W swoim niedawnym komunikacie pt. „Europejska dekada cyfrowa: cele cyfrowe w 2030 r.” Komisja Europejska (KE) słusznie podkreśliła, że „obecnie dane wytwarzane w Europie są zwykle przechowywane i przetwarzane poza Europą. Poza Europą na ich bazie budowana jest też wartość. Chociaż przedsiębiorstwa generujące i wykorzystujące dane powinny zachować swobodę wyboru w tym względzie, warto pamiętać, że taki stan może nieść ze sobą zagrożenia w zakresie bezpieczeństwa cybernetycznego czy dostaw, ograniczenie możliwości zmiany dostawców, czy ryzyko bezprawnego dostępu do danych przez państwa trzecie. Dostawcy usług w chmurze z siedzibą w UE mają jedynie niewielki udział w rynku chmurowym, co naraża Unię Europejską na takie ryzyka i ogranicza potencjał inwestycyjny europejskiej branży cyfrowej w obszarze przetwarzania danych”. Uzupełniając analizę KE, chcielibyśmy podzielić się naszymi spostrzeżeniami dotyczącymi potrzeb i oczekiwań rynku oraz dotychczas stwierdzonych na szczeblu UE niedociągnięć w tym temacie.

Bazując na naszym doświadczeniu i opiniach klientów, zaufanie do usług w chmurze w dużej mierze zależy od kwestii związanych z suwerennością danych. Tymczasem wiele europejskich firm zdaje się ignorować fakt, że mogą stanąć w obliczu negatywnych skutków wynikających z narażenia na pozaunijne przepisy eksterytorialne, niekoniecznie łatwe do zidentyfikowania. W związku z tym mogą poruszać się w zewnętrznych przepisach prawa z dużą niepewnością.

Napotykamy również sytuacje, w których klienci CSP nie mają możliwości obiektywnego, dokładnego i przejrzystego pomiaru poziomu narażenia ich danych na pozaeuropejskie przepisy eksterytorialne, niezależnie od tego, czy są one przechowywane i przetwarzane na terytorium Europy, czy też nie. Ten brak przejrzystych informacji nie tylko szkodzi suwerenności i wolności wyboru naszych klientów – bo trudniej im podejmować dobrze udokumentowane decyzje strategiczne – ale także uniemożliwia europejskim CSP oferującym rozwiązania chroniące suwerenność danych (co zwykle jest wynikiem konsekwentnych, celowych inwestycji) odróżnienie się od swoich konkurentów w kluczowym aspekcie dla dzisiejszych i przyszłych użytkowników chmury w Europie.

Zgodnie z tymi obserwacjami brakuje nam spójnej i jasnej unijnej oceny, w jakich okolicznościach europejskie przedsiębiorstwa mogą być narażone na jurysdykcję eksterytorialną przy przetwarzaniu danych oraz jakie konflikty z prawodawstwem UE może to powodować. Chociaż w pełni popieramy prace instytucji UE, państw członkowskich i Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) w zakresie cyberbezpieczeństwa, uważamy, że aktualne podejście do tego zagadnienia, stosowane do usług przetwarzania w chmurze, pomija podstawowy czynnik: przejrzystą ocenę odporności CSP na prawodawstwo pozaeuropejskie, co może mieć skutki eksterytorialne (w zakresie przetwarzania i przechowywania danych).

Proponowane dalsze kroki

ENISA przygotowuje obecnie projekt certyfikacji cyberbezpieczeństwa dla dostawców usług w chmurze, który niedawno został poddany konsultacjom społecznym; naszym zdaniem wprowadzenie przepisów związanych z odpornością na prawa eksterytorialne w zakresie przetwarzania i przechowywania danych jest absolutnie konieczne, aby ta certyfikacja odniosła prawdziwy sukces: jak dotąd jedynym celem, nawet przy „wysokim” poziomie pewności certyfikacji, jest zapewnienie przejrzystych informacji w tym zakresie.

Konkretyzując: sposobem na uzyskanie wymaganego poziomu zaufania do certyfikowanych usług w chmurze byłoby wprowadzenie wymogu przechowywania danych w regionie, w centrum danych fizycznie zlokalizowanym w UE, którego właścicielem jest podmiot z siedzibą w Unii. Uzupełniając ostatnie zalecenia Europejskiej Rady Ochrony Danych (EROD), uważamy również, że powinno się wymagać prawem udzielenia większej ilości informacji w odniesieniu do całego zestawu usług przetwarzania w chmurze – od informacji o lokalizacji nieruchomości po komponenty oprogramowania, które składają się na chmurę – aby zapewnić pełną przejrzystość w zakresie obowiązującej jurysdykcji, zgodnie z warunkami przechowywania, obliczania i przetwarzania danych.

Yann Lechelle Yann Lechelle  

CEO Scaleway