ЕС проверит облачные сервисы Amazon и Microsoft, передающие данные в США

Европейская инспекция по защите данных (European Data Protection Supervisor, EDPS) открыла расследование в отношении облачных сервисов компаний Amazon Web Services и Microsoft в связи с передачей ими персональных данных европейских граждан в Соединенные Штаты.

Внимание к облачной инфраструктуре в EDPS объясняют тем, что технология становится все более популярной, в то время как доминирующие на рынке поставщики услуг — Amazon и Microsoft — попадают под действие американского законодательства, которое, согласно решению суда ЕС по делу C‑311/18, допускает непропорциональную слежку со стороны государственных органов и спецслужб США и не предусматривает гарантии защиты данных, которые бы отвечали критериям Евросоюза.

В рамках первого расследования инспекция проведет анализ условий контрактов между всеми учреждениями, органами и агентствами ЕС (EUI) и двумя американскими компаниями. В рамках второго отдельное внимание будет уделено использованию экосистемы Microsoft Office 365 Европейской комиссией.

«По результатам отчетов, полученных от институтов и органов ЕС, мы определили определенные типы контрактов, которые требуют особого внимания, и именно поэтому мы решили начать эти два расследования», – сказал глава EDPS Войцех Вевиоровски.

Он отметил, что основная цель расследования — помочь EUI корректнее соблюдать требования европейского законодательства о защите данных при заключении контрактов с поставщиками услуг.

Решение суда Европейского союза по «Щиту конфиденциальности»

Упоминая решение суда в Люксембурге, EDPS имеет в виду постановление, оглашенное в июле 2020 года по спору между Facebook и активистом Максом Шремсом.

Тогда суд ЕС изучил действующее на тот момент соглашение между Евросоюзом и США о правилах передачи пользовательских данных, известное также как «Щит конфиденциальности», и пришел к заключению, что правовая новелла не обеспечивает необходимый уровень защиты конфиденциальной информации граждан стран содружества от вмешательства властей США. В этой связи «Щит конфиденциальности» был аннулирован.

После этого решения многие европейские регуляторы начали пересматривать свои рекомендации касательно передачи персональных данных в третьи страны, в том числе в США.

EDPS, в частности, в октябре обязал EUI сообщать о передаче персональных данных в страны, не входящие в ЕС, и предоставить полный отчет с целью выработки дальнейших рекомендацией.