List otwarty do instytucji Unii Europejskiej
W swoim niedawnym komunikacie pt. „Europejska dekada cyfrowa: cele cyfrowe w 2030 r.” Komisja Europejska (KE) słusznie podkreśliła, że „obecnie dane wytwarzane w Europie są zwykle przechowywane i przetwarzane poza Europą. Poza Europą na ich bazie budowana jest też wartość. Chociaż przedsiębiorstwa generujące i wykorzystujące dane powinny zachować swobodę wyboru w tym względzie, warto pamiętać, że taki stan może nieść ze sobą zagrożenia w zakresie bezpieczeństwa cybernetycznego czy dostaw, ograniczenie możliwości zmiany dostawców, czy ryzyko bezprawnego dostępu do danych przez państwa trzecie. Dostawcy usług w chmurze z siedzibą w UE mają jedynie niewielki udział w rynku chmurowym, co naraża Unię Europejską na takie ryzyka i ogranicza potencjał inwestycyjny europejskiej branży cyfrowej w obszarze przetwarzania danych”. Uzupełniając analizę KE, chcielibyśmy podzielić się naszymi spostrzeżeniami dotyczącymi potrzeb i oczekiwań rynku oraz dotychczas stwierdzonych na szczeblu UE niedociągnięć w tym temacie.
Bazując na naszym doświadczeniu i opiniach klientów, zaufanie do usług w chmurze w dużej mierze zależy od kwestii związanych z suwerennością danych. Tymczasem wiele europejskich firm zdaje się ignorować fakt, że mogą stanąć w obliczu negatywnych skutków wynikających z narażenia na pozaunijne przepisy eksterytorialne, niekoniecznie łatwe do zidentyfikowania. W związku z tym mogą poruszać się w zewnętrznych przepisach prawa z dużą niepewnością.
Napotykamy również sytuacje, w których klienci CSP nie mają możliwości obiektywnego, dokładnego i przejrzystego pomiaru poziomu narażenia ich danych na pozaeuropejskie przepisy eksterytorialne, niezależnie od tego, czy są one przechowywane i przetwarzane na terytorium Europy, czy też nie. Ten brak przejrzystych informacji nie tylko szkodzi suwerenności i wolności wyboru naszych klientów – bo trudniej im podejmować dobrze udokumentowane decyzje strategiczne – ale także uniemożliwia europejskim CSP oferującym rozwiązania chroniące suwerenność danych (co zwykle jest wynikiem konsekwentnych, celowych inwestycji) odróżnienie się od swoich konkurentów w kluczowym aspekcie dla dzisiejszych i przyszłych użytkowników chmury w Europie.
Zgodnie z tymi obserwacjami brakuje nam spójnej i jasnej unijnej oceny, w jakich okolicznościach europejskie przedsiębiorstwa mogą być narażone na jurysdykcję eksterytorialną przy przetwarzaniu danych oraz jakie konflikty z prawodawstwem UE może to powodować. Chociaż w pełni popieramy prace instytucji UE, państw członkowskich i Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) w zakresie cyberbezpieczeństwa, uważamy, że aktualne podejście do tego zagadnienia, stosowane do usług przetwarzania w chmurze, pomija podstawowy czynnik: przejrzystą ocenę odporności CSP na prawodawstwo pozaeuropejskie, co może mieć skutki eksterytorialne (w zakresie przetwarzania i przechowywania danych).
Proponowane dalsze kroki
ENISA przygotowuje obecnie projekt certyfikacji cyberbezpieczeństwa dla dostawców usług w chmurze, który niedawno został poddany konsultacjom społecznym; naszym zdaniem wprowadzenie przepisów związanych z odpornością na prawa eksterytorialne w zakresie przetwarzania i przechowywania danych jest absolutnie konieczne, aby ta certyfikacja odniosła prawdziwy sukces: jak dotąd jedynym celem, nawet przy „wysokim” poziomie pewności certyfikacji, jest zapewnienie przejrzystych informacji w tym zakresie.
Konkretyzując: sposobem na uzyskanie wymaganego poziomu zaufania do certyfikowanych usług w chmurze byłoby wprowadzenie wymogu przechowywania danych w regionie, w centrum danych fizycznie zlokalizowanym w UE, którego właścicielem jest podmiot z siedzibą w Unii. Uzupełniając ostatnie zalecenia Europejskiej Rady Ochrony Danych (EROD), uważamy również, że powinno się wymagać prawem udzielenia większej ilości informacji w odniesieniu do całego zestawu usług przetwarzania w chmurze – od informacji o lokalizacji nieruchomości po komponenty oprogramowania, które składają się na chmurę – aby zapewnić pełną przejrzystość w zakresie obowiązującej jurysdykcji, zgodnie z warunkami przechowywania, obliczania i przetwarzania danych.
CEO Scaleway
Podobne wywiady i felietony
Po co nam Komisja Europejska?
Zamiast faktycznie stać na straży przestrzegania prawa unijnego KE wybiera te sprawy, które mają charakter polityczny.
Cloud made in Europe
Yann Lechelle, dyrektor generalny Scaleway, w rozmowie na temat projektu GAIA-X, którego celem jest powstanie europejskiego ekosystemu chmury, co ma umożliwić firmom oraz instytucjom ze Starego Kontynentu zachowanie tak zwanej suwerenności technologicznej.