← Back to all articles

Cyfrowa suwerenność infrastruktury dokumentowej: co to oznacza i dlaczego ma znaczenie

SealDoc Team · · 5 min read

„Hostowane w UE” to nie to samo co „suwerenne wobec UE”. To rozróżnienie jest źródłem większości problemów z zgodnością, które organizacje odkrywają za późno: po ocenie skutków transferu danych, po zapytaniu regulatora lub po zmianie warunków przez dostawcę.

W przypadku dokumentów mających wartość prawną kwestia suwerenności nie jest akademicka. Decyduje o tym, czy Twoja organizacja kontroluje własne dowody, czy kontrola ta jest delegowana do dostawcy na zasadach, które mogą ulec zmianie.

Co oznacza suwerenność dla infrastruktury dokumentowej

Suwerenność nad infrastrukturą dokumentową oznacza:

Rezydencja danych: dokumenty są przechowywane w infrastrukturze fizycznie zlokalizowanej w jurysdykcji, w której obowiązuje stosowne prawo ochrony danych, i żadna kopia nie jest przechowywana ani przetwarzana poza tą jurysdykcją bez wyraźnej zgody.

Kontrola dostępu bez wyjątków dla dostawcy: dostawca nie może uzyskać dostępu do Twoich dokumentów poza warunkami, na które wyraźnie wyraziłeś zgodę. Wyklucza to dostęp dostawcy w celach konserwacyjnych, żądania organów ścigania na podstawie obcego prawa oraz dostęp przez spółki macierzyste w innych jurysdykcjach.

Przenośność dowodów: możesz wyeksportować wszystkie swoje dokumenty, ścieżki audytowe, sygnatury czasowe i paczki dowodowe w formacie weryfikowalnym bez udziału dostawcy. Jeśli dostawca zniknie jutro, Twoje dowody pozostają ważne.

Brak ekspozycji na obcą jurysdykcję: dostawca nie podlega przepisom nakazującym ujawnienie danych obcym rządom lub agencjom, takim jak ustawa CLOUD Act w USA lub równoważne przepisy w innych jurysdykcjach.

Dlaczego „hostowane w UE” nie wystarczy

Usługa chmurowa może przechowywać dane w centrach danych UE, jednocześnie podlegając jurysdykcji spoza UE. Jeśli spółka operacyjna jest zarejestrowana w Stanach Zjednoczonych, jej podmiot dominujący jest siedzibą w USA lub podlega prawu USA z innych powodów, może być zobowiązana na mocy CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) do przekazania danych przechowywanych w obiektach unijnych organom ścigania USA, bez wiedzy ani zgody podmiotu danych.

Trybunał Sprawiedliwości UE (TSUE) unieważnił tarcze prywatności UE-USA w 2020 roku (Schrems II) właśnie dlatego, że amerykańskie prawo nadzoru uniemożliwia odpowiednią ochronę danych osobowych przekazywanych podmiotom kontrolowanym przez USA lub dla nich dostępnych. Późniejsze Ramy Ochrony Danych UE-USA pozostają w prawnej niepewności od momentu ich przyjęcia.

W przypadku dokumentów zawierających dane osobowe (a należą do nich faktury, dokumenty HR, umowy i dokumentacja medyczna) dostawca podlegający jurysdykcji USA, przechowujący dane w centrach UE, nie jest suwerennym rozwiązaniem. Rezydencja danych jest europejska; ekspozycja prawna już nie.

Problem uzależnienia od dostawcy specyficzny dla dowodów dokumentowych

Większość platform dokumentowych tworzy uzależnienie od dostawcy, które jest niewidoczne aż do momentu próby wyjścia. W przypadku dokumentów bez wartości prawnej jest to niedogodność. W przypadku dokumentów stanowiących dowody prawne jest to ryzyko strukturalne.

Konkretne mechanizmy uzależnienia, na które należy zwrócić uwagę:

Zastrzeżone formaty ścieżek audytowych: jeśli ścieżka audytowa dostawcy nie jest eksportowalna w weryfikowalnym formacie, Twój łańcuch dowodowy zależy od działania systemu dostawcy i dostępności jego API. Jeśli dostawca zostanie przejęty, zaprzestanie działalności lub zmieni API, łańcuch dowodowy może stać się niezweryfikowalny.

Sygnatury czasowe od organów kontrolowanych przez dostawcę: jeśli sygnatury czasowe RFC 3161 na Twoich dokumentach są wystawiane przez TSA obsługiwane przez dostawcę, weryfikacja tych sygnatur po zakończeniu relacji z dostawcą wymaga jego dalszej współpracy. To sprzeczność: sygnatura czasowa ma być niezależnie weryfikowalna.

Nieprzejrzyste zapisy walidacji: jeśli raporty walidacyjne w Twojej paczce dowodowej są czytelnym dla człowieka HTML zamiast strukturalnymi danymi parsowalnymi maszynowo, przyszły audytor może nie być w stanie odtworzyć walidacji bez jej ponownego uruchomienia, co nic mu nie powie o tym, czy dokument był ważny w chwili archiwizacji.

Test prawdziwej suwerenności: czy możesz zabrać swoje dokumenty i paczki dowodowe do technicznie kompetentnej strony trzeciej, która nigdy nie miała kontaktu z Twoim dostawcą, i zlecić jej weryfikację integralności i proweniencji każdego dokumentu wyłącznie za pomocą otwartych standardów i infrastruktury klucza publicznego?

Jeśli odpowiedź brzmi nie, Twoja infrastruktura dowodowa nie jest suwerenna.

RODO i obowiązki przechowywania dokumentów

RODO tworzy specyficzne napięcia z długoterminowym przechowywaniem dokumentów. Artykuł 5 ust. 1 lit. e) wymaga minimalizacji danych: dane osobowe nie powinny być przechowywane dłużej niż jest to konieczne. Artykuł 17 ustanawia prawo do usunięcia danych. Jednak krajowe przepisy podatkowe wymagają przechowywania faktur (zawierających dane osobowe) przez siedem do dziesięciu lat.

Rozwiązaniem jest wyjątek dotyczący przechowywania z art. 17 ust. 3 lit. b) RODO: obowiązek usunięcia nie ma zastosowania, gdy przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego. Przechowywanie faktur na podstawie GoBD, francuskiego kodeksu podatkowego lub belgijskiego prawa VAT spełnia ten warunek.

Praktyczna implikacja dla suwerenności: musisz być w stanie wykazać dla każdego przechowywanego dokumentu, że przechowywanie jest objęte konkretnym obowiązkiem prawnym, a okres i zakres przechowywania nie są szersze niż ten obowiązek wymaga. Jest to wymóg dokumentacyjny i audytowy, a nie tylko wymóg magazynowy.

Jak wygląda suwerenna infrastruktura dokumentowa

Suwerenna infrastruktura dokumentowa spełnia te kryteria:

  1. Zarządzana przez podmiot zarejestrowany i działający wyłącznie w jurysdykcji zapewniającej odpowiednią ochronę danych (państwa UE spełniają ten standard dla danych europejskich)
  2. Brak spółki dominującej, struktury inwestycyjnej lub porozumień umownych tworzących ekspozycję na jurysdykcję spoza UE
  3. Paczki dowodowe eksportowalne w otwartych, weryfikowalnych formatach (PDF/A-3, tokeny sygnatur CMS, ścieżki audytowe JSON)
  4. Sygnatury czasowe RFC 3161 od TSA z unijnej Listy Zaufanych, a nie TSA obsługiwanych przez dostawcę
  5. Łańcuchy skrótów weryfikowalne za pomocą narzędzi open-source bez udziału dostawcy
  6. Opcja samodzielnego hostowania dla organizacji wymagających pełnej kontroli infrastruktury

Punkt 6 jest szczególnie istotny dla organów rządowych, regulowanych instytucji finansowych i operatorów infrastruktury krytycznej, które mogą mieć wymagania wykluczające korzystanie z usług osób trzecich, niezależnie od jurysdykcji.

SealDoc i suwerenność europejska

SealDoc działa wyłącznie na infrastrukturze europejskiej pod jurysdykcją UE. Nie istnieje relacja ze spółką dominującą tworząca ekspozycję na obcą jurysdykcję.

Paczki dowodowe generowane przez SealDoc są niezależnie weryfikowalne: sygnatury czasowe RFC 3161 od TSA z unijnej Listy Zaufanych, łańcuchy skrótów weryfikowalne za pomocą SHA-256 oraz ścieżki audytowe eksportowane jako strukturalny JSON. Weryfikacja nie wymaga wywołania API do SealDoc ani dalszej relacji z SealDoc.

Dla organizacji wymagających wdrożenia on-premises lub prywatnej chmury SealDoc obsługuje samodzielne hostowanie na własnej infrastrukturze. Format dowodów jest identyczny z wersją hostowaną, więc migracja z wersji hostowanej do samodzielnej lub z powrotem nie wpływa na weryfikowalność wcześniej wystawionych paczek dowodowych.

Zasada leżąca u podstaw jest taka, że dowody powinny przeżyć każdą konkretną relację z dostawcą. Jeśli SealDoc nie będzie już istniał w 2038 roku, każda paczka dowodowa wystawiona dziś powinna nadal być weryfikowalna przez audytora posiadającego implementację SHA-256 i publiczny certyfikat TSA.

← Back to all articles