Schrems II: Francúzsky súd schválil hosting v USA


Na začiatku marca 2021 vydal francúzsky najvyšší správny súd rozhodnutie, ktoré sa týka aplikácie prelomového rozhodnutia Súdneho dvora EÚ, ktorým zrušil Privacy Shield medzi EÚ a USA – prípad Schrems II. Súd rozhodol, že hosting platformy na objednávanie sa na COVID-19 vakcináciu od spoločnosti Amazon Web Service spĺňa adekvátnu ochranu vyžadovanú GDPR. Predtým existovali dôvodné pochybnosti o tom, či používanie Amazon Web Service na hosting je súladné s GDPR, pretože sprostredkovateľ (AWS) je spoločnosť, ktorá sa riadi americkými zákonmi. Súd v prípade uznal, že sú implementované dostatočné právne a technické záruky pre prípad, ak by americké orgány požadovali prístup k údajom spracúvaných sprostredkovateľom.


Žalobcovia v tomto prípade tvrdili, že hosting údajov o zdraví (ktoré sú podľa GDPR osobitne chránené) zo strany spoločnosti, ktorá sa musí riadiť zákonmi USA predstavuje rôzne riziká nie len z pohľadu prenosov údajov do USA, ale aj z hľadiska povinnosti sprístupniť údaje americkým štátnym orgánom, ak o to požiadajú. Prípad sa spočiatku javil ako porušenie GDPR zo strany prevádzkovateľa spoločnosti Doctolib, ale v konaní sa ukázalo, že prevádzkovateľ v zmysle rozhodnutia Schrems II prijal adekvátne právne a technické záruky. Sudca teda rozhodol v neprospech žaloby, ktorá žiadala ukončiť predmetné spracúvanie.


Rozhodnutie francúzskeho súdu prišlo po starostlivom posúdení právnych, technických a ostatných záruk poskytnutých vo vzťahu medzi Doctolib a Amazon Web Service:

  1. Prevádzkovateľ si so sprostredkovateľom v zmluve nastavil osobitnú procedúru pre prípad žiadostí o prístup zo strany orgánov v cudzej krajine.

  2. Právna záruka spočíva v tom, že sprostredkovateľ sa zaviazal namietať a brániť sa voči žiadostiam o prístup k údajom od štátnych orgánov. .

  3. Sudca zároveň pozitívne vyhodnotil skutočnosť, že údaje budú šifrované prostredníctvom kľúča, ktorý bude pod správou dôveryhodnej tretej strany odlišnej od AWS.


Navyše bolo zistené, že údaje spracúvané spoločnosťou Doctolib neobsahovali citlivé osobné údaje a údaje sú automaticky vymazané po troch mesiacoch od dňa očkovania.


Rozhodnutie francúzskeho súdu je dobrou správou pre online priemysel a hovorí o tom, že ak aktéri pri spracúvaní zodpovedne posúdia riziko, ktoré prenosy predstavujú a príjmu adekvátne právne, organizačné alebo technické opatrenia, budú prenosy do USA v zmysle rozhodnutia Schrems II súladné s GDPR.

Zdroj: https://aphaia.co.uk/en/tag/sccs/