Съвместим ли е Американският закон за облака с европейския GDPR; mind Media

Жан-Себастиан Мариес и Нина Госе, адвокати от De Gaulle Fleurance & Associés, отговарят на въпрос, зададен от някои професионалисти в онлайн рекламата, особено тези, които се занимават с големи обеми лични данни. Началото на отговор: Френски доставчик на услуги, който е дъщерно дружество на компания, установена в Съединените щати, може при определени условия да бъде предмет на искане за предаване на данни от американските власти.

закон

На 25 май влизането в сила на GDPR откри нова ера в защитата на личните данни, принуждавайки компаниите, особено тези в медиите и индустрията за онлайн реклама, да преосмислят своите практики, с цената на често значителни инвестиции.

Независимо дали става въпрос за маркетингов аргумент или дълбоко убеждение, защитата на данните се превърна в императив за много играчи. Но сега страните едва се възстановиха от усилията си за спазване на правилата на 25 май (което все още не изглежда така за повечето играчи осем месеца по-късно), че се появяват нови несигурности: гаранциите, свързани с данните за поверителност, изисквани от доставчиците на ИТ услуги, ще бъдат застрашени от Закона за облака, иначе известен като Закон за изясняване на законното използване на данни в чужбина. Този закон, приет от САЩ през март 2018 г., позволява на американските власти да изискват от компаниите да разкриват данни, независимо от местоположението им.

Съвместим ли е този Американски облачен закон с европейския GDPR? Въпреки че изразените страхове не са неоснователни, митовете и фантазиите не трябва да водят до дезинформация, вредно за просветленото доверие на компаниите, използващи тези услуги.

Кои са актьорите, предмет на Закона за облака ?

По същество Законът за облака не създава нов режим за достъп до данни, но изяснява съществуващата рамка. По този начин Законът за облака изменя Закона за съхранените комуникации (SCA) глава от Кодекса на САЩ (USC), еквивалентна на френските наказателни кодекси и наказателно производство. Важно е да се подчертае, че режимът за достъп до данни, предвиден от SCA, не предвижда право, което би било абсолютно и неограничено.

Първото ограничение е видовете оператори и участващите данни. SCA е насочен само към доставчици на електронни съобщителни услуги (ECS) - например телефонни оператори или доставчици на интернет услуги (дори уебсайт, който би предложил на своите клиенти възможността за изпращане на съобщения или комуникации до трети страни), и доставчици на услуги за отдалечени компютърни услуги (RCS) - например доставчик на услуги за хостинг в облак. Бизнес, който не се вписва в тези категории оператори, не може да бъде пряко засегнат от иск за Cloud Act.

Въпреки това доставчиците на услуги, за които той използва - например неговия хост на данни или доставчик на електронна поща - могат от своя страна да попаднат в тези категории и следователно данните на тази компания могат да бъдат засегнати при определени условия.

По отношение на видовете данни, които може да са необходими, това са електронни комуникационни данни (съдържание, метаданни и потребителски данни), които се съхраняват по електронен път, за разлика от данните в процес на транзит, чийто режим е определен от други текстове, специфични за прихващания в реално време . Тези данни могат да включват критични за бизнеса данни, както и лични данни. Законът за облака не променя този съществен обхват на текста, нито приложимите процесуални гаранции, които представляват втора гаранция (включително намесата на съдия, който в повечето случаи оценява основателността и уместността на искането за достъп до данните с оглед на обстоятелствата по разследването).

За да бъде обхванато от иска по Закона за облака, засегнатият оператор все още трябва да е обект на юрисдикция на САЩ. Като такова тук трябва да се подчертае, че критериите за определяне дали дадено дружество е обект на американска юрисдикция са широки, като прилагането на американското законодателство не се ограничава само до компании, регистрирани в САЩ или със седалище на територията. Във връзка с това трябва да се има предвид, че оценка на обстоятелствата за всеки отделен случай, като се вземе предвид по-специално естеството и степента на „контакт“ със Съединените щати, може, в зависимост от действащите критерии, да доведе до да бъде предадено в американската юрисдикция на компании, установени във Франция.

Например, френски доставчик на услуги, дъщерно дружество на компания, установена в САЩ, може да бъде обект на искане за предаване на данни, ако властите преценят, че компанията майка упражнява контрол върху тях. Все още ще трябва да бъде изпълнено допълнително условие: властите на САЩ могат да изискват само данни, притежавани и контролирани от оператора.