Jakiś czas temu (w 2020 r.) pisałem o barierach związanych z przetwarzaniem danych w chmurze. W katalogu tych barier znalazły się także wątki prawne. Poszukując podstaw przetwarzania europejskich danych osobowych przez dostawców z USA rozważało się wówczas (i warto dalej rozważać) ryzyka związane z dostępem służb państw trzecich do transferowanych danych. Chodzi tutaj, między innymi o CLOUD ACT.

US CLOUD ACT A RODO

CLOUD Act (Clarifying Lawful Overseas Use of Data Act), nazwa bynajmniej nie pochodzi od chmury, niemniej dotyczy legalnego przetwarzania danych za granicą. Założeniem Cloud Act było rozwiązanie problemu w uzyskiwaniu danych przez administrację państwową, gdy amerykański dostawca przechowywał dane poza terenem USA. Przepisy miała także odpowiedzieć na problem związany z wnioskami kierowanymi przez państwa trzecie o uzyskanie danych od dostawców amerykańskich.

W relacji UE – USA, doniosłe znaczenie ma stanowisko Europejskiej Rady Ochrony Danych, która stwierdziła, że CLOUD Act to za mało, by przekazywać dane osobowe na żądanie organów USA. A RODO w art. 6 wskazuje, że w przypadku, gdy podstawą przetwarzania miałby być obowiązek prawny ciążący na administratorze lub wykonanie zadania w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, to ta podstawa przetwarzania musi być określona w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.

Więcej o ryzykach przetwarzania danych w chmurze pisałem na shadowtech tutaj.

W tym kontekście pokazujący pewną optykę cenne może być stanowisko EDPB jeszcze z 2019 roku:

 

We also stress the need for an EU-level approach. In this specific context, as massive amounts ofelectronic communication data are processed and stored by operators falling under US jurisdictionand since direct access requests sent by US authorities are likely to affect any Member State, an EUlevel approach is essential here in order to avoid the potential negative consequences of a fragmentem patchwork of non-harmonised bilateral executive agreements between the US and EU Member States that would be concluded under the US CLOUD Act.

Ze stanowiska tego wynikała potrzeba jednolitego podejścia na gruncie UE, ale jednocześnie przestrzegano przed niezharmonizowanym systemem, który może być efektem bilatarelanych umów pomiędzy USA a państwami członkowskimi.

Problemy były akcentowane, ale zdaje się, że przecież sprawa była załatwiona, a przynajmniej uprosczczona – w oparciu o decyzję z 2016 r. A chodzi oczywiście o decyzję Komisji Europejskiej z dnia 12 lipca 2016 roku w sprawie adekwatności ochrony przewidzianej przez Tarczę Prywatności UE-USA – zwaną Privacy Shield.

To wszystko zdaje się adresowało problem, aż do momentu, gdy wspominane ryzyka niejednolitych rozwiązań i niedostatecznej ochrony danych – odcisnęły się potężnie w orzeczeniu TSUE z dnia 16 lipca 2020 r. To oznaczało kres transferu danych bez szczególnych wymogów, który to umożliwiała obowiązująca jak dotąd Tarcza Prywatnosci.

Privacy Shield vs. Schrems II

Tarcza Prywatności przestaje obowiązywać, a transfer danych do USA nie jest dłużej traktowany jako w pełni zaufany. To wszystko wzmocnione jest stanowiskiem EROD, z którego wynika, że:

standardowe klauzule nie są zawieszone w próżni i powinny stanowić jeden, lecz nie jedyny ze środków bezpieczeństwa przetwarzania danych.

Dzisiaj budując zgodność w zakresie przetwarzania danych osobowych na uwadze trzeba mieć przepisy oraz praktyki obowiązujące w państwie trzecim. Oczywiście jednym z obszarów takich badań będzie Cloud Act.

Jeśli zastanowimy się nad wpływem wyroku TSUE ws. Schrems II, to powinniśmy dojść do wniosku, że:

Orzeczenie to nie kwestionuje dalszego wykorzystywania standardowych klauzul. Musimy jednak pamiętać, że nie jest to rozwiązanie wystarczające, a jedynie pomocnicze. Tym samym w razie przetwarzania danych osobowych poza EOG, biznes powinien wziąć pod uwagę zastosowanie dodatkowych środków, które zapewniać mogą adekwatny poziom bezpieczeństwa „unijnych” danych.

Stosowanie takich dodatkowych środków może być sprawdzane w ramach audytu dostawcy w zakresie technicznych i organizacyjnych środków w rozumieniu RODO. Mogą być to również określone wymagania co do:

• lokalizacji serwerów dostawcy,
• szyfrowanie danych (at rest i in transit) przez dotstawcę;
•  czy zorganizowania infrastruktury (np. wymóg przetwarzania danych produkcyjnych w kraju bezpiecznym na gruncie RODO oraz przechowywania szyfrowanych back-upów poza EOG).

Jak wyrok TSUE może wpływać na konkretne stanowiska krajowych organów nadzoru?

Portugalski organ ochrony danych (CNPD) powołał się na wyrok Schrems II i stwierdził, że standardowe klauzule kontraktowe (SCC) nie były wystarczające. A to dlatego, że konkretny dostawca (Cloudflare) podlega amerykańskim przepisom o nadzorze, które mogą wymagać od spółki udostępnienia danych osobowych organom USA. Więcej w tym artykule.

Wniosek z powyższego mamy prosty:

Same klauzule nie wystarczą. Tak jak w imieniu administratora badamy dalszych przetwarzających, tak jeszcze większą uwagę powinniśmy przywiązywać do modeli, w których wiadomo, że dane mają być transferowane poza EOG.

A czy może być odwrotnie, tzn. czy Cloud Act może być stosowany do podmiotów z UE

Taki stan rzeczy sprowadza nas także do rozważań odwrotnych, tj. jak ma się stosowanie CLOUD Act do podmiotów z UE. Może się bowiem okazać, że dane powierzamy podmiotowi z UE, a jednak będziemy musieli zbadać, czy podmiot ten nie podlega regulacjom stanowym. I tutaj z pomocą przychodzi nam opublikowane niedawno przez GreenbergTraurig Memorandum: Application of the CLOUD ACt to EU Entities. W memorandum udzielono odpowiedzi na następujące pytania:

1. Czy podmiot z UE podlega CLOUD Act, nawet jeśli nie ma siedziby w Stanach?
2. Czy podmiot z UE, który nie ma siedziby w Stanach, ale oferuje produkty i usługi klientom w Stanach będzie podległ Cloud Act?
3. Jakie inne przepisy prawa amerykańskiego mogłyby mieć wpływ na podmiot z UE?
4. Czy Stany mogą uzyskać dane od podmiotu z UE, który nie podlega jurysdykcji U.S. poprzez nakazanie obywatelowi U.S. zatrudnionemu przez podmiotu z UE, aby ten przekazał dane podmiotu UE na podstawie amerykańskiego prawa?
5. Co się stanie, jeśli zagraniczny podmiot nie mający przedstawicielstwa w U.S., ale który ma w U.S. relacje wystarczające dla objęcia go jurysdykcją ignoruje nakazy wynikające z Cloud Act?
6. Czy Cloud Act stosuje się do wszystkich danych znajdujących się posiadaniu podmiotu z UE, który nie ma przedstawicielstwa w U.S., ale który ma w U.S. relacje wystarczające dla objęcia go jurysdykcją, czy tylko do danych dotyczących obywateli U.S.

Konkretnym odpowiedziom chciałbym, abyśmy przyjrzeli się w osobnym wpisie. A teraz zwróćmy uwagę jedynie na dość zaawansowaną konkluzję:

Wedle autorów memorandum: do podmiotów z UE Cloud Act może znaleźć zastosowanie, nawet jeśli podmioty te mają siedzibę poza USA. Dla całkowitego uniknięcia stosowania Cloud Act do podmiotu z UE niezbędne byłoby przetwarzanie danych przy współpracy z podmiotem spoza USA, który dodatkowo:

1. nie jest powiązany korporacyjnie z żadną spółką obecną w USA (jak np. spółki zależne), i który nie ma relacji z USA, które pozwoliłyby uznać go za podmiot podlegający jurysdykcji U.S. [w konsekwencji ma to oznaczać wykluczenie sprzedaży produktów lub usług klientom z USA];
2. a jeśli ma powiązania korporacyjne ze spółką obecną w USA, to ta spółka amerykańska nie może przetwarzać „unijnych” danych.

Ponadto w żadnym wypadku podmiot z UE nie może występować jako spółka zależna amerykańskiej spółki dominującej, ponieważ spółka dominująca byłaby uznawana za posiadającą dane swojej spółki zależnej.

Wskazówki z memorandum idą jeszcze o krok dalej. Wedle nich wskazane jest, aby nie zatrudniać obywateli USA, którzy mają dostęp do istotnych danych. To pewnie będzie szalenie interesujące dla praktyków prawa pracy… ; )

Konsekwencja ignorowania Cloud Act

Dla przedsiębiorców wymieniających dane z podmiotami z U.S. ciekawa powinna być również odpowiedź na pytanie 5, które dotyczyło sytuacji, w której podmiot z UE ignoruje nakazy wydane na podstawie Cloud Act.

Według memorandum ignorowanie nakazów wydanych na podstawie Cloud Act może skutkować sankcjami pieniężnymi a nawet pozbawieniem wolności. Wówczas należy przeprowadzić przesłuchanie, podczas którego podmiot zagraniczny może wyjaśnić, dlaczego nie przestrzegał nakazu.

Dalej z memorandum wynika, że sądy amerykańskie zwykle mają szeroką swobodę w ustalaniu odpowiedniej kary badając szeroko przedstawione przesz strony okoliczności.

Na przykład: w jednej ze spraw, która co prawda nie dotyczyła Cloud Act, ale wykonania wezwania ławy przysięgłych: sąd apelacyjny ukarał podmiot zagraniczny grzywną w wysokości 50. 000 USD za każdy dzień, w którym podmiot odmawiał zastosowania się do wezwania ławy. Wątpliwym może okazać się skuteczne egzekwowanie takiej grzywny od podmiotu zagranicznego, jednak należy mieć na uwadze sam fakt podejścia tamtejszych sądów. To może realnie utrudnić, np. podjęcie działalności w USA takiemu podmiotowi w przyszłości.

Reasumując

Niezależnie od tego jak wysoko dany podmiot oceni w swojej analizie ryzyka fakt, czy w ogóle podlega jurysdykcji USA i ewentualnego stosowania tamtejszych przepisów, to nie ma wątpliwości, że w badaniu compliance stosunków z dostawcami współpracującymi z podmiotami z USA powinien brać fakt podlegania Cloud Act na poważnie. Nawet jeśli dane administratora nie będą przechowywane w USA (co przecież często się zdarza, gdy dostawca oferuje wykorzystywanie dla konkretnej usługi serwerów zlokalizowanych w EOG), to sam fakt podlegania danego podmiotu jurysdykcji amerykańskiej winien włączyć nam lampki ostrzegawcze. A To będzie oznaczało potrzebę uwzględnienia tych czynników przy decyzji o współpracy oraz odbierania od kontrahenta gwarancji, które mają nam pomóc w wykazaniu, że podmiot ten będzie przetwarzał dane przy zapewnieniu ochrony praw i wolności naszych podmiotów danych.

Link do SCC z 4 czerwca 2021 roku.

Link do Memorandum GT