Americký CLOUD Act vs. GDPR

Ut, 07/16/2019 - 17:20
American cloud act vs. gdpr personal data EU US

Spojené štáty v marci 2019 prijali na federálnej úrovni tzv. CLOUD Act, pričom skratka „CLOUD“ je v skutočnosti (a ironicky) skratkou „Clarifying Lawful Overseas Use of Data“. Ide o novelu existujúceho United States Code to improve law enforcement access to data stored across borders, and for other purposes, ktorá reaguje na posledný vývoj judikatúry v USA (prípad Microsoft).

Na základe daného predpisu je možné, aby americké orgány činné v trestnom konaní žiadali americké súdy o sprístupnenie údajov od poskytovateľov elektronických komunikačných služieb alebo tzv. remote computing service providers bez ohľadu na to, či sa dané informácie / údaje / komunikácia fyzicky nachádzajú v Spojených štátoch alebo nie ("pravidlo"). Konkrétne ide o ustanovenie § 2713:

Required preservation and disclosure of communications and records

“A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.”

Pravidlo by sa malo vzťahovať primárne na americké spoločnosti, avšak nie je úplne vylúčený aj taký výklad, že sa by malo vzťahovať aj na európske spoločnosti (obdobne ako sa GDPR môže vzťahovať na americké). Totiž výnimka z daného pravidla naznačuje, že CLOUD Act by sa mal vzťahovať aj na zahraničné spoločnosti, nakoľko sa podľa nej pravidlo neuplatní, ak by prístup k údajom nebol v súlade s právom štátu, s ktorými majú Spojené štáty uzavretú bilaterálnu dohodu. Zároveň sa podľa danej výnimky zdá, že pravidlo by sa malo vzťahovať len na amerických občanov / rezidentov. 

V tejto súvislosti sa preto vyskytla zaujímavá otázka: 

Je vôbec sprístupnenie údajov v zmysle CLOUD Act v súlade s GDPR?

Stanovisko Výboru a Dozorného úradníka 

CLOUD Act samozrejme nepotešil európske inštitúcie. Dňa 10. júla 2019 Výbor a Dozorný úradník vydali spoločné predbežné stanovisko s priloženou právnou analýzou. V úvode stanoviska Výbor a Dozorný úradník (celkom správne) konštatujú, týmto predpisom americký kongres de facto obchádza (bypass) tzv. Mutual Legal Assistance Treaty medzi Spojenými štátmi a EÚ, podľa ktorej cesta k údajom uloženým v EÚ vedie cez schvaľovací proces vnútroštátnych justičných orgánov a nevedie priamo k súkromným spoločnostiam. Tento proces je prirodzene zdĺhavý, neefektívny a konečnom dôsledku nemusí viesť k poskytnutiu údajov. 

Následne podľa stanoviska existujú dva prístupy podľa GDPR, ktoré je potrebné v tomto smere analyzovať. Prvým je spojenie právneho základu (poskytujúceho prevádzkovateľa) podľa čl. 6 GDPR a čl. 48 GDPR (vykonateľnosť zahraničných rozhodnutí) a druhým je spojenie právneho základu podľa čl. 6 GDPR a čl. 49 GDPR (výnimky pre osobitné situácie). 

Je žiadosť podľa CLOUD Act vykonateľné rozhodnutie podľa čl. 48 GDPR? 

Zdá sa, že nie. Článok 48 GDPR  ráta s možnosťou vykonateľnosti cudzích súdnych rozhodnutí na základe medzinárodnej zmluvy (ako napr. Mutual Legal Assistance Treaty), ale takáto medzinárodná zmluva týkajúca sa výmeny údajov medzi USA a EÚ vo vzťahu ku CLOUD Act momentálne neexistuje. Poznamenávame, že podľa čl. 48 GDPR však môže existovať aj medzi USA a členským štátom. Stanovisko cituje názor Komisie z prípadu USA v. Microsoft Corporation:

„Článok 48 GDPR hovorí jasne, že príkaz zahraničného súdu ako taký nestačí na zákonný prenos údajov podľa GDPR.“ 

Bez hlbšieho skúmania sa však nevieme vyjadriť k otázke, či charakter týchto medzinárodných dohôd nemajú rôzne extradičné zmluvy, ktoré majú so Spojenými štátmi uzatvorené niektoré členské štáty jednotlivo (napr. Spojené Kráľovstvo) prípadne aký dopad na právny základ majú iné vnútroštátne právne normy. Tejto otázke sa stanovisko prirodzene nevenuje. Z pohľadu Únijného práva však aktuálne neexistuje medzinárodná dohoda, ktorá by legitimizovala prenosy údajov na len základe žiadosti amerických orgánov podľa CLOUD Act. Podľa stanoviska preto pri žiadostiach podľa CLOUD Act musí na strane spoločnosti zamýšľajúcej poskytnúť údaje existovať v prvom rade: (i) právny základ podľa článku 6 GDPR a zároveň (ii) musí byť splnená jedna z podmienok prenosu podľa článku 49 GDPR.

Právny základ podľa čl. 6 GDPR 

V stanovisku sa vyhodnocujú štyri právne základy pre diskutovaný prípad:

  • splnenie zákonnej povinnosti podľa článku 6 ods. 1 písm. c) GDPR;
  • ochrana životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby podľa článku 6 ods. 1 písm. d) GDPR;
  • úloha vo verejnom záujme podľa 6 ods. 1 písm. e) GDPR; a
  • oprávnený záujem podľa článku 6 ods. 1 písm. f) GDPR.  

Podľa Výboru a Dozorného úradníka by bol právny základ zákonnej povinnosti použiteľný iba v prípade, ak by existovala medzinárodná zmluva v zmysle článku 48 GDPR. Podobne sa vyjadrila aj Európska komisia. Právny základ ochrany životne dôležitých záujmov je podľa stanoviska vhodný iba vo výnimočných prípadoch (ako napr. únos maloletého) avšak nemožno sa neho spoliehať vo všetkých prípadoch aj vzhľadom na to, že existuje vhodnejší právny základ v podobe uzavretia medzinárodnej zmluvy. Verejný záujem údajne neprichádza do úvahy, keďže v tomto prípade ide o záujem tretej krajiny a nie krajiny Európskej únie. V prípade oprávneného záujmu Výbor a Dozorný úradník zaujali pozíciu, že oprávnený záujem nepreváži nad právami, slobodami a záujmami dotknutých osôb.  

Aktuálny výklad v zmysle Unijného práva by preto mal znamenať, že bez medzinárodnej dohody medzi Spojenými štátmi a EÚ by nemali spoločnosti na ktoré sa vzťahuje GDPR žiadostiam podľa CLOUD Act vyhovieť z dôvodu absencie právneho základu spracúvania podľa čl. 6 ods. 1 písm. c) GDPR. 

Podmienky cezhraničného prenosu podľa čl. 49 GDPR 

V stanovisku sú posudzované vybrané podmienky cezhraničných prenosov podľa čl. 49 GDPR, konkrétne: 

  • verejný záujem podľa článku 49 ods. 1 písm. d) GDPR;
  • preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov podľa článku 49 ods. 1 písm. e) GDPR;
  • ochrana životne dôležitých záujmov dotknutej osoby alebo iných osôb, ak je dotknutá osoba fyzicky alebo právne nespôsobilá vyjadriť súhlas podľa článku 49 ods. 1 písm. f) GDPR; a
  • závažné oprávnené záujmy podľa článku 49 ods. 1 GDPR (posledný odsek). 

Podľa stanoviska prichádzajú do úvahy prakticky len dve vyššie zvýraznené podmienky. Pri použití právneho základu preukazovania, uplatňovania alebo obhajovania právnych nárokov sa vyžaduje úzka spojitosť medzi konaním a osobnými údajmi a tento právny základ nie je možné použiť pri možnosti (mere possibility) budúceho súdneho konania. Jediným teoreticky použiteľným režimom by bol čl. 49 ods. 1 písm. f) GDPR, ktorého plošné využitie je vylúčené: „prenos je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby alebo iných osôb, ak je dotknutá osoba fyzicky alebo právne nespôsobilá vyjadriť súhlas“. Ostatné podmienky sú v zásade odmietnuté z obdobných dôvodov ako pri článku 6 GDPR aj s prihliadnutím na to, čl. 49 GDPR by mal poskytovať vyššiu ochranu pred cezhraničným prenosmi ako čl. 6 GDPR. 

Závery a odporúčania

Z pohľadu Únijného práva sa zatiaľ zdá, že existuje len veľmi malý priestor na vyhovenie žiadosti podľa CLOUD Act spôsobom súladným s GDPR. Malo by ísť v zásade o tak výnimočné situácie, že plošné odpovedanie je prakticky vylúčené. Situácia sa môže zmeniť v prípade uzavretia bilaterálnej dohody medzi EÚ a Spojenými štátmi, ktorá je v súčasnosti predmetom vyjednávaní.  

Ako vieme z praxe, už pôsobnosť GDPR je veľmi otázna. V spojitosti so skupinovými spoločnosťami, cezhraničnými prenosmi a pôsobnosťou pravidiel CLOUD Act je v zásade isté, že žiadosti podľa CLOUD Act spôsobia spoločnostiam veľké výkladové problémy. V neposlednom rade je potrebné zobrať do úvahy špecifiká rôznych vnútroštátnych právnych poriadkov, ktoré stanovisko neberie do úvahy. 

Spoločnosti, ktoré sú prítomné v USA a EÚ by preto mali: 

  1. Identifikovať prieniky pôsobnosti CLOUD Act a GDPR na ich biznis (t.j. o aké dáta by teoreticky mohlo ísť); 
  2. Identifikovať medzinárodné dohody medzi členskými štátmi a USA, prípadne iné vnútroštátne právne predpisy, ktoré by mohli meniť závery vyplývajúce zo stanoviska; a následne
  3. Zamyslieť sa, či je možné existujúce procesy preventívne upraviť tak, aby bol dopad žiadostí podľa CLOUD Act na organizáciu a dotknuté osoby minimalizovaný.

 

Matúš Mesarčík a Jakub Berthoty

Dagital Legal, s.r.o.