Január elsejétől a Microsoft megkezdi az EU Data Boundary fokozatos bevezetését, amely adathatárt húz az Európában keletkezett adatok elé, jelentette be tegnap a a vállalat a blogján. Az adathatár az Európai Unió, az EFTA és az Európai Szabadkereskedelmi Társulás országaira (Izland, Liechtenstein, Norvégia és Svájc) is vonatkozik.

A Julie Brill adatvédelemi politikáért felelős alelnök, valamint az Azure termékekért felelős alelnök, Erin Chapple jegyezte poszt szerint Redmond januártól mind az üzleti, mind a közszférából érkező ügyfeleknek lehetőséget biztosít arra, hogy adataikat az Európai Unió területén lévő adatközpontban tárolják és dolgozzák fel. A Microsoft ezt a lehetőséget a teljes online felhős szolgáltatáscsomagjára biztosítja, beleértve a Microsoft 365-öt, a Dynamics 365-öt, a Power Platformot és az Azure szolgáltatásait.

Legalább egy évig építik a kerítést

Az átállás nem megy gombnyomásra. A tervek szerint a teljes EU-s adathatár csak 2024-re épül fel. Az ügyfelek a felhős szolgáltatásokat 2023. január elsejétől használhatják az EU Data Boundary feltételeivel. Ehhez bővítik is az Unió területén kiépített adatközpontjaikban a tárolási és feldolgozási kapacitást, amivel jelentősen csökkentik az Európából kifelé irányuló adatáramlást.

Ezzel párhuzamosan megkezdik az EU-n kívül tárolt felhasználói adatok áthelyezését az itteni adatközpontokba. A következő két lépés pedig a naplóadatok és a terméktámogatási folyamatok áthelyezése. A Microsoft szerint 2024-ig minden ügyfélspecifikus adat átkerül Európába.

A Microsoft igyekszik hangsúlyozni: felhőszolgáltatásai már most is megfelelnek az uniós követelményeknek, sőt annál is szigorúbbak, így az EU Data Boundary nélkül is használhatják közszférában dolgozó szervezetek és piaci cégek egyaránt. Az új keret csak egy plusz biztosíték. Arra azonban nem adnak magyarázatot, hogy ha valóban így van, miért van szükség egy évre, hogy teljesen felálljon az új rendszer.

A reális helyzetet talán jobban tükrözi az az állásfoglalás, amit a legfőbb német adatvédelmi szervezet, a Datenschutzkonferenz (DSK) két évnyi vizsgálódás után a közelmúltban adott ki. A Microsofttal törtlénő egyeztetések után arra jutottak, hogy a Microsoft 365 adatkezelése sérti a GDPR-t, így azt sem az iskolákban, sem a közszférában nem lehetne törvényesen használni.

A DSK állásfoglalása kapcsán felmerült az is, hogy hiába üzemeltet a Microsoft az EU-ban másfél tucat adatközpontot, az európai ügyfelek ott tárolt adatait egyelőre semmi sem védi két amerikai törvény, a 2018-as CLOUD Act és a FISA 702 rendelkezéseivel szemben. Előbbi értelmében az amerikai bűnüldöző szervek bizonyos esetekben akár a határokon túlról is begyűjthetnek személyes adatokat, míg utóbbi szinte korlátlan hozzáférést biztosít az amerikai titkosszolgálatoknak minden olyan adathoz, amit amerikai joghatóság alá tartozó vállalkozás kezel. A lassan formálódó új transzatlanti adatcsere-egyezmény talán ezen is segít.