EU Data Boundary: Co slibuje a na co nestačí?

Přemýšlíte, kde končí vaše firemní data, když využíváte cloudové služby Microsoftu? Nová pravidla EU Data Boundary slibují, že vaše citlivé informace zůstanou v Evropě. Realita je ale složitější. Zjistěte, kdy a proč může Microsoft vaše data nadále předávat mimo EU. Jaká rizika to přináší a jaká opatření vám pomohou zůstat v bezpečí i v souladu s GDPR?

Jan Kubíček

Microsoft a EU Data Boundary | Encyklopedie cloudu ORBIT

Nová éra ukládání dat v Evropě

Situace ohledně „cestování“ osobních údajů při využívání produktů Microsoftu se zlepšila už během roku 2023, kdy Evropská komise vydala rozhodnutí o odpovídající úrovni ochrany pro USA.

Na začátku roku 2025 pak Microsoft deklaroval, že všechna data zákazníků z řad firem a veřejného sektoru jsou uchovávána v EU, případně v EFTA (Island, Lichtenštejnsko, Norsko a Švýcarsko). Opatření platí pro data zpracovávaná hlavními cloudovými službami – tedy pro Microsoft 365, Dynamics 365, Power Platform a pro většinu služeb Azure. Při využití technické podpory mají být data (např. logy nebo poznámky týkající se daného případu) uchovávána v souladu s EU Data Boundary.

EU Data Boundary: Co slibuje a na co nestačí? | ORBIT — Tabulka ukazuje, které země jsou členy organizace EU, EEA a EFTA. EU Data Boundary zajišťuje, že většina dat bude zpracovávána v zemích EU nebo EFTA. Všechny tyto země jsou z pohledu předávání osobních údajů do třetích zemí (tj. do zemí mimo EU nebo EEA) v pořádku. Mimo EEA je totiž jen Švýcarsko, pro které však dosud platí rozhodnutí o odpovídající úrovni ochrany.

Pro samotná zákaznická data (tedy hlavně soubory, které do služeb Microsoftu nahrajeme) funguje EU Data Boundary dobře. Ovšem zajistit to samé geografické umístění i pro zbývající data dalo Microsoftu dost práce (viz znění postu, který dovršení EU Data Boundary oznamuje).

V čem je tedy háček? V určitých případech jsou data nadále předávána mimo EU Data Boundary.

Uchovávání dat jen v Evropě? Staronové výjimky

Platí totiž několik výjimek. Geografické omezení zpracování dat neplatí při poskytování technické podpory. Při řešení technického problému tedy může dojít k předání osobních údajů do třetí země.

Další výjimka se vztahuje na nakládání s logy. I během něj může dojít k předání osobních údajů mimo EU Data Boundary. Microsoft však aspoň deklaruje, že logy uchovává v souladu s principem minimalizace zpracování – tedy jen po nezbytně nutnou dobu a pouze pro provozní účely.

Jak je to s logy? Leckdy jde o osobní údaje

V rámci běžného provozu online služeb Microsoftu vznikají systémové logy. Ty průběžně zaznamenávají, co a kdy se v systému stalo. Microsoft díky logům monitoruje, zda jeho systémy fungují správně, brání se podvodům nebo kybernetickým útokům, optimalizuje výkon a umožňuje mu doložit soulad s předpisy a politikami.

Systémové logy jsou pro hlavní služby Microsoftu obvykle uchovávány v datacentrech spadajících pod EU Data Boundary. Přesto mohou být, byť omezeně, přenášeny např. do USA nebo k nim může být umožněn vzdálený přístup pracovníkům Microsoftu (například pro zajištění bezpečnosti).

Některé logy mohou obsahovat osobní údaje – např. informace typu kdo spustil kterou instanci nebo kdo provedl jakou akci v systému. Nemusí jít přímo o jméno a příjmení. Často stačí unikátní identifikátor, který lze nakonec zpětně přiřadit ke konkrétní osobě, například k administrátorovi. Logy přitom vznikají i o aktivitě běžných uživatelů.

Microsoft tyto logy pseudonymizuje – konkrétní identifikátor nahrazuje uměle vytvořeným. I tato data však jde po doplnění dodatečné informace přiřadit ke konkrétní osobě.

Přenosy logů jsou dokumentovány a pseudonymizovány. Stále však jde o osobní údaje, protože nejsou anonymizovány – anonymizací by se totiž logy staly nepoužitelné pro uchovávání historie transakcí nebo akcí v daném systému (logy, které by prošly anonymizací, by přestaly být osobními údaji).

*Více informací o programu Data Privacy Framework (DPF), na jehož základě je přípustné předávání osobních údajů do USA, najdete* *zde*.

Závěr: EU Data Boundary neplatí absolutně

Shrňme si to. Nadále existují situace (typicky při zajištění provozu cloudových služeb), kdy bude Microsoft data předávat mimo EU Data Boundary, například:

monitorování bezpečnosti
přenos dat vyvolaný použitím služeb ze strany zákazníka

Proto i nadále doporučujeme se této oblasti podrobněji věnovat a s případy možných přenosů se vypořádat. Abyste byli schopni doložit splnění požadavků GDPR, je nutné ukázat, že jde o omezené přenosy z přesvědčivých důvodů (což zajištění bezpečnosti může být).

(Pokud vás zajímá, jak je to s přenosem údajů do USA či jinam obecněji, koukněte na tento článek.)

A co když dojde k předání dat do třetí země?

Microsoft deklaruje, že pokud pracovníci Microsoftu mimo EU Data Boundary potřebují přistoupit k zákaznickým údajům (Customer Data), pseudonymizovaným osobním údajům (typicky systémově generované logy) nebo k údajům v rámci Professional Services (Professional Services Data), které Microsoft uchovává uvnitř EU Data Boundary, pak:

je takový přístup (tedy podle GDPR „předání osobních údajů“) zabezpečen technologiemi, které zajistí jeho bezpečnost,
tyto údaje nebudou trvale ukládány mimo EU Data Boundary.

Pro hlavní služby by EU Data Boundary měla být nastavena podle toho, kde vaše organizace působí. Případně si tuto službu sami nastavíte. O zabezpečení se můžete dozvědět více na webu Microsoftu.

Co jsou Professional Services a Professional Services Data?

Microsoft pod Professional Services rozumí např. své konzultační či migrační služby, ale také technickou podporu poskytovanou při využívání jeho služeb. Data, která pro využití těchto služeb zákazník poskytne Microsoftu, jsou pak označena jako Professional Services Data. Může jít o text, zvuk, video, obrázkové soubory nebo software.

Co jsou Customer Data?

Jako Customer Data Microsoft označuje všechny možné druhy dat, která jsou Microsoftu svěřena v rámci využívání jeho online služeb. (Online Services jsou typicky cloudové služby Microsoftu jako Azure, Dynamics 365, Microsoft 365 a další.)

Dále platí, že pokud iniciuje přenos dat mimo EU Data Boundary sám uživatel nebo administrátor na straně zákazníka, Microsoft takovému přenosu bránit nebude – nechce narušit chod poskytovaných služeb.

V MS Azure si například můžete nastavit, že žádný workload nepoběží mimo povolené lokace. Můžete tak například zakázat, aby kdokoli ve vašem prostředí spustil deployment mimo daný region.

(Zajímá vás, jak se IT regulace staví k zemím mimo EU? Přečtěte si náš článek věnovaný geografickým rizikům podle GDPR, DORA a NIS2.)

Jak žít s EU Data Boundary

Dokud zůstane právní stav v USA stejný jako dnes, můžeme se i nadále spolehnout na rozhodnutí o odpovídající úrovni ochrany pro USA.

Dokončení EU Data Boundary situaci pro správce i zpracovatele osobních údajů v EU samozřejmě zlepšuje – stále však existují případy, kdy budou data předávána do třetích zemí.

Je proto třeba tuto skutečnost zodpovědně posoudit, ohodnotit okolnosti daných transferů a případně vyhodnotit relevantní třetí země mimo USA a Švýcarsko, pro které není k dispozici rozhodnutí o adekvátní ochraně osobních údajů.

V ORBITu vám s tím umíme pomoci, neboť taková posouzení zpracováváme pro banky i bankovní skupiny. Ozvěte se nám – vyznáme se v Microsoft Azure cloud services i v AWS a Amazon Cloud Services.