Cloud Act to bardzo dobry przykład na to jak sprawić by cały sektor usług był jednocześnie legalny i nielegalny. Wystarczy bowiem przyjąć ustawę, która zmusza go do łamania umów zawartych z klientami i narusza prawo państwa, z którego pochodzi klient. Kongres Stanów Zjednoczonych, w ramach CLOUD Act o którym pisze Rzeczpospolita, zapewnił amerykańskim służbom wgląd w dane klientów amerykańskich usług chmurowych. Firmy te w dużej mierze oferują swoje usługi innym firmom z Unii Europejskiej a te zaś muszą stosować RODO i zawierać odpowiednie umowy z dostawcami chmury regulujące współpracę w obszarze danych osobowych (tzw. umowy powierzenia).
CLOUD Act a RODO
Wybierając dostawcę chmury klient, oprócz kryteriów biznesowych, musi też oprzeć się o kryteria prawne. W ramach danych osobowych takim kryterium prawnym jest weryfikacja czy dostawca chmury daje gwarancje przestrzegania RODO, w tym respektowania umowy podpisanej pomiędzy klientem a dostawcą, która m.in. narzuca dostawcy obowiązek przetwarzania danych tylko na polecenie klienta. RODO zna oczywiście wyjątek i pozwala dostawcom chmury przetwarzać (w tym przekazywać) dane pozyskane od klientów bez ich polecenia o ile jest to oparte o obowiązek zawarty w prawie Unii Europejskiej lub jednego z należących do niej państw. Inaczej mówiąc, ustawa francuska, polska czy niemiecka identyczna jak CLOUD Act nie stoi w sprzeczności z RODO, co więcej zgodnie z RODO taka ustawa może zabraniać dostawcy chmury informować swoich klientów o tym, że przekazał ich dane do właściwych służb.
Amerykańskie firmy chmurowe
Firmy korzystające z usług chmurowych amerykańskich dostawców np. Azure od Microsoftu, AWS od Amazona czy Google Cloud od Google posiadają w tym momencie chmurę Schrödingera. I to jest tak naprawdę ich główny problem. Samo istnienie CLOUD Act nie przesądza o tym, czy Azure, AWS lub polska chmura krajowa we współpracy z Google są zgodne z RODO. Dopiero praktyka pokaże czy na podstawie CLOUD Act dane europejskich firm trafią do służb Stanów Zjednoczonych, a jeśli nawet to od jakich spółek, wszak spółki-córki amerykańskich gigantów np. Google Irleand Ltd. mogą się wybronić przed realizacją obowiązków związanych z CLOUD Act. Do momentu, gdy pierwsza amerykańska firma cloudowa ujawni dane swoich klientów lub skutecznie się przed tym wybroni, chmura dostarczona przez firmy amerykańskie jest jak kot Schrödingera – jednocześnie legalna, bo przecież jej dostawca nie łamie RODO i nielegalna, bo żaden z dostawców nie jest w stanie przedstawić gwarancji, że nie zastosuje się do CLOUD Act,
Dla biznesu taki stan zawieszenia jest najgorszym co może go spotkać, zwłaszcza, że wbrew opiniom niektórych to klient odpowie za złamanie RODO przez swojego dostawcę i to na dwa sposoby. Po pierwsze za korzystanie z dostawcy nie dającego należytych gwarancji organy nadzorcze w całej Unii mogą nakładać na ich klientów kary finansowe do 10 mln EUR (w przypadku większych firm kara jest naliczana na podstawie obrotu, nie więcej niż 2% rocznego, światowego obrotu). Po drugie zdecydowanie się na chmurę dostarczaną przez firmę z Stanów Zjednoczonych dosyć mocno ogranicza pole manewru w przypadku pozwów za niedostateczną ochronę danych i związane z tym skutki. W ramach pozwu opartego o RODO to firma musi udowodnić, że nie odpowiada za naruszenie prawa przez dostawcę chmury, co może być trudne w sytuacji, gdy kwestia CLOUD Act wyszła z zaciszy kancelarii i trafiła do powszechnej świadomości oraz mediów.
Co dalej?
Firmy i instytucje chcące wykorzystać chmurę stoją dziś przed trudnym wyborem:
- Poczekać aż sytuacja z CLOUD Act ulegnie wyklarowaniu, co może potrwać kilka lat. W tym czasie wszelkie projekty chmurowe ulegną zawieszeniu, to jednak rodzi ryzyko prześcignięcia przez konkurencję, która podjęła ryzyko stosowania chmury.
- Zrezygnować z usług podmiotów podlegających pod CLOUD Act i oprzeć się głównie na europejskich dostawcach. Pytanie, czy w przypadku zmasowanego ruchu ci będą w stanie obsłużyć rosnący popyt na ich usługi.
Nieco odmienna jest sytuacja tych firm, które już korzystają z chmury od amerykańskich dostawców. Sytuacja zmusza je do stworzenia planów migracji do innego dostawcy (o ile jeszcze ich nie posiadają) i podjęcia decyzji czy realizować je już teraz, przenosząc się do bezpiecznego, europejskiego dostawcy czy też rozpocząć migrację dopiero po pierwszych przypadkach zastosowania CLOUD Act przez ich dostawcę, ryzykując tym samym związaną z tym odpowiedzialność.
Problem związany z CLOUD Act może też zostać rozwiązany w ramach relacji Unia Europejska-Stany Zjednoczone, nic nie stoi na przeszkodzie by w prawie Unii zalegalizować przekazanie danych od amerykańskich służb lub nawet by takie działania podjęły państwa w których ulokowane są spółki-córki amerykańskich dostawców chmury, np. jeśli takie prawo przyjęłaby Irlandia, w której siedzibę ma Google Irleand Ltd, co sprawiłoby, że Google Cloud stałby się, przynajmniej w tej części, zgodny z RODO.
CLOUD Act uczy, że poleganie na jednym dostawcy rozwiązań lub na dostawcach z tego samego państwa, zwłaszcza państwa spoza Unii Europejskiej, jest bardzo ryzykowne. Firmy, które wdrożyły redundancję IT nawet na poziomie dostawców chmury i mogą w każdej chwili zmigrować się do innego dostawcy, są najlepiej przygotowane na problemy związane nie tylko z CLOUD Act, ale również na każdy przypadek braku możliwości skorzystania z usług danego dostawcy.
Przemysław Caputa TechPrawnik
