US e-signing продукти в ЕС: реалните юридически капани (GDPR, DORA, NIS2)

Как изглежда конфликтът – „просто обяснено“

• GDPR: чужди заповеди са валидни само при международно споразумение (чл. 48).
• CLOUD Act: US компанията е длъжна да даде данни при валидна US заповед, дори ако данните са в ЕС.
• Проблемът: US компанията може да е задължена да наруши GDPR, за да изпълни US право („Catch-22“).

Защо „EU hosting“ сам по себе си НЕ решава проблема

Ако данните са „под контрола“ на US компания, локацията (Ирландия/Германия) не елиминира CLOUD Act експозицията. Това е причината „EU-only region“ да е само частично смекчаване, не пълно решение. :contentReference[oaicite:4]{index=4}

Практическа препратка

Виж също: Казус 3 (Schrems II) – „essential equivalence“ и защо US surveillance режимът е ключов.

PATRIOT Act vs CLOUD Act – най-важната разлика

• PATRIOT Act: по-общ режим за национална сигурност и разширен surveillance след 9/11.
• CLOUD Act: конкретно за облачни/електронни данни и „extraterritorial“ достъп.
• Ефект в ЕС: за чужденци (европейци) защитата/редресът е ограничена → конфликт с GDPR философията.

Виж и: Казус 4 (DPF) – опит за временна „стабилизация“ на трансферите. :contentReference[oaicite:6]{index=6}

Ключови изводи за мениджмънт

• Privacy Shield падна → трансфери без адекватни гаранции стават незаконни.
• SCC остават, но не „автоматично“ – трябва TIA и реални допълнителни мерки.
• Ако няма ефективни мерки (напр. provider-ът държи ключовете) → трансферът трябва да се спре.

Виж: Казус 7 (Мерки и реална защита).

Как работи (съкратено, но пълно като логика)

• US компанията се само-сертифицира към DPF (Department of Commerce).
• Има механизъм за жалби чрез Data Protection Review Court (DPRC).
• DPF стъпва върху Executive Order 14086 (ограничения за bulk collection, redress механизъм).

Къде остава рискът

• DPF зависи от US политика и устойчивостта на надзорните механизми.
• Част от експертите го смятат „крехък“ – подобно на Safe Harbor и Privacy Shield в миналото. :contentReference[oaicite:9]{index=9}

Виж и: Казус 5 (Latombe) и Казус 6 (Schrems III).

• 03.09.2025: General Court потвърждава DPF (засега) – приема, че DPRC и safeguards са достатъчни.
• 31.10.2025: подаден апел към CJEU – очакван хоризонт за решение 2026–2027.
• Риск: CJEU исторически е по-строг (Schrems I & II) → възможен обрат.

Виж: Казус 6 (Schrems III) – защо всички очакват следващата атака.

Какво значи това практично

• Ако CJEU отмени DPF → връщане към SCC + строги TIA + допълнителни мерки, иначе риск от глоби.
• Чувствителни отрасли (финанси, публичен сектор, здраве) все по-често избягват чист US cloud за критични данни.

Виж: Казус 7 (Мерки) – как да структурирате риска договорно и технически.

Най-често използвани мерки (не 100% сигурни)

• SCC + TIA: оценка „case-by-case“ + документиране на риска.
• Customer-managed keys / zero-knowledge: криптиране, при което доставчикът няма ключ.
• EU-only regions: помага, но не решава CLOUD Act самостоятелно.
• Алтернативи: европейски доставчици или реални суверенни решения (в зависимост от случая).

Критичната истина (за executive management)

Ако доставчикът може да декриптира данните или има административен контрол върху ключовете, това често е недостатъчно за „high-risk“ сценарии. Затова оценката трябва да е на ниво процес + данни + контрол на ключовете, не само „къде са сървърите“. :contentReference[oaicite:13]{index=13}

Виж назад: Казус 1 (CLOUD Act) и Казус 3 (Schrems II).