Mezinárodněprávní úprava elektronických důkazních prostředků, část II.

DSM 2/2024 Zobrazení: 192

Povaha informačních a komunikačních technologií si žádá existenci efektivní mezinárodní právní úpravy, která nastaví právní rámec pro instituty spolupráce jednotlivých států při získávání elektronických důkazních prostředků. Text je druhým ze série na sebe navazujících článků týkajících se mezinárodní právní úpravy v souvislosti s elektronickými důkazy. Minulý článek se věnoval úpravě jednotlivých mezinárodněprávních nástrojů v rámci EU, které byly přijaty, aby napomohly ke sjednocení a zefektivnění zajišťování a jinému nakládání s elektronickými důkazy v rámci trestního řízení. V tomto článku je rozebrán zákon Spojených států pro celosvětový přístup k datům, tzv. CLOUD Act.

               elektronické důkazy                     nové technologie a právo                                             dokazování v trestním řízení                   CLOUD Act                   Evropská unie                        Spojené státy americké              přeshraniční přístup k elektronickým důkazům

CLOUD Act

Kongres Spojených států přijal v březnu roku 2018 zákon, který v souvislosti s vyšetřováním trestné činnosti1 umožňuje vnitrostátním orgánům urychleně získat údaje přímo od amerických poskytovatelů služeb bez ohledu na to, kde jsou tato data uložena – tzv. CLOUD Act (The Clarifying Lawful Overseas Use of Data Act).2 Tento zákon má dvě části, v první části je stanovena poskytovatelům povinnost uchovávat a předkládat údaje nehledě na to, kde se nacházejí, a druhá část dává Spojeným státům oprávnění uzavírat tzv. executive agreements neboli výkonné dohody s dalšími státy.3 Uzavřením dohody je zahraničním státům umožněn4 přístup k elektronickým důkazům od poskytovatelů služeb sídlících ve Spojených státech, kteří se nacházejí (fyzicky na serverech) kdekoli na světě. CLOUD Act tímto rozšiřuje geografickou působnost již dříve přijatého zákona Stored Communications Act.5 Poskytovatelé jsou na základě této dohody zavázáni k povinnosti plnit příkazy směřující ke zpřístupnění údajů, a to za současné ochrany soukromí a práv osob.6 Uvedená výkonná dohoda byla podepsána s Austrálií7 a Spojeným královstvím,8 vyjednávání kromě EU započalo s Kanadou. V následujících odstavcích bude charakterizován vztah mezi zákonem CLOUD Act a EU. Bude podrobně rozebráno, jakým způsobem tento zákon upravuje předávání elektronických údajů. Zároveň budou zdůrazněny klíčové body, které vedou k tomu, že přijetí CLOUD Act vyvolává poměrně velké kontroverze a diskuse.

Efektivnější přístup k elektronickým důkazům?

Americká vláda odůvodnila přijetí tohoto aktu dramaticky vysokým nárůstem žádostí zahraničních států o vzájemnou právní pomoc týkající se právě žádostí o elektronické důkazy. Dle jejich tvrzení však často jediná souvislost se Spojenými státy spočívala v tom, že údaje jsou v držení mezinárodních (globálních) poskytovatelů služeb tam sídlících, avšak osoby, o jejichž údaje se jedná, jsou z jiných zemí.9 EU se se Spojenými státy shoduje, že stávající mechanismus, tedy předávání elektronických důkazů v trestních věcech na základě smlouvy o vzájemné právní pomoci z roku 2010 (včetně prováděcích smluv jednotlivých členských států), není vzhledem k objemu dat a s tím souvisejícího množství žádostí udržitelný.

Z toho důvodu Evropská komise zmocnila v roce 2019 Radu (EU) k zahájení jednání za účelem sjednání dohody mezi EU a Spojenými státy o přeshraničním přístupu k elektronickým důkazům pro justiční spolupráci v trestních věcech.10 Vzhledem ke své radikálnosti však CLOUD Act vzbudil v rámci zemí EU řadu kritiky především v oblasti ochrany základních práv osob, zejména ochrany osobních údajů. Obdobné argumenty měla v této souvislosti společnost Microsoft již v rámci sporu United States vs. Microsoft Corp., který probíhal právě v době přijetí CLOUD Actu.11 Tyto obavy se však zdají být oprávněné, a to vzhledem k postupům a dosavadní (ne)přiměřenosti Spojených států ve směru ke zpracování osobních údajů a jiných právních norem týkajících se práva na soukromí.

Konflikt s GDPR

Evropský sbor pro ochranu osobních údajů se k důsledkům přijetí zákona vyjádřil v tom smyslu, že je nejprve třeba komplexní dohody, která bude mezi zeměmi EU a Spojenými státy nastavovat v souvislosti s přeshraničním přístupem pevné hmotněprávní i procesněprávní záruky ochrany základních práv osob. Ty by měly být nastaveny zejména s důrazem na ochranu osobních údajů, která je v rámci EU zakotvena Obecným nařízením o ochraně osobních údajů neboli GDPR. Tím dojde k nastavení právní jistoty pro poskytovatele služeb, 12 která je důležitá zejména z toho důvodu, aby se v případě přijetí výkonné dohody poskytovatelé nebáli postupovat ve smyslu jejího zavedení. Obavy poskytovatelů by mohly pramenit právě z porušení ustanovení GDPR, za které hrozí vysoké pokuty.13

Jedním z velmi diskutovaných problémů přijetí je neexistence právního základu (např. mezinárodní dohody – úmluva o mezinárodní právní pomoci)14 pro postup, jenž předpokládá CLOUD Act. V souladu s čl. 48 GDPR nejsou z toho důvodu na základě žádosti, jakou předpokládá CLOUD Act, poskytovatelé služeb (na něž se vztahuje unijní právo) oprávněni přímo zpřístupnit a předat osobní údaje do třetí země15. Výjimku by mohly tvořit pouze případy, kdy je vyhovění žádosti nezbytné pro životně důležité zájmy subjektu údajů nebo jiné fyzické osoby16,17. K tomu se vyjádřil i Evropský inspektor ochrany osobních údajů, který k uzavření dohody uvedl následující: „Poskytovatelé služeb, kteří jsou správci osobních údajů, jejichž zpracování podléhá GDPR nebo jiným právním předpisům EU či členských států, budou čelit [vzájemnému] střetu právních předpisů.18

Proces vyjednávání s Evropskou unií a odpovídající ochrana údajů

První jednání mezi EU a Spojenými státy proběhlo v roce 2019, po dvou letech byla jednání zcela pozastavena z důvodu přípravy unijních předpisů týkajících se elektronických důkazů19. Mimo jiné tento pokrok ve vyjednávání zkomplikovala rozhodnutí Soudního dvora EU související s nedůvěrou v přiměřenost Spojených států ve vztahu k získávání dat a ochrany osobních údajů Schrems I a Schrems II. Ta navazovala na odhalení masového sledování ze strany americké

Národní bezpečnostní agentury (NSA) bývalým zaměstnancem Edwardem Snowdenem. Dohled se uskutečňoval nad různými formami elektronické komunikace (včetně e-mailové komunikace i internetového vyhledávání), a to nejen v rámci Spojených států, ale po celém světě, tj. včetně Evropy.20 Soudní dvůr EU ve svém rozhodnutí C-362/14 konstatoval možnost států (i přes existenci rozhodnutí ve smyslu čl. 45 GDPR21) posoudit, zda předání osobních údajů do třetí země splňuje požadavky stanovené unijním právem.22 Vzhledem k obavě z možného porušování práv zaručených občanům čl. 7 a 8 Listiny EU rozhodl o neplatnosti tehdejšího rozhodnutí o odpovídající úrovni ochrany předávaných osobních údajů, tzv. Safe Harbour.23 Později byl tento režim nahrazen rozhodnutím Privacy Shield, který měl za cíl nastavovat vyšší záruky ochrany. V roce 2020 však Soudní dvůr EU v případu C-311/18 prohlásil za neplatné i rozhodnutí Privacy Shield a současně nastínil kritéria,24 která je nutné pro soulad s unijním právem naplnit.25

Obavy vznesené v posledním rozhodnutí C-311/18 má řešit nově přijatý výkonný dekret č. 14086 „Posílení záruk pro činnosti USA v oblasti signálového zpravodajství“ (EO 14086) z října 2022, ten má zaručit soudní přezkum ochrany údajů.

V reakci na to vydala EU rozhodnutí o odpovídající ochraně pro bezpečný a spolehlivý tok údajů mezi EU a Spojenými státy.26 Tímto rozhodnutím staví Evropská komise poskytovanou úroveň ochrany osobních údajů zpracovávaných z EU americkými společnostmi naroveň s Unií, pokud se řídí podle nového Rámce EU–USA pro ochranu údajů,27 ve smyslu čl. 45 odst. 3 GDPR. Pro možnost připojit se k tomuto rámci jsou americkým společnostem stanoveny přísné podmínky,28 kterými se musí řídit. V opačném případě je předávání umožněno jen v režimu záruk. V souvislosti s trestním řízením se Evropská komise u přijetí tohoto rozhodnutí vyjádřila následovně: „Právní rámec USA navíc stanoví řadu záruk ohledně přístupu orgánů veřejné moci USA, zejména pro účely prosazování trestního práva a národní bezpečnosti, k údajům předávaným na základě rámce. Přístup k údajům je omezen na to, co je pro účely ochrany národní bezpečnosti nezbytné a přiměřené.“29

Závěr

Po několika letech je tedy dohoda umožňující urychlené zajištění elektronických důkazů opět předmětem diskuze. Po přijetí nařízení, jež upravuje vydávání a uchovávání elektronických důkazů,30 byla jednání mezi Spojenými státy a EU znovu obnovena. Možným přístupem při vyjednávání by mohlo být omezení druhů elektronických důkazů, které lze takto jednostranně vyžádat. Propp31 uvádí jako příklad vyloučení postupu dle zákona CLOUD Act pro určitý typ citlivých údajů, např. údajů týkajících se vlády (státu). Otázkou však zůstává, zda je možné vyjednat takovou dohodu, aby bylo zajištěno udržení vysoké míry ochrany osobních údajů tak, jak předpokládá GDPR, a současně bylo zamezeno potenciálním porušením unijních zásad týkajících se práva na soukromí. Jsem však přesvědčena, že je nutné dát za pravdu stanovisku americké vlády o neudržitelnosti současných mechanismů, zejména v době stále narůstající digitalizace. Kontroverze kolem zákona CLOUD Act značí potřebu pečlivého vyvážení mezi účinným zajišťováním elektronických důkazů a respektováním základních práv na soukromí jedinců. Bude tedy třeba přijmout dohodu, která bude oběma subjektům poskytovat v rámci trestního řízení efektivní přístup k datům a současně nastavovat přísné podmínky užití, a to včetně záruk soudního přezkumu zákonnosti. Americký CLOUD Act tak bezpochyby představuje výzvu pro budoucí směřování právní regulace v oblasti kybernetické bezpečnosti a ochrany údajů.

Snímek obrazovky 2024 07 09 225803Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Poznámky pod čarou: 

  1. Zejména v souvislosti s vyšetřováním závažné trestné činnosti, jako je terorismus, násilná trestná činnost, sexuální zneužívání dětí včetně trestné činnosti související s kyberkriminalitou.
  2. V této souvislosti je vhodné zmínit případ United States vs. Microsoft Corp. (Microsoft Ireland). Jednalo se o zajištění údajů z uživatelských účtů osob podezřelých z trestné činnosti. Tyto účty provozovala společnost Microsoft a údaje byly uloženy na serverech, které se fyzicky nacházely na území Irska. S tímto argumentem je odmítla společnost vydat. V průběhu byl však přijat zákon CLOUD Act, který vnitrostátním orgánům umožnil údaje získat bez ohledu na jurisdikci jejich fyzického umístění. Srov. Rozhodnutí Nejvyššího soudu Spojených států ve věci United States vs. Microsoft Corp. (Microsoft Ireland), z 17. dubna 2018. No. 17-2
  3. Office of International Affairs. CLOUD Act Resources. In: www.justice.gov. [online]. [cit. 25. 1. 2024]. Dostupné z: https://www.justice.gov/criminal/cloud-act-resources 
  4. Na základě vzájemnosti
  5. SMEJKAL, V. Kybernetická kriminalita. 3. rozšířené a aktualizované vydání. Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2022. ISBN 978-80-7380-849-5. s. 855
  6. European Union Agency For Criminal Justice Cooperation. The COUD Act. In: eurojust.europa.eu. [online]. [cit. 25. 1. 2024]. Dostupné z: https://www.eurojust.europa.eu/publication/cloud-act
  7. Srov. Dohoda mezi Austrálií a Spojenými státy k nahlédnutí zde: https://www.homeaffairs.gov.au/nat-security/files/cloud-act-agreement-signed.pdf
  8. Srov. Dohoda mezi Spojeným královstvím a Spojenými státy k nahlédnutí zde: https://www.justice.gov/d9/pages/attachments/2019/10/07/ us-ukcloudagt10.3.2019-withsidenotes.pdf
  9. Office of International Affairs. CLOUD Act Resources. Op. cit.
  10. Doporučení pro Rozhodnutí Rady o zmocnění k zahájení jednání za účelem dosažení dohody mezi EU a USA o přeshraničním přístupu k elektronickým důkazům pro justiční spolupráci v trestních věcech. In: EUR-Lex [online]. [25. 1. 2024]. Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=COM:2019:0070:FIN
  11. Rozhodnutí Nejvyššího soudu Spojených států ve věci United States v. Microsoft Corp. (Microsoft Ireland), 17. 4. 2018. No. 17-2
  12. EDPB, Evropský sbor pro ochranu osobních údajů – dvanácté plenární zasedání, www.edpb.europa.eu. [online]. [cit. 25. 1. 2024]. Dostupné z: https://edpb.europa.eu/news/news/2019/european-data-protection-board-twelfth-plenary-session_cs
  13. Centre for Europea Policy Studies (CEPS), Cross-border data access in criminal proceedings and the future of digital justice. In: https://www.ceps.eu [online]. [cit. 25. 1. 2024]. Dostupné z: https://cdn.ceps.eu/wp-content/uploads/2020/10/TFR-Cross-Border-Data-Access.pdf
  14. Srov. zákonnost zpracování (důvody zpracování) vycházející z čl. 6 GDPR
  15. Spojeným státům americkým
  16. EDPS, ANNEX. Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework for the protection of personal data and the negotiations of an EU-US Agreement on cross-border access to electronic evidence. In: www.edpb.europa.eu. [online]. [cit. 25. 1. 2024]. Dostupné z: https://edpb.europa.eu/sites/default/files/files/file2/edpb_edps_joint_response_us_cloudact_annex.pdfs s. 4
  17. Čl. 6 odst. 1 písm. d) GDPR
  18. EDPS, ANNEX. Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework for the protection of personal data and the negotiations of an EU-US Agreement on cross-border access to electronic evidence Op. cit.
  19. Nařízení o evropském vydávacím příkazu a evropském uchovávacím příkazu
  20. SUMNER, S. You: For Sale: Protecting Your Personal Data and Privacy Online, 2015. ISBN 978-0-12-803405-7. s. 17–48
  21. Rozhodnutí Komise o tom, že třetí země zabezpečuje odpovídající úroveň ochrany osobních údajů, srov. v tomto případě se jednalo o Rozhodnutí Evropské Komise 2000/520.
  22. Rozhodnutí Schrems I se týká podání několika stížností evropským orgánům pro ochranu údajů z důvodu nakládání s údaji uživatelů ze strany společnosti Facebook.
  23. Rozsudek Soudního dvora EU ze dne 6. 10. 2015, sp. zn. C-362/14
  24. Nezbytnost, přiměřenost a nastavení soudní ochrany
  25. Rozsudek Soudního dvora EU ze dne 16. 7. 2020, sp. zn. C-311/18
  26. European Commission. Adequacy decision for the EU-US Data Privacy Framework. In: commission.europa.eu/ [online]. [cit. 25. 1. 2024] Dostupné z: https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf
  27. Tamtéž
  28. Např. vymazání osobních údajů, když již nebudou potřeba k účelu, pro který byly shromážděny.
  29. Evropská Komise. Ochrana údajů: Evropská komise přijala nové rozhodnutí o odpovídající ochraně pro bezpečný a spolehlivý tok údajů mezi EU a USA. In: ec.europa.eu. [online]. [cit. 25. 1. 2024]. Dostupné z: https://ec.europa.eu/commission/presscorner/detail/cs/ip_23_3721
  30. Nařízení o evropském vydávacím příkazu a evropském uchovávacím příkazu
  31. PROPP, K. Navigating Toward an EU-U.S. Agreement on Electronic Evidence. In: Lawfare. 1. prosince 2023 [online]. [cit. 24. 1. 2024]. Dostupné z: https://www.lawfaremedia.org/article/navigating-toward-an-eu-u.s.-agreement-on-electronic-evidence
Vytisknout