Ustawa CLOUD Act: Co Każda Europejska Kancelaria Prawna Musi Wiedzieć
Ustawa CLOUD Act przyznaje USA jurysdykcję eksterytorialną nad Twoimi danymi. Oto co to oznacza dla Twojej kancelarii i Twoich klientów.
Podsumowanie w 30 Sekund
Jeśli Twoja kancelaria korzysta z Microsoft 365, Google Workspace lub jakiegokolwiek innego dostawcy chmury z siedzibą w USA, dane Twoich klientów mogą zostać przekazane organom ścigania USA — niezależnie od tego, gdzie fizycznie znajdują się serwery.
To nie jest teoria. To obowiązujące prawo.
Czym Jest Ustawa CLOUD Act?
Clarifying Lawful Overseas Use of Data Act (CLOUD Act) została podpisana przez prezydenta USA 23 marca 2018 roku. Znowelizowała Stored Communications Act, wyraźnie potwierdzając, że organy ścigania USA mogą zobowiązać firmy technologiczne z siedzibą w USA do udostępnienia danych przechowywanych na serwerach niezależnie od ich fizycznej lokalizacji.
Kluczowe Przepisy
- Zasięg eksterytorialny: Nakazy USA dotyczą danych przechowywanych w dowolnym miejscu na świecie, jeśli są kontrolowane przez firmę z USA
- Brak wymogu powiadomienia klienta: Firmy mogą być zobowiązane do nieujawniania klientom informacji o żądaniach dotyczących danych
- Umowy wykonawcze: Dwustronne umowy mogą usprawnić transgraniczne żądania dotyczące danych
Dlaczego Ma To Znaczenie dla Europejskich Kancelarii Prawnych
Ryzyko Naruszenia Tajemnicy Adwokackiej
Gdy organy USA wydają nakaz CLOUD Act wobec Microsoftu dotyczący danych przechowywanych w centrum danych w Dublinie, Microsoft musi się zastosować. Komunikacja z klientami, akta spraw i dokumenty objęte tajemnicą zawodową nie są chronione przez prawo UE w tym scenariuszu.
Kolizja z RODO
I tu zaczyna się komplikacja:
- Artykuł 48 RODO stanowi, że orzeczenia sądów spoza UE nie są uznawane, chyba że istnieje umowa międzynarodowa
- Przestrzeganie CLOUD Act może zatem naruszać RODO
- Twoja kancelaria ponosi ryzyko prawne z obu jurysdykcji jednocześnie
Mit “Bezpiecznej Przystani”
Wiele kancelarii wierzy, że korzystanie z “centrów danych UE” zapewnia ochronę. To błędne przekonanie.
| Dostawca | Centrum Danych UE | Nadal podlega CLOUD Act? |
|---|---|---|
| Microsoft Azure | Tak (Dublin, Amsterdam) | Tak |
| AWS | Tak (Frankfurt, Paryż) | Tak |
| Google Cloud | Tak (wiele lokalizacji UE) | Tak |
Jurysdykcja nad danymi wynika z siedziby spółki dominującej, nie z lokalizacji serwera.
Co Możesz Zrobić?
Opcja 1: Zaakceptować Ryzyko
Niektóre kancelarie uznają, że wygoda przeważa nad ryzykiem. To uzasadniona decyzja biznesowa, ale powinna być świadoma.
Opcja 2: Dostawcy Spoza USA
Korzystaj z dostawców chmury z siedzibą poza jurysdykcją USA i jej sojuszników. Uwaga: dostawcy z Wielkiej Brytanii mogą mieć podobne problemy ze względu na dwustronne umowy.
Opcja 3: Suwerenna Infrastruktura
Wdróż AI i zarządzanie dokumentami na infrastrukturze, którą fizycznie kontrolujesz, w ramach swojej jurysdykcji.
Właśnie dlatego zbudowaliśmy Tacitus.
Dalsze Lektury
- US Department of Justice: Zasoby dotyczące CLOUD Act
- Europejska Rada Ochrony Danych: Stanowisko w sprawie CLOUD Act
- Artykuł 48 RODO – Tekst
Chcesz ocenić ryzyko jurysdykcyjne swojej kancelarii? Pobierz naszą Listę Kontrolną Suwerennej AI lub umów spotkanie informacyjne.