DAEN

MENU

Ny cloud-vejledning fra Datatilsynet

Det retlige landskab i forhold til brugen af cloudservices er gennem de seneste år blevet mere kompliceret, herunder særligt som følge af Schrems II-dommen og EDPB’s anbefalinger om supplerende foranstaltninger ved tredjelandsoverførsler. Den nye vejledning kan bidrage til at afklare nogle af de spørgsmål, som dommen og anbefalingerne efterlader.

Det retlige landskab i forhold til brugen af cloudservices er gennem de seneste år blevet mere kompliceret, herunder særligt som følge af Schrems II-dommen og EDPB’s anbefalinger om supplerende foranstaltninger ved tredjelandsoverførsler. Den nye vejledning kan bidrage til at afklare nogle af de spørgsmål, som dommen og anbefalingerne efterlader.

Køreplan for brugen af cloudservices

Når den dataansvarlige skal vurdere brugen af en cloudservice, er det vigtigt, at den dataansvarlige ikke kun forholder sig til kerneydelsen – f.eks. opbevaring af data – men også forholder sig til eventuelle accessoriske ydelser. Dette kan f.eks. være support- og serviceydelser, hvor der også sker behandling af personoplysninger. Den dataansvarlige skal se på helhedsbilledet i cloudservicen.

Datatilsynet understreger i vejledningen, at tilsynet generelt ikke vil tillægge kommercielle hensyn vægt, ved vurderingen af om brugen af cloudservicen sker inden for rammerne af databeskyttelsesreglerne. Dette skyldes, at et it-system eller en serviceopbygning ikke kan begrunde en manglende opfyldelse af reglerne.

I vejledningen oplister Datatilsynet en køreplan for brugen af cloud, der består af tre trin:

  1. Kend din service
  2. Kend din leverandør
  3. Tilsyn med cloudleverandøren og evt. underleverandører

De tre trin i køreplanen er ikke unikke for brugen af cloudservices, da den dataansvarlige som udgangspunkt skal igennem de samme trin ved brugen af leverandører til andre services. Der er dog nogle særlige forhold, der gør sig gældende for brugen af cloudleverandører, og det er dem, der er fokus på i vejledningen.

Datatilsynet kommer i vejledningen også ind på de særlige problematikker, der er i relation til cloud og tredjelandsoverførsler. Vejledningen behandler også den situation, hvor en leverandør er etableret i EU, men har et moderselskab, som er hjemmehørende i et tredjeland, og hvor der derfor kan være risiko for en overførsel af personoplysninger til dette tredjeland. Derudover indeholder vejledningen et selvstændigt afsnit om overførsler til USA.

1. Kend din service

Det første punkt i Datatilsynets køreplan for brugen af cloud er, at den dataansvarlige skal kende sin service. I dette trin af køreplanen skal den dataansvarlige danne sig et overblik over, (i) hvilke personoplysninger man behandler, (ii) til hvilke(t) formål, og (iii) hvordan oplysningerne behandles.

Som led i dette trin skal den dataansvarlige gennemføre risikovurderinger. Ifølge den nye vejledning skal der gennemføres to risikovurderinger:

  • Risikovurdering vedr. behandlingssikkerhed
  • Risikovurdering vedrørende databeskyttelse

Risikovurderingen vedr. behandlingssikkerhed kender de fleste dataansvarlige og gennemføres allerede som led i den almindelige complianceindsats. I forhold til brugen af cloud er opgaven således som udgangspunkt den samme som ved brugen af andre services.

Risikovurderingen vedr. databeskyttelse skal udføres som følge af reglerne om databeskyttelse gennem design og standardindstillinger. Datatilsynet skriver i vejledningen, at den dataansvarlige, inden behandlingen igangsættes, skal vurdere risiciene for den registreredes rettigheder og frihedsrettigheder og implementere de nødvendige foranstaltninger for at imødekomme risikoen.

Der er som sådan ikke noget nyt i, at den dataansvarlige skal vurdere databeskyttelse gennem design og standardindstillinger, inden behandlingen igangsættes. Datatilsynet lægger op til, at metoden for gennemførelse af denne risikovurdering er den samme som for risikovurderingen vedr. behandlingssikkerhed. Dette betyder, at den dataansvarlige først skal identificere risiciene, herefter skal den dataansvarlige vurdere risikoen for de registrerede og så på den baggrund vælge, hvilke foranstaltninger der skal implementeres for at mitigere risikoen.

2. Kend din leverandør

Det andet punkt i Datatilsynets køreplan for brugen af cloud er, at den dataansvarlige skal kende sin leverandør. Cloudleverandører vil ofte være databehandlere, og der skal derfor indgås en databehandleraftale, der opfylder kravene hertil i databeskyttelsesforordningen.

I vejledningen oplister Datatilsynet 11 spørgsmål, der skal bruges til at screene en potentiel leverandør, og dermed hjælpe den dataansvarlige med at vurdere, om leverandøren kan stille de fornødne garantier for overholdelsen af databeskyttelsesreglerne.

Når den dataansvarlige skal screene leverandøren, kan der kigges i offentligt tilgængelige informationer, herunder f.eks. på leverandørens hjemmeside, og den databehandleraftale, der planlægges indgået med leverandøren. Det kan også være nødvendigt at indgå i en dialog med leverandøren, hvis den dataansvarlige ikke kan finde den relevante information i det materiale, der er til rådighed.

Hvis cloudleverandøren ifølge aftalevilkårene må behandle personoplysninger til egne formål, er der ifølge Datatilsynet tale om videregivelse fra den dataansvarlige til leverandøren. Er dette tilfældet, skal den dataansvarlige dokumentere formålet med og det retlige grundlag for denne videregivelse. Dette skal beskrives i den kortlægning, den dataansvarlige har foretaget under punktet Kend din service.

Dette betyder også, at den dataansvarlige skal være særlig opmærksom på, om der er hjemmel til at videregive oplysningerne til leverandøren. Dette gælder, uanset om der er tale om pseudonymiserede data, der bruges til f.eks. kapacitetsstyring og fakturering, eller om der er tale om indholdsdata. I de tilfælde, hvor leverandøren generelt forbeholder sig retten til at bruge samtlige data til egne formål, skal den dataansvarlige sikre sig, at der er et gyldigt formål med og en lovlig hjemmel til videregivelsen af samtlige data.

Den dataansvarlige skal endvidere sørge for at have et komplet overblik over alle underdatabehandlere, da den dataansvarlige har ansvaret for at kunne dokumentere, at alle led i kæden kan stille de fornødne garantier for overholdelsen af databeskyttelsesforordningen.

3. Tilsyn med cloudleverandøren og evt. underleverandører

Det tredje punkt i Datatilsynets køreplan for brugen af cloud er, at den dataansvarlige skal føre tilsyn med cloudleverandøren og eventuelle underleverandører. Kravene til tilsyn følger de almindelige regler, og den dataansvarlige skal således på samme måde som ved brugen af andre services vurdere, hvordan tilsynet skal gennemføres, hvor ofte det skal gennemføres, og hvem der skal føre tilsyn med eventuelle underleverandører.

For så vidt angår tilsyn med cloudleverandøren, vil det ofte være tilstrækkeligt at gennemgå den revisionserklæring, som leverandøren årligt får udarbejdet. Dette gælder dog kun, i det omfang erklæringen dækker den behandling af personoplysninger, leverandøren foretager på vegne af den dataansvarlige.

Overførsler til tredjelande

Det er som udgangspunkt de almindelige regler for overførsler til tredjelande, der finder anvendelse, når der anvendes en cloudservice. Cloudleverandører anvender ofte underleverandører i flere forskellige tredjelande. Den dataansvarlige skal derfor sikre sig, at reglerne om tredjelandsoverførsler overholdes for alle disse tredjelande, herunder at der er et overførselsgrundlag til samtlige lande.

Du kan læse mere om etablering af et gyldigt overførselsgrundlag i vores tidligere nyheder om EU-Kommissionens standardkontraktbestemmelser og EDPB’s endelige anbefalinger om supplerende foranstaltninger.

Hvis den dataansvarlige kun anvender dele af en cloudservice, kan denne derfor med fordel indgå i en dialog med cloudleverandøren om, hvilke underleverandører der anvendes til netop de services den pågældende bruger. Kan det dokumenteres, at der kun anvendes en delmængde af underleverandørerne, kan den dataansvarlige nøjes med at forholde sig til de konkrete underleverandører og de tredjelande, de er etableret i.

Særligt om USA

Datatilsynet skriver i vejledningen, at det er tilsynets opfattelse, at den problematiske amerikanske lovgivning, FISA 702 og Executive Order 12 333, som udgangspunkt finder anvendelse på cloudleverandører, da de typisk vil være ”electronic communications service providers”. Derudover vil danske dataansvarlige som udgangspunkt behandle oplysninger om ”non-US persons”, dvs. personer, der ikke er amerikanske statsborgere, og som opholder sig uden for USA, og personkredsen er dermed også omfattet af lovgivningen. 

For så vidt angår muligheden for at træffe supplerende foranstaltninger for at bringe beskyttelsesniveauet op på det påkrævede europæiske niveau, angiver Datatilsynet i vejledningen, at denne mulighed i praksis ikke kan anvendes, hvis den dataansvarlige har behov for at give cloudleverandøren adgang til data i klartekst. Dette skyldes, at EDBP for nuværende ikke kan pege på supplerende tekniske foranstaltninger, der effektivt vil sikre et tilstrækkeligt beskyttelsesniveau, hvis oplysninger tilgængeliggøres i klartekst. En overførsel til USA kræver med andre ord effektive tekniske foranstaltninger, herunder kryptering, pseudonymisering og såkaldt opsplittet behandling.

Som et alternativ til fastsættelse af supplerende foranstaltninger kan den dataansvarlige beslutte at iværksætte eller fortsætte overførslen uden at træffe supplerende foranstaltninger, når den dataansvarlige vurderer, at der ikke er nogen grund til at tro, at den relevante ”problematiske” lovgivning vil blive anvendt i praksis.

En sådan vurdering kan for det første baseres på, at oplysningerne, der overføres, ikke udgør ”foreign intelligence information”, og dermed ikke er omfattet af den relevante problematiske lovgivning.

Det er den dataansvarlige, der skal kunne dokumentere, at personoplysninger ikke udgør ”foreign intelligence information”. Ifølge Datatilsynet vil det være vanskeligt for dataansvarlige at dokumentere, at personoplysninger ikke udgør ”foreign intelligence information”, da der ikke findes en samlet oversigt over, hvilke oplysninger der er omfattet af begrebet, og der generelt er en bred afgræsning af begrebet.

Den dataansvarlige kan for det andet dokumentere, at cloudleverandøren i praksis ikke tidligere har modtaget anmodninger fra amerikanske retshåndhævende myndigheder, eller anmodningerne under alle omstændigheder ikke har omfattet de typer af oplysninger, som påtænkes overført. Hvis denne mulighed skal benyttes, skal den dataansvarlige bl.a. kunne dokumentere, at cloudleverandøren ikke er underlagt et forbud mod at oplyse om tidligere anmodninger, herunder indholdet i disse anmodninger.

Dokumentationen skal i begge tilfælde være baseret på objektiv, troværdig og tilgængelig information. Den dataansvarlige kan inddrage cloudleverandørens vurdering, men denne kan ikke stå alene. Der kan dog lægges vægt på offentliggjort materiale fra de retshåndhævende myndigheder i USA. Datatilsynet lægger sig her tæt op ad de tilsvarende betragtninger i EDPB’s vejledning.

Offentliggjorte oplysninger

Som noget nyt fremgår det af vejledningens eksempel 10, at offentliggjorte oplysninger eller oplysninger, der er beregnet til offentliggørelse, kan overføres til USA, da offentligt tilgængelige oplysninger som udgangspunkt ikke er omfattet af de overvågningsprogrammer, der er autoriseret under FISA 702.

Denne mulighed for at overføre gælder dog kun for de oplysninger, der er offentliggjort eller bestemt til offentliggørelse, og ikke eventuelle bagvedliggende data, herunder i cloudservicens back-end. Disse oplysninger vil være omfattet af FISA 702, og overførslen af disse skal således behandles herefter.

Reeksport

Ifølge vejledningens eksempel 12 vil en tilbageoverførsel – såkaldt reeksport – af data om amerikanske borgere som udgangspunkt kunne ske. Dette forudsætter dog, at dataeksportøren kan dokumentere, at den relevante problematiske lovgivning ikke finder anvendelse. Lovgivningen finder som udgangspunkt ikke anvendelse på reeksport af oplysninger om amerikanske borgere, da FISA 702 som udgangspunkt alene finder anvendelse på non-U.S. persons. 

Den dataansvarlige skal understøtte vurderingen af, at lovgivningen ikke finder anvendelse med objektiv, troværdig og tilgængelig information.

Brugen af denne mulighed forudsætter, at der kun er sket overførsel af de personoplysninger, der oprindeligt er modtaget fra USA. Denne mulighed for reeksport kan således ikke bruges, hvis en virksomhed eller myndighed i Danmark samkører oplysningerne fra USA med andre personoplysninger, som den danske virksomhed eller myndighed er i besiddelse af.

Moderselskabsproblematik

Anvender den dataansvarlige en cloudleverandør, der er etableret i og foretager behandlingen inden for EU/EØS-området, men grundet f.eks. koncernstruktur kan blive mødt af en udleveringsanmodning fra en udenlandsk myndighed, opstår den såkaldte ”moderselskabsproblematik”.

Datatilsynet henviser i forhold til denne problemstilling til eksempel 10 i tilsynets Vejledning om overførsel af personoplysninger til tredjelande. Dog understreger Datatilsynet i den nye cloud-vejledning, at moderselskabsproblematikken er en behandlingssikkerheds problematik, og dermed ikke skal behandles efter reglerne om overførsler til tredjelande.

Det betyder, at den dataansvarlige, i de tilfælde hvor der er risiko for utilsigtede overførsler, skal medtage det som en trussel i risikovurderingen vedr. behandlingssikkerhed. Den dataansvarlige skal herefter vurdere sandsynligheden af, at truslen indtræffer, og hvilken konsekvens det vil have for de registrerede, hvis truslen indtræffer. I vurderingen af konsekvensen må den dataansvarlige gerne lægge vægt på typen af personoplysninger, der overføres.

På baggrund af risikovurderingen skal den dataansvarlige tage stilling til, hvilke organisatoriske, kontraktuelle eller tekniske sikkerhedsforanstaltninger der skal implementeres for at nedbringe risikoen til et acceptabelt niveau.

Håndtering af risiko for utilsigtede overførsler via risikovurderingen og implementering af passende behandlingssikkerhed er dog begrænset til de tilfælde, hvor brugen af cloudleverandøren ikke medfører tilsigtede overførsler.

Kommentar

På baggrund af vejledningen fra Datatilsynet er det vores anbefaling, at du som dataansvarlig gennemgår dine behandlingsaktiviteter for at afdække, hvilke der indebærer overførsler til tredjelande i forbindelse med cloudservices.

I de tilfælde, hvor du identificerer sådanne overførsler, er det anbefalingen, at du sikrer dig, at du har fulgt Datatilsynets køreplan, dvs. du

  • Kender din service
  • Kender din leverandør
  • Fører tilsyn.

Har du tidligere gennemført vurderinger af lovgivningen i tredjelandet, herunder USA, i forbindelse med en Tranfers Impact Assessment (TIA) eller andet, bør du gennemgå denne igen og sikre dig, at dine vurderinger er baseret på objektiv, troværdig og tilgængelig information.

Og helt grundlæggende er det vores råd, at du dokumenterer alle de væsentlige skridt og overvejelser, du foretager dig, når du overfører personoplysninger til tredjelande i forbindelse med cloudservices. 

Vil du høre mere eller har brug for et råd til en håndtering af en konkret situation, er du velkommen til at række ud. Vi vil i løbet af foråret 2022 holde en Masterclass i Databeskyttelse om tredjelandsoverførsler i praksis, hvor du kan høre mere om brugen af cloud og overførsler til tredjelande. Hold øje med vores kanaler, hvor vi snarest vil offentliggøre dato og kursusbeskrivelsen.

TILMELD DIG VORES NYHEDSBREVE

Mere end 20.000 personer abonnerer på vores nyhedsbreve og modtager løbende vores juridiske nyheder og publikationer. Nyhedsbrevene giver også et overblik over vores kurser, webinarer og netværksmøder, og fra tid til anden indeholder de information om særlige arrangementer inden for de områder, du interesserer dig for. Vi ser frem til at dele vores viden om juridiske emner med dig.