Regulator perlindungan data utama Eropa telah membuka dua penyelidikan terhadap penggunaan layanan cloud oleh lembaga UE dari raksasa cloud AS, Amazon dan Microsoft, di bawah apa yang disebut kontrak Cloud II yang ditandatangani sebelumnya antara badan, lembaga, dan agensi Eropa serta AWS dan Microsoft.
Investigasi terpisah juga telah dibuka untuk penggunaan Microsoft Office 365 oleh Komisi Eropa untuk menilai kepatuhan terhadap rekomendasi sebelumnya, kata Pengawas Perlindungan Data Eropa (EDPS) hari ini.
Wojciech Wiewiórowski sedang menyelidiki penggunaan layanan cloud AS oleh UE sebagai bagian dari strategi kepatuhan yang lebih luas yang diumumkan Oktober lalu menyusul keputusan penting oleh Pengadilan Kehakiman (CJEU) — alias, Schrems II — yang membatalkan transfer data Privacy Shield UE-AS perjanjian dan meragukan kelangsungan mekanisme transfer data alternatif dalam kasus di mana data pribadi pengguna UE mengalir ke negara ketiga di mana mungkin berisiko dari rezim pengawasan massal.
Pada bulan Oktober, kepala regulator privasi UE meminta lembaga-lembaga blok untuk melaporkan transfer data pribadi mereka ke negara-negara non-UE. Analisis ini menegaskan bahwa data mengalir ke negara ketiga, kata EDPS hari ini. Dan itu mengalir ke AS khususnya – karena ketergantungan badan-badan UE pada penyedia layanan cloud besar (banyak di antaranya berbasis di AS).
Itu tidak mengherankan. Namun langkah selanjutnya bisa sangat menarik karena EDPS ingin menentukan apakah kontrak sejarah tersebut (yang ditandatangani sebelum putusan Schrems II) sesuai dengan putusan CJEU atau tidak.
Memang, EDPS hari ini memperingatkan bahwa mereka mungkin tidak — yang karenanya dapat mengharuskan badan UE untuk menemukan penyedia layanan cloud alternatif di masa mendatang (kemungkinan besar yang berlokasi di dalam UE, untuk menghindari ketidakpastian hukum). Jadi penyelidikan ini bisa menjadi awal dari migrasi yang diinduksi regulator di UE menjauh dari raksasa cloud AS.
Mengomentari dalam sebuah pernyataan, Wiewiórowski mengatakan: “Mengikuti hasil dari latihan pelaporan oleh lembaga dan badan UE, kami mengidentifikasi jenis kontrak tertentu yang memerlukan perhatian khusus dan inilah mengapa kami memutuskan untuk meluncurkan dua penyelidikan ini. Saya mengetahui bahwa ‘kontrak Cloud II’ telah ditandatangani pada awal tahun 2020 sebelum keputusan ‘Schrems II’ dan bahwa baik Amazon maupun Microsoft telah mengumumkan langkah-langkah baru dengan tujuan untuk menyesuaikan diri dengan keputusan tersebut. Namun demikian, langkah-langkah yang diumumkan ini mungkin tidak cukup untuk memastikan kepatuhan penuh terhadap undang-undang perlindungan data UE dan karenanya perlu menyelidikinya dengan benar.”
Amazon dan Microsoft telah dihubungi dengan pertanyaan terkait tindakan khusus apa pun yang telah mereka terapkan pada kontrak Cloud II ini dengan badan UE.
Memperbarui: Seorang juru bicara Microsoft kini telah mengirimkan pernyataan ini:
“Kami akan secara aktif mendukung institusi UE untuk menjawab pertanyaan yang diajukan oleh Pengawas Perlindungan Data Eropa dan percaya diri untuk mengatasi masalah apa pun dengan cepat. Pendekatan kami untuk memastikan bahwa kami mematuhi dan melampaui persyaratan perlindungan data UE tetap tidak berubah. Sebagai bagian dari inisiatif Membela Data Anda, kami telah berkomitmen untuk menentang setiap permintaan pemerintah untuk sektor publik UE atau data pelanggan komersial di mana kami memiliki dasar yang sah untuk melakukannya. Dan kami akan memberikan kompensasi uang kepada pengguna pelanggan kami jika kami mengungkapkan data yang melanggar undang-undang privasi yang berlaku yang menyebabkan kerugian. Kami tetap berkomitmen untuk menanggapi panduan dari regulator dan akan terus berupaya memperkuat perlindungan privasi pelanggan.”
Pembaruan II: Amazon juga telah mengirimkan pernyataan ini kepada kami:
“Institusi UE dapat menggunakan layanan AWS sesuai dengan persyaratan Schrems II dan kami dengan senang hati mendukungnya pelanggan kami saat mereka mendemonstrasikan hal ini kepada Pengawas Perlindungan Data Eropa (EDPS). Kami diperkuat komitmen kontraktual untuk melindungi data pelanggan melampaui apa yang diwajibkan oleh keputusan Schrems II, membangun rekam jejak panjang kami dalam permintaan penegakan hukum yang menantang.”
EDPS mengatakan ingin lembaga-lembaga UE memimpin dengan memberi contoh. Dan itu terlihat penting mengingat bagaimana, meskipun ada peringatan publik dari Dewan Perlindungan Data Eropa (EDPB) tahun lalu – mengatakan tidak akan ada masa tenggang peraturan untuk menerapkan implikasi dari penilaian Schrems II – belum ada transfer data besar kembang api belum.
Alasan yang paling mungkin untuk itu adalah reaksi head-in-the-sand yang cukup banyak dan / atau penyesuaian dangkal yang dilakukan pada kontrak dengan harapan memenuhi batasan hukum (tetapi belum diuji oleh pengawasan peraturan).
Bimbingan akhir dari EDPB juga masih tertunda, meskipun Dewan mengeluarkan nasihat rinci pada musim gugur yang lalu.
Putusan CJEU memperjelas bahwa hukum UE di bidang ini tidak dapat diabaikan begitu saja. Jadi ketika regulator data blok mulai meneliti kontrak yang mengeluarkan data dari UE, beberapa dari pengaturan ini, mau tidak mau, akan ditemukan kurang — dan aliran data terkait mereka diperintahkan untuk dihentikan.
Intinya: Keluhan jangka panjang terhadap transfer data UE-AS Facebook – diajukan oleh Max Schrems yang eponymous, seorang juru kampanye dan pengacara privasi UE yang sudah lama, sejak tahun 2013 – melambat menuju kemungkinan seperti itu.
Musim gugur yang lalu, menyusul putusan Schrems II, regulator Irlandia memberi Facebook perintah awal untuk menghentikan pemindahan data orang Eropa. Facebook berusaha untuk menantangnya di pengadilan Irlandia tetapi upayanya untuk memblokir proses awal bulan ini gagal. Jadi sekarang bisa menghadapi perintah penangguhan dalam beberapa bulan.
Bagaimana Facebook mungkin merespons adalah dugaan siapa pun, tetapi Schrems menyarankan kepada TechCrunch musim panas lalu bahwa perusahaan pada akhirnya perlu menggabungkan layanannya, menyimpan data pengguna UE di dalam UE.
Putusan Schrems II secara umum terlihat seperti akan menjadi kabar baik bagi penyedia layanan cloud yang berbasis di UE yang dapat memposisikan diri untuk menyelesaikan masalah ketidakpastian hukum (bahkan jika harganya tidak kompetitif dan/atau tidak dapat diskalakan seperti perusahaan dominan yang berbasis di AS). raksasa awan).
Memperbaiki undang-undang pengawasan AS, sementara itu – sehingga mendapat pengawasan independen dan mekanisme ganti rugi yang dapat diakses untuk non-warga negara agar tidak lagi dianggap sebagai ancaman terhadap data rakyat UE, seperti yang telah berulang kali ditemukan oleh hakim CJEU – kemungkinan besar akan memakan banyak waktu. lebih dari ‘bulan’. Jika memang otoritas AS dapat diyakinkan tentang perlunya mereformasi pendekatan mereka.
Namun, jika regulator UE akhirnya mulai mengambil tindakan pada Schrems II – dengan memerintahkan transfer data UE-AS profil tinggi untuk dihentikan – itu mungkin membantu memusatkan pikiran pembuat kebijakan AS ke arah reformasi pengawasan. Kalau tidak, penyimpanan lokal mungkin menjadi normal baru di masa depan.
