Baggrund og Problem
Mange virksomheder overvejer eller er allerede gået i gang med at lægge deres databehandling i cloud-baserede tjenester, der bl.a. giver mere fleksibilitet, innovative løsninger og økonomiske fordele.
Tjenesterne udbydes i høj grad af store amerikanske virksomheder som Microsoft og Amazon, og det er yderst vanskeligt at forhandle individuelle kontrakter med disse selskaber, ligesom det kan være vanskeligt at få adgang til kontrol af deres databehandling, uanset denne anses for helt i overensstemmelse med reglerne. Samtidig bruger selskaberne typisk en række underdatabehandlere i tredjelande, hvorfor overførsel af data må forventes. Fokus er her de store Cloud-udbydere, men også brugen af mindre udbydere af cloud-tjenester kan indebære databeskyttelsesretlige udfordringer
Anvendelsen af disse tjenester rejser imidlertid følgende persondataretlige spørgsmål:
- Hvorledes indgår man en fyldestgørende databehandleraftale. Der er oftest tale om cloud-udbydere, som er store, internationale (amerikanske) virksomheder, hvor det kan være vanskeligt eller umuligt at forhandle en individuel kontrakt?
- Hvordan vurderes risikoen ved brug af cloud-tjenester, særligt i forhold til udbydernes brug af underdatabehandlere og potentielle overførsler til tredjelande?
- Hvordan sikres overførselsgrundlaget, hvor data overføres til tredjelande og som er påkrævet i forordningens kapitel V?
- Hvilke krav stilles til udførelsen af kontrol af databehandlingen hos cloud-udbyderen, hvor det igen kan være vanskeligt at indgå individuelle aftaler eller få adgang til information om behandling?
Overførsel af data til tredjelande kræver som ovenfor nævnt, at der foreligger et gyldigt overførselsgrundlag bl.a. i form af en af Kommissionen truffet afgørelse om sikkerhedsniveauet eller brug af kommissionens standardkontrakter. Det er de dataansvarlige, der skal sikre, at overførselsgrundlag foreligger.
Ligesom de dataansvarlige generelt skal sikre overholdelsen af forordningen, herunder udarbejde risikovurdering i forhold til den registreredes rettigheder. I forhold til 3. lands overførsler er det umiddelbart uklart hvornår, og hvor detaljeret denne risikovurdering skal være.
Der verserer i øjeblikket to sager ved EU Domstolen – jf. sag C- 311/18 (Schrems II) + T – 738/16 (Privacy Shield), som kan få betydning for brugen af cloud-services, idet de bl.a. omhandler gyldigheden af Kommissionens eksisterende standardkontrakter som overførselsgrundlag, samt Privacy-Shield aftalen, der udgør overførselsgrundlag for dataoverførsler fra EU til USA.
Sagerne skaber usikkerhed om, hvorvidt eksisterende overførselsgrundlag overhovedet er gyldige. Samtidig er det sået tvivl om omfanget af den risikovurdering, der skal foreligge vedrørende overførslen og som påhviler den dataansvarlige.
Samlet set skaber det usikkerhed for virksomhederne, hvorvidt de overhovedet kan indgå aftale om brug af cloud-tjenester, som er udbredte på markedet.
Anbefaling
Anbefaling
Regelforum anbefaler:
- at Datatilsynet snarest udarbejder en vejledning om brug af cloud-services, herunder retningslinjer for, hvorledes man skal sikre sig kontraktmæssigt og omfanget af den risikovurdering, der skal foretages ved brug af cloud-tjenester, hvor der er sandsynlighed for overførsel til tredjelande.
- at Datatilsynet godkender eller tilslutter sig brugen af Kommissionens standardkontrakter frem til EU Domstolens afgørelser..
Erfaringer fra udlandet
Problemstillingen drøftes med europæiske søsterorganisationer til medlemmerne af Erhvervslivets EU- og Regelforum
Potentiale
Virksomhederne bruger i dag mange ressourcer på risikovurderinger og på rådgivning fra advokater i forhold til kontraktindgåelse og sikkerhedsvurderinger, som ville kunne begrænses, hvis der kom en vejledning
Igangværende initiativer
Der foreligger en vejledning fra Digitaliseringsstyrelsen om brug af Cloud-services særligt rettet mod offentlige myndigheder, som også bruges af private aktører, der indeholder ganske gode retningslinjer, men dog ikke svarer på ovennævnte spørgsmål.
Yderligere oplysninger
Datatilsynet vil formentlig afvente afgørelsen fra EU-Domstolen i hvert tilfælde i den ene sag (C – 311/18) – før de kommer med udtalelser.
Regeringens svar
Svar til Regelforum
Datatilsynet vil udarbejde en vejledning om brug af cloudtjenester i lyset af anbefalingen. Vejledningen forventes at kunne offentliggøres i 2. kvartal af 2021.
Det bemærkes i øvrigt, at der på Datatilsynets hjemmeside allerede findes flere vejledninger af betydning for dette område. Endvidere har Datatilsynet i efteråret 2019 udgivet en podcast om databeskyttelsesreglerne, som bl.a. indeholder episoder om henholdsvis brugen af cloudtjenester, risikovurderinger og overførsel af personoplysninger til lande uden for EØS (såkaldte tredjelande).
Hvad angår anbefalingen om, at Datatilsynet tilslutter sig eller godkender EU-Kommissionens standardbestemmelser om databeskyttelse, skal det bemærkes, at sådanne standardbestemmelser udgør et af flere mulige overførselsgrundlag (i forordningens kapitel V), når en dataansvarlig vil overføre personoplysninger til tredjelande.
Tilsynet godkender ikke EU-Kommissionens standardbestemmelser, jf. databeskyttelsesforordningens artikel 46, stk. 2, litra c.
Regeringens afrapportering af anbefalingen
Datatilsynet har udarbejdet et udkast til en ny vejledning om brug af cloudtjenester, som har været i høring hos interessenterne. Det forventes, at vejledningen kan offentliggøres inden udgangen af 1. kvartal 2022. Vejledningen kan ses som en sammenfatning – med afsæt i cloudservices – af de allerede udgivne vejledninger om overførsler til 3. lande og tilsyn med databehandlere.