Rząd będzie negocjować ze Stanami Zjednoczonymi w sprawie działania kontrowersyjnej amerykańskiej ustawy Cloud Act. Jak się dowiedzieliśmy, jeszcze w tym tygodniu ma dojść do pierwszych oficjalnych rozmów. Wiceminister cyfryzacji Karol Okoński spotka się w Katowicach z podsekretarzem stanu odpowiedzialnym w administracji Donalda Trumpa za sektor cyfrowy.
CZYTAJ TAKŻE: FBI w polskiej chmurze. Tajemnice polskich firm zagrożone?
Chodzi o wypracowanie umowy bilateralnej podobnej do tej, którą niedawno z USA podpisali Brytyjczycy. Ma ona uniemożliwić amerykańskim służbom praktycznie nieograniczony dostęp do wszelkich danych przechowywanych w chmurze zarządzanej przez takie firmy, jak np. Google, Amazon, Oracle, IBM czy Microsoft.
Dziś na bazie Cloud Act (CLOUD to skrót od Clarifying the Lawful Use of Overseas Data Act) Waszyngton w sposób eksterytorialny i jednostronny może sięgać do zbiorów danych zgromadzonych na serwerach amerykańskich operatorów, nawet jeśli owe centra znajdują się poza obszarem i jurysdykcją USA. Wystarczy, że umotywuje to względami bezpieczeństwa. Sprawę szeroko opisaliśmy na łamach „Rzeczpospolitej” w zeszłym tygodniu.
Nie czekając na UE
Polski rząd chce zbadać możliwości podpisania umowy bilateralnej, która wprowadziłaby – w ramach Cloud Act – zasadę wzajemności.
– Na razie Cloud Act działa jednostronnie: daje uprawnienia amerykańskim służbom śledczym. Państwa, w których amerykańskie podmioty świadczą usługi chmurowe, nie są stroną tej regulacji – mówi nam minister Okoński.
CZYTAJ TAKŻE: Nie tylko Google. Więcej firm z USA w naszej chmurze
Według niego – niezależnie od rozmów dwustronnych – priorytetem będzie doprowadzenie do porozumienia z Waszyngtonem na poziomie Unii Europejskiej. – Chodzi o to, by nie było różnic między krajami członkowskimi Wspólnoty na jednolitym rynku cyfrowym. Nie ma też co ukrywać, że pozycja negocjacyjna UE jest mocniejsza niż każdego państwa z osobna – podkreśla.
Cloud Act nie przewidział sytuacji, że stroną dla USA jest związek państw, jakim jest UE
W ramach Komisji Europejskiej przeprowadzono już wiele spotkań z przedstawicielami USA w tej sprawie. Niestety, występuje pewien problem proceduralny. O ile strona amerykańska jest gotowa usiąść do stołu negocjacyjnego, o tyle obecne przepisy jej na to nie pozwalają. Cloud Act nie przewidział sytuacji, że stroną dla USA jest związek państw, jakim jest UE.
CZYTAJ TAKŻE: Polski biznes boi się chmury. Złodzieje danych zacierają ręce
– Uzgodnienie robocze jest na razie takie, że Amerykanie zobowiązali się przeprowadzić poprawkę w Kongresie, by doprowadzić do sytuacji, w której stroną przyszłego porozumienia mogła być UE. Sprawa jest więc w toku, ale to może być długotrwała procedura – tłumaczy Karol Okoński. I dodaje, że spotkanie w tym tygodniu z podsekretarzem stanu będzie pierwszą okazją, by formalnie poruszyć ten temat na poziomie relacji polsko-amerykańskich. – Zainicjujemy debatę, będzie zależało nam na wyznaczeniu zespołów roboczych, a w kolejnych krokach ustaleniu harmonogramu negocjacji – zaznacza nasz rozmówca.
Europejscy dostawcy w kontrataku
Kłopotem przy porozumieniu z USA może być fakt, że – jak wskazuje Katarzyna Szczudlik, adwokat z kancelarii Wardyński i Wspólnicy – Cloud Act jest sprzeczny z unijnym rozporządzeniem o ochronie danych osobowych (RODO). Ów pat to niezbyt dobra informacja dla amerykańskich operatorów chmury. Przedstawiciele branży uważają, że część klientów może skierować się w stronę konkurencyjnych dostawców usług.
CZYTAJ TAKŻE: Chmura rośnie jak szalona. Kto się liczy?
Marcin Zmaczyński, szef marketingu na kraje Europy Środkowo-Wschodniej we włoskiej firmie Aruba Cloud, twierdzi, że Cloud Act to argument za korzystaniem z usług europejskich firm. – Jeśli chcemy zapewnić dalszy, dynamiczny wzrost tego rynku, producenci muszą dać swoim klientom gwarancje, że ich dane są bezpiecznie nie tylko przed utratą, ale także nieautoryzowanym dostępem np. obcych służb. Jako współzałożyciele europejskiej organizacji zrzeszającej dostawców usług chmurowych CISPE podejmujemy działania mające na celu budowanie zaufania do firm działających na terenie UE – komentuje Zmaczyński.
Adam Smith, szef działu prawnego we francuskiej OVHcloud, wyjaśnia nam z kolei, że jego grupa nie podlega jurysdykcji amerykańskiego sądownictwa i administracji. – W związku z tym ustawa Cloud Act nie znajduje bezpośredniego zastosowania do OVHcloud w Polsce. Nasz oddział w USA jest odrębną firmą. Klientów w Polsce, przechowujących dane w krajach UE, nie dotyczą postanowienia ustawy – przekonuje Smith.
OPINIA
Artur Józefiak, dyrektor zespołu bezpieczeństwa w Accenture w Polsce i Europie Środkowo-Wschodniej
w większości są zagraniczne firmy. Chmura krajowa to krok, który pomoże zmniejszyć ryzyka związane z wykorzystaniem cloud computingu. Kraje takie jak Wielka Brytania czy Australia mogą być wzorem w kontekście tworzenia chmur rządowych. Postępują dojrzale, zawierając umowy bilateralne dotyczące Cloud Act. Przedsiębiorcy, niezależnie od obowiązującego prawa, powinni skutecznie chronić swoje dane w chmurze np. poprzez ich szyfrowanie. Wówczas nie będzie możliwe ich przekazanie, np. gdyby amerykański sąd postanowił skorzystać z Cloud Act.