Přenos osobních údajů z EU do USA: Podle francouzské Státní rady rozhodují smlouva a technologie

Francouzské ministerstvo zdravotnictví svěřilo rezervační systém očkování proti COVID-19 mimo jiné i společnosti Doctolib. Podle odpůrců této konkrétní spolupráce však dochází k transferu dat do USA, a tedy k ohrožení osobních údajů francouzských pacientů. Odvolávají se na rozsudek Soudního dvora Evropské unie v případu Schrems II.

Zdravotnická profesní sdružení a odborové svazy usilují o pozastavení partnerství mezi francouzským Ministerstvem sociálních věcí a zdravotnictví a Doctolibem. Vadí jim, že Doctolib hostil platformu pro rezervaci termínů očkování proti Covid-19 na serverech AWS Sarl. Jde o dceřinou společnost americké Amazon Web Services. AWS Sarl sice sídlí v EU, ale podléhá právním předpisům USA. Podle názoru žalobců představuje vysoké riziko fakt, že orgány USA mohou v souladu s tamní legislativou požádat o přístup k citlivým zdravotním údajům. To je podle rozhodnutí Soudního dvora Evropské unie v případu Schrems II neslučitelné s GDPR.

Partnerství mezi francouzským ministerstvem zdravotnictví a Doctolibem nekončí.
Francouzská Státní rada však 12. března 2021 žádost o předběžné opatření zamítla. Po posouzení smlouvy mezi Doctolibem a AWS Sarl poznamenala, že smlouva nepožaduje přenos dat do USA a zároveň stanoví, že data musí být hostována na serverech v EU. Nicméně usoudila, že AWS jako dceřiná společnost americké společnosti může podléhat žádostem o přístup ze strany amerických orgánů na základě výkonného nařízení 12333 nebo článku 702 zákona FISA, a proto zkoumala úroveň zajištění ochrany osobních údajů podle smlouvy.


Jak v současnosti provádět transfer dat mimo EU v souladu s GDPR? Doporučení Evropského sboru pro ochranu osobních údajů jsme pro vás zestručnili v článku Zrušení štítu soukromí – jak si poradit s předáváním dat do USA podle Evropského sboru pro ochranu osobních údajů.

Nakonec Státní rada dospěla k závěru, že strany zavedly smluvní, technická a organizační opatření, která poskytují dostatečné záruky pro osobní údaje, jmenovitě:
  • Smlouva stanoví konkrétní postup v případě žádostí zahraničního orgánu o přístup a obsahuje povinnost AWS zpochybnit jakýkoli obecný přístup k údajům ze strany veřejného orgánu.
  • Data jsou hostována na serverech EU, jsou šifrována a klíč je uchováván třetí stranou ve Francii.
  • Údaje o rezervaci jsou automaticky vymazány po třech měsících a mohou být vymazány ručně samotnými subjekty údajů.
  • Údaje shromážděné při rezervaci termínu očkování nepředstavují zdravotní údaje, protože neuvádějí zdravotní důvody pro způsobilost k očkování ani prioritu z důvodu konkrétního zdravotního problému. Zpracovávají se pouze kontaktní informace nezbytné pro identifikaci jednotlivců pro sjednávání schůzek.

„Uvedené rozhodnutí dává ostatním podnikům určitý návod, jak postupovat při řešení rizika vyplývajícího ze spolupráce se společnostmi, na které dopadá (ať už přímo, nebo nepřímo prostřednictvím jejich dodavatelů) rozhodnutí Schrems II,“ vyzdvihuje Jakub Hruška z Privatry.

Tisková zpráva je k dispozici zde a rozhodnutí je k dispozici zde (pouze ve francouzštině).

Mohlo by vás také zajímat:

Společné prohlášení o ochraně údajů a soukromí v reakci na COVID-19

Zrušení štítu soukromí – jak si poradit s předáváním dat do USA podle Evropského sboru pro ochranu osobních údajů

Soudní dvůr EU nepovažuje USA za zemi, ve které jsou osobní údaje chráněny v souladu s evropskými pravidly. Co to znamená pro firmy v EU?