Technológia

Az EU adatvédelmi főnöke az amerikai felhőszolgáltatások használatát vizsgálja

Megnyílt az Európai Unió (EU) adatvédelmi felügyelete két vizsgálat az amerikai alapú felhőszolgáltatások európai közszféra szervezetei általi használatába, hogy kiderüljön, hatékonyan védik-e a polgárok személyes adatait.

Az európai adatvédelmi biztos (EDPS) által végzett első vizsgálat az EU által nyújtott felhőszolgáltatások használatát vizsgálja Amazon Web Services (AWS) és Microsoft a blokk közszféra szervei és ügynökségei között a Cloud II szerződések alapján. A második konkrétan az Európai Bizottság (EK) általi használatát vizsgálja Microsoft Office 365.

A vizsgálatok a program részét képezik Az európai adatvédelmi biztos stratégiája az európai intézmények végrehajtásának biztosítása nemzetközi adattovábbítás az EU adatvédelmi jogszabályainak megfelelően és betartja a Schrems II, amely 2020 júliusában megsemmisítette az EU és az Egyesült Államok közötti adatmegosztási megállapodást a Privacy Shieldről.

Az ítélet megállapította, hogy az amerikai felügyeleti törvények azt jelentették, hogy az Egyesült Államok nem kínált az uniós jogban foglaltakkal egyenértékű adatvédelmi védelmet, és úgy ítélte meg, hogy azok nem voltak arányosak és meghaladták a feltétlenül szükséges mértéket.

A Schrems II megfelelési stratégiája részeként az európai adatvédelmi biztos különféle európai intézményeket utasított arra, hogy jelentést tegyenek személyes adatoknak az EU-n kívüli országokba történő továbbításáról 2020 októberében, és ezt követően elemzést készített.

Az elemzés megerősítette, hogy az uniós szervek egyre inkább támaszkodnak a nagy informatikai szolgáltatóktól származó felhőalapú szoftverekre, infrastruktúrára és platformokra, amelyek némelyike ​​az Egyesült Államokban található, és ezért a tolakodó felügyeleti törvények hatálya alá tartozik.

A US Cloud Actpéldául 2018 márciusában fogadta el, valójában hozzáférést biztosít az Egyesült Államok kormányának az adatokhoz, amelyeket bárhol tárolnak az amerikai vállalatok a felhőben, míg a A külföldi hírszerzés felügyeletéről szóló törvény (FISA) lehetővé teszi az Egyesült Államok főügyészének és a hírszerző szolgálatok igazgatójának, hogy közösen engedélyezzék az USA-n kívüli emberek célzott megfigyelését, amennyiben azok nem amerikai állampolgárok.

“Az uniós intézmények és szervek beszámolójának eredményét követően azonosítottunk bizonyos típusú szerződéseket, amelyek különös figyelmet igényelnek, és ezért döntöttünk a két vizsgálat megindításáról” – mondta Wojciech Wiewiórowski, az európai adatvédelmi biztos vezetője.

„Tudom, hogy a Cloud II szerződéseket 2020 elején írták alá a Schrems II ítélet előtt, és hogy az Amazon és a Microsoft is új intézkedéseket jelentett be annak érdekében, hogy igazodjanak az ítélethez. Mindazonáltal ezek a bejelentett intézkedések nem lehetnek elegendők az EU adatvédelmi jogszabályainak maradéktalan betartásának biztosításához, és ezért szükség van ennek megfelelő kivizsgálására. “

A vizsgálatok eredményétől függően az EU szerveitől megkövetelhetik, hogy a jövőben alternatív felhőszolgáltatókat találjanak.

A Microsoft szóvivője szerint a vállalat aktívan támogatni fogja az uniós intézményeket az európai adatvédelmi biztos kérdéseinek megválaszolásában, és bízik abban, hogy minden aggodalmat gyorsan megoldanak.

„A mi biztosításunk szemlélete megfelelnek és meghaladják az EU adatvédelmi követelményeit változatlanul marad. Az Adatok védelme kezdeményezés részeként elköteleztük magunkat megtámadhatja az EU-s közszféra vagy a kereskedelmi ügyfelek adatainak minden kormányzati kérését ahol erre törvényes alapunk van – mondták.

„Pénzbeli kompenzációt nyújtunk ügyfeleink felhasználóinak, ha az adatvédelmi törvények megsértésével hozunk nyilvánosságra adatokat, amelyek kárt okoznak. Elkötelezettek vagyunk a szabályozók útmutatásainak megválaszolása mellett, és folyamatosan törekszünk az ügyfelek adatvédelmének megerősítésére. “

Míg a Microsoft elkötelezte magát egy EU adathatár 2022 végére az adatvédelmi szakértők hallgatólagos beismerésként kritizálta a lépést, miszerint az adatokat a blokkon kívül rendszeresen feldolgozzák, azt állítva, hogy nincs megvalósítható módszer, amely megvédené az európai polgárok adatait attól, hogy a tengerentúlra továbbítsák azokat az Egyesült Államokba, ahol alacsonyabb szintű védelem van.

Az Amazon esetében, amely elkötelezte magát a bűnüldözési adatok iránti kérelmek megtámadása mellett, és csak a szükséges adatok minimális mennyiségének nyilvánosságra hozatalára kényszerítve, a szóvivő elmondta: „Az uniós intézmények képesek az AWS szolgáltatásait a Schrems II követelményeinek megfelelően használni és örömmel támogatjuk ügyfeleinket, amikor ezt bemutatják az európai adatvédelmi biztosnak.

– A mi megerősített szerződéses kötelezettségvállalások az ügyfelek adatainak védelme meghaladja a Schrems II ítélet által előírtakat, a bűnüldözési kérelmek megtámadásának hosszú tapasztalataira építve.

Június 4-én az európai szervezetek 18 hónapot kaptak új adatátviteli megállapodások bevezetése, az úgynevezett standard szerződéses záradékok (SCC), az adatok Európa és más országok, köztük az Egyesült Államok és potenciálisan az Egyesült Királyság közötti mozgatására, amely hamarosan harmadik országként létezik a blokkon kívül.

Az Európai Bizottság (EK) által nyújtott átdolgozott SCC-k erőteljesebb védelmet tartalmaznak annak biztosítására, hogy a tengerentúlon továbbított személyes adatokat ne hozzák nyilvánosságra a külföldi kormányok és hírszerző szolgálatok számára, és kifejezetten tartalmazzák az általános adatvédelmi rendelet (GDPR) követelményeit.

“Ezekkel a megerősített záradékokkal nagyobb biztonságot és jogbiztonságot biztosítunk a vállalatoknak az adatátvitel terén” – mondta Didier Reynders, az Európai Bizottság igazságügyi biztosa. „A Schrems II ítélet után kötelességünk és prioritásunk volt felhasználóbarát eszközöket kidolgozni, amelyekre a vállalatok teljes mértékben támaszkodhatnak. Ez a csomag jelentősen segíti a vállalatokat abban, hogy megfeleljenek a GDPR-nek. ”

Bridget Treacy és David Dumont, a Huton Andrews Kurth ügyvédi iroda partnerei szerint még nem világos, hogy az európai adatvédelmi szabályozók egyetértenek-e abban, hogy az SCC-k elegendők anélkül, hogy a vállalatok további intézkedéseket vezetnének be.

“Azt még várni kell, hogy az Európai Adatvédelmi Testület milyen mértékben fogja figyelembe venni az új SCC-ket a megfelelő szintű védelem biztosításában, vagy a szabályozók további szerződéses, szervezeti, technikai vagy egyéb biztosítékokat követelnek-e meg” – mondták. írásos elemzés.