Digitální suverenita v dokumentové infrastruktuře: co to znamená a proč na tom záleží

„Hostováno v EU” není totéž co „suverénní v EU.” Toto rozlišení je zdrojem většiny problémů se shodou, které organizace objevují příliš pozdě: po posouzení dopadu přenosu dat, po regulatorním šetření nebo poté, co dodavatel změní podmínky.

U dokumentů s právní váhou není otázka suverenity akademická. Určuje, zda vaše organizace kontroluje vlastní důkazy, nebo zda je tato kontrola delegována na dodavatele za podmínek, které se mohou měnit.

Co suverenita znamená pro dokumentovou infrastrukturu

Suverenita nad dokumentovou infrastrukturou znamená:

Rezidence dat: dokumenty jsou uloženy na infrastruktuře fyzicky umístěné v jurisdikci, kde se uplatňuje příslušný zákon o ochraně dat, a žádná kopie není uchovávána ani zpracovávána mimo tuto jurisdikci bez výslovného souhlasu.

Řízení přístupu bez výjimek pro dodavatele: dodavatel nemůže přistupovat k vašim dokumentům jinak, než za podmínek, které jste výslovně odsouhlasili. To vylučuje přístup za účelem údržby ze strany dodavatele, žádosti orgánů činných v trestním řízení na základě cizího práva a přístup mateřských společností v jiných jurisdikcích.

Přenositelnost důkazů: můžete exportovat všechny dokumenty, auditní stopy, razítka a balíčky důkazů ve formátu ověřitelném bez účasti dodavatele. Pokud dodavatel zítra zanikne, vaše důkazy zůstanou platné.

Žádná expozice vůči cizí jurisdikci: dodavatel nepodléhá zákonům, které nařizují zpřístupnění cizím vládám nebo agenturám, jako je americký CLOUD Act nebo odpovídající legislativa v jiných jurisdikcích.

Proč „hostováno v EU” nestačí

Cloudová služba může hostovat data v datových centrech EU a přitom stále podléhat jurisdikci mimo EU. Pokud je provozující společnost registrována ve Spojených státech, její mateřská společnost sídlí v USA nebo je vázána americkým právem jiným způsobem, může být na základě CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) donucena poskytnout data uložená v zařízeních EU americkým orgánům činným v trestním řízení, bez vědomí nebo souhlasu subjektu údajů.

Soudní dvůr EU (SDEU) zneplatnil ve věci Schrems II v roce 2020 štít EU-USA pro ochranu soukromí přesně proto, že americké právo v oblasti dohledu znemožňuje adekvátní ochranu osobních údajů přenášených do nebo přístupných subjektům kontrolovaným z USA. Následný rámec ochrany osobních údajů EU-USA se od přijetí nachází v právní nejistotě.

U dokumentů obsahujících osobní údaje (a to zahrnuje faktury, personální záznamy, smlouvy a zdravotní dokumenty) není dodavatel podléhající americké jurisdikci, který ukládá data v datových centrech EU, suverénním řešením. Rezidence dat je v EU; právní expozice není.

Problém vendor lock-in specifický pro důkazy dokumentů

Většina platforem pro dokumenty vytváří uváznutí, které je neviditelné, dokud se nepokusíte odejít. U dokumentů bez právní váhy jde o nepohodlí. U dokumentů sloužících jako právní důkazy jde o strukturální riziko.

Konkrétní mechanismy uváznutí, na které je třeba dávat pozor:

Proprietární formáty auditních stop: Pokud auditní stopa dodavatele není exportovatelná ve formátu, který lze ověřit, váš řetězec kontroly závisí na provozuschopnosti systému dodavatele a přístupnosti jeho API. Pokud je dodavatel převzat, zanikne nebo změní API, váš řetězec kontroly se může stát neověřitelným.

Razítka od autorit kontrolovaných dodavatelem: Pokud jsou RFC 3161 razítka na vašich dokumentech vydávána TSA provozovanou dodavatelem, ověření těchto razítek po ukončení vztahu s dodavatelem vyžaduje jeho pokračující spolupráci. To je rozpor: razítko má být nezávisle ověřitelné.

Neprůhledné validační záznamy: Pokud jsou validační zprávy v balíčku důkazů lidsky čitelným HTML spíše než strojově zpracovatelná strukturovaná data, budoucí auditor nemusí být schopen reprodukovat validaci bez jejího opakování, což mu nic neřekne o tom, zda byl dokument platný v době archivace.

Test skutečné suverenity: Můžete vzít své dokumenty a balíčky důkazů k technicky způsobilé třetí straně, která s vaším dodavatelem nikdy neinteragovala, a nechat ji ověřit integritu a původ každého dokumentu pomocí pouze otevřených standardů a infrastruktury veřejného klíče?

Pokud je odpověď ne, vaše důkazní infrastruktura není suverénní.

GDPR a povinnosti uchovávání dokumentů

GDPR vytváří specifická napětí s dlouhodobým uchováváním dokumentů. Článek 5(1)(e) vyžaduje minimalizaci dat: osobní údaje by neměly být uchovávány déle, než je nezbytné. Článek 17 zavádí právo na výmaz. Ale národní daňové zákony vyžadují uchovávání faktur (které obsahují osobní údaje) po dobu sedmi až deseti let.

Řešení je výjimka z uchovávání v článku 17(3)(b) GDPR: povinnosti výmazu se neuplatní tam, kde je zpracování nezbytné pro splnění právní povinnosti. Uchovávání faktur podle GoBD, francouzského fiskálního zákoníku nebo belgického zákona o DPH se kvalifikuje.

Praktický důsledek pro suverenitu: pro každý uchovávaný dokument musíte být schopni prokázat, že uchovávání je kryto konkrétní právní povinností a že doba a rozsah uchovávání nejsou širší, než tato povinnost vyžaduje. Jde o požadavek na dokumentaci a auditní stopu, nikoli pouze o požadavek na úložiště.

Jak vypadá suverénní dokumentová infrastruktura

Suverénní dokumentová infrastruktura splňuje tato kritéria:

1. Provozována subjektem začleněným a působícím výhradně v jurisdikci s odpovídající ochranou dat (členské státy EU tuto laťku pro data EU splňují)
2. Žádná mateřská společnost, investiční struktura ani smluvní ujednání, které by vytvářely expozici vůči jurisdikci mimo EU
3. Balíčky důkazů exportovatelné v otevřených, ověřitelných formátech (PDF/A-3, CMS tokeny razítek, JSON auditní stopy)
4. RFC 3161 razítka od TSA zapsaných na důvěryhodném seznamu EU, nikoli od TSA provozovaných dodavatelem
5. Hašové řetězce ověřitelné pomocí open-source nástrojů bez účasti dodavatele
6. Možnost vlastního hostování pro organizace vyžadující úplnou kontrolu nad infrastrukturou

Bod 6 je zvláště relevantní pro vládní orgány, regulované finanční instituce a provozovatele kritické infrastruktury, kteří mohou mít požadavky vylučující použití jakékoli třetí stranou hostované služby bez ohledu na jurisdikci.

SealDoc a suverenita EU

SealDoc provozuje výhradně na infrastruktuře EU pod jurisdikcí EU. Neexistuje žádný vztah s mateřskou společností, který by vytvářel expozici vůči cizí jurisdikci.

Balíčky důkazů vytvářené SealDoc jsou nezávisle ověřitelné: RFC 3161 razítka od TSA na důvěryhodném seznamu EU, hašové řetězce ověřitelné pomocí SHA-256 a auditní stopy exportované jako strukturovaný JSON. Ověření nevyžaduje žádné volání API na SealDoc ani pokračující vztah se SealDoc.

Pro organizace vyžadující nasazení on-premises nebo v privátním cloudu SealDoc podporuje vlastní nasazení na vaší infrastruktuře. Formát důkazů je identický s hostovanou verzí, takže migrace z hostované na vlastní nebo zpět neovlivní ověřitelnost dříve vydaných balíčků důkazů.

Základní princip je, že důkazy by měly přežít jakýkoli konkrétní vztah s dodavatelem. Pokud SealDoc v roce 2038 přestane existovat, každý balíček důkazů vydaný dnes by měl být stále ověřitelný auditorem s implementací SHA-256 a veřejným certifikátem TSA.