Mange benytter skytjenester hvor lagring og prosessering skjer i EU/EØS. Samtidig er det fortsatt en risiko for innhenting av personopplysninger til etterretningsformål ved bruk av slike tjenester. Her kan du lese mer om hvilke vurderinger som må gjøres ved bruk av slike tjenester i lys av Schrems II.
Hvor er jeg i veiledningen?
1 Skytjenester med region i EU/EØS medfører i utgangspunktet ikke en overføring av personopplysninger
Mange offentlige virksomheter benytter skytjenester hvor regionen er satt til EU/EØS, slik at lagring og prosessering som utgangspunkt skjer i EU/EØS. Dette har betydning for vurderingene som skal foretas etter personvernforordningen. All den tid behandling av relevante personopplysninger kun skjer innenfor EU/EØS overfører behandlingsansvarlig som utgangspunkt ikke personopplysninger til tredjeland. I slike situasjoner har arbeidsgruppen vurdert at personvernforordningens kapittel V ikke kommer til anvendelse.
Selv om det ikke er nødvendig å anvende bestemmelsene i kapittel V ved bruk av skytjenester med region i EU/EØS, er det likevel mange andre vurderinger det kan være nødvendig å gjennomføre. Du som behandlingsansvarlig må sørge for at du ivaretar dine plikter etter personvernforordningen. I det følgende trekker vi frem noen vurderinger vi mener er særlig relevante ved bruk av skytjenester med regionen satt til EU/EØS i lys av Schrems II.
Arbeidsgruppens konklusjon om at tjenester som ikke medfører en overføring ikke reguleres av kapittel V, er i overenstemmelse med veiledningen fra Datatilsynet.
I Datatilsynets veiledning, er det kapittel om «opplysninger utelukkende behandlet i EØS» som synliggjør at dette er en annen problemstilling enn overføringsspørsmålene i kapittel V.
Det danske datatilsynet gir også uttrykk for at lagring og prosessering i EU/EØS ikke reguleres av kapittel V i punkt 3.6 i deres veiledning . Her står det: “In cases where a CSP processes personal data solely within the EU/EEA, including using only sub-processors in the EU/EEA, you are, in principle, not required to comply with the rules in Chapter V of the GDPR.”
Videre skriver det danske datatilsynet: “It is not in itself unlawful to use a CSP whose parent company is subject to laws in its country of establishment that give law enforcement authorities the competence to request information held by other group members, including those in the EU/EEA.”
Det faktum at skyleverandøren er underlagt tredjelands lovgiving er ikke en overføring av personopplysninger eller ulovlig i seg selv.
2 Hva med risikoen for innhenting til etterretningsformål?
Mange typer risiko for innhenting av personopplysninger til etterretningsformål påvirkes ikke av om det overføres personopplysninger. Eksempelvis gir gjør deler av etterretningslovgivningen som omtales i Schrems II det mulig for amerikansk etterretning å hente ut personopplysninger fra amerikanske selskaper som opererer i EU/EØS.
Selv om situasjonen ofte er den samme, enten det behandles opplysninger på tredjelands selskapers datasentre i EU/EØS eller det overføres til dette tredjelandet, er regelverket slik at det stilles særlige krav til overføring. Dersom du ikke overfører personopplysninger, trenger du ikke å forholde deg til disse kravene.
Arbeidsgruppen mener at risikoen for innhenting til etterretningsformål er en av mange risikoer som kan være relevant å vurdere ved valg av databehandler. Dette reguleres av artikkel 32, jf. 28 nr. 1. Datatilsynet trekker også særlig frem artikkel 32 og 28 nr. 1 som relevante ved bruk av tjenester i EU/EØS.
En vurdering ved valg av databehandler etter artikkel 32, jf. 28 nr. 1 må gjøres både i de situasjonene det overføres personopplysninger og i de situasjonene hvor det ikke overføres personopplysninger.
- Fra et regulatorisk ståsted er det forskjell på å overføre personopplysninger til et land utenfor EU/EØS og å benytte en databehandler i EU/EØS. Utenfor EU/EØS gjelder som hovedregel ikke personvernforordningen. Artikkel 3 oppstiller noen unntak. Forordningens kapittel V oppstiller derfor særlige regler for å sikre at den registrertes vernenivå «ikke undergraves», jf. kapittel V og artikkel 44. For behandling av personopplysninger i EU/EØS derimot gjelder personvernforordningen.
- Fra et teknisk ståsted har det betydning hvordan informasjonen flyter igjennom internettets grunnleggende infrastruktur, såkalt «backbone-nettverk». Når det overføres opplysninger til tredjeland gjøres det i stor grad igjennom fiberkabler som går ut av EU/EØS. Dette åpner for visse typer risiko for innhenting av personopplysninger til etterretningsformål som ikke eksisterer dersom opplysningen ikke går på disse kablene. Arbeidsgruppen ser derfor særlig på risikoen for bulkinnsamling in-transit.
3 Hva om skytjenesteleverandøren likevel overfører?
Det er alltid en risiko for at en databehandler kan behandle i strid med instrukser fra den behandlingsansvarlige. Dette er relevant å ta med i vurderingen ved valg av databehandler, jf. artikkel 32, jf. artikkel 28 nr. 1
Dersom skytjenesteleverandøren overfører personopplysninger selv om det lagt opp til behandling i EU/EØS, må det vurderes om dette skjer på bakgrunn av en instruks fra den behandlingsansvarlige eller om dette er noe skytjenesteleverandøren selv er behandlingsansvarlig for. Et eksempel på dette er dersom skytjenesteleverandøren overfører for å imøtekomme en utleveringsbegjæring fra tredjelands etterretningsmyndigheter. I slike situasjoner mener arbeidsgruppen at det er mye som tilsier at dette ikke er en instruks, men noe som skytjenesteleverandøren selv er behandlingsansvarlig for. Dette kan du lese mer om her:
4 Hvordan skal jeg vurdere risikoen for innhenting til etterretningsformål ved bruk skytjenester?
Det er krevende å vurdere risikoen for innhenting til etterretningsformål som en del av vurderingen etter artikkel 32, jf. 28 nr. 1. Arbeidsgruppen har derfor utarbeidet ytterligere veiledning til støtte for deg.
Kontakt
Markedsplassen er under utvikling. Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!
E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)