Opplysninger behandlet i EØS, inkludert skytjenester i EØS
Å behandle personopplysninger i EØS eller et adekvat tredjeland er i utgangspunktet ikke en overføring.
Se oversikt over adekvate tredjeland i kapittel 2 om områder med tilstrekkelig beskyttelsesnivå.
Likevel kan personopplysninger ende opp i ikke-adekvate tredjeland dersom en skyleverandør er underlagt tredjelands lovgivning. Derfor er det en del ting dere må tenke på i denne situasjonen.
Når dere skal behandle personopplysninger i EØS eller et adekvat tredjeland, for eksempel ved å bruke en skytjeneste med servere i EØS, er utgangspunktet at dere ikke trenger å forholde dere til reglene om overføring av personopplysninger til tredjeland. Dette utgangspunktet har imidlertid flere unntak, og derfor er det nødvendig med ytterligere vurderinger. Nedenfor har vi delt opp vurderingene i fire steg.
Rapport fra EDPB om fallgruver
I en rapport vedtatt av Personvernrådet (EDPB) fremgår det at det er flere fallgruver ved bruk av ikke-europeiske skyleverandører selv om personopplysningene skal behandles i EØS. Trår man feil, kan man for eksempel ende opp med å bryte én eller flere av pliktene i artikkel 28 i personvernforordningen. EDPB uttaler følgende (vår oversettelse):
Når anvendelsen av tredjelands lovgivning gjør det mulig å be om utlevering av data lagret av skytjenesteleverandøren i EØS, bør en grundig analyse gjennomføres før avtalen inngås.
Les rapporten her:
Coordinated Enforcement Action, use of cloud-based services by the public sector (edpb.europa.eu).
Rapporten gjelder offentlig sektor, men har relevans også for private virksomheter.
EDPB løfter også denne problemstillingen i de reviderte retningslinjene om samspillet mellom artikkel 3 og kapittel V (se avsnitt 24 og eksempel 12).
Husk også på at, i tillegg til vurderinger i forbindelse med en mulig overføring, er det en rekke andre relevante plikter i personvernforordningen som uansett gjelder, slik som plikten til å sørge for informasjonssikkerhet.
Merk:
Vi presiserer for ordens skyld at dere har plikt til å gjennomføre tilstrekkelige vurderinger i forkant av behandling av personopplysninger, uavhengig om det senere skulle vise seg at behandlingen ikke er problematisk. Manglende vurderinger i forkant kan være i strid med ansvarlighetsprinsippet, noe som i seg selv kan være et alvorlig lovbrudd.
Steg 1: Kan overføringer likevel skje?
Det er viktig å sjekke om personopplysninger kan bli overført selv om dataene skal behandles i EØS eller et adekvat tredjeland. Her er noen eksempler på situasjoner der det er tilfellet:
- Skytjenesten spesifiserer at enkelte typer support kan ytes av supportpersonell i et ikke-adekvat tredjeland, for eksempel til visse tider av døgnet eller i tilfelle krisegjenoppretting. Husk at tilgang til personopplysninger, inkludert fjernaksess, kan være en form for overføring.
- Tjenesteavtalen tar forbehold om at personopplysninger kan utleveres til myndighetene i et ikke-adekvat tredjeland.
- Skytjenesten er underlagt juridiske forpliktelser i et ikke-adekvat tredjeland som går foran avtalen og som kan innebære utlevering av personopplysninger.
Hvis overføringer kan skje, gå videre til neste steg i vurderingen.
Merk:
I det øyeblikket når tilgang finnes, vil reglene om overføring gjelde. Overføringsbegrepet er ikke definert i personvernforordningen. Personvernrådet har utarbeidet veiledning 5/2021 (edpb.europa.eu) på dette området. Tre kriterier må være oppfylt for at behandling anses som overføring ut av EØS. Se kapittel 1 i veilederen.
Steg 2: Hvem er behandlingsansvarlig for den mulige overføringen?
Hvis overføringer kan skje selv om dataene skal behandles i EØS, må dere vurdere hvem som er behandlingsansvarlig for en eventuell overføring. Den behandlingsansvarlige er den som bestemmer formålet og midlene med en overføring. Typisk er det den som har interesse i overføringen som er behandlingsansvarlig.
For eksempel, dersom opplysningene kan overføres for å yte supporttjenester til dere, er det nærliggende at dere er behandlingsansvarlig for en slik overføring. Når dere er behandlingsansvarlig for eventuelle overføringer, må dere forholde dere til reglene beskrevet foran i denne veilederen for å sikre at eventuelle overføringer skjer lovlig.
Motsatt, dersom en overføring skjer for at en tjenesteleverandør skal oppfylle sine juridiske forpliktelser, er det sannsynligvis tjenesteleverandøren som er behandlingsansvarlig for overføringen. Dere har likevel et ansvar i denne situasjonen siden det er dere som beslutter å ta leverandøren i bruk og dermed gir den tilgang til de aktuelle personopplysningene. I slike tilfeller er det nødvendig å gå videre til neste steg.
Merk:
To eller flere behandlingsansvarlige kan ha felles behandlingsansvar. Wirtschaftsakademie Schleswig-Holstein-/Fanpage-dommen (curia.europa.eu) gir retningslinjer angående behandlingsansvar og for når en virksomhet kan anses å ha felles behandlingsansvar.
Steg 3: Forpliktelser når tjenesteleverandøren potensielt kan overføre personopplysningene
Dere kan bare velge databehandlere som oppstiller tilstrekkelige garantier for at behandling av personopplysninger vil skje i tråd med personvernforordningen, herunder at personopplysninger kun behandles i tråd med deres instrukser og ikke overføres ulovlig av noen i leverandørkjeden. Dette følger av personvernforordningen artikkel 28(1).
Denne bestemmelsen krever at man bare benytter databehandlere som «gir tilstrekkelige garantier». I vurderingen av når en databehandler kan sies å ha gitt tilstrekkelige garantier, altså hvor mye garantier de må legge frem før det er godt nok, er det naturlig å se hen behandlingens art og omfang og omstendighetene for øvrig. Det er grunnen til at artikkel 28(1) ofte omtales som en form for risikovurdering.
Dette må imidlertid ikke trekkes for langt. Bestemmelsens ordlyd gir på ingen måte dekning for å si at man kan velge å bruke databehandlere som sier at de kan bryte databehandleravtalen, deres instrukser eller personvernforordningen, og en slik forståelse ville for øvrig gått imot bestemmelsens formål. Formålet er nettopp å sikre at man bare velger leverandører som man kan stole på og som forplikter seg til å følge forordningen fullt ut.
Dersom forbehold som innebærer brudd på personvernforordningen er tatt, eller det på annet grunnlag er grunn til å tro at databehandleren kan bryte reglene, må man selvsagt iverksette tiltak for å motvirke at dette skjer, hvis ikke kan ikke databehandleren benyttes. Man kan altså ikke risikovurdere seg bort fra eget ansvar.
Ofte tar tjenesteavtaler vage og vide forbehold om at leverandøren kan overføre personopplysninger til ikke-adekvate tredjeland for oppfylle dens juridiske forpliktelser. Dette er et typisk holdepunkt for at leverandøren kan overføre personopplysninger i strid med forordningen og at tiltak for å forhindre brudd derfor må iverksettes.
Når det gjelder hva slags tiltak man kan iverksette og hva som er tilstrekkelig, er det naturlig å se hen til tiltakene beskrevet i forrige delkapittel, altså tiltak man kan iverksette for å sikre lovlig overføring av personopplysninger. Kryptering eller pseudonymisering med god nøkkelhåndtering kan være særlig praktisk.
Litt forenklet, la oss si at dere lagrer personopplysninger om navngitte personer i en skytjeneste i EØS. Skyleverandøren er imidlertid underlagt problematisk lovgivning i et ikke-adekvat tredjeland som innebærer at myndighetene kan be om å få utlevert opplysninger knyttet til gitte identifikatorer. Myndighetene i tredjelandet ber nå om å få utlevert opplysninger knyttet navnet «Navn Navnesen». Dersom dataene er korrekt pseudonymiserte og bare dere har adgang til koblingsnøkkelen, vil ikke skyleverandøren finne opplysninger knyttet til «Navn Navnesen». Da vil det heller ikke skje en potensielt ulovlig utlevering av personopplysninger. Forutsetningen er det ikke på annen måte, for eksempel ved sammenstilling av personopplysningene, er mulig å avdekke hvilke personopplysninger som gjelder «Navn Navnesen». I dette tilfellet innebærer altså pseudonymiseringen at skytjenesten kan benyttes lovlig selv om den er underlagt problematisk tredjelandslovgivning.
Merk:
Dersom personopplysninger kan leses i klartekst på et tidspunkt mens de er i skyløsningen, for eksempel hvis data ikke er kryptert under behandling, anbefaler vi å vurdere å beskytte personopplysningene ved pseudonymisering. Vi henviser til Personvernrådets anbefalinger 1/2020 (edpb.europa.eu), særlig para. 94-96,
Merk:
For at kryptering skal være effektivt for å motvirke ulovlig utlevering, bør ikke tjenesteleverandøren ha tilgang til krypteringsnøkkelen.
Merk:
En databehandler har lov til å utlevere personopplysninger dersom den er pålagt det etter EU-retten eller nasjonal rett i et EØS-land. Regelverket er lagt opp slik fordi EØS-land er forpliktet til å etterleve omtrentlig de samme menneskerettighetene, med de samme håndhevingsmekanismene for å sikre etterlevelse.
Steg 4: Hva er avtalt?
Det er viktig å vurdere hva som er avtalt om databehandleroppdraget.
I noen tilfeller kan det være avtalt at en tjenesteleverandør er behandlingsansvarlig for enkelte behandlinger og databehandler for andre behandlinger. Dersom det er avtalt at en tjenesteleverandør skal være behandlingsansvarlig for en behandling som kan medføre overføring, er tommelfingerregelen at det er den nye behandlingsansvarlige som sitter med ansvaret.
Husk imidlertid at dere må ha et gyldig rettslig grunnlag i personvernforordningen artikkel 6 (og eventuelt artikkel 9 ved særlige kategorier personopplysninger) for å utlevere personopplysninger til tjenesteleverandøren som en ny behandlingsansvarlig. Utleveringen må dessuten være forenlig med formålet som personopplysningene ble samlet inn for. Husk også på informasjonsplikten.
Dersom dere ikke lovlig kan utlevere personopplysninger til tjenesteleverandøren som en ny behandlingsansvarlig, må dere iverksette tiltak for å påse at tjenesteleverandøren bare behandler personopplysninger etter deres instruksjoner. Se steg 3.
Europeiske eksempler og veiledning
Merk:
Dere har ansvar for å velge en databehandler/skyleverandør som oppfyller personvernforordningens plikter og sørger for å ivareta de registrertes rettigheter. Dersom det er avtalt at skyleverandøren skal være databehandler, må dere som iverksette tiltak for å påse at skyleverandøren kun behandler og overfører personopplysninger etter deres instrukser. Dette poenget blant andre ble trukket frem i en rapport fra Personvernrådet om offentlige organers bruk av skytjenester (edpb.europa.eu).
Eksempel fra Sverige
I 2021 ba Kommunstyrelsen i Stockholm den svenske datatilsynsmyndigheten (IMY) om forhåndsdrøftelse. Bakgrunnen var at Kommunstyrelsen ville ta i bruk Azure AD og Teams. På dette tidspunktet hadde ikke USA en adekvansbeslutning.
Kommunstyrelsens bruk av Azure AD innebar ingen overføring av personopplysninger i seg selv, siden personopplysningene i utgangspunktet ville behandles innenfor EØS. Derimot kunne overføring skje dersom Microsoft, selskapet bak tjenesten, ble pålagt utlevering av amerikanske myndigheter under amerikansk lovgivning. Kommunstyrelsen fremholdt at sannsynligheten for ulovlig utlevering var lav og at de aktuelle personopplysningene var å regne som harmløse.
IMY uttalte at vurderingen av personvernkonsekvenser var mangelfull. Når det gjaldt valg av en leverandør i EØS underlagt tredjelands lovgivning, uttalte IMY følgende på side 3, vår oversettelse:
«Kommunestyret må følge de kravene som personvernforordningen artikkel 28 stiller. Kommunestyret bør derfor ta stilling til hvilken garantier i form av tekniske og organisatoriske tiltak som kreves for å sørge for at det ikke skjer en ulovlig overføring av personopplysninger til tredjeland, for eksempel hvordan sikre at leverandøren ikke utleverer opplysninger i strid med artikkel 48. Dersom kommunestyret ikke kan innhente tilstrekkelige garantier fra leverandøren jf. personvernforordningen artikkel 28, kan ikke kommunestyret velge å gjøre en avtale med denne leverandøren.»
Eksempel fra Frankrike
Den høyeste franske forvaltningsdomstolen har vurdert en sak som gjaldt behandling av personopplysninger i EØS hos en skytjeneste underlagt tredjelands lovgivning (conseil-etat.fr) Domstolen uttalte at å bruke en slik leverandør ikke i seg selv utgjør en overføring, men at det er en mulighet for at overføring likevel vil skje dersom leverandøren mottar utleveringsforespørsler fra tredjelandets myndigheter. Domstolen kom frem til at bruk av skytjenesten i den konkrete saken ikke var ulovlig, blant annet fordi det var på plass tiltak for å beskytte personvernet dersom det skulle komme utleveringsforespørsler. Domstolen pekte på at personopplysninger var kryptert og at krypteringsnøkkelen var håndtert av en tredjepart i Frankrike.
Eksempel fra Danmark
Det danske Datatilsynet har gitt ut en veileder om skytjenester tilgjengelig på både dansk og engelsk (datatilsynet.dk). Siden reglene er like i hele EØS, kan denne veilederen være nyttig også for norske virksomheter.
Når det gjelder bruk av skytjenester i EØS underlagt tredjelands lovgivning, har det norske Datatilsynet og det danske Datatilsynet tilsynelatende litt ulike innfallsvinkler – men resultatet blir likevel i praksis mer eller mindre det samme.
Det danske Datatilsynet skiller mellom såkalt «tilsigtet» og «utilsigtet» overføring (som også har blitt ytterligere forklart i den såkalte KOMBIT-saken (datatilsynet.dk)):
- Dersom formålet med overføring er knyttet til en virksomhets behov for eksempelvis support eller liknende, eller dersom virksomhetens databehandler eksplisitt tar forbehold om overføring, regnes overføringen som tilsiktet. Da har også virksomheten ansvar for å sikre at reglene om overføring til tredjeland blir overholdt. Dette er sammenliknbart med det vi sier i steg 2 annet avsnitt (der dere selv er behandlingsansvarlige for overføringen) og steg 3 tredje, fjerde og femte avsnitt (der det er konkrete holdepunkter for at leverandøren kan bryte forordningen).
- Ut over dette vil eventuelle overføringer i strid med databehandleravtalen regnes som utilsiktede. Det fritar ikke den opprinnelig behandlingsansvarlige for ansvar, men i slike tilfeller kan man ha en mer risikobasert tilnærming til valg av databehandler. Dette er sammenliknbart med det vi sier ovenfor i steg 3 annet avsnitt (den generelle vurderingen av hvorvidt fremlagte garantier er tilstrekkelige når det ikke foreligger konkrete holdepunkter for at leverandøren kan bryte forordningen).
Vi mener at selv om en databehandleravtale ikke tar forbehold om overføring, kan det tenkes situasjoner der det likevel er holdepunkter for at potensielt ulovlige overføringer kan skje, med den konsekvens at tiltak må iverksettes for å forhindre brudd hvis leverandøren skal kunne velges. Slike omstendigheter kan for eksempel avdekkes under en risikovurdering av databehandleren etter artikkel 32. Det er mulig slike situasjoner ville blitt vurdert som utilsiktet overføring av danske kolleger, og i så fall har vi ulik tolkning. Samtidig erfarer vi at der leverandører er omfattet av tredjelands lovgivning, vil de som regel ta forbehold om det i avtalen, blant annet for å unngå ansvar for kontraktsbrudd. Dermed er det også usikkert i hvilken grad denne nyanseforskjellen vil ha særlig betydning i praksis.