Naše citlivá data jsou v ohrožení. Evropa potřebuje datovou strategii!
Pandemie covid-19 měla za poslední roky obrovský vliv na urychlenou celosvětovou digitalizaci, a to včetně všech veřejných a soukromých institucí a úřadů. Do internetového prostoru se postupně převedly všemožné aktivity: od schůzek a workshopů až po hlasování v Evropském parlamentu, které probíhalo až na výjimky online.
Klíčové evropské instituce teď využívají software a služby různých společností, jako je Microsoft nebo Apple, které sídlí ve Spojených státech. To je ale problém – citlivá data se kvůli tomu nachází mimo prostor EU, kde zdaleka neplatí stejné standardy na ochranu dat.
To s sebou nese obrovská rizika. Evropská unie se sice částečně poučila z odhalení whistleblowera Edwarda Snowdena a PRISM. Tyto případy poukázaly na masivní sledování soukromých dat v USA a spolupráci amerických firem s tajnými službami na sledování uživatelů. Pomyslná náplast, tedy vytvoření legislativ na ochranu dat, jako je GDPR, ale problém ani zdaleka neřeší.
Trvá tak nepříznivý stav, kdy se citlivá data evropských institucí nachází v (ne)milosti soukromých amerických firem.
Jako Piráti stojíme za tím, že osobní a citlivá data mají zůstat soukromá a hlavně v bezpečí. Evropské instituce proto musí dodržovat vlastní zákony a zajistit, aby evropská data neunikala do třetích zemí.
Data se musí chránit – víme jak!
S probíhající digitalizací přirozeně roste nutnost klíčová data chránit před vnějším vlivem. Čím později budeme tento problém řešit, tím komplikovanější celý proces bude – a tím víc riskujeme únik důležitých dat. S Piráty proto tlačíme na Komisi s návrhy, jak takové situaci co nejlépe zabránit.
Jako první by měly evropské instituce zrevidovat své smlouvy s americkými IT giganty. Dosavadní příliš obecné parametry jednotlivých smluv vytváří pro společnosti prostor ke zneužívání své dominantní pozice na trhu. Pokud sjednáme nové smlouvy jako jeden celek, můžeme přesvědčit IT firmy k ukládání dat v EU a zároveň následovat evropská pravidla.
Citlivá a důležitá data by neměla opouštět prostory EU. Nesmí prostě nastat situace, že se najednou v třetích zemích bude obchodovat s citlivými informacemi Evropanů. Lepší by bylo volit firmy sídlící v EU, které podléhají její legislativě a místním bezpečnostním standardům.
Abychom nejlépe zaručili evropskou datovou nezávislost, jak pro instituce, tak pro jejich občany, musíme začít rozvíjet vlastní software a hardware. Ideální by bylo se zaměřit na podporu vývoje open hardware a open source softwaru. Právě ty mohou být auditovány a případně dále rozvíjeny dalšími uživatelskými komunitami, které je budou chtít využívat. Potřebujeme také podpořit stavbu evropských datových center pro použití veřejným sektorem jako součást kritické veřejné infrastruktury.
Evropská unie má k dispozici úřady, které se jí v ochraně osobních a citlivých údajů pomáhají. Jmenovitě Evropský inspektor ochrany údajů (EDPS), který existuje už od roku 2004. Komise a instituce by měly úřadu vycházet co nejlépe vstříc a aplikovat jím navržené změny.
V poslední řadě potřebujeme zajistit, aby digitalizace a transformace EU na digitální platformy proběhla plošně a přehledně. Všechny úřady a instituce musí chápat rizika možného vnějšího zásahu cizími vládami, které mohou citlivá data zneužít k destabilizaci Evropy.
Firmy si určují pravidla
Pár let zpátky EDPS začal vyšetřovat využívání produktů od Microsoftu v evropských institucích. Výsledkem studie bylo značné znepokojení a obavy kolem souladu příslušných smluvních podmínek s pravidly ochrany údajů a role společnosti Microsoft jako zpracovatele pro instituce EU využívající její produkty a služby.
Jak naznačují výsledky studie, většina smluv evropských institucí s providery služeb zavinila, že EU ztratila moc nad svými IT daty. Podmínky ve smlouvách o službách si totiž určovali sami poskytovatelé IT služeb a postavili tak EU až na druhou kolej.
Evropská data mimo Evropu
Závislost evropských institucí na obrovských IT gigantech, jako jsou Microsoft, Apple nebo Google, je obrovská. Čím dál tím více dat se ukládá do cloudových platforem nebo softwaru těchto společností. Momentálně musíme pouze doufat, že je dokážou dostatečně ohlídat a nikam je zároveň nebudou dál posílat nebo zneužívat pro osobní prospěch.
To se bohužel ale neděje. Obrovští technologičtí giganti z většiny ukládají svá data na serverech mimo prostor Evropské unie – tedy tam, kde neplatí komplexní legislativa o ochraně osobních dat a soukromí. Osobní data přitom nejsou jenom informace jako jména, fotografie a telefonní čísla, ale třeba i IP adresy poskytované koncovými uživateli komunikačních služeb.
Všechna taková, ale i citlivější data jsou při využívání služeb těchto firem v ohrožení. Bohužel si to ale často neuvědomují ani samy ohrožené instituce. Evropský účetní dvůr například kvůli pandemii přesunul své fungování do prostoru Microsoft Teams. Na otázky, zda si uvědomuje rizika používání MS Teams, mi odpověděl, že by bez MS Teams nebyl schopný online fungovat. Zároveň prý také dohlíží nad svými zaměstnanci, aby si zbytečně nepředávali citlivá data. Jak Evropský účetní dvůr něco takového dokáže, je mi ale naprostou záhadou.
Lepší dřív než později
Problém vystavení dat prostoru mimo Evropu asi nebude to nejzajímavější téma, které by se momentálně na půdě EU dalo řešit. Prevence je ale naprosto kritická. Ochrana soukromí a ochrana před únikem citlivých dat může předcházet obrovským problémům jak pro naše společné instituce, tak hlavně pro nás, občany.
Řešení potenciální budoucí krize máme a víme co s tím můžeme dělat. Důležité je proto nečekat na to, až problém nastane, ale začít konat už teď. Nemůžeme nadále riskovat neustálé sledování a ohrožovat naše soukromí.