Denna artikel är del av en serie av artiklar som diskuterar rättsliga krav och risker med Office 365 utifrån GDPR, OSL och annan relevant lagstiftning. Läs första delen i denna serie här.
I den senaste artikeln i denna serie konstaterade vi att det är omöjligt att använda Office 365 utan att behandla personuppgifter. Enligt dataskyddsförordningen (“GDPR”) måste det finnas en rättslig grund för varje personuppgiftsbehandling. Innebär detta krav att företag, myndigheter och andra organsiationer som använder Office 365 måste hämta in ett samtycke från sina medarbetare?
Rättslig grund och samtycke
För att det ska vara lagligt att behandla personuppgifterna måste det antingen finnas ett samtycke från den registrerade eller någon annan legitim grund som definieras i GDPR. Utan en rättslig grund är personuppgiftsbehandlingen inte laglig.
Det finns sex olika rättsliga grunder för behandling av vanliga personuppgifter. En arbetsgivare kan till exempel behandla uppgifter om sina medarbetare (namn, adress och telefonnummer) eftersom detta krävs för att fullgöra anställningsavtalet. Arbetsgivaren kan också använda denna rättsliga grund för att spara en lista över sina medarbetares kontaktuppgifter i Office 365, till exempel i One Drive eller SharePoint. Eftersom GDPR är teknikneutral kan arbetsgivaren välja att använda samma rättsliga grund för att spara listan på ett annat sätt, exempelvis i ett annat program som inte är en molntjänst.
Vissa personuppgifter anses dock så känsliga att det som huvudregel är förbjudet att behandla dem. För sådana uppgifter räcker inte de rättsliga grunderna för vanliga personuppgifter, utan det finns särskilda regler. Exempel på sådana känsliga uppgifter är uppgift om medlemskap i fackförening eller uppgift om hälsa. Fullgörandet av ett anställningsavtal kan alltså inte användas för att behandla uppgifter om en medarbetares sjukskrivning, eftersom detta är en känslig personuppgift enligt GDPR. Om en medarbetare vill skicka ett sjukintyg till arbetsgivaren via Office 365:s tjänst för e-post (Exchange) krävs alltså att särskilda regler uppfylls enligt GDPR.
Samtidigt är det viktigt att inte blanda ihop kraven på rättslig grund med andra krav som finns i GDPR, som till exempel krav på tekniska säkerhetsåtgärder. Även här finns det olika krav beroende på vilken typ av personuppgifter som behandlas. Att skicka medarbetarens hälsouppgifter via e-post kräver exempelvis att e-postmeddelandet krypteras.
En rättslig grund per ändamål
Som regel ska varje personuppgiftsbehandling stödjas på endast en rättslig grund. Användning av Office 365 innebär normalt att personuppgifter behandlas för ett flertal olika ändamål samtidigt. Vissa av dessa ändamål är synliga för en arbetsgivare eller en medarbetare när de använder Office 365 i sitt dagliga arbete, till exempel när en personalchef sparar en lista över medarbetares födelsedagar i One Drive. Andra ändamål är inte lika synliga för en genomsnittlig användare eftersom dessa sker i det dolda. Microsoft samlar till exempel in omfattande logguppgifter om en medarbetares användning av Office 365. Dessa uppgifter används bland annat för att upprätthålla tjänstens säkerhet, men även för Microsofts egna syften som exempelvis produktutveckling. Viktigt att komma ihåg är att även dessa personuppgiftsbehandlingar kräver en rättslig grund.
Samtycke kan krävas för Office 365
I vissa fall finns det inget annat alternativ än att hämta in medarbetares samtycke för användning av Office 365. För att samtycket ska vara giltigt måste det vara frivilligt. I ett arbetsförhållande finns normalt en maktobalans mellan arbetsgivaren och medarbetarna varför det kan vara svårt att uppnå kraven på frivillighet. En arbetsgivare som bestämmer att medarbetarna ska använda Office 365 bör således säkerställa att tjänsten konfigureras på ett sätt som inte kräver att medarbetarna samtycker till behandling av deras personuppgifter, alternativt säkerställa att kraven på frivillighet är uppfyllt.
Användning av Office 365 innebär också en risk för att personuppgifter överförs till USA i strid med GDPR:s regler för tredjelandsöverföringar. Att det finns en rättslig grund för behandling av personuppgifter innebär inte att det är lagligt att överföra personuppgifterna till exempelvis USA. Den rättsliga grunden gör det möjligt för arbetsgivaren att spara medarbetarnas kontaktuppgifter, men endast på en server inom EU/EES-området. Om arbetsgivaren vill spara uppgifterna på en server i ett land utanför EU/EES måste GDPR:s regler om tredjelandsöverföringar följas. Samma sak gäller om kontaktuppgifterna blir åtkomliga för leverantörens personal som sitter utanför EU/EES, vilket exempelvis sker vid användning av Office 365 då Microsofts supportmedarbetare bland annat sitter i USA. Sådana fall kan inte avhjälpas genom att arbetsgivaren hämtar in medarbetarnas samtycken för tredjelandsöverföringen, utan arbetsgivaren måste istället hitta en alternativ överföringsgrund för att göra behandlingen laglig.
I kommande artiklar kommer vi att titta närmare på vilka säkerhetskrav som gäller vid användning av Office 365. Vi kommer även att titta på andra krav som går utöver GDPR, som till exempel behandling av sekretessbelagda uppgifter i Office 365.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd, personlig integritet och tredjelandsöverföringar kan du läsa mer här.