Obietnica Microsoftu dotycząca „suwerenności danych” dla Europy ma mały haczyk. Od 17 kwietnia 2026 r. firma zacznie wysyłać dane z Copilot na zagraniczne serwery w celu ich przetwarzania.

Wraz z wprowadzeniem przekierowania flex w Microsoft 365 Copilot, wnioskowanie dużych modeli językowych (LLM) – etap, na którym Twoje dane są faktycznie przetwarzane – może odbywać się w USA, Kanadzie lub Australii, gdy zabraknie przepustowości europejskich centrów danych.

Zmiany te są stosowane domyślnie. W przypadku nowych kont klientów utworzonych po 25 marca 2026 r. przekierowanie flex jest już włączone. Dla wszystkich innych zostanie ono włączone automatycznie, chyba że z niego zrezygnujesz. (Instrukcje, jak to zrobić, znajdziesz poniżej).

Jeśli Twoja firma ma siedzibę w Unii Europejskiej lub Europejskim Stowarzyszeniu Wolnego Handlu (EFTA), nie jest to tylko drobna aktualizacja techniczna. Przekierowanie flex decyduje o tym, czy Twoje przepływy pracy AI pozostaną w UE, czy ją opuszczą bez Twojej wiedzy. Pokazuje to również, co wersja cyfrowej suwerenności według Big Techu naprawdę oznacza dla Europy: to oni wciąż mają kontrolę.

Czym jest przekierowanie flex?

Wnioskowanie to moment, w którym model AI przetwarza Twój prompt (zapytanie), aby wygenerować odpowiedź – niezależnie od tego, czy chodzi o podsumowanie dokumentu, odpowiedź na pytanie, czy tworzenie treści. Zanim to nastąpi, Twoje dane zostały już zebrane. Nawet jeśli Twoje dane są przechowywane w Europie, mogą być teraz przetwarzane gdzie indziej – automatycznie, w ramach jurysdykcji spoza UE.

Przechowywanie w UE nie oznacza przetwarzania w UE

Microsoft jasno stwierdza, że dane pozostaną zaszyfrowane(nowe okno) podczas przesyłania i w spoczynku. To może uspokoić niektórych klientów. Jeśli jednak działasz w oparciu o ramy takie jak ogólne rozporządzenie o ochronie danych(nowe okno) (GDPR / RODO), dyrektywa w sprawie bezpieczeństwa sieci i informacji (NIS2) lub akt w sprawie operacyjnej odporności cyfrowej (DORA), ochrona danych podczas ich przechowywania i transmisji to za mało.

Przetwarzanie (lub wnioskowanie) to moment, w którym może dojść do ujawnienia. A w ramach przekierowania flex ten punkt może się teraz przemieszczać.

Aby model AI mógł przeprowadzić wnioskowanie, dane muszą być dostępne do obliczeń. Twoje prompty, wiadomości e-mail, pliki i metadane są gromadzone i wysyłane do modelu. Dzięki przekierowaniu flex pakiet ten może być przetwarzany poza UE.

To, gdzie przetwarzane są Twoje dane, ma znaczenie — nawet jeśli są one zaszyfrowane podczas przesyłania i odbierania.

Ciężar zachowania zgodności spoczywa na Tobie

Decyzja Microsoftu o uczynieniu przekierowania flex domyślną funkcją to sygnał ostrzegawczy. Badania pokazują, że większość osób nie zawraca sobie głowy sprawdzaniem ustawień domyślnych ani ich aktualizowaniem. Gdyby suwerenność danych była czymś, na czym firmie zależało w przypadku jej europejskich klientów, nie wdrożyłaby ona przekierowania flex automatycznie.

Jest to również ostrzeżenie dla Twojego działu ds. zgodności, że dostawcy mogą nagle zdecydować się na zmianę ważnej zasady. Jesteś teraz odpowiedzialny za monitorowanie aktualizacji od dostawców, interpretowanie ich konsekwencji i dostosowywanie ustawień, aby zachować zgodność. Może się to wydawać niesprawiedliwe, jeśli wybrałeś dostawcę z USA w przekonaniu, że Twoja suwerenność danych ma dla niego znaczenie.

Co mogą teraz zrobić firmy z UE

  1. Wyłącz przekierowanie flex. Jeśli Twoje zasady wymagają przetwarzania wyłącznie w UE, nie polegaj na wartościach domyślnych.
    • Zaloguj się do centrum administracyjnego Microsoft 365 jako administrator z przypisanym stanowiskiem Administratora AI(nowe okno).
    • Przejdź do Copilot -> Ustawienia -> Elastyczne wnioskowanie w okresach szczytowego obciążenia.
    • Wybierz Nie zezwalaj na przekierowanie flex
  2. Zrozum konsekwencje transgraniczne. Twoja obecna konfiguracja może nie spełniać wymagań Twojej firmy. Weź pod uwagę:
    • Obowiązki związane z transferem danych zgodnie z RODO (GDPR) i zasadami sektorowymi
    • Wewnętrzne zasady dotyczące miejsca przechowywania danych i zobowiązania umowne
    • Legalny dostęp i nadzór w jurysdykcjach spoza UE
  3. Uważnie audytuj przepływy danych związane z AI. Większość firm wie, gdzie przechowywane są dane. Mniej z nich wie, gdzie są one przetwarzane. Zacznij zadawać pytania:
    • Gdzie przetwarzane są Twoje dane
    • Czy istnieją przepisy, które mogą wymusić ujawnienie danych stronie trzeciej
    • Kto ma dostęp do danych podczas przetwarzania i czy może się to zmienić
  4. Wybieraj dostawców, którzy są transparentni w kwestii sposobu przetwarzania Twoich danych. Asystent AI(nowe okno) firmy Proton przetwarza dane wyłącznie na europejskich serwerach i publikuje szczegółowy opis swojego modelu bezpieczeństwa.

Przekierowanie flex ujawnia coś głębszego na temat zarządzania danymi

Jeśli Twoi dostawcy mają siedzibę w USA, polegasz na systemach zbudowanych z myślą o innej rzeczywistości regulacyjnej — takiej, której nie kontrolujesz, ale przed którą i tak musisz odpowiadać.

Aktualizacje oprogramowania, wsparcie, zasady prawne i decyzje cenowe są podejmowane w Dolinie Krzemowej lub w Seattle. Reguły, których przestrzega Twój dostawca, są ustalane w Waszyngtonie. Jednak Twoja firma podlega europejskim standardom.

Właśnie dlatego coraz więcej firm zaczyna przyglądać się europejskim alternatywom dla Big Techu(nowe okno). Kiedy Twoja infrastruktura, zasady i ramy prawne są dostosowane do regionu, w którym działasz, suwerenność danych staje się egzekwowalna, a nie warunkowa.