Przechowywanie danych online jest na fali. Liderami rynku są oczywiście Amerykanie. Z dostawcami takimi jak Google Drive, iCloud i Dropbox, firmy zza Atlantyku wiodą prym.
Jednakże, chociaż ich usługi są wysokiej jakości, nie jest pewne, czy nie są one winne nacjonalizmu. Przechowywanie danych Państwa firmy online u amerykańskich usługodawców może być poważnym błędem.
Stany Zjednoczone są obecnie wiodącą potęgą na świecie, zarówno pod względem militarnym, gospodarczym, jak i przemysłowym. Czyniąc to, ich rząd przypisuje sobie prerogatywy, które ma wszelkie uprawnienia do narzucenia całej społeczności międzynarodowej.
W tym przypadku amerykańskie prawa, takie jak Patriot Act i Cloud Act, są zbrojnym skrzydłem polityki rządzenia stosowanej wobec nieamerykańskich obywateli. Innymi słowy, w zależności od Państwa wyborów, amerykańska administracja i sądownictwo mają władzę nad Państwem i Państwa danymi.
Można by pomyśleć, że Stany Zjednoczone Ameryki, jako lider demokracji na świecie, mają najlepszy system polityczny, szczególnie w swojej teorii i konstytucyjnej praktyce kontroli i równowagi. Innymi słowy, najbardziej zaawansowany rozdział władzy, tak drogi teoretykom państwa, takim jak Monteskiusz.
Rzeczywistość nie jest jednak taka sama. Przepisy dotyczące masowej inwigilacji wprowadzane przez Stany Zjednoczone od drugiej połowy XX wieku, których kulminacją jest Cloud Act z 2018 roku, wydają się nie tylko sprzeczne z ich konstytucją, ale także z klasyczną wizją rządów prawa. Innymi słowy, każde inne państwo wprowadzające takie przepisy zostałoby prawdopodobnie natychmiast uznane za państwo policyjne.
Dzieje się tak dlatego, że oprócz Patriot Act i Cloud Act, Stany Zjednoczone wciąż opierają swój arsenał prawny na ustawie i dekrecie prezydenckim: Foreign Intelligence Surveillance Act i Executive Order. W świetle tych tekstów prawnych wyjaśnimy, dlaczego przechowywanie Państwa danych w chmurze zarządzanej przez amerykańską firmę jest ryzykownym wyborem. Aby to zrobić, przyjrzymy się przepisom, które będą miały zastosowanie do Państwa, gdy zdecydują się Państwo na takie rozwiązanie.
Czym jest Patriot Act i jak działają jego warunki eksterytorialności?
Patriot Act to amerykańska ustawa o bezpieczeństwie wewnętrznym uchwalona zaledwie 45 dni po atakach z 11 września 2001 roku. Innymi słowy, została ona uchwalona w wielkim pośpiechu przez Kongres, który wciąż był w traumie po wydarzeniach w Nowym Jorku.
W rezultacie otrzymaliśmy czek in blanco na prowadzenie dochodzeń przez policję. Dlaczego tak powinno być? Ponieważ, mimo że wymagany jest nakaz sądowy, sędzia nie może już sprzeciwić się jego wydaniu, uzasadniając to brakiem „prawdopodobnego powodu”.
W rezultacie wszystkie Państwa dane mogą zostać przejęte bez informowania Państwa o tym lub bez możliwości sprzeciwu ze strony amerykańskiego sędziego. Proszę nie myśleć, że Konstytucja USA jest pomocna, ponieważ według Departamentu Sprawiedliwości USA, Patriot Act jedynie kodyfikuje orzecznictwo uznane już przez Sąd Najwyższy.
Naprzykład w 1979 r. Sąd Najwyższy orzekł, że argument, iż tajne przeszukania są niezgodne z konstytucją, jest „niepoważny”. Dwanaście lat wcześniej Sąd Najwyższy orzekł, że funkcjonariusze policji nie muszą informować oskarżonego o przyczynie lub przyczynach przeszukania.
Nowością w ustawie Patriot Act dla francuskich i europejskich firm jest jednak jej eksterytorialne zastosowanie. Innymi słowy, od momentu, gdy Państwa firma zostanie podejrzana o powiązania z osobą lub grupą terrorystyczną zagrażającą amerykańskiemu terytorium lub jego interesom, cały arsenał administracyjny może zostać uruchomiony przeciwko Państwu.
Proszę nie myśleć, że ujdzie to Państwu na sucho, nawet jeśli nie zamierzają Państwo nawiązywać kontaktów z grupami terrorystycznymi lub z klientem, którego radykalne pomysły mogli Państwo przeoczyć. Przekonamy się, że ustawa Patriot Act jest w praktyce znacznie mniej jednoznaczna, niż się wydaje. Zanim to jednak nastąpi, przyjrzyjmy się innemu odpowiednikowi ustawy o bezpieczeństwie: Cloud Act.
Czym jest ustawa o chmurze?
Ustawa o chmurze została uchwalona w 2018 r. w celu zapewnienia władzom USA większego dostępu do danych użytkowników rozwiązań do przechowywania danych online.
Oficjalnie jest on przedstawiany przez Departament Sprawiedliwości jako umożliwiający władzom państw trzecich żądanie od dowolnej amerykańskiej firmy hostującej dane, w celu uzyskania do nich dostępu w ramach postępowania karnego.
Mówiąc bardziej szczegółowo, pozwala to każdej amerykańskiej administracji na uzyskanie danych o dowolnym użytkowniku, o ile są one :
– przechowywane w Stanach Zjednoczonych
– lub przechowywane przez amerykańską firmę w dowolnym kraju na świecie,
– a wszystko to bez wiedzy kogokolwiek, z wyjątkiem firmy, której dane dotyczą i odpowiedniego departamentu rządowego.
Ten najnowszy akt prawny Stanów Zjednoczonych nie jest jedynym narzędziem w służbie rządu USA.
Czym jest Foreign Intelligence Surveillance Act (FISA)?
Ustawa FISA została uchwalona w 1978 roku przez Kongres, który chciał uregulować praktyki inwigilacyjne władz federalnych. Podobnie jak Patriot Act, ustawa ta miała na celu skodyfikowanie istniejących praktyk.
Sekcja 702, dodana w 2008 roku, zobowiązuje amerykańskie firmy do ułatwiania ukierunkowanej inwigilacji osób przebywających poza terytorium USA.
Prawo to dotyczy w szczególności obywateli spoza Stanów Zjednoczonych podejrzanych o posiadanie, otrzymywanie lub przekazywanie informacji istotnych dla kontrwywiadu. Jego zakres, podobnie jak Patriot Act, jest oficjalnie ukierunkowany na zwalczanie międzynarodowego terroryzmu.
Rozporządzenie wykonawcze 12333
Executive Order 12333, podpisany przez Ronalda Reagana w 1981 roku, jest, jak wskazuje Washington Post, dokumentem oferującym jeszcze większe możliwości niż te zawarte w sekcji 215 Patriot Act.
Jednak dekret prezydencki 12333 tym razem dotyczy tylko obywateli USA mieszkających za granicą. To nadal pozwoli amerykańskim agencjom wywiadowczym zagłębić się w Państwa dane, jeśli będą one zainteresowane jednym z Państwa amerykańskich klientów.
Zgodnie z tym dekretem wszystkie dane przejęte przez amerykańskie agencje wywiadowcze są wykonywane bez żadnego nakazu, a zatem bez żadnej kontroli ze strony sędziego, a nawet Kongresu.
Jak Państwo widzą, prawo nie zawsze jest gwarancją dla najsłabszych przed siłą najsilniejszych. Nie zawsze chroni ono wolności jednostki lub, szerzej, wolności publiczne jako całość. Zwłaszcza gdy weźmiemy pod uwagę jego zastosowanie, a zatem jego interpretację.
Prawo istnieje tylko poprzez swoją interpretację
Właściwe zrozumienie prawa nigdy nie może być osiągnięte po prostu poprzez jego przeczytanie. Dlaczego tak jest? Ponieważ zawsze niemożliwe jest dosłowne stosowanie prawa. Innymi słowy, aby zrozumieć zakres danego aktu prawnego, należy zrozumieć jego zastosowanie. Jest to problem, jaki stwarza amerykańska ustawa Patriot Act i Cloud Act.
Kiedy Patriot Act odnosi się do „podejrzanej aktywności”, jak jest ona definiowana? Co obejmuje to pojęcie? Tylko poprzez interpretację dana aktywność może zostać określona jako podejrzana. Problem polega na tym, że każda administracja interpretuje to prawo na swój własny sposób i w całkowitej tajemnicy.
Oznacza to, że gdy Państwa dane są przechowywane przez amerykańską firmę, wszystkie Państwa dane są dostępne według uznania administracji, takich jak CIA, NSA i Departament Skarbu, by wymienić tylko kilka. Nudne, prawda? I proszę nie myśleć, że jest Pan odporny na śledztwo tylko dlatego, że nie jest Pan przestępcą ani terrorystą.
Głównym celem tego arsenału prawnego nie jest polowanie na terrorystów, ale zakłócanie wolnej konkurencji. Myśleli Państwo, że Stany Zjednoczone są wzorem wolnego handlu? Mylił się Pan.
Co więcej, gromadzenie danych dotyczy nie tylko danych Państwa klientów. Nie bez powodu amerykański Departament Skarbu jest również zainteresowany przechwytywaniem danych. Ustawa FCPA pokaże Państwu, że przechowywanie danych cyfrowych może Państwa słono kosztować.
Ustawa FCPA, czyli nowy podatek dla firm spoza USA
Uchwalona w 1977 roku ustawa o zagranicznych praktykach korupcyjnych (Foreign Corrupt Practice Act) pozwala amerykańskim sądom nakazywać firmom płacenie znacznych kar. W 2014 roku Alstom zapłacił 772 miliony dolarów, Siemens 800 milionów w 2008 roku, Daimler 185 milionów w 2010 roku, a Alcatel-Lucent 137 milionów w 2010 roku. To tylko kilka z większych kwot.
Jak Pana zdaniem powstają dowody? W dowolny sposób, w tym poprzez dane, które mają Państwo w swojej chmurze. Jeśli uważają Państwo, że są bezpieczni, ponieważ nie mają spółek zależnych ani pracowników w Stanach Zjednoczonych, powinni Państwo wiedzieć, że ustawa FCPA ma zastosowanie, gdy tylko zagrożone są interesy amerykańskie. Również w tym przypadku pojęcie „interesów USA” jest otwarte na interpretację i to nie Państwa interesy mają znaczenie.
W świetle tych wszystkich informacji na temat amerykańskiego ustawodawstwa, opcja chmury zarządzanej przez francuską lub europejską firmę, na terytorium Europy, wydaje się bardziej niż interesująca. Wciąż jednak należy wziąć pod uwagę słynną dyrektywę RGPD.
RODO w świetle prawa francuskiego i europejskiego
Ogólne rozporządzenie o ochronie danych (RODO) zostało przyjęte przez Unię Europejską w celu zagwarantowania bezpieczeństwa danych, które użytkownicy powierzają w Internecie firmom działającym na terytorium Europy.
Ważne jest, aby przyjrzeć się obowiązkom nałożonym na firmę odpowiedzialną za przetwarzanie danych użytkowników i związanym z tym karom, zanim zrozumiemy jej rolę w przekazywaniu danych, zwłaszcza do Stanów Zjednoczonych.
Obowiązki administratora danych
W szczególności dyrektywa RGPD zapewnia ochronę praw dzieci w kontekście gromadzenia danych. Chociaż gromadzenie danych dotyczących dziecka w wieku poniżej 13 lat jest nadal zabronione, w przypadku dzieci w wieku od 13 do 16 lat jest to dozwolone tylko za zgodą rodziców i jeśli dotyczy usługi skierowanej bezpośrednio do dzieci.
RGPD wymaga również od administratorów danych, aby gromadzili tylko te dane, które są ściśle niezbędne do celu, dla którego zostały zebrane, oraz aby zapewnili możliwość usunięcia danych na żądanie osoby, której dotyczą.
Spełnienie wszystkich obowiązków nałożonych przez RODO może skutkować przyznaniem certyfikatu przez organ nadzorczy. Certyfikat ten jest ważny przez odnawialny okres trzech lat.
Aby uzyskać więcej informacji na temat szczegółów dyrektywy RGPD, CNIL (Commission Nationale de l’Informatique et des Libertés) opublikowała internetowy przewodnik dla bardzo małych przedsiębiorstw (VSE) oraz małych i średnich przedsiębiorstw (MŚP). Z tego przewodnika dowiedzą się Państwo, jak sporządzić listę plików, posortować dane i zabezpieczyć je.
Nieprzestrzeganie obowiązków określonych w dyrektywie RGPD może skutkować bardzo wysokimi karami finansowymi.
Kary mające zastosowanie w przypadku nieprzestrzegania przepisów
We Francji CNIL rozpatruje sprawy na trzy sposoby:
– po złożeniu skargi przez użytkowników bezpośrednio na stronie internetowej CNIL,
– po inspekcji strony internetowej lub firmy,
– po naruszeniu ochrony danych.
CNIL ma wówczas do dyspozycji pełen zakres sankcji, od publicznego ogłoszenia na stronie Légifrance i CNIL po karę finansową w wysokości do 20 000 000 EUR lub 4% światowego obrotu za poprzedni rok obrotowy.
CNIL ukarała Google grzywną w wysokości 150 milionów euro za politykę plików cookie w serwisach Google i Youtube. CNIL skrytykowała amerykańską firmę za to, że nie pozwala użytkownikom na odrzucanie plików cookie z taką samą łatwością, jak ich akceptowanie.
Tego samego dnia, 31 grudnia 2021 r., CNIL ukarała również Facebooka g rzywną w wysokości 60 mln euro z tych samych powodów, co Google.
Już same te wysokie kary podkreślają znaczenie kwestii ochrony danych w Europie. Jednak w zglobalizowanym świecie, w którym, szczególnie w Internecie, wszystkie sieci przenikają się nawzajem, wymiana danych sprawia, że artykulacja ochrony danych jest nieco skomplikowana.
Od Tarczy Prywatności do Shrem II, sędzia staje się strażnikiem danych osobowych
Dane gromadzone w Europie mogą być przekazywane do krajów trzecich. Dzieje się tak w szczególności między Europą a Stanami Zjednoczonymi, gdy spółka dominująca przekazuje dane osobowe spółce zależnej lub innemu serwerowi.
W latach 2016-2020 przepisy mające zastosowanie do przekazywania danych z Unii Europejskiej do Stanów Zjednoczonych były regulowane przez Tarczę Prywatności. Był to dwustronny traktat oferujący europejskim użytkownikom gwarancje dotyczące przetwarzania ich danych osobowych w Stanach Zjednoczonych.
Jednak ta gwarancja ochrony danych nie była tak skuteczna po stronie amerykańskiej, jak chciałby tego traktat. Austriacki prawnik o nazwisku Schrem pozwał Facebook Ireland do sądu, argumentując, że jego dane osobowe, które zostały przekazane w całości lub w części do Stanów Zjednoczonych, nie były chronione w taki sam sposób, jak dane wszystkich użytkowników sieci społecznościowej.
Trybunał Sprawiedliwości Unii Europejskiej, w orzeczeniu znanym jako Schrems II, orzekł na korzyść powoda i tym samym położył kres Tarczy Prywatności. Główne argumenty w orzeczeniu dotyczyły łatwości, z jaką amerykańskie władze publiczne i ich służby wywiadowcze mogły uzyskać dostęp do przekazywanych danych osobowych.
W samej Francji stowarzyszenia powstały przeciwko gromadzeniu danych przez rząd. Na przykład Conseil d’Et at musiała wydać orzeczenie w sprawie partnerstwa między rządem a platformą Doctolib w związku ze szczepieniami przeciwko Covid 19.
Conseil d’Etat odrzuciła wniosek stowarzyszeń, po sprawdzeniu jakości bezpieczeństwa danych, uzasadniając to tym, że nie gromadzono żadnych danych medycznych.
Podobnie stowarzyszenia takie jak La Quadrature du Net zaskarżyły dekret z dnia 25 lutego 2011 r. nakładający na dostawców usług internetowych obowiązek zatrzymywania danych cyfrowych przed Conseil d’Etat.
Sędziowie administracyjni odrzucili ich argumenty z powodów związanych z bezpieczeństwem narodowym, obroną podstawowych interesów narodu i walką z przestępczością.
Europejskie organy ścigania nie mogą jednak zarekwirować dostawcy usług internetowych lub firmy bez uprzedniej zgody sędziego. To on ocenia przydatność takiego wniosku w kontekście dochodzeń, z których śledczy składają mu sprawozdania.
Podsumowanie
Podsumowując, sytuacja w Europie w zakresie przetwarzania danych i dostępu do takich danych przez organy publiczne, niezależnie od tego, czy należą one do kompetencji ministerstw spraw wewnętrznych czy sprawiedliwości państw członkowskich Unii Europejskiej, jest wysoce uregulowana. W Europie nie ma przepisów porównywalnych do tych obowiązujących w Stanach Zjednoczonych.
W rezultacie, jeśli firma chce przechowywać dane online przy użyciu rozwiązań opartych na chmurze, ważne jest, aby wybrać europejskiego dostawcę usług, który przechowuje dane na terenie Europy.
W takim przypadku ważne jest również sprawdzenie, czy firma nie przekazuje danych do spółki zależnej z siedzibą w kraju spoza Unii Europejskiej, zwłaszcza w Stanach Zjednoczonych. Amerykańskim przepisom eksterytorialnym będzie bardzo trudno zastosować się do firmy, która nie ma żadnych powiązań ze Stanami Zjednoczonymi.
Przechowywanie danych za pośrednictwem amerykańskich firm otwiera szeroko drzwi do szpiegostwa przemysłowego i najbardziej zaawansowanych technologicznie praktyk nieuczciwej konkurencji. Jak widzieliśmy w przypadku firm Siemens, Alcatel-Lucent i Alstom, rząd Stanów Zjednoczonych, wspierany przez sądy, nie cofnie się przed niczym, aby osłabić konkurencję, z którą te firmy mają do czynienia.
Nie owijajmy więc w bawełnę.