Brexit będzie miał znaczący wpływ na operacje IT w tym roku, jednak nadal można znaleźć organizacje nie do końca rozumiejące, w jaki sposób decyzja Wielkiej Brytanii o opuszczeniu UE wpłynie na to, czy i w jakim regionie będą mogli uruchamiać swoje aplikacje w chmurze.
Wiele firm może z dnia na dzień znaleźć się w nowej rzeczywistości prawnej zmuszającej do przenoszenia danych i aplikacji do, z lub pomiędzy różnymi środowiskami chmurowymi i lokalnymi, aby zapewnić, że dane znajdą się w odpowiednim regionie pod względem regulacyjnym. Czy firmy przygotowały się wystarczająco w celu zminimalizowania zakłóceń, jakie może to spowodować? Czy posiadają Plan B i odpowiednie narzędzia do migracji?
Dynamiczny wzrost popularności i wykorzystania chmury obliczeniowej jest tym razem powodem do zmartwień w wielu przedsiębiorstwach międzynarodowych, ponieważ Wielka Brytania zbliża się coraz bardziej do Brexitu, czy to twardego czy miękkiego. Chodzi oczywiście o lokalizację – gdzie znajdują się dane podlegające regulacjom GDPR, gdzie są wykorzystywane i przetwarzane. Pamiętajmy – a wciąż można spotkać organizacje z niewielką świadomością w tym względzie – że chmura to serwery fizycznie umiejscowione w konkretnym centrum przetwarzania danych, w konkretnym kraju, w konkretnej jurysdykcji. I niekoniecznie jest to kraj macierzysty przedsiębiorstwa czy nawet dostawcy, z którego usług korzysta firma.
Powierzając dane nasze i naszych klientów dostawcy chmurowemu, musimy pamiętać, że to na nas ciąży odpowiedzialność za ich bezpieczeństwo. – mówi Marcin Zmaczyński, Head of Marketing CEE w Aruba Cloud. – Szczególnie dla firm działających w takich sektorach jak finansowy czy zdrowotny ich utrata może się wiązać nie tylko z milionowymi karami, ale z poważnym podważeniem wiarygodności w oczach klientów. Wybierając więc chmurę warto się kierować tym, gdzie znajdują się konkretne centra danych i jakim restrykcjom podlegają, zarówno wynikającym z przepisów prawa jak i samoregulacji. Przykładowo Europejscy dostawcy usług, zrzeszeni w ramach koalicji CISPE, w tym Aruba Cloud, już w 2016 r. wprowadzili pierwszy w historii kodeks postępowania w dziedzinie ochrony danych. Zobowiązali się w nim do oferowania swoim klientom możliwości przetwarzania i magazynowania danych wyłącznie w obrębie terytorium Unii Europejskiej oraz Europejskiego Obszaru Gospodarczego. Ściśle współpracujemy także z Komisją Europejską przy tworzeniu nowych regulacji dla sektora.
Adekwatność ochrony danych
Niezależnie od tego, czy zdająca się nie mieć końca saga z opuszczeniem przez Wielką Brytanię UE zakończy się rozstaniem w ramach umowy czy bez porozumienia, niedawno wdrożone prawodawstwo UE w zakresie ochrony danych – GDPR (RODO) – nie będzie automatycznie rozszerzane na Wielką Brytanię. To dlatego, że po Brexicie Wielka Brytania przyjmie status „państwa trzeciego” na mocy rozporządzenia i jako taka będzie podlegać ograniczeniom w zakresie przekazywania danych do UE i poza nią. Wielka Brytania będzie musiała udokumentować „adekwatność” (adequacy) swoich regulacji ochrony danych, aby organizacje z siedzibą w Wielkiej Brytanii mogły swobodnie przenosić dane do UE a kraje UE nie musiały migrować swoich danych poza Wielką Brytanię. Z tej przyczyny kraj ten wdrożyła w 2018 roku Data Protection Act (DPA) równolegle z GDPR, aby zapewnić równoważność brytyjskiego prawodawstwa w zakresie ochrony danych z prawem UE.
Choć umowa rozwodowa z UE nie naraża Wielkiej Brytanii na niedogodności związane z brakiem adekwatności w prawie ochrony danych, w przypadku twardego rozstania sytuacja nie jest już tak klarowna. O ile wspomniana ustawa DPA 2018 ma zapewnić bezproblemowe uznanie adekwatności regulacji prawnych Wielkiej Brytanii do prawodawstwa UE i umożliwić utrzymanie ciągłości operacyjnej w zakresie przetwarzania danych przez przedsiębiorstwa z obszaru UE, to nie stanie się to automatycznie. Uznanie adekwatności ma bowiem zastosowanie do “państw trzecich”, zatem nie można wdrożyć procedury uznania adekwatności regulacji brytyjskich, dopóki…. Wielka Brytania nie opuści UE. Co to oznacza? Wielka Brytania będzie zmuszona obyć się bez statusu adekwatności przez bliżej nie określony okres, aż UE nie przeprowadzi procesu przyznania takiego statusu (assesment). Degradacja zaufania może poważnie nadszarpnąć relacje biznesowe z partnerami europejskimi.
Scenariusz awaryjny
W celu zniwelowania negatywnych skutków twardego Brexitu i powstrzymania przedsiębiorstw UE przed masowym poszukiwaniem alternatywnych dostawców i lokalizacji (wiele z nich może już nie wrócić do Wielkiej Brytanii nawet po uregulowaniu regulacji związanych z ochroną danych) European Data Protection Board (EDPB) opublikowała notę informacyjną opisującą zalecane scenariusze postępowania w zakresie transferu danych podlegających GDPR na wypadek twardego Brexitu. Zaleca w niej podjęcie przez organizacje przygotowań na wypadek rozstania Wielkiej Brytanii z UE bez umowy, sugerując podjęcie pięciu kroków:
Opisane szczegółowo we wspomnianym dokumencie instrumenty to standardowe i dedykowane klauzule ochrony danych, polityki ochrony danych osobowy wdrożone przez podmioty międzynarodowe (korporacje), szczegółowe reguły postępowania i mechanizmy certyfikacji.
Negocjowanie umów zawierających konkretne klauzule ochrony danych spełniające standardy GDPR może doraźnie pomóc w utrzymaniu płynności danych między obszarem Wielkiej Brytanii a UE w następstwie Brexitu bez umowy, ale nie jest to idealne rozwiązanie. Opracowanie nowych i bardziej szczegółowych umów wiąże się z dodatkowymi kosztami prowadzenia działalności przez organizacje brytyjskie i europejskie. Jest też niestety prawdopodobne, że niektóre przedsiębiorstwa z UE zaczną patrzeć na Wielką Brytanię przez pryzmat braku adekwatnej ochrony danych i z elementem nieufność.
Antidotum na Brexit
W realiach biznesowych można, z pewnym marginesem uogólnienia, przypisać możliwe scenariusze do kilku kategorii. Tym chyba najczęściej spotykanym, z pewnością wśród MŚP i startupów, jest biznes korzystający z usług chmury publicznej, jednak dotychczas lokalizacja (region) danych nie miała dla firmy większego znaczenia (oczywiście w ramach ograniczeń Europejskiego Obszaru Gospodarczego). Obecna sytuacja wymagać będzie rewizji fizycznej lokalizacji danych, ich transferu i stwierdzenia, czy w jakimś stopniu przechowywanie lub przetwarzanie danych dotyczy obszaru Wielkiej Brytanii. Z kolei kiedy biznes korzysta z usługodawcy, którego centrum danych zlokalizowane jest w Wielkiej Brytanii – co ma często miejsce w przypadku podmiotów powiązanych kapitałowo w firmami brytyjskimi – należy rozważyć zastosowanie jednego z wymienionych w rekomendacjach EDPB instrumentów, przy czym odpowiednie regulacje na poziomie korporacyjnym (Binding Corporate Rules – BCR) być może już istnieją i wystarczy ich weryfikacja.
Jakkolwiek mało prawdopodobny jest scenariusz Brexitu bez zachowania zasady free flow of data, niektóre firmy z którymi współpracujemy wolą się zabezpieczyć i mieć możliwość przeniesienia danych na serwery znajdujące się na terenie UE. – twierdzi Marcin Zmaczyński – Dzięki rozmieszczeniu naszych data center w 6 krajach Unii, w tym w Wielkiej Brytanii, Niemczech i Polsce, firmy mają możliwość georedundancji danych, czyli przechowywania ich w kilku centrach danych jednocześnie. W efekcie klienci operujący w Wielkiej Brytanii zachowują szybki dostęp do danych, jednocześnie mają pewność, że w przypadku czarnego scenariusza będą mogli nadal obsługiwać bez problemu klientów w innych krajach.
Strategie, jakie wydają się być naturalnym antidotum na sytuację związaną z Brexitem, jak i na analogiczne wydarzenia w przyszłości to – z punktu widzenia przedsiębiorstwa:
- korzystanie z wielu dostawców chmury (multicloud) i odpowiedni ‘Governance’
- korzystanie z dostawcy z centrami przetwarzania danych zlokalizowanymi pod różnymi jurysdykcjami.
Zdaniem Marcina Zmaczyńskiego warto pamiętać, że prócz RODO kraje UE mają swoje własne regulacje dotyczące przechowywania danych, a także szczegółowe zapisy dotyczące konkretnych branż, jak np. finansowej. – Dlatego wygodnym rozwiązaniem jest wybór dostawcy, który posiada centra danych w różnych krajach UE, co daje klientowi możliwość wyboru lokalizacji ich przetwarzania w zależności od bieżących potrzeb. Jeśli będzie mu zależało na zgodności np. z bardziej restrykcyjnymi niemieckimi przepisami, może automatycznie migrować swoje dane do data center znajdującego się na terenie Niemiec. – dodaje.
