Americký federální zákon CLOUD Act svým názvem sice naznačuje obor působnosti, ovšem nejedná se o plošný zákonný rámec pro veškeré cloudové služby, jak by se mohlo na první pohled zdát. Právě naopak. Důležité je písmeno "O" uprostřed zkratky CLOUD (Clarifying Lawful Overseas Use of Data Act). Tedy Zákon o vyjasnění zákonného využívání údajů v zahraničí. Protože z pohledu Spojených států ze Evropa zámořská oblast, měl by nás zmíněný zákon zajímat. Zejména s ohledem na vzrůstající zájem o digitální suverenitu.
Předcházející události
Vydávání dat americkým úřadům upravoval od roku 1986 zákon Stored Communications Act (SCA). Ten nijak konkrétně nezohledňoval situaci, pokud jsou data ve správě amerických společností uloženy mimo území Spojených států. Jednoduše se s tím nepočítalo. Americké vojenské základny a mise v zahraničí fungují zpravidla na bilaterálně sjednaných smlouvách, které vyjímají tato území z jurisdikce dotčených států a vkládají pod jurisdikci Spojených států. Ale situace, kdy v roce 2013 Microsoft odmítal vydat americkým orgánům v rámci drogové kauzy kopie emailů ze schránky svého uživatele byla nová. Microsoft poskytl FBI informace k poštovnímu účtu, protože tyto informace se nacházely na serverech v USA, ale domítl vydat samotné emailové zprávy, protože server fyzicky běžel v Dublinu v Irsku.
Okresní soud Spojených států pro jižní okres New Yorku vydal v prosinci 2013 příkaz na poskytnutí zmíněných emailů na žádost FBI, proti čemuž se Microsoft bránil žádostí o zrušení příkazu. Microsoft tvrdil, že americký soudce nemá pravomoc vydat příkaz k předání informací uložených v zahraničí. Magistrátní soud v květnu následujícího roku dospěl k zajímavému závěru, že příkazy podle zákona SCA jsou zároveň i předvoláním ke svědectví, proto se na ně nemá vztahovat územní omezení. Situace se následně zmedializovala a vyvolal ohlas u dalších subjektů. Irská vláda se ozvala, že vydání takových dat lze na základě smlouvou o vzájemné právní pomoci MLAT (Mutual legal assistance treaty). Na stranu Microsoftu se přidaly technologické společnosti i jednotlivci. V průběhu právních tahanic se sporný výklad SCA dotkl také dalších společností jako Google nebo Yahoo. Bylo jasné, že musí dojít k novelizaci SCA a jasnému stanovení, zda-li data na zahraničních serverech ve správě amerických společností nebo jejich dceřinných společností musí být předávány nebo nikoliv.
Rozpočtový přílepek o zámořských serverech
V průběhu následujích let soudních tahanit republikánský kongresman Doug Collins společně s dalšími kongresmany napříč partajemi předložil v novelizaci SCA s názvem CLOUD Act, který byl jen krátce ústně projednán a následně schválen jako přílepek k zákonu o vládních výdajích, který následně v březnu 2018 podepsal Donald Trump v rámci svého prvního prezidentského období. Tou dobou s Nejvyšší soud zrovna zabýval žádostí o přezkoumání kauzy „Microsoft Ireland“, příčemž přílepek s názvem CLOUD Act dopomohl tuto pět let starou kauzu uzavřít. Učinil spor bezpředmětným, protože Microsoft s výkladem souhlasil. GDPR začalo platit až 25. května 2018. Kopie mailů z irských serverů byly vydány. Zpětně lze konstatovat, že Microsoft vydání dat dlouhodobě právně napadal, zejména s odkazem na absenci jasné právní úpravy pro přeshraniční přístup k datům a na možný konflikt s právem cílového státu. Z dostupných informací zároveň nevyplývá, že by irské orgány vůči Microsoftu v této věci následně uplatnily sankce.
Co přinesl CLOUD Act
Jak bylo řečeno, CLOUD Act stanovil, že americká společnost má povinnost vydat data, která má ve své kontrole (possession, custody, control). Musí být splněny následující podmínky:
- Na základě soudního příkazu (warrant).
- Při existenci pravděpodobného důvodu (probable cause).
- Pro konkrétní trestní případ.
- Na konkrétně vymezená data.
Zároveň CLOUD Act umožňuje zohlednění cizího práva, ale nepodřizuje se mu automaticky. Umožňuje proto cloudovým společnostem žádat o zrušení (motion to quash) nebo úpravu (motion to modify) příkazu, pokud by jeho splnění vedlo ke kolizi s právem jiné země. V případě EU a osobních údajů tak může docházet ke konfliktu s GDPR, k němuž se ještě vrátíme. Samotné posouzení konfliktu právních systémů podle CLOUD Act provádí americký soud, a to na návrh dotčené cloudové společnosti, nikoliv z vlastní iniciativy.
Dále CLOUD Act stanovil právní rámec pro zjednodušené bilaterální smlouvy, které usnadní vydávání dat z třetích zemí nad rámec MLAT. Doposud takové smlouvy dle CLOUD Act uzavřely Spojené státy pouze s Velkou Británií v roce 2022 a Austrálií v roce 2024. Pro vyžádání dat s osobními údaji z EU tak stále platí, že je nutné využívat žádosti o právní výpomoc MLAT.
Soulad s evropským právním řádem
Jak bylo řečeno, samotná Listiny základních práv ještě nemusí automaticky znamenat, že soukromá data nebudou předány americkým orgánům jen rozhodnutím okresního soudce. Naopak evropské nařízení o ochraně osobních údajů GDPR (General Data Protection Regulation), které bylo zavedeno v roce v roce 2016 s účinností od 25. května 2018, však přesně na tyto případy pamatuje.
GDPR vs CLOUD Act
GDPR se extrateritoriálnímu vydávání osobních dat explicitně věnuje v článku čl. 48, kde se přímo říká:
Rozhodnutí soudního orgánu a rozhodnutí správního orgánu třetí země, jež po správci nebo zpracovateli požadují předání nebo zpřístupnění osobních údajů, lze jakýmkoli způsobem uznat nebo vymáhat, pouze pokud vycházejí z mezinárodní dohody, například úmluvy o vzájemné právní pomoci, která je v platnosti mezi žádající třetí zemí a Unií nebo členským státem, aniž jsou dotčeny jiné důvody pro převod podle této kapitoly.
Z pohledu GDPR nejsou mimoevropské soudní příkazy (warrants) považovány za dostatečný právní základ. Americká společnost nemůže americkému orgánu dle evropského práva osobní data jednoduše vydat. Přičemž z pohledu GDPR není rozhodující, jaké občanství má osoba, které se osobní údaje týkají, protože rozhodující je teritorium. Tedy zpracování osobních dat na území EU. Evropští odpůrci CLOUD Act tuto skutečnost často opomíjí. Berou americký zákon jako prvoplánově namířený na suverentiu EU. Z pohledu amerických orgánů je primárně zaměřen na data amerických občanů, kteří digitální stopu přesunují mimo území Spojených států. Dá se tak říct, že kolize s evropským právem je spíše nezáměrným důsledkem. Protože se jedná o citlivou problematiku, k vůli nimž provozovatelé cloudů kráčí na tenkém právním ledě, nedozvídáme se o konkrétních sporech příliš často. Dá se však usuzovat, že z pohledu případných právních důsledků se americké společnosti mohou více zdráhat vydání dat evropských občanů než amerických občanů.
Další navazující rozpor vzniká z pohledu informování osoby, které se vydávané údaje týkají. Americké úřady samozřejmě budou často vyžadovat mlčenlivost (gag order), protože půjde o probíhající vyšetřování. GDPR na takové případy pamatuje z pohledu evropských orgánů. Zajistit mlčenlivost u amerických žádostí a vyhovět GDPR je tak opět problematické, pokud není použit MLAT
Slovo závěrem
Ať se na problematiku díváme ze všech stran, jediným skutečně nekolizním způsobem vydávání osobních dat z digitálního prostoru EU je žádost o mezinárodní právní výpomoc MLAT. Vše ostatní je pokaždé v menším či větším rozporu s evropskýcm právem, zejména ochraně dat GDPR. Americké společnosti jsou v obtížné pozici, kterak vyhovět všem dotčeným stranám. Tedy americkým orgánům, evropskému právu, dotčené osobě a vlastní reputaci.
