Mye tilsier at forbehold i skytjenesters standardvilkår om utlevering av informasjon ikke er en instruks. Det er trolig heller ikke behov for et særskilt behandlingsgrunnlag for å benytte en skytjenesteleverandør som databehandler når denne har tatt et forbehold. Her kan du lese mer om disse spørsmålene.
Hvor er jeg i veiledningen?
1 Innledning
Arbeidsgruppen legger til grunn at alle land driver med etterretning, og at alle skytjenesteleverandører er underlagt en eller flere lands etterretningslovgivning. Det er alltid en risiko for at etterretningstjenester kan få tilgang til opplysningene en leverandør besitter, enten det er opplyst om i kontrakten eller ikke. For å sikre at den registrertes rettigheter er ivaretatt i praksis må de reelle forholdene være avgjørende og vurderes konkret.
Ansvarlige offentlige virksomheter kan ikke legge til grunn at kun de skytjenesteleverandørene som opplyser om etterretning er de som er underlagt dette. Tilsvarende kan ikke det offentlige legge til grunn at så lenge det ikke står noe i kontrakten, så er det ingen risiko for etterretning. Dette gir en falsk trygghet. Dette synes også å være lagt til grunn av EDPB og Datatilsynet i deres veiledning om overføringer av personopplysninger.
Det viktigste for å sikre den registrertes rettigheter i praksis er å sørge for gode vurderinger ved valg av databehandler, herunder skytjenesteleverandører. Slike vurderinger gjøres best med utgangspunkt i artikkel 32, jf. artikkel 28 nr. 1 bokstav a.
Når en skytjenesteleverandør igjennom sine avtalevilkår opplyser om at de er underlagt etterretning og etterretningslovgivning bidrar dette til klarhet i avtaleforholdet. En dataimportør har etter en SCC Clause 14 c også en forpliktelse til å bidra med relevant informasjon om lov og praksis i landet som dataen sendes til. Til tross for dette har det i den offentlige debatten etter Schrems II vært et stort fokus på hvorvidt en behandlingsansvarlig har instruert en databehandler om å utlevere personopplysninger til tredjelandsetterretningsmyndigheter ved å akseptere et forbehold i sine standardavtaler. For det tilfellet der databehandleren ikke er instruert, men likevel har opplyst om å være underlagt visse typer lovgivning tar enkelte til orde for at det kan være nødvendig med et ytterligere behandlingsgrunnlag for å kunne utlevere personopplysninger til skytjenesteleverandøren.
På grunn av usikkerheten disse uttalelsene har skapt, ønsker arbeidsgruppen å uttale seg om problemstillingene.
2 Nærmere om problemstillingen
Leverandører av skytjenester benytter ofte standardvilkår som må aksepteres av kunden for at tjenesten kan benyttes. Skytjenesteleverandøren er ofte en databehandler eller underdatabehandler. I slike sammenhenger kan hele eller deler av standardvilkårene dermed bli en del av databehandleravtalen. Av og til oppstår spørsmålet om skytjenestens standardvilkår viser til en behandling som er i strid med hva den offentlige virksomheten som behandlingsansvarlig kan avtale. Dette kan være forbehold i standardvilkårene om at leverandøren kan komme til å til å utlevere opplysninger til etterretningsmyndigheter i henhold til etterretningslovgivning som de er underlagt. Det kan imidlertid også være forbehold i standardvilkårene om bruk av opplysningene til egne formål.
Det overordnede spørsmålet er hvorvidt en behandlingsansvarlig kan godta vilkår som inneholder slike forbehold. Med utgangspunkt i personvernforordningens artikkel 29, jf. 28 nr. 3 bokstav a, jf. artikkel 4 nr. 7, som beskrives i neste punkt, kan den overordnede problemstillingen deles inn i to underspørsmål:
- Skal et forbehold om utlevering anses som «dokumenterte instrukser» fra den behandlingsansvarlige?
- Hvis forbeholdet anses som en «dokumentert instruks», viser instruksen til en behandling i strid med den behandlingsansvarliges behandlingsgrunnlag?
Der en kommer til at skytjenesteleverandøren ikke har blitt instruert og selv fastsetter mål og midler for behandlingen, er skytjenesteleverandøren å anse som behandlingsansvarlig for utleveringen. I denne sammenhengen har det vært stilt spørsmål ved om den opprinnelige behandlingsansvarlige må ha et ytterligere behandlingsgrunnlag for å dele opplysninger med sin skytjenesteleverandør som nå har blitt behandlingsansvarlig. Dette behandles særlig i punkt 5.
3 Noen juridiske utgangspunkter
Det overordnede juridiske utgangspunktet er at den behandlingsansvarlige er den som «bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes», jf. pvf. artikkel 4 nr. 7. En databehandler behandler personopplysninger «på vegne av den behandlingsansvarlige», jf. pvf. artikkel 4 nr. 8.
Personvernforordningens artikkel 29 regulerer behandling som utføres for den behandlingsansvarlige. Av denne følger det at en databehandler bare skal behandle opplysninger «etter instruks fra den behandlingsansvarlige». Forholdet mellom den behandlingsansvarlige og en databehandler reguleres i en databehandleravtale. I henhold til artikkel 28 nummer 3 bokstav a skal databehandleravtalen særlig angi at databehandleren bare behandler personopplysninger «på dokumenterte instrukser fra den behandlingsansvarlige». Databehandleravtalen kan omfatte mer enn bare «dokumenterte instrukser». Avtalen omfatter også slik som at informasjonssikkerheten skal ivaretas jf. artikkel 28 nr. 3 bokstav c, samt ulike bistands- og støtteplikter, jf. artikkel 28 nr. 3 bokstav f.
Det er en naturlig sammenheng mellom bestemmelsene om instrukser i artikkel 29 og artikkel 28 nr. 3 bokstav a og rollene slik de fremgår i artikkel 4. Instruksjonsmyndigheten som følger av personvernforordningen er gitt til den behandlingsansvarlige. Den som fastsetter formål og midler for behandlingen er behandlingsansvarlig og den som instruerer. Den som behandler på vegne av behandlingsansvarlig er databehandler og er den som blir instruert. En konsekvens av dette er at dersom databehandleren selv fastsetter formål og midler for en type behandling, blir databehandleren selv behandlingsansvarlig for denne behandlingen, jf. artikkel 28 nr. 10.
Av og til kan det stilles spørsmål ved hvorvidt en type behandling er i henhold til den behandlingsansvarliges behandlingsformål. Dette må den behandlingsansvarlige løse med utgangspunkt i pvf. artikkel 5 nr. 1 bokstav b, jf. artikkel 6 nr. 4 og det aktuelle behandlingsgrunnlaget. Databehandleren skal vurdere om egen behandling er i henhold til «dokumenterte instrukser» fra den behandlingsansvarlige.
4 Steg 1: Skal et forbehold anses som «dokumenterte instrukser» fra den behandlingsansvarlige?
Spørsmålet er om et forbehold i standardavtaler skal anses som «dokumenterte instrukser» fra den behandlingsansvarlige? I det følgende klarlegges først vilkåret «dokumentert instruks», deretter hvordan konkrete vilkår i skytjenesteleverandørens avtale skal vurderes.
4.1 Tolkning av begrepet instruks
4.1.1 Tolkning av ordlyden «instruks»
Fordi homogenitetsprinsippet står sterkt ved tolkningen av EU/EØS-rettslige kilder, veier ordlyden tungt ved tolkningen av personvernforordningen. En naturlig språklig forståelse av ordet «instruks» tilsier en viss retning og tydelighet. En instruks er mer uttrykkelig enn en godkjenning/anerkjennelse. I Det Norsk akademiske ordbok defineres instruks som en type ordre. I den daglige språkbruken er det ikke naturlig å omtale informasjon fra en part som en instruks fra en annen part. For eksempel:
Dersom en ansatt opplyser sin leder om at den ansatte i fremtiden muligens vil velge å dra til tannlegen, er det vanskelig å si at lederen har instruert den ansatte om å dra til tannlegen. Dersom en leder derimot sier «nå skal du dra til tannlegen» harmonerer dette mer med en naturlig språklig forståelse av «instruks».
Dersom en ansatt opplyser sin leder om at de kan måtte møte som meddommer i en domstol, er det ikke naturlig å si at lederen har instruert den ansatte om å være meddommer når den ansatte blir kalt inn til dette. I denne sammenhengen har heller ikke lederen anledning til å motsette seg dette.
Ordet instruks benyttes også om regelverk hvor instruksgiveren fastsetter mål og føringer for virkemiddelbruk og avveininger, eksempelvis Instruks om tilgang til opplysninger for utvalget som skal evaluere myndighetenes håndtering av covid-19-pandemien - Lovdata. For slike instrukser er målet at det fremgår nokså klart hva pliktsubjektet etter instruksen skal gjøre.
En slik ordlydstolkning av ordet instruks har også støtte i kommentarutgaven til personvernforordningen hvor det står «Med en instruks menes gjerne en ordre, ofte skriftlig, som binder en annen virksomhet eller person til å handle på en bestemt måte. I denne sammenhengen må instruksen gi bestemmelser om hvordan den som instrueres, skal behandle personopplysninger.»
4.1.2 Sammenhengen mellom rollefordelingen i forordningen og vilkåret «instruks»
Vilkåret «instrukser» i artikkel 29 og «dokumenterte instrukser» i artikkel 28 nr. 3 må sees i sammenheng med utgangspunktet for rollefordelingen i personvernforordningen. Den behandlingsansvarlige er etter artikkel 4 nr. 7 den som fastsetter «formålet med behandlingen» og «hvilke midler som skal benyttes». Artikkel 28 nr. 10 er en logisk konsekvens av definisjonen i artikkel 4 og sier at «dersom en databehandler overtrer bestemmelsene i denne forordningen ved å fastsette formålene med og midlene for behandlingen, skal databehandleren anses for å være en behandlingsansvarlig med hensyn til nevnte behandling».
Som det er pekt på innledningsvis er det en sammenheng mellom bestemmelsene. Den som fastsetter «formål og midler» for behandlingen er behandlingsansvarlig og har instruksjonsmyndighet. Det er den som gir «instrukser» for behandlingen. Det betyr motsetningsvis at dersom den behandlingsansvarlige ikke fastsetter «formål og midler» for en behandling, er ikke denne behandlingsansvarlig og har ikke instruksjonsmyndighet. Det har dermed formodningen mot seg at den gir instrukser om en behandling slik som i et forbehold om utlevering.
For å avgjøre hva som er «dokumenterte instrukser» er det derfor relevant å se på om hvem som fastsetter formål og midler for behandlingen, hvilket igjen avgjør hvem som er behandlingsansvarlig og som dermed har instruksjonsmyndighet.
4.1.3 Er alt som står i databehandleravtalen automatisk en instruks?
Det kan være nærliggende å tenke at «dokumenterte instrukser» fra den behandlingsansvarlige er alt som står i databehandleravtalen. Begrunnelsen for dette må være at databehandleravtalen regulerer den personvernrettslige delen av avtaleforholdet mellom en behandlingsansvarlig og en databehandler. Dermed må alt som står der være «dokumenterte instrukser». Med en slik tolkning definerer en «dokumenterte instrukser» ut ifra hvor vilkåret formelt er plassert. Det følger imidlertid ikke av personvernforordningen at den formelle plasseringen er avgjørende. Eksempelvis sier ikke artikkel 28 nr. 3 bokstav a at «databehandleren bare skal behandle opplysninger i henhold til databehandleravtalen». Forordningen sier derimot at behandlingen bare skal skje på instrukser fra den behandlingsansvarlige. Etter artikkel 28 nr. 3 bokstav a skal det fastsettes i databehandleravtalen at behandlingen bare skjer på «dokumenterte instrukser». Det avgjørende må være hvorvidt en formulering i skytjenestenes standardvilkår faktisk er en «dokumentert instruks». Det kan altså ikke legges til grunn at alt som står i databehandleravtalen uten videre er «dokumenterte instrukser».
4.1.4 Uttalelse fra det danske datatilsynet
Det danske datatilsynet publiserte den 5. april 2022 et svar på et spørsmål fra selskapet KOMBIT. Spørsmålet fra KOMBIT var hvorvidt et forbehold om utlevering/overføring i AWS standardvilkår der dette var «necessary to comply with the law or binding order of a governmental body» skulle medføre at en overføring var tilsiktet fra den behandlingsansvarlige.
Det danske datatilsynet går ikke nærmere inn på hva som ligger i uttrykket «dokumenterte instrukser», men legger til grunn det KOMBIT har anført i sin henvendelse og anser et slikt forbehold som en instruks. Dermed behandler ikke databehandleren personopplysninger i strid med databehandleravtalen, slik det er beskrevet i deres veiledning om skytjenester.
Fordi tilsynet likevel ikke uttaler seg om hva som ligger i «dokumenterte instrukser», gir den lite veiledning om hvordan dette begrepet skal forstås. Tilsynet sitt svar trekker i imidlertid i retning av at et forbehold som det beskrevet i den konkrete saken skal anses som en instruks. Samtidig har en uttalelse fra et annet lands tilsynsmyndighet i seg selv nokså begrenset rettskildemessig vekt, særlig når den ikke er en del av et vedtak. Videre må vekten være ytterligere begrenset ved at den ikke gir uttrykk for noen langvarig eller omfattende praksis, jf. eksempelvis Rt. 2006 s. 991 og Rt. 2007 s. 801.
4.1.5 Avtalerettslige prinsipper og tilnærminger
Standardvilkårene og databehandleravtalen er en del av avtaleforholdet mellom den behandlingsansvarlige og databehandleren. En avtale med en skyleverandør kan inneholde en forholdvis stor mengde dokumenter som regulerer forholdet mellom partene. Ved avgjørelsen av hvorvidt noe er en «dokumentert instruks» må det også derfor være relevant å se på avtalerettslige prinsipper og tilnærminger i tolkningen. I denne sammenhengen er særlig følgende elementer relevante:
- Det er neppe en instruks hvis ingen av avtalepartene oppfatter forbeholdet som en instruks. Dersom leverandøren ikke anser seg instruert av kunden gjennom dette forbeholdet og heller ikke kunden har ønsket å instruere leverandøren, kan det vanskelig sies å være en instruks.
- Forbeholdet må tolkes i lys av andre vilkår og forbehold i kontrakten. Har for eksempel den behandlingsansvarlige gitt en instruks et annet sted i avtalen med leverandøren som tydelig sier det motsatte av forbeholdet, trekker dette i retning av at forbeholdet om utlevering ikke er en instruks. I denne sammenhengen er det nok naturlig å se det slik at SCCene har forrang over andre avtalevilkår.
Hvordan vanlige kontraktsrettslige forhold, herunder partenes oppfatninger skal vektes er noe usikkert. Ved vurderingen av «instruks» befinner en seg i et område som er dels et vilkår i personvernforordningen og deles et avtaleforhold mellom to parter. I kontraktsretten er utgangspunktet avtalefrihet og hvis avtalepartene har en omforent forståelse av et vilkår i en avtale er det jo som regel uproblematisk. Dersom imidlertid forbeholdet etter sin ordlyd klart er en instruks, er det usikkert hvilken vekt den avtalerettslige tilnærmingen har i den personvernrettslige vurderingen. Det er likevel gode grunner til at dette skal ha betydning ved subsumsjonen – det er vanskelig å si at noe er en instruks hvis partene ikke mener at det er det.
4.1.6 Oppsummering
Oppsummert er det slik at «instruks» forutsetter en viss retning og tydelighet. Det har betydning hvorvidt den som angivelig har gitt instruksen er den som fastsetter formål og middel for den aktuelle behandlingen. Det er, etter vår vurdering, ikke avgjørende for om det foreligger en instruks at et forhold eller et forbehold er gjort til en del av databehandleravtalen. Videre har det også betydning hvorvidt databehandleren anser seg som instruert. Det danske datatilsynet har en uttalelse som trekker i motsatt retning, men den er i liten grad begrunnet med hensyn til hva som er en «dokumentert instruks» og har begrenset vekt som rettskilde.
4.2 Skal skytjenesters forbehold om utlevering til etterretning anses som en «dokumentert instruks»?
Etter at innholdet av «dokumentert instruks» er klarlagt, er neste spørsmål hvorvidt en skytjenestes forbehold i sine standardvilkår skal anses som en «dokumentert instruks». Dette må virksomheten som har anskaffet eller skal anskaffe skytjenester vurdere konkret. Det avgjørende blir hvordan forbeholdet er utformet og hvem som fastsetter formål og midler for den behandlingen som forbeholdet gir uttrykk for. Videre har det betydning om skytjenesteleverandøren anser seg som instruert.
Selv om det må avgjøres konkret, vil arbeidsgruppen likevel komme med følgende generelle bemerkninger for hvorvidt forbehold om utlevering til etterretningsmyndigheter og andre liknende rettskrav skal anses som en dokumentert instruks:
4.2.1 Hvordan er skytjenesteleverandørens avtalevilkår formulert?
Hvordan forbeholdet i avtalen er formulert vil ha stor betydning. Dersom det eksempelvis er brukt formuleringer som «Den behandlingsansvarlige ber skytjenesteleverandøren om å utlevere og overføre opplysninger for å imøtekomme ethvert rettskrav databehandleren er underlagt etter tredjelands lovgivning» er dette utvilsomt en instruks.
For å ivareta partenes roller og ansvar bør det fremgå tydelig av formuleringen i avtalen at dette ikke skjer på behandlingsansvarliges vegne som en del av databehandleroppdraget, men i stedet formuleres som informasjon om en forpliktelse databehandler er underlagt uavhengig av avtaleforholdet.
Videre er det positivt om vilkårene gir uttrykk for at skytjenesteleverandøren så langt det er mulig vil forsøke å motsette seg en utleveringsbegjæring. Dette kan for eksempel innebære at leverandøren anmoder etterretningsmyndighetene om å hente opplysningene gjennom andre etablerte etterretningssamarbeid mellom stater og andre kanaler utenfor etterretning.
4.2.2 Fastsetter de offentlige myndighetene mål og midler for utleveringen til tredjelands etterretning?
Det fremstår som nokså klart for at offentlige myndigheter som behandlingsansvarlige ikke fastsetter formål og middel ved utlevering og overføring av personopplysninger til tredjelands etterretningsmyndigheter. For det første er det skytjenesteleverandøren som er pliktsubjektet for en eventuell utleveringsbegjæring. Begjæringen rettes mot skytjenesteleverandøren, og det er skytjenesteleverandøren som avgjør om pålegget skal etterkommes. For det andre er det ikke den behandlingsansvarlige som har bestemt at databehandleren skal være underlagt etterretning. For det tredje kan ikke den behandlingsansvarlige med databehandleravtalen påvirke hvorvidt databehandleren er underlagt tredjelands etterretningslovgivning. Dersom forbeholdet tas vekk fra databehandleravtalen, vil ikke de underliggende reelle forholdene endres. Databehandleren er fortsatt underlagt etterretning.
Hva med delt behandlingsansvar?
Av personvernforordningens artikkel 26 nr. 1 følger det at "Dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen, skal de være felles behandlingsansvarlige." Det er mulig å problematisere om offentlige myndigheter og skytjenesteleverandøren har felles behandlingsansvar, særlig i lys av Fashion ID-dommen og Wirtschaftsakademie-dommen.
Arbeidsgruppen har ikke sett nærmere på problemstillingen med felles behandlingsansvar i denne sammenhengen, men bemerker at det svært begrenset hvilken reell innflytelse en offentlig virksomhet har på skytjenestenes forpliktelser etter tredjelands etterretningslovgivning. Noen vil argumentere for at virksomhetene bør forsøke å fjerne forbehold om utlevering i avtalen. Som understreket innledningsvis, fjerner imidlertid dette ikke risikoen for utleveringen, det fjerner bare informasjon om det. Dette gir kun falsk trygghet. For å sikre den registrertes rettigheter i praksis, mener arbeidsgruppen at det først og fremst er viktig å foreta grundige risikovurderinger. Et forbehold kan gi viktig informasjon til slike vurderinger.
4.2.3 Anser skytjenesteleverandøren seg som instruert?
Arbeidsgruppens erfaringer er at skytjenesteleverandørene i mange tilfeller ikke anser seg som instruert av kunden ved forbehold om utlevering til etterretningsmyndigheter. Tvert imot er flere skytjenesteleverandører tydelige på at de er behandlingsansvarlige for en eventuell utlevering til tredjelands etterretningsmyndigheter. Eksempelvis formulerer Microsoft det slik i sin Data Protection Addendum (DPA, versjon fra september 2021) under overskriften Databehandler og behandlingsansvarlig, roller og ansvar:
"I den grad Microsoft bruker eller på annen måte behandler personopplysninger som omfattes av GDPR, for Microsofts legitime forretningsvirksomhet knyttet til levering av produkter og tjenester til kunden, skal Microsoft overholde forpliktelsene til en uavhengig behandlingsansvarlig under GDPR for slik bruk. Microsoft godtar det ekstra ansvaret som “behandlingsansvarlig” i henhold til GDPR for behandling i forbindelse med sin forretningsvirksomhet for å: (a) handle i samsvar med forskriftskrav, i den grad det kreves under GDPR; og (b) gi økt åpenhet for Kundene og bekrefte Microsofts ansvarlighet for slik behandling. Microsoft anvender sikkerhetstiltak for å beskytte kundedata, faglig tjenestedata og personopplysninger under behandling, inkludert sikkerhetstiltakene som er nevnt i denne DPA-en, og sikkerhetstiltakene som er beskrevet i artikkel 6 nr. 4 i GDPR. …"
Videre har databehandleren i henhold til artikkel 28 nr. 3 en plikt til å «omgående underrette den behandlingsansvarlige dersom vedkommende mener at en instruks er i strid med denne forordning». På bakgrunn av Schrems II bør det være nokså klart for en databehandler at det vil være i strid med de fleste behandlingsansvarliges behandlingsgrunnlag om opplysningene utleveres til tredjelands etterretning. Når dette ikke underrettes om, tilsier også dette at leverandørene ikke oppfatter forbeholdet sitt som en instruks.
4.2.4 Oppsummering
Oppsummert er det altså mye som tilsier at et forbehold i en skytjenesteleverandørs standardvilkår ikke kan anses som en «dokumentert instruks». Samtidig kan ikke arbeidsgruppen konkludere på dette spørsmålet ettersom svaret beror det på en konkret vurdering av det aktuelle avtalevilkåret og avtaleforholdet. Videre er dette et rettsområde med stor usikkerhet, og det er grunn til å anta at det kommer endringer og ytterligere avklaringer fortløpende.
5 Steg 2: Forutsatt at det er en instruks, har behandlingsansvarlige lov til å gi en slik instruks?
Dersom skytjenesteleverandørens forbehold, på bakgrunn av vurderingen i 3.1 skal anses som en instruks blir spørsmålet om instruksen er i samsvar med den behandlingsansvarliges behandlingsgrunnlag.
Dette steget er altså ikke nødvendig der en har kommet til at forbeholdet i standardvilkåret ikke er å anse som en instruks.
5.1 Hvordan skal dette vurderes?
Utgangspunktet må være at den behandlingsansvarlige ikke kan instruere databehandler om behandling som den behandlingsansvarlige ikke selv har grunnlag for. Dette følger av personvernforordningens systematikk.
Hvorvidt instruksen er i henhold til den behandlingsansvarliges behandlingsgrunnlag må vurderes konkret. Videre er det også en konkret vurdering om den behandlingen som det er instruert om eventuelt skulle være ny behandling til forenlige formål, jf. artikkel 5 nr. 1 bokstav b, jf. artikkel 6 nr. 4. Arbeidsgruppen kan likevel komme med følgende generelle bemerkninger:
Når offentlige myndigheter er behandlingsansvarlige er ofte formålet i behandlingsgrunnlaget vidt definert. Behandlingsgrunnlaget vil ofte være artikkel 6 nr. 1 bokstav c eller e. Av artikkel 6 nr. 3 følger det at behandlingsgrunnlaget for behandling i henhold til artikkel 6 nr. 1 bokstav e ikke behøver å angi formålet spesifikt.
«Formålet med behandlingen skal være fastsatt i nevnte rettslige grunnlag eller, når det gjelder behandlingen nevnt i nr. 1 bokstav e), være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.»
Selv om formålet med behandlingen kan være vidt definert, vil det ofte komme mer presist til uttrykk i bestemmelser som er angitt spesifikt for å fungere som behandlingsgrunnlag. Særlig gjelder dette hvor behandlingen av personopplysningene vil være mer inngripende. I slike tilfeller stiller blant annet Grunnloven § 113 om legalitetsprinsippet, Grunnlovens §102, EMK artikkel 8 og potensielt pvf. artikkel 9 krav til det rettslige grunnlaget. Eksempler på slik lovgivning er NAV-loven § 4 a og pasientjournalloven § 3 første ledd.
5.2 Forutsatt at et forbehold om utlevering til tredjelands etterretning er en instruks, kan den behandlingsansvarlige gi en slik instruks?
Dersom en kommer til at et forbehold om utlevering til tredjelands etterretning er en «instruks», blir spørsmålet om en slik instruks vil være i tråd med behandlingsformålet i offentlige virksomheters behandlingsgrunnlag. Dette må vurderes konkret. Arbeidsgruppen anser det likevel som lite sannsynlig at en behandling som innebærer å utlevere opplysningene til tredjelands etterretningsmyndigheter vil være innenfor behandlingsformålet i behandlingsgrunnlag hos offentlige myndigheter. Videre anser arbeidsgruppen det som lite sannsynlig at utlevering av opplysninger til tredjelands etterretning vil være forenelig med det opprinnelige behandlingsformålet.
Dersom den behandlingsansvarlige gir «dokumenterte instrukser» som strider med eget behandlingsgrunnlag, handler den behandlingsansvarlige i strid med personvernforordningen. Da er det nødvendig for den behandlingsansvarlige å gjennomføre tiltak for å bringe denne behandlingen i overenstemmelse med personvernforordningen.
5.3 Forbehold som ikke gjelder etterretning
Flere av virksomhetene i arbeidsgruppen erfarer at vilkår om behandling av opplysninger til «business operations» eller liknende ofte skaper tvil. Har den behandlingsansvarlige ved å godta et slikt vilkår instruert leverandøren om en behandling som den behandlingsansvarlige ikke har adgang til å utføre? Først må det vurderes om forbeholdet er en instruks. Deretter må det vurderes om det er adgang til å gi disse instruksene. Også disse vurderingene må gjøres konkret og det avhenger av hva vilkåret innebærer av behandling. Det kan likevel sies følgende generelt:
Offentlige virksomheter benytter skytjenester fordi de gir svært spesialiserte tjenester. Skytjenestene er komplekse. Selv om et vilkår som «business operations» ved første øyekast kan tilsi at data behandles på en måte som ikke er forenelig, kan det likevel være at behandlingen gjøres for å ivareta den behandlingsansvarliges interesser og at det på denne måten vil være forenelig med et ellers nokså vidt formulert behandlingsgrunnlag. Eksempler på dette kan være:
- Skytjenesteleverandøren benytter aggregerte data fra alle sine kunder til å vurdere hvordan lasten skal balanseres i skytjenestene.
- Leverandøren benytter aggregerte data til å monitorere og forbedre sikkerheten i tjenesten
- Leverandøren benytter aggregerte data om den offentlige virksomhetens bruk av skytjenesten for å kalkulere prisen på tjenesten.
All den tid slik bruk av opplysningene gir sikrere og billigere tjenester til offentlige myndigheter, vil det ofte være i tråd med formålet slik det er definert i behandlingsgrunnlaget. For det tilfellet at vilkåret anses som en «dokumentert instruks» og det viser til en behandling som ikke er forenelig med det opprinnelige behandlingsformålet, har den behandlingsansvarlige instruert sin databehandler om en behandling i strid med sitt behandlingsgrunnlag.
6 Hvis forbeholdet ikke er en instruks, hva gjør jeg da?
6.1 Konsekvensen for skytjenesteleverandøren av at forbeholdet ikke er en instruks
Skytjenesteleverandøren skal kun behandle personopplysninger i henhold til instruksene fra den behandlingsansvarlige, jf. artikkel 29, jf. 28 nr. 1 bokstav a. Dersom forbeholdet ikke anses som en «instruks» kan ikke skytjenesteleverandøren gjøre denne behandlingen som databehandler. Som påpekt i punkt 2 er det en nær sammenheng mellom rollefordelingen i artikkel 4 nr. 7 og 4 nr. 8 og det å gi instrukser etter artikkel 29, jf. 28 nr. 1 bokstav a. Dersom en databehandler fastsetter mål og midler for behandlingen blir databehandleren behandlingsansvarlig, jf. artikkel 28 nr. 10.
På bakgrunn av dette legger arbeidsgruppen til grunn at behandlingen som forbeholdet viser til er behandling som, hvis den skjer, vil være gjort av skytjenesteleverandøren som behandlingsansvarlig. Skytjenesteleverandøren som ny behandlingsansvarlig må sørge for at behandlingen har et gyldig behandlingsgrunnlag på sin side og at behandlingen skjer i henhold til reglene i personvernforordningen.
6.2 Konsekvensen for den opprinnelige behandlingsansvarlige av at forbeholdet ikke er en instruks
Så lenge forbeholdet ikke er en instruks, har det trolig liten personvernrettslig betydning at forbeholdet blir stående som en del av avtalen mellom den offentlige virksomheten og skytjenesteleverandøren. Det kan likevel tenkes at forbeholdet vil kunne ha betydning for andre typer vurderinger, slik som kontraktsrettslige spørsmål. Videre understreker arbeidsgruppen at den behandlingsansvarlige kun kan bruke databehandlere i henhold til artikkel 28 nr. 1.
Noen vil hevde at det er ønskelig at et slikt forbehold fjernes fra skytjenestenes standardvilkår. Arbeidsgruppen mener imidlertid at forbehold om å være underlagt tredjelands etterretning eller andre typer rettskrav, samt informasjon om hvordan leverandør vil forholde seg til dette er viktig informasjon i avtaleforholdet. Slik informasjon bidrar til å gjøre et forsvarlig valg av databehandler i henhold til artikkel 28 nr. 1. Arbeidsgruppen anser dette som positivt.
Dersom en leverandør fjerner forbeholdet, fjerner det ikke risikoen for at slik utlevering vil kunne skje. Arbeidsgruppen legger til grunn at alle land driver med etterretning og at alle skytjenester er underlagt et eller flere lands etterretningslovgivning. Derfor er det alltid en risiko for etterretning. Ansvarlige offentlige virksomheter kan ikke legge til grunn at bare fordi det ikke står i vilkårene at utlevering til etterretning kan skje, så er det ingen risiko for etterretning. Dette gir en falsk trygghet.
Når en skytjenesteleverandør igjennom sine vilkår opplyser om at de er underlagt etterretning og etterretningslovgivning bidrar dette til klarhet i avtaleforholdet. Det forventes også at databehandlere på en eller annen måte gjør oppmerksom på slike forpliktelser. Dette er bl.a. tatt høyde for i EU-kommisjonens modellavtaler for overføring fra 2021, jf. SCC punkt 15.1. Der fremgår det at databehandleren har en informasjonsplikt angående utleveringskrav mht. personopplysninger, og det etableres regler som skal gjelde dersom databehandleren ikke kan informere den behandlingsansvarlige.
6.3 Trengs det et ytterligere behandlingsgrunnlag når skytjenesteleverandøren muligens vil ha en rolle som behandlingsansvarlig?
Hvis det er en risiko for at skytjenesteleverandøren vil kunne bli behandlingsansvarlig for deler av behandlingen, medfører det at den offentlige virksomheten som skal inngå avtalen med skytjenesteleverandøren må ha et ytterligere behandlingsgrunnlag?
Datatilsynet i Norge tar til orde for at dersom vilkårene til en skytjenesteleverandør tar forbehold om at utlevering kan skje, kreves det behandlingsgrunnlag for å kunne utlevere opplysningene fra opprinnelig behandlingsansvarlig til databehandleren som en ny behandlingsansvarlig. Tilsynet formulerer dette slik:
«I dette scenarioet er det klart allerede på tidspunktet for avtaleinngåelsen at man utleverer personopplysninger til en ny behandlingsansvarlig. For å utlevere personopplysninger til en ny behandlingsansvarlig kreves et gyldig behandlingsgrunnlag. Derfor kan man bare inngå avtalen i den grad man har identifisert et passende behandlingsgrunnlag for utlevering av personopplysningene til ny behandlingsansvarlig.»
Ved første øyekast kan dette fremstå som en naturlig konsekvens av at en databehandler som behandler i strid med databehandleravtalen blir behandlingsansvarlig, og at deling av personopplysninger mellom to behandlingsansvarlige forutsetter et tilstrekkelig behandlingsgrunnlag. En slik tilnærming harmonerer imidlertid dårlig med personvernforordningens systematikk og «når» en databehandler blir behandlingsansvarlig. Dette belyses i det følgende:
Utgangspunktet er at forholdet mellom behandlingsansvarlig og databehandler reguleres gjennom databehandleravtalen og «dokumenterte instrukser» i eller i tillegg til databehandleravtalen. I denne relasjonen er det ikke noe krav til et ytterligere behandlingsgrunnlag.
Arbeidsgruppen legger til grunn at alle skytjenesteleverandører er underlagt etterretning fra et eller flere land. Risikoen for utlevering til tredjelands etterretningsmyndigheter eksisterer etter arbeidsgruppens syn uavhengig av hva som står i databehandleravtalen. Tvert imot bidrar informasjon om mulig etterretning bare til klarhet i avtaleforholdet. Når det foreligger en slik risiko, kan det ikke være slik at det er nødvendig å anse alle databehandlere som mulige behandlingsansvarlige, og dermed sikre et behandlingsgrunnlag for å benytte denne databehandleren. Et slikt utgangspunkt, der man i praksis skal opptre som om databehandleren er en selvstendig behandlingsansvarlig, vil utfordrere personvernforordningens system og systematikk. Risikoen er derimot relevant å ta med i betraktningen ved valg av databehandler, jf. artikkel 28 nr. 1.
At det ikke er nødvendig med et ytterligere behandlingsgrunnlag for å bruke en databehandler følger også av når databehandleren blir behandlingsansvarlig. Av artikkel 28 nr. 10 følger det at databehandleren blir behandlingsansvarlig når denne bestemmer formålet og midlene for behandlingen. Databehandleren gjør ikke dette ved inngåelsen av avtalen, men dersom databehandleren faktisk utleverer opplysningene for å etterkomme en utleveringsbegjæring. Mange databehandlere vil aldri utlevere opplysningene selv om dette står i standardvilkårene. Motsetningsvis kan det være at databehandlere vil utlevere opplysninger, selv om dette ikke står i standardvilkårene. Frem til en utlevering eventuelt skjer, vil personopplysningene som er delt mellom den behandlingsansvarlige og databehandleren være delt i kraft av databehandleroppdraget.
For å ivareta den registrertes rettigheter, bør det avgjørende være en vurdering av selve risikoen for at skytjenesteleverandøren vil utlevere til tredjelands etterretningsmyndigheter. Arbeidsgruppen mener at dette er en risiko som best vurderes i sammenheng med øvrige momenter og risikoer i vurderingen ved valg av databehandler i artikkel 28 nr. 1, ikke ved å innføre et krav om ytterligere behandlingsgrunnlag for å benytte en databehandler.
7 Særlig om visse typer rettskrav
7.1 Rettskrav fra EU/EØS
Fra utgangspunktet om at data bare skal behandles på «dokumenterte instrukser» eksisterer det et unntak i artikkel 28 nr. 3 bokstav a. Av denne følger det at databehandleren ikke behøver å behandle opplysninger «på dokumenterte instrukser fra den behandlingsansvarlige» der hvor «medlemsstatens nasjonale rett som databehandleren er underlagt» krever det. I slike tilfeller skal databehandleren i den grad det er mulig opplyse om slike rettslige krav før behandlingen. Formålet med bestemmelsen er at behandlingsansvarlig skal kunne innrette seg etter informasjonen og dermed ta dette i betraktning i vurderingen ved valg av databehandler (Åste Marie Bergseng Skullerud mfl., Personvernforordningen). Unntaket impliserer at en databehandler ikke handler i strid med instrukser der hvor den etterkommer en utleveringsbegjæring i henhold til «unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt». Unntaket i artikkel 28 nr. 3 bokstav a synes å være et uttrykk for at lovgiver aksepterer at en databehandler normalt vil være underlagt andre rettslige forpliktelser.
7.2 Rettskrav fra land utenfor EU/EØS hvor det foreligger internasjonal avtale
For utleveringsbegjæringer som kommer fra land utenfor EU/EØS blir dette noe annerledes enn situasjonen for utleveringsbegjæringer fra EU/EØS-land. Ordlyden i unntaket i artikkel 28 nr. 3 bokstav a dekker bare «unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt». En databehandler som agerer etter forpliktelser gitt av stater utenfor EU/EØS vil derfor etter ordlyden ikke være omfattet av unntaket i 28 nr. 3 bokstav a.
Etter artikkel 48 kan det likevel være et grunnlag for slik overføring, dersom dommen eller vedtaket som krever overføring “bygger på en internasjonal avtale”. Artikkel 48 synes å gi uttrykk for de samme hensynene som begrunner unntaket i artikkel 28 nr. 3 bokstav a, nemlig en anerkjennelse av at databehandlere normalt vil være underlagt annen lovgivning enn personvernforordningen som kan gjøre at de havner i en skvis.
Hvis det foreligger en internasjonal avtale slik at artikkel 48 fungerer som et gyldig grunnlag for overføring og utlevering, bør trolig en databehandler fra utenfor EU/EØS behandles på samme måte som en databehandler som omfattes av unntaket i artikkel 28 nr. 3 bokstav a.
Arbeidsgruppen kjenner til følgende internasjonale avtaler som kan gi grunnlag for overføring etter artikkel 48:
- Europarådets konvensjon om datakriminalitet – ETS nr. 185 («Budapestkonvensjonen») del 4.
- Haag-konvensjonen om bevis
- Mutal legal assistance treaties [MLAT] mellom tredjeland og enten Norge eller EU dersom databehandler er etablert i et EU-land.
Samlet sett gir disse internasjonale avtalene et ganske bredt grunnlag for å lovlig kunne innhente informasjon fra databehandlere til kriminalitetsbekjempelse. Bruk av avtalene forutsetter imidlertid prosedyrer som ofte kan være tidkrevende. I en risikovurdering kan det etter omstendighetene være grunnlag for å vurdere sannsynligheten for at etterretningsmyndigheter likevel henter opplysningene fra databehandlere. I alle tilfeller bør en behandlingsansvarlig kreve av sin databehandler at de undersøker mulighetene for overføringer i tråd med artikkel 48, og igjen krever av myndigheter at en overføring etter artikkel 48 benyttes når dette er mulig. Dette bør fastsettes i databehandleravtalen.
Kontakt
Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!
E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)