Evropský akt o datech: co znamená pro vaše podnikání

Evropský akt o datech, který vstoupil v platnost v lednu 2024 a stane se použitelným od září 2025, představuje jeden z nejvýznamnějších datových právních předpisů od GDPR. Zatímco se velká část veřejné diskuse zaměřila na jeho důsledky pro výrobce IoT zařízení a práva na přechod mezi cloudy, akt má hluboké důsledky pro to, jak evropské podniky vybírají a spravují svou infrastrukturu pro spolupráci.

Co akt o datech skutečně vyžaduje

Akt o datech ve své podstatě stanoví pravidla o tom, kdo může přistupovat k datům generovaným propojenými produkty a souvisejícími službami a používat je. Pro podnikové platformy pro spolupráci je obzvláště relevantních několik ustanovení.

Za prvé akt zakotvuje právo přecházet mezi poskytovateli cloudových služeb bez zbytečného odkladu, nadměrných poplatků nebo ztráty dat. To znamená, že organizace musí být schopny extrahovat svá data — zprávy, soubory, nahrávky hovorů, metadata — z jedné platformy a přenést je na jinou. Dodavatelé, kteří zákazníky uzamykají prostřednictvím proprietárních datových formátů nebo umělých překážek pro export, se ocitnou na špatné straně regulace.

Za druhé akt zavádí ochranná opatření proti nezákonným mezinárodním přenosům dat. Článek 27 výslovně vyžaduje, aby poskytovatelé cloudových služeb přijali přiměřená technická, právní a organizační opatření k zabránění přístupu vlád k neosobním údajům drženým v EU, pokud by takový přístup byl v rozporu s právem EU. Toto ustanovení přímo řeší napětí vytvořené americkým CLOUD Act, který umožňuje americkým úřadům požadovat data od amerických společností bez ohledu na to, kde jsou uložena.

Za třetí akt ukládá požadavky na interoperabilitu služeb zpracování dat, čímž pokládá základy pro zákazníky používat více služeb v kombinaci bez umělých překážek.

Proč to záleží pro nástroje pro spolupráci

Uvažujme typický podnikový stack pro spolupráci: videokonference, zasílání zpráv, sdílení souborů a stále častěji funkce řízené AI, jako jsou přepisy a souhrny. Tyto nástroje zpracovávají obrovské objemy citlivých dat — strategické diskuse, personální záležitosti, finanční úvahy, právní poradenství, duševní vlastnictví.

Podle aktu o datech nesou organizace odpovědnost za zajištění toho, aby jejich dodavatelé pro spolupráci mohli prokazatelně splňovat ochranná opatření pro ochranu dat. To přesahuje zaškrtnutí políčka ve formuláři hodnocení dodavatele. Vyžaduje to porozumění právní jurisdikci dodavatele, jeho technické architektuře pro izolaci dat a jeho schopnosti odolat žádostem o přístup zahraničních vlád.

Pro mnoho evropských organizací to vytváří nepříjemnou situaci. Dominantní platformy pro spolupráci jsou provozovány společnostmi se sídlem v USA. Bez ohledu na to, kde umisťují svá datová centra, tyto společnosti zůstávají podřízeny CLOUD Act a dalším americkým právním nástrojům, které mohou vynucovat zveřejnění.

Praktický kontrolní seznam souladu

Na základě našeho čtení aktu a rozhovorů s týmy pro soulad v evropských podnicích zde uvádíme, co by organizace měly u svých nástrojů pro spolupráci hodnotit.

Přenositelnost dat. Můžete exportovat všechna svá data — zprávy, soubory, metadata, adresáře uživatelů, nahrávky hovorů — ve standardních, dokumentovaných formátech? Existuje API pro automatizovanou extrakci? Co se stane s vašimi daty, pokud ukončíte smlouvu?

Jurisdikční jasnost. Kde je dodavatel registrován? Jaká právní jurisdikce řídí službu? Mohla by zahraniční vláda vynutit, aby dodavatel předal vaše data? Existuje struktura dceřiných společností, která by mohla vytvořit nepřímou zahraniční jurisdikci?

Technická ochranná opatření. Nabízí platforma end-to-end šifrování? Pokud ano, kdo drží klíče? Můžete přinést vlastní šifrovací klíče? Je architektura šifrování dokumentovaná a auditovatelná?

Suverenita infrastruktury. Kde data fyzicky sídlí? Kdo provozuje základní cloudovou infrastrukturu? Podléhá samotný poskytovatel cloudu zahraniční jurisdikci?

Náklady na přechod. Co by bylo zapotřebí k migraci na alternativní platformu? Existují smluvní pokuty? Podporuje dodavatel standardní protokoly a formáty?

Interoperabilita. Může se platforma integrovat s dalšími nástroji ve vašem stacku bez proprietárního uzamčení? Podporuje otevřené standardy?

Jak Mandraki tyto požadavky řeší

Mandraki jsme od počátku stavěli s ohledem na principy aktu o datech, nikoli jako dodatečnou úpravu.

Veškerá data sídlí na evropském hyperscaleru podléhajícím výhradně jurisdikci EU. Samotná Mandraki je evropská společnost bez americké mateřské či dceřiné společnosti. Naše třívrstvá architektura šifrování, včetně podpory Bring Your Own Key, zajišťuje, že organizace si zachovávají kryptografickou kontrolu nad svými daty. Plný export dat je k dispozici prostřednictvím dokumentovaných API. A náš federační protokol mezi organizacemi je postaven na otevřených, dokumentovaných standardech.

Netvrdíme, že soulad je někdy jednoduchý. Regulatorní prostředí je složité a vyvíjí se. Věříme však, že začít se správnými architektonickými a jurisdikčními základy činí soulad dosažitelným, nikoli aspirativním.

Pohled dopředu

Akt o datech je součástí širší evropské digitální strategie, která zahrnuje akt o AI, akt o digitálních trzích, akt o digitálních službách, NIS2 a DORA. Tyto regulace společně přetvářejí očekávání kladená na dodavatele technologií působících v Evropě.

Pro evropské organizace je sdělení jasné: nástroje, které používáte pro každodenní spolupráci, již nejsou pouze rozhodnutím o IT nákupu. Jsou rozhodnutím o souladu, rozhodnutím o řízení rizik a stále častěji strategickým rozhodnutím o digitální autonomii.

Dobrá zpráva je, že evropský technologický ekosystém rychle dospívá. Suverénní cloudová infrastruktura je k dispozici. Vyhovující nástroje pro spolupráci existují. Cesta vpřed nevyžaduje čekání na to, až se američtí dodavatelé přizpůsobí evropským pravidlům. Vyžaduje volbu evropských řešení, která pro ně byla od počátku stavěna.