Gdzie znajdują się moje dane osobowe i czy muszę się tym przejmować? To pytanie staje się coraz bardziej istotne, gdy zbliżamy się do końca jednej cyfrowej dekady i wkraczamy w początek kolejnej.
Konsekwencje dla danych pod koniec lat 2020.
Jeszcze w XX wieku niewiele osób zdawało sobie sprawę ze skali bitwy o dane, która miała nastąpić. Każdy, kto posiada urządzenie komputerowe i/lub dostęp do internetu, ma w tym swój udział. Stawką są zyski, wpływy, kontrola oraz możliwość uzyskania dostępu do informacji o osobie fizycznej lub firmie zza kulis.
W miarę jak firmy dążą do coraz większej integracji i powiązania ze swoją bazą klientów, rośnie potrzeba prywatności i ochrony danych. Ponieważ dla firmy posiadającej adres internetowy nie ma wyraźnych granic, stworzone są warunki do eskalacji międzynarodowych oszustw i cyberprzestępczości. To z kolei otwiera rządom drzwi do tworzenia nowych przepisów i sięgania ponad granicami w poszukiwaniu śladów danych; ich działania są uzasadniane koniecznością ochrony danych osób fizycznych. W ten sposób przepaść między prywatnością danych a ich ujawnianiem staje się jeszcze bardziej widoczna. Jednocześnie zasada terytorialności, będąca fundamentem prawa międzynarodowego, powoli zanika.
CLOUD Act
Niedawne wprowadzenie przez amerykański rząd ustawy „Clarifying Lawful Use of Overseas Data Act” (znanej również jako CLOUD Act) służy wzmocnieniu argumentów przemawiających za transgranicznym nadzorem rządowym. Przede wszystkim CLOUD Act nowelizuje ustawę Stored Communications Act (SCA) z 1986 roku. Pozwala ona federalnym organom ścigania na zmuszenie firm technologicznych z siedzibą w USA, na mocy nakazu sądowego lub wezwania, do dostarczenia żądanych danych przechowywanych na serwerach, niezależnie od tego, czy dane te są przechowywane w USA, czy na terytorium zagranicznym. Do 23 marca 2018 r. jedynym sposobem na uzyskanie przez amerykański rząd dostępu do danych zagranicznych było zawarcie traktatu o wzajemnej pomocy prawnej (Mutual Legal-Assistance Treaty) – umowy, na mocy której dwa kraje zgadzają się na dzielenie się informacjami i współpracę w celu rozwiązania dochodzenia prawnego.
CLOUD Act należycie uwzględnia kwestię szyfrowania danych. Zniechęca również rząd do wykorzystywania jej do wywierania nacisku na firmy, by te osłabiły swoje szyfrowanie. Jest to proces integralny dla bezpieczeństwa danych. Niemniej jednak wielu uważa tę ustawę za wadliwą na fundamentalnym poziomie. Wśród innych obaw wyróżnia się fakt, że ustawa została opracowana w pośpiechu. Ponadto została wydana bez upublicznionej, szczegółowej dyskusji jako część rządowej ustawy budżetowej Omnibus. Co więcej, CLOUD Act umożliwia państwom trzecim zawieranie „umów wykonawczych” z Prezydentem USA, Departamentem Stanu lub Prokuratorem Generalnym i żądanie danych przechowywanych w USA poprzez bezpośredni kontakt z firmami, co skutecznie omija kontrolę rządową. W rezultacie w sieci pojawiła się fala negatywnych opinii w reakcji na dające się przewidzieć globalne konsekwencje dla praw człowieka i prawa międzynarodowego.
Stosowanie CLOUD Act
CLOUD Act ma już zastosowanie do firm technologicznych, takich jak Google, Facebook, Twitter i Instagram. Facebook i Google faktycznie przyczyniły się do opracowania projektu nowych przepisów, wraz z Apple i Microsoft. Współpraca rządu z tymi firmami wskazuje na przesunięcie równowagi w kierunku dostawców rozwiązań technologicznych na dużą skalę. Wszystkie przedsiębiorstwa będą miały obowiązek wyznaczenia przedstawiciela prawnego ds. ujawniania danych. Z kolei mniejsze podmioty, startupy i innowatorzy, mogą borykać się z dodatkowym obciążeniem administracyjnym.
Globalna agenda
W rezultacie ustawy Cloud Act Komisja Europejska podjęła krok legislacyjny mający na celu umożliwienie wnioskowania o udostępnienie danych. Komisja utoruje również drogę do wykorzystywania dowodów elektronicznych przechowywanych przez firmy zarejestrowane w UE, niezależnie od przepisów dotyczących prywatności poszczególnych państw członkowskich. Logicznie rzecz biorąc, ustawa ta wywoła reakcję łańcuchową. Inne kraje powielą przepisy dotyczące ujawniania danych i również będą żądać informacji ponad granicami. To z kolei może doprowadzić do ogólnego obniżenia poziomu prywatności danych na całym świecie.
Co to oznacza dla CloudSigma?
CloudSigma ma wyjątkową pozycję w morzu niepewności narastającej wokół Cloud Act. CloudSigma izoluje każdą lokalizację chmury, którą zarządza, niezależnie od tego, gdzie na świecie się znajduje. Na przykład podmiot australijski prowadzi swoje lokalizacje w Australii. W związku z tym podlegają one wyłącznie prawu australijskiemu. Podobnie, jego szwajcarskie lokalizacje nie podlegają jurysdykcji UE, USA ani żadnej innej poza Szwajcarią. Dlatego klienci CloudSigma mogą łatwo kontrolować, pod jakimi jurysdykcjami chcą działać.
Ponadto klienci mogą upewnić się, że sami przestrzegają odpowiednich wymogów dotyczących ochrony danych, którym mogą podlegać. Stoi to w jaskrawej sprzeczności z globalnym podejściem wielu innych dostawców. Podejście to naraża klientów na potencjalnie liczne jurysdykcje, w tym USA i inne kraje. W ten sposób dane mogłyby być dostępne wbrew ich woli i z naruszeniem lokalnych przepisów o ochronie prywatności. W rezultacie dane te mogłyby z kolei narazić ich na odpowiedzialność nie z ich winy. Takiego scenariusza można uniknąć, korzystając z usług dostawcy takiego jak CloudSigma.
Komentarze
Brak komentarzy. Bądź pierwszy.