För de flesta företag, myndigheter och andra organisationer är det otänkbart att bedriva sin verksamhet utan att använda molntjänster. Användningsområdena för molntjänster är lika mångfaldiga som arbetsuppgifterna. Det finns en molntjänst för allt – från kontorsstöd till uppkopplad medicinskteknisk utrustning. Den utspridda användningen av molntjänster hotas nu genom ett EU-mål som avser ett viktigt verktyg för tredjelandsöverföringar, standardavtalsklausuler.
Vad är standardavtalsklausuler?
De flesta molntjänsterna använder en global infrastruktur vilket innebär att data och personuppgifter överförs till länder utanför EU/EES (så kallade tredjeländer). Detta är ett problem för verksamheter eftersom sådana tredjelandsöverföringar som utgångspunkt inte är tillåtna enligt dataskyddsförordningen (GDPR).
Ett mycket populärt undantag från förbudet är att använda en uppsättning av avtal som har tagits fram av EU-kommissionen och som reglerar dessa överföringar. Dessa avtal kallas för standardavtalsklausuler. Kärnan i dessa avtal är att skydda den personliga integriteten för de individer vilkas personuppgifter behandlas i molntjänsten, t.ex. mot att utländska myndigheter använder uppgifterna för massövervakning. Det gäller exempelvis de patienters uppgifter vilkas data laddas upp i en molntjänst som tillhandahålls av en amerikansk leverantör. Men det gäller även Facebook-användare.
Vem använder standardavtalsklausuler?
Standardavtalsklausulerna är ett mycket populärt verktyg för att säkerställa lagliga tredjelandsöverföringar. De används av nästan alla molntjänstleverantörer. De används även i andra sammanhang, t.ex. för koncerninterna överföringar av personuppgifter mellan bolag i olika länder.
Vad handlar EU-målet om?
Max Schrems, en dataskyddsaktivist från Österrike, utmanar den irländska tillsynsmyndigheten för dataskydd (DPC) inför EU-domstolen (mål C-311/18). Max Schrems hävdar att vissa typer av överföringar av personuppgifter till USA som baseras på standardavtalsklausuler är lagstridiga eftersom klausulerna är ogiltiga i dessa fall. Överföringarna som omfattas är sådana som kan leda till att personuppgifter används för massövervakning av amerikanska myndigheter.
Exempel på sådana typer av överföringar är användardata från Facebook eller liknande tjänster eller data som överförs av olika molntjänster. Med undantag av dessa överföringar anser Max Schrems dock att standardavtalsklausulerna är giltiga för andra typer av överföringar, även till USA.
DPC anser även att standardavtalsklausulerna är ogiltiga i sin helhet, dvs. att de inte får användas för att genomföra tredjelandsöverföringar över huvudtaget.
När kommer målet att avgöras?
Målet förväntas avgöras under 2019.
Vilka konsekvenser kan målet ha för olika verksamheter?
Det är möjligt att EU-domstolen ogiltigförklarar användningen av standardavtalsklausulerna för vissa eller samtliga tredjelandsöverföringar. I sådana fall måste företag, myndigheter och andra organisationer hitta alternativ för att göra tredjelandsöverföringarna lagliga. Om detta inte är möjligt måste man hitta leverantörer som inte överför personuppgifterna till tredjeländer.
Vad ska vi göra nu?
Det är en bra idé att se över i vilka sammanhang ni överför personuppgifter till tredjeländer. Utred även om ni använder standardavtalsklausuler för dessa överföringar. Bedöm därefter om ni kan överföra uppgifterna med andra verktyg. Om detta inte är möjligt, kontrollera om ni kan vidta andra åtgärder som till exempel byte av molntjänstleverantör.
Vårt kan jag lära mig mer om molntjänster?
Vi har tagit fram en video om tredjelandsöverföringar och en video om risker förknippade med molntjänster. Vi erbjuder även en workshop för molntjänster och outsourcing.