Dlaczego Lokalizacja Danych Nie Chroni Twojej Firmy
Przechowywanie danych w centrum danych UE nie oznacza, że podlegają prawu UE. Jeśli Twój dostawca chmury jest firmą amerykańską, ustawa CLOUD Act ma zastosowanie niezależnie od tego, gdzie stoją serwery.
Błędne Przekonanie
Zapytaj większość zespołów IT i compliance, jak zarządzają ryzykiem jurysdykcji danych w chmurze, a usłyszysz coś w tym stylu: “Używamy regionu UE. Nasze dane pozostają w Europie.”
Brzmi rozsądnie. Jest błędne.
Lokalizacja danych — fizyczne położenie serwerów — to nie to samo co jurysdykcja danych — system prawny regulujący te dane. Mylenie tych pojęć jest jednym z najczęstszych i najbardziej kosztownych błędów compliance w IT korporacyjnym.
Co Faktycznie Determinuje Jurysdykcję
Jurysdykcja danych wynika ze struktury korporacyjnej podmiotu kontrolującego dane — nie z budynku, w którym stoi serwer.
Gdy korzystasz z Microsoft Azure, Twoje dane mogą być przetwarzane w centrum danych we Frankfurcie. Ale Microsoft to korporacja z siedzibą w Redmond, Waszyngton, USA. Microsoft Germany GmbH, lokalna jednostka operacyjna, jest spółką zależną w całości należącą do Microsoft Corporation. Na mocy amerykańskiej ustawy CLOUD Act organy ścigania USA mogą zobowiązać Microsoft Corporation — a tym samym wszystkie jej spółki zależne — do udostępnienia kontrolowanych przez nie danych, niezależnie od miejsca ich przechowywania.
Zasada jest prosta: jurysdykcja wynika z siedziby firmy, nie serwera.
Zostało to wyraźnie przetestowane w sprawie Microsoft Ireland (2013–2018), gdzie rząd USA dążył do uzyskania wiadomości e-mail przechowywanych w centrum danych Microsoftu w Dublinie. Microsoft zakwestionował nakaz, argumentując, że dane znajdują się poza USA. Sąd Najwyższy ostatecznie nie orzekł co do meritum, ponieważ Kongres uchwalił CLOUD Act w 2018 roku, aby rozwiązać kwestię — potwierdzając, że amerykańskie nakazy mają zastosowanie globalnie do danych kontrolowanych przez firmy z USA.
Pełna Lista Dotkniętych Dostawców
Każda organizacja korzystająca z poniższych dostawców jest dotknięta, niezależnie od tego, jakiego regionu używa:
| Dostawca | Siedziba | CLOUD Act ma zastosowanie? |
|---|---|---|
| Microsoft Azure / M365 | USA | Tak |
| Amazon Web Services | USA | Tak |
| Google Cloud / Workspace | USA | Tak |
| OpenAI / ChatGPT | USA | Tak |
| Microsoft Copilot | USA | Tak |
| Salesforce | USA | Tak |
| Dropbox / Box | USA | Tak |
| Anthropic (Claude API) | USA | Tak |
| Harvey AI | USA | Tak |
| Thomson Reuters / Westlaw | USA | Tak |
To nie jest wyczerpująca lista. Każda firma założona w Stanach Zjednoczonych i podlegająca prawu USA jest objęta.
Dlaczego Istnieją Opcje “Centrum Danych UE”
Dostawcy chmury oferują wdrożenia w regionach UE z wielu uzasadnionych powodów — opóźnienia, lokalne przepisy dotyczące suwerenności danych, różnicowanie marketingowe. Nie są jednak zaprojektowane w celu eliminacji narażenia na CLOUD Act — i tego nie robią.
Niektórzy dostawcy wprowadzili programy o nazwach takich jak “EU Data Boundary” czy “Sovereign Cloud”, twierdzące o ograniczeniu dostępu do danych. Te twierdzenia wymagają dokładnej analizy:
- EU Data Boundary Microsoftu nadal angażuje pracowników z USA w pewne działania wsparcia, bezpieczeństwa i operacyjne — potencjalnie utrzymując narażenie na CLOUD Act dla tych danych
- Oferty “Sovereign Cloud” obsługiwane przez firmy dominujące z USA pozostają zobowiązane do przestrzegania prawa korporacyjnego USA
- Zobowiązania umowne (“Twoje dane pozostaną w UE”) nie mogą uchylić ważnego nakazu sądu USA
Test nie polega na tym, gdzie dane są przechowywane. Test polega na tym, czy podmiot kontrolujący te dane może być zobowiązany przez sądy USA. Jeśli odpowiedź brzmi tak — niezależnie od tego, co mówią materiały sprzedażowe — masz narażenie na CLOUD Act.
Komplikacja z RODO
Dla organizacji z UE sytuację pogarsza interakcja z RODO.
Jeśli organ USA wyda nakaz CLOUD Act wobec Twojego dostawcy chmury, a dostawca się zastosuje, ten transfer danych osobowych do organów ścigania USA może naruszać artykuł 48 RODO — który stanowi, że orzeczenia sądów spoza UE nie są ważną podstawą prawną transferu danych bez umowy międzynarodowej (np. MLAT).
Stawia to Twoją organizację w niemożliwej sytuacji:
- Twój dostawca stosuje się do nakazu USA (nie ma wyboru)
- To zastosowanie może stanowić naruszenie RODO dotyczące Twoich danych
- Nie miałeś powiadomienia ani możliwości sprzeciwu
Europejska Rada Ochrony Danych potwierdziła istnienie tego konfliktu i nie zapewniła komfortowego rozwiązania. Żądania CLOUD Act i RODO są, w pewnych okolicznościach, naprawdę nie do pogodzenia.
Co Faktycznie Chroni Cię
Dostawcy Chmury Spoza USA
Jeśli Twój dostawca chmury ma siedzibę poza Stanami Zjednoczonymi i poza jurysdykcjami sojuszników USA z wzajemnymi umowami o wymianie danych, nie podlega żądaniom CLOUD Act. Oznacza to wybór dostawców z siedzibą w UE (Francja, Niemcy, Holandia itp.) zamiast dostawców z USA oferujących hosting w UE.
Przykłady dostawców infrastruktury chmurowej z siedzibą w UE: Scaleway (Francja), OVHcloud (Francja), Hetzner (Niemcy), IONOS (Niemcy).
Uwaga: Dostawcy z UK mogą podlegać podobnym żądaniom na mocy dwustronnych umów USA-UK. Dokładnie weryfikuj strukturę korporacyjną.
Wdrożenie Lokalne
Najbardziej absolutną ochroną jest całkowite wyeliminowanie chmury. Jeśli AI i przetwarzanie dokumentów działają na sprzęcie, który posiadasz, w Twoim budynku, bez połączenia sieciowego z żadnym zewnętrznym systemem, nie ma zewnętrznego administratora danych do zobowiązania. CLOUD Act nie sięga do tego, co nie istnieje na infrastrukturze innej firmy.
To jest zasada stojąca za Tacitus Cortex: infrastruktura AI zainstalowana w Twoich obiektach, przetwarzająca dane całkowicie pod Twoją fizyczną i prawną kontrolą.
Pytania, Które Należy Zadać
Przed poleganiem na jakichkolwiek twierdzeniach dostawcy chmury dotyczących lokalizacji danych, zapytaj:
- Gdzie jest zarejestrowana spółka dominująca? Nie lokalna jednostka operacyjna — ostateczna spółka dominująca.
- Czy pracownicy lub spółki zależne z USA są zaangażowane w obsługę lub wsparcie tego systemu? Nawet pośrednio?
- Co się stanie, gdy organy ścigania USA wydadzą nakaz wobec spółki dominującej? Przeczytaj uważnie warunki korzystania z usług. Nie obiecają odporności na CLOUD Act.
- Czy niezależna opinia prawna oceniła Twoje narażenie na CLOUD Act? Nie dokument sprzedażowy dostawcy — prawdziwa analiza prawna.
- Jakie certyfikaty lokalizacji danych istnieją i co faktycznie certyfikują? ISO 27001 certyfikuje praktyki bezpieczeństwa, nie jurysdykcję prawną.
Jeśli nie możesz odpowiedzieć pewnie na pytanie 1, prawie na pewno masz narażenie na CLOUD Act, niezależnie od tego, co mówią materiały sprzedażowe.
Skorzystaj z naszej Listy Kontrolnej Suwerennej AI, aby ocenić obecne ryzyko jurysdykcyjne Twojej organizacji w 15 minut. Pobierz tutaj.