← Blog

CLOUD Act i EU podaci objašnjeni: pravna straćna vrata koju američki pružatelji ne mogu zatvoriti

CLOUD Act i EU podaci objašnjeni: pravna straćna vrata koju američki pružatelji ne mogu zatvoriti

Američke AI tvrtke puno govore o EU podatkovnim centrima, usklađenosti s Općom uredbom o zaštiti podataka (GDPR) i neprobojnim ugovorima o obradi podataka. Ono što rijetko spominju je Clarifying Lawful Overseas Use of Data Act (CLOUD Act), američki zakon koji stvara pravnu straćna vrata koja nijedan ugovor ili lokacija podatkovnog centra ne može zatvoriti.

Odnos CLOUD Acta i EU podataka u temelju je pokvaren. Ako procjenjujete AI alate za svoju europsku tvrtku (što tvrtkama pomažemo u Dentro), morate razumjeti zašto „hosting u Europi” nije isto što i „zaštita europskim zakonom”.

Što CLOUD Act zapravo radi

CLOUD Act postao je američki zakon u ožujku 2018. Kratka verzija: ako ste američka tvrtka, morate predati podatke kad to zatraži vlada. Nije važno gdje su ti podaci fizički pohranjeni. Vaši poslužitelji mogu biti na Mjesecu. Ako američka tvrtka kontrolira podatke, američke agencije za provođenje zakona mogu ih zahtijevati.

Jo 2013. Microsoft je rekao „ne” federalcima kad su tražili e-poštu pohranjenu na poslužiteljima u Irskoj. Microsoft je tvrdio da američki nalozi staju na granici. Slučaj se vukao godinama i na kraju je stigao do Vrhovnog suda. Ali prije nego što je sud mogao odlučiti, Kongres je jednostavno promijenio zakon. CLOUD Act je učinio kristalno jasnim: Američka nadležnost slijedi tvrtku, a ne lokaciju poslužitelja.

U praksi: Microsoft Azure s podatkovnim centrima u Njemačkoj —> primjenjuje se CLOUD Act. Amazon Web Services u Stockholmu —> primjenjuje se CLOUD Act. Google Cloud u Belgiji —> ista priča. OpenAI koji obrađuje vaše upite negdje u EU —> isto. Fizička lokacija poslužitelja ne daje vam apsolutno nikakvu pravnu zaštitu.

I opseg je prilično širok. Govorimo o pohranjenim komunikacijama, metapodacima, dokumentima, fotografijama, u biti svakom digitalnom zapisu. A onda postaje gore. Za razliku od GDPR zahtjeva gdje barem znate što se događa, CLOUD Act nalozi često dolaze s takozvanim gag orderima. To znači da vam pružatelj doslovno ne smije reći da su vaši podaci pristupljeni. Da, stvarno.

Zašto su tvrdnje o „EU podatkovnom centru” zavaravajuće

„Vaši podaci nikad ne napuštaju EU”, „Potpuno usklađeno s GDPR-om”, „Zajamčena europska rezidentnost podataka”. Te tvrdnje vidite posvuda. Ako to želite provjeriti sami, isprobajte naš Privacy Policy Analyzer na bilo kojem AI alatu koji razmatrate. Mogu biti tehnički istinite, a ipak duboko zavaravajuće glede vaše stvarne izloženosti.

Rezidentnost podataka znači da su vaši podaci pohranjeni na određenoj lokaciji. To je sve. Ne govori tko im može legalno pristupiti. Američka tvrtka koja vodi EU podatkovne centre i dalje je američka tvrtka. Poslužitelji mogu biti u Frankfurtu, ali pravne obveze slijede registraciju u Delawaru.

Usklađenost s GDPR-om potpuno je odvojeno pitanje. Kad američki pružatelj kaže da je usklađen s GDPR-om, misli da slijedi europska pravila za rukovanje vašim podacima. Ne misli da su vaši podaci zaštićeni od pristupa američke vlade. To su različita pitanja, a marketing ih namjerno miješa.

Miješanje nije slučajno. Američki cloud pružatelji godinama grade europsku infrastrukturu podatkovnih centara upravo da bi odgovorili na brige o „suverenitetu podataka”. Pokreću kampanje koje naglašavaju lokalno pohranjivanje i lokalne timove. Sve je to osmišljeno da se osjećate zaštićeno, dok se izbjegava slon u sobi: američka registracija znači da se američko pravo i dalje primjenjuje.

Ni ugovori ne pomažu. Ugovor o obradi podataka (DPA) između vas i američkog pružatelja ne može nadjačati federalni zakon. Kad stigne federalni nalog, pružatelj mora surađivati ili se suočiti s optužbama za nepoštivanje suda. Vaš ugovor je nebitan. Standardne ugovorne klauzule i drugi pravni okviri propadaju na istom temeljnom problemu: to su privatni sporazumi koji ne mogu nadjačati vladinu vlast.

Nemogući pravni sukob

Američke tvrtke koje opslužuju europske kupce suočavaju se s pravom noćnom morom. GDPR zabranjuje prijenos osobnih podataka u treće zemlje bez adekvatne zaštite. CLOUD Act zahtijeva prijenos podataka američkim vlastima kad se to zatraži. Oba zakona nose ozbiljne kazne za neusklađenost. Nema rješenja koje zadovoljava oba.

Evo konkretnog scenarija. Američki AI pružatelj pohranjuje podatke vaših kupaca u svom frankfurtskom podatkovnom centru. FBI izdaje nalog vezan uz jednog vašeg kupca. Pružatelj sada ima dvije loše opcije: surađivati s nalogom i vjerojatno prekršiti GDPR (kazne do 20 milijuna eura ili 4% globalnog prometa, što je veće), ili odbiti i suočiti se s optužbama za nepoštivanje suda u američkom federalnom sudu.

Američke tvrtke su američke tvrtke. Kad moraju birati između europskih propisa i američkog federalnog prava, surađuju s nalogom. Možda vas obavijeste naknadno, a možda i ne, jer im je to zabranjeno gag orderom. U svakom slučaju, podaci su otišli.

Neki pružatelji pokušali su kreativna rješenja. Microsoft je u Njemačkoj isprobavao „data trustee” aranžmane gdje je lokalni partner tehnički kontrolirao pristup. Bilo je komplicirano, skupo i na kraju su to ukinuli. Druge tvrtke eksperimentirale su sa shemama enkripcije gdje kupac drži ključeve. Ali to dodaje trenje, smanjuje funkcionalnost i često se tiho napusti kad se kupci žale na upotrebljivost.

Što rizici CLOUD Acta i EU podataka znače za vaše poslovanje

Razmislite što prolazi kroz vaše AI sustave i sav drugi softver koji koristite. Razgovori korisničke podrške s osobnim podacima.

  • Interni dokumenti o strategiji i financijama.
  • Pregledi ugovora s povjerljivim uvjetima.
  • HR podaci o zaposlenicima.
  • Informacije o istraživanju i razvoju.
  • Konkurentska inteligencija.

Sve to i više postaje dostupno prema CLOUD Act zahtjevu.

A ako sada mislite „ok, ali FBI ionako neće doći po mene…” – zahtjevi nisu uvijek usmjereni izravno na vas. Vaši podaci mogu biti uhvatljivi u istragu potpuno neke druge osobe. Vaš kupac pod istragom, bivši zaposlenik, poslovni partner. Nalog može tražiti „sve komunikacije koje uključuju osobu X”, i odjednom su vaši povjerljivi poslovni podaci u federalnim rukama.

Prema GDPR-u, vi ostajete voditelj obrade odgovoran za ono što se događa s osobnim podacima koje prikupljate. Ako vaš američki pružatelj preda podatke vaših kupaca američkim vlastima bez valjanog EU pravnog temelja, možete se suočiti s regulatornim pritužbama i kaznama. Obrana „ali koristili smo GDPR-usklađenog pružatelja” neće proći. Znali ste za CLOUD Act. Ionako ste odabrali pružatelja s sukobljenim pravnim obvezama.

Za regulirane industrije, izloženost je još ozbiljnija. Zdravstveni podaci, financijski zapisi, pravne komunikacije. Sve to ima posebne zahtjeve zaštite prema europskom pravu. Korištenje američkog pružatelja za AI obradu takvih podataka znači prihvaćanje da se te zaštite mogu zaobići postupkom koji nikad nećete vidjeti i ne možete osporiti. Vaš compliance officer trebao bi postavljati teška pitanja o tome.

Jedino stvarno rješenje

Postoji točno jedan način da zajamčite zaštitu od CLOUD Act zahtjeva: koristiti pružatelje koji uopće nisu pod američkom nadležnošću. Ne EU podatkovne centre koje vodi američka tvrtka. Ne europske podružnice američkih tehnoloških divova. Istinski europsko vlasništvo i infrastruktura od vrha do dna.

Tvrtka registrirana u Europi, u vlasništvu europskih dioničara, bez američke matice i bez kontrolnih američkih investitora, jednostavno ne može primiti CLOUD Act zahtjev. Zakon se ne primjenjuje. Nema sukoba za rješavanje jer nema američke nadležnosti koja bi ga stvorila.

Sve uobičajene sigurnosne mjere poput enkripcije i kontrola pristupa štite od hakera i unutarnjih prijetnji. Ne čine ništa protiv pravnog zahtjeva potkrijepljenog federalnom vlasti. Pružatelj ima ključeve i kad ga zakon prisili, koristi ih. Jedina zaštita koja stvarno drži je strukturna: biti izvan nadležnosti koja je izdala zahtjev.

Upravo zato smo izgradili DentroChat. Htjeli smo pružiti ono što američke alternative ne mogu: istinsku europsku zaštitu podataka koja ne ovisi o marketinškim obećanjima ili ugovornim zaobilaznicama. Naši poslužitelji su u Njemačkoj. Naši cloud pružatelji su europske tvrtke koje nisu pod američkom nadležnošću. Nema američke matice, nema američkih investitora s pravima kontrole, nema pravne kuke koja nas dovodi u opseg CLOUD Acta.

Kad koristite DentroChat, CLOUD Act se jednostavno ne primjenjuje. Takvi zahtjevi nam se uopće ne mogu legalno uputiti. Europski AI pružatelji mogu ponuditi pravnu sigurnost koju američki pružatelji strukturno ne mogu parirati.

Temeljni problem CLOUD Acta i EU podataka ne može se riješiti boljim pravilima privatnosti ili jačim ugovorima. Može se riješiti samo odabirom pružatelja koji su potpuno izvan američke nadležnosti. To je jedini odgovor koji stvarno funkcionira.