Łukasz Olejnik

Bezpieczeństwo, cyberbezpieczeństwo, prywatność, ochrona danych

Microsoft vs USA. Kiedy sąd może żądać danych z chmury?

Czy organy ścigania USA mogą żądać od firmy amerykańskiej danych znajdujących się w UE?

Czy można ufać bezpieczeństwu i prywatności przetwarzania oraz przechowywania danych “w chmurze” (ang. cloud computing)? Zagadnienie to jest skomplikowane. W usługach cloud-computing zwyczajowo dane przechowywane mogą być w wielu krajach, a co za tym idzie - podpadać pod różne jurysdykcje. Dodatkowo, firma dostarczająca usługi może sama znajdować się w innym kraju. Niepewność związana z kwestiami jurysdykcyjnymi są czasem standardowym elementem branym pod uwagę przy szacowaniu ryzyka. Stanowi to wyzwanie w (nawet, jeśli rzadkiej) sytuacji, gdy dostawca usług otrzymuje nakaz przekazania danych organom ścigania.

Z takim przykładem mamy do czynienia w sprawie Microsoft kontra USA. W 2013 roku sąd w Nowym Jorku wystosował nakaz przekazania danych dotyczących jednego z użytkowników usługi e-mail. Microsoft nie zgodził się z tym żądaniem - argumentując, że w tym przypadku dane te znajdują się na serwerach w Irlandii (Dublin). Organy sprawiedliwości nie dały za wygraną i ponownie nakazały próbowały wymusić przekazanie danych, od czego firma złożyła apelację. W 2016 Microsoft wygrał sprawę apelacji - i nie przekazał danych, a w styczniu 2017 ostatecznie wygrał sprawę (utrzymano apelację) zatem nie jest zobowiązany do udostępnienia organom ścigania Stanów Zjednoczonych treści e-maili. O ile sprawa nie trafi do Sądu Najwyższego, albo Kongresu - sędziowie składający zdanie odrębne nadal argumentowali, że Microsoft jest firmą amerykańską, zatem dane udostępnić powinien.

Ta sprawa jest bezprecedensowa, w praktyce ponadto bardzo ważna. Dotyczy prywatności danych, ale także ryzyka operacji biznesowych. Czy jeśli firma jest z danego kraju (np. USA) to może zostać zmuszona do przekazania danych, nawet jeśli jej serwery znajdują się formalnie i technicznie w innym kraju (i jurysdykcji)? Ujmując rzecz wprost chodzi tu też o to, aby firma z Polski, Niemiec czy Francji miała jasność co do tego, kto może mieć wgląd w ich dane przechowywane w chmurze.

Jest to kwestia, którą trzeba brać pod uwagę przy projektowaniu systemów i szacowaniu ryzyka.

Comments is loading...

Comments is loading...