EU Data Act: co oznacza dla Państwa firmy

EU Data Act, który wszedł w życie w styczniu 2024 r. i będzie stosowany od września 2025 r., stanowi jeden z najistotniejszych aktów prawnych dotyczących danych od czasu GDPR. Choć w dyskusji publicznej skupiano się głównie na jego implikacjach dla producentów IoT i prawach do zmiany dostawcy chmury, akt ten ma głębokie konsekwencje dla sposobu, w jaki europejskie firmy wybierają i zarządzają swoją infrastrukturą do współpracy.

Co Data Act faktycznie wymaga

W swojej istocie Data Act ustanawia zasady dotyczące tego, kto może uzyskiwać dostęp do danych generowanych przez połączone produkty i powiązane usługi oraz je wykorzystywać. Dla korporacyjnych platform do współpracy szczególnie istotne są kilka przepisów.

Po pierwsze, akt zapisuje prawo do zmiany dostawców usług chmurowych bez nadmiernej zwłoki, wygórowanych opłat ani utraty danych. Oznacza to, że organizacje muszą mieć możliwość wyeksportowania swoich danych — wiadomości, plików, nagrań połączeń, metadanych — z jednej platformy i przeniesienia ich na inną. Dostawcy, którzy uzależniają klientów od siebie poprzez własnościowe formaty danych lub sztuczne bariery eksportowe, znajdą się po niewłaściwej stronie regulacji.

Po drugie, akt wprowadza zabezpieczenia przed bezprawnymi międzynarodowymi transferami danych. Artykuł 27 wyraźnie wymaga od dostawców usług chmurowych podjęcia rozsądnych środków technicznych, prawnych i organizacyjnych w celu zapobiegania dostępowi władz publicznych do danych nieosobowych przechowywanych w UE, gdy taki dostęp byłby sprzeczny z prawem UE. Przepis ten odnosi się bezpośrednio do napięcia wytworzonego przez EU CLOUD Act, który pozwala amerykańskim władzom żądać danych od amerykańskich firm niezależnie od miejsca ich przechowywania.

Po trzecie, akt nakłada wymogi interoperacyjności dla usług przetwarzania danych, kładąc podwaliny pod możliwość łączenia przez klientów wielu usług bez sztucznych barier.

Dlaczego ma to znaczenie dla narzędzi do współpracy

Proszę rozważyć typowy korporacyjny stos do współpracy: wideokonferencje, wiadomości, udostępnianie plików, a coraz częściej także funkcje wspierane przez AI, takie jak transkrypcja i podsumowywanie. Te narzędzia przetwarzają ogromne ilości wrażliwych danych — dyskusji strategicznych, spraw kadrowych, deliberacji finansowych, doradztwa prawnego, własności intelektualnej.

Zgodnie z Data Act organizacje ponoszą odpowiedzialność za zapewnienie, że ich dostawcy narzędzi do współpracy mogą w sposób wykazywalny przestrzegać zabezpieczeń ochrony danych. Wykracza to poza odhaczenie pola w formularzu oceny dostawcy. Wymaga zrozumienia jurysdykcji prawnej dostawcy, jego technicznej architektury izolacji danych oraz jego zdolności do odpierania żądań dostępu ze strony obcych rządów.

Dla wielu organizacji europejskich rodzi to niewygodne rozliczenie. Dominujące platformy do współpracy są obsługiwane przez firmy z siedzibą w USA. Niezależnie od tego, gdzie umieszczają swoje centra danych, firmy te pozostają objęte CLOUD Act i innymi amerykańskimi instrumentami prawnymi, które mogą wymuszać ujawnienie.

Praktyczna lista kontrolna zgodności

W oparciu o naszą lekturę aktu i rozmowy z zespołami ds. zgodności w europejskich przedsiębiorstwach, oto co organizacje powinny oceniać w swoich narzędziach do współpracy.

Przenośność danych. Czy mogą Państwo wyeksportować wszystkie swoje dane — wiadomości, pliki, metadane, katalogi użytkowników, nagrania połączeń — w standardowych, udokumentowanych formatach? Czy istnieje API do automatycznego eksportu? Co dzieje się z Państwa danymi, jeśli zakończą Państwo umowę?

Klarowność jurysdykcyjna. Gdzie dostawca jest zarejestrowany? Jakie prawo reguluje usługę? Czy obcy rząd mógłby zmusić dostawcę do wydania Państwa danych? Czy istnieje struktura spółki zależnej, która mogłaby tworzyć pośrednią jurysdykcję zagraniczną?

Zabezpieczenia techniczne. Czy platforma oferuje szyfrowanie end-to-end? Jeśli tak, kto przechowuje klucze? Czy mogą Państwo dostarczyć własne klucze szyfrowania? Czy architektura szyfrowania jest udokumentowana i audytowalna?

Suwerenność infrastruktury. Gdzie fizycznie znajdują się dane? Kto obsługuje bazową infrastrukturę chmurową? Czy sam dostawca chmury podlega obcej jurysdykcji?

Koszty zmiany dostawcy. Czego trzeba, aby przenieść się na alternatywną platformę? Czy istnieją kary umowne? Czy dostawca obsługuje standardowe protokoły i formaty?

Interoperacyjność. Czy platforma może być zintegrowana z innymi narzędziami w Państwa stosie bez własnościowego zamknięcia? Czy obsługuje otwarte standardy?

Jak Mandraki spełnia te wymagania

Mandraki zbudowaliśmy z myślą o zasadach Data Act od początku, a nie jako późniejszą adaptację.

Wszystkie dane znajdują się u europejskiego hyperskalera podlegającego wyłącznie jurysdykcji UE. Sama Mandraki jest firmą europejską bez amerykańskiej spółki macierzystej ani zależnej. Nasza trójwarstwowa architektura szyfrowania, w tym obsługa Bring Your Own Key, zapewnia organizacjom kontrolę kryptograficzną nad swoimi danymi. Pełny eksport danych jest dostępny poprzez udokumentowane API. Nasz protokół federacji międzyorganizacyjnej zbudowano na otwartych, udokumentowanych standardach.

Nie twierdzimy, że zgodność jest kiedykolwiek prosta. Krajobraz regulacyjny jest złożony i ewoluuje. Wierzymy jednak, że rozpoczęcie od właściwych fundamentów architektonicznych i jurysdykcyjnych sprawia, że zgodność staje się osiągalna, a nie aspiracyjna.

Patrząc w przyszłość

Data Act jest częścią szerszej europejskiej strategii cyfrowej, która obejmuje EU AI Act, Digital Markets Act, Digital Services Act, NIS2 i DORA. Razem regulacje te przekształcają oczekiwania stawiane dostawcom technologii działającym w Europie.

Dla organizacji europejskich przesłanie jest jasne: narzędzia, których używają Państwo do codziennej współpracy, nie są już wyłącznie decyzją zakupową w obszarze IT. Są decyzją w zakresie zgodności, decyzją w zakresie zarządzania ryzykiem i coraz częściej strategiczną decyzją dotyczącą autonomii cyfrowej.

Dobra wiadomość jest taka, że europejski ekosystem technologiczny szybko dojrzewa. Suwerenna infrastruktura chmurowa jest dostępna. Zgodne narzędzia do współpracy istnieją. Droga naprzód nie wymaga oczekiwania, aż amerykańscy dostawcy dostosują się do europejskich zasad. Wymaga wyboru rozwiązań europejskich, które od początku zostały dla nich zbudowane.