Användning av molntjänster innebär vanligtvis en behandling av personuppgifter, antingen genom att data laddas upp i tjänsten eller genom att data om användares användning av tjänsten samlas in. En behandling av personuppgifter gör att reglerna i dataskyddsförordningen (GDPR) blir tillämpliga. Vidare innebär användning av amerikanska molntjänstleverantörer regelbundet att personuppgifter överförs till USA.
Genom EU-domstolens dom i målet C-311/18 (Schrems II) begränsas möjligheterna att överföra personuppgifter till amerikanska molntjänstleverantörer, dels då en av huvudmekanismerna för sådana överföringar (Privacy Shield) har underkänts, dels då möjligheten att använda andra överföringsmekanismer som exempelvis standardavtalsklausuler eller bindande företagsbestämmelser har begränsats.
Om molntjänstleverantören omfattas av avsnitt 702 FISA kan personuppgifter exempelvis inte överföras till leverantören med stöd av EU-kommissionens standardavtalsklausuler utan att ytterligare åtgärder vidtas. I praktiken måste möjligheterna att vidta sådana ytterligare åtgärder anses vara begränsade då detta bland annat inskränker möjligheterna att använda molntjänstens funktioner.
Det förekommer regelbundet att en leverantör har en felaktig syn på rättsläget avseende tredjelandsöverföringar samtidigt som leverantören kräver att beställaren tecknar ett avtal i vilket beställaren instruerar leverantören att överföra personuppgifter till ett tredjeland. Ett sådant upplägg innebär vanligtvis att risken för att en tredjelandsöverföring sker i strid med reglerna i GDPR ligger på beställaren. Denna risk kan medföra allvarliga konsekvenser för beställaren, såsom regelbrott, administrativa sanktionsavgifter och ryktesförlust.
Samtidigt trappar dataskyddsmyndigheter upp sin tillsyn av molntjänster. Till exempel har Datatilsynet i Danmark påbörjat en tillsyn av offentliga myndigheters användning av molntjänster med fokus på tredjelandsöverföringar. Liknande tillsynsprojekt har även påbörjats av dataskyddsmyndigheter i Tyskland och andra europeiska länder. Redan i februari 2022 påbörjade EDPB en samordnad utredning av offentlig sektors användning av molntjänster. Vidare har ett flertal dataskyddsmyndigheter fattat beslut om användning av den populära molntjänsten Google Analytics och bland annat konstaterat att användning av verktyget inneburit en olaglig överföring av personuppgifter till USA.
Mot bakgrund av riskerna bör offentliga och privata aktörer se över sin och sina leverantörers användning av amerikanska molntjänstleverantörer. I ett första steg bör alla överföringar av personuppgifter till tredjeländer kartläggas genom att granska avtal mellan såväl beställaren och leverantörer som leverantörer och deras underleverantörer. Vid behov bör granskningen kompletteras genom uppföljningsfrågor. I förekommande fall bör överföringsverktyget verifieras och rättsläget i tredjelandet bedömas. Om nödvändigt bör kompletterande åtgärder identifieras och implementeras.
Kontakta Sebastian Berg (sebastian@techlaw.se), expert inom IT/teknik, dataskydd och IT-relaterade upphandlingar för råd.