Evropský parlament v listopadu 2018 vydal nařízení pro volný tok dat v rámci Evropské unie. Je velmi pozitivní, že toto nařízení prakticky nic neomezuje, ale spíše uvolňuje uložení a zpracování dat v cloudech mimo Česko a to primárně pro státní správu.
Nařízení stanovuje, že jakékoli omezující požadavky na lokalizaci (místního uložení) údajů jsou zakázány, ledaže jsou odůvodněny veřejnou bezpečností daného členského státu. V praxi to například znamená, že náš kybernetický zákon nesmí předepisovat, že data KII/VIS nesmí opustit ČR. Ledaže by se data týkala veřejné bezpečnosti nebo Česko obhájilo u Evropské komise výjimku. Do oblasti veřejné bezpečnosti patří například ohrožení chodu veřejných institucí a základních veřejných služeb a přežití obyvatelstva, vážné narušení zahraničních vztahů nebo mírového soužití národů. Za národní bezpečnost nesou výlučnou odpovědnost jednotlivé členské státy, tzn. že také data ohrožující vojenské zájmy mohou zůstat v členském státě. Všechna ostatní data mohou být bez omezení uložena a zpracovávána kdekoli na území EU. Na zpracování údajů v jiném členském státě by se měly i nadále vztahovat veškeré bezpečnostní požadavky týkající zpracování údajů, které jsou na základě práva Unie nebo vnitrostátního práva, tzn. že když data VIS budou uložena třeba v Německu, musí jejich bezpečnost být v souladu s naším kybernetickým zákonem.
Autoři nařízení tento záměr obhajují podporou svobody podnikání a volného trhu výrobků a služeb. Současný stav může vést k nedostatečné konkurenci mezi poskytovateli cloudových služeb v Unii. Nevím, jak v Česku, ale možná v jiných zemích poskytování cloudových služeb však ztěžují nebo někdy znemožňují některé vnitrostátní, regionální nebo místní požadavky, aby údaje byly umístěny na určitém území. Proto do 30. května 2021 členské státy musí zrušit všechny stávající požadavky na lokalizaci údajů stanovené v lokálních zákonech.
Tímto nařízením není dotčen právní rámec o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, tedy nařízení GDPR. Nicméně i toto nařízení říká, že členské státy nesmějí omezit ani zakázat volný pohyb osobních údajů v Unii.
Zajímavý bod je, že členské státy musí na jednotném vnitrostátním online informačním místě zveřejnit informace omezující pohyb a uložení údajů. Toto zřejmě bude zajišťovat MV nebo možná NUKIB. Musí tedy existovat oficiální a veřejná informace někde na webu, která data musí zůstat v ČR a proč.
Osobně takové nařízení vítám, nicméně nejsem si vědom zásadního dopadu pro Česko. Neznám legislativu, která by dnes omezovala využívání cloudů mimo ČR. Tvůrci budoucí cloudové vyhlášky možná mírně omezí využívání mimo-českých cloudů, ale i tak to musí být v souladu s nařízením 2018/1807.
