Data Act vs CLOUD Act: kdo skutečně kontroluje vaše data v cloudu?

Evropský Data Act a americký CLOUD Act soupeří o přístup k datům uloženým v cloudu. Pochopte tento právní konflikt, jeho praktické dopady a proč jedině technická nemožnost přístupu zaručuje skutečnou digitální suverenitu.

|

Doba čtení: 6 minut

Data Act vs CLOUD Act: kdo skutečně kontroluje vaše data v cloudu?

Po celá léta svět fungoval na jednoduchém předpokladu: data mají fyzické místo uložení. Pokud se nacházela na serveru v Dublinu, řídila se irským a evropským právem. Tento předpoklad se zhroutil v roce 2018, kdy Spojené státy přijaly CLOUD Act – zákon, který dává americkým orgánům přístup k datům kontrolovaným americkými společnostmi, bez ohledu na to, kde jsou tato data fyzicky uložena na světě. O několik let později Brusel odpověděl vlastním ochranným nástrojem: Data Actem, který je nyní plně účinný a snaží se omezit extrateritoriální přístup orgánů třetích zemí k datům uchovávaným v Evropské unii.

Zde je to, co tyto dva texty skutečně stanoví, kde dochází k jejich kolizi a proč jedinou skutečně robustní ochranou před tímto konfliktem zůstává technická nemožnost přístupu.

Americký CLOUD Act: přístup založený na kontrole, nikoli na umístění

CLOUD Act (Clarifying Lawful Overseas Use of Data Act), přijatý v březnu 2018, změnil americké právo přidáním článku 18 U.S. Code § 2713. Tento text ukládá každému poskytovateli elektronické komunikační služby nebo vzdáleného počítačového zpracování povinnost uchovat, zabezpečit nebo zpřístupnit obsah komunikace nebo jakýkoli s ní související záznam, pokud tato data jsou v jeho držení, úschově nebo pod jeho kontrolou, bez ohledu na to, zda se tato data nacházejí uvnitř nebo vně Spojených států.

Právě tato poslední klauzule mění vše. Rozhodným kritériem již není fyzické umístění serveru, ale kontrola, kterou mateřská společnost vykonává nad svými dceřinými společnostmi. Americká společnost provozující datová centra v Evropě tedy zůstává podřízena americkým výzvám k vydání dat, a to i pro data uložená výhradně na evropské půdě.

Evropský Data Act: právní bariéra vůči extrateritoriálnímu přístupu

Nařízení (EU) 2023/2854, zvané Data Act, vstoupilo v platnost 11. ledna 2024 a plně se uplatňuje od 12. září 2025, přičemž některá ustanovení jsou postupně zaváděna až do roku 2026 a 2027. Jeho článek 32 přímo upravuje otázku mezinárodního vládního přístupu k datům.

Text stanoví jasné pravidlo: jakékoli rozhodnutí nebo rozsudek soudu nebo správního orgánu třetí země vyžadující od poskytovatele služeb zpracování dat přenos nebo zpřístupnění neosobních dat uchovávaných v Evropské unii je uznáno a vykonatelné pouze tehdy, pokud se opírá o mezinárodní dohodu, jako je smlouva o vzájemné právní pomoci (MLA), platná mezi žádající zemí a Unií, nebo mezi touto zemí a příslušným členským státem.

V případě neexistence takové dohody článek 32 stanoví druhou cestu, ale přísně vymezenou: zahraniční rozhodnutí lze vykonat pouze tehdy, pokud právní řád třetí země vyžaduje, aby žádost byla odůvodněná, přiměřená a dostatečně konkrétní – například tím, že prokáže jasnou spojitost s konkrétními osobami nebo trestnými činy – a pokud odůvodněná námitka příjemce může být předložena k přezkumu příslušnému soudu dané třetí země.

Přímá právní kolize

Problém je okamžitý: CLOUD Act vyžaduje zpřístupnění na základě kontroly vykonávané mateřskou společností, bez podmínek přiměřenosti srovnatelných s těmi, které vyžaduje evropské právo. Data Act naopak podmiňuje uznání takové žádosti existencí mezinárodní dohody nebo přesnými procesními zárukami. Americká společnost působící v Evropě, jíž americký orgán přikáže předat data hostovaná v Unii, se tak ocitá sevřena mezi dvě protichůdné právní povinnosti: buď splnit americký příkaz v rozporu s právem Unie, nebo dodržet Data Act a vystavit se důsledkům odmítnutí v USA.

Toto napětí není teoretické. Již bylo zdokumentováno Soudním dvorem Evropské unie (CJEU) ve dvou zásadních rozhodnutích, Schrems I (2015) a Schrems II (2020). V rozsudku Schrems II CJEU rozhodl, že americké sledování prováděné na základě oddílu 702 FISA (Foreign Intelligence Surveillance Act) a výkonného nařízení 12333 nesplňuje minimální záruky vyžadované právem Unie na základě zásady proporcionality, a nelze jej tedy považovat za omezené na to, co je nezbytně nutné. Soud rovněž poukázal na absenci účinného soudního prostředku nápravy pro dotčené osoby z Unie, v rozporu s článkem 47 Listiny základních práv. Toto rozhodnutí zrušilo rámec Privacy Shield, který do té doby upravoval přenosy dat mezi EU a USA.

Strukturální riziko: Harvest Now, Decrypt Later

Nad rámec konfliktu jurisdikcí hrozí datům hostovaným v infrastrukturách podléhajících americkému právu zákeřnější hrozba: strategie zvaná Harvest Now, Decrypt Later (HNDL). Jejím principem je, že zpravodajská služba nebo nepřátelský státní aktér již dnes zachycuje a ukládá šifrovaná data v očekávání dostatečného kvantového výpočetního výkonu k jejich budoucímu dešifrování.

Tato strategie přeměňuje každou dlouhodobou závislost na americké cloudové infrastruktuře v odloženou bezpečnostní pohledávku: to, co je dnes důvěrné, může být čitelné za deset nebo patnáct let, aniž by útočník musel podniknout jakékoli další kroky – stačí čas a trpělivost.

Proč jedině technická nemožnost představuje skutečnou záruku

Právní analýza konverguje k závěru sdílenému mnoha odborníky na compliance: jakkoli je právní rámec Data Actu pevný, stále jde o text, který lze geopolitickými poměry a diplomatickým tlakem obejít, zdržet nebo přeinterpretovat. Jedinou ochranou, která nezávisí na žádném budoucím vyjednávání, je technická nemožnost výkonu.

Architektura zero knowledge, při níž poskytovatel nikdy nevlastní ani neschovává dešifrovací klíče, činí výzvu k vydání dat materiálně neúčinnou. Nelze být nucen vydat to, co nikdy nebylo v držení.

To je logika, která tvoří základ ekosystémů jako Arpokrat:

  • Jurisdikční neutralizace: infrastruktura je hostována ve Švýcarsku, v režimu federálního zákona o ochraně dat (LPD/FADP), mimo přímý dosah extrateritoriality CLOUD Actu
  • Absence úschovy: architektura zero knowledge zbavuje poskytovatele jakékoli schopnosti předat klíče nebo obsah, které nikdy nedržel
  • Redukce identitní stopy: odstraněním povinnosti registrace pomocí telefonního čísla nebo e-mailové adresy – identifikátorů, které může sledování na základě oddílu 702 FISA snadno sledovat – přestává být uživatel identifikovatelným předplatitelem a stává se anonymním kryptografickým klíčem

Řetězec ochrany nekončí šifrováním zpráv

Aspekt často podceňovaný v analýzách compliance: nestačí šifrovat obsah komunikace, pokud podkladový operační systém – ať už Android nebo iOS – nadále zachycuje metadata nebo telemetrii na úrovni jádra, a odesílá je na servery podléhající americké jurisdikci. Ochrana tajemství vyžaduje úplné uzavření řetězce ochrany, od obsahu až po samotnou hardwarovou infrastrukturu.

Proto digitální suverenita zahrnuje i zamyšlení nad používaným operačním systémem, nejen nad aplikacemi pro zasílání zpráv. Odgoogleované systémy, kde lze moduly jako Bluetooth nebo GNSS geolokace deaktivovat přímo na úrovni jádra, eliminují fyzické vektory útoku, které žádné aplikační šifrování nemůže kompenzovat.

Post-kvantová kryptografie: horizont, který se již rýsuje

Tváří v tvář hrozbě, kterou představuje strategie HNDL, se přijetí standardů post-kvantové kryptografie (PQC) stává nezbytností pro každého, kdo chce zaručit důvěrnost citlivých dat v dlouhodobém horizontu – ať jde o obchodní tajemství, profesní korespondenci nebo zdravotní data. Šifrování považované dnes za robustní podle klasických standardů nezaručuje, že odolá kvantovým výpočetním kapacitám očekávaným v příštích patnácti letech.


Konflikt mezi Data Actem a CLOUD Actem ilustruje širší realitu: digitální suverenitu již nelze budovat výhradně na zákonných textech, jakkoli pevných. Vyžaduje uzavření řetězce ochrany na každé úrovni – od šifrovacího protokolu přes jurisdikci hostování až po samotný operační systém. Právě tento vrstvený přístup, spíše než důvěra opírající se o jediný regulační rámec, dnes definuje skutečnou digitální suverenitu záměrem.