Korzystanie z usługi Amazon Web Services i „zaloguj przez Facebook” może naruszać RODO

O tym, że korzystanie przez administratorów przetwarzających dane osobowe z usług świadczonych przez podmioty amerykańskie może wiązać się z ryzykiem prawnym nikogo przekonywać już chyba nie trzeba. Dziś zatem czas na kilka zdań o tym, że przekazywanie danych na serwery Amazon — ich przetwarzanie w ramach usługi AWS — może być zakwalifikowane jako niezgodne z RODO przekazywanie danych do państwa trzeciego (wyrok Sądu UE z 8 stycznia 2025 r., w/s Thomas Bindl vs. Komisja Europejska, T-354/22).


Szczodre park
Ujęcie czysto ilustracyjne (fot. Olgierd Rudak, CC BY-SA 4.0)

opis stanu faktycznego:

  • sprawa zaczęła się od przeglądania „strony internetowej Konferencji w sprawie przyszłości Europy pod adresem https://futureu.europa.eu (aktualnie adres ten przekierowuje do serwisu archive-it.org);
  • podczas czego internauta („interesuje się kwestiami z dziedziny informatyki i ochrony danych osobowych”) zauważył, że jego dane — w tym informacja o adresie IP — zostały przekazane do Amazona w U.S.A. (na serwery znajdujące się w stanie New Jersey) — bo Komisja Europejska, jako administrator strony, korzystała z usług Amazon Web Services, w tym Amazon CloudFront…

art. 46 rozporządzenia 2018/1725 w/s ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych
Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy – z zastrzeżeniem innych przepisów niniejszego rozporządzenia – administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, że nie zostanie naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.

  • …zatem wniósł do inspektora ochrony danych KE o udzielenie stosownych informacji (gdzieś tam pojawia się także wątek Microsoftu i uwierzytelnienia się za pomocą usługi „zaloguj się przez Facebooka”)….

W szczególności jego adres IP oraz informacje o przeglądarce i terminalu, zostały przekazane do Stanów Zjednoczonych. Po pierwsze, wspomniana strona internetowa korzysta bowiem z sieci dostarczania treści zwanej „Amazon CloudFront”, której operatorem jest Amazon Web Services, amerykańska spółka zależna amerykańskiej spółki Amazon.com. Po drugie, podczas tego przeglądania dane osobowe skarżącego zostały wysłane do usługi Amazon CloudFront, a dokładniej do serwera Amazon.com zlokalizowanego w Seattle (Waszyngton, Stany Zjednoczone), którego adres IP to 18.66.192.74. Po trzecie, Amazon dostarczył klucza bezpieczeństwa używanego przez stronę internetową KoPE (zwanego dalej „certyfikatem SSL”), w związku z czym należy domniemywać, że miał on możliwość odkodowania wszystkich danych osobowych skarżącego przekazanych na jego serwery, w tym opinii skarżącego na temat przyszłości Europy. Po czwarte, przedsiębiorstwo, które świadczy usługę Amazon CloudFront, podlega prawu amerykańskiemu, a zatem jest zobowiązane do przekazywania informacji służbom bezpieczeństwa i wywiadu w Stanach Zjednoczonych, i to nawet w przypadku, gdy serwery są zlokalizowane poza tym państwem.

  • …a ponieważ odpowiedź była niesatysfakcjonująca — że może sobie sam wygenerować informację o przetwarzaniu danych, zaś usługę AWS świadczy spółka Amazon Web Services EMEA SARL z Luksemburga, a więc żadne dane nie zostały przekazane poza Europejski Obszar Gospodarczy — mężczyzna wniósł do Sądu UE skargę, w której domagał się 800 euro zadośćuczynienia za naruszenie prawa do informacji oraz 400 euro za krzywdę wynikającą z bezprawnego przekazania jego danych osobowych do państwa trzeciego;

orzeczenie Sądu UE (w bardzo dużym skrócie):

  • w wydanym wyroku Sąd UE przypomniał, że operacja przekazywania danych do państwa trzeciego stanowi jedną z czynności składających się na przetwarzanie danych osobowych; przekazywanie danych polegać może także na korzystaniu z określonej infrastruktury teleinformatycznej (gromadzeniu danych na serwerze zlokalizowanym poza Unia Europejską, etc.);
  • operacja taka nie jest jednak aktem prawnym Komisji, a więc nie można stwierdzić jej nieważności — można natomiast analizować zarówno sam fakt przekazania danych do Stanów Zjednoczonych, jak i udzielenia wymaganych informacji;
  • co do zasady rozporządzenie regulujące zasady przetwarzania danych osobowych przez instytucje UE (w tym KE) jest podobne do RODO, zarówno w zakresie obowiązków informacyjnych (w tym o odbiorcach danych), zabezpieczenia danych, jak i odpowiedzialności odszkodowawczej (dla jasności: przekazywanie danych do państwa trzeciego reguluje art. 44 RODO;
  • biorąc zatem pod uwagę, iż obie decyzje Komisji Europejskiej stwierdzające odpowiedni stopień ochrony dotyczące Stanów Zjednoczonych zostały uznane za nieważne — w czasie, kiedy KE korzystała z infrastruktury Amazona nie istniała podstawa prawna pozwalająca przyjąć, iż system prawny U.S.A. zapewnia odpowiedni stopień ochrony (por. „Facebook nie może przekazywać danych osobowych europejskich użytkowników do U.S.A. na podstawie „Tarczy Prywatności””);
  • Komisja Europejska, decydując się na skorzystanie z rozwiązań informatycznych oferowanych przez Amazona…

usługa Amazon CloudFront jest usługą internetową, która przyspiesza dystrybucję treści internetowych użytkownikom, w niniejszym przypadku treści strony internetowej KoPE. Usługa Amazon CloudFront rozpowszechnia treść za pośrednictwem globalnej sieci serwerów lub centrów danych zwanych „punktami brzegowymi” lub „serwerami brzegowymi”. Usługa Amazon CloudFront opiera się na mechanizmie przekierowywania, który przekierowuje żądanie użytkownika strony internetowej KoPE do serwera brzegowego, który zapewnia najniższą latencję, zgodnie z zasadą bliskości względem terminalu użytkownika, w celu przekazania treści użytkownikowi w najlepszych możliwych warunkach”)

  • …chociaż podpisała umowę z luksemburską spółką Amazona, zgodziła się na przekazywanie danych na serwery usytuowane poza EOG — i nawet jeśli takie przypadki są (ze względów technologicznych) rzadkie, to jednak istnieje takie ryzyko — a więc można mówić o ryzyku naruszenia prawa do prywatności;
  • (sporny serwer AWS znajdował się jednak na terytorium Niemiec, więc transferu danych poza EOG zarzucać się nie da)
  • inaczej natomiast oceniać należy korzystanie z usługi uwierzytelniania się użytkowników serwisów KE poprzez usługę „zaloguj się przez Facebooka”, w toku którego informacje o adresie IP użytkownika zostały przekazane na amerykańskie serwery.

Stwierdzając, iż zgoda KE na przekazywanie danych osobowych użytkowników serwisu internetowego na serwery Facebooka uzasadnia żądanie zapłaty zadośćuczynienia, Sąd przyznał skarżącemu kwotę 400 euro za doznaną krzywdę.
(Dla jasności: od wyroku Sądu UE przysługuje odwołanie do TSUE.)

Tytułem komentarza: wyrok dotyczy KE i został oparty na innych przepisach — ale problem (i ryzyko) dotyczy każdego podmiotu, który decyduje się na przetwarzanie danych poza EOG. Wprawdzie aktualnie sprawa transferu danych do U.S.A. wydaje się rozwiązana (UE-US Data Privacy Framework), jednak dokument ten „kryje” tylko ryzyka późniejsze, no i nie dotyczy tego, czego nie dotyczy (a nie dotyczy przetwarzania danych na serwerach w innych krajach).

[edit późniejszy] tekst nieco zmodyfikowałem, ponieważ doczytałem, że sporny serwer AWS był umiejscowiony na obszarze EOG.

subskrybuj
Powiadom o
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

14 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
14
0
komentarze są tam :-)x