Онлайн съхранението на данни е в подем. Пазарните лидери, разбира се, са американските. Компаниите от другата страна на Атлантическия океан са водещи при доставчици като Google Drive, iCloud и Dropbox.
Въпреки че техните услуги са с високо качество, не е сигурно дали не са виновни за национализма. Съхраняването на данните на вашата компания онлайн при американски доставчици на услуги може да бъде сериозна грешка.
Съединените щати понастоящем са водещата световна сила, независимо дали става дума за военна, икономическа или индустриална сила. По този начин нейното правителство си присвоява прерогативи, които има пълната власт да наложи на цялата международна общност.
В този случай американските закони като Patriot Act и Cloud Act са въоръженото крило на една политика на управление, прилагана спрямо неамерикански граждани. С други думи, в зависимост от вашия избор администрацията и съдебната система на САЩ имат власт над вас и вашите данни.
Може би си мислите, че Съединените американски щати, в качеството си на предводител на демокрацията в света, имат най-добрата политическа система, особено в своята теория и конституционна практика за контрол и баланс. С други думи, най-съвършеното разделение на властите, така скъпо на теоретиците на държавата като Монтескьо.
Реалността обаче не е съвсем същата. Законите за масово наблюдение, въведени от Съединените щати от втората половина на ХХ век, чиято кулминация е Законът за облаците от 2018 г., изглеждат в противоречие не само с тяхната конституция, но и с класическата визия за правовата държава. С други думи, всяка друга държава, която въведе подобно законодателство, вероятно веднага ще бъде заклеймена като полицейска държава.
Това е така, защото в допълнение към Патриотичния закон и Закона за облаците Съединените щати все още основават правния си арсенал на закон и президентски указ: Закона за наблюдение на външното разузнаване и изпълнителния указ. В светлината на тези правни текстове ще обясним защо съхраняването на вашите данни в облак, управляван от американска компания, е рискован избор. За целта ще разгледаме законодателството, което ще се прилага спрямо вас, след като решите да се впуснете в тази стъпка.
Какво представлява Патриотичният закон и как действат неговите условия за екстериториалност?
Patriot Act е американски закон за вътрешна сигурност, приет само 45 дни след атентатите от 11 септември 2001 г. С други думи, той беше приет в голяма бързина от Конгреса, който все още беше травмиран от събитията в Ню Йорк.
Резултатът е празен чек, предоставен на полицейските органи за провеждане на разследвания. Защо трябва да е така? Защото, въпреки че се изисква съдебна заповед, съдията вече не може да се противопостави на нея с мотива, че няма „вероятна причина „.
В резултат на това всички ваши данни могат да бъдат иззети, без дори да сте информирани или без съдията в САЩ да може да възрази. Не мислете, че Конституцията на САЩ е от голяма полза, защото според Министерството на правосъдието на САЩ Патриотичният закон само кодифицира съдебната практика, която вече е призната от Върховния съд.
През 1979 г. например той постановява, че аргументът за противоконституционност на тайните обиски е „несериозен“. Дванадесет години по-рано той вече е постановил, че полицейските служители не са длъжни да съобщават на обвиняемия причината или причините за претърсването.
Новото в Закона за патриотите за френско или европейско дружество обаче е екстериториалното му прилагане. С други думи, от момента, в който вашето предприятие бъде заподозряно във връзки с терористично лице или група, застрашаващи американската територия или нейните интереси, срещу вас може да бъде задействан целият административен арсенал.
Не си мислете, че може да ви се размине, дори и да не възнамерявате да установявате връзки с терористични групи или с клиент, чиито радикални идеи може да са ви се разминали. Ще видим, че на практика Патриотичният закон е много по-малко ясен, отколкото изглежда. Преди това нека разгледаме друг аналог в областта на сигурността: Закона за облаците.
Какво представлява Законът за облаците?
Законът за облака беше приет през 2018 г., за да даде на американските власти по-голям достъп до данните на потребителите на онлайн решения за съхранение на данни.
Официално той е представен от Министерството на правосъдието като позволяващ на органите на трети държави да изискват от всяко американско дружество, което хоства данни, с цел да получат достъп до тях в рамките на наказателно производство.
По-подробно казано, тя позволява на всяка американска администрация да получи данни за всеки потребител, стига те да са :
– се съхраняват в Съединените щати
– или се съхраняват от американска компания в която и да е държава по света,
– и то без да знае никой друг, освен запитаната компания и съответното правителство.
Този последен законодателен акт на САЩ не е единственият инструмент в услуга на американското правителство.
Какво представлява Законът за наблюдение на чуждестранното разузнаване (FISA)?
Законът FISA е приет през 1978 г. от Конгреса, който иска да регулира практиките на федералните власти за наблюдение. Подобно на Патриотичния закон, този закон имаше за цел да кодифицира съществуващите практики.
Раздел 702, добавен през 2008 г., задължава американските компании да улесняват целенасоченото наблюдение на лице извън територията на САЩ.
Този закон е насочен конкретно към неамерикански граждани, заподозрени в притежание, получаване или предаване на информация, представляваща интерес за контрашпионажа. Обхватът му, подобно на Патриотичния закон, официално е насочен към борбата с международния тероризъм.
Изпълнителна заповед 12333
Изпълнителна заповед 12333, подписана от Роналд Рейгън през 1981 г., е документ, който, както посочва Washington Post, предлага още по-големи възможности от тези на раздел 215 от Патриотичния закон.
Този път обаче президентски указ 12333 се отнася само за американски граждани, живеещи в чужбина. Това все пак ще позволи на американските разузнавателни служби да се ровят в данните ви, ако се интересуват от някой от американските ви клиенти.
Съгласно този указ всички данни, иззети от разузнавателните агенции на САЩ, се извършват без каквато и да е заповед и следователно без какъвто и да е контрол от страна на съдия или дори от страна на Конгреса.
Както виждате, законът не винаги е гаранция на най-слабите срещу властта на най-силните. Той далеч не винаги защитава индивидуалните свободи или, в по-широк смисъл, обществените свободи като цяло. Особено когато се стигне до разглеждане на неговото прилагане, а следователно и тълкуване.
Законът съществува само чрез своето тълкуване
Правилното разбиране на правото никога не може да бъде постигнато само чрез четене на закона. Защо това е така? Защото винаги е невъзможно законът да се прилага буквално. С други думи, за да разберете приложното поле на даден законодателен акт, трябва да разберете как се прилага той. Такъв е проблемът, който поставят американският Закон за патриотите и Законът за облаците.
Когато в Закона за патриотизма се говори за „подозрителна дейност„, как се определя тази дейност? Какво обхваща това понятие? Само чрез тълкуване дадена дейност може да бъде определена като подозрителна. Проблемът се състои в това, че всяка администрация тълкува този закон по свой собствен начин и при пълна секретност.
Това означава, че след като данните ви се съхраняват от американска компания, всички ваши данни са достъпни по усмотрение на администрации като ЦРУ, АНС и Министерството на финансите, и това са само някои от тях. Скучно, нали? И не си мислете, че сте защитени от разследване само защото не сте престъпник или терорист.
Основната цел на този правен арсенал не е да издирва терористи, а да нарушава свободната конкуренция. Мислехте ли, че Съединените щати са образец на свободната търговия? Грешали сте.
Нещо повече, събирането на данни не се отнася само до данните на вашите клиенти. Не напразно Министерството на финансите на САЩ също се интересува от събирането на данни. FCPA ще ви покаже, че съхраняването на цифровите ви данни определено може да ви струва скъпо.
Законът FCPA, или новият данък за компаниите извън САЩ
Законът за чуждестранните корупционни практики, приет през 1977 г., позволява на американските съдилища да осъждат дружествата да плащат значителни суми под формата на санкции. През 2014 г. Alstom плати 772 млн. долара, Siemens – 800 млн. долара през 2008 г., Daimler – 185 млн. долара през 2010 г., а Alcatel-Lucent – 137 млн. долара през 2010 г. Това са само някои от по-големите суми.
Как според вас се изготвят доказателствата? По всякакъв начин, включително и чрез данните, които имате в облака си. Ако си мислите, че сте в безопасност, защото нямате дъщерни дружества или служители в САЩ, трябва да знаете, че FCPA се прилага веднага щом американските интереси са застрашени. И тук понятието „американски интереси“ подлежи на тълкуване и то не е от значение за вас.
В светлината на цялата тази информация за американското законодателство вариантът за облак, управляван от френско или европейско дружество, на европейска територия, изглежда повече от интересен. Въпреки това, все още е необходимо да се направи равносметка на известната РГПД.
ОРЗД в светлината на френското и европейското законодателство
Общият регламент относно защитата на данните (ОРЗД) беше приет от Европейския съюз, за да се гарантира сигурността на данните, които потребителите поверяват в интернет на дружества, опериращи на европейска територия.
Важно е да се разгледат задълженията, наложени на дружеството, отговорно за обработката на данните на своите потребители, и свързаните с тях санкции, преди да се разбере ролята му при предаването на данни, особено в Съединените щати.
Задължения на администратора на данни
Директивата за защита на данните гарантира по-специално защитата на правата на децата в контекста на събирането на данни. Въпреки че събирането на данни, свързани с дете под 13-годишна възраст, все още е забранено, за деца на възраст между 13 и 16 години то е разрешено само с разрешение на родителите и ако се отнася до услуга, пряко насочена към деца.
Директивата за личните данни също така изисква от администраторите на данни да събират само данни, които са строго необходими за целта, за която са събрани, и да гарантират, че могат да изтриват данни по искане на съответното лице.
Спазването на всички задължения, наложени от РДПУ, може да доведе до издаване на сертификат от надзорния орган. Този сертификат е валиден за период от три години, който може да бъде подновен.
За повече информация относно подробностите на RGPD, CNIL (Commission Nationale de l’Informatique et des Libertés) публикува онлайн ръководство за много малки предприятия (VSE) и малки и средни предприятия (МСП). В това ръководство ще научите как да съставите списък на файловете си, да сортирате данните си и да ги обезопасите.
Неспазването на задълженията, определени в РДП, може да доведе до много тежки финансови санкции.
Санкции, приложими в случай на неспазване на изискванията
Във Франция CNIL разглежда даден случай по три начина:
– след подаване на жалба от потребители директно на уебсайта на CNIL,
– след проверка на уебсайта или дружеството,
– след нарушение на сигурността на данните.
След това CNIL разполага с пълния набор от санкции – от публично обявяване в Légifrance и на уебсайта на CNIL до финансова санкция в размер до 20 000 000 EUR или 4 % от световния оборот за предходната финансова година.
CNIL наложи глоба на Google в размер на 150 млн. евро за политиката си за бисквитките в Google и Youtube. CNIL разкритикува американската компания за това, че не позволява на потребителите да отказват бисквитки със същата лекота, с която ги приемат.
На същия ден, 31 декември 2021 г., CNIL наложи глоба от 60 млн. евро и на Facebook по същите причини като на Google.
Тези тежки санкции сами по себе си подчертават важността на въпроса за защитата на данните в Европа. Въпреки това в един глобализиран свят, в който, особено в интернет, всички мрежи проникват една в друга, обменът на данни прави формулирането на защитата на данните донякъде сложно.
От Щита за защита на личните данни до Шрем II – съдията става пазител на личните данни
Данните, събрани в Европа, могат да бъдат предавани на трети държави. Такъв е особено случаят между Европа и Съединените щати, когато дружество майка прехвърля лични данни на дъщерно дружество или на друг сървър.
От 2016 г. до 2020 г. нормативната уредба, приложима към това предаване на данни от Европейския съюз към Съединените щати, се уреждаше от Щита за защита на личните данни. Това беше двустранен договор, който предлагаше гаранции на европейските потребители относно обработката на техните лични данни в Съединените щати.
Тази гаранция за защита на данните обаче не беше толкова ефективна от американска страна, колкото ни се искаше да вярваме в договора. Австрийски адвокат на име Шрем даде под съд Facebook Ирландия, като заяви, че неговите лични данни, които са били прехвърлени изцяло или частично в Съединените щати, не са били защитени по същия начин, както тези на всички потребители на социалната мрежа.
Съдът на Европейския съюз в решение, известно като Schrems II, се произнесе в полза на ищеца и по този начин сложи край на Щита за защита на личните данни. Основните аргументи в решението бяха свързани с лекотата, с която държавните органи на САЩ и техните разузнавателни служби могат да получат достъп до предадените лични данни.
В самата Франция асоциации се надигнаха срещу събирането на данни от страна на правителството. Така например Държавният съвет трябваше да се произнесе по партньорството между правителството и платформата Doctolib във връзка с назначенията за ваксинация срещу Covid 19.
Държавният съвет отхвърли искането на асоциациите, след като провери качеството на сигурността на данните, с мотива, че не са събирани медицински данни.
По подобен начин сдружения като La Quadrature du Net оспориха пред Conseil d’Etat постановлението от 25 февруари 2011 г., с което се налага запазването на цифрови данни от доставчиците на интернет услуги.
Административните съдии отхвърлиха техните аргументи по съображения, свързани с националната сигурност, защитата на основните интереси на нацията и борбата с престъпността.
Въпреки това не е възможно европейските правоприлагащи органи да изискат информация от доставчик на интернет услуги или дружество без предварителното разрешение на магистрат. Последният е този, който преценява полезността на такова искане в контекста на разследванията, за които разследващите му докладват.
Заключение
В заключение, ситуацията в Европа по отношение на обработката на данни и достъпа до такива данни от страна на публичните органи, независимо дали те са от компетентността на министерствата на вътрешните работи или на правосъдието на държавите-членки на Европейския съюз, е силно регулирана. В Европа няма закони, сравними с тези в Съединените щати.
В резултат на това, ако дадено дружество желае да съхранява данни онлайн, използвайки решения, базирани на облак, е важно да избере европейски доставчик на услуги, който съхранява данните на европейска територия.
В този случай е важно също така да се провери дали дружеството не прехвърля данните на дъщерно дружество, базирано в държава извън Европейския съюз, особено в Съединените щати. Ще бъде много трудно екстериториалните закони на САЩ да се приложат към дружество, което няма връзки със Съединените щати.
Съхраняването на данни чрез американски дружества отваря широко вратите за промишлен шпионаж и най-технологичните практики на нелоялна конкуренция. Както видяхме в случая със Siemens, Alcatel-Lucent и Alstom, правителството на САЩ, подкрепяно от съдилищата, няма да се спре пред нищо, за да отслаби конкуренцията на тези компании.
Така че нека не заобикаляме нещата.
