Användning av molntjänster innebär vanligtvis en behandling av personuppgifter, antingen genom att data laddas upp i tjänsten eller genom att data om användares användning av tjänsten samlas in. En behandling av personuppgifter gör att reglerna i dataskyddsförordningen (GDPR) blir tillämpliga. Vidare innebär användning av amerikanska molntjänstleverantörer regelbundet att personuppgifter överförs till USA. Kan kryptering av personuppgifter undanröja de potentiella risker för regelbrott som uppstår på i samband med sådana tredjelandsöverföringar?
Schrems II och FISA
Genom EU-domstolens dom i målet C-311/18 (Schrems II) begränsas möjligheterna att överföra personuppgifter till amerikanska molntjänstleverantörer, dels då en av huvudmekanismerna för sådana överföringar (Privacy Shield) har underkänts, dels då möjligheten att använda andra överföringsmekanismer som exempelvis standardavtalsklausuler eller bindande företagsbestämmelser har begränsats. Bakgrunden är amerikanska underrättelsetjänsternas möjligheter till åtkomst till data och övervakning enligt amerikansk lagstiftning, särskilt avsnitt 702 FISA och EO 12333.
Ytterligare åtgärder
Om molntjänstleverantören omfattas av avsnitt 702 FISA kan personuppgifter exempelvis inte överföras till leverantören med stöd av EU-kommissionens standardavtalsklausuler utan att ytterligare åtgärder vidtas. Ytterligare åtgärder kan vidtas i form av tekniska, organisatoriska och avtalsmässiga åtgärder. Avtalsmässiga åtgärder i sig kan som utgångspunkt inte åtgärda riskerna som uppstår som följd av myndigheters möjligheter till åtkomst till data och övervakning då myndigheterna inte är bundna av avtal som ingås mellan upphandlaren och molntjänstleverantören. Ett liknande resonemang kan föras för organisatoriska åtgärder. Ytterligare åtgärder i form av tekniska åtgärder kan däremot utgöra ett effektivt skydd mot myndigheters befogenheter. Det ställs emellertid höga krav på sådana tekniska åtgärder vilket inskränker möjligheterna att använda molntjänstens funktioner.
Kryptering
Möjliga tekniska åtgärder i form av kryptering presenteras i rekommendationer från Europeiska dataskyddsstyrelsen (EDPB). I ett scenario där en molntjänst används för lagring av personuppgifter ställs bland annat följande krav på kryptering:
- Personuppgifterna måste krypteras före överföringen.
- Krypteringsalgoritmen måste motsvara den senaste tekniska utvecklingen.
- Krypteringsalgoritmen måste skydda mot avancerad kryptoanalys, inklusive sådana analyser som genomförs av myndigheter i mottagarlandet.
- Krypteringsnyckelns längd måste fastställts med beaktande av den specifika tidsperiod under vilken de krypterade personuppgifternas konfidentialitet måste upprätthållas.
- Krypteringsnyckeln kvarhålls enbart under den personuppgiftsansvariges kontroll.
De höga krav som ställs innebär i många fall att molntjänsters funktioner endast kan användas i begränsad omfattning eller att molntjänster inte kan användas överhuvudtaget. Det förekommer regelbundet att krypteringsfunktioner som implementerats av molntjänstleverantörer inte kan anses vara effektiva då leverantören får åtkomst till nycklarna.
Rättspraxis
Rättsläget förtydligas av rättspraxis på området. Den österrikiska dataskyddsmyndigheten (DSB) har exempelvis beslutat att ett europeiskt företag överförde personuppgifter till Google i USA (som omfattas av avsnitt 702 FISA) i strid med reglerna i GDPR genom att använda verktyget Google Analytics på sin webbplats. Beslutet fattades trots att överföringen baserades på standardavtalsklausuler och att företaget hävdade att det hade vidtagits ytterligare åtgärder, som bland annat encryption at rest och encryption in transit, i enlighet med Schrems II-domen och EDPB:s rekommendationer. DSB konstaterade dock att dessa åtgärder inte utgjorde ett effektivt skydd för de överförda personuppgifterna mot amerikanska underrättelsetjänsternas möjligheter till åtkomst till data och övervakning, särskilt då denna skyldighet även omfattar tillgång till krypteringsnycklar. DSB ansåg att överträdelsen skulle tillskrivas företaget och inte Google, då relevanta krav i GDPR inte riktades mot Google i egenskap av dataimportör utan mot företaget i egenskap av dataexportör.
Analys
Det förekommer regelbundet att en molntjänstleverantör eller en leverantör som använder en molntjänstleverantör som underleverantör har en felaktig syn på rättsläget avseende tredjelandsöverföringar, särskilt när det gäller användning av olika krypteringslösningar. Samtidigt är det inte ovanligt att leverantören kräver att beställaren tecknar ett avtal i vilket beställaren instruerar leverantören att överföra krypterade personuppgifter, fast krypteringen inte uppfyller kraven för att den ska anses vara effektiv i GDPR:s mening. Ett sådant upplägg innebär vanligtvis att risken för att en tredjelandsöverföring sker i strid med reglerna i GDPR ligger på beställaren. Denna risk kan medföra allvarliga konsekvenser för beställaren, såsom regelbrott, administrativa sanktionsavgifter och ryktesförlust.
Samtidigt trappar dataskyddsmyndigheter upp sin tillsyn av molntjänster. Till exempel har Datatilsynet i Danmark påbörjat en tillsyn av offentliga myndigheters användning av molntjänster med fokus på tredjelandsöverföringar. Liknande tillsynsprojekt har även påbörjats av dataskyddsmyndigheter i Tyskland och andra europeiska länder. Redan i februari 2022 påbörjade EDPB en samordnad utredning av offentlig sektors användning av molntjänster. Vidare har ett flertal dataskyddsmyndigheter fattat liknande beslut om användning av Google Analytics som den österrikiska tillsynsmyndigheten Österreichische Datenschutzbehörde (DSB).
Nästa steg
Mot bakgrund av riskerna bör offentliga och privata aktörer se över sin och sina leverantörers användning av amerikanska molntjänstleverantörer. I ett första steg bör alla överföringar av personuppgifter till tredjeländer kartläggas genom att granska avtal mellan såväl beställaren och leverantörer som leverantörer och deras underleverantörer. Vid behov bör granskningen kompletteras genom uppföljningsfrågor. I förekommande fall bör överföringsverktyget verifieras och rättsläget i tredjelandet bedömas, och om nödvändigt bör kompletterande åtgärder identifieras och implementeras. I fallet en krypteringslösning används som ytterligare åtgärd bör effektiviteten av denna lösning säkerställas.
Kontakta Sebastian Berg (sebastian@techlaw.se), expert inom IT/teknik, dataskydd och IT-relaterade upphandlingar för råd.