Problemstillingerne er ikke blevet færre efter Schrems II-dommen, der komplicerer det retlige landskab yderligere, idet dommen underkendte brugen af Privacy Shield-ordningen, der muliggjorde overførsel af personoplysninger fra EU til virksomheder i USA, der havde tilsluttet sig ordningen. Datatilsynet har derfor den 9. marts 2022 offentliggjort tre nye tiltag, der skal gøre det nemmere for dataansvarlige at benytte sig af cloudservices uden at overskride de strenge regler for databehandling. Det drejer sig konkret om
i) En ny vejledning om brugen af cloudservices,
ii) Etablering af en ekspertarbejdsgruppe, der skal undersøge tiltag, der kan understøtte lovlig brug af cloudservices samt
iii) En kort oversigt over spørgsmål og svar om brug af cloud.
Vejledningen har til formål at opridse faldgruber, muligheder og forpligtelser for virksomheder, der benytter sig af cloudservices ifb. med behandling af personoplysninger. Vejledningen fremkommer med databeskyttelsesretlige overvejelser, som den dataansvarlige skal foretage sig, når man påtænker at bruge cloudservices, herunder en konkret køreplan, som man kan benytte, når man skal vurdere sin egen brug af cloudservices. De komplicerede regelsæt bliver desuden forsøgt forklaret gennem en lang række eksempler, der hører til de enkelte dele af vejledningen. Det er vigtigt at holde sig for øje, at databeskyttelsesreglerne er teknologineutrale, og således gælder uanset om man bruger cloudservices eller ej. Vejledningen forsøger blot at afhjælpe nogle af de særlige problemer, der opstår ved brug af cloudservices. Dele af vejledningen henvender sig dog også til cloudleverandører, der informeres om, hvordan de kan levere ydelser i overensstemmelse med databeskyttelsesreglerne.
Vejledningens køreplan er delt op i tre overordnede punkter:
- kend dine services,
- kend din leverandør og
- tilsyn med cloudleverandører og eventuelle underleverandører.
Som nævnt, er databeskyttelsesreglerne teknologineutrale, hvorfor disse tre trin også skal iagttages ved andre former for databehandling. Nedenfor gennemgås køreplanen i overordnede træk.
i) Kend dine services
Dette punkt handler overordnet om, at den dataansvarlige skal
- have kendskab til og kortlagt, hvilke personoplysninger denne behandler,
- til hvilke(t) formål samt
- hvordan personoplysningerne behandles.
Derudover stilles der krav til, at man dokumenterer, at man har foretaget disse undersøgelser. Dette er en hel grundlæggende forudsætning for lovlig behandling af personoplysninger på tværs af forskellige behandlingsmetoder, men i relation til cloudservices deles punktet op i to risikovurderinger, der skal foretages: i) risikovurdering vedrørende databeskyttelse, og ii) risikovurdering vedrørende behandlingssikkerhed.
I relation til risikovurdering vedrørende databeskyttelse skal den dataansvarlige inden behandlingen igangsættes vurdere risiciene for de registreredes rettigheder og frihedsrettigheder og implementere de nødvendige foranstaltninger for at imødekomme risikoen. Den dataansvarlige skal bl.a. vurdere risikoen for indsamling af yderligere oplysninger end nødvendigt eller for, at den registrerede ikke modtager de informationer, der følger af den dataansvarliges oplysningspligt. Vejledningen nævner, at det i relation til cloudservices kan blive problematisk, da disse ofte leveres som standardløsninger, der ikke giver den dataansvarlige plads til at tilpasse behandlingen efter behov. Vejledningen gør derfor opmærksom på, at den dataansvarlige bl.a. skal afdække om cloudleverandøren behandler de oplysninger, som levrandøren får overladt, til egne formål.
I relation til risikovurdering vedrørende behandlingssikkerhed skal den dataansvarlige etablere et passende behandlingssikkerhedsniveau. Dette gælder selvsagt uanset om man bruger cloudløsninger eller ej, men i relation til cloudløsninger skal den dataansvarlige ifølge vejledningen bl.a. være særligt opmærksom på at afdække det etablerede behandlingssikkerhedsniveau hos cloudleverandøren, samt være opmærksom på opgave- og ansvarsfordelingen mellem den dataansvarlige og cloudleverandøren for så vidt angår behandlingsaktiviteten.
ii) Kend din leverandør
Dette punkt i køreplanen skal sikre, at der indgås en databehandleraftale med cloudleverandøren, der opfylder kravene i databeskyttelsesforordningen. Dette skyldes, at brug af cloudservices normalt vil indebære, at cloudleverandøren behandler oplysningerne på den dataansvarliges vegne. Aftalen skal således opfylde en række mindstekrav, herunder instruks til leverandøren om hvilke oplysninger, der må behandles, samt rammerne for behandlingen. Vejledningen oplister 11 spørgsmål, som den dataansvarlige skal bruge til at screene sin potentielle cloudleverandør, således at det kan vurderes, om denne kan stille de fornødne garantier for, at vedkommende vil overholde databeskyttelsesreglerne i forbindelse med sin behandling af oplysningerne på den dataansvarliges vegne. Ved screeningen kan der tages udgangspunkt i den databehandleraftale, som den dataansvarlige påregner at indgå med cloudleverandøren, og såfremt dette ikke er tilstrækkeligt, må der indgås en dialog med cloudleverandøren. Den dataansvarlige skal bl.a. i henhold til første spørgsmål være særlig opmærksom på, at cloudleverandørens behandling af personoplysninger til egne formål skal anses som en videregivelse af personoplysninger til leverandøren. Såfremt cloudleverandøren behandler sådanne personoplysninger, skal den dataansvarlige sikre sig dokumentation for formålet og det retlige grundlag for videregivelsen.
iii) Tilsyn med cloudleverandører og eventuelle underleverandører
Dette punkt omhandler den dataansvarliges pligt til at føre tilsyn med cloudleverandøren og dennes eventuelle underleverandører. Denne pligt gælder uanset hvilken form for databehandler man skal føre tilsyn med, hvorfor Datatilsynet også henviser til deres overordnet vejledning om tilsyn med databehandlere. Her beskrives den intensitet og hyppighed som den dataansvarliges tilsyn bør føres med. Overordnet anføres det, at jo mere, der kan gå galt ved behandlingen hos databehandleren, jo større krav stilles der til den dataansvarliges tilsyn med databehandleren, og jo mere kritisk behandlingen er for de registrerede (de personer som oplysningerne omhandler), jo mere intensiv kontrol bør der føres. Vejledningen nævner i relation til cloudleverandører, at disse sædvanligvis har etableret procedurer for og får gennemført revisioner af en eller flere uafhængige tredjemænd, som udarbejder revisionsrapporter på den baggrund. I den forbindelse anføres det, at det sædvanligvis vil være tilstrækkeligt, at den dataansvarlige gennemgår de revisionsrapporter, som cloudleverandøren årligt får udarbejdet.
Særligt om overførsler til tredjelande
Den nye vejledning indeholder også en række punkter, der særligt omhandler overførsel af persondata til tredjelande, herunder et specifikt punkt om USA, der har en række problematiske regler. Det er som udgangspunkt de almindelige regler for overførsel til tredjelande, der finder anvendelse ved cloudservices etableret i tredjelande, hvorfor der overordnet henvises der til Datatilsynets vejledning om overførsel af personoplysninger til tredjelande.
Hos Lundgrens vurderer vi, at den nye vejledning giver anledning til, at man som dataansvarlig gennemgår sine databehandlingsaktiviteter på baggrund af de krav og anbefalinger, som vejledningen stiller op. Såfremt du har konkrete spørgsmål til din databehandling, står Lundgrens klar med et kompetent team med speciale i persondataret, som er parat til at vejlede dig.
