13.05.2021

Francuski Conseil d’Etat o korzystaniu z usług chmurowych świadczonych przez AWS

12 marca 2021 r. Conseil d’Etat – najwyższy organ sądownictwa administracyjnego we Francji – wydał decyzję w sprawie platformy dot. rezerwacji szczepień COVID-19. Sąd orzekł, że dane osobowe – zarządzane przez Doctolib i hostowane przez Amazon Web Services – są wystarczająco chronione, ponieważ zapewniono wystarczające zabezpieczenia, zarówno prawne, jak i techniczne, na wypadek wniosku o dostęp ze strony władz USA.

Sprawa miała jednak szczególny charakter. Decyzja sądu jest wielowarstwowa i może mieć istotne znaczenie również dla podmiotów z Polski korzystających w szczególności z rozwiązań chmurowych, zwłaszcza od dostawców z USA.

Sąd francuski wskazał, że wprawdzie Doctolib nie przekazywał danych osobowych do USA (ponieważ zawarł umowę z AWS Sarl w Luxemburgu i dane trzymał na serwerach w Europie), ale mimo to istnieje ryzyko dostępu do danych dla władz USA, wynikające z faktu, że AWS Sarl w Luxemburgu jest spółką zależną firmy amerykańskiej.

Sąd ten zweryfikował jednak stosowane przez AWS Sarl zabezpieczenia. Według niego wystarczające dla ochrony danych jest, że:

  • umowa zawarta pomiędzy Doctolib a AWS Sarl przewiduje szczególne postępowanie w przypadku wystąpienia o dostęp do danych przez organ zagranicznej administracji. W szczególności AWS Sarl gwarantuje w umowie z Doctolib, że zakwestionuje wszelkie ogólne wnioski o dostęp ze strony takich organów;
  • dane przechowywane przez AWS Sarl są szyfrowane. Klucz z kolei przechowuje zaufana strona trzecią we Francji, aby dodatkowo zapobiec łatwemu odczytaniu danych przez osoby niepożądane;
  • dane usuwane są po max. 3 miesiącach i oprócz tego każdorazowo na życzenie podmiotów danych.

Sprawa ta dowodzi, że zabezpieczenia danych osobowych muszą zaistnieć zawsze, niezależnie od okoliczności. Możliwy jest zgodny z prawem transfer danych osobowych poza Europejski Obszar Gospodarczy (np. do USA). Nawet, jeżeli dotyczy on danych szczególnych kategorii (jak dane o stanie zdrowia). Konieczne jest wtedy jednak spełnienie warunków i indywidualne podejście do oceny każdego transferu.

Kancelaria wspomaga w prowadzeniu takiej oceny swoją fachową wiedzą i doświadczeniem. Więcej na temat można się dowiedzieć podczas konferencji Data Centre Trends.

1 3 4 5 6 7 127

Newsletter

Chcesz być na bieżąco?
Zapisz się do naszego newslettera

Wpisując powyżej swój adres e-mail i klikając „Subskrybuję!” oświadczasz, że zapoznałeś/aś się i akceptujesz Regulamin serwisu oraz zapisujesz się do newslettera, czyli informacji o tematyce prawniczej, w tym informacji o istotnych wydarzeniach z dziedziny prawa, zmian legislacyjnych oraz działalności, usługach i produktach Kancelarii, za pośrednictwem komunikacji e-mail.

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu realizacji usługi newslettera, a tym samym wysyłania na podany adres e-mail informacji handlowych i marketingowych, zgodnie z Polityką Prywatności oraz Regulaminem serwisu. Więcej informacji o zasadach przetwarzania danych osobowych, w tym prawach, jakie Ci przysługują, znajdziesz w Polityce Prywatności.

Please wait...

Dziękujemy za zapisanie się do naszego newslettera