrzyma wezwanie do przekazania informacji amerykańskim organom ścigania, ma 14 dni na to, żeby się odwołać. Może przy tym powołać się na następujące kwestie:

  1. Fakt, że osoba, której dane dotyczą nie jest obywatelem USA i nie przebywa w USA,

  2. Fakt, że przekazanie danych mogłoby doprowadzić do naruszenia przepisów jakiegoś obcego państwa.

Mamy więc tu możliwość powołania się na to, że dane mogą dotyczyć osoby, która jest obywatelem Unii Europejskiej i jej dane podlegają ochronie na podstawie przepisów RODO. Tym samym przekazanie danych doprowadziłoby do tego, że amerykańska korporacja naraziłaby się europejskim organom nadzorczym, bo złamałaby zasady wynikające z RODO.

 

Przypomnę w tym miejscu tylko, że większość amerykańskich korporacji, które dostarczają usługi chmurowe na dużą skalę (oprócz Apple), przystąpiła do programu Tarcza Prywatności, o którym możecie przeczytać tutaj – a tym samym dobrowolnie zgodziła się na przestrzeganie europejskich zasad dotyczących przetwarzania danych osobowych w stosunku do użytkowników, którzy są obywatelami UE.

 

Ale to, że dostawca usług chmurowych złoży taki sprzeciw nie oznacza, że nie będzie musiał przekazać informacji o osobie do odpowiedniego amerykańskiego organu. O tym decyduje amerykański sąd, który ma bardzo dużą swobodę w podejmowaniu decyzji. Powinien on uwzględnić bowiem nie tylko istnienie regulacji dotyczących ochrony danych osobowych, ale także takie kwestie jak:

  1. interes USA i interes instytucji, która prowadzi śledztwo związane z koniecznością pozyskania informacji o danej osobie,

  2. wysokość kar, które mogą zostać nałożone na podmiot dostarczający usługi chmurowe w sytuacji gdy przekaże on dane niezgodnie z przepisami prawa obowiązującymi w kraju innym niż USA, chroniącymi dane dotyczące konkretnej osoby,

  3. miejsce przebywania i narodowość osoby, której dane mają podlegać przekazaniu oraz jego związki z USA,

  4. istotność danych dla prowadzonego śledztwa,

  5. możliwość uzyskania danych innymi środkami.

Nawet jeżeli więc sąd uzna, że rzeczywiście przekazanie danych doprowadzi do złamania regulacji dotyczących ochrony danych osobowych obowiązujących w innym niż USA kraju i podmiot świadczący usługi chmurowe zostanie ukarany za to finansowo, to i tak może nakazać wydania danych – np. w sytuacji gdy jest to ważne dla śledztwa albo wymaga tego bezpieczeństwo USA. Cloud Act daje tu więc amerykańskim sądom dużą swobodę i nie przewiduje absolutnej ochrony osób, które przekazują dane dostawcom usług chmurowych z USA.

 

Umowy pomiędzy USA a państwami trzecimi

 

Możliwość zawierania umów pomiędzy USA a innymi państwami, które dotyczą przekazywania danych to ten element regulacji Cloud Act, który jest z reguły pomijany i niewiele osób w Polsce o nim słyszało. Cloud Act umożliwia rządowi USA wchodzenie w specjalne porozumienia z rządami innych krajów, które umożliwiają wzajemną wymianę informacji zgromadzonych przez różnych dostawców usług chmurowych. Nie wszystkie kraje mogą taką umowę zawrzeć – to w USA będą decydowali czy dane państwo „się nadaje”, m.in. na podstawie tego jakie posiada regulacje w zakresie ochrony danych osobowych i zwalczania cyberprzestępczości. Do tego musi być państwem prawa, z odpowiednimi gwarancjami w zakresie przestrzegania praw obywatelskich. Konieczne jest także przyjęcie określonych zasad postępowania z danymi obywateli USA, uzyskanymi w ten sposób.

 

Dzięki umowie państwa, które zawarły umowę mogą, za pomocą uproszczonej procedury, uzyskiwać informacje o osobach, które korzystały z usług chmurowych świadczonych przez amerykańskich dostawców. Musi być to związane z prowadzeniem śledztw w związku z poważnymi przestępstwami i odbywać się pod nadzorem sądu.

 

Dodatkowo, umowa przewiduje także możliwość uproszczonego żądania przez organy ścigania z USA danych, które są przetwarzane przez dostawców usług chmurowych w tym państwie, które podpisało z USA taką umowę. To działa więc w dwie strony – łatwiej jest uzyskać dane od podmiotów, które działają na terenie USA, ale z drugiej strony trzeba się zobowiązać do tego, że organom z USA łatwiej będzie uzyskać dane od podmiotów, które działają na terenie państwa będącego drugą stroną umowy.

 

Na razie taką umowę podpisała z USA Wielka Brytania. Mówi się również o tym, że UE podpisze jedną, wspólną umowę w tym zakresie ze stanami. Oznaczało to będzie szerszy przepływ danych pomiędzy UE a USA.

 

Czy Cloud Act jest „zgodny z RODO”?

 

Niestety ale Cloud Act i RODO są ze sobą sprzeczne i nie za bardzo się lubią. Zwróciła na to uwagę Europejska Rada Ochrony Danych, która analizowała możliwość przekazywania danych amerykańskim organom przez dostawców usług chmurowych z pominięciem sądów i organów ścigania państw członkowskich UE. I wyszło im, że w niektórych sytuacjach takie przekazanie może być zgodne z prawem, ale to zdarzenia naprawdę wyjątkowe – np. gdy doszło do porwania i dostęp do danych (np. do skrzynki e-mail porywacza) jest potrzebny aby uratować jakąś osobę. Ale generalnie przekazywanie danych na podstawie indywidualnej decyzji sądu USA nie jest zgodne z RODO.

 

Dlaczego EROD uznał, że Cloud Act nie zapewnia zgodności z RODO?

 

Bo RODO wskazuje co do zasady na możliwość przekazywania danych podmiotom publicznym w sytuacji gdy jest to uregulowane w prawie państwa członkowskiego albo prawie unijnym. A Cloud Act nie jest ani prawem unijnym ani prawem kraju członkowskiego UE, więc nie może stanowić podstawy do przekazania danych osobowych. Pomimo tego, dostawca usługi chmurowej może być zmuszony do dokonania takiego przekazania! EROD wskazała również na problem związany z tym, że różne urzędy w UE i instytucje państwowe/unijne również korzystają z chmury z USA – a to stawia pod znakiem zapytania bezpieczeństwo danych przechowywanych przez agencje rządowe.

 

Coś jeszcze? Tak, firma z UE, która decyduje się na wybór dostawcy usługi chmurowej powinna wybrać taki podmiot, który będzie gwarantował przestrzeganie przepisów RODO. Ma bowiem status administratora danych, który musi wybrać taki podmiot przetwarzający, który zagwarantuje bezpieczeństwo danych i zgodność ich przetwarzania z przepisami.

 

Stąd już można dojść do wniosku, że dostawca z USA nie będzie w stanie tego zagwarantować, nawet jeśli zobowiązał się do przestrzegania postanowień programu Tarcza Prywatności, czyli działania zgodnie z unijnymi zasadami przetwarzania danych osobowych.

 

I na tej podstawie można przeczytać głosy, że te przedsiębiorstwa, które korzystają z „amerykańskiej chmury”, takiej jak Amazon Web Services, Google Cloud albo Microsoft Azure, nie wspominając już o systemach do przechowywania danych takich jak Dropbox, powinny szukać nagle nowych dostawców, takich z terenu Unii Europejskiej – aby problem Cloud Act zniknął na dobre.

 

Takie rozwiązanie można proponować w sytuacji gdy nigdy nie wychodzi się zza biurka, a wszystkie dane trzyma na serwerze zamkniętym w szafie w przedpokoju. Niestety realia są takie, że zupełna rezygnacja z amerykańskich usług chmurowych w wielu przypadkach jest po prostu niemożliwa, albo zupełnie nieopłacalna z ekonomicznego punktu widzenia. Oczywiście, jeżeli korzysta się z chmury, to warto mieć „exit plan” na wypadek gdyby pojawiła się konieczność zrezygnowania z tej usługi – i to nie tylko ze względu na Cloud Act. Ale to nie oznacza, że trzeba od razu ten „exit plan” wdrożyć w życie i zacząć przenosić dane do innych dostawców.

 

W tym przypadku trzeba bowiem uwzględnić ryzyko związane z przekazywaniem danych dostawcom usług chmurowych. Podkreślam tutaj, że nawet Europejska Rada Ochrony Danych nie zaleca aby wycofywać się z wykorzystania chmury z USA. Wskazuje po prostu na to, że obecna sytuacja rodzi wątpliwości na gruncie RODO i wymaga podjęcia przez UE i USA rozmów w przedmiocie zawarcia umowy międzynarodowej, która te kwestie ureguluje. Taka umowa stanowiłaby podstawę do przekazywania danych, wynikającą bezpośrednio z prawa UE – a więc umożliwiałaby przekazywanie danych zgodnie z RODO.

 

Co o Cloud Act może nam powiedzieć historia programu Tarcza Prywatności?

 

Problemy z przekazywaniem danych do USA to nic nowego. Spójrzmy na to z perspektywy kilku lat działania programu Tarcza Prywatności – czyli tego, który wyznacza zasady przetwarzania danych obywateli UE przez amerykańskie korporacje, które zobowiązały się do przestrzegania unijnych zasad ochrony danych. Program funkcjonuje od trzech lat i oczywiście w związku z jego istnieniem pojawiały się pytania dotyczące tego czy jest on wystarczający i odpowiednio zabezpiecza prawa obywateli UE. Pisałem o tym kilka razy i za każdym razem wniosek był podobny – pomimo tego, że program nie jest idealny, to dobrze, że działa a poszczególne aspekty ulegają poprawie.

 

Komisja Europejska również regularnie ocenia działanie programu, a ostatnia wersja oceny pojawiła się w październiku 2019 r. – już po uchwaleniu Cloud Act. I co Komisja napisała? Generalnie rzecz biorąc program Tarcza Prywatności działa i ma się coraz lepiej. więcej firm realnie stosuje się do tych zasad, umożliwiając osobom których dane dotyczą np. dostęp do danych. Realnie funkcjonuje też możliwość składania skarg na nieprawidłowe przetwarzanie danych osobowych obywateli UE. Czytając raport można więc stwierdzić, że podmioty z USA są coraz bliżej zgodności z RODO, a nie coraz dalej.

 

Przy okazji: zanim pojawił się Cloud Act, wielu dostawców usług chmurowych z USA i tak mogło być zobowiązanych do przekazania danych amerykańskim organom ścigania. Po prostu dane obejmowały tylko to, co było zapisane na serwerach w USA, a nie np. w Irlandii. Mimo to, podmioty z UE korzystały z tej chmury, opierając się właśnie na tym, że dostawcy usług przystąpili do programu Tarcza Prywatności. To oczywiście nie było (i nie jest) zgodne z RODO – ale jednak takie działania miały miejsce. Komisja Europejska we wcześniejszych raportach zwracała uwagę na problemy związane z działalnością organów ścigania w kontekście funkcjonowania Tarczy, ale finalnie stwierdzała zawsze, że mimo to Tarcza działa i spełnia swoje zadanie – tzn. zapewnia odpowiedni poziom ochrony danych obywateli UE.

 

Podsumowanie. Czy można korzystać z chmury z USA?

 

Po co o tym wszystkim piszę? Po prostu problemy w kwestii ochrony prywatności związane z przetwarzaniem danych przez amerykańskich gigantów internetowych istnieją od lat i Cloud Act tak naprawdę jest kolejnym klockiem tej budowli. Nie chcę tutaj mówić, że Cloud Act jest krystaliczny jak łza i nie wiąże się z żadnym zagrożeniem dla prywatności osób z UE, bo tak nie jest. Ale deklaracje o konieczności zmiany dostawców chmurowych z uwagi na niezgodność usług chmurowych z USA z RODO uważam za mocno przesadzone, zwłaszcza jeśli podmiot je świadczący jest członkiem programu Tarcza Prywatności.

 

Jasne, że teoretycznie jest możliwe, że jacyś nadgorliwi urzędnicy z któregoś z unijnych organów nadzorczych uznają, że korzystanie z chmury jest niezgodne z RODO właśnie z uwagi na Cloud Act. Ale powiedzmy sobie szczerze, tę kwestię definitywnie może rozstrzygnąć jedynie Trybunał Sprawiedliwości Unii Europejskiej, a póki tego nie zrobi, uważam, że z chmury z USA można korzystać. Oczywiście, trzeba mieć na uwadze pewne ryzyko z tym związane, ale to ryzyko istnieje od lat i jest związane także z istnieniem programu Tarcza Prywatności, wcześniejszego programu Bezpieczna Przystań (uznanego finalnie za niespełniający wymogów UE w zakresie zabezpieczania interesów obywatel krajów członkowskich). Pomimo tego usługi chmurowe działają a większość dostawców stara się być zgodnym z unijnymi regulacjami dotyczącymi ochrony danych.

 

Dodatkowo zwracam uwagę na to, że jeśli Unia Europejska zawrze z USA umowę dotyczącą przekazywania danych na podstawie Cloud Act, to w prawie UE pojawi się wyraźna podstawa prawna do przekazywania danych organom w USA – a tym samym wszystkie opisywane tu wątpliwości znikną. I nie ukrywam, że na ten moment właśnie na to liczę.

 

 

Share on Facebook
Share on Twitter
Please reload

Please reload

Michał Nosowski
Radca prawny

 

Jestem prawnikiem i zajmuję się tym jak regulacje prawne przenikają się z nowymi technologiami. Dlatego często współpracuję z programistami, osobami zajmującymi się marketingiem i ludźmi, którzy tworzą innowacyjne biznesy. Moim celem jest tłumaczenie jak w przystępny sposób dostosować swój nowatorski biznes do przepisów prawa, a przy okazji nie zatrzymać jego rozwoju.

Istotne jest dla mnie to, aby to co tu publikuję było jasne i czytelne nie tylko dla innych prawników. Dlatego nie zamieszczam tu nudnych analiz poszczególnych przepisów, setek orzeczeń albo fragmentów opasłych komentarzy. Chcę być zrozumiałym dla Ciebie i wierzę, że o prawie można mówić z uśmiechem na twarzy.

O czym piszę najczęściej? O ochronie danych osobowych, umowach w IT, prawnych regulacjach prowadzenia działalności gospodarczej i tych przepisach, które dotyczą działalności w sieci. Czasem wspomnę coś o kryptowalutach albo praniu pieniędzy. Poza tym zajmuję się prawną obsługą biznesu, wdrażam RODO, prowadzę audyty z ochrony danych osobowych, a czasem także szkolę.

Jeśli chcesz się ze mną skontaktować, napisz na: kontakt@mnosowski.pl