Amazon AWS – Schrems II
Amazon AWS Schrems II Korábbi cikkünk folytatásaként elsőként az Amazon AWS szolgáltatással foglalkozunk a Schrems II ítélet fényében. Az Amazon régen is jó volt abban, hogy a szolgáltatásait
Korábbi cikkünk folytatásaként elsőként az Amazon AWS szolgáltatással foglalkozunk a Schrems II ítélet fényében.
Az Amazon régen is jó volt abban, hogy a szolgáltatásait adatvédelmi szempontból megfelelően alakítsa ki az EU számára.
Még a GDPR előtt, a 29-es Munkacsoport adta áldását az Amazon AWS szerződési feltételeire, amelyek megállapításuk szerint megfelel a Bizottságnak a Schrems II ítélettel új életre kelt határozatában foglalt szerződésk feltételeknek.
Ezt követően a Privacy Shild részese lett az Amazon is.
Érdekes, hogy az élet úgy hozta, hogy ismét a Bizottság határozatához tértek vissza, hogy jogilag megfelelő körülményeket teremtsenek.
Az Amazon két szintű adatfeldolgozási szerződéses rendszerrel dolgozik:
2. szint: Bizottság határozata szerinti szerződés (később SCC-ként hivatkozzuk a cikkben), ami a DPA melléklete.
A két szint elkülönülésének alapja, hogy ha ügyfélként az EU-s régiót választom, akkor ígéretet tesz számomra az Amazon, hogy nem adja ki az adatot az EU-n kívülre.
Ha pedig mégis nemzetközi adattovábbításra lenne szükség, akkor a szerződés automatikusan a Bizottsági határozat szerinti SCC-t aktivizálja.
Szép áttekintő képet az általános Privacy oldal kínál számunkra, ahol elérhetjük az általános leírását az adatvédelmi vállalásuknak.
Itt leírják, hogy:
Ha tovább kutakodunk, akkor a régiós adatvédelmi információk alatt megtaláljuk még a következő információkat is:
Első fontos rész a 3. pontban szerepel:
„Confidentiality of Customer Data. AWS will not access or use, or disclose to any third party, any Customer Data, except, in each case, as necessary to maintain or provide the Services, or as necessary to comply with the law or a valid and binding order of a governmental body (such as a subpoena or court order). If a governmental body sends AWS a demand for Customer Data, AWS will attempt to redirect the governmental body to request that data directly from Customer. …. If the Standard Contractual Clauses apply, nothing in this Section 3 varies or modifies the Standard Contractual Clauses.”
Ezt követően a 12.1. és 12.2. pont lényeges számunka:
„12.1. Regions. Customer may specify the location(s) where Customer Data will be processed within the AWS Network, including the EU (Dublin) Region, the EU (Frankfurt) Region, the EU (London) Region and the EU (Paris) Region (each a “Region”). ……. If the Standard Contractual Clauses apply, nothing in this Section varies or modifies the Standard Contractual Clauses.”
„12.2. Application of Standard Contractual Clauses. The Standard Contractual Clauses will apply to Customer Data that is transferred outside the EEA, either directly or via onward transfer, to any country not recognised by the European Commission as providing an adequate level of protection for personal data (as described in the GDPR). The Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the EEA. Notwithstanding the foregoing, the Standard Contractual Clauses (or obligations the same as those under the Standard Contractual Clauses) will not apply if AWS has adopted Binding Corporate Rules for Processors or an alternative recognised compliance standard for the lawful transfer of personal data (as defined in the GDPR) outside the EEA.”
A 3. pont és a 12.1. pont is azt írja le, hogy ha az SCC-t alkalmazzuk és elfogadtuk, akkor ezek a pontok nem módosítanak a SCC-én. Ez azért fontos, mivel ezek a pontok elég tág kibújási lehetőséget adnak a továbbítás tilalma alól azzal, hogy a hatósági megkereséseket külön kezelik.
Egyedül a 12.2. pont adhat okok nyugtalanságra, mivel leírja, hogy ha az Amazon BCR-t fogad el, vagy más megfelelő jogalapot talál az adattovábbításhoz az EU-n kívül, akkor az SCC-től függetlenül is végrehajthatja az adattovábbítást. Ilyen egyéb jogalapról nincs tudomásunk.
Ezekben az esetekben is alkalmazni kell viszont a Schrems 2 ítéletben foglaltakat, így nem mehet ki adat olyan irányba, ahol nem megfelelő szintű a védelem.
Az adatátvevő kötelezettsége, hogy azonnal értesítse az adatátadót, ha bűnüldöző hatóság adatot kér tőle.
A szerződés azt nem mondja, hogy ki is adhatja az adatot, azt nem tudjuk, hogy ilyenkor az Amazonnak melyik irányba nagyobb a lojalitása, az ügyfelét védi, vagy a hatóságot szolgálja ki.
Így, ha csak a szerződés szintjén vizsgáljuk az adattovábbítás megfelelőségét, akkor
Az Amazon AWS esetében, egészen addig rendben vagyunk adattovábbítási szempontból, amíg az általunk választott EU régióban tárolja az Amazon az adatot.
Ugyanakkor azt nem zárja ki semmi, hogy az USA a FISA törvény alapján az Amazont arra kötelezze, hogy az EU-s szerverein tárolt adatokból is szolgáltasson adatot.
Ha ez bekövetkezik, akkor pedig abban bízhatunk, hogy a kiadás előtt értesít minket és megakadályozhatjuk az adatok átadását.
Emellett fontos a kapcsolódó szolgáltatások vizsgálata, mivel ha igénybe veszünk olyan kapcsolt szolgáltatást, ami az adatot kikéri EU-n kívülre, akkor azt az Amazon a mi kérésünk szerinti adattovábbításnak fogja tekinteni ezt és a DPA alapján továbbítja (lásd 12.1. pontban, ez a szolgáltatás nyújtásához szükséges az adattovábbítás). Ezért a kapcsolódó szolgáltatások adatfeldolgozási gyakorlatát is meg kell vizsgálnia hogy biztosra mehessünk, hogy a nemzetközi adattovábbítás megfelelő az Amazon szolgáltatásában.
Ha érdekel a téma, akkor gyere el az Adatvédelmi.hu konferenciájára, ahol részletesen beszélek a témáról.
Szerző: dr. Németh Ádám
Az audit keretében az összes tevékenységre kiterjedő komplex, a teljes céget, vagy egy tevékenységi területet (munkaügy, vagy üzleti terület) érintő, dokumentált és ellenőrizhető felmérést valósítunk meg.
Ha csak kérdése lenne egy adatkezeléssel kapcsolatban, NAIH eljárás előtti eljárásban van szüksége képviseletre, vagy megtervezné szolgáltatása adatkezelését, gyors határidővel és reális díjazással segítünk neked.
Ha szeretnél DPO-t a cégedben, ebben tudunk segíteni, közben fel is mérjük a GDPR megfelelést, javaslatot teszünk a fejlesztésekre.
Elkészítjük az adatkezelésekkel kapcsolatos adatvédelmi szabályzatokat, tájékoztatókat, dokumentumokat, hatásvizsgálatot.
Az ajánlatot kérek gomb megnyomásával hozzájárulok az itt megadott adataimnak az adatkezelési tájékoztató szerinti kezeléséhez.
Amazon AWS Schrems II Korábbi cikkünk folytatásaként elsőként az Amazon AWS szolgáltatással foglalkozunk a Schrems II ítélet fényében. Az Amazon régen is jó volt abban, hogy a szolgáltatásait
Schrems II ítélet Az alapügyben M. Schrems kezdeményezett hatósági, majd bírósági eljárást. M. Shrems felhasználója a Facebooknak és sérelmezte, hogy a Facebook Ireland Inc. adatokat továbbít
Informatikai és adatvédelem Egy informatikai fejlesztés esetén komplex adatvédelmi problémával találhatjuk szemben magunkat és itt nem is arra kell gondolni, hogy meg kell tervezni az adatvédelmi