ES vai ASV mākonis: kāpēc datu atrašanās vieta ir svarīga
Pajautā vairumam uzņēmumu, kur atrodas viņu dati, un tie nosauks pilsētu: "Frankfurte", "Amsterdama", "mūsu serveri ir ES". Tāda atbilde nomierina, taču tā aptver tikai vienu no trim jautājumiem, kas patiesībā nosaka, kurš likumīgi drīkst lasīt tavus datus. Fiziskā atrašanās vieta ir svarīga. Tā nav viss stāsts.
Trīs jautājumi, nevis viens
- Kur dati fiziski atrodas? Valsts, uz kuras zemes stāv diski.
- Kuras valsts likumi attiecas uz pakalpojumu sniedzēju? Jurisdikcija seko uzņēmumam, nevis dzelžiem. ASV īpašumā esošs pakalpojumu sniedzējs paliek pakļauts ASV likumiem arī tad, ja serveris ir Rīgā vai Amsterdamā.
- Kurš tur šifrēšanas atslēgas? Ja pakalpojumu sniedzējs var atšifrēt tavus datus, viņu var piespiest izsniegt atklāto tekstu. Ja atslēgas ir tikai tev, viņš to nevar.
ASV mākoņa giganta "ES reģions" atbild uz pirmo jautājumu un izgāžas otrajā un trešajā. Tieši šajā plaisā tiek iegūta vai zaudēta datu suverenitāte.
ASV likumi, kas sniedzas pāri okeānam
CLOUD Act (2018) ļauj ASV iestādēm piespiest jebkuru ASV reģistrētu uzņēmumu izsniegt datus, ko tas kontrolē, neatkarīgi no tā, kurā pasaules vietā šie dati glabājas, un neatkarīgi no tā, vai datu subjekts ir amerikānis. ES datu centrs, ko vada ASV mātesuzņēmums, ir sasniedzams.
FISA 702. sadaļa atļauj masveida datu vākšanu no ASV elektronisko sakaru pakalpojumu sniedzējiem, tieši mērķējot uz personām ārpus ASV, kas nav ASV pilsoņi. ASV mākoņa Eiropas klientam tā nav nepilnība, tā ir sistēmas būtība.
Ko patiesībā saka ES likumi
VDAR 48. pants nosaka, ka ārvalsts tiesas vai iestādes rīkojums ES ir izpildāms tikai tad, ja tas balstās uz starptautisku līgumu, piemēram, savstarpējās tiesiskās palīdzības līgumu. CLOUD Act orderis ir vienpusējs ASV instruments, tāpēc šo prasību tas neizpilda, tomēr ASV pusē pakalpojumu sniedzēju joprojām var piespiest to izpildīt.
Schrems II lietā (2020) ES Tiesa atcēla Privacy Shield, jo ASV novērošanas likumi deva iestādēm piekļuvi, kas nav savienojama ar ES tiesībām, un ES pilsoņiem neatstāja efektīvu tiesisko aizsardzību. Tā pēctecis, ES un ASV Datu privātuma ietvars (2023), regulē datu pārsūtīšanas dokumentāciju, taču neizslēdz ne CLOUD Act, ne FISA 702; tiesās virzās kārtējā sūdzība, ko bieži sauc par Schrems III. ES Datu akts un NIS2 virza to pašu virzienu: saglabāt kontroli pār datiem ES iekšienē un bloķēt nelikumīgu trešo valstu piekļuvi.
Tikai standarta līgumklauzulas šo plaisu neaizver. Eiropas Datu aizsardzības kolēģija ir skaidri norādījusi, ka līgumi nevar saistīt ārvalsts valdību; to spēj tikai tehniski pasākumi.
Kā pašam pārbaudīt pakalpojumu sniedzēju
Pārbaudi fizisko atrašanās vietu un tīkla operatoru:
whois 91.220.43.220 | grep -Ei 'country|netname|org' curl -s https://ipinfo.io/91.220.43.220
Tad uz papīra atbildi uz diviem grūtākajiem jautājumiem:
- Izlasi pakalpojumu sniedzēja datu apstrādes līgumu (DPA) un apakšapstrādātāju sarakstu. ASV mātesuzņēmums vai ASV apakšapstrādātājs tevi atkal pakļauj ASV jurisdikcijai.
- Pārliecinies, ka darbojošais juridiskais subjekts ir reģistrēts ES/EEZ, nevis ir vietējs ASV platformas tālākpārdevējs.
- Pajautā, kur tiek glabātas šifrēšanas atslēgas. "EEZ, un tu vari turēt savas" ir atbilde, ko tu gribi dzirdēt.
Kur likmes ir augstas, šifrē datus vēl pirms tie nonāk pie pakalpojumu sniedzēja, lai atklātais teksts viņa pusē vispār nekad nepastāvētu:
# šifrē failu ar tev zināmu paroli age -p secrets.tar > secrets.tar.age # vai pilna diska šifrēšana tavā VPS sējumā cryptsetup luksFormat /dev/vdb
Secinājums
Droša datu glabāšana ES nozīmē vairāk nekā frāzi "izvietots ES". Īsta datu suverenitāte prasa visus trīs: ES zemi, ES reģistrētu pakalpojumu sniedzēju ārpus ASV jurisdikcijas un šifrēšanas atslēgas, ko kontrolē tu. Pārbaudi uzņēmuma īpašniekus un apakšapstrādātāju sarakstu, nevis tikai datu centru karti. Šī ir vispārīga informācija, nevis juridiska konsultācija; konkrētā atbilstības gadījumā pārliecinies pie kvalificēta konsultanta.
Turpini lasīt
Gatavs sākt?
Palaid dažās minūtēs vai aprunājies ar inženieri par piemērotāko risinājumu.