Co się wydarzyło
Komisja przyjęła projekt CADA jako jeden z filarów szerszego pakietu suwerenności technologicznej, ogłoszonego tego samego dnia obok Chips Act 2.0, europejskiej strategii open source i mapy cyfryzacji sektora energetycznego. Poprzedził go zwykły tryb: zaproszenie do zgłaszania uwag (call for evidence) trwało od 9 kwietnia do 4 czerwca 2025, a środowisko branżowe zdążyło się przez rok wypowiedzieć.
Polityczne tło jest jawne. Pakiet ma ograniczyć zależność Unii od dostawców spoza niej, czyli w praktyce od amerykańskich hyperscalerów. Henna Virkkunen, wiceprzewodnicząca wykonawcza Komisji, ujęła to bez dyplomatycznej waty: „chcemy mieć pewność, że nikt nie ma kill switcha”. Chodzi o ryzyko, że obcy rząd albo działająca na jego polecenie firma mogłyby zdalnie wyłączyć lub zakłócić usługę. To zdanie opisuje dokładnie ten lęk, który stoi za każdą rozmową o tym, czy akta kancelarii mają prawo leżeć na cudzym serwerze za oceanem.
Trzy cele, jeden który nas dotyczy
CADA opiera się na trzech filarach. Pierwszy to badania, rozwój i innowacje - wsparcie kolejnej generacji technologii chmurowych i AI, w tym AI przemysłowej i fizycznej, przez krajowe strategie i ośrodki przyspieszania. Drugi to przepustowość: deklarowany cel to potrojenie mocy centrów danych w Unii w ciągu pięciu-siedmiu lat, z uproszczeniem pozwoleń i dostępem do energii, gruntów, wody i finansowania. Trzeci, dla prawnika najciekawszy, to autonomia: jednolite ramy suwerenności, wspólny system zamówień dla administracji publicznej i promocja rozwiązań otwartych.
Pierwsze dwa filary to polityka przemysłowa: budujemy zdolność. Trzeci robi coś innego - wprowadza definicję.
Cztery poziomy suwerenności
Sercem CADA jest skala, na której dostawcę chmury można ocenić pod kątem niezależności od państw trzecich. Cztery poziomy, rosnąco:
- Poziom 1 - dane przetwarzane i przechowywane na infrastrukturze zlokalizowanej w Unii. Sama lokalizacja.
- Poziom 2 - do lokalizacji dochodzi wykazana niezależność od państw trzecich i przejrzystość łańcucha dostaw oprogramowania.
- Poziom 3 - własność i kontrola po stronie unijnej plus kryteria dodatkowe, w tym obywatelstwo personelu obsługującego.
- Poziom 4 - pełna przejrzystość i kontrola nad łańcuchem dostaw oraz brak możliwości ingerencji państwa trzeciego.
Najwyższy poziom mierzy w konkretny cel: niezależność od jurysdykcji państw trzecich to wprost odpowiedź na amerykański Cloud Act, który pozwala władzom USA sięgać po dane trzymane przez amerykańskie firmy także wtedy, gdy fizycznie leżą w Europie. Do tego jeden szczegół, który mówi wszystko o intencji: zamówienia obronne mają być wydzielone (ring-fenced) do najwyższych poziomów. Tam, gdzie stawka jest najwyższa, sama serwerownia w Unii nie wystarczy - liczy się, kto naprawdę trzyma klucze.
Ta skala to rozpisane na cztery stopnie pytanie, które zadajemy w każdym audycie: „lokalizacja danych" to poziom 1, „kto jest właścicielem i czy dosięgnie tego obca jurysdykcja" to poziomy 3 i 4. Z jednym wnioskiem na koniec: poziom 4, brak możliwości ingerencji z zewnątrz, to w praktyce opis tego, co model uruchomiony lokalnie, na własnej maszynie, osiąga z definicji - bo nie ma kanału, którym cokolwiek mogłoby wyjść.
Czego CADA nie robi
Tu trzeba być uczciwym, bo łatwo przehandlować ostrożność na entuzjazm. Po pierwsze, to projekt rozporządzenia, a nie obowiązujące prawo. Teraz trafia do Rady i Parlamentu Europejskiego, gdzie tekst będzie negocjowany, a daty stosowania jeszcze się przesuną i nieraz zmienią. Między „Komisja zaproponowała" a „obowiązuje" leży cała procedura, którą znamy choćby z losów AI Act - liczona w latach, nie miesiącach.
Po drugie, ostrze CADA celuje przede wszystkim w sektor publiczny i wrażliwe obciążenia administracji oraz we wspólny system zamówień. To nie jest akt, który jutro nałoży na kancelarię obowiązek wybrania chmury z poziomu 3. Adresatem są przede wszystkim instytucje publiczne i rynek dostawców, nie pojedynczy radca prawny.
Po trzecie, projekt ma już krytyków. Branżowe stowarzyszenie CCIA, reprezentujące dużych dostawców, nazywa go dyskryminującym i ostrzega przed fragmentacją jednolitego rynku - bo skala suwerenności, która faworyzuje pochodzenie kapitału i obywatelstwo personelu, z definicji dzieli dostawców na lepszych i gorszych według kryteriów niecenowych. To zarzut, który w negocjacjach jeszcze wróci.
Co to znaczy dla polskiej kancelarii
Nie to, że trzeba dziś cokolwiek zmieniać - bo nie trzeba. Raczej tyle, że pytanie, które jeszcze niedawno brzmiało jak fanaberia („po co wam model lokalnie, przecież chmura jest bezpieczna"), zaczyna mieć oparcie w języku unijnej polityki.
Dla kancelarii oś pozostaje ta sama, którą opisujemy od dawna. Powierzenie przetwarzania dostawcy AI to decyzja z art. 28 RODO - umowa powierzenia, lokalizacja danych, ryzyko transferu poza Europejski Obszar Gospodarczy. Dla danych objętych tajemnicą zawodową (art. 6 prawa o adwokaturze, art. 3 ustawy o radcach prawnych) pytanie „gdzie fizycznie leży dokument i kto może po niego sięgnąć" przestaje być techniczną ciekawostką, a staje się obowiązkiem. A wybór „chmura czy własna maszyna" to decyzja, którą podmiot stosujący system AI - deployer w rozumieniu art. 26 rozporządzenia 2024/1689 - powinien udokumentować, nie przeczuć.
CADA niczego z tego nie zmienia. CADA potwierdza, że pytanie było dobrze postawione.
Werdykt
Nie napiszemy, że to przełom dla kancelarii, bo nie jest - to akt o centrach danych i zamówieniach publicznych, lata od stosowania, z krytykami i otwartą procedurą. Zmienia się co innego, i to akurat fakt, a nie ocena: suwerenność danych przestała być tematem niszowym, a stała się kategorią, którą prawodawca rozpisuje na poziomy. To nie powód do triumfu, raczej do spokoju. Kto już dziś wie, gdzie leżą jego dane i kto może po nie sięgnąć, ten nie będzie musiał nadrabiać, kiedy poziomy z projektu staną się wierszami w przetargu.