Amazon Web Services (”AWS”) är en populär molntjänst som används av många företag, myndigheter och organisationer. Att använda AWS innebär i många fall att personuppgifter behandlas och även överförs till tredjeländer som till exempel USA. Detta innebär att dataskyddsförordningens (”GDPR”) krav gäller vid användning av AWS. I denna artikel analyserar vi några av de viktigaste kraven.
Vad är Amazon Web Services?
AWS är en plattform för molntjänster som tillhandahålls av företaget Amazon. AWS erbjuder olika typer av molntjänster som till exempel tjänsten Amazon Elastic Compute Cloud (“EC2”) som tillhandahåller kluster av virtuella servrar. AWS datacenter finns placerade runt om i hela världen, bland annat i Sverige. Användarna kan själva bestämma vilket AWS datacenter som ska användas för att tillhandahålla användarens molntjänster. På detta sätt kan användarna välja i vilken region av världen data ska lagras och behandlas. Exempel på regioner är ”North America” och ”Europe/Middle East/Africa”.
Behandlas personuppgifter i Amazon Web Services?
Om användare laddar upp data innehållandes personuppgifter i AWS molntjänster innebär detta en behandling av personuppgifter i GDPR:s mening. Detta gäller även om AWS endast används för lagring eller arkivering av data som innehåller personuppgifter. I de flesta fall samlar AWS även in data om hur användare använder tjänsterna, så kallad användardata. I den utsträckning denna data är kopplad till individer utgör den personuppgifter. Exempel på detta är uppgifter som loggas och som innehåller ip-nummer eller användar-id.
Är Amazon Web Services ett personuppgiftsbiträde?
AWS behandlar data som användare laddar upp i molntjänsterna på uppdrag av användaren. Om denna data innehåller personuppgifter blir AWS ett personuppgiftsbiträde. Detta gäller trots att merparten av behandlingen sker på automatisk väg. AWS kan även klassas som personuppgiftsbiträde för behandling av användardata samtidigt som det finns ett utrymme för att klassa AWS som personuppgiftsansvarig för hela eller delar av denna behandling.
Krävs det ett personuppgiftsbiträdesavtal?
Eftersom AWS normalt klassas som personuppgiftsbiträde krävs ett personuppgiftsbiträdesavtal. AWS har själva gjort bedömningen att AWS är ett personuppgiftsbiträde och tillhandahåller ett standardiserat biträdesavtal (data processing addendum, se avtalet i sin version från den 25 maj 2018). Biträdesavtalet innehåller även EU-kommissionens standardavtalsklausuler för tredjelandsöverföringar.
Överför Amazon Web Services personuppgifter till USA?
Trots att AWS användare kan välja specifika datacenter, som till exempel datacenter i Sverige eller på Irland, förekommer överföringar av personuppgifter till USA eller andra länder. Detta framgår tydligt av punkt 12.1 i AWS biträdesavtal:
“AWS will not transfer Customer Data from Customer’s selected Region(s) except as necessary to provide the Services initiated by Customer, or as necessary to comply with the law or binding order of a governmental body.”
Vidare framgår det av standardavtalsklausulerna (som är en del av biträdesavtalet) att personuppgifter överförs till USA. Att bestämma att databehandling i AWS ska ske i en specifik region utesluter således inte att AWS kommer att överföra personuppgifter till USA och andra tredjeländer. Följaktligen innebär användning av AWS en risk att överföra personuppgifter till USA i strid med GDPR och en risk för sanktionsavgifter (läs mer om detta här) samt risk för skadeståndskrav från de registrerade (läs mer om detta här).
Vem har ansvaret för att säkerställa att GDPR efterlevs?
Den som upphandlar AWS för behandling av data som innehåller personuppgifter blir personuppgiftsansvarig. Enligt GDPR är upphandlaren huvudansvarig för att säkerställa att reglerna i GDPR efterlevs vid användning av AWS. Denna bedömning påverkas inte av att AWS tillhandahåller en färdigpaketerad molntjänst med villkor som inte kan ändras, och detta ansvar kan inte heller avtalas bort.
Ett företag eller en myndighet som använder AWS och som följd av detta överför personuppgifter till USA (potentiellt i strid med GDPR) blir ansvarig för denna överföring eftersom denne har instruerat AWS att genomföra behandlingen. Detta gäller även om myndigheten eller företaget anlitar en leverantör som i sin tur anlitar AWS som underleverantör. Företagets eller myndighetens ansvar för att säkerställa att GDPR efterlevs sträcker sig över hela kedjan av leverantörer och underleverantörer. Genomför en av dessa leverantörer eller underleverantörer en behandling av personuppgifter i enlighet med avtalet (som till exempel potentiella otillåtna tredjelandsöverföringar) men i strid med GDPR, blir företaget eller myndigheten huvudansvarig för behandlingen och kan därmed riskera sanktionsavgifter.
Vad bör vi göra nu?
Ovanstående resonemang gäller även för andra molntjänstplattformer som till exempel Microsoft Azure. Företag, myndigheter och andra organisationer som använder AWS och liknande molntjänstleverantörer bör därför analysera huruvida de uppfyller kraven i GDPR, särskilt när det gäller överföring av personuppgifter till USA. Om det visar sig att kraven inte uppfylls rekommenderas att verksamheterna vidtar åtgärder som till exempel att hitta alternativa leverantörer. Företag, myndigheter och andra organisationer som inte är säkra på huruvida de, deras leverantörer eller underleverantörer använder AWS eller liknande molntjänster bör genomföra en kartläggning av verksamhetens användning av molntjänster och rekommenderas att följa upp denna med en analys och, om nödvändigt, specifika åtgärder.
Vill du lära dig mer om dataskydd och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och informationssäkerhet kan du läsa mer här.