Ondřej Profant

GDPR vs. CLOUD Act

15. 07. 2020 — V souvislosti s vyhláškou k používání cloudu ve státní správě, kterou nyní připravuje NÚKIB, se opět otevírá otázka bezpečnosti dat na úložištích amerických firem. A to i v případě, že se tato úložiště fyzicky nacházejí v EU. Podle americké legislativy (tzv. CLOUD Act) totiž v odůvodněných případech musí americké firmy tato data vládě vydat. Taková praxe se ale dostává do ostrého rozporu s nařízením GDPR, které chrání soukromí evropských občanů.

Jedná se tak o komplikovaný právní problém, ve kterém se střetává americká a evropská legislativa. Data státní správy přitom obsahují citlivé údaje, které by se rozhodně neměly dostat do nesprávných rukou. Ať už jde o soukromé firmy nebo cizí mocnosti.

Hloubku problematiky předávání dat umocňuje její plošnost. Je jasné, že předání jedné fotky nebo jiného méně citlivého údaje díru do světa neudělá. Avšak v případě státu se bavíme o databázích, ve kterých jsou informace o všech občanech. Dobrým příkladem jsou fotky z občanského a řidičského průkazu, které jsou dnes zpravidla uloženy v dostatečné kvalitě umožňující rozpoznávání obličejů. Pochopitelně ještě nebezpečnější je situace v případě citlivých dat o zdravotním stavu. O tato data navíc stát může přijít velice snadno, často může stačit pouhá snaha ušetřit. Cloudové řešení totiž bývá mnohdy ekonomicky výhodnější než vlastní hosting.

Pokud jsou ale data v cloudu, hrozí jim celý repertoár nových nebezpečí – například zranitelnost Meltdown, nebo právě přímé zásahy jiných států. Tedy situace, kdy provozovatel je v jiném státě povinen data předat bez možnosti zákazníka (v tomto případě tedy ČR) to ovlivnit. V tom spočívá nebezpečí CLOUD Act, podle kterého musí americké firmy na základě příkazu vydat požadovaná data ze svých serverů. Zákon také pamatuje na opravné prostředky a na možnost firem příkaz napadnout u soudu. Jde o tzv. discovery requests.

Evropský sbor pro ochranu osobních údajů a evropský inspektor pro ochranu údajů proto vyjádřili ke CLOUD Act jasně negativní stanovisko. Přestože uznávají, že v některých případech může být vydání dat oprávněné, vždy je nutný soulad s GDPR. Takový soulad je podmíněn existencí dohody o právní spolupráci (MLAT), která už sice v nějaké formě mezi EU a USA existuje, ale podle stanoviska by měla být znovu vyjednána a zpřesněna, protože CLOUD Act tu existující “pravděpodobně obchází”.

V této souvislosti je třeba připomenout i postoj zastávaný Evropskou komisí. Článek 48 GDPR totiž jasně říká, že příkaz zahraničního soudu sám o sobě nečiní transfer dat podle GDPR legální.

Problém ale je, že vymáhání GDPR je dost špatné a nekoordinované. Zatím neexistuje relevantní případ, kdy by například americká firma poskytla data podle CLOUD Actu a byla za to pokutována. To má vliv i na soudy v Americe, protože americká firma (pokud se rozhodne data na požádání nevydat) by měla mimo jiné prokázat, že by z poskytnutí dat měla problémy (a jak může mít problémy, když to EU nevymáhá).

CLOUD Act není jediným zákonem spojených států, který bezpečnost evropských dat narušuje. S rostoucí popularitou cloudových služeb ale právě díky němu může docházet k bezprecedentnímu odlivu ohromného objemu dat z Evropy do Spojených států.