Denna artikel är del av en serie av artiklar som diskuterar rättsliga krav och risker med Office 365 utifrån GDPR, OSL och annan relevant lagstiftning. Läs första delen i denna serie här.
Ett vanligt förekommande påstående är att man kan använda Office 365 utan att behandla personuppgifter. Men detta stämmer inte. Tittar man närmare på vilken data som behandlas i Office 365 inser man snabbt att all användning av Office 365 innebär en behandling av personuppgifter. I denna artikel förklarar vi varför.
Office 365 loggar användares personuppgifter
En personuppgift är varje typ av uppgift som gör det möjligt att identifiera en individ. Det finns uppgifter som tillåter en direkt identifiering, som någons namn, telefonnummer eller personnummer. Men det finns även uppgifter som endast tillåter en indirekt identifiering. Tänk dig att du hittar en lapp med ett bankkontonummer på gatan. Utan någon kompletterande information är det svårt för dig att ta reda på vems bankkonto det är. Banken däremot har informationen som behövs för att identifiera ägaren av bankkontot. Bankkontonumret som du hittar på gatan är därför en personuppgift enligt dataskyddsförordningens (“GDPR”) mening.
Men vad har detta att göra med Office 365? Office 365 hanterar inte bara den data som en användare laddar upp i tjänsten, utan samlar även in data om hur användare använder tjänsten. Denna data omfattar inte bara hur användare använder Office 365:s webbtjänster, utan även hur de använder applikationer som har installerats på användarnas datorer som till exempel Word, Excel och PowerPoint. Denna data innehåller så kallade indirekta identifierare som gör det möjligt att identifiera enskilda användare. Microsoft använder denna data för ett flertal ändamål som till exempel att upprätthålla tjänstens säkerhet och att analysera fel, men även för produktutveckling, individuell anpassning av tjänsten och tillhandahållande av direktreklam.
Detta innebär att Office 365 behandlar personuppgifter om alla sina användare. Det är således inte möjligt att använda Office 365 utan att personuppgifter behandlas, även i det osannolika fallet att användarna inte skulle ladda upp några personuppgifter i tjänsten.
E-post och chatt utan personuppgifter?
Men är det ens möjligt att exempelvis skicka ett e-postmeddelande utan att behandla personuppgifter? E-postmeddelandet innehåller avsändarens och mottagarens e-postadresser vilka är personuppgifter. I e-postmeddelandets metadata finns även IP-adresser, som även detta utgör personuppgifter. Office 365 överför e-postmeddelandet och loggar information om avsändare och mottagare på sina servrar vilket är en behandling av personuppgifter. När en Office 365-användare skickar ett e-postmeddelande innebär detta alltså per automatik att personuppgifter laddas upp i tjänsten.
Ett annat exempel är Teams. Är det möjligt det att använda Teams utan att ladda upp personuppgifter i tjänsten? När Office 365-användare chattar med varandra i Teams loggas användarnas konversation. Även om själva konversationen inte innehåller några personuppgifter, loggas användarnas chatt med tidsstämpel och, beroende på hur man konfigurerar tjänsten, innehållet i användarnas meddelanden. En logg som visar en chatthistorik mellan två personer är en personuppgift även om loggen inte omfattar innehållet i konversationen. Bara informationen att två personer har chattat med varandra vid en viss tidpunkt är en personuppgift. Det är således omöjligt att använda Teams utan att behandla personuppgifter, även om man bara skickar tekniska ritningar fram och tillbaka i själva chatten.
På ett liknande sätt kan man hitta personuppgifter i andra tjänster och applikationer som är del av Office 365. Några av dessa personuppgifter är direkta identifierare som till exempel e-postadressen som användare måste ange när de vill logga in i Word, Excel, PowerPoint med mera. Andra är indirekta identifierare som till exempel användaridentiteter som loggas. Och även när man pratar via Teams eller Skype innebär detta en behandling av personuppgifter, såväl avseende de personuppgifter som loggas som de personuppgifter som förekommer i samtalet eller i bilden som skickas.
Använda Office 365 = behandling av personuppgifter
Slutsatsen är att det inte är möjligt att använda Office 365 utan att behandla personuppgifter. Detta innebär att verksamheter som använder Office 365 måste säkerställa att de uppfyller de rättsliga kraven i GDPR som till exempel att säkerställa att det finns en rättslig grund för behandling av personuppgifter, att en konsekvensbedömning avseende dataskydd genomförs, att ett personuppgiftsbiträdesavtal med Microsoft eller den leverantören som tillhandahåller Office 365 ingås, och att tredjelandsöverföringar skyddas av en lämplig skyddsnivå (vilket kan vara en utmaning mot bakgrund av att EU-domstolen har ogiltigförklarat Privacy-Shield och ifrågasatt användbarheten av standardavtalsklausulerna, som även används av Microsoft, läs mer om detta här).
I kommande artiklar kommer vi att titta närmare på dessa krav. Vi kommer även att titta på andra krav som går utöver GDPR, som till exempel behandling av sekretessbelagda uppgifter i Office 365.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd, personlig integritet och tredjelandsöverföringar kan du läsa mer här.