Tag: suwerenność

W chmurze kluczowe pytanie nie brzmi już „gdzie przechowywane są dane?”, lecz „kto ma nad nimi kontrolę?”. Sama lokalizacja przestaje mieć znaczenie, jeśli o dostępie do danych, zasadach ich przetwarzania lub zmianach w platformie mogą decydować podmioty objęte inną jurysdykcją.

Dlatego w Cloud Sovereignty Framework obszary Governance (SOV-1) i Jurisdiction (SOV-2) znajdują się na samym początku. Określają one, kto podejmuje decyzje, komu podlega dostawca i jakie ramy prawne mają zastosowanie do danych klienta. Od tych elementów zależy, czy pozostałe mechanizmy suwerenności mają realną wartość.

Dla organizacji publicznych i regulowanych nie są to kwestie teoretyczne. Coraz częściej decydują o dopuszczalności dostawcy, warunkach umowy oraz o tym, czy dane pozostają pod rzeczywistą kontrolą klienta.

Przez lata dyskusja o chmurze obliczeniowej koncentrowała się niemal wyłącznie na warstwie technicznej i ekonomicznej. Suwerenność danych – czyli kwestia prawnej i operacyjnej kontroli nad zasobami – nie tyle była problemem niejednoznacznym, co po prostu drugoplanowym. Dopóki systemy działały sprawnie, a centra danych znajdowały się fizycznie w Europie, rzadko wnikano w to, jakiej jurysdykcji podlega dostawca usługi.

Ten okres „milczącej zgody” dobiega jednak końca. Komisja Europejska, publikując Cloud Sovereignty Framework, kończy etap, w którym suwerenność była kwestią jedynie deklaratywną. Dokument ten, stworzony na potrzeby unijnych przetargów (Cloud III DPS), wymusza powrót do pytań, które przez lata spychano na margines. Od 2025 roku nowe pojęcia – SOV (cele suwerenności) i SEAL (poziomy pewności) – staną się twardym wymogiem w kontraktach publicznych, a wkrótce prawdopodobnie rynkowym standardem weryfikacji dostawców.

Poniżej analizujemy, jak ten mechanizm działa w praktyce i dlaczego wpłynie on na sposób kontraktowania usług IT nie tylko w administracji.