Advokaten 1
PRAKTISK JURIDIK av molntjänster dataskydd och se
kretess ställning till om den aktuella informationen inkluderar sekretessreglerade uppgifter, känsliga personuppgifter eller uppgifter som omfattas av andra särskilda lagkrav. Vi menar att det är sannolikt att sekretessreglerade uppgifter röjs om de läggs in i publika och globala molntjänster, inkluderande bland andra Office 365. Detta trots att molntjänstleverantören i regel, enligt ett juridiskt bindande avtal, åtar sig att inte ta del av uppgifter utan föregående godkännande från kunden och trots att molntjänsterna inte sällan innehåller omfattande tekniska verktyg för att hindra obehörig åtkomst till uppgifter. Skälet för slutsatsen är bland annat att många molntjänstleverantörer omfattas av utländsk lagstiftning, enligt vilken molntjänstleverantören kan föreläggas att lämna ut information som lagras i molntjänsten till utländska myndigheter, oaktat om informationen lagras på servrar inom eller utanför EU. Utöver att sekretessreglerad information sannolikt röjs, i offentlighets- och sekretesslagens mening, vid ett utlämnande till en publik, global, molntjänstleverantör, kan ett sådant utlämnande medföra att känsliga personuppgifter behandlas i strid mot dataskyddsförordningen. För att efterleva dataskyddsförordningen måste offentliga myndigheter tillse att de fullgör alla skyldigheter som tillkommer dem i egenskap av personuppgiftsansvariga enligt förordningen. Detta innefattar bland annat att tillse att de grundläggande dataskyddsprinciperna efterlevs och att de registrerades rättigheter tillgodoses. Som ett exempel kan nämnas att de har en skyldighet att säkerställa att perADVOKATEN NR 3 • 2019 sonuppgifterna endast behandlas så länge behandlingen är nödvändig och att personuppgifterna endast behandlas för ändamål som är förenliga med de ändamål som uppgifterna ursprungligen samlades in för. Det är sannolikt möjligt att behandla vanliga personuppgifter i Office 365, eller en annan publik och global molntjänst, på ett sätt som uppfyller kraven i dataskyddsförordningen. Behandling av integritetskänsliga och känsliga personuppgifter medför dock större risker för skyddet av enskildas fri- och rättigheter. Sådan behandling föranleder därför krav på vidtagande av mer omfattande säkerhetsåtgärder. När integritetskänsliga och känsliga personuppgifter behandlas är det därför nödvändigt att behandlingen omgärdas av ett högt uppställt skydd i form av både tekniska och organisatoriska säkerhetsåtgärder. Exempelvis måste behörigheter tilldelas så att endast de användare som har ett behov av personuppgifterna för att fullgöra sina arbetsuppgifter har tillgång till uppgifterna. Det är även viktigt att säkerställa att lagringstiden begränsas och att integritetskänsliga och känsliga personuppgifter raderas så snart de inte längre behöver behandlas för de ändamål som de samlades in för. En helt avgörande förutsättning för att det ska vara tillåtet att behandla integritetskänsliga och känsliga personuppgifter i en publik och global molntjänst är vidare att det är möjligt att skydda dessa med stark autentisering och kryptering i tjänsten. Detta eftersom uppgifter som lagras i molntjänster kommer överföras och lagras så att åtkomst till dem är möjlig över internet. Integritetskänsliga och känsliga personuppgifter som tillgängliggörs under sådana förutsättningar måste enligt ett beslut från Datainspektionen, vilket senare fastställts av Förvaltningsrätten i Stockholm, skyddas med stark autentisering och kryptering (Förvaltningsrätten i Stockholms dom den 15 september 2015 i mål nr 11070-15). DEN BÄSTA LÖSNINGEN Ytterligare en viktig fråga att ta ställning till är huruvida det kan godtas att integritetskänsliga och känsliga personuppgifter överförs till leverantörer och underleverantörer, i flera led, särskilt med beaktande av att dessa leverantörer många gånger är etablerade i länder utanför EU och EES, där det inte sällan saknas ett offentligrättsligt skydd för personuppgifterna. Med beaktande av de risker som behandling av framförallt känsliga personuppgifter medför för skyddet av enskilda registrerades frioch rättigheter kan det ifrågasättas om sådana personuppgifter i någon större omfattning kan överföras till ett tredje land där det saknas ett offentligrättsligt skydd för personuppgifterna. I vart fall kan lämpligheten av sådana överföringar ifrågasättas, särskilt i det fall sådana överföringar genomförs av en myndighet. Detta eftersom enskilda registrerade bör kunna förvänta sig att personuppgiftsbehandlingen omfattas av ett högt uppställt skydd, när den utförs inom ramen för en myndighets verksamhet. Mot bakgrund av de ovan nämnda omständigheterna bedömer vi att publika, globala molntjänster som TROTS DE SÄKERHETSRISKER SOM ANVÄNDANDE AV PUBLIKA, GLOBALA, MOLNTJÄNSTER KAN INNEBÄRA ANVÄNDER ALLT FLER MYNDIGHETER DESSA MOLNTJÄNSTER SOM ETT ALTERNATIV TILL TRADITIONELLA IN-HOUSEIT-TJÄNSTER. » 53