Cloud and AI Development Act a rozhodnutí o odpovídající ochraně podle čl. 45 GDPR

Evropská komise zveřejnila na začátku června návrh Aktu o rozvoji cloud computingu a umělé inteligence (Cloud and AI Development Act, zkratka CADA). Cílem návrhu je posílit ekosystém, investice a infrastrukturu EU v oblasti cloud computingu a umělé inteligence.

CADA má obecně posílit kapacity a schopnosti EU v oblasti cloudu a AI a urychlit jejich rozvoj, a to včetně výstavby datacenter.  

Návrh se zaměřuje konkrétně na tyto tři cíle:

1. Výzkum, vývoj a inovace: podpora úsilí o zavedení nové generace špičkových a udržitelných cloudových technologií a technologií umělé inteligence

2. Kapacita: urychlení podmínek pro zavádění datových center v celé EU se zaměřením na zařízení, která posilují základní funkce veřejného sektoru

3. Autonomie: zavedení jednotného celounijního rámce pro posuzování suverenity v oblasti cloud computingu a umělé inteligence spolu s mechanismem pro přijímání opatření ve veřejném sektoru

Posilování technologické suverenity EU

Jedním z důležitých bodů CADA je právě autonomie EU. Ta je upravena zejména v kapitole IV návrhu (čl. 16 a násl.). Ta zavádí unijní rámec suverenity cloud computingu, který zahrnuje čtyři „úrovně záruky“. Ty musí poskytovatelé služeb cloud computingu splnit, aby mohli poskytovat své služby cloud computingu subjektům Unie a subjektům veřejného sektoru členských zemí. Úroveň 1 klade nejméně požadavků, úroveň 4 jich pak klade nejvíce. Pro jaké činnosti bude třeba využít jednotlivé úrovně, řeší čl. 29 a 30 CADA (bude se primárně vycházet z vyhodnocení rizik konkrétního řešení).

Poskytovatelé služeb se pro jednotlivé úrovně záruk budou muset certifikovat u příslušných národních orgánů. Požadavky na certifikaci jsou stanoveny v příloze č. 2 CADA. Příloha vychází z toho, že poskytovatelé samotní a jejich subdodavatelé musí být usazeni v EU (u subdodavatelů se rozlišuje tento požadavek u těch, kteří zajišťují pouze vedlejší činnost, podle úrovně záruky). Dalším důležitým požadavkem CADA je omezení míry kontroly dodavatele ze zahraničí – ze strany třetí země nebo právnické osoby (nikoliv však fyzické, byť ani to není bez významu, viz příloha č. 3 CADA) usazené ve třetí zemi.

Zde návrh opět rozlišuje podle úrovní záruky. Např. u úrovně 1 platí požadavek, že pokud poskytovatel služby cloud computingu podléhá kontrole třetí země nebo právnické osoby usazené ve třetí zemi, musí zaručit, že v této třetí zemi neexistují právní předpisy a praxe, které by vyžadovaly, aby poskytovatel služby cloud computingu oznamoval informace o softwarových zranitelnostech orgánům této třetí země dříve, než bude známo, že tyto zranitelnosti byly zneužity.  U nejvyšší úrovně 4 pak naopak platí striktní požadavek, aby auditovaný poskytovatel ani subdodavatelé zapojení do poskytování auditované služby nepodléhali kontrole třetí země nebo právnické osoby usazené ve třetí zemi.

Adequacy decision podle GDPR přispěje k vyšší úrovni záruky

Z hlediska rozhodnutí o odpovídající ochraně (tzv. adequacy decisions) podle čl. 45 GDPR je zajímavá zejména úroveň záruky 3. Zde CADA jako pravidlo stanoví, že ani poskytovatel ani subdodavatelé nebudou podléhat kontrole třetí země nebo právnické osoby usazené ve třetí zemi, nicméně na rozdíl od úrovně 4 umožňuje z tohoto pravidla výjimku pro tzv. uznané třetí země, což jsou státy, pro něž Evropská komise udělí výjimku ve smyslu čl. 18 CADA (pozn. - příloha č. 2 návrhu CADA zde nesprávně odkazuje na čl. 19).

Jednou z podmínek pro tuto výjimku pro úroveň 3 je přitom právě to, že se na dotčenou třetí zemi vztahuje příslušné rozhodnutí o odpovídající ochraně přijaté podle článku 45 GDPR. Z recitálu 61 návrhu CADA přitom vyplývá, že Komise může zohlednit i to, zda adequacy decision je plošné, či se vztahuje pouze na některé činnosti zpracování či odvětví (což je případ např. USA). Existence adequacy decision je tak nezbytnou podmínkou pro certifikaci dodavatele služeb cloud computingu, jenž je ovládán ze zahraničí, pro úroveň 3.

CADA je tak příkladem toho, jak může rozhodnutí o odpovídající ochraně podle čl. 45 významně ovlivnit možnost působení subjektů ze třetích zemí (či pod kontrolou osob ze třetích zemí) jejich působení na trhu EU. Pokud bude CADA v tomto znění přijata, posílí to opět význam adequacy decisions vydávaných Komisí.

‍