Datatilsynet har publicerat en vägledning om användningen av molntjänster. Vägledningen riktar sig i första hand till personuppgiftsansvariga och går igenom vilka överväganden som måste göras om man vill använda en molntjänst. Samtidigt kommer Datatilsynet tillsätta en expertgrupp för att titta på åtgärder som kan säkerställa en laglig användning av dessa tjänster.
Vägledningen om användningen av molntjänster ger enligt Datatilsynet bland annat instruktioner om hur personuppgiftsansvariga bedömer sina personuppgiftsbiträden, vilka krav personuppgiftsansvariga ska ställa på personuppgiftsbiträden, hur personuppgiftsansvariga dokumenterar sina val och hur personuppgiftsansvariga kontrollerar att behandlingarna sker i enlighet med deras instruktioner. Dessutom finns enligt Datatilsynet avsnitt som handlar om överföringar till tredje land, och en genomgång av det mest använda tredjelandet USA, och de särskilda frågor som EU-domstolens dom i det så kallade Schrems II-målet har gett upphov till .
Vägledningen innehåller både en genomgång av typiska frågor samt flera exempel på praktiska frågor som personuppgiftsansvariga måste ställa sig vid användning av en molntjänst.
Enligt Datatilsynet tillhandahålls molntjänster ofta som standardiserade tjänster, där den enskilda organisationen som kund har begränsade möjligheter att anpassa tjänsten till sina individuella behov och krav. Delar av vägledningen riktar sig därför även till molnleverantörer som kan läsa mer om hur de kan tillhandahålla tjänster enligt dataskyddsreglerna. Av samma anledning har Datatilsynet som något nytt utarbetat en engelsk version av vägledningen i syfte att nå ut till så många aktörer som möjligt som arbetar med utveckling och användning av molntjänster.
Slutligen är molntjänster ett område i snabb förändring. Datatilsynet har därför en ambition att anpassa riktlinjerna löpande, precis som myndigheten kommer att undersöka eventuella tekniska och juridiska möjligheter som kan stödja en laglig och ansvarsfull användning av molntjänster och anpassa riktlinjerna till detta. Datatilsynet räknar med att se över vägledningen under andra kvartalet 2023.
Samtidigt med publiceringen av vägledningen tar Datatilsynet initiativ till att tillsätta en expertarbetsgrupp. Gruppen ska bland annat se på utmaningarna med de nuvarande molntjänsterna i ljuset av den senaste rättsutvecklingen, och på möjliga åtgärder och åtgärder som kan säkerställa en ansvarsfull och laglig användning av molntjänster.