Jak Google rozpatruje wnioski urzędowe o ujawnienie informacji o użytkowniku
Instytucje państwowe z całego świata przesyłają do Google wnioski o ujawnienie informacji o użytkowniku. Uważnie analizujemy każdy taki wniosek, by mieć pewność, że jest on zgodny z obowiązującym prawem. Jeśli wniosek dotyczy ujawnienia zbyt wielu informacji, staramy się zawęzić zakres danych do ujawnienia, a w niektórych przypadkach odmawiamy dostarczania jakichkolwiek informacji. Liczbę i rodzaje wniosków, jakie otrzymujemy, można sprawdzić w naszym Raporcie przejrzystości.
Sposób, w jaki reagujemy na otrzymany wniosek, zależy od dostawcy usług Google. W przypadku większości naszych usług jest to Google LLC – amerykańska firma prowadząca działalność na podstawie przepisów prawa amerykańskiego – lub Google Ireland Limited – firma z siedzibą w Irlandii działająca na podstawie prawa irlandzkiego. Aby dowiedzieć się, który dostawca ma zastosowanie w Twoim przypadku, zapoznaj się z Warunkami korzystania z usług Google lub zapytaj administratora konta, czy Twoje konto Google jest zarządzane przez organizację.
Gdy otrzymujemy wniosek od instytucji państwowej, przed ujawnieniem informacji wysyłamy e-maila na konto użytkownika. Jeśli konto jest zarządzane przez organizację, powiadamiamy o otrzymanym przez nas wniosku administratora konta.
Nie informujemy użytkownika o wniosku w przypadku, gdy przepisy prawa mające zastosowanie do wniosku zakazują nam tego. Użytkownik otrzymuje informację o wniosku po ustąpieniu zakazu prawnego, na przykład po upływie ustawowego lub określonego przez sąd okresu, w którym ujawnienie takich informacji byłoby zakazane.
Możemy nie przesłać informacji o wniosku w przypadku, gdy konto zostało dezaktywowane lub przejęte przez hakera. Możemy nie poinformować użytkownika o wniosku także w sytuacji awaryjnej, na przykład jeśli zagrożone jest bezpieczeństwo dziecka lub czyjeś życie – w takim przypadku użytkownik otrzyma powiadomienie, gdy stan zagrożenia minie.
Wnioski przesyłane przez amerykańskie agencje państwowe w związku ze sprawami cywilnymi, administracyjnymi i karnymi
Czwarta poprawka do Konstytucji Stanów Zjednoczonych oraz ustawa o prywatności w łączności elektronicznej (Electronic Communications Privacy Act, ECPA) ograniczają agencjom państwowym możliwość wymuszania na dostawcach usług ujawniania informacji o użytkownikach. Władze amerykańskie muszą spełnić co najmniej następujące wymagania:
- W każdym przypadku: wydanie wezwania sądowego nakazującego ujawnienie podstawowych danych rejestracyjnych subskrybenta i określonych adresów IP
- W sprawach karnych
- Wydanie orzeczenia sądowego wymuszającego ujawnienie zapisów niedotyczących treści, takich jak zawartość pól Do, Od, DW, UDW, a także sygnatur czasowych z e-maili.
- Wydanie nakazu przeszukania w celu wyegzekwowania ujawnienia treści wiadomości, takich jak e-maile, dokumenty czy zdjęcia
Wnioski amerykańskich agencji państwowych dotyczące spraw związanych z bezpieczeństwem narodowym
W sprawach związanych z bezpieczeństwem narodowym rząd amerykański może skorzystać z listu bezpieczeństwa narodowego (National Security Letter, NSL) lub z wybranych uprawnień przyznanych mu na mocy ustawy o nadzorze nad wywiadem zagranicznym (Foreign Intelligence Surveillance Act, FISA) w celu wyegzekwowania na Google dostarczenia informacji o konkretnych użytkownikach.
- List NSL nie wymaga zgody sądu i może zostać wykorzystany wyłącznie w celu wyegzekwowania na nas dostarczenia ograniczonych informacji o subskrybencie.
- Nakazy wydawane na podstawie ustawy FISA i przyznawane na jej mocy uprawnienia mogą zostać wykorzystane w celu wymuszenia nadzoru elektronicznego oraz ujawnienia przechowywanych danych, w tym treści z usług takich jak Gmail, Dysk Google i Zdjęcia.
Wnioski organów administracji państwowej spoza Stanów Zjednoczonych
Google LLC otrzymuje czasami wnioski o ujawnienie danych od organów administracji państwowej spoza Stanów Zjednoczonych. Gdy otrzymamy taki wniosek, możemy przekazać informacje o użytkowniku, jeśli jest to zgodne z następującymi przepisami:
- Przepisy prawa amerykańskiego: dostęp do informacji i ich ujawnienie muszą być dozwolone na mocy obowiązujących przepisów prawa amerykańskiego, takich jak ustawa o prywatności w łączności elektronicznej (ECPA)
- Przepisy prawa obowiązujące w kraju, z którego pochodzi wniosek: wymagamy, by władze zastosowały się do tych samych procedur i wymogów prawnych, które miałyby zastosowanie, gdyby wniosek został złożony u lokalnego dostawcy podobnej usługi
- Normy międzynarodowe: możemy przekazać dane w odpowiedzi na wniosek, który jest zgodny z Zasadami swobody wypowiedzi i prywatności organizacji Global Network Initiative oraz pokrewnymi wytycznymi dotyczącymi ich wdrażania
- Zasady Google z uwzględnieniem wszelkich obowiązujących Warunków korzystania z usług oraz postanowień Polityki prywatności, a także zasad dotyczących ochrony swobody wypowiedzi
Google Ireland odpowiada za dostarczanie większości usług Google w Europejskim Obszarze Gospodarczym i na terenie Szwajcarii, dlatego otrzymuje także wnioski dotyczące informacji o użytkownikach.
Wnioski od irlandzkich agencji państwowych
W toku analizy wniosków o ujawnienie informacji o użytkownikach, które zostały przesłane przez irlandzkie agencje państwowe, Google Ireland stosuje się do przepisów prawa irlandzkiego. Prawo irlandzkie wymaga, by irlandzkie organy ścigania uzyskały nakaz sądowy wymuszający przekazanie przez Google Ireland informacji o konkretnych użytkownikach.
Wnioski od organów administracji państwowej spoza Irlandii
Google Ireland świadczy usługi użytkownikom z całego Europejskiego Obszaru Gospodarczego i Szwajcarii i czasami otrzymuje wnioski o ujawnienie danych o użytkownikach pochodzące od organów administracji państwowej spoza Irlandii. W takich przypadkach możemy ujawnić dane użytkownika, jeśli jest to zgodne ze wszystkimi wymienionymi przepisami:
- Prawo irlandzkie: dostęp do danych i ich ujawnienie muszą być dozwolone zgodnie z obowiązującymi przepisami prawa irlandzkiego, takimi jak irlandzka ustawa o wymiarze sprawiedliwości w sprawach karnych
- Przepisy prawa Unii Europejskiej obowiązujące w Irlandii: dotyczy to wszystkich przepisów prawa Unii Europejskiej mających zastosowanie na terenie Irlandii, w tym Ogólnego rozporządzenia o ochronie danych (RODO)
- Przepisy prawa obowiązujące w kraju, z którego pochodzi wniosek: wymagamy, by władze zastosowały się do tych samych procedur i wymogów prawnych, które miałyby zastosowanie, gdyby wniosek został złożony u lokalnego dostawcy podobnej usługi
- Normy międzynarodowe: możemy przekazać dane w odpowiedzi na wniosek, który jest zgodny z Zasadami swobody wypowiedzi i prywatności organizacji Global Network Initiative oraz pokrewnymi wytycznymi dotyczącymi ich wdrażania
- Zasady Google z uwzględnieniem wszelkich obowiązujących Warunków korzystania z usług oraz postanowień Polityki prywatności, a także zasad dotyczących ochrony swobody wypowiedzi
Możemy ujawnić informacje agencji państwowej, jeśli mamy powody, by przypuszczać, że możemy w ten sposób zapobiec czyjejś śmierci lub fizycznej krzywdzie, na przykład w przypadku gróźb ataków bombowych, strzelanin w szkołach, porwań, zaginięć czy samobójstw. Tego rodzaju wnioski również są przez nas analizowane pod kątem obowiązujących przepisów prawa oraz naszych zasad.