Amazon i Microsoft zmieniają warunki swoich usług.
Przyczyną: Schrems II
Europejski Inspektor Ochrony Danych (EIOD) zaczął właśnie badać, czy najważniejsze instytucje i agencje skutecznie chronią dane osobowe obywateli podczas korzystania z usług chmurowych Amazon AWS i Microsoft Azure. W odrębnym dochodzeniu EIOD zbada również, czy korzystanie przez Komisję Europejską z pakietu Microsoft Office 365 jest zgodne z przepisami o ochronie danych.
EIOD ogłosił rozpoczęcie obu dochodzeń w związku z zapadłym w zeszłym roku orzeczeniem w sprawie Schrems II. Wprowadziło ono nowe przeszkody w przekazywaniu danych osobowych między Stanami Zjednoczonymi – gdzie mają siedzibę Amazon i Microsoft – a UE.
W orzeczeniu tym Trybunał Sprawiedliwości UE stwierdził, że przepisy krajowe w Stanach Zjednoczonych nie spełniają rygorystycznych wymogów ochrony danych ustanowionych przez ogólne rozporządzenie o ochronie danych (RODO), co oznacza, że bez dodatkowych zabezpieczeń dane osobowe obywateli UE nie mogą być bezpiecznie przetwarzane po drugiej stronie Atlantyku.
Przykład? Na podstawie Clarifying Lawful Overseas Use of Data Act (jakże ciekawy skrót: CLOUD) władze amerykańskie mogą wymagać od krajowych dostawców pamięci masowych dostępu do informacji przechowywanych na ich serwerach, nawet jeśli dane te znajdują się za granicą. W Unii Europejskiej to nie do pomyślenia.
Tarcza Prywatności to już przeszłość
W związku z tym organizacja z siedzibą w UE korzystająca z amerykańskiego dostawcy usług w chmurze, takiego jak AWS lub Azure, może się zasadnie obawiać, że niektóre z jej danych – w tym dane osobowe na przykład o klientach lub pracownikach – mogą zostać udostępnione władzom amerykańskim. Dlatego też Trybunał Sprawiedliwości UE unieważnił system, który miał umożliwić swobodny przepływ danych osobowych między Unią Europejską a Stanami Zjednoczonymi, zwany Tarczą Prywatności. Co w zamian? Organizacje musza wdrażać nowe umowy o ochronie prywatności, zwane także standardowymi klauzulami umownymi. W niektórych przypadkach, gdy nawet klauzule są niewystarczające, wymiana danych może zostać zawieszona.
Co będzie badane?
Zidentyfikowaliśmy pewne rodzaje umów, które wymagają szczególnej uwagi i dlatego zdecydowaliśmy się na wszczęcie tych dwóch dochodzeń – powiedział Wojciech Wiewiórowski, Europejski Inspektor Ochrony Danych (tak tak, były Generalny Inspektor Ochrony Danych Osobowych w Polsce odpowiada teraz za te zagadnienia na szczeblu europejskim).Uznajemy, że instytucje Unii Europejskiej – podobnie jak inne podmioty w UE/EOG – są zależne od ograniczonej liczby dużych dostawców. W ramach tych dochodzeń EIOD ma na celu pomóc tym instytucjom i podmiotom w poprawie przestrzegania przez nie ochrony danych podczas negocjowania umów z ich usługodawcami.
W szczególności organ nadzorujący ochronę danych osobowych będzie przyglądał się tak zwanym umowom „Cloud II” zawartym między UE a Microsoft lub Amazon na korzystanie z ich usług w chmurze.
Praktyka
Niedawno Europejska Rada Ochrony Danych zatwierdziła też stosowanie nowego „Kodeksu postępowania w chmurze UE”, który działa jako standard poświadczający, że dany dostawca usług w chmurze jest zgodny z RODO. Między innymi Microsoft Azure i Google Cloud już zadeklarowały przestrzeganie tego kodeksu.
Od czasu orzeczenia w sprawie Schrems II dostawcy usług w chmurze ogłaszają też zmiany w swojej polityce, aby lepiej przestrzegać ograniczeń RODO. Zarówno Microsoft, jak i Amazon obiecały kwestionować wnioski swojego rządu o dostęp do danych klientów, kiedy tylko będą w stanie. Gdy jest to wymagane przez prawo, Amazon zobowiązał się również do ujawnienia minimalnej niezbędnej ilości informacji, podczas gdy Microsoft powiedział, że zapewni rekompensatę pieniężną klientom, których to dotyczy.
Microsoft posunął się nawet o krok dalej, zobowiązując się do umożliwienia klientom z UE przechowywania i przetwarzania większości ich danych w UE do końca 2022 roku, co oznacza, że dane osobowe nie będą już musiały być przesyłane do Stanów Zjednoczonych.
