Partnerem strategicznym Operatora Chmury Krajowej zostało wybrane Google. A to znaczy ni mniej ni więcej, że zagraniczny podmiot będzie mieć dostęp do wszystkich informacji dotyczących polskich firm. I nie ma znaczenia, że Google w tym celu uruchomi w Polsce specjalnie dla Chmury Krajowej przygotowane centra danych. Zapewniając przy tym, że pliki dotyczące danych polskich firm będą składowane na serwerach fizycznie znajdujących się w Polsce. Dlaczego? Bowiem zgodnie z amerykańską ustawą Cloud Act z 2018 r. mówiącą o legalnym wykorzystaniu danych za granicą, władze USA bez potrzeby załatwiania jakichkolwiek międzynarodowych formalności i składania wniosków, mogą zmusić amerykańskiego operatora, w tym przypadku Google, do przekazania danych klientów.
Mamy więc do czynienia z sytuacją, w której zagraniczny dostawca usługi, świadczący tę usługę nawet za granicą, używając do tego infrastruktury zbudowanej w innym kraju, może zostać zmuszony do przekazania danych klientów. I żadne zapewnienia o ochronie prywatności nie pomogą, jeśli np. FBI czy CIA skorzystają z argumentu “bezpieczeństwo”. Gwoli sprawiedliwości Cloud Act dotyczy wszystkich amerykańskich operatorów chmurowych, także Microsoftu, Amazona czy Oracle.
Dziennik Rzeczpospolita zadał pytanie Romanowi Młodkowskiemu, dyrektorowi strategii Operatora Chmury Krajowej (OChK) o bezpieczeństwo tego rozwiązania, który zauważa, że OChK oferuje własną infrastrukturę i wyjaśnia: Jeśli klient chce podnieść poziom bezpieczeństwa, może posługiwać się kluczami szyfrowymi, które są w jego posiadaniu, i ani my, ani nasi partnerzy nie będą w stanie udostępnić tych kluczy żadnym władzom.