Suwerenność i ochrona danych, czyli migracja w kierunku europeizacji chmury

Europejski rynek chmury publicznej w tym roku urośnie do 70,8 mld dolarów – szacuje firma badawcza IDC[1]. Wśród wiodących tematów eksperci wymieniają kwestię europejskiego podejścia do danych – ich ochrony i suwerenności. Coraz większą uwagę przykłada się również do możliwości kontroli danych w różnych obszarach geograficznych. Jedna z prognoz IDC zakłada, że dostawcy chmury będą musieli zapewnić informację o tym jak wygląda przechowywanie danych i dostęp do nich. Istotne jest, że każdy podmiot podejmuje działania zgodnie z prawem obowiązującym w kraju pochodzenia lub rynku, na którym działa, co oznacza, że powinien dostosować się do panujących tam zasad. Pytanie brzmi, jak to robi i czy to robi?

Europejskie podejście do ochrony danych

Bezpieczeństwo danych nabrało kluczowego znaczenia wraz z orzeczeniem Trybunału Sprawiedliwości UE z lipca 2020 o nieważności tzw. “Privacy Shield”, które było prawną podstawą legalnego transferu danych osobowych z Unii Europejskiej do Stanów Zjednoczonych. Orzeczenie Trybunału dla właścicieli stron internetowych oznaczało prawdziwą rewolucję, a dla dostawców rozwiązań SaaS (ang. Software-as-a-Service) i PaaS (Platform-as-a-Service), obsługujących klientów na całym świecie, ochrona danych stała się głównym wyzwaniem. Problem ten w ostatnich miesiącach znalazł rozwiązanie w postaci intensyfikacji działań na rzecz współpracy. Już na początku lockdownu na Starym Kontynencie firmy gotowe oferować bezpłatnie swoje rozwiązania, służące do pracy zdalnej, komunikacji, edukacji czy znajdujących zastosowanie w systemie opieki zdrowotnej, zjednoczyła inicjatywa „Open Solidarity”. Pokazała ona dobitnie, jak wielki potencjał tkwi w synergii sił, a jej kontynuacją stał się program „Open Trusted Cloud”, bazujący na zebranych doświadczeniach i skierowany do producentów rozwiązań wyróżniających się gwarancją w zakresie ochrony danych. Świetnym przykładem jest także Gaia-X, Europejskie Stowarzyszenie na rzecz Danych i Chmury. Ma ono zbudować i uświadomić alternatywne możliwości działania, a tym samym zmniejszyć zależność europejskich podmiotów od amerykańskich dostawców usług chmury obliczeniowej. Inicjatywa zyskała oficjalne wsparcie ze strony rządów Niemiec i Francji. Do udziału w projekcie zaproszono też firmy, instytucje i rządy innych europejskich krajów. Jak w praktyce wygląda przedsięwzięcie? Początkowo zarządza nim fundacja non-profit, powołana wspólnie przez dwadzieścia dwa podmioty zaangażowane w projekt – po jedenaście z Francji i Niemiec. Do tego grona należą m.in. koncerny Atos, BMW, Bosch, Deutsche Telekom, Orange, OVHcloud, Siemens oraz SAP. Inicjatywa cieszy się dużym zainteresowaniem. Od czasu złożenia dokumentów założycielskich jesienią ubiegłego roku, wnioski o przyjęcie do stowarzyszenia złożyło już ponad dwieście firm i organizacji badawczych. Zostaną one rozpatrzone przez zarząd stowarzyszenia na początku marca. Od końca stycznia 2021 r. Gaia-X działa już formalnie jako podmiot prawny. Podstawowe wartości, na których się opiera to: pełna zgodność z RODO (rozporządzenie o ochronie danych osobowych, weszło w życie 25 maja 2018 r.), otwarte standardy, odwracalność, prywatność danych i najwyższe standardy bezpieczeństwa. 

Wartości fundamentem

Celem samym w sobie projektu Gaia-X nie jest nawiązanie bezpośredniej konkurencji z innymi dostawcami usług chmurowych (takimi jak np. Amazon, Microsoft czy Google), ale określenie zbioru standardów, które powinna spełniać europejska platforma chmurowa. Standardy te z kolei mają dotyczyć przechowywania i przetwarzania danych na serwerach zlokalizowanych na terenie Unii Europejskiej. Priorytetem jest zagwarantowanie zgodności usług świadczonych w ramach nowej platformy chmurowej z obowiązującymi we Wspólnocie regulacjami w zakresie ochrony danych osobowych. Jednym z fundamentów Gaia-X jest też zapewnienie firmom i podmiotom korzystającym z oferowanych w ramach tej inicjatywy usług możliwości łatwej zmiany dostawców. Pierwsze, publicznie dostępne usługi chmurowe oferowane w ramach projektu mają się pojawić jeszcze w tym roku.

Warto odnotować, że projekt jest rozwinięciem zapowiedzi z października 2019 r. Ogłoszono wówczas, że firmy Dassault Systemes oraz OVHcloud będą pracować nad stworzeniem platformy oferującej usługi chmury obliczeniowej dla francuskich przedsiębiorców.

– Nadrzędnym założeniem inicjatywy Gaia-X jest wzmocnienie technologicznej suwerenności Europy i wypracowanie alternatywy, która odpowiada na europejskie potrzeby. Wdrażanie w życie ideałów tej inicjatywy jest dla nas, w OVHcloud, niezwykle istotne, także dlatego, że łączą się one z wartościami, które sami z dumą reprezentujemy. Oprócz ochrony i bezpieczeństwa danych, zależy nam przede wszystkim na przejrzystości, odwracalności i otwartości rozwiązań chmurowych, ponieważ to połączenie pozwala na tworzenie nowego standardu usług – komentuje Robert Paszkiewicz, szef regionu Europy Środkowo-Wschodniej w OVHcloud Polska. Dodaje, że Europa ma realną potrzebę autonomii oraz kontroli. I nie chodzi tylko o dostawców usług i rozwiązań technologicznych czy polityków, ale o odbiorców chmury i coraz to bardziej złożonych procesów ochrony danych osobowych, handlowych czy procesów biznesowych. Walka o dane, a więc o ich bezpieczeństwo, toczy się każdego dnia, na każdym poziomie i szczeblu technologicznych rozwiązań.

– Europejska chmura ma reprezentować europejskie wartości, takie jak suwerenność danych i możliwość ich kontroli w różnych lokalizacjach geograficznych. W UE mamy RODO, a przede wszystkim mamy kompletnie inne podejście do poszanowania własności i ochrony danych niż w innych częściach świata – podkreśla Paszkiewicz. Podsumowuje, że Gaia-X to regionalna alternatywa dla przedsiębiorstw i instytucji z Europy.

Europejski ekosystem

OVHcloud nad Wisłą działa od dwóch dekad. Aktywnie wspiera polską cyfryzację m.in. poprzez tworzenie rozwiązań we wrocławskim Centrum Badań i Rozwoju, wykorzystywanych przez klientów w Polsce i na całym świecie. Umożliwia także przechowywanie danych na terenie Polski, np. w warszawskim centrum danych. Jednym z jego klientów jest ClickMeeting. Ta gdańska firma dostarcza rozwiązania do telekonferencji i od czasu wybuchu pandemii notuje dynamiczny wzrost. Jak komentuje migrację do europejskiej chmury?

– Kiedy Europejski Trybunał Sprawiedliwości wydał orzeczenie w sprawie potocznie nazywanej „Schrems II”, rozstrzygnięcie nie było dla nas zaskoczeniem. Stale obserwujemy komunikaty i decyzje wydawane przez organy UE w zakresie transferu danych osobowych do USA, albowiem od wielu lat zagadnienie to budzi kontrowersje. Mając to na względzie, na długo przed wydaniem orzeczenia przez Trybunał, ClickMeeting podjęło decyzję o transferze serwerów, w którym przechowywane są dane osobowe powierzane nam przez klientów, do Unii Europejskiej – informuje Karolina Nazarewicz z ClickMeeting. Dodaje, że ponadto przed nawiązaniem współpracy z jakimkolwiek dostawcą z USA, podlega on szczegółowej weryfikacji pod kątem spełniania odpowiednich standardów bezpieczeństwa danych.

Inicjatywy takie jak Gaia-X umożliwiają tworzenie europejskiego ekosystemu, który może stanowić realną przeciwwagę dla platform chmurowych utrzymywanych przez globalnych dostawców z pozaeuropejskich regionów, głównie USA oraz Chin.

Umożliwiają również współpracę w celu agregowania danych i podnoszenia ich wartości. Ich głównym założeniem jest wspieranie uczciwych i przejrzystych modeli biznesowych. Oczekuje się również, że za sprawą wspólnych standardów wypracowanych w ramach Gaia-X prostszy i tańszy stanie się proces komercjalizacji danych – przy jednoczesnym zapewnieniu ich bezpieczeństwa na najwyższym poziomie.

[1] IDC Predictions 2021

Taking Cloud to the next level in Europe – IDC’s cloud predictions for Europe

Materiał powstał we współpracy z OVHcloud