Računalništvo v oblaku: EU ne zaupa tretjim državam, npr. ZDA


EU je zaskrbljena glede ustreznosti varstva osebnih podatkov, ki se s storitvami računalništva v oblaku iznosijo v tretje države.

Pojavljajo se namreč problemi pri iznosu osebnih podatkov v Združene države Amerike (ZDA). Namreč: ameriške oblasti lahko "zakonito" dostopajo do osebnih podatkov državljanov EU, shranjenih na strežnikih v oblaku, in sicer na podlagi ameriškega zveznega Domovinskega zakona (Patriot Act) in Amandmaja o zunanjem obveščevalnem nadzornem organu (US Foreign Intelligence Surveillance Amendment, FISA).
Posledično EU izgubi izključno suverenost nad podatki svojih državljanov že s tem, ko se ti podatki prenesejo na strežnike v oblaku, ki se nahajajo na ozemlju pod ameriško pristojnostjo.

Omenjeno se dogaja kljub mehanizmom, ki jih je EU sprejela za zaščito osebnih podatkov 'v oblaku':
  • načela 'Varni pristan' ali Safe Harbor Principles: gre za sporazum med EU in ZDA glede priznavanja evropskih minimalnimi standardov na področju varstva podatkov. Za ameriške organizacije, ki potrdijo zahteve Safe Harbor, se domneva, da izpolnjujejo evropske standarde varstva podatkov. Ker pa je bil dogovor Safe Harbor sklenjen z namenom preprečiti nenamerno razkritje ali izgubo podatkov, se za primere 'namernega' razkritja (ko npr. ameriški organ pregona pridobi dostop do podatkov, uvoženih iz EU) ne more uporabljati;
  • standardne pogodbene klavzule (SPK) ali model contract clauses: gre za tipske pogodbene klavzule, ki jih je Evropska komisija odobrila za uporabo v pogodbah med upravljavcem in uvoznikom podatkov; in
  • zavezujoča poslovna pravila ali Binding Corporate Rules (BCRs): gre za pravne zaveze, predlagane s strani EU in ki jih podjetja sklenejo za primer prenosa in obdelave osebnih podatkov zunaj Evropskega gospodarskega prostora (EGP). BCRs se uporabljajo predvsem pri prenosu podatkov znotraj skupine podjetij.
Ker gre v zadnjih dveh primerih za pogodbene dogovore med konkretnima strankama ('izvoznikom' in 'uvoznikom' osebnih podatkov), je seveda jasno, da takšna pravila tretje države - kot neke oblasti in avtoritete - ne omejujejo glede dostopa in nadzora nad 'uvoženimi' podatki.

Obstoječi mehanizmi so se torej izkazali za neustrezne glede varovanja iznešenih osebnih podatkov, saj ne preprečujejo nadzora tretjih držav nad iznešenimi podatki; konkretno v primeru ZDA to pomeni, da ne prepovedujejo ameriškim organov kazenskega pregona, da bi pridobili dostop do podatkov, iznešenih iz EU v ZDA.
EU tako ne more nadzorovati, kdo lahko dostopa do osebnih podatkov evropskih državljanov, ko so ti podatki enkrat že naloženi na strežnike, ki se nahajajo v tretjih državah.

Ker obstoječi mehanizmi ureditve računalništva v oblaku ne preprečujejo sistemskega tveganja izgube suverenosti EU nad podatki, namerava EU začeti nova pogajanja z ZDA, z namenom zavarovanja človekove pravice do zasebnosti, ki bi Evropejcem zagotavljala enako raven zaščite pred sodišči ZDA, kot so je deležni pred evropskimi sodišči.

Verjetno pa bo do ustrezne preureditve pravil glede računalništva v oblaku in iznosa podatkov v tretje države preteklo še kar nekaj vode. Pustimo se presenetiti.

Več o problematiki posredovanja osebnih podatkov v tretje države si lahko preberete na spletni strani Evropskega parlamenta: http://www.europarl.europa.eu/committees/en/libe/studiesdownload.html?languageDocument=EN&file=79050.






Avtor: Maja Koželj, pravna svetovalka JK Group d.o.o.
 
Objavljeno: marec 2013

Oznake: pravno svetovanje
 

 
 

Vas zanima več?

   

Na spletni strani uporabljamo piškotke (cookies). Nekateri piškotki zagotovijo, da stran deluje normalno, drugi poskrbijo za vašo lažjo uporabo spletne strani, štetje števila obiskovalcev in delovanje vtičnikov, ki omogočajo deljenje vsebin. Če boste nadaljevali, bomo sklepali, da ste z veseljem sprejeli vse piškotke.
Zavrni piškotke.