Co projekt faktycznie proponuje
3 czerwca 2026 r. Komisja Europejska przyjęła wniosek dotyczący Cloud and AI Development Act, znanego jako CADA. To wniosek, a nie obowiązujące prawo. Musi jeszcze przejść przez negocjacje między Parlamentem Europejskim a Radą, a jego treść może się zmienić, zanim jakakolwiek jego część stanie się wiążąca. Jest to zatem sygnał co do kierunku, a nie reguła, którą trzeba dziś spełniać. Kierunek jest jednak na tyle jasny, by wokół niego planować.
Dla nabywców istotny jest jednolity, ogólnounijny ramowy system, który ocenia dostawców chmury i AI według czterech unijnych poziomów gwarancji. Najniższy poziom pomyślano jako podstawę dla obsługi sektora publicznego, z wąskimi wyjątkami. Wyższe poziomy stosują się tam, gdzie dostawca wspiera funkcje związane z porządkiem publicznym, po ocenie ryzyka przez państwa członkowskie i organy Unii, w sektorach takich jak energetyka, ochrona zdrowia, transport, gospodarka wodna, egzekwowanie prawa, zarządzanie granicami, bezpieczeństwo narodowe i obronność. Krótko mówiąc, im bardziej wrażliwa rola, tym wyższa poprzeczka, którą dostawca musi przekroczyć.
Dlaczego amerykańscy hiperskalerzy trafiają na sufit
Wyższe poziomy gwarancji, jak podają doniesienia, patrzą poza lokalizację centrum danych i sięgają do tego, kto jest właścicielem dostawcy, kto kontroluje jego działalność oraz czy usługę można osłonić przed prawem spoza UE. Właśnie ten ostatni test jest miejscem, w którym duzi amerykańscy dostawcy napotykają strukturalne ograniczenie. Na mocy amerykańskiej ustawy CLOUD Act firma z siedzibą w USA może zostać zmuszona do wydania danych, które kontroluje, niezależnie od tego, gdzie na świecie te dane fizycznie się znajdują. Europejski region danych nie usuwa tego zasięgu.
Nie jest to twierdzenie, że AWS, Microsoft czy Google są niebezpieczne ani że dotyczy to większości obciążeń. Dla ogromnej większości danych biznesowych pozostają silnym, głównonurtowym wyborem. Chodzi o coś węższego i o sam szczyt skali. Dla najbardziej wrażliwych kategorii, w które celuje projekt, dostawca kontrolowany przez USA nie może w pełni zagwarantować izolacji prawnej, ponieważ obcy porządek prawny wciąż może wysunąć roszczenie wobec danych. To kwestia jurysdykcji, a nie inżynierii, i dlatego dokładne kryteria dla poszczególnych poziomów w załącznikach do projektu warto śledzić w miarę negocjowania tekstu.
Zamień zależność w kontrolę zamówieniową
Przez lata suwerenność chmury traktowano jako abstrakcyjne ryzyko zależności, łatwe do odnotowania i łatwe do odłożenia. CADA przeramowuje je w coś konkretnego: bramkę w momencie podpisu. Jeśli umowa dotyka danych regulowanych lub naprawdę wrażliwych, jurysdykcja, której podlega twój dostawca, staje się warunkiem transakcji, a nie przypisem. Ta zmiana nagradza nabywców, którzy zadają to pytanie wcześnie, a karze tych, którzy odkrywają je podczas audytu lub odnowienia.
Wyważoną odpowiedzią jest ocena ryzyka jurysdykcyjnego przed podpisaniem lub odnowieniem. Zmapuj, które z twoich danych trafiłyby do wrażliwych kategorii opisanych w projekcie, ustal, kto ostatecznie jest właścicielem i kontroluje każdego dostawcę, oraz sprawdź, co twoje umowy mówią o obcym dostępie prawnym, lokalizacji danych i wyjściu. Tam, gdzie ryzyko jest realne, możesz zostawić codzienne obciążenia tam, gdzie są, a jedynie wrażliwy poziom skierować do dostawcy, który spełnia wyższy poziom gwarancji. Nic z tego nie jest poradą prawną, a tekst może się zmienić, lecz sama ocena kosztuje niewiele i dobrze cię ustawia niezależnie od tego, jaki kształt przyjmie ostateczne prawo.
Czytaj dalej: Twoje AI mówi teraz za Ciebie w świetle prawa · Amerykanski termin kwantowy siega Twoich dostaw