12 marca 2021 r. Conseil d’Etat – najwyższy organ sądownictwa administracyjnego we Francji – wydał decyzję w sprawie platformy dot. rezerwacji szczepień COVID-19. Sąd orzekł, że dane osobowe – zarządzane przez Doctolib i hostowane przez Amazon Web Services – są wystarczająco chronione, ponieważ zapewniono wystarczające zabezpieczenia, zarówno prawne, jak i techniczne, na wypadek wniosku o dostęp ze strony władz USA.
Sprawa miała jednak szczególny charakter. Decyzja sądu jest wielowarstwowa i może mieć istotne znaczenie również dla podmiotów z Polski korzystających w szczególności z rozwiązań chmurowych, zwłaszcza od dostawców z USA.
Sąd francuski wskazał, że wprawdzie Doctolib nie przekazywał danych osobowych do USA (ponieważ zawarł umowę z AWS Sarl w Luxemburgu i dane trzymał na serwerach w Europie), ale mimo to istnieje ryzyko dostępu do danych dla władz USA, wynikające z faktu, że AWS Sarl w Luxemburgu jest spółką zależną firmy amerykańskiej.
Sąd ten zweryfikował jednak stosowane przez AWS Sarl zabezpieczenia. Według niego wystarczające dla ochrony danych jest, że:
- umowa zawarta pomiędzy Doctolib a AWS Sarl przewiduje szczególne postępowanie w przypadku wystąpienia o dostęp do danych przez organ zagranicznej administracji. W szczególności AWS Sarl gwarantuje w umowie z Doctolib, że zakwestionuje wszelkie ogólne wnioski o dostęp ze strony takich organów;
- dane przechowywane przez AWS Sarl są szyfrowane. Klucz z kolei przechowuje zaufana strona trzecią we Francji, aby dodatkowo zapobiec łatwemu odczytaniu danych przez osoby niepożądane;
- dane usuwane są po max. 3 miesiącach i oprócz tego każdorazowo na życzenie podmiotów danych.
Sprawa ta dowodzi, że zabezpieczenia danych osobowych muszą zaistnieć zawsze, niezależnie od okoliczności. Możliwy jest zgodny z prawem transfer danych osobowych poza Europejski Obszar Gospodarczy (np. do USA). Nawet, jeżeli dotyczy on danych szczególnych kategorii (jak dane o stanie zdrowia). Konieczne jest wtedy jednak spełnienie warunków i indywidualne podejście do oceny każdego transferu.
Kancelaria wspomaga w prowadzeniu takiej oceny swoją fachową wiedzą i doświadczeniem. Więcej na temat można się dowiedzieć podczas konferencji Data Centre Trends.