Kontrola nad danymi w chmurze. Jak firmy MŚP wybierają dostawców?

Suwerenność danych w chmurze

Skąd bierze się niepewność przy decyzji o dostawcy? Głównie z powodu sprzecznych wymogów prawnych, które dotykają każdą organizację korzystającą z chmury. Amerykański Cloud Act daje tamtejszemu rządowi dostęp do danych przechowywanych w chmurach firm zarejestrowanych USA lub podlegających tamtejszej jurysdykcji – niezależnie od tego, gdzie znajdują się fizycznie.

Jednocześnie europejskie RODO wymaga zachowania pełnej kontroli nad danymi osobowymi. Te dwa wymogi prawne wykluczają się nawzajem.

W ten sposób polskie firmy znalazły w sytuacji, w której każda decyzja technologiczna niesie ryzyko prawne. Gdy dane trafiają pod amerykańską jurysdykcję, organizacja traci nad nimi część kontroli. Nie może wtedy odmówić przekazania informacji, nawet jeśli naruszy to polskie lub europejskie przepisy. Wystarczy, że amerykański dostawca otrzyma nakaz sądowy z USA i musi je udostępnić, bez względu na to, jak wygląda umowa z polskim klientem.

Jak firmy MŚP wybierają dostawców?

Skoro firmy dostrzegają zagrożenia prawne, warto sprawdzić, jak reagują w praktyce. Coraz lepiej rozumieją one ryzyko prawne związane z Cloud Act i amerykańską jurysdykcją. Dlatego częściej wybierają dostawców oferujących centra danych w kraju lub przynajmniej w Unii Europejskiej. Robią to z pragmatyzmu – chcą uniknąć sytuacji, w której obce służby mogą zażądać dostępu do ich danych bez ich wiedzy.

Taka strategia przynosi konkretne korzyści prawne. Jeśli przechowuje ona swoje dane w Polsce:

• o wiele łatwiej jej udowodnić, że nie łamie przepisów RODO;
• może szybciej reagować na żądania organów regulacyjnych;
• nie musi tłumaczyć klientom, dlaczego ich dane trafiły za ocean, ani martwić się o nieprzewidywalne zmiany w amerykańskim prawie.

Dlatego w wielu organizacjach zmieniły się też priorytety biznesowe – bezpieczeństwo danych zaczęło przeważać nad kosztami. Choć cena wciąż jest ważnym czynnikiem, to jednak oszczędzając na dostawcy, można narazić się na dużo wyższe straty związane z naruszeniem bezpieczeństwa danych lub problemami prawnymi.

Zarządzasz średnią lub dużą firmą?

Twoja organizacja prawdopodobnie przyjęła już formalne polityki dotyczące lokalizacji danych. Oznacza to, że decyzje technologicznie nie spoczywają wyłącznie na barkach IT, bo angażuje się w nie także zarząd i działy prawne. Dlatego wybierając dostawcę, trzeba uwzględniać więcej niż cenę i możliwości techniczne. Ważne są też: ryzyko prawne, zgodność z regulacjami i długoterminowe bezpieczeństwo danych. Wymaga to czasu i zaangażowania różnych działów, ale pozwala firmom na podejmowanie bardziej świadomych wyborów.

To jeden z powodów, dla których warto sięgnąć po rzetelne źródła wiedzy takie jak raport „Suwerenność danych w chmurze” przygotowany przez EXEA na podstawie ogólnopolskiego badania PMR Research. Przedstawia on trendy, czynniki ryzyka i priorytety polskich firm MŚP. Dowiesz się z niego, na jakie kryteria zwracają przy wyborze dostawcy, jak reagują na dylematy prawne związane z Cloud Act i RODO oraz co jest dla nich najważniejsze w kwestii bezpieczeństwa danych.

Pobierz raport bezpłatnie na raport.exea.pl i zyskaj wiedzę potrzebną do podejmowania strategicznych decyzji.

Raport suwerenności danych w chmurze, fot. materiały prasowe