Amazon gick i samband med Schrems II-avgörandet ut med ett uttalande i vilket de hävdade att deras kunder fortsatt kan överföra personuppgifter till Amazon Web Services (AWS) i enlighet med GDPR. Detta mot bakgrund av de SCC klausuler inkluderat i AWS personuppgiftsbiträdesavtal samt den höga nivå av säkerhet och omfattande skyddsåtgärder som AWS vidtar vid behandlingen av personuppgifter. Nu presenteras på AWS blogg ett tillägg till AWS personuppgiftsbiträdesavtal som syftar till att ytterligare förstärka detta skydd. Skyddet påstås gå längre än vad som krävs enligt Schrems II och än vad som för närvarande erbjuds av andra leverantörer.
Tillägget till personuppgiftsbiträdesavtal innebär att AWS åtar sig att:
- AWS ska bestrida en från ett statligt organ/myndighet (vare sig inom eller utanför EES) rättslig begäran av kunduppgifter i de fall begäran strider mot EU-lagstiftning, begäran är för omfattande eller det föreligger andra lämpliga skäl för AWS att bestrida en sådan begäran.
- Om AWS, trots sitt bestridande mot bakgrund av en rättsligt giltig och bindande begäran, tvingas röja sina kunders personuppgifter, så ska AWS säkerställa att de personuppgifter som röjs begränsas till ett minimum för att tillgodose begäran.
De nya åtagandena gäller för alla personuppgifter AWS behandlar, oavsett om de överförs till ett land inom eller utanför EES. Tillägget gäller automatiskt om man som kund använder AWS och kräver inte att någon ytterligare åtgärd vidtas. AWS menar att möjligheten att erbjuda detta förstärkta skydd bl.a. bygger på en lång erfarenhet av att hantera begäran från myndigheter i olika länder, inklusive USA, där AWS begränsat, eller helt och hållet avvisat begäran som inneburit inskränkningar i skyddet av personuppgifter. AWS pekar även på flera av de säkerhetsåtgärder AWS erbjuder, såsom verktyg som gör det möjligt för kunden att avgöra var data ska lagras, hur den skyddas och vem som har åtkomst.
Det är i grunden givetvis positivt att stora leverantörer av tjänster som behandlar personuppgifter även utanför EES, vidtar åtgärder med ambitionen att möta GDPRs krav och den rättsliga utvecklingen. IT-advokaterna vill dock varna för att ett sådant kontraktuellt tillägg som AWS beskriver ovan, inte självklart eller per automatik utgör en sådan kompletterande åtgärd till SCC klausulerna (vilket är den överföringsmekanism som AWS lutar sig mot) som innebär att tredjelandsöverföring är tillåten. Bakgrunden till att det amerikanska ramverket Privacy Shield (som tidigare använts som överföringsmekanism) ogiltighetsförklarades av domstolen i Schrems II är något förenklat, det faktum att ramverket inte tillförsäkrade registrerade vars personuppgifter har överförts till USA, faktiska och verkställbara rättigheter mot amerikanska myndigheter. Att AWS åtar sig att bestrida en begäran från en amerikansk myndighet innebär inte att registrerade därigenom har några sådana rättigheter. En bedömning måste således fortfarande göras i det enskilda fallet.
Vill du veta mer om AWS tillägg, Schrems II eller om tillåtna tredjelandsöverföringar, vänligen kontakta en IT-advokat.
