Microsoft Azure (”Azure”) är en populär molntjänst som används av många företag, myndigheter och organisationer. Att använda Azure innebär i många fall att personuppgifter behandlas och även överförs till tredjeländer som till exempel USA. Detta innebär att dataskyddsförordningens (”GDPR”) krav gäller vid användning av Azure. I denna artikel analyserar vi några av de viktigaste kraven.
Vad är Microsoft Azure?
Azure är en plattform för molntjänster som tillhandahålls av företaget Microsoft. Azure erbjuder olika typer av molntjänster som till exempel tjänster för datalagring, databearbetning, artificiell intelligens med mera. Azure datacenter finns placerade runt om i hela världen, bland annat i Norge, Tyskland och på Irland. Användarna kan själva bestämma vilket Azure datacenter som ska användas för att tillhandahålla användarens molntjänster. På detta sätt kan användarna välja i vilket land eller i vilken region av världen data ska lagras och behandlas.
Behandlas personuppgifter i Microsoft Azure?
Om användare laddar upp data innehållandes personuppgifter i Azure molntjänster innebär detta en behandling av personuppgifter i GDPR:s mening. Detta gäller även om Azure endast används för lagring eller arkivering av data som innehåller personuppgifter. I de flesta fall samlar Azure även in data om hur användare använder tjänsterna, så kallad användardata. I den utsträckning denna data är kopplad till individer utgör den personuppgifter. Exempel på detta är uppgifter som loggas och som innehåller IP-nummer eller användar-ID.
Är Microsoft Azure ett personuppgiftsbiträde?
I Azure behandlas data som användare laddar upp i molntjänsterna på uppdrag av användaren. Om denna data innehåller personuppgifter blir Microsoft, som tillhandahåller Azure, ett personuppgiftsbiträde. Detta gäller trots att merparten av behandlingen sker på automatisk väg. Microsoft kan även klassas som personuppgiftsbiträde för behandling av användardata samtidigt som det finns ett utrymme för att klassa Microsoft som personuppgiftsansvarig för hela eller delar av denna behandling.
Krävs det ett personuppgiftsbiträdesavtal?
Eftersom leverantörer som Microsoft som tillhandahåller molntjänster som Azure normalt klassas som personuppgiftsbiträde krävs ett personuppgiftsbiträdesavtal. Microsoft har själva gjort bedömningen att företaget agerar som ett personuppgiftsbiträde när de tillhandahåller Azure (se till exempel här). Microsoft tillhandahåller ett standardiserat personuppgiftsbiträdesavtal som gäller för ett flertal av molntjänsterna som företaget erbjuder, inklusive Azure (Microsoft Online Services Data Protection Addendum, se avtalsversion från den 21 juli 2020). Biträdesavtalet innehåller även EU-kommissionens standardavtalsklausuler för tredjelandsöverföringar.
Överför Microsoft Azure personuppgifter till USA?
Trots att de som använder Azure själva kan välja specifika datacenter, som till exempel datacenter i Norge eller på Irland, förekommer överföringar av personuppgifter till USA eller andra länder. Detta framgår tydligt av rubriken ”Data Transfers” på s. 10 i biträdesavtalet:
…Customer appoints Microsoft to transfer Customer Data and Personal Data to the United States or any other country in which Microsoft or its Subprocessors operate and to store and process Customer Data and Personal Data to provide the Online Services…
Vidare framgår det av standardavtalsklausulerna (som är en del av biträdesavtalet) att personuppgifter överförs till USA. Att bestämma att databehandling i Azure ska ske i en specifik region utesluter således inte att Microsoft kommer att överföra personuppgifter till USA och andra tredjeländer. Följaktligen innebär användning av Azure en risk att överföra personuppgifter till USA i strid med GDPR och en risk för sanktionsavgifter (läs mer om detta här) samt risk för skadeståndskrav från de registrerade (läs mer om detta här).
I en utredning som tagits fram av den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (“CNIL”) konstaterades att Microsoft överför personuppgifter till USA även om data lagras i datacenter på Irland, till exempel i samband med supportärenden. Vidare påminde CNIL om att uppgifter som lagras i Azure kan bli åtkomliga för amerikanske myndigheter (läs CNIL:s utredning, endast tillgänglig på franska, här). CNIL:s utredning gjordes i samband med ett ärende inför Frankrikes högsta förvaltningsdomstol (Conseil d´États) enligt vilket en fransk myndighet lagrat medborgares hälsouppgifter i Azure. I domslutet krävde Conseil d´États att såväl myndigheten som Microsoft ska säkerställa att personuppgifter inte överfördes till länder utanför EU/EES och att Microsoft skulle anpassa sitt biträdesavtal så att det tydligt framgick att personuppgifter inte överförs till USA (läs mer om detta här).
Vem har ansvaret för att säkerställa att GDPR efterlevs?
Den som upphandlar Azure för behandling av data som innehåller personuppgifter blir personuppgiftsansvarig. Enligt GDPR är upphandlaren huvudansvarig för att säkerställa att reglerna i GDPR efterlevs vid användning av Azure. Denna bedömning påverkas inte av att Microsoft tillhandahåller tjänsten Azure som en färdigpaketerad molntjänst med villkor som inte kan ändras, och detta ansvar kan inte heller avtalas bort.
Ett företag eller en myndighet som använder Azure och som följd av detta överför personuppgifter till USA (potentiellt i strid med GDPR) blir ansvarig för denna överföring eftersom denne har instruerat Azure att genomföra behandlingen. Detta gäller även om myndigheten eller företaget anlitar en leverantör som i sin tur använder Azure och i samband med detta använder Microsoft som underleverantör. Företagets eller myndighetens ansvar för att säkerställa att GDPR efterlevs sträcker sig över hela kedjan av leverantörer och underleverantörer. Genomför en av dessa leverantörer eller underleverantörer en behandling av personuppgifter i enlighet med avtalet (som till exempel potentiella otillåtna tredjelandsöverföringar) men i strid med GDPR, blir företaget eller myndigheten huvudansvarig för behandlingen och kan därmed riskera sanktionsavgifter.
Vad bör vi göra nu?
Ovanstående resonemang gäller även för andra molntjänstplattformer som till exempel Amazon Web Services (läs mer om detta här). Företag, myndigheter och andra organisationer som använder Azure och liknande molntjänster bör därför analysera huruvida de uppfyller kraven i GDPR, särskilt när det gäller överföring av personuppgifter till USA. Om det visar sig att kraven inte uppfylls rekommenderas att verksamheterna vidtar åtgärder som till exempel att hitta alternativa leverantörer. Företag, myndigheter och andra organisationer som inte är säkra på huruvida de, deras leverantörer eller underleverantörer använder Azure eller liknande molntjänster bör genomföra en kartläggning av verksamhetens användning av molntjänster och rekommenderas att följa upp denna med en analys och, om nödvändigt, specifika åtgärder.
Vill du lära dig mer om dataskydd och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och informationssäkerhet kan du läsa mer här.