Strona główna
O nas
Open source Aplikacje mobilne Najczęściej zadawane pytania Migracja z Google Photos O PixelUnion
Cennik Blog
Centrum Pomocy
Konto Immich Migracja Inne Skontaktuj się z pomocą
Get Started
Privacy

CLOUD Act wyjaśniony: Co to oznacza dla twoich zdjęć i prywatności

PixelUnion Team
6 min read
#CLOUD Act #Digital Sovereignty #Europe #Big Tech #Privacy #Data Protection #GDPR
CLOUD Act wyjaśniony: Co to oznacza dla twoich zdjęć i prywatności

Twoje zdjęcia znajdują się w “chmurze”. Ale w której chmurze? I jakie przepisy tam obowiązują?

Jeśli przechowujesz zdjęcia na Google Fotos, iCloud, OneDrive lub Dropbox, prawdopodobnie zakładasz, że Twoje dane są chronione przez przepisy o ochronie prywatności kraju, w którym znajdują się te serwery. Jeśli Twoje zdjęcia są przechowywane w Europie, możesz myśleć, że europejskie przepisy dotyczące prywatności - takie jak RODO - cię chronią. Ale istnieje amerykańska ustawa, o której prawdopodobnie nigdy nie słyszałeś, która może unieważnić wszystko to. Називается CLOUD Act, i jest ważniejsza, niż myślisz.

Co to jest CLOUD Act?

CLOUD Act to krótka, złożona ustawa amerykańska z 2018 roku. Nazwa oznacza “Clarifying Lawful Overseas Use of Data” - co, szczerze mówiąc, brzmi bardziej mylące niż sama ustawa. Możesz przeczytać rzeczywisty tekst tutaj, ale tłumaczymy go na prosty polski.

Oto główna idea: Jeśli amerykańska firma przechowuje Twoje dane - nawet jeśli serwery fizycznie znajdują się w Europie - organy ścigania Stanów Zjednoczonych mogą żądać, aby ta firma bezpośrednio wydała Ci Twoje dane, bez wcześniejszego pytania europejskich władz o pozwolenie.

Pomyśl o tym w ten sposób: Wynajmujesz mieszkanie w Paryżu. Właściciel jest Amerykaninem. Selon les règles normales, jeśli policja chciałaby przeszukać Twoje mieszkanie, musiałaby przejść przez francuskie sądy i uzyskać francuską zgodę. Ale co jeśli istnieje reguła, która mówi, że amerykańscy właściciele muszą otwierać swoje drzwi dla amerykańskiej policji każdorazowo, gdy zażąda? To jest zasadniczo to, co robi CLOUD Act - pozwala amerykańskim organom ścigania obejść europejskie procesy prawne i iść bezpośrednio do firmy, która przechowuje Twoje dane.

CLOUD Act pozwala amerykańskim władzom żądać danych od amerykańskich firm technologicznych, nawet gdy dane są przechowywane na europejskich serwerach i należą do obywateli europejskich - potencjalnie unieważniając europejskie ochrony prywatności.

Dlaczego to jest ważne (nawet jeśli Twoje dane są w Europie)

Możesz pomyśleć: “Moje zdjęcia są przechowywane w niemieckim centrum danych, chronione przez prawo niemieckie”. Brzmi to bezpiecznie. Ale nie prawo chroniące budynek ma znaczenie - ma znaczenie prawo chroniące firmę, która obsługuje budynek.

Kiedy przesyłasz zdjęcia do Google Fotos, Google (firma amerykańska) jest za nie odpowiedzialna. Siedziba Google’a jest w Kalifornii. Google musi przestrzegać amerykańskich przepisów. Jeśli amerykańskie organy ścigania pojawią się z żądaniem prawnym, Google musi przestrzegać prawa amerykańskiego - nawet jeśli Twoje zdjęcia znajdują się na serwerach we Frankfurcie, Amsterdamie czy Dublinie.

CLOUD Act został rzeczywiście zaprojektowany w celu rozwiązania innego problemu: miał pomóc amerykańskim firmom technologicznym w uniknięciu sprzecznych żądań prawnych z wielu krajów. Ale skutkiem ubocznym było stworzenie ścieżki prawnej dla władz amerykańskich do dostępu do danych przechowywanych gdziekolwiek na świecie, o ile pewna amerykańska firma je posiada.

RODO nie chroni cię przed CLOUD Act

Tutaj staje się to ważne: RODO (ogólne rozporządzenie o ochronie danych UE) jest fantastyczne. Daje Ci prawa, ogranicza to, co firmy mogą robić z Twoimi danymi, i wymusza przejrzystość. Ale RODO dotyczy tego, co firmy mogą robić z Twoimi danymi z własnej inicjatywy. To nie jest osłona przed żądaniami rządowymi.

CLOUD Act dotyczy dostępu rządowego. RODO nie może powstrzymać amerykańskich organów ścigania przed postawieniem żądania prawnego na mocy reguł CLOUD Act. To dwie różne rzeczy:

  • RODO kontroluje to, co firmy robią z Twoimi danymi w normalnym codziennym biznesie
  • CLOUD Act kontroluje to, co rządy mogą żądać od tych firm

Nawet firma, która doskonale przestrzega RODO, musi nadal przestrzegać żądania CLOUD Act od amerykańskich władz. To jak posiadanie najtwardszych reguł wynajmu na świecie - ale policja nadal może wejść, jeśli ma nakaz.

Kto jest rzeczywiście dotknięty?

Zasadniczo: każdy, kto korzysta z głównych usług przechowywania w chmurze lub zdjęć. Obejmuje to:

  • Google Fotos i Google Drive
  • Apple iCloud
  • Microsoft OneDrive i Outlook
  • Dropbox
  • Zdjęcia Amazon
  • Facebook i Instagram (które również hostują Twoje zdjęcia)
  • Jakąkolwiek inną amerykańską firmę chmurową

Jeśli amerykańska firma przechowuje Twoje dane, CLOUD Act może mieć zastosowanie. To nie jest teoretyczne - amerykańskie organy ścigania już zastosowały uprawnienia CLOUD Act do żądania danych od firm technologicznych, a firmy zwykle się do tego zastosowują.

Rzeczywiste konsekwencje

Dajmy temu konkretny kształt. Wyobraź sobie:

  • Dziennikarz w Polsce używa Google Drive do przechowywania badań i dokumentów. Amerykańskie władze badające źródła dziennikarza mogą żądać, aby Google wydał wszystko - chociaż dane są przechowywane w Europie, a dziennikarz jest Europejczykiem.

  • Fotograf w Niemczech używa Dropbox do tworzenia kopii zapasowych zdjęć klientów i kontraktów. Jeśli będzie badany z jakiegoś powodu, amerykańskie władze mogą uzyskać dostęp do tych plików bez przechodzenia przez sądy niemieckie.

  • Aktywista na Węgrzech używa Gmaila i Google Fotos. Amerykańskie władze mogłyby uzyskać dostęp do jego wiadomości e-mail i zdjęć, gdyby miały podstawę prawną do tego.

To nie są scenariusze paranoiczne. Tak naprawdę działa prawo.

Jak CLOUD Act różni się od innych reguł

Możesz słyszeć o ustawach takich jak RODO, SCHREMS II lub decyzjach o wystarczalności. Są one ważne, ale działają inaczej:

  • RODO mówi firmom, jak postępować z Twoimi danymi. Nie zatrzymuje to rządów.
  • Decyzje o wystarczalności (takie jak między UE a USA) próbują zbudować zaufanie między regionami. Ale nie unieważniają CLOUD Act.
  • SCHREMS II utrudnił przenoszenie danych między kontynentami. Ale nie uniemożliwia żądań CLOUD Act, gdy dane znajdują się u amerykańskiej firmy.

CLOUD Act jest powyżej większości tego - to bezpośrednia ścieżka prawna dla amerykańskich władz do dostępu do danych.

Co możesz rzeczywiście zrobić?

Nie możesz zrezygnować z CLOUD Act. Ale masz opcje:

1. Używaj europejskich alternatyw. Usługi takie jak Nextcloud, Proton (mający siedzibę w Szwajcarii) lub mniejsi europejscy dostawcy nie podlegają CLOUD Act, ponieważ nie są amerykańskimi firmami. Daje ci to rzeczywistą ochronę na mocy prawa europejskiego.

2. Szyfruj przed przesłaniem. Jeśli Twoje dane są szyfrowane end-to-end (ty masz klucze, firma nie), firmy nie mogą dostarczać czytelnych danych, nawet jeśli władze tego żądają. Szukaj usług z architekturą zero-knowledge.

3. Rozumiesz ryzyko. Dla przypadkowych zdjęć rodzinnych? Może ryzyko jest dopuszczalne. W przypadku wrażliwych dokumentów, dokumentacji medycznej lub czegokolwiek, co musisz utrzymać w prywatności? Warto rozważyć alternatywy.

4. Wspieraj ustawodawstwo o ochronie prywatności. Opowiadaj się za silniejszymi europejskimi ustawami o ochronie danych i przepisami ograniczającymi, w jaki sposób władze amerykańskie mogą uzyskiwać dostęp do danych obywateli UE.

Dlaczego istnieje PixelUnion

Zbudowaliśmy PixelUnion właśnie z powodu takich obaw. PixelUnion to europejska, skoncentrowana na prywatności usługa zarządzanego przechowywania zdjęć i filmów. Twoje dane pozostają w Europie, pod ochroną prawa europejskiego. Nie sprzedajemy Twoich danych, nie budujemy profili na Twój temat, i nie podlegamy CLOUD Act, ponieważ nie jesteśmy amerykańską firmą.

Uważamy, że powinieneś być w stanie przechowywać swoje zdjęcia i wspomnienia bez zastanawiania się, czy obca władza może do nich uzyskać dostęp bez Twojej wiedzy lub zgody.

CLOUD Act nie jest tajną konspirą. To rzeczywista ustawa z rzeczywistymi konsekwencjami. Nie musisz panikować, ale musisz to zrozumieć - szczególnie jeśli zależy ci na prywatności. Twoje zdjęcia mówią Twoją historię. Zasługujesz na wiedzę, jakie przepisy chronią tę historię.

Odkryj przechowywanie zdjęć skoncentrowane na prywatności bez obaw CLOUD Act. Dowiedz się więcej o PixelUnion.