Opublikowano: 4 maja 2025 r. / Zaktualizowano: 21 lipca 2025 r. – Autor: Konrad Wolfenstein
Bezpieczeństwo danych i suwerenność cyfrowa w Europie: Czy inwestycje Microsoftu w Europie są bezpieczne pod względem danych? – Zdjęcie: Xpert.Digital
Dlaczego lokalizacja serwera nie gwarantuje bezpieczeństwa danych
Microsoft ogłosił niedawno znaczące inwestycje w Europie, w tym zabezpieczenie kodu źródłowego w Szwajcarii i rozbudowę infrastruktury chmurowej. Działania te interpretuje się jako reakcję na niepewność polityczną i rosnące obawy europejskich klientów. Pomimo tych wysiłków, nadal istnieje fundamentalny konflikt między prawem amerykańskim a europejskimi przepisami o ochronie danych, co rodzi pytanie, czy europejska lokalizacja serwera może rzeczywiście zapewnić wystarczającą ochronę. Niniejszy raport analizuje zapewnienia Microsoftu dotyczące Europy, wyjaśnia konflikt prawny między amerykańską ustawą CLOUD Act a RODO oraz bada, dlaczego sama fizyczna lokalizacja danych nie gwarantuje bezpieczeństwa i suwerenności danych.
Nadaje się do:
Aktualizacja z 21 lipca 2025 r.:
Nowe cyfrowe zapewnienia firmy Microsoft dla Europy
W obliczu wojen handlowych toczonych za rządów Trumpa i nagłych decyzji politycznych, wielu europejskich klientów straciło zaufanie do produktów cyfrowych z USA. Microsoft odpowiada na to konkretnymi zobowiązaniami i inwestycjami w Europie.
Rozległe inwestycje infrastrukturalne
Microsoft ogłosił plany rozbudowy swoich centrów danych w Europie o około 40% w ciągu najbliższych dwóch lat, obejmując nimi łącznie 16 krajów europejskich. Firma planuje inwestować dziesiątki miliardów dolarów rocznie w tę rozbudowę. Działania te mają na celu nie tylko zaspokojenie rosnącego popytu na usługi chmurowe i infrastrukturę AI, ale także wzmocnienie zaufania europejskich klientów.
Brad Smith, główny radca prawny i prezes Microsoftu, podkreśla w swoim wpisie na blogu bliskie powiązania gospodarcze firmy z Europą i zapewnia czytelników, że Microsoft nie wycofa się z regionu. Europejskie centra danych będą działać niezależnie i będą zarządzane przez obywateli UE, z poszanowaniem i wdrażaniem prawa europejskiego.
Szwajcarskie tworzenie kopii zapasowych kodu źródłowego i ciągłość działania
Jednym ze szczególnie godnych uwagi zapewnień jest tworzenie kopii zapasowych kodu źródłowego Microsoftu w Szwajcarii. Firma tworzy kopie zapasowe swojego kodu źródłowego w bezpiecznych ośrodkach przechowywania danych w Szwajcarii i udziela prawnie wiążących praw dostępu europejskim partnerom. Środek ten stanowi plan awaryjny na wypadek „mało prawdopodobnego zdarzenia”, w którym Microsoft kiedykolwiek zostałby zmuszony do zaprzestania świadczenia usług w Europie.
Microsoft planuje również nawiązanie współpracy z europejskimi partnerami i wdrożenie planów awaryjnych, aby zagwarantować ciągłość działania. Działania te są już realizowane poprzez partnerstwa we Francji i Niemczech z centrami danych Bleu i Delos.
Granica danych UE: odpowiedź Microsoftu na obawy dotyczące prywatności
Kluczowym elementem strategii Microsoftu w Europie jest wdrożenie tzw. „granicy danych UE” dla chmury Microsoft.
Kompleksowe przechowywanie danych w UE
Od stycznia 2024 roku europejscy klienci z sektora komercyjnego i publicznego mogą przechowywać i przetwarzać wszystkie swoje dane oraz dane uwierzytelniające użytkowników w ramach podstawowych usług chmurowych firmy Microsoft – w tym Microsoft 365, Dynamics 365, Power Platform i usług Azure – w UE i regionie EFTA. W lutym 2025 roku zakończono trzeci i ostatni etap granic danych w UE, rozszerzając je o dane z usług Microsoft Professional Services pochodzące z interakcji z pomocą techniczną.
Dzięki tej ofercie Microsoft idzie o krok dalej niż wielu innych dostawców usług w chmurze: firma umożliwia nie tylko lokalne przechowywanie i przetwarzanie danych klientów, ale także wszystkich danych osobowych, w tym danych z automatycznie generowanych dzienników systemowych.
Dodatkowe opcje bezpieczeństwa
Microsoft oferuje klientom europejskim kilka opcji zabezpieczania i szyfrowania danych. Należą do nich funkcja Confidential Computing w usłudze Azure, która uniemożliwia osobom trzecim – w tym samemu Microsoftowi – dostęp do danych klientów, oraz funkcje „Lockbox” dla usług Azure, Dynamics 365 i Microsoft 365, które umożliwiają klientom przeglądanie i zatwierdzanie wniosków, zanim Microsoft uzyska dostęp do ich danych.
Inne opcje zabezpieczeń obejmują Azure Key Vault i Microsoft Purview Customer Key, które umożliwiają klientom zabezpieczenie swoich danych przy użyciu technologii szyfrowania kontrolowanego automatycznie.
Podstawowy konflikt: ustawa CLOUD Act kontra RODO
Mimo wszelkich wysiłków i zapewnień, nadal istnieje zasadniczy konflikt prawny, który rodzi pytanie, czy dane europejskich firm są rzeczywiście bezpieczne u dostawców z USA.
Eksterytorialny zakres ustawy CLOUD
Ustawa CLOUD (Clarifying Lawful Overseas Use of Data Act), która weszła w życie w 2018 roku, pozwala amerykańskim organom ścigania nakładać na firmy z siedzibą w USA obowiązek udzielania dostępu do danych, niezależnie od miejsca ich fizycznego przechowywania. Dotyczy to również danych przechowywanych w UE, ale zarządzanych przez firmy z USA lub ich spółki zależne.
Ustawa zobowiązuje amerykańskie firmy internetowe i dostawców usług IT do udzielania władzom USA dostępu do przechowywanych danych, nawet jeśli nie są one przechowywane w USA. Chociaż firmy, których to dotyczy, mają prawo wnieść sprzeciw, jeśli właściciel danych nie jest obywatelem USA, a ujawnienie danych naruszałoby prawo innych krajów, prawo to dotyczy wyłącznie krajów, które zawarły umowę CLOUD Act ze Stanami Zjednoczonymi, która obecnie obowiązuje tylko w Wielkiej Brytanii.
Sprzeciw wobec RODO
Europejskie Ogólne Rozporządzenie o Ochronie Danych (RODO) jest bezpośrednio sprzeczne z ustawą CLOUD. Artykuł 48 RODO zabrania firmom przekazywania danych przechowywanych w obrębie UE bez umowy o wzajemnej pomocy prawnej. Naruszenie tego przepisu może skutkować karami finansowymi w wysokości do 20 milionów euro lub czterech procent globalnego rocznego obrotu firmy.
Ta niezgodność między amerykańską ustawą CLOUD Act a unijnym ogólnym rozporządzeniem o ochronie danych (RODO) stawia firmy korzystające z usług chmurowych przed niemożliwym do rozwiązania dylematem. Muszą one dokonać wyboru między naruszeniem ustawy CLOUD Act a RODO, co może skutkować poważnymi karami.
Nadaje się do:
Dlaczego lokalizacja serwera nie gwarantuje bezpieczeństwa danych
Wbrew powszechnemu przekonaniu sam fakt przechowywania danych na serwerach w Niemczech lub UE nie zapewnia wystarczającej ochrony przed dostępem z zagranicy.
Błędne przekonanie o bezpieczeństwie danych w kontekście wyboru lokalizacji
Przekonanie, że dane na serwerach w Niemczech są automatycznie chronione przed dostępem z zagranicy, jest uważane za „niebezpieczne nieporozumienie”. Nawet jeśli dane osobowe są przechowywane w centrach danych w Unii Europejskiej, amerykański dostawca usług w chmurze może być prawnie zobowiązany do ujawnienia tych danych władzom USA w ramach dochodzenia karnego.
Szczególne ryzyko istnieje, zwłaszcza jeśli dostawca usług w chmurze ma siedzibę lub działa w Stanach Zjednoczonych, przetwarzanie danych odbywa się za pośrednictwem infrastruktury amerykańskiej lub amerykańska korporacja ma bezpośredni lub pośredni dostęp do danych. W takich przypadkach istnieje możliwość, że władze USA uzyskają dostęp do danych osobowych, nawet bez wiedzy lub zgody osób, których dane dotyczą w Europie.
Zagrożenie dla własności intelektualnej i tajemnic handlowych
Problem wykracza daleko poza ochronę danych osobowych. Ustawa CLOUD stwarza realne zagrożenia, które zagrażają również bezpieczeństwu i poufności wszelkiego rodzaju wrażliwych danych, w tym własności intelektualnej, prototypów badawczo-rozwojowych, danych klientów i prywatnej komunikacji.
Nawet jeśli dane są przechowywane w centrach danych UE, ustawa CLOUD może zmusić firmy amerykańskie do przekazania tych danych władzom USA. To nie tylko podważa ochronę wynikającą z RODO i suwerenność danych UE, ale także naraża krytyczne informacje biznesowe, takie jak prototypy czy plany strategiczne, na ryzyko nieautoryzowanego dostępu.
Ze względu na potencjalne możliwości dostępu amerykańskich władz „firmy de facto tracą kontrolę nad swoimi danymi, a tym samym nad swoją własnością intelektualną”, co jest szczególnie istotne w przypadku tajemnic handlowych i biznesowych.
Rozwiązania zapewniające większą suwerenność danych
W świetle opisanych problemów pojawia się pytanie, jakie środki mogą podjąć firmy, aby zachować suwerenność swoich danych.
Alternatywni dostawcy chmury i środki techniczne
Skuteczna ochrona przed dostępem oparta na ustawie CLOUD Act jest gwarantowana jedynie wówczas, gdy wszyscy dostawcy i poddostawcy usług działają poza prawem amerykańskim, używana jest wyłącznie europejska infrastruktura, a także wdrożone jest kompleksowe szyfrowanie z kontrolą klucza wyłącznie po stronie użytkownika.
Eksperci zalecają zatem podjęcie następujących środków ostrożności przy wyborze dostawcy pamięci masowej w chmurze lub kopii zapasowych:
- Wybór dostawcy z siedzibą w UE, który nie podlega ustawie CLOUD
- Gwarancje suwerenności danych, dzięki którym zarówno dane, jak i klucze szyfrujące pozostają w całości na terenie UE.
- Konsultacje z ekspertami prawnymi i compliance specjalizującymi się w RODO i ochronie danych
Alternatywne podejścia: Open Source jako strategia
Szwajcaria obrała ciekawe, alternatywne podejście: w kwietniu 2023 r. uchwalono federalną ustawę o wykorzystaniu środków elektronicznych do realizacji zadań rządowych (EMBAG), która stanowi, że oprogramowanie rządowe musi być oprogramowaniem typu open source, a jego kod źródłowy powinien zostać ujawniony.
Profesor dr Matthias Stürmer z Wyższej Szkoły Zawodowej w Bernie, który był orędownikiem tej ustawy, opisuje ją jako „ogromną szansę dla państwa, branży IT i społeczeństwa”. Celem tego podejścia jest zmniejszenie uzależnienia sektora publicznego od jednego dostawcy, umożliwienie firmom rozszerzenia ich cyfrowych rozwiązań biznesowych oraz potencjalne obniżenie kosztów IT i poprawę jakości usług dla podatników.
Droga do prawdziwej suwerenności cyfrowej
Inwestycje Microsoftu w Europie i wdrożenie unijnej granicy danych to ważne kroki w kierunku większej suwerenności danych dla europejskich firm i instytucji publicznych. Nie rozwiązują one jednak w pełni fundamentalnego konfliktu prawnego między amerykańską ustawą CLOUD Act a europejskim rozporządzeniem RODO.
Samo przechowywanie danych na europejskich serwerach nie zapewnia wystarczającej ochrony przed potencjalnym dostępem ze strony władz USA, jeśli dostawca chmury podlega prawu amerykańskiemu. Taka sytuacja nie tylko podważa ochronę danych, ale także zagraża własności intelektualnej i tajemnicom handlowym europejskich firm.
Prawdziwa suwerenność cyfrowa wymaga zatem bardziej kompleksowych podejść, uwzględniających zarówno aspekty prawne, jak i techniczne. Należą do nich m.in. korzystanie z usług chmurowych działających całkowicie poza zakresem prawa amerykańskiego, spójne szyfrowanie typu end-to-end z kontrolą klucza po stronie użytkownika oraz potencjalne zwiększenie inwestycji w rozwiązania open source.
Ostatecznie Europa potrzebuje własnej, niezależnej infrastruktury chmurowej, która będzie nie tylko technicznie, ale i prawnie suwerenna. Do tego czasu firmy i instytucje publiczne muszą starannie rozważyć, jakie dane przechowują, gdzie i jak – oraz którym dostawcom mogą zaufać.
Nadaje się do:
Twój globalny partner w zakresie marketingu i rozwoju biznesu
☑️Naszym językiem biznesowym jest angielski lub niemiecki
☑️ NOWOŚĆ: Korespondencja w Twoim języku narodowym!
Konrad Wolfenstein
Chętnie będę służyć Tobie i mojemu zespołowi jako osobisty doradca.
Możesz się ze mną skontaktować wypełniając formularz kontaktowy lub po prostu dzwoniąc pod numer +49 7348 4088 965 (Monachium) . Mój adres e-mail to: wolfenstein ∂ xpert.digital
Nie mogę się doczekać naszego wspólnego projektu.
