Mamy ciąg dalszy sprawy Microsoft vs. United States, w której spór dotyczy możliwości żądania przez amerykańskie organy ścigania dostępu do danych składowanych w data center w Irlandii. Kiedy w ubiegłym roku ogłoszono korzystne dla Microsoft orzeczenie Sądu Apelacyjnego (2nd Circuit), pojawiły się komentarze, że zwolennicy ochrony prywatności/danych osobowych mogą odetchnąć, a przetwarzanie danych w chmurze – a przynajmniej w chmurze dostawców z USA – nie otrzymało „ciosu regulacyjnego”. Chyba jednak nie do końca, bo amerykański Departament Sprawiedliwości kilka dni temu złożył w Sądzie Najwyższym wniosek o przyjęcie sprawy do rozpoznania. Problem jest prosty: czy amerykański dostawca ma obowiązek wykonać nakaz sądu, aby wydać dane znajdujące się fizycznie poza USA? Szybko jednak zaczynają się schody.

Na razie pozostaje w mocy wyrok Sądu Apelacyjnego, zdaniem którego byłoby to niedopuszczalne, bo nakaz sądowy nie działa „transgranicznie”. Ale odpowiedź jest daleka od oczywistości ze względu na nie najmłodsze amerykańskie przepisy (ponad trzydziestoletni Stored Communications Act). Jest tu kilka specyficznie amerykańskich problemów, jak na przykład to, czy użyte w ustawie słowo warrant, czyli nakaz, oznacza właśnie nakaz, czy też jest to w rzeczywistości bardziej wezwanie (czyli subpoena), tylko nieszczęśliwie nazwane. Ale pojawia się też trochę argumentów bardziej uniwersalnych, więc pochylmy się nad nimi.

Przede wszystkim, według amerykańskiego rządu, nie chodzi tu o jakieś „transgraniczne” działanie amerykańskich przepisów. Nakaz był skierowany do amerykańskiej spółki, która sama zdecydowała się przechowywać dane w europejskim data center i w każdej chwili może uzyskać do nich dostęp i przekazać dane organom ścigania, już na terytorium USA.

Po drugie, Microsoft korzysta z przywilejów wynikających z działania w USA, więc nie powinien unikać przestrzegania przepisów obowiązujących w USA, tym bardziej gdy – tu argumentacja zupełnie nie zaskakuje – może chodzić o „bezpieczeństwo narodowe”, czy zwalczanie terroryzmu.

Po trzecie, co z tego, że w 1986 r. nikt przy uchwalaniu ustawy nie myślał o przetwarzaniu danych w chmurze w irlandzkim data center, skoro ustawa jest jaka jest i jakoś trzeba ją zastosować?

Po czwarte, według rządu wyrok Sądu Apelacyjnego spowodował ograniczenie współpracy amerykańskich dostawców z organami ścigania. Nie tylko Microsoft, ale też Google i Yahoo zaczęły odmawiać udostępnienia danych przechowywanych fizycznie poza USA, a to z kolei – znów brak zaskoczenia, że ten temat wraca jak mantra – podważa utrudnia działalność organom ścigania. Podobnych spraw jest zresztą w USA ponad 100.

Wreszcie, amerykański rząd twierdzi, że ewentualne problemy biznesowe Microsoftu spowodowane niekorzystnym orzeczeniem to żaden argument. Co ciekawe, obie strony powołują się tu na ryzyko związane z RODO. Microsoft powołuje się na dodatkowe ryzyko wynikające z art. 48 RODO (ten, który ogranicza dopuszczalność transferu danych poza UE na podstawie decyzji czy wyroku z państwa trzeciego). Rząd kontruje powołując się na art. 49 RODO i zawarte tam ogólne przesłanki („ważne względy interesu publicznego”, „dochodzenie roszczeń” czy – tu zastosowano okrutne i bardzo upraszczające cięcie, pomijając większość przepisu – „ważne prawnie uzasadnione interesy”). Ciężko nie odnieść wrażenia, że to dość płytka argumentacja, ale nie zmienia to faktu, że chyba pierwszy raz europejskie przepisy o danych osobowych mają szansę na odegranie roli przed amerykańskim Sądem Najwyższym

A co z Sądem Najwyższym? Rocznie trafia do niego ok. 7000-8000 spraw, z których ledwie ok. 80 trafia na wokandę. Przede wszystkim nie ma więc pewności, że w ogóle zajmie się sprawą. Zdziwię się jednak, jeżeli tak się nie stanie, bo to ciekawy i ważny problem.

Jeśli/kiedy do rozpoznania dojdzie, zobaczymy najpierw formalną odpowiedź Microsoftu, który na razie ograniczył się do komunikatu. A potem: to, co przed amerykańskim Sądem Najwyższym najciekawsze, czyli ponad godzinne „grillowanie” pełnomocników przez dziewiątkę sędziów. No, może ósemkę, bo sędzia Clarence Thomas nigdy się nie odzywa. Wszystko najwcześniej jesienią 2017.

Równolegle w Kongresie trwają prace nad nową regulacją, która kwestię transferu danych na wezwanie organów ścigania ma uregulować bardziej dokładnie i dać podstawę do zawierania dwustronnych umów z innymi krajami. Czas pokaże, czy nowe przepisy powstaną i jak daleko będą dzięki nim sięgać macki amerykańskich organów ścigania.