Data v Evropě nestačí. Proč může být americký cloud právní pastí?
Svět s cloudovými službami je celosvětově ovládán třemi americkými technologickými giganty – společnostmi Amazon, Microsoft a Google. Evropský trh není výjimkou a český trh také ne.
Když GDPR vstoupilo v platnost, všichni začali řešit, kde jsou uložena data. Americké firmy vybudovaly sítě datových center v EU a vše se zdálo být vyřešené. Jenže tato problematika není zase tak jednoduchá.
Samotné uložení dat v rámci Evropské unie ještě nezaručuje plnění povinností v rámci Obecného nařízení o ochraně údajů. Firmám se tedy může stát, že ačkoli využívají datové centrum v rámci EU, neplní požadavky uložené GDPR. V tomto článku si rozebereme, čím to je dané a jaké jsou možnosti řešení.
Pohled objektivem GDPR
Cílem tohoto nařízení je ochrana dat občanů EU. Proto se veškeré odstavce tohoto nařízení točí kolem zajištění maximální ochrany před neautorizovaným přístupem. V IT známe pojem zero trust a přesně tímto principem se řídí i nařízení o ochraně osobních údajů.
Země mimo Evropskou unii nejsou automaticky považované za bezpečné spojence, kteří k evropským datům přistupují se stejným postojem, který GDPR vyžaduje. Pro splnění právních povinností je tak potřeba, aby cizí země uzavřely s EU mezinárodní smlouvy, které zajistí plnohodnotnou ochranu dat i mimo území EU (GDPR čl. 44-49).
Bilaterální vztahy mezi EU a USA
Tyto dvě spřátelené strany mezi sebou měly tzv. Privacy Shield (štít soukromí). Toto opatření ale by zrušené rozsudkem v rámci případu Schrems II. Přišla totiž situace, která prokázala, že USA se nedrží úrovně ochrany, kterou očekává EU v rámci GDPR.
Tímto rozsudkem dal Soudní dvůr EU jasně najevo, že transatlantické přenosy dat bez odpovídajících záruk jsou nepřijatelné.
Konec spolupráce EU-USA
Ten přišel v podobě CLOUD Act. To je americké nařízení, které dává americkým úřadům zelenou na získávání dat od amerických firem. Je úplně jedno, kde jsou data uložena. Přístup umožňuje to, že firma spadá pod americkou jurisdikci.
Jako zákazník amerického cloudového poskytovatele se ale o narušení vašeho soukromí a zpřístupnění dat, která v cloudu uchováváte, nemusíte ani dozvědět. V rámci nařízení CLOUD Act mohou mít firmy povinnost zachovat mlčenlivost o jakémkoli zpřístupnění dat, které v rámci tohoto nařízení americká vláda využije.
Pokus o napravení vztahů
V roce 2023 vyvstala možnost zabezpečeného využívání amerických cloudů evropskými firmami. DPF, neboli Data Privacy Framework, definuje rámec pro přenos dat do USA. DPF je mechanismus uznaný Komisí, ale už nyní čelí právní kritice a je pravděpodobné, že bude zpochybněn stejně jako jeho předchůdce.
Tento rámec je dobrovolný a vztahuje se jen na firmy, které se samy certifikují. Zásadní problém je ale v tom, že tento rámec neřeší nařízení CLOUD Act ani jiné americké zákony, které americkým firmám mohou nařídit zpřístupnění dat, která u nich zákazníci ukládají.
Pokud si chcete ověřit, zda má váš poskytovatel DPF certifikaci, můžete si to zkontrolovat na adrese https://www.dataprivacyframework.gov/.
Co to znamená pro české firmy?
Výše zmíněné právní peripetie přinášejí českým firmám velké komplikace. Pokud používáte americký cloud, pak můžete čelit riziku v podobě právní odpovědnosti za porušení GDPR a následných sakcí ze strany Úřadu pro ochranu osobních údajů (ÚOOÚ) nebo evropských úřadů.
Tyto následky mohou přijít jako blesk z čistého nebe, protože poskytovatel má povinnost zachovat mlčenlivost v případě, že vaše data americké vládě zpřístupnil. Kromě právních a finančních následků ale také můžete čelit ztrátě pověsti a důvěryhodnosti.
Samozřejmě, že se bavíme o vyhrocených případech, ale je dobré si připomenout potenciál, který některé firemní kroky mají. I když v americkém cloudu neukládáte osobní nebo citlivá data, stojí za to se zamyslet, jestli i čistě provozní informace jsou něco, co chcete dát k dispozici americké vládě.
Co s tím?
Pokud máte stejně jako spousta dalších českých firem své IT provozované v americkém cloudu, hlavně nepanikařte. Ačkoli nejsou návazné kroky úplně jednoduché a rychlé, není vše ztraceno.
- Nejprve si zhodnoťte, zda do cloudu ukládáte data, která spadají pod ochranu dle GDPR.
- Pak je potřeba si vyhodnotit, jestli chcete své interní informace a know-how ukládat na místě, které může být předáno cizí vládě.
- Pak nastává chvíle pro analýzu potřeb, rizik a architektury IT řešení. Ta vám pomůže najít efektivní řešení infrastruktury, které nebude právně rizikové.
- Hlavním krokem je výběr správného partnera pro objektivní zhodnocení situace.
Využijte konzultace s naším CTO. Doporučujeme konzultovat vaši datovou strategii s odborníky, kteří mají zkušenosti s návrhem řešení odpovídajících GDPR i požadavkům provozní efektivity. Agnostický přístup k technologiím je dnes klíčem k udržitelnému IT.
Existují alternativy
Samozřejmě, že ano. Dokonce existuje alternativ několik, ale pouze jedna bude ta nejlepší zrovna pro vaši situaci. Neexistuje jedno univerzální řešení pro všechny. Proto je tak klíčová správně nastavená analýza.
Pro lepší pochopení této problematiky se můžete podívat na skvěle připravenou přednášku Davida Michelse, výzkumníka z londýnské Queen Mary University, z akce The European Sovereign Cloud Day 2025.
Můžou české firmy používat americký cloud?
Samozřejmě, že ano. Je čistě na vás, jak své IT provozujete. Je ale nutné si uvědomit rizika, která s danou volbou souvisí. A v případě amerických cloudů může být následek katastrofální.
S ohledem na světové dění bude stále více aktuální otázka suverenity. Někdo musí tuto otázku řešit na státní úrovni, někdo zase na úrovni technologické. Cílem firem by ale mělo být zvolit takové řešení, které nebude poskytovat vysoké právní riziko, uchrání interní know-how a nevystaví firmu závislosti na cizí vládě.
