Az online adattárolás lendületben van. A piacvezetők természetesen amerikaiak. Az olyan szolgáltatókkal, mint a Google Drive, az iCloud és a Dropbox, az Atlanti-óceán túloldaláról érkező vállalatok járnak az élen.
Bár szolgáltatásaik magas színvonalúak, nem biztos azonban, hogy nem vétkesek a nacionalizmusban. Komoly hiba lehet, ha a cég adatait amerikai szolgáltatóknál tárolja online.
Az Egyesült Államok ma a világ vezető hatalma, akár katonai, akár gazdasági, akár ipari szempontból. Ezzel kormánya olyan előjogokat tulajdonít magának, amelyeket minden hatalmában áll az egész nemzetközi közösségre ráerőltetni.
Ebben az esetben az olyan amerikai törvények, mint a Patriot Act és a Cloud Act a nem amerikai állampolgárokra alkalmazott kormányzati politika fegyveres szárnya. Más szóval, az Ön választásától függően az amerikai kormányzat és igazságszolgáltatás hatalommal rendelkezik Ön és az Ön adatai felett.
Azt gondolhatná, hogy az Amerikai Egyesült Államok, mint a demokrácia élharcosa a világon, a legjobb politikai rendszerrel rendelkezik, különösen a fékek és ellensúlyok elméletében és alkotmányos gyakorlatában. Más szóval a legjobban megvalósult hatalommegosztás, amely oly kedves az államelmélet olyan teoretikusainak, mint Montesquieu.
A valóság nem egészen ugyanez. Az Egyesült Államok által a huszadik század második fele óta bevezetett tömeges megfigyelési törvények, amelyek a 2018-as Cloud Actben csúcsosodtak ki, nemcsak az alkotmányukkal, hanem a jogállamiság klasszikus víziójával is ellentétesnek tűnnek. Más szóval, bármely más állam, amely ilyen jogszabályokat vezetne be, valószínűleg azonnal rendőrállamnak bélyegeznék.
Az Egyesült Államok ugyanis a Patriot Act és a Cloud Act mellett még mindig egy törvényre és egy elnöki rendeletre alapozza jogi arzenálját: a Foreign Intelligence Surveillance Actre és az Executive Orderre. E jogi szövegek fényében elmagyarázzuk, hogy miért kockázatos döntés az adatait egy amerikai vállalat által kezelt felhőben tárolni. Ehhez megvizsgáljuk azokat a jogszabályokat, amelyek Önre vonatkoznak, ha egyszer úgy döntött, hogy belevág.
Mi az a Patriot Act, és hogyan működnek az extraterritorialitási feltételei?
A Patriot Act egy amerikai belbiztonsági törvény, amelyet mindössze 45 nappal a 2001. szeptember 11-i támadások után fogadtak el. Más szóval, nagy sietséggel fogadta el egy olyan kongresszus, amelyet még mindig traumát okoztak a New York-i események.
Az eredmény egy biankó csekk, amelyet a rendőrhatóságok kaptak a nyomozások lefolytatására. Miért van ez így? Mert bár bírói végzésre van szükség, a bíró már nem ellenezheti azt arra hivatkozva, hogy nincs „valószínűsíthető ok”.
Ennek eredményeképpen az összes adatát lefoglalhatják anélkül, hogy Önt erről tájékoztatnák, vagy hogy az amerikai bíró tiltakozhatna ellene. Ne higgye, hogy az amerikai alkotmány sokat segít, mert az amerikai igazságügyi minisztérium szerint a Hazafias törvény csupán a Legfelsőbb Bíróság által már elismert esetjogot kodifikálja.
Például 1979-ben úgy döntött, hogy a titkos házkutatások alkotmányellenességére vonatkozó érvelés „komolytalan”. Tizenkét évvel korábban már kimondta, hogy a rendőröknek nem kell közölniük a vádlottal a házkutatás okát vagy okait.
Ami azonban egy francia vagy európai vállalat számára újdonságot jelent a Patriot Actben, az annak extraterritoriális alkalmazása. Más szóval, attól a pillanattól kezdve, hogy az Ön vállalkozását azzal gyanúsítják, hogy kapcsolatban áll egy olyan terrorista személlyel vagy csoporttal, amely az amerikai területet vagy annak érdekeit fenyegeti, a teljes közigazgatási arzenál mozgásba hozható Ön ellen.
Ne higgye, hogy megúszhatja, még akkor sem, ha nem áll szándékában kapcsolatot létesíteni terrorista csoportokkal, vagy olyan ügyféllel, akinek radikális eszméi esetleg elkerülte a figyelmét. Látni fogjuk, hogy a Hazafias Törvény a gyakorlatban sokkal kevésbé egyértelmű, mint amilyennek látszik. Előtte nézzük meg egy másik biztonsági megfelelőjét: a Cloud Actet.
Mi az a Cloud Act?
A Cloud Actet 2018-ban fogadták el, hogy az amerikai hatóságok nagyobb hozzáférést kapjanak az online adattárolási megoldások felhasználóinak adataihoz.
Hivatalosan az igazságügyi minisztérium úgy mutatja be, hogy lehetővé teszi harmadik országok hatóságai számára, hogy bármelyik amerikai vállalatnál, amely adatokat tárol, kérvényt nyújtsanak be azzal a céllal, hogy büntetőeljárás keretében hozzáférjenek az adatokhoz.
Részletesebben, ez lehetővé teszi bármelyik amerikai hatóság számára, hogy bármelyik felhasználó adatait megszerezze, amennyiben azok :
– az Egyesült Államokban tárolják
– vagy egy amerikai vállalat tárolja a világ bármely országában,
– mindezt anélkül, hogy a megkeresett vállalaton és az érintett kormányhivatalon kívül bárki is tudna róla.
Az amerikai kormányzatnak nem ez a legújabb amerikai jogszabály az egyetlen eszköze.
Mi a Foreign Intelligence Surveillance Act (FISA)?
A FISA-t 1978-ban fogadta el a Kongresszus, amely szabályozni akarta a szövetségi hatóságok megfigyelési gyakorlatát. A Hazafias Törvényhez hasonlóan ez a törvény is a meglévő gyakorlatokat kívánta kodifikálni.
A2008-ban hozzáadott 702. szakasz arra kötelezi az amerikai vállalatokat, hogy megkönnyítsék egy személy célzott megfigyelését az USA területén kívül.
Ez a törvény kifejezetten a kémelhárítás szempontjából érdekes információk birtoklásával, átvételével vagy közlésével gyanúsított nem amerikai állampolgárokat célozza. Hatálya a Patriot Acthez hasonlóan hivatalosan a nemzetközi terrorizmus elleni küzdelmet célozza.
Az 12333. számú végrehajtási rendelet
A Ronald Reagan által 1981-ben aláírt 12333. számú végrehajtási rendelet – amint arra a Washington Post rámutat – a Hazafias Törvény 215. szakaszánál is nagyobb lehetőségeket kínáló dokumentum.
Az 12333-as elnöki rendelet azonban ezúttal csak a külföldön élő amerikai állampolgárokra vonatkozik. Ez továbbra is lehetővé teszi az amerikai hírszerző ügynökségek számára, hogy belemerüljenek az Ön adataiba, ha valamelyik amerikai ügyfél iránt érdeklődnek.
E rendelet értelmében az amerikai hírszerző ügynökségek által lefoglalt valamennyi adatot végzés nélkül, tehát bírói vagy akár kongresszusi ellenőrzés nélkül foglalják le.
Amint láthatja, a törvény nem mindig a leggyengébbek garanciája a legerősebbek hatalmával szemben. Messze nem mindig védi az egyéni szabadságjogokat, vagy tágabb értelemben a közszabadságok egészét. Különösen akkor, ha az alkalmazását, és így az értelmezését is figyelembe vesszük.
A törvény csak az értelmezésén keresztül létezik
A jog megfelelő megértése soha nem érhető el pusztán a törvény elolvasásával. Miért van ez így? Mert a törvényt mindig lehetetlen szó szerint alkalmazni. Más szóval, ahhoz, hogy megértsük egy jogszabály hatályát, meg kell értenünk, hogyan kell azt alkalmazni. Ez a probléma az amerikai Patriot Act és a Cloud Act által felvetett probléma.
Amikor a Patriot Act a „gyanús tevékenységre” hivatkozik, hogyan határozza meg ezt a tevékenységet? Mire terjed ki ez a fogalom? Csak értelmezés útján lehet egy adott tevékenységet gyanúsnak minősíteni. A probléma az, hogy minden kormányzat a maga módján és teljes titoktartás mellett értelmezi ezt a törvényt.
Ez azt jelenti, hogy amint az Ön adatait egy amerikai vállalat tárolja, minden adatához hozzáférhetnek az olyan hatóságok, mint a CIA, az NSA és a pénzügyminisztérium, hogy csak néhányat említsek. Unalmas, nem igaz? És ne higgye, hogy mentes a nyomozás alól csak azért, mert nem bűnöző vagy terrorista.
Ennek a jogi arzenálnak a fő célja nem a terroristák levadászása, hanem a szabad verseny torzítása. Azt hitte, hogy az Egyesült Államok a szabad kereskedelem példaképe? Tévedett.
Ráadásul az adatgyűjtés nem csak az ügyfelek adataira vonatkozik. Nem véletlen, hogy az amerikai pénzügyminisztérium is érdekelt az adatgyűjtésben. Az FCPA megmutatja Önnek, hogy a digitális adatainak tárolása bizony sokba kerülhet Önnek.
Az FCPA-törvény, avagy az új adó a nem amerikai vállalatok számára
Az 1977-ben elfogadott külföldi korrupciós gyakorlatról szóló törvény lehetővé teszi az amerikai bíróságok számára, hogy jelentős összegű büntetés megfizetésére kötelezzék a vállalatokat. Az Alstom 2014-ben 772 millió dollárt, a Siemens 2008-ban 800 millió dollárt, a Daimler 2010-ben 185 millió dollárt, az Alcatel-Lucent pedig 137 millió dollárt fizetett 2010-ben. Ez csak néhány a nagyobb összegek közül.
Ön szerint hogyan készülnek a bizonyítékok? Bármilyen módon, többek között a Cloudban lévő adatokon keresztül. Ha azt gondolja, hogy biztonságban van, mert nincsenek leányvállalatai vagy alkalmazottai az Egyesült Államokban, tudnia kell, hogy az FCPA alkalmazandó, amint amerikai érdekek forognak kockán. Az „amerikai érdekek” fogalma itt is értelmezhető, és nem az Ön érdekei számítanak.
Az amerikai jogszabályokra vonatkozó összes ilyen információ fényében több mint érdekesnek tűnik egy francia vagy európai vállalat által, európai területen kezelt felhő lehetősége. Azonban még mindig szükséges számba venni a híres RGPD-t.
Az általános adatvédelmi rendelet a francia és az európai jog fényében
Az általános adatvédelmi rendeletet (GDPR) az Európai Unió azért fogadta el, hogy garantálja a felhasználók által az interneten az európai földön működő vállalatokra bízott adatok biztonságát.
Fontos áttekinteni a felhasználók adatainak feldolgozásáért felelős vállalatra rótt kötelezettségeket és a kapcsolódó szankciókat, mielőtt megértenénk az adattovábbításban betöltött szerepét, különösen az Egyesült Államokba történő adattovábbításban.
Az adatkezelő kötelezettségei
Az RGPD különösen a gyermekek jogainak védelmét biztosítja az adatgyűjtéssel összefüggésben. Míg a 13 év alatti gyermekekre vonatkozó adatok gyűjtése továbbra is tilos, a 13 és 16 év közötti gyermekek esetében ez csak szülői engedéllyel megengedett, és csak akkor, ha közvetlenül gyermekeknek szánt szolgáltatásról van szó.
Az RGPD azt is előírja az adatkezelők számára, hogy csak olyan adatokat gyűjtsenek, amelyek szigorúan szükségesek a gyűjtés céljához, és biztosítsák, hogy az érintett személy kérésére törölni tudják az adatokat.
Az RGPD által előírt valamennyi kötelezettség teljesítése a felügyeleti hatóság által kiadott tanúsítványt eredményezhet. Ez a tanúsítvány hároméves, megújítható időtartamra érvényes.
Az RGPD részleteiről a CNIL (Commission Nationale de l’Informatique et des Libertés) online útmutatót tett közzé a nagyon kisvállalkozások (VSE-k) és a kis- és középvállalkozások (KKV-k) számára. Ez az útmutató megtanítja Önt arra, hogyan készítsen listát a fájljairól, hogyan válogassa össze az adatait és hogyan tegye biztonságossá azokat.
Az RGPD-ben meghatározott kötelezettségek be nem tartása igen súlyos pénzügyi szankciókat vonhat maga után.
Megfelelés elmulasztása esetén alkalmazandó szankciók
Franciaországban a CNIL háromféleképpen veszi fel az ügyet:
– a felhasználók panaszát követően közvetlenül a CNIL weboldalán,
– a weboldalon vagy a vállalatnál végzett ellenőrzést követően,
– az adatok megsértését követően.
A CNIL-nek ekkor a szankciók teljes skálája áll rendelkezésére, a Légifrance-on és a CNIL weboldalán történő nyilvános bejelentéstől a 20 000 000 euróig vagy az előző pénzügyi év világméretű forgalmának 4%-áig terjedő pénzbírságig.
A CNIL 150 millió euróra bírságolta a Google-t a Google és a Youtube sütikre vonatkozó politikája miatt. A CNIL bírálta az amerikai vállalatot, amiért nem teszi lehetővé a felhasználók számára, hogy a cookie-kat ugyanolyan könnyen elutasítsák, mint azok elfogadását.
Ugyanezen a napon, 2021. december 31-én a CNIL a Facebookot is 60 millió euróra bírságolta a Google-hoz hasonló okok miatt.
Már ezek a súlyos büntetések is rávilágítanak az európai adatvédelem kérdésének fontosságára. Egy globalizált világban azonban, ahol – különösen az interneten – minden hálózat áthatja egymást, az adatok megosztása némileg bonyolulttá teszi az adatvédelem artikulációját.
A Privacy Shieldtől a Shrem II-ig a bíró a személyes adatok őrzőjévé válik
Az Európában gyűjtött adatok továbbíthatók harmadik országokba. Ez különösen igaz Európa és az Egyesült Államok között, amikor egy anyavállalat személyes adatokat továbbít egy leányvállalatnak vagy egy másik szervernek.
Az Európai Unióból az Egyesült Államokba történő ilyen adattovábbításra 2016 és 2020 között az Adatvédelmi Pajzs (Privacy Shield) szabályozta az alkalmazandó szabályokat. Ez egy kétoldalú szerződés volt, amely garanciákat nyújtott az európai felhasználóknak személyes adataik Egyesült Államokban történő feldolgozására vonatkozóan.
Ez az adatvédelmi garancia azonban nem volt olyan hatékony az amerikai oldalon, mint ahogy azt a szerződés alapján gondolnánk. Egy Schrem nevű osztrák ügyvéd bírósághoz fordult a Facebook Ireland ellen, azzal érvelve, hogy az ő személyes adatai, amelyeket részben vagy egészben az Egyesült Államokba továbbítottak, nem élveznek ugyanolyan védelmet, mint a közösségi hálózat összes felhasználójának adatai.
Az Európai Unió Bírósága a Schrems II. néven ismert ítéletében a felperesnek adott igazat, és ezzel véget vetett az adatvédelmi pajzsnak. Az ítélet fő érvei arra vonatkoztak, hogy az amerikai hatóságok és hírszerző szolgálataik milyen könnyen hozzáférhettek az átadott személyes adatokhoz.
Magán Franciaországon belül egyesületek lázadtak fel a kormány adatgyűjtése ellen. A Conseil d’Etat-nak például a kormány és a Doctolib platform közötti partnerségről kellett döntenie a Covid 19 elleni oltási időpontok kapcsán.
A Conseil d’Etat elutasította az egyesületek kérelmét, miután ellenőrizte az adatbiztonság minőségét, arra hivatkozva, hogy nem gyűjtöttek orvosi adatokat.
Hasonlóképpen, egyesületek, mint például a La Quadrature du Net, megtámadták a Conseil d’Etat előtt a 2011. február 25-i rendeletet, amely az internetszolgáltatók számára előírja a digitális adatok megőrzését.
A közigazgatási bírák elutasították érveiket a nemzetbiztonsággal, a nemzet alapvető érdekeinek védelmével és a bűnözés elleni küzdelemmel kapcsolatos érvekre hivatkozva.
Az európai bűnüldöző szervek számára azonban nem lehetséges, hogy egy bíró előzetes engedélye nélkül lefoglaljanak egy internetszolgáltatót vagy egy vállalatot. Ez utóbbi az, aki értékeli egy ilyen kérés hasznosságát azon nyomozással összefüggésben, amelyről a nyomozók beszámolnak neki.
Következtetés
Összefoglalva, az európai helyzet az adatfeldolgozás és az ilyen adatokhoz való hatósági hozzáférés tekintetében – függetlenül attól, hogy az Európai Unió tagállamainak belügyminisztériumai vagy igazságügyi minisztériumai hatáskörébe tartoznak – rendkívül szabályozott. Európában nincsenek az Egyesült Államokéhoz hasonló jogszabályok.
Ennek eredményeképpen, ha egy vállalat felhőalapú megoldások segítségével kíván online adatokat tárolni, fontos, hogy olyan európai szolgáltatót válasszon, amely európai földön tárolja az adatokat.
Ebben az esetben azt is fontos ellenőrizni, hogy a vállalat nem továbbítja-e az adatokat egy, az Európai Unión kívüli országban, különösen az Egyesült Államokban található leányvállalatnak. Ily módon az Egyesült Államok extraterritoriális törvényei nagyon nehezen alkalmazhatók egy olyan vállalatra, amely nem kötődik az Egyesült Államokhoz.
Az adatok amerikai vállalatokon keresztül történő tárolása szélesre tárja az ajtót az ipari kémkedés és a legmodernebb csúcstechnológiájú tisztességtelen versenygyakorlatok előtt. Amint azt a Siemens, az Alcatel-Lucent és az Alstom esetében láthattuk, az amerikai kormány a bíróságok támogatásával semmitől sem riad vissza, hogy gyengítse az e vállalatokkal szembeni versenyt.
Ne kerülgessük tehát a forró kását.
