Opłaty za przepustowość, tzw. egress fees, ponosiło nawet 99 proc. użytkowników usług w chmurze, w wysokości sięgającej średnio 6 proc. kosztów przechowywania danych. W tym roku trzech największych dostawców w postaci Amazona, Microsoftu i Google zrezygnowało z ich pobierania. O przyczynach i skutkach takiego stanu rzeczy rozmawiamy z wiceszefem regionu Europy Środkowo-Wschodniej OVHcloud Robertem Paszkiewiczem oraz członkinią zarządu iSecure Katarzyną Ułasiuk-Delamare.
Prowadzenie firmy wiąże się często z koniecznością gromadzenia i przetwarzania ogromnej ilości różnego rodzaju danych. Nie zawsze najlepszym rozwiązaniem jest przechowywanie ich lokalnie we własnym serwerze ulokowanym gdzieś w siedzibie przedsiębiorstwa. W końcu niezwykle wygodną współczesną alternatywę stanowi chmura, która jest w stanie nawet ograniczyć firmowe rachunki za prąd. Niestety przenoszenie lub przesyłanie danych z chmury, w której są przechowywane, do niedawna wiązało się często z koniecznością uiszczenia dostawcy opłaty.
Chodzi o tzw. egress fees, znane także jako opłaty za przepustowość lub transfer danych. Przedsiębiorcy ponoszą je niezależnie od kosztów samego ich przechowywania lub przetwarzania. Jak się łatwo domyślić, ich istnienie stanowi poważną niedogodność dla klientów poszczególnych dostawców.
Wyniki ankiety IDC sugerują, że egress fees dotyczą nawet 99 proc. użytkowników chmury. Wynoszą one średnio 6 proc. kosztów przechowywania danych. Ankieta Global Marketing Intelligence podpowiada, że dla aż 34 proc. firm stosowanie przez dostawcę opłat za transfer danych są czynnikiem wpływającym na decyzję o migracji do konkurencji, która takich opłat nie wymaga, albo o rezygnacji z wykorzystywania chmury.
Na szczęście trzech największych światowych dostawców usług w chmurze postanowiło zrezygnować z ich pobierania. Dotyczy to Google Cloud, Microsoft Azure oraz Amazon Web Services. Nie da się przy tym ukryć, że wpływ na podjęcie decyzji o rezygnacji z egress fees mogło mieć przyjęcie unijnego Data Act. To popularna nazwa rozporządzenia w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania.
O przyczynach, skutkach i bezpośrednich konsekwencjach dla przedsiębiorców rozmawiamy ze znanym już naszym czytelnikom Robertem Paszkiewiczem z OVHcloud oraz z Katarzyną Ułasiuk-Delamare, członkinią zarządu iSecure, prawniczką i ekspertką w dziedzinie ochrony danych osobowych w Polsce oraz Unii Europejskiej.
Bezprawnik: Czy i w jaki sposób rezygnacja z Egress Fees przez „triopol” Google, Amazona i Microsoftu może wpłynąć na sytuację typowego polskiego przedsiębiorcy?
Katarzyna Ułasiuk-Delamare: Pierwsze skojarzenie, jakie się nasuwa, to „oszczędności” po stronie przedsiębiorcy, który do tej pory korzystał z usług tych podmiotów i chciałby zmienić dostawcę chmury (lub przenieść się na własny hosting).
To oraz zwiększenie konkurencyjności to główne hasła towarzyszące komunikatom dotyczących rezygnacji z Egress Fees. Konkurencyjność z kolei dotyczy nie tylko ofert dostawców usług chmurowych, ale też ich klientów, dostarczających rozwiązania polskim przedsiębiorcom oparte na zasobach chmurowych, z których sami korzystają – brak dodatkowych opłat za wyjście z chmury może dać przestrzeń na rozbudowanie oferty.
Osobiście podchodzę do tych przewidywań z pewną dozą ostrożności, bo dopiero dokładna analiza założeń przeniesienia danych nakładanych przezdostawcę chmury i możliwości braku opłaty za ten proces da odpowiedź, czy każdy i czy w przypadku każdej usługi będzie z opłaty zwolniony, a także czy i jakie warunki musi spełnić, żeby tak się stało.
Wiemy, że w Unii Europejskiej od 12 stycznia 2027 r. dostawcy usług chmurowych nie będą mogli wymagać opłat za zmianę dostawcy od swoich klientów (takie rozwiązanie wprowadza rozporządzenie unijne w sprawie danych, tzw. Data Act), i to niezależnie od miejsca ich siedziby (kryterium jest np. wprowadzania usługi lub produktu do obrotu na terytorium UE). Tendencje zatem idą w tym kierunku, ale ruchy graczy na rynku wymagają według mnie obserwacji.
Robert Paszkiewicz: Egress Fees, czyli opłaty za przepustowość lub transfer danych, są pobierane przez niektórych dostawców usług w chmurze za przesyłanie danych z chmury. Zaznaczmy, że obciążenia za przesył danych są dodatkową pozycją poza kosztem za przechowywanie danych w chmurze. Extra płatności (Egress Fees) mogą zostać naliczone przykładowo, gdy dane są pobierane z chmury do celów analitycznych lub transferowane do innego obszaru usług.
Może się też zdarzyć, że przedsiębiorca zobaczy na rachunku większą kwotę, bo np. jego organizacja umieściła dane w chmurze w celach archiwalnych, ale jej użytkownicy pobierali je znacznie częściej, niż było to pierwotnie zakładane. Słowem Egress Fees oznacza dodatkowy, czasem niespodziewany koszt, który poniesie przedsiębiorca i który ostatecznie przerzuci na użytkownika końcowego.
Z tej perspektywy rezygnacja przez dostawców z podobnych praktyk jest krokiem w stronę użytkownika oraz mniejszych kosztów.
Czy i w których dziedzinach życia codziennego rezygnacja z Egress Fees będzie miała bezpośrednie przełożenie na sytuację konsumentów? Jakie skutki i kiedy odczuje przeciętny Kowalski?
Katarzyna Ułasiuk-Delamare: Jeżeli przewidywania dotyczące mniejszych kosztów po stronie przedsiębiorców – klientów dostawców usług chmurowych się spełnią, to według mnie jest szansa na zauważenie skutków również po stronie konsumenta. Firma dostarczająca np. platformy do streamingu multimediów, gamingowe, aplikacje mobilne może spożytkować budżet na rozbudowanie funkcjonalności, konkurencyjne ceny abonamentów, czy zwiększenie pojemności przechowywania danych. Patrząc na to z tej strony, można mówić o pewnej korzyści dla przeciętnego Kowalskiego, który jest odbiorcą końcowym danej usługi. To zależy jednak od decyzji i planów przedsiębiorcy, więc nie możemy tego przesądzić.
Robert Paszkiewicz: Upraszczając, dostawcy pozwalają użytkownikom za darmo wrzucać dane do chmury, ale ich „eksport”, czyli wykorzystywanie w różnych celach, np. analitycznych, jest – jeśli dany dostawca obciąża klienta za przesył danych – operacją płatną. Usunięcie opłat za transfer danych powinno obniżyć koszty, a wspomniana rezygnacja z Egress Fees, to dobra wiadomość dla wszystkich, ponieważ oznacza zmiany we właściwym kierunku – uczciwszej konkurencji na rynku chmury i większej swobody wyboru dostawcy dla użytkowników.
Czy z czysto technicznego punktu widzenia naliczanie użytkownikom Egress Fees ma jakiekolwiek uzasadnienie ekonomiczne w kosztach ponoszonych przez dostawcę, czy raczej mieliśmy do czynienia z arbitralną opłatą?
Robert Paszkiewicz: Z czysto technicznej perspektywy warto zaznaczyć, że dostawcy ponoszą wydatki związane przykładowo z zakupem i utrzymaniem łącz światłowodowych, wpięciem do punktów wymiany ruchu, połączeniami z innymi operatorami telekomunikacyjnymi, więc istnieją realne nakłady wymagające realnego pokrycia. Natomiast struktura kosztów i przychodówmoże być zbudowana w inny sposób, czyli taki, gdy nie ma opłat Egrees Fees, a koszta za „connectivity” będą pokrywane np. w samej usłudze.
W jaki sposób przebiega dzisiaj transfer danych z chmury do innego operatora i z jakimi formalnościami się wiąże? Czy wśród nich znajdują się czynności niepotrzebne albo przesadnie skomplikowane?
Katarzyna Ułasiuk-Delamare: Z mojej perspektywy, jako osoby dbającej o wymogi przetwarzania danych, w każdym przypadku transferu danych pomiędzy dostawcami chmury mamy co najmniej kilka rzeczy do przypilnowania. Na pewno powinniśmy dopilnować umowy powierzenia przetwarzania danych osobowych (jeżeli przedmiotem transferu są takie właśnie dane) – podpisania takiej umowy z nowym usługodawcą oraz zamknięcia umowy obowiązującej z dotychczasowym operatorem. Przy tej okazji trzeba szczególnie dopilnować faktycznego zwrotu lub usunięcia pozostałych kopii danych przez dotychczasowego dostawcę (skoro nie ma już dłużej celu ich przetwarzania w imieniu klienta), w tym protokolarnego przekazania/potwierdzenia zwrotu/usunięcia danych.
A skoro dane mamy przekazać innemu podmiotowi, to wchodzi w grę sprawdzenie, czy i w jakim zakresie takie przetwarzanie będzie się wiązało z transferem danych do państwa trzeciego (poza EOG). Elementem takiego sprawdzenia jest m.in. TIA (transfer impact assessment) i ustalenie właściwej podstawy prawnej do przekazania danych poza EOG, jeżeli taki będzie. Kolejną formalnością może być przeprowadzenie oceny skutków przetwarzania danych (DPIA). Nie możemy zapomnieć także o weryfikacji poziomu spełnienia przez nowego dostawcę wymogów dotyczących ochrony danych nakładanych na podmioty operujące w UE, w tym tego, jak dane będą zabezpieczone.
Patrząc szerzej, trzeba też upewnić się, czy nowa chmura spełnia wymagania klientów, których dane przenoszę do chmury lub bezpośrednio wymagania regulatora, które spoczywają na mnie, jako przedsiębiorcy korzystającym z chmury. Chodzi tutaj np. o specyficzne wymagania dla sektora bankowego, finansowego czy ubezpieczeniowego, rekomendacje UNKF dotyczące przetwarzania informacji w chmurze, ale także np. to, czy przeniesienie się do innej chmury wpłynie na aktualność posiadanych certyfikatów lub wymogów ich posiadania przez dostawców usług (np. certyfikacja ISO27001).
To, co w praktyce rodzi szczególnie duże trudności, to ustalenie takich kwestii, jak: faktyczna lokalizacja danych, ustalenie retencji danych, usuwanie danych (w tym kopii zapasowych), analizowanie umów powierzenia – zwłaszcza tych rozbudowanych stosowanych przez dominujących dostawców (nie mówiąc już o ich negocjacjach, które de facto nie są możliwe), czy kwestia kontroli takich podmiotów przetwarzających, których dominująca pozycja na rynku nie stwarza stosownych do tego warunków.
Robert Paszkiewicz: Migracja danych, czyli np. plików, aplikacji, systemów operacyjnych albo baz danych, pozwala na rozłożenie obciążeń w różnych środowiskach chmurowych, np. u siebie na chmurze prywatnej oraz w lokalizacji dostawcy. Celem migracji może być np. uporządkowanie zasobów przechowywanych na różnych urządzeniach bądź wymóg polityki bezpieczeństwa.
Co do zasady transfer danych nie powinien generować dodatkowych kosztów, niemniej warto w tym temacie upewnić się z dostawcą, z którym podpisujemy umowę, czy wszystkie pozycje są dla nas jasne, a także jaka jest jego polityka wobec multi-cloud, czyli podejścia wielochmurowego. Warto też sprawdzić, czy nie natkniemy się na praktyki vendor lock-in, czyli sytuację, w której klient jest uzależniony od produktów dostawcy do tego stopnia, że nie może zmienić dostawcy bez poniesienia kosztów zmiany.
Ponieważ OVHcloud od początku jest orędownikiem podejścia multi-cloud procedura, transferu danych jest przyjazna. Ponadto nasze instancje public cloud czy serwery dedykowane oferowane Klientom w Europie umożliwiają przesył danych bez ograniczeń w zakresie ilości i dodatkowych kosztów.
Jakie szczególnie kontrowersyjne praktyki stosowali do tej pory najwięksi dostawcy usług w chmurze? W jakim stopniu przyczyniły się one do dostrzeżenia problemu Egress Fees przez unijnego prawodawcę?
Katarzyna Ułasiuk-Delamare: Myślę, że do takich praktyk – poza opłatami za przejście do innego dostawcy – można zaliczyć: brak transparentności dotyczący wymiany danych nie tylko osobowych, ale też ogromnej ilości danych nieosobowych (zwłaszcza w sieci IoT) oraz nadużywanie pozycji dominującej przy okazji zawieranych umów o świadczenie usług/przetwarzanie danych. Komisja Europejska zwraca uwagę na oba te aspekty, przedstawiając niejako w kontrze do nich środki, jakie przewiduje Data Act i które mają służyć polepszeniu sytuacji przedsiębiorców i konsumentów: zwiększenie pewności prawnej w przypadku przekazywania danych (do tej pory nie było przepisów, które całościowo regulowałyby przepływy danych nieosobowych) oraz ograniczenie nierównowagi stron umów (ochrona przedsiębiorstw przed niesprawiedliwymi warunkami umownymi narzuconymi przez stronę o znacznie silniejszej pozycji rynkowej).
Co teoretycznie Google, Amazon i Microsoft mogą zrobić, by zniechęcać swoich użytkowników do zmiany dostawcy usług w chmurze?
Katarzyna Ułasiuk-Delamare: Decyzja o zmianie dostawcy nie zawsze oparta jest wyłącznie na jednym kryterium, jakim są finanse. Istnieje wiele elementów, które budują doświadczenie współpracy z usługodawcą i – mimo kosztów – przeważają nad decyzją o pozostaniu z nim. Domyślam się, że jest ogromne pole do podnoszenia konkurencyjności swojej oferty: rozbudowane platformy czy pakiety powiązanych ze sobą usług, które jako całość skutecznie wiążą klienta, innowacyjne rozwiązania technologiczne, osiągane, a zatem i oferowane szybciej niż w przypadku mniejszych podmiotów, czy nawet deklaracje o zgodności z przepisami UE mogą wg mnie być kartą wyciąganą przez rozgrywającego.
Czy w deklaracjach poszczególnych firm o rezygnacji z Egress Fees jest coś szczególnie podejrzanego, na co ich klienci oraz europejscy prawodawcy powinni zwrócić uwagę?
Katarzyna Ułasiuk-Delamare: Zachęcałabym do dokładnego przeczytania deklaracji pod kątem tego, kto i na jakich warunkach może nie ponosić opłaty za wyjście z chmury. Jedna z firm przewiduje bowiem procedurę zawnioskowania o wyjście z chmury bez opłat, ale dostępną tylko z określonego poziomu usług sieciowych (tj. poziomu premium, a nie standard) i dla konkretnych usług, tylko w przypadku zrezygnowania z usługi w całości, określając z góry czas na przeniesienie danych (60 dni na migrację) i dopuszczalny moment złożenia prośby o darmowy transfer danych (taka prośba może być skierowana tylko przed rozwiązaniem umowy) i zastrzegając sobie prawo do kontroli transferu danych pod kątem zgodności z regulaminami dostawcy.
Robert Paszkiewicz: Uważam, że dla Klientów, którzy korzystają z usług oferowanych przez dostawcę chmury, zniesienie opłat za transfer danych będzie najbardziej wartościowe i możliwe do skutecznego wdrożenia, jeśli:
– będzie dotyczyło wszystkich oferowanych przez niego usług, a nie tylko wybranych;
– z takiego rozwiązania będzie mógł skorzystać każdy z Klientów, niezależnie od tego, jakie dane przechowuje w chmurze;
– będzie niezależne od zgody dostawcy cloud;
– nie będzie wiązało się z dodatkowymi działaniami w zakresie obsługi księgowej (np. brak kompensaty z notą kredytową);
– będzie się odbywało w sposób transparentny, automatyczny i nie stworzy dodatkowych przeszkód ani nie opóźni migracji.
Czy istnieje ryzyko, że będą one traktowały rynek europejski, wraz z tutejszymi klientami, w odmienny sposób od na przykład ich macierzystego amerykańskiego?
Katarzyna Ułasiuk-Delamare: Powiedziałabym, że nie tyle ryzyko, co konieczność – dostawcy np. z USA świadczący usługi na terenie UE muszą podporządkować się unijnym regulacjom, w tym Data Act, ale też innym unijnym przepisom, jak np. przepisom aktu o usługach cyfrowych (Digital Services Act), które wymagają konkretnych standardów w relacjach z klientami z rynku europejskiego. Natomiast jest też ryzyko, że – jak pokazuje praktyka – mimo teoretycznie stosowania warstwy formalnej zgodnie z przepisami chociażby RODO (regulaminy, disclaimery, zgody, pop-up’y), niezwykle ciężko będzie ustalić, jak faktycznie przebiega wykorzystywanie danych klientów.
Jakie konsekwencje groziłyby trójce głównych dostawców, jeśli nie zrezygnowaliby z pobierania tych opłat? Jak dalece takie działanie można uznać za wyprzedzające względem regulacji EU Data Act?
Katarzyna Ułasiuk-Delamare: Myślę, że w kontekście EU Data Act, które już weszło w życie, zrezygnowanie z Egress Fees przez dużych graczy było tylko kwestią czasu. Transparentność to jednak wyzwanie, więc warto stale obserwować, jak faktycznie wygląda rezygnacja z tych opłat i czy nastąpi realnie do 12 stycznia 2027 r. (termin wymagany przez Data Act). Być może doświadczenia Google, Meta (Facebook) czy Microsoft z unijnymi organami ochrony danych, czyli nakładane na te podmioty kary finansowe za naruszenia RODO (w tym rekordowa jak do tej pory kara rzędu 1,2 mld euro dla Meta), w jakimś zakresie przyczyniły się do stopniowego dostosowywania się do Data Act przez dużych dostawców z USA.
Jak dużą przewagę w udziale w rynku platform usług w chmurze ma obecnie „triopol” Google, Amazona i Microsoftu? Czy rezygnacja z Egress Fees pozwoli ich mniejszym konkurentom na podjęcie z nimi uczciwej walki?
Robert Paszkiewicz: Ubiegłoroczny Magic Quadrant analityczno- doradczej firmy Gartner plasuje „Triopol” jako liderów w obszarze Strategic Cloud Platform Services.
W temacie uczciwej konkurencji wiąże się ona z ukróceniem wszystkich nieuczciwych praktyk, które – poza Egress Fees – dotykają rynek usług w chmurze, prowadząc do ograniczenia swobody wyboru użytkowników i jednocześnie konsolidując rynek wokół kilku dostawców. Aby przywrócić uczciwą konkurencję, najwięksi dostawcy powinni:
– zaprzestać wszelkich praktyk mających na celu blokowanie użytkowników, niezależnie od tego, czy mają one charakter techniczny (ograniczenia interoperacyjności i przenośności), handlowy (rabaty za nadmierne wydatki) czy prawny (skomplikowane umowy długoterminowe bez klauzuli wyjścia).
– Nie nadużywać swojej pozycji w celu narzucania użytkownikom swoich usług w chmurze poprzez sprzedaż wiązaną lub polecanie własnych rozwiązań.
– Zapewnić pełną przejrzystość w zakresie przewidywalności cen i ryzyka dostępu do danych przez strony trzecie.
Czy i kiedy zmiana dostawcy usługi w chmurze kreuje jakieś obowiązki przedsiębiorcy wobec konsumenta, zwłaszcza w kontekście ochrony danych osobowych?
Katarzyna Ułasiuk-Delamare: Jeżeli mówimy o konsumencie, który bezpośrednio korzysta z usługi chmurowej, to już teraz – na gruncie RODO – przysługują mu określone prawa w kontekście danych osobowych, zwłaszcza prawo do przenoszenia danych (tj. prawo otrzymania swoich danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego i o ile to technicznie możliwe – bezpośredniego ich przesłania innemu podmiotowi) czy prawo do usunięcia danych.
Jeżeli natomiast klientem CSP (cloud provider’a) jest firma przetwarzająca u tego dostawcy dane osobowe konsumentów, to przy zmianie dostawcy usługi mamy cały pakiet obowiązków związanych z takimi danymi osobowymi. Sprawdzenie kwestii transferu danych osobowych poza UE i podstawy prawnej takiego transferu, aktualizacja obowiązku informacyjnego, zabezpieczenia danych osobowych. Co ciekawe, a bardzo ważne – może też nastąpić zmiana jurysdykcji właściwej dla CSP i potencjalny dostęp innych odbiorców do danych, np. organizacji rządowych, których dostęp do danych w innych krajach może być znacznie szerszy niż ten znany nam ze standardów UE.
Na szczególną uwagę zasługuje także przekazanie danych do firmy działającej w międzynarodowej grupie spółek lub przetwarzającej dane na terytorium USA. To ważne w kontekście ochrony danych konsumentów z UE, ponieważ na mocy prawa amerykańskiego dostęp podmiotów rządowych do takich danych możliwy jest przez sam fakt, że spółka dominująca/kontrolująca grupę ma siedzibę w USA (nawet jeżeli nasz dostawca jest podmiotem zarejestrowanym w UE) lub jeżeli przetwarzanie danych odbywa się na terenie USA. Tak szeroki dostęp do danych możliwy jest na podstawie amerykańskiej ustawy FISA (Foreign Intelligence Surveillance Act).
Jednocześnie należy pamiętać, że mimo wybrania miejsca przechowywania danych na obszarze Europejskiego Obszaru Gospodarczego (EOG), firma dostarczająca rozwiązanie chmurowe może mieć siedzibę w kraju poza EOG. Możliwe jest, że w takim kraju miejscowa jurysdykcja zezwala na nieograniczony dostęp do danych osobowych przez organy państwowe. Prowadziłoby to do sytuacji, że organy w takich państwach trzecich (poza EOG) przetwarzałyby dane osobowe mimo pierwotnego założenia i deklaracji, że fizycznie serwery znajdują się w kraju, w którym obowiązuje RODO. Dostawca chmury, mający siedzibę poza EOG, może być związany prawem krajowym tego państwa i musi je przestrzegać. Gorzej, jeżeli jest to prawo niespełniające standardów ochrony danych, jakie mamy w UE. Zgodnie z RODO takie przetwarzanie danych musiałoby się oprzeć na konkretnej, dodatkowej podstawie prawnej (np. standardowych klauzulach umownych, których zawarcie byłoby dopuszczone po uprzedniej ocenie skutków transferu danych do takiego kraju).