Americký CLOUD Act vs. GDPR

abstract-1278061_1920.jpg

Na základe daného predpisu je možné, aby americké orgány činné v trestnom konaní žiadali americké súdy o sprístupnenie údajov od poskytovateľov elektronických komunikačných služieb alebo tzv. remote computing service providers bez ohľadu na to, či sa dané informácie / údaje / komunikácia fyzicky nachádzajú v Spojených štátoch alebo nie ("pravidlo"). Konkrétne ide o ustanovenie § 2713:

Required preservation and disclosure of communications and records

“A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.”

Pravidlo by sa malo vzťahovať primárne na americké spoločnosti, avšak nie je úplne vylúčený aj taký výklad, že sa by malo vzťahovať aj na európske spoločnosti (obdobne ako sa GDPR môže vzťahovať na americké). Totiž výnimka z daného pravidla naznačuje, že CLOUD Act by sa mal vzťahovať aj na zahraničné spoločnosti, nakoľko sa podľa nej pravidlo neuplatní, ak by prístup k údajom nebol v súlade s právom štátu, s ktorými majú Spojené štáty uzavretú bilaterálnu dohodu. Zároveň sa podľa danej výnimky zdá, že pravidlo by sa malo vzťahovať len na amerických občanov / rezidentov. 

V tejto súvislosti sa preto vyskytla zaujímavá otázka: 

Je vôbec sprístupnenie údajov v zmysle CLOUD Act v súlade s GDPR?

Stanovisko Výboru a Dozorného úradníka 

CLOUD Act samozrejme nepotešil európske inštitúcie. Dňa 10. júla 2019 Výbor a Dozorný úradník vydali spoločné predbežné stanovisko s priloženou právnou analýzou. V úvode stanoviska Výbor a Dozorný úradník (celkom správne) konštatujú, týmto predpisom americký kongres de facto obchádza (bypass) tzv. Mutual Legal Assistance Treaty medzi Spojenými štátmi a EÚ, podľa ktorej cesta k údajom uloženým v EÚ vedie cez schvaľovací proces vnútroštátnych justičných orgánov a nevedie priamo k súkromným spoločnostiam. Tento proces je prirodzene zdĺhavý, neefektívny a konečnom dôsledku nemusí viesť k poskytnutiu údajov. 

Následne podľa stanoviska existujú dva prístupy podľa GDPR, ktoré je potrebné v tomto smere analyzovať. Prvým je spojenie právneho základu (poskytujúceho prevádzkovateľa) podľa čl. 6 GDPR a čl. 48 GDPR (vykonateľnosť zahraničných rozhodnutí) a druhým je spojenie právneho základu podľa čl. 6 GDPR a čl. 49 GDPR (výnimky pre osobitné situácie). 

Je žiadosť podľa CLOUD Act vykonateľné rozhodnutie podľa čl. 48 GDPR? 

Zdá sa, že nie. Článok 48 GDPR  ráta s možnosťou vykonateľnosti cudzích súdnych rozhodnutí na základe medzinárodnej zmluvy (ako napr. Mutual Legal Assistance Treaty), ale takáto medzinárodná zmluva týkajúca sa výmeny údajov medzi USA a EÚ vo vzťahu ku CLOUD Act momentálne neexistuje. Poznamenávame, že podľa čl. 48 GDPR však môže existovať aj medzi USA a členským štátom. Stanovisko cituje názor Komisie z prípadu USA v. Microsoft Corporation:

„Článok 48 GDPR hovorí jasne, že príkaz zahraničného súdu ako taký nestačí na zákonný prenos údajov podľa GDPR.“ 

Bez hlbšieho skúmania sa však nevieme vyjadriť k otázke, či charakter týchto medzinárodných dohôd nemajú rôzne extradičné zmluvy, ktoré majú so Spojenými štátmi uzatvorené niektoré členské štáty jednotlivo (napr. Spojené Kráľovstvo) prípadne aký dopad na právny základ majú iné vnútroštátne právne normy. Tejto otázke sa stanovisko prirodzene nevenuje. Z pohľadu Únijného práva však aktuálne neexistuje medzinárodná dohoda, ktorá by legitimizovala prenosy údajov na len základe žiadosti amerických orgánov podľa CLOUD Act. Podľa stanoviska preto pri žiadostiach podľa CLOUD Act musí na strane spoločnosti zamýšľajúcej poskytnúť údaje existovať v prvom rade: (i) právny základ podľa článku 6 GDPR a zároveň (ii) musí byť splnená jedna z podmienok prenosu podľa článku 49 GDPR.

Právny základ podľa čl. 6 GDPR 

V stanovisku sa vyhodnocujú štyri právne základy pre diskutovaný prípad:

  • splnenie zákonnej povinnosti podľa článku 6 ods. 1 písm. c) GDPR;

  • ochrana životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby podľa článku 6 ods. 1 písm. d) GDPR;

  • úloha vo verejnom záujme podľa 6 ods. 1 písm. e) GDPR; a

  • oprávnený záujem podľa článku 6 ods. 1 písm. f) GDPR.  

Podľa Výboru a Dozorného úradníka by bol právny základ zákonnej povinnosti použiteľný iba v prípade, ak by existovala medzinárodná zmluva v zmysle článku 48 GDPR. Podobne sa vyjadrila aj Európska komisia. Právny základ ochrany životne dôležitých záujmov je podľa stanoviska vhodný iba vo výnimočných prípadoch (ako napr. únos maloletého) avšak nemožno sa neho spoliehať vo všetkých prípadoch aj vzhľadom na to, že existuje vhodnejší právny základ v podobe uzavretia medzinárodnej zmluvy. Verejný záujem údajne neprichádza do úvahy, keďže v tomto prípade ide o záujem tretej krajiny a nie krajiny Európskej únie. V prípade oprávneného záujmu Výbor a Dozorný úradník zaujali pozíciu, že oprávnený záujem nepreváži nad právami, slobodami a záujmami dotknutých osôb.  

Aktuálny výklad v zmysle Unijného práva by preto mal znamenať, že bez medzinárodnej dohody medzi Spojenými štátmi a EÚ by nemali spoločnosti na ktoré sa vzťahuje GDPR žiadostiam podľa CLOUD Act vyhovieť z dôvodu absencie právneho základu spracúvania podľa čl. 6 ods. 1 písm. c) GDPR. 

Podmienky cezhraničného prenosu podľa čl. 49 GDPR 

V stanovisku sú posudzované vybrané podmienky cezhraničných prenosov podľa čl. 49 GDPR, konkrétne: 

  • verejný záujem podľa článku 49 ods. 1 písm. d) GDPR;

  • preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov podľa článku 49 ods. 1 písm. e) GDPR;

  • ochrana životne dôležitých záujmov dotknutej osoby alebo iných osôb, ak je dotknutá osoba fyzicky alebo právne nespôsobilá vyjadriť súhlas podľa článku 49 ods. 1 písm. f) GDPR; a

  • závažné oprávnené záujmy podľa článku 49 ods. 1 GDPR (posledný odsek). 

Podľa stanoviska prichádzajú do úvahy prakticky len dve vyššie zvýraznené podmienky. Pri použití právneho základu preukazovania, uplatňovania alebo obhajovania právnych nárokov sa vyžaduje úzka spojitosť medzi konaním a osobnými údajmi a tento právny základ nie je možné použiť pri možnosti (mere possibility) budúceho súdneho konania. Jediným teoreticky použiteľným režimom by bol čl. 49 ods. 1 písm. f) GDPR, ktorého plošné využitie je vylúčené: „prenos je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby alebo iných osôb, ak je dotknutá osoba fyzicky alebo právne nespôsobilá vyjadriť súhlas“. Ostatné podmienky sú v zásade odmietnuté z obdobných dôvodov ako pri článku 6 GDPR aj s prihliadnutím na to, čl. 49 GDPR by mal poskytovať vyššiu ochranu pred cezhraničným prenosmi ako čl. 6 GDPR. 

Závery a odporúčania

Z pohľadu Únijného práva sa zatiaľ zdá, že existuje len veľmi malý priestor na vyhovenie žiadosti podľa CLOUD Act spôsobom súladným s GDPR. Malo by ísť v zásade o tak výnimočné situácie, že plošné odpovedanie je prakticky vylúčené. Situácia sa môže zmeniť v prípade uzavretia bilaterálnej dohody medzi EÚ a Spojenými štátmi, ktorá je v súčasnosti predmetom vyjednávaní.  

Ako vieme z praxe, už pôsobnosť GDPR je veľmi otázna. V spojitosti so skupinovými spoločnosťami, cezhraničnými prenosmi a pôsobnosťou pravidiel CLOUD Act je v zásade isté, že žiadosti podľa CLOUD Act spôsobia spoločnostiam veľké výkladové problémy. V neposlednom rade je potrebné zobrať do úvahy špecifiká rôznych vnútroštátnych právnych poriadkov, ktoré stanovisko neberie do úvahy. 

Spoločnosti, ktoré sú prítomné v USA a EÚ by preto mali: 

  1. Identifikovať prieniky pôsobnosti CLOUD Act a GDPR na ich biznis (t.j. o aké dáta by teoreticky mohlo ísť); 

  2. Identifikovať medzinárodné dohody medzi členskými štátmi a USA, prípadne iné vnútroštátne právne predpisy, ktoré by mohli meniť závery vyplývajúce zo stanoviska; a následne

  3. Zamyslieť sa, či je možné existujúce procesy preventívne upraviť tak, aby bol dopad žiadostí podľa CLOUD Act na organizáciu a dotknuté osoby minimalizovaný.

Páčil sa Vám tento článok?

Jakub.png
Jakub Berthoty

Advokát a zakladateľ

Jakub je autorom a realizátorom myšlienky advokátskej kancelárie úzko špecializovanej na oblasť súkr... Zobraziť viac

Kontaktujte nás

Neváhajte nás kontaktovať. Naši odborníci sú vám k dispozícii.

Spojte sa s nami pre zaslanie ponuky k službe

Súvisiace príspevky

  • kniha dagital.png
    Auto-kamery a pixelovanie ŠPZ?

    Nemecký správny súd riešil zaujímavý prípad týkajúci sa používania auto-kamery a zverejňovania nahrávok z jázd na YouTube. Reagoval pritom na rozhodnutie dozorného orgánu, ktorý prikázal pixelovať ŠPZ na zverejnených nahrávkach alebo dané videá odstrániť. Súd zrušil len malú časť rozhodnutia, pričom jeho väčšinu potvrdil a rozoberá pritom aj viaceré praktické otázky aplikácie GDPR. Ak prevádzkujete auto-kameru, tento prípad by Vás mohol zaujímať.

  • foto s logom 4.png
    Čo je to priamy marketing?

    Možno sa Vám táto otázka môže zdať úplne banálna a dávno vyriešená. To isté sme si mysleli aj my posledných pár rokov. Vedzte však, že ak túto otázku položíte našim dvom regulátorom, zrejme nedostanete rovnaké odpovede. Naša nedávna skúsenosť potvrdzuje, že Úrad pre reguláciu tento pojem vykladá výrazne širšie ako Úrad na ochranu osobných údajov, čo môže v praxi spôsobovať vážne problémy.

  • BLOG6.jpeg
    Problémy Úradu na ochranu osobných údajov SR a ich riešenia

    Dňa 14. mája 2024 zverejnil Úrad na ochranu osobných údajov SR (ďalej len "Úrad") svoju výročnú správu za rok 2023. V tomto príspevku porovnáme túto výročnú správu s našou Správou o ochrane osobných údajov za rok 2023, ktorú sme publikovali dňa 22. februára 2024. Naša kancelária od roku 2020 vydáva svoje vlastné správy, pretože Úrad nezverejňuje svoje právoplatné rozhodnutia na svojom webom sídle. Od roku 2020 tiež sledujeme, ako Úrad v každej výročnej správe opakuje, že má málo zamestnancov, je v katastrofálnej personálnej situácii, je pred kolapsom a že mu pribúda agendy. V tomto duchu je opäť písaná aj posledná výročná správa. K tomu pribudla nová informácia, že Úrad sa má do konca roka 2024 vysťahovať z aktuálnych priestorov na Hraničnej ulici a objednal si v máji 2024 personálny audit. Ak teda samotný regulátor tvrdí, že má problémy a už tretia vláda mu nedokázala pomôcť, možno len nepoznáme riešenia. Tie však existujú a pokúsim sa ich v tomto príspevku navrhnúť.