Biztonságos lehet a felhő a „Schrems II” után is!

Schrems II

Biztonságos lehet a felhő a „Schrems II” után is!

  1. március 12-én a Conseil d’Etat – Franciaország legmagasabb közigazgatási bírósága – úgy döntött, hogy a COVID-19 oltások foglalására használt, a Doctolib alkalmazás által kezelt és az Amazon Web Services által üzemeltetett platformon található személyes adatok kellően védettek az EU GDPR rendelete alapján.

A franciaországi COVID-19 elleni oltásokat a Doctolib alkalmazáson keresztül tudják kezelni a felhasználók. Itt megtalálhatják az oltási központok listáját, és közvetlenül a Doctolib-en keresztül időpontot is foglalhatnak. Ez a francia Szociális és Egészségügyi Minisztérium és különböző szolgáltatók között aláírt partnerségből fakad, akik között az egyik a Doctolib, mint az egyik európai vezető e-egészségügyi szolgáltató társaság.

Az adatok tárolására a Doctolib a luxemburgi székhelyű AWS Sarl-al szerződött, amely cég az Amazon Web Services leányvállalata.

Több francia egészségügyi szakmai szövetség és szakszervezet kérte a hatóságokat, hogy adatvédelmi aggályok miatt rendeljék el a Szociális Minisztérium említett partnerségének felfüggesztését, valamint, hogy az oltási kampány kezeléséhez találjanak másik megoldást.

A felperesek az érintett adatok különösen érzékeny jellegével és a GDPR megsértésének kockázatával érveltek, mivel az adatokat egy amerikai vállalat leányvállalata kezeli, annak extraterritoriális hatásaival, amelyek ezért lehetővé teszik az amerikai hatóságok számára a személyes adatokhoz való hozzáférést. Ez a felperesek szerint összeegyeztethetetlen volt a GDPR-rel, különösen a „Schrems II” döntés óta.

A francia bíróság vizsgálatának megállapításai:

  • a Doctolib a luxemburgi AWS Sarl vállalat szolgáltatásait veszi igénybe, az adatokat Franciaországban és Németországban található adatközpontokban tárolják;
  • a Doctolib és az AWS Sarl között kötött szerződés nem engedélyezi az adattovábbítást az Egyesült Államokba;
  • az Egyesült Államok törvényei szerint a luxemburgi AWS Sarl-t az Egyesült Államok hatóságai ennek ellenére kötelezhetik adatkiadásra a hírszerzés felügyeletéről szóló törvény (Foreign Intelligence Surveillance Act) 702. cikke, vagy a elnöki rendelet alapján.

Ezek után a Conseil d’État a kínált védelemre szóló biztosítékokat vizsgálta:

  • Jogi biztosítékok: a Doctolib és az AWS Sarl között kötött szerződés rendelkezik egy külföldi hatóság esetleges hozzáférési kérelme esetére; nevezetesen az AWS Sarl garantálja, hogy megtámadja a hatóságok bármely általános hozzáférési kérelmét.
  • Műszaki biztosítékok: az AWS Sarl által tárolt adatok titkosítva vannak, és a kulcsot Franciaországban megbízható harmadik fél, és nem az AWS birtokolja.
  • Egyéb garanciák:
    • Nincs egészségügyi adat: a felperesek állításával ellentétben a Doctolib-hez továbbított adatok nem tartalmaznak egészségügyi adatot (GDPR 9. cikk: „A személyes adatok különleges kategóriáinak kezelése”). A tárolt adatok csak a jelentkezők azonosításához és időpont-egyeztetéshez szükséges adatai (GDPR 5. cikk, c): „adattakarékosság”).
    • Az adatokat három hónap elteltével törlik: az adatokat legkésőbb az oltás időpontjától számított három hónap elteltével törlik, és az érintetteknek felajánlják annak a lehetőségét is, hogy közvetlenül az interneten töröljék adataikat. (GDPR 5. cikk, c): „korlátozott tárolhatóság”).

Mindezek miatt a bíróság úgy ítélte meg, hogy a szóban forgó adatok védettségi szintje megfelelő, ezért elutasította a felperesek kérelmét.