Czy Polska powinna wykluczyć amerykańskie chmury z przetargów?
Obowiązujące prawo pozwala polskiej administracji wykluczać amerykańskie podmioty z przetargów na usługi chmurowe. Mało tego, z przepisów RODO wynika, że nie tylko można z tego prawa korzystać, ale wręcz trzeba.
Zgodnie z CLOUD Act amerykańskie organy ścigania mogą mieć dostęp do danych, które na swoich serwerach przechowują amerykańskie firmy – niezależnie od tego, gdzie fizycznie znajdują się odpowiednie dyski. Podczas premiery raportu Instytutu Poznańskiego nt. suwerenności cyfrowej potwierdził to Marcin Krasuski, dyrektor ds. polityki publicznej Google CLOUD na Europę Środkowo-Wschodnią.
CLOUD Act i dostęp do danych poza UE
To oznacza, że jeśli polska administracja, służby albo zakłady ochrony zdrowia korzystają z amerykańskiej chmury, to amerykańskie służby mogą mieć dostęp do wszystkich dokumentów, które są tam przechowywane. Chodzić może o każdy rodzaj dokumentów, a więc na przykład o wnioski o rejestrację samochodów, wypłaty świadczeń socjalnych, dokumentację medyczną, informacje zgromadzone w toku śledztw przez policję, prokuraturę czy sąd, oraz o służbową korespondencję polskich urzędników. Wiedza czy zgoda osoby lub firmy, której te dane dotyczą, nie jest potrzebna.
Tymczasem administracja krajowa jest zobowiązana troszczyć się o to, by dane obywateli były odpowiednio zabezpieczone, także przed wglądem służb państw trzecich. Ta troska obejmuje skrupulatne przyglądanie się uwarunkowaniom partnerów, z którymi współpracuje. Zatem w świetle CLOUD Act żadna amerykańska firma nie powinna być do przetwarzania tych danych dopuszczona.
Zdaniem prawników z kancelarii WKB Lawyers – którzy przygotowali opinię w tej sprawie na zlecenie polskiej firmy chmurowej, a ta z kolei udostępniła tę opinię mnie – oznacza to, że polska administracja ma podstawę do wykluczania amerykańskich firm technologicznych z przetargów na rozwiązania chmurowe.
Prawo zamówień publicznych a firmy z USA
Oczywiście co do zasady polski sektor publiczny ma obowiązek traktować podmioty z USA na równych zasadach jak te z Polski czy innych państw Unii Europejskiej. Ma też jednak prawo, jak piszą prawnicy, „ustanowić warunki ograniczające pewnym kategoriom wykonawców udział w przetargu (niezależnie od ich pochodzenia), jeśli tylko ograniczenia te są proporcjonalne i niezbędne dla realizacji obiektywnie uzasadnionych potrzeb zamawiającego”. Prawnicy nie mają wątpliwości, że troska o poufność danych czy kwestie cyberbezpieczeństwa są „obiektywnie uzasadnionymi potrzebami” polskiej administracji.
Ich zdaniem zgodnie z przepisami RODO każdy podmiot administracji publicznej, wybierając dostawcę usług chmurowych, jako administrator przetwarzanych danych, powinien analizować powiązania kapitałowe dostawców i oceniać ryzyko, że dane zostaną udostępnione organom innych państw. Podstawą do wątpliwości jest nie tylko ulokowanie firmy poza Europejskim Obszarem Gospodarczym, ale też powiązanie korporacyjne podmiotu europejskiego z podmiotami spoza UE.
Tak długo, jak obowiązuje CLOUD Act, oczywiste jest w świetle polskiego prawa ryzyko udostępnienia danych przechowywanych na serwerach kontrolowanych przez firmy z USA podmiotom do tego nieuprawnionym. Jednocześnie obowiązująca ustawa Prawo zamówień publicznych umożliwia polskiej administracji ograniczenie dostępu do przetargów wykonawcom, których udział w postępowaniach wiąże się z takim ryzykiem. To oznacza, że wykluczanie amerykańskich dostawców z dostarczania usług chmurowych dla polskiej administracji jest legalne już dziś i nie potrzeba do tego zmian w prawie. A w świetle innych przepisów wydaje się wręcz obowiązkiem.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu