Nowe ustawodawstwo europejskie regulujące swobodny przepływ danych nieosobowych jako ważny etap walki z praktykami vendor lock-in

9 listopada 2018 roku zostało przyjęte rozporządzenie dotyczące swobodnego przepływu danych nieosobowych w granicach UE. Określany mianem „piątej swobody”, obok swobodnego przepływu osób, towarów, usług i kapitałów, zestaw przepisów „Free Flow of Non Personal Data (FFoD)” stanowi uzupełnienie rozporządzenia RODO. W przypadku dostawców infrastruktury chmurowej regulacja zostanie wdrożona dzięki specjalnemu europejskiemu kodeksowi postępowania, w którego powstaniu OVH brało aktywny udział. Rozmowa z Albanem Schmutzem, wiceprezesem ds. strategicznego rozwoju oraz Public Affairs w OVH.

 

Co sądzi Pan o tej nowej regulacji europejskiej?

Alban Schmutz: To nowe europejskie rozporządzenie jest uzupełnieniem RODO. Nawet jeśli jest ono mniej medialne, ze względu na swój wymiar B2B, to stanowi kluczowy etap w konstrukcji jednolitej przestrzeni europejskiej dla swobodnego przepływu danych. Nowa regulacja nie tylko znosi geograficzne ograniczenia związane z przechowywaniem i przetwarzaniem danych nieosobowych na terenie Europy (co głównie dotyczy struktur publicznych), ale również ułatwia klientom dostawców usług chmurowych (infrastruktur lub oprogramowania) zmianę usługodawcy.

Jest to więc bardzo dobra wiadomość dla europejskich dostawców, ale przede wszystkim dla ich klientów. Poza stworzeniem prawdziwie wolnej przestrzeni pomiędzy członkami UE, przepisy te umożliwią rozwój europejskiego rynku danych oraz wzrost PKB w wysokości 4%, czyli około 8 miliardów euro rocznie, według przewidywań firmy Deloitte.

 

Jaki jest bezpośredni wpływ rozporządzenia na OVH i jej klientów?

A.S. : Jesteśmy w szczególności zainteresowani artykułem 6 FFoD, który przyniesie bezpośrednie korzyści dla naszych klientów. Opisuje on w sposób szczegółowy zasady przenoszenia danych nieosobowych w Europie od jednego dostawcy do drugiego, bez żadnych ograniczeń. Stanowi to ważny etap w walce z praktykami typu „vendor lock-in” stosowanymi przez niektórych dostawców, którzy mogą blokować lub w poważnym stopniu utrudniać ewentualne migracje do innych usługodawców. Od teraz CIO (Chief Information Officers) oraz dyrektorzy działów IT będą mieli więcej swobody przy tworzeniu warunków wolnej konkurencji i na powrót przejmą kontrolę nad negocjacjami. Naszym zdaniem jest to niezwykle istotna regulacja, w pełni odzwierciedlająca wartości, których bronimy od momentu powstania OVH: wolności wyboru i propagowania standardów otwartych. Możliwość przenoszenia danych nieosobowych pozwala zagwarantować ich odwracalność. Idealnie byłoby pójść o krok dalej, między innymi w dziedzinie automatyzacji, ale nie tego dotyczy rozporządzenie.

 

W jaki sposób upewnić się, że regulacja będzie właściwie wdrażana?

A.S.: Aktualny rozwój sytuacji ustawodawczej w kwestii swobodnego przepływu danych nieosobowych zobowiązuje podmioty europejskiego rynku do opracowania odpowiednich kodeksów podstępowania, aby zagwarantować skuteczne wdrożenie nowych przepisów. Wraz z CISPE (Cloud Infrastructure Services Providers in Europe) - europejską koalicją dostawców infrastruktury chmurowej - oraz we współpracy z europejskim stowarzyszeniem EuroCIO, zrzeszającym CIOs, OVH już na początku 2018 roku podjęło w tym kierunku działania, redagując kodeks dla usług IaaS (Infrastructure as a Service). Został on włączony w sformalizowany proces, nad którym Komisja Europejska rozpoczęła pracę w kwietniu 2018 r. Projekt nosi nazwę SWIPO (SWItching and POrting) i podzielony jest na dwie grupy robocze (IaaS i SaaS). Ostateczna wersja kodeksu postępowania dla IaaS zostanie opublikowana w ciągu najbliższych tygodni.

 

Kiedy te nowe przepisy wejdą w życie?

A.S.: Ustawa została przegłosowana w Parlamencie Europejskim 4 października 2018 r. 9 listopada została przyjęta wersja wspólna i ostateczna pomiędzy Parlamentem Europejskim a Radą (państwami członkowskimi Unii Europejskiej). Zatwierdzony tekst został opublikowany w Dzienniku Urzędowym UE 28 listopada 2018 r. Ostateczna wersja kodeksu została przez nas oficjalnie przedstawiona 4 grudnia 2018 r. w Wiedniu, przy okazji wielkiego wydarzenia ICT2018, organizowanego przez Komisję Europejską. Dokumenty uzupełniające z przykładami zastosowania będą dostępne w lutym 2019. Kodeks będzie zatem stopniowo wdrażany w ciągu roku przez dostawców, którzy zobowiążą się do jego przestrzegania.

 

Jaki będzie kolejny etap?

A.S.: Przede wszystkim, poza samym naszym wkładem na rzecz Infrastruktury Cloud (IaaS), trzeba będzie upewnić się, że wszystkie usługi chmurowe są wzięte pod uwagę, między innymi SaaS. Zarówno dla naszych klientów, jak i z punktu widzenia innowacji i zdrowia europejskiego ekosystemu technologicznego, jest rzeczą konieczną, by upewnić się, że rynek Cloud w całości pozostaje otwarty i przestrzega zasady odwracalności. Następnie, podobnie jak to miało miejsce w przypadku regulacji RODO, której wymagania przejęły kraje spoza UE, dostosowując je do swojego wewnętrznego ustawodawstwa, rozporządzenie powinno wywołać efekt kuli śnieżnej. Tego typu regulacja potrzebna jest CIOs na całym świecie, dlatego będą oni wymagać od swoich dostawców takich samych gwarancji, jakie otrzymali w krajach europejskich. Unia Europejska, już po raz drugi od kiedy zaczęło obowiązywać RODO, będzie miała okazję do udowodnienia swojego wpływu na ogólnoświatowe ustawodawstwo.