Co znamená švýcarské usnesení o cloudu pro Evropu?

CLOUD Act, datová suverenita a Švýcarsko: bod obratu pro evropské IT strategie?

autor:

V polovině listopadu se ve Švýcarsku stalo něco, co v této podobě málokdo očekával: Komisaři pro ochranu osobních údajů v této zemi přijali jasné, téměř historické usnesení. Jeho poselství je jednoduché - a zároveň velmi kontroverzní: orgány veřejné moci by již neměly bez váhání zadávat svá nejcitlivější data mezinárodním cloudovým službám, jako je Microsoft 365. Proč tomu tak je?

Protože odpovědnost za zvláště důvěrné údaje - zdravotní záznamy, sociální případy, trestní vyšetřování, interní dokumenty - nesmí být předána společnostem, které nikdy nemohou technicky zcela vyloučit přístup k těmto údajům. Právě to je jádrem švýcarského rozhodnutí. Nemusíte se hluboce zabývat IT, abyste pochopili základní myšlenku. Dříve se důležité spisy ukládaly do uzamčené kartotéky na radnici. Dnes jsou tytéž údaje často uloženy někde v zahraničí - na serverech velkých amerických korporací, které zase využívají své vlastní partnerské společnosti a subdodavatele. A i když nás tito poskytovatelé ujišťují, že je vše v bezpečí, samotné úřady to již nemohou reálně zkontrolovat.

Sociální otázky současnosti

Ve veřejné debatě se často opomíjí také jedna věc: americké společnosti mohou být nuceny předávat údaje podle amerických zákonů, jako je CLOUD Act, i když jsou tyto údaje ve skutečnosti uloženy v Evropě. Pro evropské země, a tím spíše pro země, jako je Švýcarsko, které si tradičně velmi cení nezávislosti, je to těžké břemeno. Švýcarské orgány pro ochranu osobních údajů nyní v této souvislosti jasně vyjádřily svůj postoj:

Pokud orgán veřejné moci ukládá údaje, které jsou zvláště chráněné nebo dokonce podléhají úřednímu tajemství, nesmí k nim mít přístup nikdo jiný - ani poskytovatel cloudu. A dokud neexistuje skutečné end-to-end šifrování, kdy klíče spravuje pouze úřad, není to u dnešních cloudových služeb jednoduše proveditelné.

Švýcarsko tak z opatrnosti, tradice a hluboce zakořeněného vědomí, že státní data jsou obzvláště cenným přínosem, stahuje šňůru. A je zajímavé, že německé úřady, úředníci pro ochranu údajů a IT manažeři nyní také velmi pozorně sledují, zda zde nevzniká nový standard.

Co švýcarská rezoluce skutečně říká

Jak Heise Online a Uvnitř IT Jak jsme uvedli v naší zprávě, toto rozhodnutí přijala Konference o ochraně údajů privatim, sdružení spolkového komisaře pro ochranu údajů a všech kantonálních dozorových orgánů. Přestože její rozhodnutí nejsou zákony, mají obrovskou váhu. V praxi mnoho úřadů provádí jejich pokyny, jako by byly závazné - protože určují, co je z hlediska ochrany údajů přípustné a odpovědné. Komu je usnesení určeno? Cílovou skupinou jsou orgány veřejné správy:

  • Federální orgány
  • Kantonální úřady
  • Obce
  • Soudy
  • státní instituce

Soukromých společností se usnesení formálně netýká. Pokud však budou standardy pro státní instituce nastaveny tak přísně, soukromý sektor bude mít v budoucnu problém přijmout mnohem volnější přístup - zejména v oblastech, jako je zdravotnictví, školství a pojišťovnictví.

Klíčové poselství: citlivá data nepatří do mezinárodních cloudů.

Na stránkách Rozlišení formuluje opatrně, ale jednoznačně: většina citlivých vládních dat nesmí být outsourcována do cloudových služeb, pokud by k nim poskytovatelé mohli mít technický přístup. A to se netýká žádných výklenkových aplikací, ale právě těch cloudových produktů, které dnes mnoho správních orgánů standardně používá, včetně např.

  • Microsoft 365
  • Pracovní prostor Google
  • Různé aplikace SaaS od mezinárodních poskytovatelů

Sporný bod je vždy stejný: neexistuje skutečné šifrování end-to-end, pokud má klíče autorita a poskytovatel je technicky vyloučen. Dokud cloudová služba sama zavádí aktualizace, provádí konfigurace nebo má práva správce v případě podpory, teoretický přístup zůstává zachován - a to je pro švýcarské odborníky na ochranu údajů více než dostatečné riziko.

Proč Švýcarsko tuto hranici vytyčuje

Švýcarské rozhodnutí se řídí jasnou logikou, kterou lze shrnout klasickou, téměř staromódní zásadou:
Nemůžete skutečně chránit to, co není ve vaší sféře vlivu. V centru dění jsou tři motivy:

  • Ochrana státní suverenityStátní data jsou základem suverenity. Pokud by k nim teoreticky mohli mít přístup mezinárodní poskytovatelé - případně i pod cizí jurisdikcí -, stát by o část této suverenity přišel.
  • Ochrana úředního tajemství: Úřední tajemství je ve Švýcarsku obzvláště důležité. Jeho účelem je nejen zabránit politickým intrikám, ale také zajistit důvěru občanů. Jakmile údaje opustí zemi, je obtížnější tuto důvěru zaručit.
  • Ochrana zvláště citlivých osobních údajůZdravotní údaje, policejní spisy, sociální případy - to vše jsou oblasti, kde by neoprávněný přístup měl vážné důsledky. A zde je i sebemenší riziko považováno za nepřijatelné.

Kterých dat se to týká především?

Usnesení výslovně hovoří o:

  • zvláště citlivé osobní údaje
  • Údaje podléhající zákonné důvěrnosti (úřední tajemství)
  • Údaje od policie, justice, sociálních služeb, zdravotnictví, správy

Pro tyto informace usnesení požaduje standard, který dnešní systémy SaaS nenabízejí: úplné šifrování pod výhradní kontrolou orgánu. Bez tohoto standardu je outsourcing do mezinárodních cloudů „ve většině případů nepřípustný“ - podle znění.

Co zbývá úřadům udělat?

Technicky vzato mají jen úzký koridor:

  • Cloudové úložiště s vlastním upstreamovým šifrováním
  • Provoz vlastní klíčové infrastruktury
  • nebo zcela lokální řešení, tj. on-premise nebo švýcarští poskytovatelé.

To neznamená, že by úřady již cloud vůbec nesměly používat. Musí však zajistit, aby poskytovatel neměl možnost číst data v prostém textu. A to je v praxi u většiny moderních cloudových nástrojů prakticky nemožné, protože tyto systémy mohou plnit své funkce pouze tehdy, pokud data samy zpracovávají. Švýcarsko tak nepřímo říká:

„Cloud používejte střídmě a pouze tam, kde jej můžete skutečně ovládat.“

A to je samo o sobě pozoruhodný krok, který vyvolává diskusi i mimo Švýcarsko.

Pět hlavních argumentů - od chybějícího end-to-end šifrování až po smluvní loterii.

1. chybí skutečné end-to-end šifrování

Nejdůležitější bod je zároveň nejjednodušší: pokud má poskytovatel cloudu technický přístup k datům, nesmí je používat pro zvláště citlivé informace. A právě v tom selhávají prakticky všechny mezinárodní nabídky SaaS - i když se označují za „bezpečné“, „certifikované“ nebo „vyhovující požadavkům na ochranu dat“. Proč? Protože služby jako Microsoft 365, Google Workspace nebo jiné velké cloudové platformy fungují pouze tehdy, pokud mohou zpracovávat data z naší práce: Dokumenty, e-maily, kalendáře, schůzky, chaty. Tyto systémy analyzují, vyhledávají, synchronizují a propojují obsah - to je jejich obchodní model.

Skutečné end-to-end šifrování, kdy klíč drží pouze autorita a poskytovatel do něj nemá žádný vhled, by tyto funkce do značné míry znemožnilo. Právě proto poskytovatelé v tomto ohledu nenabízejí úplné oddělení. A právě proto švýcarští odborníci na ochranu údajů říkají:

„Dokud to nebude možné, nemůžeme takové systémy s klidným svědomím používat.“

2. netransparentní subdodavatelské řetězce a nedostatečná kontrola

Velcí poskytovatelé cloudových služeb spolupracují s rozsáhlou sítí subdodavatelů. Tyto struktury jsou často distribuovány po celém světě, pravidelně se mění a je téměř nemožné, aby jim někdo zvenčí porozuměl. I když existuje oficiální smlouva se společností Microsoft nebo Google, v pozadí často platí následující:

  • Ostatní společnosti poskytují podporu
  • Externí týmy provádějí údržbu
  • jiní poskytovatelé služeb hostují nebo spravují části infrastruktury.

Pro orgán veřejné moci to znamená, že nemůže přesně vědět, kdo a kdy má nebo může mít přístup. A to je v rozporu se zásadou, že orgán veřejné moci musí být schopen kdykoli vysledovat, kde se jeho údaje nacházejí a kdo k nim může potenciálně přistupovat. Švýcarské orgány tento bod záměrně zdůraznily, protože transparentnost a odpovědnost spolu úzce souvisejí.

3. jednostranné změny smlouvy - mrak jako právně vratký základ

Jedním z často opomíjených rizikových faktorů je návrh smlouvy. Mnoho poskytovatelů cloudových služeb si vyhrazuje právo kdykoli změnit své podmínky - někdy s velmi krátkou dobou. To je pro soukromé společnosti jakžtakž přijatelné, ale:

Zásada předvídatelnosti se vztahuje na orgány veřejné moci. Správní orgán musí být schopen doložit a odůvodnit, které údaje a jakým způsobem zpracovává. Pokud se však rámcové podmínky samovolně mění - protože poskytovatel vkládá nová ustanovení nebo omezuje stávající - nastává situace, kdy orgán již nemůže s jistotou posoudit vlastní soulad s právními předpisy.

Švýcarští odborníci na ochranu údajů považují tuto „smluvní loterii“ za neslučitelnou se státními závazky. Stát se nemůže spoléhat na obchodní modely, které lze kdykoli změnit - bez spolurozhodování.

4. riziko ztráty kontroly a základních práv

Jakmile údaje opustí zemi nebo jsou zpracovávány mimo oblast její odpovědnosti, vzniká riziko: stát ztrácí část své kontroly.

Na první pohled se to může zdát abstraktní, ale v každodenním životě je to velmi reálné: pokud dojde k chybě, k ohrožení dat nebo k právnímu sporu, orgán veřejné moci již nemůže zajistit, že se obejde bez pomoci zvenčí. A právě to je v rozporu se základní myšlenkou fungující veřejné správy:

Stát musí být schopen v případě nouze jednat sám - bez závislosti na externích společnostech nebo zahraničních právních systémech. Švýcarští ochránci údajů zde zastávají tradiční, téměř staromódní přístup - a právě díky tomu je jejich postoj tak konzistentní. Úkoly státu zůstávají úkoly státu. A státní data patří do státních rukou.

5 Americký zákon CLOUD Act - ústřední bod obav

Zákon CLOUD je pravděpodobně nejdůležitějším podkladem pro celou tuto diskusi. Tento americký zákon ukládá americkým společnostem povinnost předat na vyžádání údaje americkým úřadům, a to i v případě, že jsou tyto údaje uloženy v zahraničí a ve skutečnosti podléhají ochraně zahraničních zákonů. Pro Švýcarsko je to naprosto nepřípustné.

To by teoreticky umožnilo americkým orgánům získat přístup k citlivým švýcarským administrativním údajům bez účasti švýcarských soudů nebo orgánů. I když poskytovatelé cloudových služeb ujišťují, že takové údaje zveřejní pouze za přísných podmínek, zásadní problém zůstává:

Úřad ztrácí svrchovanost nad svými daty - už jen tím, že si vybere poskytovatele technických služeb. Pro zemi, která si tradičně zachovává nezávislost, je to riziko, které se nevyplatí podstupovat. A právě na to švýcarští odborníci na ochranu údajů upozorňují velmi jasně.


Švýcarsko versus Microsoft 365 - a Německo to bedlivě sleduje | heise & c't

Švýcarsko versus EU - dva způsoby řešení problému Microsoft 365

Zatímco Švýcarsko zaujímá velmi opatrný přístup a výslovně varuje úřady před zadáváním citlivých údajů mezinárodním službám SaaS, Evropská unie zaujímá jiný přístup. Snaží se najít střední cestu prostřednictvím dohod, smluvních vylepšení a technických úprav - takovou, která cloudové služby zásadně nezakazuje, ale spíše se snaží o jejich „použitelnost“ stanovením podmínek.

Tento rozdíl je pozoruhodný a vypovídá o tom, jak rozdílně státy přistupují k otázce digitální suverenity.

Švýcarsko: opatrnost, suverenita údajů a jasná hranice

Postoj Švýcarska lze shrnout do jedné věty:

„Co nemám pod kontrolou, to nepustím z rukou.“

Švýcarsko se tak drží tradiční zásady: státní data - zejména tajná nebo zvláště citlivá - zůstávají v zemi nebo jsou zašifrována tak, aby k nim neměl přístup nikdo jiný než samotné úřady. Jedná se o záměrný návrat ke starým zásadám přeneseným do současnosti digitálního světa.

EU: smlouvy, výjimky a kompromisní řešení

Evropská unie zaujímá jiný přístup. Chce využít výhod velkých cloudových platforem, aniž by je zcela zakázala. Za tímto účelem:

  • Vyjednané nové smlouvy
  • Přidání záruk ochrany údajů
  • Zavedení kontrolních mechanismů a auditů
  • Následně poskytnuté technické záruky

Rozhodnutí evropského inspektora ochrany údajů, že Komise EU může za určitých podmínek používat Microsoft 365 v souladu s předpisy o ochraně údajů, je příkladné. Podobná prohlášení nyní zaznívají z několika členských států - včetně části Německa. Základní myšlenka:

„Cloud regulujeme, místo abychom ho zakazovali.“

Tento přístup je však založen na důvěře v poskytovatele - a na tom, že složitost zůstává zvládnutelná. Kritici proti tomu namítají: Čím větší je platforma, tím obtížnější je ji kontrolovat.

Německo mezi dvěma světy

Německo se ocitlo mezi dvěma mlýnskými kameny. Některé státní úřady pro ochranu údajů jsou opatrnější, jiné se orientují spíše prakticky.
Například ve školském sektoru již byla přijata přísná rozhodnutí proti Microsoft 365, zatímco na federální úrovni se pracuje na řešeních, která jeho používání umožňují. Výsledkem je mozaika.

Právě proto se nyní mnoho lidí dívá na švýcarskou linii - protože poprvé stanovuje jasný standard, místo aby se propracovávala ke kompromisům.

Střet dvou filozofií

Stručně řečeno, existují dva protichůdné názory:

  1. Švýcarská tradice: „Naše data zůstanou u nás - nebo zůstanou zašifrovaná a nikdo jiný je neuvidí.“
  2. Evropská pragmatika: „Potřebujeme moderní platformy - a tak se s nimi vyrovnáváme, jak nejlépe umíme.“

Oba přístupy mají své silné stránky. Švýcarsko však vysílá jasný signál: ukazuje, že stát se může v 21. století vědomě zaměřit na digitální nezávislost, aniž by se stal závislým na globálních korporacích.

Už jen kvůli tomuto postoji se úřady, úředníci pro ochranu osobních údajů a IT oddělení v celé Evropě začínají blíže zabývat tím, zda je dosavadní praxe skutečně tak nezvratná, jak se vždy zdálo.

Kritérium / téma Švýcarský pohled (soukromý / úřady) Současná praxe nebo názory EU/Německa
Cílová skupina Veřejné instituce: Konfederace, kantony, obce, soudy atd. Úřady a správní orgány (částečně), ale mnoho úřadů také nadále používá cloudy SaaS; předpisy jsou někdy nejednotné v závislosti na zemi a spolkové zemi.
Typ dat / citlivost Údaje vyžadující zvláštní ochranu nebo důvěrnost (zdravotnictví, policie, sociální služby, úřední údaje atd.) - je nutné omezené použití cloudu. Využití cloudu je možné i pro citlivá data - v závislosti na posouzení rizik, opatřeních na ochranu dat a smlouvě s poskytovatelem; často kompromisy a individuálně odlišné zacházení.
Šifrování od konce ke konci / suverenita klíčů Přípustné pouze v případě, že klíč kontroluje sám orgán a poskytovatel je technicky vyloučen; jinak je použití neoprávněné. Používají se standardní cloudy, a to i bez vlastní suverenity klíčů; šifrování poskytovatele je obvykle dostatečné, pokud existují smlouvy a požadavky na ochranu dat.
Subdodavatelé / transparentnost infrastruktury Řetězce subdodavatelů jsou považovány za příliš neprůhledné - bez autorizovaného použití s kritickými údaji. Subdodavatelské řetězce jsou akceptovány - s doklady o shodě, certifikacemi a smluvními předpisy, ale transparentnost je často omezená.
Změny smlouvy / právní jistota Jednostranné změny smluv ze strany poskytovatelů jsou nepřípustné - závazky státu nesmí být ohroženy. Služby jsou využívány, i když poskytovatelé mohou změnit smlouvy; úřady/společnosti podstupují rizika - často s právními dohodami a kontrolními mechanismy.
Nebezpečí vyplývající z amerických zákonů (např. CLOUD Act) Americké zákony jsou považovány za nepřijatelné riziko - používání cloudu je zakázáno pro citlivé údaje, dokud mohou poskytovatelé podléhat soudním povinnostem USA. Navzdory zákonu CLOUD se využívají mezinárodní cloudy; riziko je často považováno za přijatelné s odkazem na ochranné mechanismy, hranici údajů nebo standardní smluvní doložky EU.
Doporučené alternativy On-premise, švýcarští/evropští poskytovatelé se suverenitou klíčů, vlastní infrastrukturou nebo silně šifrovanými úložišti. Hybridní cloud, poskytovatelé s datovými centry v Evropě, cloudové služby podléhající podmínkám; časté používání, pokud jsou splněny standardy shody.
Filozofie / přístup Zásada předběžné opatrnosti, kontrola, státní suverenita a maximální suverenita údajů. Pragmatismus, schopnost kompromisu, řízení rizik a důvěra ve smluvní/technické rámcové podmínky.

Pohled přes hranice: proč by se Německo mělo nyní podívat blíže?

Švýcarské usnesení přichází v době, kdy si německé úřady a společnosti již nejsou jisté, jak s cloudovými službami naložit. Na jedné straně ekonomika tlačí na cloud - slibuje automatizaci, spolupráci a efektivitu nákladů. Na druhé straně je však převažující otázkou: jak velké kontroly se vzdáme?

Právě zde má švýcarské rozhodnutí signalizační účinek. Nastavuje zrcadlo Německu a ukazuje, co se stane, když se věci promyslí až do konce. Týká se to nejen ministerstev a úřadů, ale také škol, advokátních kanceláří, lékařských ordinací, malých a středních podniků a všech, kdo pracují s citlivými údaji. Švýcaři v podstatě říkají:

„Používáme moderní technologie, ale ne na úkor naší nezávislosti.“

Tato věta by klidně mohla být napsána nad německou digitální strategií. Zatím tomu tak není - ale diskuse dostala díky rozhodnutí z Bernu nový impuls.

Otázka, kterou žádná společnost nemůže ignorovat

Společnosti si dnes musí klást zdánlivě jednoduchou otázku - otázku, kterou by si před deseti či patnácti lety sotva položily:

„Kdo má v případě pochybností přístup k našim datům?“

V minulosti byla odpověď jasná: vy. Dnes často zní: „To záleží na tom, co se stane.“

A právě toto „závisí na tom“ je pro mnoho organizací problémem. Jakmile jsou data uložena v cloudových systémech, už to není jen společnost, kdo rozhoduje o tom, kdo k nim může přistupovat. Rozhoduje o tom sama:

  • poskytovatel
  • její subdodavatelé
  • její smluvní zpracovatel údajů
  • zahraniční orgány (v případě poskytovatelů z USA i bez evropského souhlasu).

Když se na to podíváte střízlivě, rychle zjistíte, že jasných odpovědí na otázku skutečné datové suverenity je stále méně.
A to je důvod, proč švýcarská linka najednou už nevypadá staromódně, ale rozhodně moderně.

Střední třída mezi pohodlím a ztrátou kontroly

Mnoho středně velkých podniků v Německu se v současné době nachází mezi dvěma póly:

  • Pohodlí moderních cloudových platforem
    - Synchronizace souborů všude
    - Videokonference během několika sekund
    - Integrovaný e-mail, kalendář a komunikační systémy
  • Touha po kontrole, důvěrnosti a nezávislosti
    - zejména pro důvěrné údaje
    - strategické obchodní tajemství
    - duševní vlastnictví
    - Údaje o zákaznících nebo zaměstnancích

Rozhodnutí Švýcarska ukazuje jeden z možných směrů: můžete využívat technologie, ale nemusíte slepě následovat každý trend. Některé způsoby jsou pohodlné, ale pohodlné není vždy bezpečné.

Aktuální průzkum digitalizace v každodenním životě

Jak hodnotíte vliv digitalizace na váš každodenní život?
Hlasujte na

Můj vlastní cloudový moment s HostEurope

Tento švýcarský vývoj jsem sledoval obzvlášť pozorně, protože jsem se před časem ocitl ve velmi podobné situaci. U společnosti HostEurope měl být vyměněn celý můj e-mailový systém - bez konzultace, bez dotazu. jednoduše migroval na Microsoft 365 stát se. To by znamenalo, že moje komunikace by byla náhle uložena v mezinárodním cloudu, za podmínek, které nemohu ovlivnit, a s rizikem, že v případě pochybností k ní získají přístup cizí orgány.

Pro mě to byl jasný bod, kdy jsem si řekl: Přestaň - takhle ne. Záměrně jsem se rozhodl proti HostEurope, protože nechci, aby moje data byla přesunuta do systému, nad kterým už nakonec nemám žádnou skutečnou kontrolu. Díky tomuto jedinému okamžiku jsem si znovu uvědomil, jak rychle se můžete dostat do struktur, které jste nikdy nechtěli - a jak je důležité, abyste sami zatáhli za záchranný provaz dříve, než nad vašimi vlastními daty převezmou kontrolu jiní.

Co vývoj znamená pro nás všechny

Při střízlivém pohledu na vývoj posledních let by se mohlo zdát, že svět se plnou rychlostí posouvá k technologické závislosti. Vše se centralizuje, standardizuje a přesouvá do cloudu - často bez skutečného zkoumání dlouhodobých důsledků.

A nyní přichází malá země ve středu Evropy a připomíná všem, že je možné jednat jinak: promyšleně, s respektem, opatrně - a s jasným vědomím vlastní odpovědnosti. Tento švýcarský postoj není krokem zpět. Je to návrat ke staré otázce, na kterou mnozí v hektickém tempu digitalizace téměř zapomněli:

„Kdo je zodpovědný, když se něco stane?“

Pokud již odpověď není jasná, je něco špatně.

Co to znamená pro každého jednotlivce

V konečném důsledku se toto rozhodnutí netýká pouze orgánů veřejné moci nebo velkých společností, ale každého, kdo vytváří, uchovává nebo vyměňuje údaje.

  • Nemusíte být technik, abyste pochopili, že každý outsourcing stojí kus kontroly.
  • Nemusíte být odborníkem na ochranu dat, abyste si uvědomili, že pro citlivé informace je lepší, když víte, kde jsou uloženy.
  • A nemusíte být právník, abyste si uvědomili, že cizí zákony jsou problematické, pokud by mohly rozhodovat o vašich vlastních údajích.

Stačí zdravý rozum. A právě ten se Švýcarsko snaží vrátit do popředí.

Die Entscheidung aus Bern ist kein Aufruf zur Technikfeindlichkeit, sondern ein Appell an unseren eigenen Anspruch. Es ist eine Erinnerung daran, dass Digitalisierung nicht bedeutet, sich blind den größten Anbietern zu überlassen – sondern dass man sich selbst fragt, wie viel Verantwortung man aus der Hand gibt. Über das Thema Cloud und Datenhoheit hatte ich bereits in der Vergangenheit einen Artikel geschrieben.

Wer sich als Unternehmer für ERP-Software ohne Cloud interessiert, findet in diesem separaten Artikel hilfreiche Informationen.

In gewisser Weise zeigt die Schweiz uns etwas, das wir alle längst wissen, aber oft verdrängen: Souveränität beginnt nicht mit der Technik – sie beginnt mit der Haltung. Mit der Art, wie man entscheidet. Mit der Bereitschaft, Dinge kritisch zu hinterfragen.

A s odvahou vydat se v případě potřeby jinou cestou, pokud je rozumnější.

Aktuální témata umělé inteligence

Často kladené otázky

  1. Proč Švýcarsko zaujalo tak přísný postoj k mezinárodním cloudovým službám, jako je Microsoft 365?
    Švýcarsko se řídí jasnou zásadou: státní údaje musí být chráněny tak, aby k nim neměl přístup nikdo jiný než příslušný orgán. Mezinárodní poskytovatelé cloudových služeb nemohou z technického a právního hlediska nikdy zcela vyloučit, že se k datům v případě nouze dostanou - ať už z důvodů údržby, prostřednictvím práv správce nebo na základě požadavků vlády jejich domovské země. To je nepřijatelné riziko pro zvláště citlivé údaje, jako jsou údaje zpracovávané ve správě, justici, policii nebo zdravotnictví. Švýcarské orgány pro ochranu údajů proto vyvozují logický závěr a přísně omezují používání cloudu, pokud nedochází ke skutečnému end-to-end šifrování pod výhradní klíčovou suverenitou úřadu.
  2. Vztahuje se toto rozhodnutí na všechny údaje, nebo pouze na některé kategorie?
    Usnesení se týká především údajů, které jsou obzvláště citlivé nebo podléhají důvěrnosti - včetně zdravotních údajů, sociálních spisů, vyšetřovacích informací a interní komunikace s úřady. Švýcarsko pro tyto kategorie vyžaduje nejvyšší bezpečnostní standardy, které mezinárodní platformy SaaS v současné době nesplňují. Méně citlivé údaje mohou být stále outsourcovány, ale pouze po pečlivém posouzení rizik a při dodržení určitých ochranných opatření.
  3. Týká se to i společností ve Švýcarsku?
    Formálně je usnesení určeno výhradně vládním agenturám. V praxi však bude mít dopad i na podniky, zejména ty, které zpracovávají citlivé nebo zákonem chráněné údaje - například nemocnice, pojišťovny, banky nebo vzdělávací instituce. Pokud orgány veřejné moci nebudou moci nadále využívat určité služby, bude pro soukromé organizace obtížnější klasifikovat tytéž služby jako „zcela bezproblémové“.
  4. Jaký je největší technický problém s Microsoft 365 z pohledu Švýcarska?
    Hlavním problémem je absence skutečného koncového šifrování. Microsoft 365 vyžaduje přístup k obsahu, aby umožnil funkce, jako je vyhledávání, indexování, týmové chaty, kalendáře, antispam nebo funkce umělé inteligence. To znamená, že servery a správci mohou technicky vždy vidět prostý text. I když Microsoft zdůrazňuje, že to nedělá, tato možnost zůstává - a právě tato teoretická možnost představuje pro švýcarské úřady riziko.
  5. Jakou roli hraje v rozhodnutí zákon o CLOUDu v USA?
    Zákon CLOUD Act ukládá americkým společnostem povinnost předávat údaje na žádost amerických úřadů, a to i v případě, že jsou tyto údaje uloženy v zahraničí. Pro Švýcarsko to znamená, že i když Microsoft využívá evropská nebo švýcarská datová centra, může být nutné zpřístupnit údaje americkým úřadům. Tento možný přístup je v rozporu se švýcarským chápáním suverenity a úředního tajemství. Zákon CLOUD je proto uváděn jako závažný protiargument.
  6. Proč Švýcarsku nestačí smlouvy nebo „datové hranice EU“?
    Smlouvy a technická ochranná opatření jsou cennými nástroji, ale nemění právní realitu. Pokud je americká společnost povinna předat údaje, neexistuje o tom žádná smlouva. Velcí poskytovatelé cloudových služeb navíc mohou své podmínky kdykoli změnit. Švýcarští odborníci na ochranu údajů proto tvrdí, že právní jistota nevychází ze slibů, ale ze skutečné kontroly nad daty - a tato kontrola není v cloudech SaaS plně dána.
  7. Co konkrétně usnesení znamená pro úřady?
    V budoucnu budou muset úřady prokázat, že citlivé údaje nesvěřují externímu poskytovateli takovým způsobem, aby k nim mohl mít přístup poskytovatel cloudu. V praxi to znamená, že Microsoft 365 a další mezinárodní platformy SaaS již nebude možné pro tyto údaje používat. Úřady se musí buď spolehnout na místní řešení, přejít ke švýcarským poskytovatelům, nebo používat vlastní šifrovací mechanismy, kdy poskytovatel nemá vůbec žádný přístup.
  8. Mohou úřady nadále využívat cloudové služby, pokud používají vlastní šifrování?
    Ano - ale pouze v případě, že si orgán ponechá úplnou kontrolu nad klíči a poskytovatel je technicky vyloučen. Problém: mnoho cloudových služeb již vůbec nefunguje, pokud je obsah před zpracováním zašifrován. V praxi by tedy Microsoft 365 byl použitelný pouze jako čisté řešení pro ukládání dat - bez nástrojů pro spolupráci, e-mailového systému, kalendáře, Teams nebo automatizovaných funkcí Office.
  9. V čem se švýcarský postoj liší od současného postoje EU?
    EU usiluje o to, aby používání služby Microsoft 365 bylo v souladu s předpisy o ochraně údajů, a to prostřednictvím dohod, auditů a smluvních záruk. Cílem je využít výhod cloudu, aniž by byly zásadně zpochybněny. Švýcarsko se naproti tomu zaměřuje na zásadu předběžné opatrnosti a vytyčuje jasnou hranici: bez úplné kontroly nad daty není používání povoleno. Vzniká tak kontrast mezi evropským pragmatismem a švýcarskou důsledností.
  10. Jak na tento vývoj reagují německé úřady?
    Rozhodnutí Švýcarska bedlivě sledují mnohé německé státní organizace pro ochranu údajů. Některé z nich již kritizovaly samotný Microsoft 365 - například ve školách, kde byly kritizovány mechanismy sledování a nejasné toky dat. Švýcarské usnesení by mohlo posloužit jako argumentační podpora: Pokud země s vysokými standardy omezí používání, bude pro německé úřady obtížnější zaujmout liberálnější postoj, aniž by to dokázaly dobře zdůvodnit.
  11. Proč hraje transparentnost pro subdodavatele tak důležitou roli?
    Velcí poskytovatelé cloudových služeb využívají pro podporu, údržbu a technické služby globální sítě partnerů a subdodavatelů. Pro orgán veřejné moci je téměř nemožné pochopit, které společnosti a kdy by mohly mít přístup. Právě tato netransparentnost znemožňuje správné posouzení rizik. Švýcarsko v tom vidí zásadní problém: orgán veřejné moci musí vědět, kdo by mohl mít přístup k jeho údajům - a to je ve složitých cloudových strukturách prakticky nemožné.
  12. Jak toto rozhodnutí ovlivní debatu o digitální suverenitě v Evropě?
    Švýcarský postoj působí jako katalyzátor. Mnoho zemí EU již léta hovoří o digitální suverenitě, ale často se spoléhají na stejné globální poskytovatele. Švýcarsko nyní ukazuje, že stát může důsledně postupovat i jinak. Toto rozhodnutí znovu rozproudí evropskou debatu - zejména v oblasti justice, administrativy a zdravotních údajů, kde by se přísná linie mohla zdát obzvláště rozumná.
  13. Co se mohou společnosti z tohoto vývoje naučit?
    Společnosti by si měly uvědomit, že outsourcing dat vždy znamená ztrátu kontroly. Švýcarské rozhodnutí je připomínkou, že je důležité pečlivě kontrolovat, které údaje se kam předávají. Společnosti by měly zvážit, zda některé kritické oblasti není lepší ponechat na místě nebo ve svrchovaných infrastrukturách - i když se cloud zdá na první pohled výhodnější.
  14. Je švýcarské rozhodnutí krokem zpět do minulosti?
    Ne - je to spíše návrat k základním principům, které se v digitalizaci někdy ztrácejí: Zodpovědnost, kontrola, sledovatelnost. Švýcarsko využívá moderní technologie, ale nesouhlasí s tím, že by při tom ztratilo suverenitu nad svými nejcitlivějšími údaji. Tento postoj se zdá staromódní, ale ve skutečnosti je orientován na budoucnost.
  15. Jaké alternativy mají úřady nebo společnosti, pokud se chtějí vyhnout cloudovým službám?
    Existuje několik možností: místní servery, švýcarští nebo evropští poskytovatelé s přísnou suverenitou dat, hybridní modely s vlastním šifrováním nebo zcela samostatně provozovaná infrastruktura. Tyto možnosti nejsou tak pohodlné jako kliknutí na „Předplatit si Microsoft 365“, ale posilují kontrolu - a pro mnoho citlivých aplikací jsou zcela dostačující.
  16. Jakou roli v tomto kontextu hraje váš incident s HostEurope?
    Tento incident je typickým příkladem toho, jak rychle se můžete dostat do struktur, které jste nechtěli. Pokud poskytovatel chce migrovat vaše e-maily do služby Microsoft 365, aniž by to s vámi konzultoval, ztrácíte tím zároveň část své suverenity - a to zcela bez požádání. Vaše rozhodnutí okamžitě se odhlásit bylo nakonec krokem stejným směrem, který nyní oficiálně vykročilo Švýcarsko: místo pohodlí. Právě proto je tento příběh dobrým příkladem praktického významu švýcarského postoje.
  17. Co to všechno znamená pro soukromé osoby, které nepracují ve veřejném sektoru?
    Také soukromé osoby by měly mít větší povědomí o tom, kde jsou jejich údaje uloženy. Mnoho lidí dnes automaticky používá mezinárodní platformy, aniž by zvažovali, jak daleko mohou tyto společnosti nahlížet do jejich digitálního života. Rozhodnutí Švýcarska je připomínkou toho, že byste neměli považovat své vlastní údaje jen za podružnou záležitost - bezpečnost totiž vždy začíná osobním rozhodnutím, komu důvěřujete.
  18. Jak se může situace vyvíjet v příštích letech?
    Je docela možné, že Švýcarsko tímto usnesením udává trend, který bude později převzat v EU. Diskuse o suverenitě se posiluje, nikoli oslabuje. Státy a společnosti si budou stále více uvědomovat, že cloud není přírodní zákon, ale možnost volby. A jako každou volbu ji lze přehodnotit - zejména pokud se v určitém okamžiku zdá, že rizika jsou větší než pohodlí.

Napsat komentář