Komunikat w VI.2.1.d (Wytyczne do szacowania ryzyka) stanowi, że podmiot nadzorowany uwzględnia w procesie szacowania ryzyka, w kontekście wyników przeprowadzonej klasyfikacji i oceny przetwarzanych informacji w chmurze obliczeniowej, co najmniej dostęp do przetwarzanych informacji, gwarantowany przez jurysdykcję kraju, w którym odbywa się fizycznie przetwarzanie (lokalizacja centrum przetwarzania danych), w szczególności odniesienie do katalogu sytuacji (lub podmiotów), w której możliwe jest żądanie informacji lub dostępu do nich bez wyraźnej zgody podmiotu nadzorowanego, zarówno przez organy administracji krajowej jak i międzynarodowej.
Przetwarzanie danych obejmuje przetwarzanie in rest oraz in transit. Zatem fizyczne przetwarzanie danych odbywa się w centrum przetwarzania danych (CPD) oraz w infrastrukturze telekomunikacyjnej służącej do przesyłania danych pomiędzy poszczególnymi CPD wskazanymi w umowie z dostawcą usługi chmury obliczeniowej, oraz pomiędzy CPD, a podmiotem nadzorowanym.
Deklaracja dostawców usługi chmury obliczeniowej o przetwarzaniu danych tylko na terenie EOG bazująca na lokalizacji CPD w EOG nie gwarantuje, że organy administracji państwa trzeciego jak i międzynarodowej nie będą uprawnione do żądania dostępu do danych podmiotu nadzorowanego.
Pomimo korzystania z CPD zlokalizowanych na terenie EOG, przesyłanie danych pomiędzy CPD w EOG może odbywać się z wykorzystaniem infrastruktury światłowodowej należącej do podmiotu z państwa trzeciego (np. w wyniku wystąpienia siły wyższej albo w wyniku standardowego zarządzania CPD przez dostawcę usługi chmury obliczeniowej, w tym: optymalizacji ruchu sieciowego, obciążenia danego CPD, zarządzenia wykorzystaniem energii elektrycznej w CPD).
Zatem może dojść do sytuacji, w której CPD zlokalizowane jest w UE i należy do spółki zarejestrowanej w UE, natomiast przetwarzanie in transit realizowane jest w infrastrukturze telekomunikacyjnej należącej do przedsiębiorcy telekomunikacyjnego z państwa trzeciego, np. z USA.
Z uwagi na powyższe, administracja państw trzecich (np. USA) może być uprawniona do żądania dostępu do danych podmiotu nadzorowanego bez zapewnienia standardów UE w zakresie ochrony danych osobowych, jak również informacji prawnie chronionych lub objętych outsourcingiem szczególnym w rozumieniu Komunikatu.
UKNF zaleca zatem, aby podmiot nadzorowany – przed nawiązaniem współpracy z dostawcą usługi chmury obliczeniowej – upewnił się, w jakim zakresie przesyłanie danych pomiędzy CPD odbywa się z użyciem infrastruktury światłowodowej należącej do podmiotu podlegającego prawu państwa trzeciego.
UKNF zaleca, aby szacowanie ryzyka obejmowało także przetwarzanie danych in transit.