Integritetsskyddsmyndigheten (IMY) avråder från att verksamheter använder Microsofts populära molntjänster Azure AD och Teams. Tillsynsmyndigheten motiverar avrådan med att Microsoft bland annat kan komma att överföra personuppgifter till USA och de risker som detta innebär för enskildas personliga integritet (se vår rapportering om Schrems II-domen för mer detaljer).
Bakgrunden till IMY:s yttrande är ett förhandssamråd som Stockholm stad begärt i samband med en konsekvensbedömning avseende dataskydd för användning av tjänsterna Microsoft Azure AD och Teams. Föremålet för samrådet har varit de höga riskerna för enskildas rättigheter och friheter som skulle uppstå som följd av potentiella överföringar av personuppgifter till USA i samband med stadens användning av tjänsterna.
I sitt yttrande utgår IMY från ”att personuppgifterna enbart kommer att lagras och bearbetas på servrar inom EU/EES utan åtkomst eller tillgång för någon i tredjeland.” Det framgår dock inte huruvida IMY har granskat Microsofts standardiserade personuppgiftsbiträdesavtal som vanligtvis inkluderar klausuler om överföringar till USA eller andra tredje länder (se här och här). Yttrandet redovisar inte heller huruvida Stockholm stad och Microsoft har förhandlat fram undantag från tecknat standardavtal.
Trots att uppgifterna enligt IMY:s bedömning endast behandlas inom EU/EES anser tillsynsmyndigheten att ”det finns en risk att personuppgiftsbiträdet som träffas av amerikansk lagstiftning i enlighet därmed kan åläggas att lämna ut personuppgifter till amerikanska myndigheter – och därmed överföra personuppgifter till USA”, med en hänvisning till CLOUD Act.
IMY konstaterar vidare att ”rättsläget inte är helt klart idag […] när det gäller frågan om under vilka närmare förutsättningar som det är möjligt att anlita amerikanska personuppgiftsbiträden inom respektive land utanför EU/EES, inklusive vilka garantier och åtgärder från personuppgiftsbiträdet som skulle kunna vara tillräckliga.” För vidare vägledning i frågan hänvisar IMY till EDPB:s rekommendation om tredjelandsöverföringar i ljuset av Schrems II-domen.
Slutligen anser IMY att Stockholm stad ”behöver […] ta ställning till vilka garantier i form av tekniska och organisatoriska åtgärder som krävs för att säkerställa att det inte sker en otillåten tredjelandsöverföring, till exempel hur man ska se till att personuppgiftsbiträdet [Microsoft] inte lämnar ut uppgifter i strid med artikel 48 [GDPR].”
Frågan är dock om Stockholm stad eller någon annan aktör har förutsättningarna att ta fram de ställningstaganden som krävs för att skapa rättslig klarhet.