← Centrum suwerenności

Ustawa CLOUD Act: Co musi wiedzieć każda organizacja z UE

Ustawa Clarifying Lawful Overseas Use of Data Act pozwala amerykańskim organom ścigania zmuszać amerykańskie firmy do udostępnienia danych przechowywanych gdziekolwiek na świecie. Jeśli korzystasz z Microsoft, Google, Amazon lub OpenAI — to dotyczy Ciebie.

PRAWO

Uchwalona 23 marca 2018

Zmienia Stored Communications Act (18 U.S.C. § 2703) w celu wyjaśnienia zastosowania eksterytorialnego.

ZASIĘG

Globalny, niezależnie od lokalizacji serwera

Amerykańskie nakazy dotyczą danych przechowywanych w każdym kraju, jeśli są kontrolowane przez firmę z siedzibą w USA.

KONFLIKT

Bezpośrednia kolizja z RODO

Zgodność z CLOUD Act może naruszać art. 48 RODO. Organizacje stoją przed ryzykiem prawnym z obu jurysdykcji.

Czym jest ustawa CLOUD Act?

Clarifying Lawful Overseas Use of Data Act (CLOUD Act) to amerykańska ustawa federalna uchwalona 23 marca 2018 roku. Została przyjęta jako część Consolidated Appropriations Act of 2018, z poparciem obu partii i przy stosunkowo niewielkiej debacie publicznej.

Ustawa rozwiązuje lukę, która powstała w sprawie Microsoft Ireland (2013-2018), gdzie Microsoft zakwestionował amerykański nakaz dotyczący e-maili przechowywanych w centrum danych w Dublinie. CLOUD Act rozwiązał to, wyraźnie stwierdzając, że amerykańskie nakazy dotyczą danych kontrolowanych przez amerykańskie firmy, niezależnie od miejsca fizycznego przechowywania.

Kluczowe postanowienia

  • §1 Zasięg eksterytorialny: Dostawca usług komunikacji elektronicznej lub zdalnych usług komputerowych musi spełniać obowiązki zachowania, tworzenia kopii zapasowych lub ujawniania, niezależnie od tego, czy dane znajdują się w Stanach Zjednoczonych czy poza nimi.
  • §2 Umowy wykonawcze: USA mogą zawierać dwustronne umowy z zagranicznymi rządami w celu usprawnienia transgranicznych wniosków o dane, potencjalnie omijając tradycyjne procesy MLAT.
  • §3 Wniosek o uchylenie: Dostawcy mogą kwestionować nakazy, jeśli ujawnienie naruszyłoby przepisy "kwalifikującego się rządu zagranicznego", ale jest to ograniczony i niepewny środek zaradczy.

Kogo to dotyczy?

Każda organizacja korzystająca z usług firmy technologicznej z siedzibą w USA jest potencjalnie dotknięta. Obejmuje to:

Infrastruktura chmurowa

  • Microsoft Azure
  • Amazon Web Services (AWS)
  • Google Cloud Platform
  • Oracle Cloud

Aplikacje SaaS

  • Microsoft 365 (Outlook, Teams, SharePoint)
  • Google Workspace
  • Salesforce
  • Dropbox, Box, Slack

Usługi AI

  • OpenAI (ChatGPT, GPT API)
  • Microsoft Copilot
  • Google Gemini
  • Anthropic Claude (API)

Technologie prawne

  • Harvey AI
  • Casetext / CoCounsel
  • Thomson Reuters (Westlaw)
  • LexisNexis

Kolizja z RODO

Dla organizacji z UE ustawa CLOUD Act tworzy bezpośredni konflikt z Ogólnym rozporządzeniem o ochronie danych (RODO). Stawia to firmy w niemożliwej sytuacji.

Art. 48 RODO - Przekazywanie niedozwolone na mocy prawa Unii

"Wyrok sądu lub trybunału oraz decyzja organu administracyjnego państwa trzeciego wymagające od administratora lub podmiotu przetwarzającego przekazania lub ujawnienia danych osobowych mogą być uznane lub wykonalne wyłącznie wtedy, gdy opierają się na umowie międzynarodowej, takiej jak umowa o wzajemnej pomocy prawnej, obowiązującej między wzywającym państwem trzecim a Unią lub państwem członkowskim."

Prosto mówiąc: Sam nakaz amerykańskiego sądu nie jest ważną podstawą prawną do przekazywania danych osobowych z UE.

Jeśli zastosujesz się do CLOUD Act

  • • Potencjalne naruszenie RODO (art. 48)
  • • Kary do 20 mln EUR lub 4% globalnych przychodów
  • • Naruszenie poufności klienta
  • • Odpowiedzialność zawodowa

Jeśli odmówisz żądaniu CLOUD Act

  • • Obraza amerykańskiego sądu
  • • Potencjalne sankcje karne
  • • Wypowiedzenie usługi przez dostawcę
  • • Konsekwencje biznesowe

Europejska Rada Ochrony Danych (EROD) stwierdziła, że żądania CLOUD Act nie stanowią ważnej podstawy prawnej w świetle RODO. Jednak to nie pomaga dostawcy usług z siedzibą w USA, który stoi przed amerykańskimi konsekwencjami prawnymi za brak zgodności.

Mit "centrum danych w UE"

Wiele organizacji wierzy, że korzystanie z opcji "region UE" lub "centrum danych w UE" chroni ich przed ekspozycją na CLOUD Act. To nieprawda.

Przekonanie Rzeczywistość
"Moje dane są w centrum danych Azure w Dublinie, więc podlegają prawu irlandzkiemu." Microsoft to amerykańska firma. CLOUD Act ma zastosowanie niezależnie od lokalizacji serwera.
"Korzystam z AWS Frankfurt. Obowiązuje niemieckie prawo ochrony danych." Amazon to amerykańska firma. CLOUD Act zastępuje fizyczną lokalizację.
"Moja umowa mówi, że dane pozostają w UE." Umowy nie mogą zastąpić prawa federalnego. Dostawca musi spełnić ważne nakazy.
"Szyfruję dane, więc i tak nie mogą ich odczytać." Dostawca może posiadać klucze szyfrowania lub zostać zmuszony do zapewnienia metod dostępu.

Kluczowa zasada

Jurysdykcja podąża za firmą, nie za serwerem.

Jeśli spółka macierzysta ma siedzibę w Stanach Zjednoczonych, dane pod jej kontrolą podlegają żądaniom amerykańskich organów ścigania, niezależnie od fizycznego miejsca przechowywania danych.

Jakie masz opcje?

Organizacje mają kilka podejść do zarządzania ryzykiem CLOUD Act, każde z innymi kompromisami:

1

Zaakceptuj ryzyko

Wiele organizacji decyduje, że wygoda amerykańskich dostawców chmury przeważa nad ryzykiem jurysdykcyjnym. To ważna decyzja biznesowa, ale powinna być świadoma i udokumentowana.

Najlepsze dla: Organizacje z danymi o niskiej wrażliwości lub te, które akceptują ryzyko rezydualne.

2

Korzystaj z dostawców spoza USA

Przejdź na dostawców chmury z siedzibą poza jurysdykcją USA. Eliminuje to ekspozycję na CLOUD Act, ale może wiązać się z kosztami migracji i ograniczeniami funkcji.

Uwagi: Dostawcy z UK mogą mieć podobne problemy z powodu umów dwustronnych. Dokładnie zweryfikuj jurysdykcję spółki macierzystej.

Przykład: Tacitus Cloud Bridge — Chmura z jurysdykcją UE, dedykowana instancja.

3

Suwerenność fizyczna (Air-Gap)

Wdróż na sprzęcie, który fizycznie kontrolujesz, bez połączenia sieciowego z zewnętrznymi systemami. Nie ma czego wymuszać, bo nie ma zdalnego dostępu.

Najlepsze dla: Organizacje ze ścisłymi wymogami poufności (kancelarie prawne, ochrona zdrowia, administracja, R&D).

Przykład: Tacitus Cortex — Odizolowane urządzenie AI do Twojej serwerowni.

Dalsze materiały

Dla tych, którzy chcą zgłębić szczegóły prawne i techniczne:

Źródła oficjalne

Odniesienia do RODO

Oceń swoje ryzyko jurysdykcyjne

Nie wiesz, czy Twoja obecna infrastruktura naraża Cię na żądania CLOUD Act? Nasza lista kontrolna pomoże ocenić ryzyko w 15 minut.

Pobierz listę kontrolną suwerennej AI

Gotowy omówić suwerenność?

Nasz zespół może ocenić Twoją obecną infrastrukturę i polecić odpowiedni poziom ochrony dla potrzeb Twojej organizacji.

Umów spotkanie Poznaj rozwiązania