Microsoft zmagal: ameriška sodišča ne morejo zahtevati dostopa do podatkov v tujini

Epilog je dobil izjemno pomemben sodni postopek v ZDA, ki ga je sprožil Microsoft z nasprotovanjem sodni odredbi o izročitvi uporabniških podatkov ameriškem tožilstvu, ker so se nahajali izključno na strežniku na Irskem. Prvostopenjsko sodišče je pritrdilo zahtevi tožilstva, na drugi stopnji pa je zmagal Microsoft. To je pomembna odločitev za vse Evropejce, ki imamo večino osebnih podatkov, dasi pri ameriških podjetjih (Facebook, Google, Microsoft), fizično na evropskih strežnikih.

Decembra 2013 je bila Microsoftu vročena sodna odredba po 30 let starem zakonu Stored Communications Act, da mora tožilstvu izročiti vse podatke o imetniku nekega elektronskega predala pri MSN.com, vključno z vsebino. Šlo je za preiskavo v zvezi s prometom z mamili, podrobnosti pa niso znane. Tako sploh ne vemo, ali gre za ameriškega državljana ali ne, in ali je bil potem sploh uradno česa obtožen.

Microsoft je odredbo upošteval v delu, ki se je nanašal na podatke, ki so shranjeni v ZDA, medtem ko vsebine elektronske pošte ni izročil, ker je bila shranjena ekskluzivno na Irskem. Tožilstvo se je pritožilo in prvostopenjsko sodišče je ugotovilo, da je Microsoft kršil odredbo. Microsoft se je pritožil.

Drugostopenjsko sodišče je danes razsodilo, da zakon ne velja izven ZDA in da četudi je podjetje ameriško, zakon ne more zahtevati izročitve podatkov, ki jih fizično ni v ZDA. V obrazložitvi je zapisalo, da kongres pri sprejemu zakona ni imel v mislih njegove veljavnosti izven ZDA, in da zakon tega tudi ne dovoljuje. Ker je Microsoft v celoti izpolnil odredbo glede v ZDA shranjenih podatkov, je s tem izpolnil svojo dolžnost.

Odločitev je prelomna, ker to pomeni, da ameriška sodišča od ameriških podjetij po SCA ne morejo pridobiti naših podatkov, če so shranjeni na primer v EU. Ko je evropsko sodišče lani razveljavilo dogovor (varni pristan) o iznosu podatkov evropskih državljanov v ZDA, so začela ameriška podjetja pospešeno seliti podatke evropskih državljanov na strežnike EU. Medtem sta EU in ZDA podpisala že nov dogovor Zasebnostni ščit, a bodo ameriška podjetja verjetno temu navzlic večji del podatkov obdržala v EU.

To seveda ne pomeni, da so podatki popolnoma nedostopni ameriškim organom pregona. Ti še vedno lahko zanje zaprosijo sodišče države, kjer so podatki shranjeni. Tak postopek je bistveno počasnejši in manj gotov, a v primeru utemeljenega suma v urejenih državah načeloma deluje. Seveda pa je bistveno drugače, če je strežnik lociran v kakšni eksotični državi. Dodatno prepreko pa predstavlja čedalje popularnejše popolnoma šifrirano komuniciranje (end-to-end), kjer ponudnik do podatkov niti tehnično ne more.