Datatilsynet er kommet med en ny cloud-vejledning, der blandt andet giver anvisninger på, hvordan virksomheder skal vurdere deres cloudbaserede databehandlere – så man ikke håndterer brugernes data ulovligt.
VejIedningen er særdeles aktuel efter, at en østrigsk domstol i januar fastslog, at den cloudbaserede service Google Analytics – som er meget brugt af danske virksomheder og medier – ulovligt sender persondata videre til USA.
I forlængelse af dommen i Østrig kan ulovlig brug af cloudbaserede tjenester potentielt også få vidtrækkende konsekvenser for bl.a. den danske kommunikationsbranche og en lang række virksomheder.
Udover den østrigske dom kommer vejledningen fra Datatilsynet som en længe ventet reaktion på Schrems II-dommen fra 2020, der betød at overførsel af personoplysninger til USA samt lande uden for EU og EØS – de såkaldte tredjelande – kun kan ske, hvis der foreligger et særligt juridisk grundlag for overførslen.
Om baggrunden for Datatilsynets nye cloud-vejledning, udtaler tilsynets direktør Cristina Angela Gulisano i en pressemeddelelse:
”Cloudservices er meget udbredte – og med god grund. Men det kan være svært for især mindre virksomheder at finde ud af, hvordan man kan gøre dette inden for reglerne, særligt i lyset af den såkaldte Schrems II-afgørelse.”
Selvom den den nye vejledning kommer med anbefalinger, vil Datatilsynet nedsætte en ekspertgruppe, der skal komme med mere konkrete anbefalinger og yderligere vejledning i forhold til, hvordan man kan gøre brug af nuværende cloud-løsninger lovligt.
”Der er ingen lette smutveje, men vi forsøger med den nye vejledning at opridse både faldgruber, muligheder og forpligtelser – og vi håber, at ekspertgruppen kan være med til at komme med helt konkret vejledning på, hvordan man bedst kan gøre brug af disse tjenester og samtidig overholde reglerne,” lyder det fra Cristina Angela Gulisano.
Råd til overvejelser og ‘køreplan´
Inden ekspertgruppen på et senere tidspunkt kommer med mere konkrete anbefalinger på cloudområdet, kan man i vejledningen finde råd til ‘databeskyttelsesretslige overvejelser’, herunder en såkaldt ‘køreplan’, som man kan tage udgangspunkt i i forhold til en vurdering af sin egen brug af cloud.
Her er de mest centrale punkter.
1. Kend din services
“En grundlæggende forudsætning for lovlig behandling af personoplysninger er, at du har kendskab til og har kortlagt, hvilke personoplysninger du behandler, til hvilke(t) formål, og hvordan oplysningerne behandles”
2. Kend din leverandør
“Brug af cloudservices indebærer normalt, at cloudleverandøren behandler oplysningerne på dine vegne som databehandler. Det betyder, at leverandøren alene må behandle oplysningerne efter din instruks. Det er derfor også et krav, at der indgås en databehandleraftale med leverandøren.”
“Aftalen skal opfylde en række mindstekrav og skal bl.a. indeholde din instruks til leverandøren, ligesom aftalen generelt skal fastlægge rammerne for leverandørens behandling af oplysningerne.”
3. Tilsyn med cloudleverandører og eventuelle underleverandører
“Du har – som den dataansvarlige – en pligt til at føre tilsyn med dine databehandlere for at sikre, at disse – på samme måde som dig selv – behandler oplysningerne forsvarligt. Det gælder også, når du overlader behandlingen til en eller flere cloudleverandører.”
Den nye cloud-vejledning indeholder også et særskilt afsnit om Schrems II-dommen samt en gennemgang af overførsler af personoplysninger specifikt til USA, hvor en stor del af de mest brugte cloudbaserede services – som tidligere nævnt – har deres servere.
