Безбедност података и дигитални суверенитет у Европи: Да ли су Мајкрософтове инвестиције у Европи безбедне у погледу података? – Слика: Xpert.Digital
Зашто локација сервера не гарантује безбедност података
Мајкрософт је недавно најавио значајна улагања у Европи, укључујући обезбеђивање изворног кода у Швајцарској и проширење своје клауд инфраструктуре. Ове акције се тумаче као одговор на политичке неизвесности и растућу забринутост међу европским купцима. Упркос овим напорима, и даље постоји фундаментални сукоб између америчког закона и европских прописа о заштити података, што поставља питање да ли локација европског сервера заиста може да пружи довољну заштиту. Овај извештај анализира Мајкрософтова уверавања за Европу, објашњава правни сукоб између америчког CLOUD закона и GDPR-а и испитује зашто сама физичка локација података не гарантује безбедност и суверенитет података.
У вези са овим:
Ажурирање 21. јула 2025:
Мајкрософтове нове дигиталне гаранције за Европу
У светлу трговинских ратова вођених под Трамповом администрацијом и изненадних политичких одлука, многи европски купци су изгубили поверење у дигиталне производе из САД. Мајкрософт одговара конкретним обавезама и инвестицијама у Европи.
Обимна улагања у инфраструктуру
Компанија Мајкрософт је објавила планове за проширење капацитета својих дата центара у Европи за приближно 40 процената током наредне две године, проширујући их на укупно 16 европских земаља. Компанија планира да годишње улаже десетине милијарди долара у ово проширење. Ове мере имају за циљ не само да задовоље растућу потражњу за услугама у облаку и инфраструктуром вештачке интелигенције, већ и да ојачају поверење европских купаца.
Бред Смит, главни правни саветник и председник компаније Мајкрософт, у свом блог посту истиче блиске економске везе компаније са Европом и уверава читаоце да се Мајкрософт неће повући из региона. Европски центри података ће радити независно и њима ће управљати грађани ЕУ, поштујући и спроводећи европске законе.
Резервна копија изворног кода у Швајцарској и континуитет пословања
Једна посебно значајна гаранција је резервна копија изворног кода компаније Мајкрософт у Швајцарској. Компанија прави резервне копије свог изворног кода у безбедним објектима за складиштење података у Швајцарској и додељује правно обавезујућа права приступа европским партнерима. Ова мера служи као резервни план за „мало вероватни догађај“ да Мајкрософт икада буде приморан да прекине своје услуге у Европи.
Мајкрософт такође планира да идентификује европске партнере и имплементира планове за непредвиђене ситуације како би гарантовао континуитет пословања. Ово се већ спроводи кроз партнерства у Француској и Немачкој са центрима података Bleu и Delos.
Граница података ЕУ: Мајкрософтов одговор на забринутост због приватности
Кључна компонента Мајкрософтове стратегије у Европи је имплементација такозване „ЕУ границе података“ за Мајкрософтов облак.
Свеобухватно складиштење података унутар ЕУ
Од јануара 2024. године, европски купци у комерцијалном и јавном сектору могу да чувају и обрађују све своје податке и корисничке акредитиве за основне Microsoft услуге у облаку – укључујући Microsoft 365, Dynamics 365, Power Platform и Azure услуге – унутар ЕУ и региона ЕФТА. У фебруару 2025. године завршена је трећа и последња фаза границе података ЕУ, проширујући границу тако да обухвата податке Microsoft Professional Services из интеракција са техничком подршком.
Овом понудом, Мајкрософт иде корак даље од многих других добављача услуга у облаку: Компанија омогућава не само локално складиштење и обраду података о клијентима, већ и свих личних података, укључујући податке из аутоматски генерисаних системских дневника.
Додатне безбедносне опције
Мајкрософт нуди европским купцима неколико опција за обезбеђивање и шифровање њихових података. То укључује Поверљиво рачунарство у Azure-у, које спречава треће стране – укључујући и сам Мајкрософт – да приступају подацима купаца, и функције „Lockbox“ за Azure, Dynamics 365 и Microsoft 365, које омогућавају купцима да прегледају и одобре захтеве пре него што Мајкрософт приступи њиховим подацима.
Друге безбедносне опције укључују Azure Key Vault и Microsoft Purview Customer Key, које омогућавају корисницима да обезбеде своје податке помоћу технологије самоконтролисаног шифровања.
Основни сукоб: CLOUD Act наспрам GDPR-а
Упркос свим напорима и уверавањима, фундаментални правни сукоб остаје, што поставља питање да ли су подаци европских компанија заиста безбедни код америчких добављача.
Екстериторијални обим примене Закона CLOUD
Закон CLOUD (Clarifying Lawful Overseas Use of Data Act), који је ступио на снагу 2018. године, дозвољава америчким агенцијама за спровођење закона да приморају компаније са седиштем у САД да одобре приступ подацима, без обзира на то где се подаци физички чувају. Ово се такође односи на податке који се чувају у ЕУ, али којима управљају америчке компаније или њихове подружнице.
Закон обавезује америчке интернет компаније и добављаче ИТ услуга да одобре америчким властима приступ сачуваним подацима чак и ако се подаци не чувају у САД. Иако погођене компаније имају право да се успротиве ако власник података није држављанин САД и ако би компанија прекршила законе других земаља откривањем података, ово право се односи само на земље које имају споразум о CLOUD Act-у са САД, који се тренутно примењује само на Велику Британију.
Приговор на GDPR
Општа уредба о заштити података у Европској унији (GDPR) директно је у супротности са Законом CLOUD. Члан 48 GDPR-а забрањује компанијама да преносе податке сачуване у ЕУ без споразума о међусобној правној помоћи. Кршење ове одредбе може бити кажњено новчаним казнама до 20 милиона евра или четири процента годишњег глобалног промета компаније.
Ова некомпатибилност између америчког CLOUD закона и Опште уредбе о заштити података ЕУ (GDPR) ставља компаније које користе cloud сервисе у немогућу дилему. Суочавају се са избором да ли ће кршити CLOUD закон или GDPR, а оба могу довести до значајних казни.
У вези са овим:
Зашто локација сервера не гарантује безбедност података
Супротно увреженом мишљењу, сама чињеница да се подаци чувају на серверима у Немачкој или ЕУ не пружа довољну заштиту од страног приступа.
Заблуда о безбедности података кроз избор локације
Веровање да су подаци на серверима у Немачкој аутоматски заштићени од страног приступа сматра се „опасном заблудом“. Чак и ако се лични подаци чувају у центрима података у Европској унији, амерички добављач услуга у облаку може бити законски обавезан да открије ове податке америчким властима као део кривичних истрага.
Посебан ризик постоји посебно ако се седиште добављача услуга у облаку налази или послује у САД, обрада података се одвија преко америчке инфраструктуре или америчка корпорација има директан или индиректан приступ подацима. У таквим случајевима, постоји могућност да америчке власти добију приступ личним подацима, чак и без знања или сагласности носилаца података у Европи.
Претња интелектуалној својини и пословним тајнама
Проблем далеко превазилази заштиту личних података. Закон CLOUD представља стварне ризике који такође угрожавају безбедност и поверљивост свих врста осетљивих података, укључујући интелектуалну својину, прототипове истраживања и развоја, податке о купцима и приватну комуникацију.
Чак и ако се подаци чувају у центрима података ЕУ, Закон CLOUD може приморати америчке компаније да предају ове податке америчким властима. Ово не само да поткопава заштиту GDPR-а и суверенитет података ЕУ, већ и излаже критичне пословне информације, као што су прототипови или стратешки планови, ризику од неовлашћеног приступа.
Због потенцијалних могућности приступа америчких власти, „компаније де факто губе контролу над својим подацима и тиме над својом интелектуалном својином“, што је посебно критично за трговинске и пословне тајне.
Решења за већи суверенитет података
У светлу описаних проблема, поставља се питање које мере компаније могу предузети како би одржале свој суверенитет података.
Алтернативни добављачи услуга у облаку и техничке мере
Ефикасна заштита од приступа на основу Закона CLOUD је загарантована само ако сви добављачи и под-пружаоци услуга послују ван америчког закона, користи се искључиво европска инфраструктура и имплементира се енкрипција од краја до краја са искључиво корисничком контролом кључа.
Стручњаци стога препоручују да предузмете следеће мере предострожности при избору добављача складишта у облаку или резервних копија:
- Избор добављача са седиштем у ЕУ који не подлеже Закону CLOUD
- Гаранције суверенитета података, где и подаци и кључеви за шифровање остају у потпуности унутар ЕУ
- Консултовање правних и стручњака за усклађеност специјализованих за GDPR и заштиту података
Алтернативни приступи: Отворени код као стратегија
Швајцарска предузима занимљив алтернативни приступ: У априлу 2023. године усвојен је Савезни закон о коришћењу електронских средстава за обављање владиних задатака (EMBAG), који предвиђа да владин софтвер мора бити отвореног кода и да изворни код треба да буде објављен.
Професор др Матијас Штурмер са Универзитета примењених наука у Берну, који је заговарао овај закон, описује га као „одличну прилику за државу, ИТ индустрију и друштво“. Циљ овог приступа је смањење зависности од добављача за јавни сектор, омогућавање компанијама да прошире своја дигитална пословна решења и потенцијално довођење до нижих ИТ трошкова и бољих услуга за пореске обвезнике.
Пут ка истинском дигиталном суверенитету
Мајкрософтове инвестиције у Европи и имплементација ЕУ границе података су важни кораци ка већем суверенитету података за европске компаније и јавне институције. Међутим, они не решавају у потпуности фундаментални правни сукоб између америчког Закона о облачним подацима и европске Опште уредбе о заштити података (GDPR).
Само чување података на европским серверима не пружа довољну заштиту од потенцијалног приступа америчких власти ако је добављач услуга у облаку подложан америчком закону. Ова ситуација не само да доводи у питање заштиту података, већ и угрожава интелектуалну својину и пословне тајне европских компанија.
Прави дигитални суверенитет стога захтева свеобухватније приступе који узимају у обзир и правне и техничке аспекте. То укључује коришћење услуга у облаку које функционишу потпуно ван делокруга америчког закона, доследно шифровање од краја до краја са контролом кључа на страни корисника и потенцијално повећана улагања у решења отвореног кода.
Коначно, Европи је потребна сопствена независна клауд инфраструктура која је не само технички већ и правно суверена. До тада, компаније и јавне институције морају пажљиво размотрити које податке чувају, где и како – и којим добављачима могу веровати.
У вези са овим:
Ваш глобални партнер за маркетинг и развој пословања
☑️ Наш пословни језик је енглески или немачки
☑️ НОВО: Преписка на вашем матерњем језику!
Konrad Wolfenstein
Ја и мој тим смо срећни што вам можемо бити на располагању као ваш лични саветник.
Можете ме контактирати попуњавањем контакт форме овде wolfenstein@xpert.digital:или ме једноставно позовите на +49 7348 4088 965. Моја имејл адреса је
Радујем се нашем заједничком пројекту.
