Приетият в САЩ през 2018-та година Закон за облачните услуги (US CLOUD ACT), позволява на федералните агенции да задължават базирани в САЩ технологични компании да предоставят данни, които се съхраняват на техните сървъри. Компаниите са длъжни да предоставят данните, независимо дали сървърите се намират в САЩ или в чужбина. В обхвата на закона попадат и подразделения на компаниите, които оперират в чужбина, дори централите им да са извън САЩ.
Това на практика означава, че всички американски IT компании са задължени да предоставят всякакви данни на правителството си, дори и такива на чужденстранни клиенти, без да е необходимо по някакъв начин да ги уведомят за операцията.
Подобна практика влиза в противоречие с изискванията по GDPR и една европейска компания може да се окаже в неловко положение между двата закона, ако предпочете някой от тримата големи клауд доставчици, популярни още като хиперскейлъри.
Европейските облачни доставчици са обект на европейското законодателство и са задължени да отговарят на изискванията на GDPR. В случай, че не са правно обвързани с американска компания, те са извън обхвата на Закона за облачните услуги и данните на клиентите им са в безопасност в това отношение.
Европейският надзорен орган по защита на данните вече е изразявал опасенията си по отношение на тази част от американското закаонодателство. Подобни възражения е отправял и германският комисар по защита на данните.
Като част от европейската общност, българските компании трябва да имат предвид рисковете, които поемат предоставяйки достъп до информация на клиентите си на субекти извън или на границата на ЕС законодателството. Това се отнася в особена степен за финансови, банкови и кредитни институции, но важи и за всички други компании, опериращи с клиентски лични данни.
Използвани са материали от следните статии: