Veiledningen går igjennom risikovurderinger etter personvernforordningen ved bruk av skytjenester, de særlige reglene som gjelder ved overføring av personopplysninger til tredjeland og noen spørsmål knyttet til vilkår i skytjenesteleverandørers standardavtaler. Her kan du lese en kort oppsummering av de viktigste poengene.
Denne teksten er under arbeid og en del av revisjonen av dagens veileder. Det som står her er et utkast og endringer kan forekomme.
1 Sammendrag av gruppens vurderinger
1.1 Risiko skal vurderes ved valg av skytjenesteleverandør som databehandler
Behandlingsansvarlig skal gjøre risikovurderinger ved valg av databehandler med utgangspunkt i sin konkrete behandling av personopplysninger, jf. artikkel 24, jf. 32, jf. 28 nr. 1. Slike vurderinger må gjennomføres uavhengig av om det overføres personopplysninger i henhold til personvernforordningens kapittel V. I vurderingene kan det være relevant å vurdere risikoen for andre land innhenter personopplysninger til etterretningsformål.
Hva mener gruppen med "risiko"?
Begrepet risiko brukes mange steder i veiledningen. Med risiko mener vi kombinasjonen av sannsynlighet og konsekvens av en uønskede hendelse. Når vi ser på risiko i forbindelse med juridiske vurderinger etter personvernforordningen sikter vi til risikoer som kan og skal vurderes etter personvernforordningen. Vi sikter derimot ikke til risikoen for om en virksomhet på et overordnet nivå etterlever personvernforordningen. Sistnevnte ville være en slags etterlevelsesrisiko (compliancerisiko).
Forskjellen på de to er følgende:
- Risiko etter personvernforordningen: en risiko som, hvis den er vurdert på riktig måte og funnet akseptabel, medfører at forpliktelsene etter personvernforordningen er ivaretatt. Eksempelvis har en ved anskaffelse av et IT-system vurdert sannsynligheten og konsekvensen av datainnbrud, og funnet denne risikoen akseptabel. Da er forpliktelsene etter eksempelvis artikkel 32 ivaretatt med hensyn til denne risikoen.
- Risiko for etterlevelse av personvernforordningen: en virksomhet vurderer på et overordnet nivå hva som er sannsynligheten for og konsekvensen av at de ikke etterlever personvernforordningen. Dette er en risikovurdering som eksempelvis påvirkes av om virksomheten har medarbeidere med tilstrekkelig kompetanse og har gode rutiner for å gjøre vurderinger etter personvernforordningen
Det er mange risikoer som kan være relevant å vurdere etter personvernforordningen. I denne veilederen fokuserer arbeidsgruppen særlig på risikoen for innhenting av personopplysninger til etterretningsformål.
1.2 Det er alltid en risiko!
Kun eksistensen av en risiko for innhenting av personopplysninger til etterretningsformål er normalt ikke uakseptabel. Størrelsen på risikoen er avgjørende. I risikovurderinger må man være realistisk for å sikre den registrertes rettigheter i praksis. Arbeidsgruppen legger til grunn at alle land driver med etterretning, og det finnes ingen raske og lettvinte løsninger for å sikre seg mot dette.
Risikoen for innhenting av personopplysninger til etterretningsformål må også sees i sammenheng med øvrige risikoer. Løsninger og tiltak som sikrer mot noen typer risiko, har ofte sårbarheter og svakheter som medfører andre typer risiko. Usikkerhet rundt risikoen for andre lands etterretning må ikke lede til at det velges løsninger som innfører større og mer reelle risikoer for den registrertes rettigheter. Behandlingsansvarlig må gjøre gode risikovurderinger for sin konkrete behandling.
Andre lands etterretningslovgivning gir indikasjoner på sannsynlighet og konsekvens av ulike etterretningsaktiviteter, men for å få gjort tilstrekkelige risikovurderinger må lovgivningen suppleres med annen informasjon. Samlet kan dette avdekke at risikoen for innhenting fra et land med problematisk lovgivning er lav, og motsetningsvis at risikoen for innhenting fra et land uten problematisk lovgivning er høy.
1.3 Hvordan vurderer jeg risikoen for innhenting av personopplysninger til etterretningsformål?
Det er utfordrende å gjøre gode vurderinger av risikoen for at andre land innhenter personopplysninger til etterretningsformål. Dette skyldes blant annet at slik innhenting kan skje på mange måter. Hvilke typer innhenting som må vurderes avhenger av den konkrete behandlingen. På bakgrunn av spørsmålene i Schrems II fokuserer arbeidsgruppen særlig på to former for innhenting til etterretningsformål og gir veiledning til hvordan risikovurderinger av disse hendelsene kan gjøres:
- Bulkinnsamling av opplysninger "in-transit". Med dette mener vi et lands systematiske innhenting av all grenseoverskridende internettrafikk fra grunnleggende infrastruktur. Dette kalles av og til tilrettelagt innhenting og/eller digital masseovervåkning. For denne risikoen finnes det effektiv kryptering (eksempelvis TLS) som beskytter innholdsdata. Den beskytter derimot ikke metadataen. I en vurdering av risikoen for bulkinnsamling av personopplysninger in-transit er det derfor sannsynligheten og konsekvensen av metadata blir innhentet som normalt må vurderes.
- Målrettet innhenting av opplysninger fra skytjenesteleverandøren. Med dette mener vi når et lands myndigheter med utgangspunkt i lovgivning krever at en skytjenesteleverandør skal utlevere data til myndighetene. For denne risikoen, gir ikke kryptering full beskyttelse. Det vil alltid være en viss risiko ved behandling av data i noen andres datasentre. Spørsmålet er om denne risikoen, sett hen til konsekvens og sannsynlighet er akseptabel i henhold til artikkel 32, jf. 28 nr. 1.
Arbeidsgruppen har kun sett på riskovurderinger i personvernforordningen etter Schrems II. Gruppen har ikke vurdert og gir ikke veiledning for vurderinger etter sikkerhetsloven.
1.4 Skytjenester hvor lagring og prosessering skjer i EU/EØS
Bruk av amerikanske skytjenester med region i EU/EØS innebærer ikke en overføring av personopplysninger så lenge dataflyten skjer internt i EU/EØS. Dersom skytjenesteleverandøren uten instruks fra deg likevel overfører opplysninger ut av EU/EØS, eksempelvis for å imøtekomme en utleveringsbegjæring, er skytjenesteleverandøren normalt selv behandlingsansvarlig for dette.
1.5 Skytjenester hvor lagring og prosessering skjer i tredjeland
Når det benyttes skytjenester eller funksjoner i skytjenester med lagring og prosessering i tredjeland slik at det skjer en flyt av personopplysninger til dette tredjelandet, overføres det personopplysninger i henhold til overføringsbegrepet i pvf. kapittel V.
Der Standard Contractual Clauses (SCC) benyttes som overføringsmekanisme kan personopplysninger kun overføres hvis den registrerte har håndhevbare rettigheter og effektive rettsmidler. Dersom det er en behandlingsansvarlig i EU/EØS vil dette normalt være ivaretatt. Dersom du overfører med SCC for å overføre personopplysninger innestår du for at du «ikke har grunn til å tro» at det er lovgivning i mottakerlandet som hindrer deg eller dataimportøren i tredjelandet å etterleve forpliktelsene i SCCen. Dette er en sannsynlighetsvurdering.
Resultatet fra ikke-«grunn til å tro»-vurderingen kan trolig benyttes i en større risikobasert tilnærming i lys av artikkel 24. Vi understreker imidlertid at rettstilstanden her er usikker.
Vurderingen som beskrives her befinner seg på trinn tre og fire i EDPB og Datatilsynets veiledning. Deres veiledning er med når vi har fastsatt hva som skal vurderes ved overføring av personopplysninger til tredjeland.
1.8 Skytjenestenes standardvilkår
Skytjenestenes standardvilkår gir behandlingsansvarlig viktig informasjon om hva skytjenesteleverandøren kan foreta seg. Informasjonen bør brukes til å gjøre gode risikovurderinger ved anskaffelse og bruk av skytjenesten. Standardvilkårene gir likevel ikke uttømmende informasjon om det som kan skje. Det er alltid en risiko ved bruk av digitale verktøy. Aktuelle risikoer må vurderes på en tilstrekkelig måte for den konkrete behandling, jf. blant annet artikkel 32, jf. artikkel 28 nr. 1.
Behandlingsansvarlig fastsetter mål og midler for behandlingen, herunder å instruere skytjenesteleverandøren om hva denne skal gjøre. Skytjenesteleverandøren skal kun behandle opplysninger på instruks fra behandlingsansvarlig. Dersom de selv fastsetter mål og midler for behandlingen, behandler de ikke på instruks og er selv behandlingsansvarlige.
1.9 Er et forbehold i standardvilkårene om utlevering av personopplysninger en instruks?
Forbehold i standardvilkårene om mulig utlevering av opplysninger til etterretningsmyndigheter bidrar til klarhet i avtaleforholdet, men hva betyr det at behandlingsansvarlig har akseptert dette forbeholdet? Det betyr ikke nødvendigvis at behandlingsansvarlig har instruert skytjenesteleverandøren.
Alt som står i databehandleravtalen er ikke uten videre instrukser fra behandlingsansvarlig til databehandler, og et forbehold kan ikke automatisk tolkes som en instruks fra behandlingsansvarlig om å utlevere. Med utgangspunkt i vanlig juridisk metode må vilkåret «instruks» i personvernforordningen tolkes og deretter må det konkret vurderes om forbeholdet utgjør en slik instruks. I denne sammenhengen er det relevant å se på:
- Hvordan er forbeholdet formulert? Er det formulert som en instruks?
- Hvem fastsetter formål og midler for behandlingen?
- Avtalerettslige tolkningsprinsipper har også betydning for om forbeholdet anses som en instruks. Dersom ingen av avtalepartene mener forbeholdet er en instruks, taler dette mot at det er en instruks.
Der konklusjonen blir at skytjenesteleverandøren ikke er instruert, og dermed selv bestemmer mål og midler for behandlingen, er skytjenesteleverandøren selv behandlingsansvarlig, jf. pvf. art. 28 nr. 10.
Eksempel på forbehold i en skytjenestes standardvilkår
”Once Customer has made its choice, AWS will not transfer Customer Data from Customer’s selected Region(s) except […] as necessary to comply with the law or binding order of a governmental body.”
AWS sitt forbehold slik dette er gjengitt i det danske Datatilsynets uttalelse
1.9 Dersom skytjenesteleverandøren kan være behandlingsansvarlig og har tatt et forbehold, trenger jeg et ytterligere behandlingsgrunnlag?
En skytjenesteleverandør er normalt en databehandler. Informasjon som deles med skytjenesten, skyldes derfor normalt databehandleroppdraget. Overfor databehandlere er det ikke nødvendig med et ytterligere behandlingsgrunnlag.
Dersom en skytjenestelverandør ikke blir instruert og selv fastsetter mål og midler for behandlingen, blir den behandlingsansvarlig. Dette kan være tilfelle dersom den utleverer opplysninger til etterretningsformål. Det er imidlertid alltid en risiko for at et selskap må utlevere opplysninger til etterretningsformål, selv om det ikke er tatt et forbehold. Mange databehandlere vil aldri utlevere opplysningene selv om dette står i standardvilkårene. Motsetningsvis kan det være at databehandlere vil utlevere opplysninger, selv om dette ikke står i standardvilkårene.
Arbeidsgruppen mener det harmonerer dårlig med personvernforordningens systematikk og "når" en databehandler blir behandlingsansvarlig, å kreve et ytterligere behandlingsgrunnlag ved bruk av skytjenesteleverandører som har tatt et forbehold. Bruk i stedet informasjonen til å gjøre grundige risikovurderinger ved valget av skytjenesteleverandør.
Du kan lese mer om denne problemstillingen og arbeidsgruppens vurdering under punkt 6.3 i "Betyr skytjenesters forbehold i avtalen at jeg instruerer dem?".
2 Forholdet til Datatilsynets veiledning
Veilederen har benyttet uttalelser og veiledning fra Datatilsynet og veiledning fra EDPB som rettskildefaktorer for å klarlegge de juridiske spørsmålene etter Schrems II. Her blir disse rettskildefaktorene sammenholdt med øvrige rettskildefaktorer i henhold til vanlig juridisk metode.
En stor del av denne veilederen omhandler risikovurderinger etter artikkel 32, jf. 28 nr. 1 og hvordan risikoen for etterretning kan vurderes i en slik sammenheng. Datatilsynet understreker at vurderinger etter artikkel 32 og 28 nr. 1 må gjennomføres i visse sammenhenger, men forklarer ikke hvordan de skal gjennomføres.
Denne veilederen tar stilling til visse juridiske spørsmål som Datatilsynet i Norge og Danmark har berørt, men i liten grad har drøftet. Her har vi til en viss grad et annet syn enn datatilsynene. De aktuelle punktene er her:
- Arbeidsgruppen konkluderer på siden "Hva er en overføring?" med at overføringsbegrepet i personvernforordningens kapittel V forutsetter at personopplysninger i form av digital informasjon faktisk krysser grensene til EU/EØS. Datatilsynet utaler seg om overføringsbegrepet, men ikke spesifikt om hvorvidt en overføring må være en "faktisk overføring".
- På siden «Betyr skytjenesters forbehold i avtalen at jeg instruerer dem?» anser ikke arbeidsgruppen det danske datatilsynets uttalelser som tilstrekkelig tungtveiende til å fravike ordlyden i personvernforordningen.
- På siden «Betyr skytjenesters forbehold i avtalen at jeg instruerer dem?» under punkt 6 er også gruppen spørrende til om det norske Datatilsynets tolkning av at det er nødvendig med et ytterligere behandlingsgrunnlag der det er tatt et forbehold harmonerer med systematikken i personvernforordningen (se Datatilsynets veiledning under punktet "Når vilkårene tar forbehold om overføring?").
Denne veilederen tar også stilling til hva som må gjøres ved overføring av personopplysninger. På dette punktet er EDPB og Datatilsynets uttalelser benyttet som rettskildefaktorer sammen med personvernforordningens artikkel 46, Schrems II og SCCene. Her konkluderer denne veilederen med at det er adgang til en risikobasert tilnærming til en overføring. Datatilsynet skriver ikke i sin veileder om en risikobasert tilnærming. I dialog med oss, og i ulike muntlige presentasjoner understreker imidlertid Datatilsynet at de mener det ikke er adgang til en slik tilnærming i kapittel V i personvernforordningen.
Arbeidsgruppen ønsker å gi god og korrekt veiledning. De juridiske spørsmålene på dette området er mange og kompliserte. Dette er også et område med rask utvikling. Leser du noe du mener er feil eller har du innspill? Da vil vi gjerne høre fra deg, slik at vi kan oppdatere tekstene og sørge for at vi hjelper hverandre med de vanskelige spørsmålene. Send oss tilbakemelding til KA@dfo.no
3 Hvordan skal jeg forholde meg til forskjeller mellom denne veiledningen og Datatilsynets veiledning?
Datatilsynet har en særlig rolle etter personvernforordningen, jf. artikkel 57. Du kan lese mer om deres rolle her. Sentralt er at Datatilsynet fører kontroll med at personvernregelverket etterleves.
Når Datatilsynet gjennomfører sin tilsynsrolle, vil de med utgangspunkt i vanlig juridisk metode tolke regelverket og legge dette til grunn. Det er grunn til å tro at Datatilsynet vil ta utgangspunkt i sin egen veiledning. De er imidlertid også lydhøre for andre juridiske argumenter. Det skyldes at Datatilsynets avgjørelser kan bringes inn for personvernnemda og domstolene, og her vil både nemda og domstolene måtte vurdere alle relevante rettskilder og juridiske argumenter i henhold til vanlig juridisk metode.
Vi har forsøkt å ta utgangspunkt i vanlig juridisk metode ved utarbeidelsen av veiledningen, og har i henhold til dette benyttet Datatilsynets og EDPBs veiledere som rettskildefaktorer. Vi har vektet dette mot øvrige rettskildefaktorer. På enkelte punkter har vi imidlertid funnet det vanskelig å forene utsagn i Datatilsynets veiledning med det øvrige rettskildematerialet.
Spørsmålene etter Schrems II er svært komplekse. Selv om både Datatilsynets og vår veiledning forsøker å veilede om den gjeldende rettstilstanden, kan noen vurderinger være feil eller upresise. Dette perspektivet må være med når veiledningene anvendes. Det bør stilles kritiske spørsmål til vurderingene som er gjort. Vi er derfor også åpne for innspill dersom du leser noe som bør forbedres. Ta kontakt med oss på ka@dfo.no.
Vi forstår at det er enormt krevende for virksomheter å etterleve dette regelverket. Veiledningene er et forsøk på å hjelpe, men den underliggende utfordringen er fremdeles at problemstillingene og regelverket er komplekst.