Digdir og markedsplassen for skytjenester i DFØ har utarbeidet og publisert en veileder om bruk av skytjenester etter Schrems II på oppdrag fra Skate. Både Datatilsynet og Digdir har opplevd å få mange henvendelser om denne veilederen og at den har skapt noe usikkerhet. Dette er derfor en felles uttalelse om innholdet.
Skate (som er et strategisk samarbeidsråd og rådgivende organ til Digdir og kommunal- og distriktsministeren) er oppdragsgiver og har ønsket å bistå virksomheter i arbeidet deres med praktisk implementering av et vanskelig regelverk. Datatilsynet har ikke vært med å utarbeide dokumentet, men har fått gi innspill til Skate underveis i arbeidet.
Noen av punktene i veilederen som nå er publisert, skiller seg imidlertid fra Datatilsynet og Personvernrådets praksis.
– Intensjonen har vært å hjelpe virksomheter som syns det er vanskelig å gjøre reelle og grundige vurderinger av skytjenester. Jeg er blitt informert om at Datatilsynet har fått mange spørsmål om denne veilederen erstatter Datatilsynets veiledning. Det gjør den ikke. Vår veileder er ment å ta utgangspunkt i Datatilsynets veiledning, men også gjøre veiledningen mer konkret etter innspill og behov fra virksomheter i offentlig sektor. Jeg er lei meg for at flere opplever at veilederen skaper usikkerhet om Datatilsynets rolle, og det er vi innstilt på å klargjøre i tett samarbeid med tilsynet den nærmeste tiden. Dette gjelder også juridiske uenigheter, sier direktør i Digdir, Steffen Sutorius.
Datatilsynet får mange henvendelser fra virksomheter som lurer på hva som nå gjelder. Ansvarlighetsprinsippet er helt sentralt i personvernforordningen, og innebærer at alle virksomheter må gjøre sine egne vurderinger. Veilederen fra Digdir og DFØ har hatt som mål å hjelpe virksomhetene å gjøre disse vurderingene, men rettspraksisen er kompleks. Datatilsynet og Det europeiske Personvernrådet (EDPB) skal veilede om, og håndheve, personvernforordningen. Hvis du lurer på hvordan datatilsynsmyndighetene i Europa, inkludert det norske Datatilsynet, vil håndheve dette regelverket, er det veiledningen vår om overføring av personopplysninger ut av EØS som gjelder.
– Vi er også opptatt av forenkling og å hjelpe virksomheter til å etterleve regelverket på en best mulig måte. Men det må skje innenfor dagens regler som virksomhetene faktisk må forholde seg til. Veiledningen vår viser hvordan vi og Personvernrådet forstår dagens regelverk, sier Line Coll, direktør i Datatilsynet.
Datatilsynet, Digdir og DFØ vil understreke at den nylig publiserte veilederen bør sees i lys av veiledning fra både Datatilsynet og Personvernrådet. Det vil bli holdt møter om kort tid for å vurdere behovet for å gjøre justeringer, slik at virksomhetene får et riktig og best mulig veiledningstilbud.