Lipcowy wyrok Trybunału Sprawiedliwości Unii Europejskiej wymusza konieczność ponownego wypracowania reguł określających zasady transgranicznego przetwarzania danych do USA. W jaki zatem sposób decyzja TSUE wpłynie na rynek usług cloud computing w Europie? O komentarz poprosiliśmy lokalnych przedstawicieli największych dostawców usług chmury obliczeniowej, a także Operatora Chmury Krajowej.
W połowie lipca Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał ważny wyrok w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems. TSUE stwierdził nieważność decyzji Komisji Europejskiej w sprawie Tarczy Prywatności, skutkiem czego USA uznane zostało za państwo niegwarantujące standardu równoważnego dla unijnego rozporządzenia o ochronie danych osobowych (RODO).
O sprawie pisała na łamach ITwiz Klaudia Raczek, prawniczka, zajmująca się także pracą naukową (ORCID: 0000-0001-7369-462X). Jak stwierdza: “Z chwilą wydania decyzji TSUE każda operacja transgranicznego przetwarzania danych do USA jest niezgodna z przepisami RODO. Dotyczy to zarówno użytkowników największych portali społecznościowych, których właścicielem są amerykańskie korporacje, a także firm przetwarzających dane klientów”.
W jaki sposób decyzja TSUE wpłynie na polski rynek?
„Wyrok TSUE w sprawie Schrems II będzie miał pewien wpływ na rynek cloud computing, ale nie przeceniałbym jego znaczenia” – komentuje Michał Potoczek, prezes zarządu Operatora Chmury Krajowej (OChK). Z czego to wynika? Szef OChK zauważa, że w praktyce firm europejskich, w szczególności sektorów regulowanych, funkcjonuje już założenie przechowywania i przetwarzania danych w Europejskim Obszarze Gospodarczym. „Czołowi dostawcy od dawna oferują możliwość przetwarzania danych w wybranej przez klienta lokalizacji spośród kilkudziesięciu dostępnych, również na terenie Europejskiego Obszaru Gospodarczego. Klient Chmury Krajowej podpisuje umowę z polską spółką, na gruncie prawa polskiego, wskazując, w którym regionie mają być składowane dane (np. Microsoft oferuje platformę Azure m.in. w Niemczech w czterech lokalizacjach, Google również w Niemczech lub Irlandii i wielu innych europejskich krajach), z możliwością gwarancji lokalizacji. Oznacza to, że dane będą przechowywane w określonej lokalizacji i nie będą przesyłane poza Europejski Obszar Gospodarczy. Zakres ewentualnie przekazywanych informacji mógłby dotyczyć statystyk pracy serwerów” – wskazuje Michał Potoczek.
Wyrok TSUE będzie wymagał zmian w przepisach dotyczących przetwarzania danych oraz konfiguracji serwerów, tak aby dane klientów z Europejskiego Obszaru Gospodarczego były przetwarzane na serwerach w Europie. Ale to dotyczy raczej portali skierowanych do konsumentów, takich jak Facebook, w przytoczonym wyroku Schrems II. W przypadku oferty skierowanej do firm, które w chmurze powołują swoje środowiska IT, możliwość wyboru i gwarancja lokalizacji jest oczywistą opcją. Michał Potoczek, prezes zarządu Operatora Chmury Krajowej
Wyrok potwierdza natomiast kierunek strategicznej współpracy OChK z globalnymi dostawcami polegający na lokowaniu przez nich swoich regionów – co związane jest z budową centrów danych – w Polsce. Niezależnie od tego, ze OChK oferuje ich usługi już dziś. „W perspektywie liczonej już w miesiącach obaj partnerzy strategiczni Chmury Krajowej, Google i Microsoft, uruchomią centra danych w Polsce. Polscy klienci będą mogli korzystać z zaawansowanych technologii chmurowych czołowych dostawców, przechowując dane lokalnie. Wyrok TSUE jest potwierdzeniem, że pomysł stworzenia Chmury Krajowej, dostawcy usług multicloud, który zapewni dostęp do najlepszych technologii z zachowaniem bezpieczeństwa przetwarzania danych, był jak najbardziej słuszny” – mówi Michał Potoczek.
Wyrok zdaniem Michała Potoczka nie pozostanie bez echa, natomiast w praktyce zmiany dotyczyć będą konsumentów, osób prywatnych, a nie firm. „Wyrok TSUE będzie wymagał zmian w przepisach dotyczących przetwarzania danych oraz konfiguracji serwerów, tak aby dane klientów z Europejskiego Obszaru Gospodarczego były przetwarzane na serwerach w Europie. Ale to dotyczy raczej portali skierowanych do konsumentów, takich jak Facebook, w przytoczonym wyroku Schrems II. W przypadku oferty skierowanej do firm, które w chmurze powołują swoje środowiska IT, możliwość wyboru i gwarancja lokalizacji jest oczywistą opcją” – podsumowuje szef OChK.
O komentarz poprosiliśmy przedstawicieli czołowych globalnych dostawców usług chmury obliczeniowej
W szczególności zależało nam na odniesieniu się do podstawy wyroku TSUE; przypomnijmy, że jak pisze Klaudia Raczek, „Przyczyną wątpliwości sądu irlandzkiego są przepisy obowiązujące w USA, w szczególności sekcji 702 ustawy o kontroli obcego wywiadu Foreign Intelligence Survilence Act), które nakładają na spółki amerykańskie – a więc również Facebook Inc. – obowiązek udostępnienia władzom amerykańskim, takim jak Amerykańska Agencja Bezpieczeństwa (National Security Agency – NSA) i Federalne Biuro Śledcze (FBI), przekazanych tej spółce danych osobowych. Ponadto amerykański Prokurator Generalny i dyrektor państwowych służb wywiadu (DNI) uprawieni są do tworzenia i wykonywania programów, w celu pozyskiwania „zagranicznych informacji wywiadowczych”. W ramach tych uprawnień, przedsiębiorstwa telekomunikacyjne korzystające z „infrastruktury szkieletowej” internetu – czyli sieci kabli, przełączników sieciowych i routerów – są zobowiązane umożliwić NSA kopiowanie i filtrowanie internetowego ruchu danych w komunikacji oraz dotyczących osób niebędących obywatelami amerykańskimi”.
W chwili obecnej Amazon Web Services, Microsoft i Google nie komentują jednak sprawy, odsyłając do ogólnych oświadczeń o przykładaniu wielkiej wagi do kwestii bezpieczeństwa klientów I utrzymaniu przez wyrok w mocy standardowych klauzul umownych.
Służby prasowe Amazon Web Services odsyłają do komentarza Stephena Shmitda VP CISO w AWS z 20 lipca, który zauważa, że wyrok TSUE uznaje standardowe klauzule umowne (SSCs) za obowiązującą podstawę transferu danych poza UE. Są one elementem umowy AWS Data Processing Addendum realizowanej automatycznie każdorazowo podczas korzystania z usług AWS. Z tego Stephen Schmidt wyprowadza wniosek, że transfer danych w przypadku AWS dokonuje się zgodnie z RODO.
Także polski Microsoft nie komentuje sprawy. Służby prasowe kierują tylko do ogólnego oświadczenia Julie Brill, Corporate Vice President for Global Privacy and Regulatory Affairs and Chief Privacy Officer, która podkreśla, że standardowe klauzule umowne pozostają w wyroku TSUE ważną podstawą transferu danych poza UE zgodnie z regulacjami.
Google Polska również nie ogłasza osobnego stanowiska poza wyjaśnieniami Pablo Chaveza, wiceprezesa Google Cloud ds. polityki publicznej, podobnie jak cytowani wyżej przedstawiciele innych firm podkreślającego, że korzystanie z Google Suite czy Google Cloud w oparciu o standardowe klauzule umowne jest zgodne z RODO.
Natomiast na uwagę zasługuje komentarz Computer & Communications Industry Association. W komunikacie zwraca się uwagę, że standardowe klauzule umowne pozostają w świetle wyroku TSUE ważne, o ile prawo kraju do którego transferowane są dane nie ograniczają ich skuteczności w zakresie dostępu i ochrony poufności danych. W komunikacie podkreśla się, że do zakwestionowanego przez TSUE mechanizmu Tarczy Prywatności przystąpiło 5000 firm, z czego 70% małych i średnich; Alexandre Roure, CCIA Public Policy Senior Manager apeluje więc, aby w sprawie transatlantyckiego przepływu danych porozumieli się, dla dobra gospodarki, decydenci USA i UE; oni też powinni porozumieć się co do szybkiej alternatywy dla dotychczasowych sygnatariuszy Tarczy Prywatności. Można zatem podsumować, że gra toczy się już ponad głowami nawet takich potęg jak wielka chmurowa trójka AWS, Google i Microsoft.
