Dlaczego Ustawa o chmurze USA jest problemem i ryzykiem dla Europy i reszty świata: prawo o dalekich konsekwencjach

Dlaczego Ustawa o chmurze USA jest problemem i ryzykiem dla Europy i reszty świata: prawo o dalekich konsekwencjach

W niniejszym artykule analizujemy amerykańską ustawę CLOUD Act z 2018 r. (Clarifying Lawful Overseas Use of Data – CLOUD Act) i jej dalekosiężne konsekwencje dla globalnej ochrony danych, suwerenności danych i współpracy międzynarodowej. Ustawa CLOUD Act upoważnia władze USA do żądania od amerykańskich dostawców usług komunikacyjnych i chmurowych ujawnienia danych będących w ich posiadaniu, pod ich opieką lub kontrolą, niezależnie od miejsca ich fizycznego przechowywania – w tym poza Stanami Zjednoczonymi. Ten eksterytorialny zasięg jest zasadniczo sprzeczny z systemami ochrony danych, takimi jak unijne Ogólne Rozporządzenie o Ochronie Danych (RODO), w szczególności z jego przepisami dotyczącymi międzynarodowego transferu danych (art. 48 RODO).

Analiza pokazuje, że ustawa CLOUD stwarza znaczną niepewność prawną dla firm działających globalnie, które borykają się ze sprzecznymi wymogami prawnymi. Podważa ona zaufanie do amerykańskich dostawców technologii i ugruntowanych mechanizmów transferu danych, co dodatkowo pogłębiło orzeczenie Europejskiego Trybunału Sprawiedliwości w sprawie Schrems II. Poza Europą ustawa ta stwarza ryzyko inwigilacji rządowej, szpiegostwa przemysłowego i konfliktów z lokalnymi systemami prawnymi na całym świecie.

Globalne uzależnienie od głównych amerykańskich dostawców usług chmurowych (AWS, Microsoft Azure, Google Cloud) jest ogromne, szczególnie w Ameryce Północnej i Europie. Jednocześnie kraje takie jak Chiny i Rosja rozwijają zamknięte ekosystemy cyfrowe z silnymi lokalnymi dostawcami i surowymi regulacjami, co zmniejsza ich zależność. Inne kraje i regiony, w tym UE, z inicjatywami takimi jak Gaia-X i ustawa o ochronie danych (Data Act), stosują różne strategie ograniczania ryzyka, od przepisów dotyczących lokalizacji danych i promowania lokalnych alternatyw, po negocjowanie umów dwustronnych ze Stanami Zjednoczonymi.

Pomimo uzasadnionej potrzeby przyspieszenia transgranicznego egzekwowania prawa – głównego celu ustawy CLOUD, biorąc pod uwagę powolność tradycyjnych procedur wzajemnej pomocy prawnej – wielu krytyków twierdzi, że ustawa ta nie zapewnia zadowalającej równowagi między skutecznym zapobieganiem przestępczości a ochroną praw podstawowych i suwerenności narodowej. Raport kończy się zaleceniami dla przedsiębiorstw i decydentów dotyczącymi poruszania się w tym złożonym środowisku.

Nadaje się do:

• W zależności od chmury amerykańskiej? Niemcy walka o chmurę: jak konkurować z AWS (Amazon) i Azure (Microsoft)

Ustawa CLOUD w USA i jej wpływ na europejską suwerenność danych

Postępująca digitalizacja i związane z nią przeniesienie przetwarzania i przechowywania danych do infrastruktur chmurowych globalnych dostawców fundamentalnie zmieniły sposób funkcjonowania przedsiębiorstw i administracji publicznej. W szczególności usługi największych amerykańskich hiperskalerów – Amazon Web Services (AWS), Microsoft Azure i Google Cloud Platform (GCP) – stały się integralną częścią infrastruktury cyfrowej wielu krajów. Rozwój ten oferuje ogromny potencjał w zakresie efektywności i innowacyjności, ale jednocześnie stwarza nowe i złożone wyzwania w zakresie ochrony danych, bezpieczeństwa danych i ochrony suwerenności narodowej.

Problem ten znacznie się zaostrzył po uchwaleniu w marcu 2018 r. amerykańskiej ustawy Clarifying Lawful Overseas Use of Data (CLOUD) Act. Ta federalna ustawa amerykańska przyznaje amerykańskim organom ścigania i agencjom śledczym szerokie uprawnienia do dostępu do danych przechowywanych i zarządzanych na całym świecie przez firmy amerykańskie lub firmy podlegające jurysdykcji USA. Sedno problemu tkwi w wyraźnym eksterytorialnym zakresie tej ustawy: władze USA mogą żądać ujawnienia danych, nawet jeśli znajdują się one na serwerach poza Stanami Zjednoczonymi.

Ten przepis prawny prowadzi do bezpośrednich i zasadniczych konfliktów z ustanowionymi systemami ochrony danych w innych krajach, w szczególności z unijnym ogólnym rozporządzeniem o ochronie danych (RODO). Możliwość uzyskania dostępu przez władze USA z pominięciem uzgodnionych na szczeblu międzynarodowym procedur wzajemnej pomocy prawnej i potencjalnie bez przestrzegania surowych europejskich standardów ochrony danych budzi poważne obawy dotyczące inwigilacji rządowej, szpiegostwa przemysłowego i erozji suwerenności cyfrowej. Ustawa CLOUD jest zatem powszechnie uważana za problematyczną i stanowiącą zagrożenie dla przedsiębiorstw i obywateli nie tylko w Europie, ale na całym świecie.

Niniejszy artykuł ma na celu przedstawienie kompleksowej i uzasadnionej analizy amerykańskiej ustawy CLOUD Act i jej globalnego wpływu. Analizuje ona podstawowe mechanizmy ustawy oraz jej wymiar eksterytorialny. Szczególny nacisk położono na szczegółową analizę potencjalnych konfliktów z unijnym ogólnym rozporządzeniem o ochronie danych (RODO) i wynikających z nich implikacji dla europejskiej suwerenności danych, również w świetle orzecznictwa Europejskiego Trybunału Sprawiedliwości (TSUE), a zwłaszcza orzeczenia w sprawie Schrems II. Ponadto zwrócono uwagę na zagrożenia i potencjalne negatywne konsekwencje dla krajów spoza Europy. Raport przedstawia globalny krajobraz zależności od amerykańskich dostawców usług chmurowych, identyfikuje regiony o wysokim i niskim poziomie zależności oraz analizuje porównawczo strategie realizowane przez różne kraje w celu sprostania wyzwaniom wynikającym z ustawy CLOUD Act.

Struktura niniejszego artykułu jest zgodna z tym celem: po wstępie, drugi rozdział szczegółowo wyjaśnia podstawowe przepisy i eksterytorialny zakres ustawy CLOUD Act. Trzeci rozdział omawia konflikt między ustawą CLOUD Act, RODO a europejską suwerennością danych. Rozdział czwarty analizuje globalne ryzyka i implikacje poza Europą. Piąty rozdział przedstawia globalną zależność od amerykańskich dostawców usług chmurowych, a szósty porównuje krajowe strategie i reakcje na ustawę CLOUD Act. Rozdział siódmy zawiera syntezę ustaleń i wnioski, a w rozdziale ósmym przedstawiono zalecenia dotyczące działań.

Ustawa CLOUD w USA: podstawowe postanowienia i zakres eksterytorialny

Ustawa Clarifying Legal Overseas Use of Data (CLOUD) stanowi istotne prawodawstwo dotyczące transgranicznego dostępu władz USA do danych. Aby w pełni zrozumieć jej implikacje, niezbędna jest dokładna analiza jej podstawy prawnej, funkcjonowania, a zwłaszcza roszczeń eksterytorialnych.

Podstawa prawna i funkcjonalność

Ustawa CLOUD została uchwalona 23 marca 2018 r. jako część kompleksowego projektu ustawy budżetowej (Consolidated Appropriations Act, 2018, Public Law 115-141, Division V) i weszła w życie natychmiast. Nie tworzy ona całkowicie nowych ram prawnych, a przede wszystkim zmienia obowiązujące przepisy, w szczególności ustawę o przechowywanych komunikatach (SCA) z 1986 r., która jest częścią ustawy o ochronie prywatności w komunikacji elektronicznej (ECPA). Ustawa SCA reguluje warunki, na jakich agencje rządowe USA mogą uzyskiwać dostęp do przechowywanych danych o komunikacji elektronicznej przechowywanych przez dostawców usług.

Istota ustawy CLOUD Act, skodyfikowanej między innymi w 18 U.S.C. §§ 2713 i 2523, nakłada na dostawców usług komunikacji elektronicznej (ECS) i usług przetwarzania zdalnego (RCS) podlegających jurysdykcji Stanów Zjednoczonych obowiązek przestrzegania nakazów dotyczących zabezpieczania, tworzenia kopii zapasowych lub ujawniania treści komunikacji elektronicznej, a także metadanych lub innych informacji o klientach lub abonentach. Obowiązek ten dotyczy danych znajdujących się w posiadaniu, pieczy lub kontroli dostawcy. Jurysdykcja Stanów Zjednoczonych może również obejmować dostawców, których główne miejsce prowadzenia działalności nie znajduje się w Stanach Zjednoczonych, ale którzy mają wystarczające powiązania ze Stanami Zjednoczonymi, na przykład poprzez relacje biznesowe, oddział w Stanach Zjednoczonych lub umowy z klientami z USA.

Kluczowym wyjaśnieniem zawartym w ustawie CLOUD Act jest to, że obowiązek ujawnienia danych obowiązuje niezależnie od tego, czy dane te znajdują się w Stanach Zjednoczonych, czy poza nimi („niezależnie od tego, czy taka komunikacja, zapis lub inne informacje znajdują się w Stanach Zjednoczonych, czy poza nimi”).

Katalizatorem tego ustawodawstwa był przede wszystkim spór prawny Stany Zjednoczone kontra Microsoft Corp. (często nazywany „sprawą Microsoft Ireland”). W tym przypadku Microsoft odmówił przekazania FBI wiadomości e-mail klienta przechowywanych na serwerze w Irlandii, argumentując, że nakazy wydane przez USA nie mają skutku eksterytorialnego, a Umowa o Zgodności z Zabezpieczeniami (SCA) nie ma zastosowania do danych poza Stanami Zjednoczonymi. Sprawa trafiła do Sądu Najwyższego, ale została unieważniona po uchwaleniu ustawy CLOUD Act, która rozstrzygnęła tę kwestię prawną na korzyść rządu.

Należy podkreślić, że według rządu USA i organizacji wspierających ustawa CLOUD Act nie stanowi licencji na masową inwigilację ani arbitralny dostęp do danych. Nakazy dostępu (zazwyczaj nakazy sądowe oparte na „prawdopodobnej przyczynie” lub wezwania sądowe) muszą być zgodne z wymogami prawa USA w zakresie praworządności, być konkretne i podlegać kontroli sądowej. Są one ograniczone do danych, które mogą być istotne w związku z konkretnymi dochodzeniami karnymi („poważne przestępstwa, w tym terroryzm”). Ponadto ustawa CLOUD Act wyraźnie nie nakłada na dostawców obowiązku odszyfrowywania danych, jeśli posiadają je wyłącznie w formie zaszyfrowanej i nie kontrolują kluczy.

Zastosowanie eksterytorialne i roszczenie do jurysdykcji

Centralną i najbardziej kontrowersyjną innowacją ustawy CLOUD jest prawne umocowanie eksterytorialnego zakresu amerykańskich nakazów dostępu. Ustawa wyjaśnia, że ​​obowiązek przekazywania danych istnieje w przypadku dostawców podlegających jurysdykcji USA, niezależnie od fizycznej lokalizacji przechowywania danych.

Stanowisko to opiera się na ugruntowanej zasadzie prawnej, zgodnie z którą państwo może zobowiązać firmy podlegające jego jurysdykcji do ujawnienia informacji znajdujących się pod jego kontrolą, nawet jeśli informacje te są przechowywane za granicą. Ustawa CLOUD kodyfikuje tę zasadę w szczególności w odniesieniu do danych dotyczących komunikacji elektronicznej w kontekście SCA.

To jednostronne roszczenie o dostęp eksterytorialny jest głównym źródłem międzynarodowego niepokoju i konfliktów prawnych, szczególnie w odniesieniu do Unii Europejskiej i jej ogólnego rozporządzenia o ochronie danych (RODO). Jest ono postrzegane jako naruszenie suwerenności innych państw i potencjalne obejście ustalonych procedur międzynarodowej pomocy prawnej.

Porozumienia wykonawcze jako alternatywa dla umów o wzajemnej pomocy prawnej

Ustawa CLOUD, oprócz wyjaśnienia eksterytorialnego zakresu rozporządzeń USA, wprowadza drugi ważny mechanizm: upoważnia ona władzę wykonawczą USA (prezydenta lub rząd) do zawierania dwustronnych umów, tzw. „umów wykonawczych”, z „kwalifikowanymi” rządami zagranicznymi.

Deklarowanym celem tych umów jest przyspieszenie i usprawnienie transgranicznego dostępu do danych w celu ścigania poważnych przestępstw (w tym terroryzmu). Mają one stanowić alternatywę lub uzupełnienie tradycyjnych umów o wzajemnej pomocy prawnej (MLAT), których procedury są często krytykowane za zbyt powolne i biurokratyczne, by nadążać za tempem rozwoju przestępczości cyfrowej.

Głównym mechanizmem tych Umów Wykonawczych jest eliminacja przeszkód prawnych („kolizji prawa” lub „ograniczeń prawnych”), które mogłyby uniemożliwić dostawcom przestrzeganie zgodnych z prawem nakazów kraju partnerskiego. W szczególności taka umowa umożliwiłaby na przykład dostawcy z USA bezpośrednie przestrzeganie nakazu z Wielkiej Brytanii bez naruszania prawa amerykańskiego (np. ograniczeń dotyczących ujawniania danych w ramach SCA) i odwrotnie. Władze każdego kraju mogłyby zatem stosować własne procedury krajowe w celu żądania danych od dostawcy w drugim kraju.

Stany Zjednoczone mogą zawierać takie umowy wyłącznie z państwami uznanymi za „kwalifikujące się”. Wymaga to poświadczenia Prokuratora Generalnego USA i Sekretarza Stanu przy Kongresie, że dany kraj partnerski posiada solidne zabezpieczenia materialne i proceduralne dotyczące prywatności i swobód obywatelskich oraz stosuje je w praktyce. Kraj partnerski musi przestrzegać zasad praworządności, niedyskryminacji i ochrony danych.

Do tej pory Stany Zjednoczone zawarły takie umowy wykonawcze z Wielką Brytanią (podpisane w 2019 r., obowiązujące od października 2022 r.) i Australią (podpisane w grudniu 2021 r.). Negocjacje z Unią Europejską zostały ogłoszone w 2019 r. i są w toku, ale okazują się trudne ze względu na złożoną sytuację prawną (RODO, Schrems II) i zaangażowanie 27 państw członkowskich.

Ważne zabezpieczenia tych umów zawarte są w samej ustawie CLOUD Act: Nakazy wydane na podstawie takiej umowy nie mogą być skierowane do osób będących obywatelami USA (obywateli lub stałych rezydentów) ani osób zamieszkałych w USA. Muszą być szczegółowe (np. dotyczyć konkretnej osoby lub konta) i podlegać niezależnej kontroli lub nadzorowi (np. sądu).

Drogi prawne dla dostawców

Ustawa CLOUD wyraźnie przewiduje mechanizm, za pomocą którego dostawcy mogą legalnie kwestionować amerykańskie nakazy dostępu pod pewnymi warunkami (tzw. „wniosek o uchylenie lub modyfikację”). Prawo to przysługuje, jeśli dostawca „uzasadnienie uważa”, że spełnione są dwa kumulatywne warunki:

• Klient lub abonent, o którym mowa, nie jest obywatelem USA i nie mieszka w USA.
• Obowiązkowe ujawnienie informacji stwarzałoby „istotne ryzyko” naruszenia przez dostawcę przepisów „uprawnionego rządu zagranicznego”. „Uprawniony rząd zagraniczny” to taki, z którym Stany Zjednoczone zawarły umowę wykonawczą na mocy ustawy CLOUD Act.

Jeśli dostawca wniesie takie odwołanie, właściwy sąd amerykański może zmienić lub uchylić nakaz. Ma to jednak miejsce tylko wtedy, gdy sąd stwierdzi, że (a) ujawnienie faktycznie naruszałoby prawo kwalifikującego się państwa obcego, (b) uwzględnienie odwołania służy interesowi wymiaru sprawiedliwości oraz (c) interes wymiaru sprawiedliwości tego wymaga, biorąc pod uwagę całokształt okoliczności.

Aby ocenić, czego wymaga „interes sprawiedliwości”, ustawa wymienia konkretne czynniki, które sąd musi rozważyć („analiza współczucia”). Należą do nich między innymi: interesy Stanów Zjednoczonych i rządu obcego, prawdopodobieństwo i charakter kar, jakie mogłyby spotkać dostawcę za granicą, powiązania osoby i dostawcy ze Stanami Zjednoczonymi i za granicą, znaczenie informacji dla śledztwa oraz dostępność alternatywnych sposobów ich uzyskania.

Ten przepis prawny rodzi jednak pytania dotyczące jego praktycznej skuteczności. Skupienie wyraźnej podstawy odwołania na konfliktach prawnych z uprawnionymi rządami zagranicznymi (tj. tymi, które podpisały umowę wykonawczą), mogłoby osłabić pozycję dostawców, którzy chcieliby powoływać się na przepisy krajów nieposiadających takiej umowy, takie jak unijne RODO w obecnej formie, bez umowy między UE a USA. Chociaż nadal istnieje możliwość powoływania się na ogólne zasady uprzejmości międzynarodowej i zasady kurtuazji, konkretny mechanizm prawny jest węższy. Mogłoby to skłonić sądy amerykańskie do nadawania mniejszej wagi konfliktom z przepisami państw, które nie podpisały umowy, lub do postrzegania procesu odwołania jako mniej jasno zdefiniowanego.

Co więcej, praktyczne znaczenie możliwości odwołania jest generalnie ograniczone. Ciężar dowodu spoczywa na dostawcy, który musi wykazać, że „racjonalnie uważa”, że warunki zostały spełnione. Nawet jeśli kolizja prawa zostanie udowodniona, sąd może uchylić postanowienie, ale nie ma takiego obowiązku. Decyzja opiera się na wyważeniu niejasnych pojęć prawnych, takich jak „interes sprawiedliwości” i „całość okoliczności”, co daje sądowi szerokie uprawnienia. Istnieje ryzyko, że interesy Stanów Zjednoczonych, zwłaszcza w zakresie egzekwowania prawa lub bezpieczeństwa, będą systematycznie nadawane większe znaczenie niż zagraniczne interesy w zakresie ochrony danych, zwłaszcza jeśli nie istnieje umowa dwustronna formalnie uznająca te interesy. Europejska Rada Ochrony Danych (EROD) podchodzi zatem do tego mechanizmu ze sceptycyzmem, podkreślając, że zapewnia on jedynie możliwość odwołania, a nie obowiązek, a zatem nie zapewnia wystarczającej ochrony praw obywateli UE.

Nadaje się do:

• Cyfrowa zależność od USA: dominacja w chmurze, zniekształcone bilanse handlowe i efekty blokady

Strefa konfliktu: Ustawa CLOUD Act kontra unijne rozporządzenie RODO i suwerenność danych

Eksterytorialny zakres amerykańskiej ustawy CLOUD Act i związane z nią uprawnienia dostępu dla władz USA prowadzą do poważnych napięć i bezpośrednich konfliktów prawnych z unijnym systemem ochrony danych, w szczególności z ogólnym rozporządzeniem o ochronie danych (RODO). Konflikty te wpływają na podstawowe zasady unijnego prawa o ochronie danych i rodzą fundamentalne pytania o suwerenność danych.

Bezpośrednia sprzeczność z RODO (art. 6, art. 48)

Podstawowy konflikt wynika z faktu, że ustawa CLOUD Act pozwala władzom USA nakazać transfer danych – w tym danych osobowych obywateli UE – z UE do USA, bez konieczności oparcia tego nakazu na jednej z podstaw prawnych przetwarzania danych lub międzynarodowego transferu danych przewidzianych w RODO.

Konflikt z artykułem 48 RODO („Przekazywanie lub ujawnianie niedozwolone na mocy prawa Unii”) jest szczególnie istotny. Artykuł ten stanowi, że decyzje sądów lub organów administracyjnych państwa trzeciego, które zobowiązują administratora lub podmiot przetwarzający do przekazywania lub ujawniania danych osobowych, są uznawane lub wykonalne wyłącznie wtedy, gdy opierają się na umowie międzynarodowej – takiej jak umowa o wzajemnej pomocy prawnej (MLAT) – obowiązującej między wnioskującym państwem trzecim (w tym przypadku USA) a Unią lub państwem członkowskim. Nakaz oparty wyłącznie na ustawie CLOUD, bez uzasadnienia taką umową międzynarodową, nie spełnia tego warunku. Z punktu widzenia RODO nie stanowi on ważnej podstawy prawnej dla przekazania.

Co więcej, takie przekazanie nie posiada ważnej podstawy prawnej w rozumieniu art. 6 RODO, który określa warunki legalności przetwarzania (w tym przekazywania) danych osobowych. Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD) doprecyzowali we wspólnej ocenie, że zwykłe podstawy prawne nie mają tu zastosowania

• Artykuł 6(1)(c) RODO (zgodność z obowiązkiem prawnym): Ta podstawa prawna nie ma zastosowania, ponieważ „obowiązek prawny” wynika z ustawy CLOUD, tj. z prawa państwa trzeciego, a nie z prawa Unii ani prawa państwa członkowskiego, jak wymaga tego art. 6(3) RODO. Wyjątek istniałby jedynie w przypadku, gdyby nakaz wydany przez USA został umocowany w prawie UE w drodze wielostronnego rozporządzenia administracyjnego w sprawie ochrony danych (MLAT).
• Artykuł 6(1)(e) RODO (wykonanie zadania w interesie publicznym): Ta podstawa prawna również jest wyłączona, ponieważ zadanie (w tym przypadku wykonanie nakazu wydanego przez USA) nie jest zdefiniowane ani w prawie Unii, ani w prawie państwa członkowskiego.
• Artykuł 6(1)(f) RODO (uzasadnione interesy): Chociaż dostawca może mieć uzasadniony interes w przestrzeganiu nakazu wynikającego z ustawy CLOUD Act w celu uniknięcia sankcji na mocy prawa amerykańskiego, EROD/EDPS uważa, że ​​interes ten jest regularnie przeważany nad interesami lub podstawowymi prawami i wolnościami osób, których dane dotyczą (ochrona ich danych). Władze argumentują, że w przeciwnym razie osoby, których dane dotyczą, mogłyby zostać pozbawione ochrony wynikającej z Karty praw podstawowych UE (w szczególności prawa do skutecznego środka odwoławczego, art. 47).
• Artykuł 6(1)(d) RODO (ochrona żywotnych interesów): Ta podstawa prawna mogłaby teoretycznie mieć zastosowanie w bardzo wąsko zdefiniowanych wyjątkowych przypadkach, na przykład gdy dane są potrzebne do zapobieżenia bezpośredniemu zagrożeniu dla życia lub zdrowia osoby. Nie stanowi ona jednak podstawy do rutynowego ujawniania danych w kontekście działań organów ścigania.

To zderzenie norm prawnych stwarza nierozwiązywalny konflikt dla dostawców podlegających zarówno jurysdykcji USA (a zatem ustawie CLOUD Act), jak i przepisom UE (RODO). Jeśli zastosują się do nakazu wydanego na podstawie ustawy CLOUD Act bez podstawy prawnej, naruszają RODO i ryzykują wysokie grzywny (do 4% globalnego rocznego obrotu), a także pozwy cywilne. Jeśli odmówią ujawnienia danych, powołując się na RODO, ryzykują sankcje wynikające z prawa USA.

Ocena EDSA/EDPS i niepewność prawna

Europejskie organy ochrony danych, koordynowane w ramach Europejskiej Rady Ochrony Danych (EROD), oraz Europejski Inspektor Ochrony Danych (EIOD) zajęły jednoznaczne stanowisko w tej sprawie. W swojej wspólnej ocenie prawnej z lipca 2019 r. doszły do ​​wniosku, że ustawa CLOUD Act sama w sobie nie stanowi wystarczającej podstawy prawnej w rozumieniu RODO do przekazywania danych osobowych do USA.

Zdecydowanie podkreślają, że dostawcy podlegający prawu UE nie mogą przekazywać danych osobowych władzom USA wyłącznie na podstawie bezpośredniego nakazu wydanego na mocy ustawy CLOUD Act. Takie przekazanie jest dopuszczalne wyłącznie na podstawie uznanej umowy międzynarodowej, zazwyczaj umowy o wzajemnym wsparciu prawnym między UE a USA lub dwustronnej umowy o wzajemnym wsparciu prawnym między państwem członkowskim a USA. Procedura wzajemnego wsparcia prawnego zapewnia niezbędne gwarancje praworządności oraz zaangażowanie organów sądowych państwa, do którego skierowano wniosek.

Przewidziana w ustawie CLOUD możliwość zakwestionowania nakazu przez dostawców („wniosek o uchylenie nakazu”) jest uznawana przez EROD i EROD za niewystarczające zabezpieczenie. Wskazują, że jest to jedynie opcja dla dostawcy, a nie obowiązek, a wynik takiego postępowania przed sądem amerykańskim jest niepewny i nie daje gwarancji ochrony praw obywateli UE zgodnie ze standardami UE.

To jednoznaczne stanowisko właściwych europejskich organów ochrony danych pogłębia niepewność prawną dla firm korzystających z amerykańskich usług w chmurze lub oferujących je. Muszą one mieć świadomość, że korzystanie z takich usług jest potencjalnie niezgodne z RODO, jeśli dostawca nie może zagwarantować, że nie ujawni danych z naruszeniem RODO na podstawie nakazu ustawy CLOUD Act.

Konsekwencje ustawy Schrems II i amerykańskich przepisów dotyczących nadzoru

Problemy związane z ustawą CLOUD Act należy rozpatrywać w kontekście szerszej debaty na temat transferu danych do Stanów Zjednoczonych i obowiązujących tam przepisów dotyczących nadzoru, która osiągnęła nowy wymiar wraz z wyrokiem TSUE z 16 lipca 2020 r. w sprawie Schrems II.

W tym orzeczeniu Europejski Trybunał Sprawiedliwości (ETS) orzekł nieważność umowy o Tarczy Prywatności UE-USA. Głównym powodem były daleko idące uprawnienia amerykańskich agencji wywiadowczych (w szczególności wynikające z art. 702 ustawy o nadzorze nad wywiadem zagranicznym – FISA – oraz rozporządzenia wykonawczego nr 12333) w zakresie dostępu do danych osobowych obywateli UE przekazywanych do USA. ETS stwierdził, że te prawa dostępu nie spełniają wymogów konieczności i proporcjonalności wynikających z Karty praw podstawowych Unii Europejskiej, a obywatele UE nie mają skutecznej ochrony prawnej przed takim dostępem w USA.

Chociaż ustawa CLOUD jest formalnie instrumentem organów ścigania, a nie inwigilacji wywiadowczej, wzmacnia ona obawy wyrażone w ustawie Schrems II. Ustanawia ona kolejny mechanizm prawny umożliwiający władzom USA eksterytorialny dostęp do danych. Z perspektywy europejskiej mechanizm ten również nie posiada niezbędnej podstawy prawnej w prawie UE (art. 48 RODO), chyba że opiera się na wielostronnej umowie o ochronie danych (MLAT) lub przyszłej umowie uznanej za odpowiednią. Połączenie praw dostępu wynikających z przepisów dotyczących inwigilacji (FISA 702, EO 12333) i ustawy CLOUD (egzekwowanie prawa) tworzy ogólny obraz dalekosiężnego dostępu rządu USA do danych przechowywanych globalnie przez amerykańskich dostawców.

Ma to bezpośrednie konsekwencje dla stosowania innych mechanizmów transferu, takich jak standardowe klauzule umowne (SCC). Orzeczenie w sprawie Schrems II zobowiązuje eksporterów danych, którzy korzystają ze standardowych klauzul umownych w przypadku transferów do państw trzecich, takich jak Stany Zjednoczone, do oceny w każdym indywidualnym przypadku, czy prawo i praktyki kraju docelowego gwarantują poziom ochrony „w istotnym stopniu równoważny” poziomowi gwarantowanemu w UE. W przeciwnym razie należy podjąć środki uzupełniające w celu wyeliminowania wszelkich luk w ochronie. Istnienie przepisów takich jak sekcja 702 ustawy FISA i ustawa CLOUD Act niezwykle utrudnia firmom wykazanie, że prawo amerykańskie zapewnia taki równoważny poziom ochrony. Znacznie komplikuje to zgodne z prawem korzystanie z amerykańskich usług chmurowych do przetwarzania danych osobowych z UE. Ustawa CLOUD Act wzmacnia problem Schrems II, ponieważ rozszerza zakres legalnych opcji dostępu w USA i dodatkowo podważa argument o „w istotnym stopniu równoważności” poziomu ochrony.

Erozja europejskiej suwerenności danych i utrata zaufania

Poza kwestiami czysto prawnymi, ustawa CLOUD jest powszechnie postrzegana jako zagrożenie dla suwerenności cyfrowej Europy. Suwerenność danych oznacza prawo i zdolność państw, organizacji lub osób fizycznych do sprawowania kontroli nad swoimi danymi, w szczególności w zakresie miejsca ich przechowywania, sposobu przetwarzania i dostępu do nich. Ustawa CLOUD podważa tę zasadę, umożliwiając obcemu mocarstwu (USA) potencjalnie jednostronny dostęp do danych przechowywanych na terytorium europejskim lub pochodzących od obywateli i przedsiębiorstw europejskich, pod warunkiem, że dane te są zarządzane przez dostawcę podlegającego jurysdykcji USA.

Możliwość takiego dostępu, potencjalnie bez przestrzegania procedur europejskich (takich jak umowy o wzajemnej pomocy prawnej (MLAT)) oraz bez wiedzy lub powiadomienia osób lub firm, których to dotyczy, prowadzi do znacznej utraty zaufania do amerykańskich dostawców technologii. Ten brak zaufania dotyczy nie tylko ochrony danych osobowych zgodnie z definicją zawartą w RODO, ale także bezpieczeństwa wrażliwych danych korporacyjnych, takich jak tajemnice handlowe, dane badawczo-rozwojowe, informacje finansowe i własność intelektualna. Obawa przed szpiegostwem przemysłowym lub nieumyślnym wyciekiem informacji o znaczeniu konkurencyjnym poprzez dostęp rządowy jest kluczowym czynnikiem skłaniającym firmy do poszukiwania alternatyw dla dostawców amerykańskich lub do wdrażania dodatkowych zabezpieczeń.

Reakcje UE: ustawa o danych i Gaia-X (status i wyzwania)

W odpowiedzi na wyzwania związane z cyfryzacją i dominacją dostawców technologii spoza Europy, Unia Europejska podjęła szereg inicjatyw mających na celu wzmocnienie suwerenności cyfrowej i zdefiniowanie własnego europejskiego podejścia do zarządzania danymi. Dwa kluczowe elementy to ustawa o danych i inicjatywa Gaia-X.

Ustawa UE o danych, opublikowana w Dzienniku Urzędowym w grudniu 2023 r. i obowiązująca od 12 września 2025 r., ma na celu zwiększenie sprawiedliwości w gospodarce opartej na danych oraz poprawę dostępu do danych i ich wykorzystania, zwłaszcza danych przemysłowych. Ma ona promować innowacje i zwiększać dostępność danych. W szczególności ustawa o danych daje użytkownikom produktów podłączonych do sieci (np. urządzeń IoT, inteligentnych maszyn) większą kontrolę nad danymi generowanymi przez te urządzenia i ułatwia przełączanie się między różnymi dostawcami usług w chmurze, na przykład poprzez usuwanie barier w zmianie dostawców i zakaz nieuczciwych klauzul umownych. W kontekście ustawy CLOUD istotne są również przepisy zapewniające ochronę przed bezprawnymi żądaniami przekazywania danych przez organy państw trzecich, wzmacniając w ten sposób suwerenność UE w zakresie danych.

Inicjatywa Gaia-X, uruchomiona w 2019 roku, ma ambitny cel stworzenia federacyjnej, bezpiecznej i suwerennej europejskiej infrastruktury danych. Celem Gaia-X jest stworzenie ekosystemu, w którym dane będą udostępniane i przetwarzane zgodnie z europejskimi wartościami i standardami – przejrzystością, otwartością, bezpieczeństwem, interoperacyjnością i suwerennością danych. Ma ona na celu zaoferowanie alternatywy dla dominujących operatorów hiperskalowych i zmniejszenie zależności od dostawców spoza Europy.

Gaia-X znajduje się jednak wciąż we wczesnej fazie wdrażania („fazie rozruchu”) i stoi przed poważnymi wyzwaniami. Chociaż istnieją wstępne projekty pilotażowe i przypadki użycia, takie jak Catena-X dla przemysłu motoryzacyjnego i poligony testowe w krajach partnerskich, takich jak Japonia, to wciąż nie udało się uzyskać powszechnej penetracji rynku. Przeszkody obejmują techniczną złożoność podejścia federacyjnego, zapewnienie rzeczywistej interoperacyjności między różnymi dostawcami, problemy z zarządzaniem w ramach Gaia-X Association (organizacji wdrażającej) oraz powolną adopcję, szczególnie w sektorach o wysokim stopniu regulacji, takich jak opieka zdrowotna. Ponadto, pojawiły się głosy krytyki, że pierwotna wizja czysto europejskiej chmury została osłabiona przez włączenie do Gaia-X Association dużych amerykańskich hiperskalerów, a projekt cierpi z powodu nadmiernej biurokracji. Obecnie wydaje się mało prawdopodobne, aby Gaia-X mogła bezpośrednio konkurować z AWS, Azure i GCP. Jej znaczenie może polegać bardziej na stworzeniu ram dla standardów i zaufania w określonych europejskich przestrzeniach danych.

Te europejskie inicjatywy ujawniają jednak również strategiczną niespójność. Z jednej strony Gaia-X i ustawa o danych (Data Act) mają na celu zmniejszenie zależności od amerykańskich dostawców i wzmocnienie kontroli nad danymi w Europie. Z drugiej strony Komisja Europejska negocjuje jednocześnie umowę wykonawczą ze Stanami Zjednoczonymi na mocy ustawy CLOUD Act. Takie porozumienie, jeśli zostanie osiągnięte, zalegalizuje i potencjalnie uprości bezpośredni dostęp władz amerykańskich do danych pod pewnymi warunkami – instytucjonalizując właśnie mechanizm, który pierwotnie wzbudził obawy dotyczące suwerenności. Odzwierciedla to dylemat UE: jednoczesne dążenie do autonomii cyfrowej i ustanowienie niezbędnej pragmatycznej współpracy z USA w zakresie egzekwowania prawa na skutecznych podstawach, bez naruszania własnych wysokich zasad ochrony danych (w szczególności wymogów orzeczenia w sprawie Schrems II i art. 48 RODO). Rozwiązanie tego napięcia jest kluczowym wyzwaniem dla przyszłej transatlantyckiej polityki danych.

Integracja niezależnej platformy AI obsługującej wiele źródeł danych, spełniającej wszystkie potrzeby biznesowe – Zdjęcie: Xpert.Digital

Ki-Gamechanger: najbardziej elastyczne rozwiązania platformy AI, które obniżają koszty, poprawiają ich decyzje i zwiększają wydajność

Niezależna platforma AI: integruje wszystkie odpowiednie źródła danych firmy

• Ta platforma AI współpracuje ze wszystkimi określonymi źródłami danych
  • Z SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox i wielu innych systemów zarządzania danymi
• Szybka integracja AI: rozwiązania AI dostosowane do firm w ciągu kilku godzin lub dni zamiast miesięcy
• Elastyczna infrastruktura: oparta na chmurze lub hosting we własnym centrum danych (Niemcy, Europa, bezpłatny wybór lokalizacji)

• Najwyższe bezpieczeństwo danych: Wykorzystanie w kancelariach jest bezpiecznym dowodem
• Korzystaj z szerokiej gamy źródeł danych firmy
• Wybór własnych lub różnych modeli AI (DE, UE, USA, CN)

Wyzwania, które rozwiązuje nasza platforma AI

• Brak dopasowania konwencjonalnych rozwiązań AI
• Ochrona danych i bezpieczne zarządzanie poufnymi danymi
• Wysokie koszty i złożoność indywidualnego rozwoju sztucznej inteligencji
• Niedobór wykwalifikowanych specjalistów ds. sztucznej inteligencji
• Integracja sztucznej inteligencji z istniejącymi systemami informatycznymi

Więcej na ten temat tutaj:

• Integracja AI niezależnej platformy AI w całej całej DATA dla wszystkich spraw firmowych

Globalne ryzyka i implikacje poza Europą

Problemy wynikające z ustawy CLOUD Act nie ograniczają się do relacji między USA a Europą. Ustawa ta może mieć daleko idące konsekwencje dla krajów i regionów na całym świecie, w szczególności w zakresie nadzoru rządowego, szpiegostwa gospodarczego, konfliktów z lokalnymi przepisami i ogólnego zaufania do globalnej infrastruktury cyfrowej.

Nadzór państwowy i wolności obywatelskie

Ustawa CLOUD od samego początku spotykała się z krytyką ze strony organizacji zajmujących się prawami obywatelskimi, takich jak Electronic Frontier Foundation (EFF) i American Civil Liberties Union (ACLU). Kluczowym zarzutem jest to, że ustawa potencjalnie podważa zabezpieczenia przed niewłaściwymi rządowymi przeszukaniami i konfiskatami (zapisane w Czwartej Poprawce do Konstytucji Stanów Zjednoczonych dla obywateli USA). W szczególności problematyczna jest możliwość zawierania dwustronnych porozumień w formie porozumień wykonawczych (Executive Agreements), które umożliwiłyby władzom zagranicznym bezpośredni dostęp do danych przechowywanych w Stanach Zjednoczonych i potencjalnie pozwoliłyby obejść standardową kontrolę sądową sądów amerykańskich. Ponadto, zgodnie z ustawą CLOUD, osoby, których dotyczą wnioski o udostępnienie danych, nie muszą być powiadamiane o dostępie, co ogranicza ich możliwości dochodzenia roszczeń.

W przypadku osób spoza Stanów Zjednoczonych ochrona zapewniana przez Konstytucję USA jest już mniej szeroka. Ustawa CLOUD ułatwia władzom USA dostęp do danych przechowywanych u amerykańskich dostawców, niezależnie od lokalizacji. Podsyca to globalne obawy dotyczące rozszerzenia inwigilacji ze strony rządu USA. Istnieją obawy, że mechanizm ustawy CLOUD, a w szczególności Porozumienia Wykonawcze, mogą służyć jako wzór dla innych krajów, w tym tych o niższych standardach praworządności i mniej solidnej ochronie swobód obywatelskich. Wskazano już na analogię do chińskiej ustawy o wywiadzie krajowym, która również przyznaje chińskim władzom szeroki dostęp do danych korporacyjnych. Może to przyspieszyć globalne trendy w kierunku zwiększonego rządowego nadzoru i kontroli komunikacji cyfrowej.

Szpiegostwo gospodarcze i ochrona własności intelektualnej

Prawa dostępu przyznane na mocy ustawy CLOUD Act nie ograniczają się do treści komunikacyjnych ani metadanych osób prywatnych. Mogą one potencjalnie obejmować również wysoce wrażliwe dane korporacyjne przechowywane u amerykańskich dostawców usług w chmurze. Obejmuje to tajemnice handlowe, dane finansowe, bazy danych klientów, prototypy, dane badawczo-rozwojowe oraz inną własność intelektualną (IP).

Chociaż deklarowanym celem ustawy CLOUD jest zwalczanie poważnych przestępstw, istnieją obawy, że jej daleko idące prawa dostępu mogą być nadużywane, na przykład do szpiegostwa gospodarczego na rzecz firm amerykańskich lub w celu uzyskania strategicznych korzyści ekonomicznych. Sama możliwość takiego dostępu ze strony obcego rządu podważa zaufanie firm na całym świecie do bezpieczeństwa i poufności ich krytycznych danych przechowywanych u amerykańskich dostawców. Ryzyko to stanowi istotną przeszkodę dla wielu firm, szczególnie z branż intensywnie wykorzystujących technologie lub o krytycznym znaczeniu dla bezpieczeństwa, korzystających z amerykańskich usług chmurowych.

Konflikty z lokalnymi systemami prawnymi

Podobnie jak w przypadku unijnego RODO, eksterytorialny zakres ustawy CLOUD Act może również kolidować z przepisami o ochronie danych, obowiązkami zachowania poufności lub innymi przepisami prawnymi wielu innych krajów. Globalnie działający dostawcy usług w chmurze, zwłaszcza ci z siedzibą główną lub silną pozycją w USA, są zatem potencjalnie narażeni na sieć sprzecznych obowiązków prawnych.

Istnieje wiele przykładów krajów, które mają własne systemy ochrony danych, które potencjalnie są w konflikcie z ustawą CLOUD:

• Szwajcaria: Znowelizowana federalna ustawa o ochronie danych (revFADP) w dużym stopniu opiera się na rozporządzeniu RODO i zawiera również przepisy dotyczące międzynarodowego przekazywania danych, które wymagają odpowiedniej ochrony w kraju docelowym.
• Brazylia: Lei Geral de Proteção de Dados Pessoais (LGPD) również ma skutek eksterytorialny i podlega rygorystycznym zasadom przetwarzania danych obywateli Brazylii, w tym w przypadku przekazywania międzynarodowego.
• Indie: Ustawa o ochronie danych osobowych w formie cyfrowej (DPDP Act, często nazywana PDPB) również zawiera przepisy dotyczące transferu danych i może narzucać wymogi dotyczące lokalizacji niektórych „krytycznych” danych.
• Chiny: Ustawa o cyberbezpieczeństwie (CSL) i ustawa o ochronie danych osobowych (PIPL) określają surowe zasady bezpieczeństwa danych i ich transgranicznego przekazywania, a także obejmują wymogi dotyczące lokalizacji danych.
• Rosja: Ustawa federalna nr 152 „O danych osobowych” nakazuje przechowywanie danych osobowych obywateli rosyjskich na serwerach w Rosji (lokalizacja danych).

Te przykłady pokazują, że ustawa CLOUD nie jest wyłącznie problemem dwustronnym między USA i UE, ale globalnym wyzwaniem dla spójności międzynarodowych systemów prawnych w przestrzeni cyfrowej.

Wpływ na międzynarodowe transfery danych i zaufanie do amerykańskich dostawców technologii

Istnienie ustawy CLOUD Act oraz związane z nią niepewności i spory prawne mają istotne konsekwencje dla międzynarodowych mechanizmów transferu danych i ogólnego zaufania do amerykańskich dostawców technologii.

Ustawa przyczynia się do erozji zaufania do utrwalonych instrumentów transatlantyckiego transferu danych, takich jak dawny program Tarczy Prywatności UE-USA czy obecnie powszechnie stosowane Standardowe Klauzule Umowne (SCC). Jak wskazano w kontekście Schrems II, ustawa CLOUD utrudnia założenie, że Stany Zjednoczone zapewniają poziom ochrony danych osobowych „zasadniczo równoważny” z prawem UE.

Zmusza to firmy na całym świecie do dokładniejszej oceny ryzyka związanego z korzystaniem z amerykańskich usług chmurowych. Muszą one przeanalizować, czy i w jaki sposób mogą zapewnić zgodność z lokalnymi przepisami o ochronie danych podczas przesyłania danych do amerykańskich dostawców lub zlecania ich przetwarzania. Prowadzi to coraz częściej do poszukiwania alternatywnych rozwiązań, takich jak korzystanie z lokalnych lub regionalnych dostawców usług chmurowych, którzy nie podlegają jurysdykcji USA, lub wdrażanie dodatkowych zabezpieczeń technicznych i organizacyjnych (takich jak kompleksowe szyfrowanie z zastrzeżonym systemem zarządzania kluczami, pseudonimizacja danych lub ścisła lokalizacja danych dla niektórych typów danych).

Niepewność prawna wywołana przez ustawę CLOUD Act i podobne przepisy w innych krajach, a także wynikające z nich środki ochronne, mogą również nasilić tendencję do „bałkanizacji” internetu. Odnosi się to do rosnącej fragmentacji globalnej przestrzeni cyfrowej wzdłuż granic państwowych lub regionalnych, charakteryzującej się bardziej rygorystycznymi wymogami dotyczącymi lokalizacji danych, zróżnicowanymi standardami technicznymi i trudniejszymi transgranicznymi przepływami danych. Ustawa CLOUD Act jest kluczowym czynnikiem napędzającym ten globalny trend w kierunku większej suwerenności cyfrowej. Poprzez jednostronne zagwarantowanie eksterytorialnego dostępu do danych, a tym samym potencjalne obejście systemów prawnych innych państw, Stany Zjednoczone prowokują środki zaradcze. Przejawiają się one w postaci przepisów dotyczących lokalizacji danych, rządowego wsparcia dla lokalnych ekosystemów chmurowych oraz zaostrzenia krajowych przepisów dotyczących międzynarodowego transferu danych. Ustawa CLOUD Act przyspiesza zatem, być może nieumyślnie, odchodzenie od otwartej, globalnie połączonej w sieć przestrzeni danych w kierunku terytoriów cyfrowych o większej kontroli krajowej lub regionalnej.

Nadaje się do:

• Niezależne platformy AI jako strategiczna alternatywa dla firm europejskich

Mapowanie globalnej zależności od amerykańskich dostawców usług chmurowych

Aby ocenić zakres ustawy CLOUD Act, niezbędne jest zrozumienie globalnych udziałów rynkowych i wynikających z nich zależności od głównych amerykańskich dostawców usług chmurowych – Amazon Web Services (AWS), Microsoft Azure i Google Cloud Platform (GCP). Dominacja rynkowa tych podmiotów w znacznym stopniu determinuje liczbę firm i organizacji na całym świecie, które potencjalnie mogą zostać objęte wnioskami wynikającymi z ustawy CLOUD Act.

Udziały rynkowe amerykańskich hiperskalerów (AWS, Azure, GCP)

Liczne analizy rynku potwierdzają miażdżącą dominację trzech największych amerykańskich hiperskalerów na globalnym rynku usług infrastruktury chmurowej (Infrastruktura jako usługa, IaaS, oraz Platforma jako usługa, PaaS). AWS, Microsoft Azure i GCP kontrolowały łącznie około 66% do 70% globalnych przychodów w tym segmencie na koniec 2023 roku i początek 2025 roku (w zależności od źródła i dokładnej definicji rynku).

Przybliżone udziały w rynku za czwarty kwartał 2024 r. można podsumować następująco (na podstawie danych z różnych źródeł; dokładne liczby mogą się nieznacznie różnić, ale trend jest stały):

• Amazon Web Services (AWS): około 30-33%. AWS pozostaje zdecydowanym liderem rynku, a jego pionierska rola w dziedzinie przetwarzania w chmurze zapewnia mu trwałą przewagę. Jednak w ostatnich latach widoczna jest lekka stagnacja, a nawet nieznaczny spadek udziału w rynku, podczas gdy konkurencja nadrabia zaległości.
• Microsoft Azure: około 21–24%. Platforma Azure ugruntowała swoją pozycję lidera na drugim miejscu i odnotowuje ciągły wzrost, często napędzany integracją z innymi produktami Microsoft i silną pozycją w sektorze przedsiębiorstw.
• Google Cloud Platform (GCP): około 11-12%. GCP zajmuje trzecie miejsce i również odnotowuje znaczący wzrost, choć z mniejszej bazy. Google intensywnie inwestuje w obszary takie jak sztuczna inteligencja i analiza danych, aby zdobyć udział w rynku.

Oprócz tych trzech gigantów, istnieją inni znaczący gracze, których udziały w rynku są znacznie mniejsze. Należą do nich Alibaba Cloud, która z około 4% udziałem w rynku globalnym odgrywa mniejszą rolę, ale dominuje na rynku chmury w Chinach. Inni dostawcy o zasięgu globalnym lub regionalnym to IBM, Salesforce, Oracle, Tencent Cloud i Huawei Cloud (obaj silni w Chinach), a także dostawcy wyspecjalizowani.

Poniższa tabela podsumowuje szacunkowe udziały w rynku światowym wiodących dostawców infrastruktury chmurowej (IaaS/PaaS) na koniec 2024 r. / początek 2025 r. i ilustruje dominację amerykańskich hiperskalerów:

Szacunkowe globalne udziały w rynku usług w chmurze (IaaS/PaaS) IV kw. 2024 r./początek 2025 r

Szacunkowe globalne udziały w rynku chmury (IaaS/PaaS) IV kw. 2024 r./początek 2025 r. – obraz: Xpert.Digital

Aktualne dane dotyczące globalnego rynku chmury IaaS/PaaS w czwartym kwartale 2024 r. i na początku 2025 r. pokazują wyraźną dominację amerykańskich hiperskalerów. AWS posiada największy udział w rynku, wynoszący od 30 do 33 procent, z tendencją stabilną lub nieznacznie spadkową. Microsoft Azure plasuje się na drugim miejscu z 21 do 24 procent i odnotowuje dalszy wzrost. Google Cloud Platform (GCP) zapewnia sobie 11 do 12 procent udziału w rynku, z tendencją wzrostową. Chiński dostawca Alibaba Cloud utrzymuje stabilny globalny udział w rynku na poziomie około 4 procent. Pozostali dostawcy, w tym IBM, Oracle, Tencent i Huawei, łącznie posiadają 27 do 34 procent udziału w rynku, z różnymi trendami wzrostu. Ogólna pozycja amerykańskich hiperskalerów jest godna uwagi, ponieważ łącznie kontrolują oni około 62 do 69 procent globalnego rynku chmury i odnotowują niewielki wzrost.

Liczby te podkreślają znaczną globalną zależność od trzech głównych dostawców z USA. Znaczna część światowej infrastruktury chmurowej potencjalnie podlega zatem jurysdykcji ustawy CLOUD Act.

Regiony/kraje o dużej zależności

Stopień uzależnienia od amerykańskich dostawców usług w chmurze różni się w zależności od regionu geograficznego, lecz w wielu ważnych regionach gospodarczych jest bardzo wysoki:

• Ameryka Północna (zwłaszcza USA i Kanada): Jako siedziba firm oferujących usługi hiperskaleralne i kraj o najwyższym poziomie penetracji chmury, zależność jest tu naturalnie największa. AWS ma szczególnie silną pozycję rynkową w USA. Kanada również charakteryzuje się wysokimi inwestycjami w chmurę obliczeniową i sztuczną inteligencję, często za pośrednictwem platform amerykańskich.
• Europa: Pomimo obaw związanych z RODO i ustawą CLOUD Act, uzależnienie od AWS, Azure i GCP w Europie pozostaje niezwykle wysokie. Ich łączny udział w rynku na kontynencie szacuje się na ponad 70%. Co ciekawe, według jednej z analiz, Azure wydaje się wyprzedzać AWS nawet w niektórych krajach europejskich, takich jak Holandia (podobno 67% udziału w rynku), Polska (49%) i Japonia (49%). Główne gospodarki europejskie, takie jak Niemcy, Wielka Brytania i Francja, intensywnie inwestują w technologie chmurowe i sztuczną inteligencję, a platformy amerykańskie odgrywają w tym kluczową rolę. Ta rozbieżność między wysoką zależnością rynkową a politycznym dążeniem do suwerenności cyfrowej stanowi kluczowy obszar napięć.
• Indie: Indyjski rynek usług chmurowych charakteryzuje się silną dynamiką wzrostu i dużym uzależnieniem od dostawców z USA, a jego struktura jest podobna do amerykańskiej: liderem jest AWS (ok. 52%), następnie Azure (ok. 35%) i GCP (ok. 13%). Jednocześnie w Indiach istnieje silna wola polityczna do cyfryzacji i coraz większe zapotrzebowanie na lokalizację danych, szczególnie w przypadku danych wrażliwych, takich jak dane finansowe. Może to sprzyjać rozwojowi lokalnych dostawców w dłuższej perspektywie.
• Ameryka Łacińska: Wykorzystanie chmury rośnie w krajach takich jak Brazylia, ale nadal jest zdominowane przez globalnych graczy z USA. AWS aktywnie rozwija się w tym regionie, na przykład otwierając nowy region w Meksyku. Lokalne przepisy dotyczące ochrony danych, takie jak brazylijska ustawa LGPD, oraz szczegółowe wymogi dotyczące lokalizacji danych, np. w sektorze finansowym, mogą wpływać na dynamikę rynku, ale jak dotąd niewiele wpłynęły na zmianę fundamentalnej zależności.
• Australia: Jako kraj zaawansowany technologicznie, z bliskimi powiązaniami politycznymi i gospodarczymi ze Stanami Zjednoczonymi, Australia charakteryzuje się wysokim poziomem adopcji chmury obliczeniowej. Istnienie umowy wykonawczej w ramach ustawy CLOUD Act między Stanami Zjednoczonymi a Australią sugeruje akceptację amerykańskich mechanizmów dostępu i wskazuje na wysoki stopień uzależnienia od amerykańskich dostawców.
• Inne regiony (np. Afryka, część Azji Południowo-Wschodniej): Rynki usług chmurowych wciąż się rozwijają w wielu krajach wschodzących i rozwijających się. Globalni dostawcy z USA często dominują również na tym rynku, dzięki efektowi skali i przewadze technologicznej. Jednocześnie w tych regionach rośnie dążenie do suwerenności cyfrowej i lokalizacji danych, co pokazują przykłady z Wietnamu i Indonezji.

Kraje o mniejszym uzależnieniu i alternatywnych ekosystemach (Chiny, Rosja)

W przeciwieństwie do powszechnej zależności od amerykańskich hiperskalerów, rozwinęły się w dużej mierze niezależne ekosystemy cyfrowe, zwłaszcza w Chinach i Rosji, gdzie dominują lokalni dostawcy.

• Chiny: Chiński rynek usług chmurowych jest drugim co do wielkości na świecie, ale jest silnie regulowany i trudno dostępny dla zagranicznych dostawców. Krajowe firmy technologiczne wyraźnie dominują: Alibaba Cloud ma udział w rynku wynoszący około 36%, następnie Huawei Cloud z około 19% i Tencent Cloud z około 15-16% (dane z II/III kwartału 2024 r.). Amerykańscy dostawcy, tacy jak AWS czy Azure, odgrywają jedynie niewielką rolę na rynku Chin kontynentalnych. Rozwój ten jest napędzany przez surowe regulacje rządowe, w szczególności ustawę o cyberbezpieczeństwie (CSL) i ustawę o ochronie danych osobowych (PIPL), które między innymi nakładają wymogi dotyczące lokalizacji danych i ściśle kontrolują transgraniczny przepływ danych. Chiny realizują również własną ambitną strategię w zakresie sztucznej inteligencji, która opiera się na możliwościach krajowych dostawców usług chmurowych.
• Rosja: Podobnie jak Chiny, ale z innych powodów (w szczególności sankcji zachodnich i aktywnej polityki rządu promującej suwerenność cyfrową), Rosja obserwuje coraz większe odcinanie się od zachodnich dostawców technologii. Rosyjski rynek usług chmurowych jest zdominowany przez lokalnych dostawców, przede wszystkim Yandex Cloud, ale znaczącą rolę odgrywają również dostawcy tacy jak SberCloud (obecnie działający prawdopodobnie pod inną nazwą, np. Cloud.ru), VK Cloud oraz państwowa firma telekomunikacyjna Rostelecom. Rosyjska ustawa o ochronie danych (ustawa federalna nr 152) nakazuje ścisłą lokalizację danych osobowych obywateli rosyjskich, co utrudnia korzystanie z zagranicznych usług chmurowych i faworyzuje lokalnych dostawców. Yandex Cloud wyraźnie reklamuje swoją zgodność z lokalnymi przepisami, aby przyciągnąć międzynarodowe firmy zainteresowane działalnością na rynku rosyjskim. Programy rządowe, takie jak „Cyfrowa gospodarka Federacji Rosyjskiej” i platforma „GosTech”, dodatkowo promują korzystanie z krajowych rozwiązań chmurowych przez agencje rządowe i przedsiębiorstwa.
• Unia Europejska (potencjał a rzeczywistość): UE znajduje się w wyjątkowej sytuacji. Z jednej strony widoczne są wyraźne wysiłki polityczne mające na celu zmniejszenie zależności od dostawców z USA i ustanowienie własnej suwerenności cyfrowej. Inicjatywy takie jak Gaia-X i akty prawne, takie jak ustawa o ochronie danych (Data Act), zmierzają w tym kierunku. Istnieje również wielu europejskich dostawców usług chmurowych (np. OVHcloud, Deutsche Telekom/T-Systems, IONOS). Z drugiej strony, jak pokazano powyżej, rzeczywista penetracja rynku przez amerykańskie hiperskalery w Europie jest niezwykle wysoka. Europejskie alternatywy jak dotąd nie osiągnęły porównywalnych udziałów rynkowych, co często przypisuje się efektom skali i dojrzałości technologicznej ofert amerykańskich. UE pozostaje zatem regionem o wysokiej zależności, połączonym z silną wolą polityczną do zmian.

Te przykłady pokazują, że mniejsze uzależnienie od amerykańskich hiperskalowców jest możliwe, jednak zwykle opiera się na połączeniu silnych regulacji rządowych, ukierunkowanego wsparcia dla krajowego przemysłu, a w niektórych przypadkach politycznie motywowanego protekcjonizmu rynkowego.

Skorzystaj z bogatej, pięciokrotnej wiedzy specjalistycznej Xpert.Digital w ramach kompleksowego pakietu usług | Badania i rozwój, XR, PR i optymalizacja widoczności cyfrowej — Zdjęcie: Xpert.Digital

Xpert.Digital posiada dogłębną wiedzę na temat różnych branż. Dzięki temu możemy opracowywać strategie „szyte na miarę”, które są dokładnie dopasowane do wymagań i wyzwań konkretnego segmentu rynku. Dzięki ciągłej analizie trendów rynkowych i śledzeniu rozwoju branży możemy działać dalekowzrocznie i oferować innowacyjne rozwiązania. Dzięki połączeniu doświadczenia i wiedzy generujemy wartość dodaną i dajemy naszym klientom zdecydowaną przewagę konkurencyjną.

Więcej na ten temat tutaj:

• Wykorzystaj 5-krotną wiedzę Xpert.Digital w jednym pakiecie – już od 500 €/miesiąc

Strategie krajowe i reakcje na ustawę CLOUD

Biorąc pod uwagę wyzwania, jakie amerykańska ustawa CLOUD stawia przed ochroną danych, suwerennością i pewnością prawną, państwa na całym świecie opracowały zróżnicowane strategie zarządzania związanym z tym ryzykiem i ochrony swoich interesów. Strategie te obejmują zarówno środki regulacyjne i podejścia technologiczne, jak i negocjacje międzynarodowe.

Porównanie podejść krajowych

Można zaobserwować kilka podstawowych podejść, które często są łączone:

• Lokalizacja danych: Jedną z najbardziej bezpośrednich reakcji jest wprowadzenie przepisów nakazujących fizyczne przechowywanie i przetwarzanie określonych rodzajów danych – często danych osobowych lub informacji sklasyfikowanych jako krytyczne – w granicach państwowych. Do znaczących przykładów należą Rosja z ustawą federalną nr 152, Chiny z wymogami wynikającymi z ustawy o cyberbezpieczeństwie i ustawy o ochronie danych osobowych (PIPL) oraz, w pewnym stopniu, Indie (szczególnie w przypadku danych płatniczych). Podobne podejście stosują również kraje takie jak Wietnam i Indonezja. Motywy są wielorakie: wzmocnienie suwerenności narodowej i kontroli nad danymi, poprawa bezpieczeństwa narodowego poprzez ograniczenie dostępu do nich mocarstw zagranicznych, a także protekcjonizm gospodarczy mający na celu wspieranie krajowego sektora IT. Jednak z technologicznego i ekonomicznego punktu widzenia ścisła lokalizacja danych jest często nieefektywna, ponieważ podważa zalety globalnie rozproszonych architektur chmurowych (takie jak skalowalność, redundancja i efektywność kosztowa) i prowadzi do wyższych kosztów dla przedsiębiorstw. Liczba krajów z takimi ograniczeniami znacznie wzrosła w ostatnich latach.
• Wzmocnienie regulacji krajowych i standardów międzynarodowych: Wiele krajów koncentruje się na wzmocnieniu własnych przepisów o ochronie danych, aby ustanowić wysokie standardy ochrony i jasno uregulować warunki międzynarodowego transferu danych. UE, z jej RODO, jest pionierem w tej dziedzinie. Inne kraje poszły w ich ślady lub zmodernizowały swoje przepisy, często opierając się na RODO, takie jak Szwajcaria (revFADP), Brazylia (LGPD), Wielka Brytania (UK RODO) i Kanada (PIPEDA). Celem jest często uzyskanie uznania UE za kraj o „odpowiednim poziomie ochrony danych”, aby ułatwić przepływ danych z Europą. Jednocześnie przepisy te służą ochronie praw własnych obywateli i tworzą ramy prawne, na które można się potencjalnie powołać w przypadku konfliktu z przepisami takimi jak ustawa CLOUD.
• Promocja lokalnych/regionalnych dostawców i ekosystemów: Innym podejściem jest aktywna polityka przemysłowa promująca krajowych lub regionalnych dostawców chmury obliczeniowej i ekosystemy cyfrowe w celu stworzenia alternatywy dla dominujących amerykańskich hiperskalowców i zmniejszenia zależności technologicznej. Przykładem jest unijna inicjatywa Gaia-X, choć jej sukces był jak dotąd ograniczony. W Chinach i Rosji takie podejście, w połączeniu z silnymi regulacjami, okazało się bardziej skuteczne i doprowadziło do zdominowania rynków przez lokalnych dostawców. Wyzwaniem jest to, że lokalni dostawcy często nie są w stanie osiągnąć takich samych korzyści skali, takiego samego wolumenu inwestycji ani takiego samego zasięgu globalnego jak amerykańscy giganci.
• Wykorzystanie umów międzynarodowych (umów wykonawczych a umów o wzajemnej pomocy prawnej): Państwa mogą próbować regulować dostęp do danych w organach ścigania za pośrednictwem umów międzynarodowych. Sama ustawa CLOUD przewiduje w tym celu mechanizm umów wykonawczych. Kraje takie jak Wielka Brytania i Australia wybrały tę drogę i zawarły umowy dwustronne ze Stanami Zjednoczonymi, które mają umożliwić przyspieszony, bezpośredni dostęp do danych pod pewnymi warunkami. Umowy te obiecują wzrost efektywności w porównaniu z często powolnymi tradycyjnymi procedurami wzajemnej pomocy prawnej (MLAT). Jednak inne kraje lub regiony, takie jak UE, wahają się przed zawarciem takiej umowy, częściowo z powodu obaw o zgodność z własnymi wysokimi standardami ochrony danych (RODO, Schrems II). Nadal opierają się one przede wszystkim na ugruntowanej procedurze MLAT, która przewiduje większe zaangażowanie organów sądowych państwa wezwanego, mimo że jest uważana za nieefektywną. Wybór między tymi podejściami stanowi balans między efektywnością organów ścigania a ochroną praw podstawowych i suwerenności.
• Środki techniczne i organizacyjne (TOM) stosowane przez firmy: Niezależnie od strategii rządowych, same firmy podejmują działania mające na celu ograniczenie ryzyka związanego z ustawą CLOUD Act. Obejmują one stosowanie silnych metod szyfrowania, najlepiej z wyłączną kontrolą klienta nad kluczami kryptograficznymi (Bring Your Own Key – BYOK, Hold Your Own Key – HYOK), staranny wybór lokalizacji przechowywania (np. centra danych w UE), wdrożenie ścisłej kontroli dostępu, stosowanie technik pseudonimizacji lub anonimizacji, współpracę z lokalnymi partnerami lub integratorami systemów, którzy zarządzają danymi w imieniu klienta, lub wdrożenie hybrydowej architektury chmurowej, w której szczególnie wrażliwe dane pozostają we własnym centrum danych firmy (lokalnym).

Studia przypadków: UE, Szwajcaria, Brazylia, Chiny, Rosja

Zastosowanie tych strategii można zilustrować przykładami z konkretnych krajów:

• UE realizuje wielotorowe podejście. Podstawą są rygorystyczne regulacje (RODO, ustawa o ochronie danych). Inicjatywy takie jak Gaia-X mają na celu wzmocnienie suwerenności, ale napotykają na trudności. Jednocześnie trwają negocjacje ze Stanami Zjednoczonymi w sprawie umowy w ramach ustawy CLOUD Act, co uwypukla niejednoznaczność między roszczeniami do suwerenności a potrzebą współpracy. Nadal utrzymuje się wysokie uzależnienie od dostawców z USA.
• Szwajcaria: Jej ustawa o ochronie danych (revFADP) jest ściśle powiązana z RODO i wykorzystuje podobne mechanizmy do międzynarodowego transferu danych (decyzje o adekwatności, SKU). W odpowiedzi na Schrems II, Szwajcaria wdrożyła własne porozumienie ze Stanami Zjednoczonymi (Szwajcarsko-USA Data Privacy Framework). Niemniej jednak, fundamentalne ryzyko wynikające z ustawy CLOUD Act pozostaje, ponieważ szwajcarskie firmy korzystające z usług amerykańskich mogą być potencjalnie dotknięte.
• Brazylia: Ustawa LGPD wprowadziła kompleksowe prawo o ochronie danych o skutku eksterytorialnym i powołała niezależny organ ochrony danych (ANPD). Istnieją szczegółowe przepisy dotyczące międzynarodowego transferu danych i korzystania z usług w chmurze, szczególnie w regulowanym sektorze finansowym. Jednak dokładna interpretacja i egzekwowanie przepisów, również w odniesieniu do konfliktów z przepisami, takimi jak ustawa CLOUD, wciąż są w fazie rozwoju.
• Chiny: Konsekwentnie opierają się na kontroli państwa, ścisłej lokalizacji danych i promowaniu zamkniętego rynku wewnętrznego, zdominowanego przez krajowych gigantów. Ochrona danych (w rozumieniu ustawy PIPL) służy również kontroli państwa i bezpieczeństwu narodowemu.
• Rosja: Realizuje podobną strategię suwerenności cyfrowej poprzez ścisłą lokalizację danych, promowanie krajowych dostawców i coraz większe odłączanie się od Zachodu pod względem technologicznym, co jest wzmacniane przez czynniki geopolityczne.

Środki techniczne i organizacyjne przedsiębiorstw

Dla firm korzystających z amerykańskich usług chmurowych lub działających globalnie, wdrożenie solidnych środków technicznych i organizacyjnych ma kluczowe znaczenie dla minimalizacji ryzyka. Należą do nich:

• Przejrzystość i ocena ryzyka: proaktywna komunikacja z klientami na temat ryzyka związanego z jurysdykcją i przeprowadzanie szczegółowych analiz ryzyka (oceny wpływu transferu danych – TIA) w celu oceny wrażliwości danych i potencjalnego wpływu dostępu do nich.
• Staranny wybór dostawców: Analiza alternatyw dla dostawców z USA, w szczególności europejskich lub lokalnych, niepodlegających jurysdykcji USA. Ocena zobowiązań dostawców w zakresie zgodności i architektury bezpieczeństwa.
• Szyfrowanie i zarządzanie kluczami: Silne szyfrowanie jest stosowane zarówno w przypadku danych w spoczynku, jak i w trakcie przesyłu. Kontrola nad kluczami kryptograficznymi jest kluczowa. Tylko klient zarządza kluczami na wyłączność (HYOK), co pozwala mu skutecznie uniemożliwić dostęp dostawcy (a tym samym potencjalnie władzom USA). Rozwiązania, w których kluczami zarządza dostawca (Bring Your Own Key – BYOK może być tutaj mylące), nie zapewniają pełnej ochrony. Należy jednak pamiętać, że dane do aktywnego przetwarzania w chmurze często muszą być przechowywane w pamięci w postaci odszyfrowanej, co stanowi potencjalne okno dostępu.
• Kontrola dostępu i zarządzanie: Wdrożenie rygorystycznych zasad zarządzania tożsamością i dostępem (IAM) w celu ograniczenia dostępu do danych do absolutnego minimum. Zbadanie, czy dostęp personelu z określonych jurysdykcji (np. USA) do danych w innych regionach (np. UE) można uniemożliwić za pomocą środków technicznych i organizacyjnych.
• Strategie hybrydowe i multi-cloud: Migracja szczególnie wrażliwych danych i obciążeń do chmury prywatnej lub infrastruktury lokalnej, podczas gdy mniej krytyczne aplikacje pozostają w chmurze publicznej. Umożliwia to zróżnicowane zarządzanie ryzykiem.
• Struktura prawna: W niektórych przypadkach utworzenie prawnie odrębnych spółek zależnych w różnych jurysdykcjach może być uznane za naruszenie „kontroli” amerykańskiej spółki dominującej nad danymi w innych regionach. Jest to jednak skomplikowane i wymaga starannej struktury prawnej.
• Odpowiadanie na zapytania: Opracowanie jasnych wewnętrznych procedur obsługi zapytań od organów. Obejmuje to weryfikację legalności zapytania i gotowość do kwestionowania nakazów, jeśli są one sprzeczne z lokalnymi przepisami (np. RODO).

Należy jednak pamiętać, że środki techniczne i organizacyjne mają swoje ograniczenia. Dopóki firma podlegająca jurysdykcji USA ostatecznie posiada, przechowuje lub kontroluje dane lub klucze niezbędne do odszyfrowania, istnieje fundamentalne ryzyko prawne związane z koniecznością ich ujawnienia na mocy ustawy CLOUD Act. Nawet silne szyfrowanie można obejść, jeśli dostawca zostanie zmuszony do przekazania kluczy lub uzyska dostęp do poziomu zarządzania. Rozwiązanie czysto techniczne nie jest w stanie całkowicie wyeliminować problemu prawnego związanego z roszczeniami o suwerenność.

Poniższa tabela przedstawia porównawczy przegląd różnych strategii krajowych:

Porównanie krajowych strategii ograniczania ryzyka związanego z ustawą CLOUD

Porównanie krajowych strategii ograniczania ryzyka związanego z ustawą CLOUD – Zdjęcie: Xpert.Digital

Różne kraje i regiony na całym świecie opracowały zróżnicowane podejścia strategiczne, aby sprostać zagrożeniom wynikającym z amerykańskiej ustawy CLOUD Act. Strategia lokalizacji danych, stosowana w Chinach, Rosji oraz niektórych częściach Indii i Wietnamu, nakazuje ścisłe przechowywanie danych w kraju. Chociaż zwiększa to kontrolę i suwerenność państwa oraz wspiera lokalny przemysł, często okazuje się nieefektywna, kosztowna i hamuje innowacje, a także ogranicza dostęp do usług globalnych.

Z drugiej strony, UE z RODO, Szwajcaria z FADP, Brazylia z LGPD i Wielka Brytania z RODO koncentrują się na wzmocnieniu własnych przepisów poprzez wprowadzenie wysokich standardów ochrony danych, jasnych zasad międzynarodowego transferu danych oraz silnych organów nadzorczych. Strategia ta chroni prawa obywateli i tworzy ramy prawne dla sporów, ale nie rozwiązuje bezpośrednio fundamentalnego konfliktu jurysdykcyjnego i nakłada na firmy duży ciężar wymogów zgodności.

Niektóre regiony aktywnie promują lokalnych dostawców i ekosystemy cyfrowe, na przykład UE w ramach projektu Gaia-X lub Chiny i Rosja w ramach swojej polityki przemysłowej. Działania te zmniejszają zależność od dostawców zagranicznych i wzmacniają suwerenność technologiczną, ale często wiążą się z ograniczoną konkurencyjnością w stosunku do dużych dostawców międzynarodowych i okazują się długotrwałe i kosztowne.

Wielka Brytania i Australia zawarły umowy wykonawcze ze Stanami Zjednoczonymi na mocy ustawy CLOUD Act, podczas gdy UE wciąż prowadzi negocjacje. Te umowy dwustronne umożliwiają organom ścigania szybszy dostęp do danych i zapewniają pewność prawną dostawcom, ale mogą również obchodzić krajowe standardy ochrony danych i legitymizować dostęp USA do danych.

Wiele krajów w sposób dorozumiany stosuje tradycyjny proces MLAT (Traktatu o wzajemnej pomocy prawnej), który oferuje ustalone procedury pomocy prawnej z silniejszymi gwarancjami praworządności, ale jest uważany za powolny, biurokratyczny i nieskuteczny w przypadku dowodów cyfrowych.

Firmy na całym świecie wdrażają również środki techniczne i organizacyjne, takie jak szyfrowanie typu „hold-your-own-key”, ścisłą kontrolę dostępu, hybrydowe rozwiązania chmurowe oraz kompleksowe analizy ryzyka. Chociaż środki te mogą ograniczać ryzyko i potwierdzać zgodność z przepisami, często nie rozwiązują one fundamentalnego problemu jurysdykcji, a ich wdrożenie jest złożone i potencjalnie kosztowne.

Nadaje się do:

• Integracja AI niezależnej platformy AI w całej całej DATA dla wszystkich spraw firmowych

Problematyczne prawo o dalekosiężnych konsekwencjach

Analiza amerykańskiej ustawy CLOUD Act i jej globalnego wpływu ujawnia złożoną sieć konfliktów prawnych, zależności technologicznych, napięć geopolitycznych i reakcji strategicznych. Choć ustawa ta została stworzona ze zrozumiałym celem, jakim jest skuteczniejsze egzekwowanie prawa w erze cyfrowej, w obecnej formie jest ona wysoce problematyczna i stwarza poważne ryzyko dla jednostek, firm i państw na całym świecie.

Podsumowanie podstawowych problemów ustawy CLOUD

Główne zarzuty i obszary problemowe można podsumować następująco:

• Konflikt z suwerennością narodową i systemami prawnymi: Wyraźne roszczenie eksterytorialne zawarte w ustawie CLOUD Act, która przyznaje władzom USA dostęp do danych niezależnie od miejsca ich przechowywania, stoi w fundamentalnej sprzeczności z rozumieniem suwerenności innych państw i ich systemów prawnych. Staje się to szczególnie widoczne w konflikcie z unijnym rozporządzeniem RODO, a zwłaszcza z artykułem 48, który łączy uznawanie nakazów rządów obcych państw z umowami międzynarodowymi.
• Niepewność prawna i konflikt przepisów: Dla firm działających globalnie, zwłaszcza dostawców usług chmurowych, prawo stwarza znaczną niepewność prawną. Muszą one stawić czoła potencjalnie sprzecznym obowiązkom prawnym – z jednej strony amerykańskiemu nakazowi ujawnienia danych, a z drugiej przepisom o ochronie danych lub poufności kraju, w którym dane są przechowywane lub którego obywateli dotyczą. Prowadzi to do dylematu z potencjalnymi sankcjami dla obu stron.
• Erozja zaufania: Ustawa CLOUD znacząco podważa zaufanie do amerykańskich dostawców technologii. Możliwość uzyskania dostępu do danych przez władze USA z pominięciem lokalnych procedur lub bez wiedzy osób, których dane dotyczą, potęguje nieufność w kwestii bezpieczeństwa i poufności danych. Dotyczy to zarówno danych osobowych, jak i poufnych informacji korporacyjnych, a dodatkowo pogłębiają ją obawy dotyczące amerykańskich przepisów dotyczących inwigilacji (sprawa Schrems II).
• Zagrożenia wykraczające poza egzekwowanie prawa: Chociaż deklarowanym celem jest zwalczanie poważnej przestępczości, istnieją obawy dotyczące nadużywania praw dostępu do celów inwigilacji państwowej lub szpiegostwa gospodarczego. Zagrożenia te są trudne do kontrolowania i przyczyniają się do utraty zaufania.
• Promowanie globalnej fragmentacji: Jednostronne podejście ustawy CLOUD Act działa jak katalizator globalnych trendów fragmentacji w przestrzeni cyfrowej. Prowokuje ono reakcje w postaci przepisów dotyczących lokalizacji danych i promowania krajowych ekosystemów cyfrowych, co sprzyja „bałkanizacji” internetu i utrudnia swobodny globalny przepływ danych.

Przegląd globalnego krajobrazu zależności

Analiza udziałów w rynku ujawnia ogromną globalną zależność od trzech głównych amerykańskich hiperskalerów chmurowych: AWS, Microsoft Azure i GCP. Kontrolują oni, szczególnie w Ameryce Północnej i Europie, ponad dwie trzecie rynku usług infrastruktury chmurowej. Ta duża koncentracja stwarza szeroki potencjalny obszar ataku dla ustawy CLOUD Act.

Z kolei kraje takie jak Chiny i Rosja stworzyły w dużej mierze niezależne ekosystemy cyfrowe dzięki silnym regulacjom państwowym, promowaniu krajowych dostawców i protekcjonizmowi rynkowemu. Pokazują one, że mniejsza zależność jest możliwa, choć często kosztem ograniczonej globalnej łączności i potencjalnie mniejszej swobody wyboru.

Unia Europejska znajduje się w niejednoznacznej sytuacji: z jednej strony jest silnie uzależniona od dostawców z USA, z drugiej zaś istnieje silna wola polityczna i konkretne inicjatywy (Gaia-X, Data Act) mające na celu wzmocnienie suwerenności cyfrowej i promowanie alternatyw. Jednak powodzenie tych wysiłków pozostaje niepewne.

Perspektywy przyszłych wydarzeń

Trendy zapoczątkowane przez ustawę CLOUD Act i podobne wydarzenia prawdopodobnie będą się utrzymywać:

• Przepisy dotyczące lokalizacji danych będą zapewne coraz powszechniejsze, ponieważ coraz więcej krajów będzie starało się zachować kontrolę nad danymi na swoim terytorium.
• Wysiłki na rzecz budowy regionalnych lub krajowych alternatyw chmurowych będą kontynuowane, mimo że sukces w konkurencji z uznanymi hiperskalowcami pozostaje trudny. Inicjatywy takie jak Gaia-X mogą przekształcić się w ramy standaryzacji przestrzeni danych.
• Oczekuje się, że Stany Zjednoczone będą dążyć do dalszych porozumień wykonawczych ze strategicznymi partnerami, aby ułatwić dostęp do danych. Jednak negocjacje z UE pozostają złożone.
• Spory prawne dotyczące międzynarodowego transferu danych, szczególnie w kontekście Schrems II i jego późniejszych przepisów (takich jak Ramy Ochrony Danych UE-USA), będą się utrzymywać. Kwestia „odpowiedniego poziomu ochrony” w USA pozostaje palącym problemem.
• Dla przedsiębiorstw coraz ważniejsze staje się opracowywanie i wdrażanie solidnych strategii zgodności oraz rozwiązań technicznych ograniczających ryzyko (szyfrowanie, modele hybrydowe itp.), aby mogły działać w tym złożonym środowisku.

Podsumowując, należy uznać, że ustawa CLOUD rozwiązuje realny problem: potrzebę terminowego dostępu organów ścigania do dowodów przechowywanych za granicą w dobie cyfrowej. Tradycyjne procedury MLAT są często zbyt powolne i nieefektywne. Jednak każde trwałe rozwiązanie musi znaleźć sposób na pogodzenie tej uzasadnionej potrzeby organów ścigania z podstawowymi prawami do ochrony danych i prywatności, a także suwerennością państw. Ustawa CLOUD w obecnej formie nie zapewnia tej równowagi, zdaniem wielu międzynarodowych obserwatorów i interesariuszy. Stanowi ona rozwiązanie skoncentrowane na USA, które nie uwzględnia w wystarczającym stopniu obaw i systemów prawnych innych krajów, stwarzając w ten sposób więcej problemów niż rozwiązuje. Rozwiązanie skoordynowane na szczeblu międzynarodowym, oparte na wzajemnym poszanowaniu systemów prawnych i silnych gwarancjach praw podstawowych, pozostaje pilną potrzebą.

Zalecenia dotyczące działań

Analiza ustawy CLOUD Act i jej globalnego wpływu pozwala sformułować konkretne zalecenia dotyczące działań, które mogą podjąć europejskie przedsiębiorstwa i organizacje, a także decydenci polityczni.

Dla firm i organizacji europejskich:

• Przeprowadzanie kompleksowych analiz ryzyka: Firmy powinny systematycznie oceniać swoją zależność od amerykańskich dostawców usług w chmurze. Obejmuje to klasyfikację przetwarzanych danych według wrażliwości oraz analizę potencjalnego ryzyka w przypadku dostępu do danych przez organy amerykańskie. Przeprowadzanie ocen skutków transferu danych (TIA), zgodnie z wymogami Schrems II, jest niezbędne.
• Staranny wybór dostawców usług chmurowych: Wskazane jest rozważenie europejskich lub innych dostawców usług chmurowych spoza USA jako alternatywy, które nie podlegają jurysdykcji USA lub podlegają mniej rygorystycznym przepisom. Dostawców należy oceniać pod kątem ich zobowiązań umownych dotyczących wniosków wynikających z ustawy CLOUD Act, zabezpieczeń technicznych oraz certyfikatów zgodności.
• Solidna konstrukcja umowy: Umowy z dostawcami usług w chmurze powinny zawierać jasne postanowienia dotyczące przetwarzania danych, miejsc przechowywania, środków bezpieczeństwa i obsługi wniosków urzędowych, zgodnie z artykułem 28 RODO.
• Wdrożenie skutecznych środków technicznych: Stosowanie kompleksowego szyfrowania, w którym klucze kryptograficzne pozostają wyłącznie pod kontrolą klienta (Hold Your Own Key – HYOK), stanowi istotny środek bezpieczeństwa. Należy wdrożyć rygorystyczne kontrole dostępu (Identity and Access Management) oraz, w stosownych przypadkach, techniki pseudonimizacji lub anonimizacji.
• Wykorzystanie strategii hybrydowych lub multi-cloud: W przypadku szczególnie wrażliwych danych korzystne może być wykorzystanie chmur prywatnych lub infrastruktur lokalnych, podczas gdy mniej krytyczne obciążenia mogą pozostać w chmurze publicznej. Umożliwia to zróżnicowane zarządzanie ryzykiem.
• Uzyskanie specjalistycznej porady prawnej: Biorąc pod uwagę złożoną i ciągle zmieniającą się sytuację prawną, uzyskanie specjalistycznej porady prawnej w celu oceny konkretnych ryzyk i opracowania skutecznej strategii zapewnienia zgodności jest niezbędne.

Dla decydentów politycznych (szczególnie w UE):

• Wzmocnienie europejskiej suwerenności cyfrowej: Konsekwentne promowanie inicjatyw takich jak Gaia-X i wspieranie rozwoju konkurencyjnych europejskich dostawców usług chmurowych jest niezbędne do stworzenia rzeczywistych alternatyw technologicznych i zmniejszenia zależności. Ustawa o danych powinna być wykorzystywana do zapewnienia uczciwych warunków rynkowych i kontroli nad danymi.
• Jasne stanowisko w negocjacjach międzynarodowych: Negocjacje w sprawie potencjalnej umowy wykonawczej UE-USA w sprawie ustawy CLOUD Act muszą zapewnić pełne przestrzeganie wysokich europejskich standardów ochrony danych (RODO, Karta Praw Podstawowych UE, przepisy Schrems II). Obejmuje to solidne gwarancje praworządności, proporcjonalności, przejrzystości i skutecznej ochrony prawnej osób, których dane dotyczą. Należy zagwarantować priorytet ustanowionych procedur wzajemnej pomocy prawnej (MLAT) lub równoważnych zabezpieczeń.
• Promowanie globalnych standardów: UE powinna działać na rzecz opracowania na szczeblu międzynarodowym zharmonizowanych zasad i standardów dotyczących transgranicznego dostępu organów publicznych do danych, opartych na praworządności, poszanowaniu praw podstawowych i wzajemnym szacunku między krajowymi systemami prawnymi.
• Edukacja i wsparcie dla przedsiębiorstw: Decydenci i organy regulacyjne powinny zapewnić przedsiębiorstwom jasne wytyczne i praktyczne wsparcie, aby pomóc im ocenić ryzyko i wdrożyć środki zapewniające zgodność z ustawą CLOUD Act oraz międzynarodowym transferem danych.

☑️ Wsparcie MŚP w zakresie strategii, doradztwa, planowania i wdrażania

☑️ Tworzenie lub wyrównanie strategii AI

☑️ Pionierski rozwój biznesu

Konrad Wolfenstein

Chętnie będę Twoim osobistym doradcą.

Możesz się ze mną skontaktować wypełniając poniższy formularz kontaktowy lub po prostu dzwoniąc pod numer +49 7348 4088 965 (Monachium) .

Nie mogę się doczekać naszego wspólnego projektu.

Xpert.Digital to centrum przemysłu skupiające się na cyfryzacji, inżynierii mechanicznej, logistyce/intralogistyce i fotowoltaice.

Dzięki naszemu rozwiązaniu do rozwoju biznesu 360° wspieramy znane firmy od rozpoczęcia nowej działalności po sprzedaż posprzedażną.

Wywiad rynkowy, smarketing, automatyzacja marketingu, tworzenie treści, PR, kampanie pocztowe, spersonalizowane media społecznościowe i pielęgnacja leadów to część naszych narzędzi cyfrowych.

Więcej informacji znajdziesz na: www.xpert.digital - www.xpert.solar - www.xpert.plus