Oppsummering av gruppens vurderinger

Arbeidsgruppen har først og fremst sett på risikovurderinger etter personvernforordningen ved bruk av skytjenester. Gruppen har videre sett på de særlige reglene som gjelder ved overføring av personopplysninger til tredjeland, samt noen spørsmål knyttet til vilkår i skytjenesteleverandørers standardavtaler. Her kan du lese en kort oppsummering av de viktigste poengene.

Hvor er jeg i veiledningen?
Figur som viser en oversikt over veiledningen
Denne figuren viser hvordan vi ser for oss at sidene i veiledningen henger sammen. Leter du etter en spesifikk side, finner du den ved å følge sidene i veiledningen, eller under vår oversikt nederst på hovedsiden.

1         Sammendrag av gruppens vurderinger

1.1        Risiko skal vurderes ved valg av skytjenesteleverandør som databehandler

Behandlingsansvarlig skal gjøre risikovurderinger ved valg av databehandler med utgangspunkt i sin konkrete behandling av personopplysninger, jf. artikkel 32, jf. 28 nr. 1. Slike vurderinger må gjennomføres uavhengig av om det overføres personopplysninger i henhold til personvernforordningens kapittel V. I vurderingene kan det være relevant å vurdere risikoen for andre land innhenter personopplysninger til etterretningsformål.

Hva mener gruppen med "risiko"?

Begrepet risiko brukes mange steder i veiledningen. Med risiko mener vi kombinasjonen av sannsynlighet og konsekvens av en uønskede hendelse. Når vi ser på risiko i forbindelse med juridiske vurderinger etter personvernforordningen sikter vi til risikoer som kan og skal vurderes etter personvernforordningen. Vi sikter derimot ikke til risikoen for om en virksomhet på et overordnet nivå etterlever personvernforordningen. Sistnevnte ville være en slags etterlevelsesrisiko (compliancerisiko).

Forskjellen på de to er følgende:

  • Risiko etter personvernforordningen: en risiko som, hvis den er vurdert på riktig måte og funnet akseptabel, medfører at forpliktelsene etter personvernforordningen er ivaretatt. Eksempelvis har en ved anskaffelse av et IT-system vurdert sannsynligheten og konsekvensen av datainnbrud, og funnet denne risikoen akseptabel. Da er forpliktelsene etter eksempelvis artikkel 32 ivaretatt med hensyn til denne risikoen.
  • Risiko for etterlevelse av personvernforordningen: en virksomhet vurderer på et overordnet nivå hva som er sannsynligheten for og konsekvensen av at de ikke etterlever personvernforordningen. Dette er en risikovurdering som eksempelvis påvirkes av om virksomheten har medarbeidere med tilstrekkelig kompetanse og har gode rutiner for å gjøre vurderinger etter personvernforordningen.

Det er mange risikoer som kan være relevant å vurdere etter personvernforordningen. I denne veilederen fokuserer arbeidsgruppen særlig på risikoen for innhenting av personopplysninger til etterretningsformål.

1.2 Det er alltid en risiko!

Kun eksistensen av en risiko for innhenting av personopplysninger til etterretningsformål er normalt ikke uakseptabel. Størrelsen på risikoen er avgjørende. I risikovurderinger må man være realistisk for å sikre den registrertes rettigheter i praksis. Arbeidsgruppen legger til grunn at alle land driver med etterretning, og det finnes ingen raske og lettvinte løsninger for å sikre seg mot dette.

Risikoen for innhenting av personopplysninger til etterretningsformål må også sees i sammenheng med øvrige risikoer. Løsninger og tiltak som sikrer mot noen typer risiko, har ofte sårbarheter og svakheter som medfører andre typer risiko. Usikkerhet rundt risikoen for andre lands etterretning må ikke lede til at det velges løsninger som innfører større og mer reelle risikoer for den registrertes rettigheter. Behandlingsansvarlig må gjøre gode risikovurderinger for sin konkrete behandling.

Andre lands etterretningslovgivning gir indikasjoner på sannsynlighet og konsekvens av ulike etterretningsaktiviteter, men for å få gjort tilstrekkelige risikovurderinger må lovgivningen suppleres med annen informasjon. Samlet kan dette avdekke at risikoen for innhenting fra et land med problematisk lovgivning er lav, og motsetningsvis at risikoen for innhenting fra et land uten problematisk lovgivning er høy.

1.3        Hvordan vurderer jeg risikoen for innhenting av personopplysninger til etterretningsformål?

Det er utfordrende å gjøre gode vurderinger av risikoen for at andre land innhenter personopplysninger til etterretningsformål. Dette skyldes blant annet at slik innhenting kan skje på mange måter, se punkt 2.2 på siden "Hjelp til å vurdere personvernrisikoen for innhenting til etterretningsformål". Hvilke typer innhenting som må vurderes avhenger av den konkrete behandlingen. På bakgrunn av spørsmålene i Schrems II fokuserer arbeidsgruppen særlig på to former for innhenting til etterretningsformål og gir veiledning til hvordan risikovurderinger av disse hendelsene kan gjøres:

  1. Bulkinnsamling av opplysninger "in-transit". Med dette mener vi et lands systematiske innhenting av all grenseoverskridende internettrafikk fra grunnleggende infrastruktur. Dette kalles av og til tilrettelagt innhenting og/eller digital masseovervåkning. For denne risikoen finnes det effektiv kryptering (eksempelvis TLS) som beskytter innholdsdata. Den beskytter derimot ikke metadataen. I en vurdering av risikoen for bulkinnsamling av personopplysninger in-transit er det derfor sannsynligheten og konsekvensen av metadata blir innhentet som normalt må vurderes.
  2. Målrettet innhenting av opplysninger fra skytjenesteleverandøren. Med dette mener vi når et lands myndigheter med utgangspunkt i lovgivning krever at en skytjenesteleverandør skal utlevere data til myndighetene. For denne risikoen, gir ikke kryptering full beskyttelse. Det vil alltid være en viss risiko ved behandling av data i noen andres datasentre. Spørsmålet er om denne risikoen, sett hen til konsekvens og sannsynlighet er akseptabel i henhold til artikkel 32, jf. 28 nr. 1.

Arbeidsgruppen har kun sett på riskovurderinger i personvernforordningen etter Schrems II. Gruppen har ikke vurdert og gir ikke veiledning for vurderinger etter sikkerhetsloven.

1.4        Skytjenester hvor lagring og prosessering skjer i EU/EØS

Bruk av amerikanske skytjenester med region i EU/EØS innebærer ikke en overføring av personopplysninger så lenge dataflyten skjer internt i EU/EØS. Dersom skytjenesteleverandøren uten instruks fra deg likevel overfører opplysninger ut av EU/EØS, eksempelvis for å imøtekomme en utleveringsbegjæring, er skytjenesteleverandøren normalt selv behandlingsansvarlig for dette, se punkt 4 i "Hva er en overføring".

Hva er en overføring?

Arbeidsgruppen legger til grunn at overføringsbegrepet i personvernforordningens kapittel V forutsetter at personopplysninger i form av digital informasjon faktisk krysser grensene til EU/EØS. Eksempler på dette er når opplysninger sendes og når en fjerntilgang blir benyttet. Overføringen skjer kun når personopplysningene sendes eller fjerntilgangen benyttes. En teoretisk mulighet for at en overføring kan skje medfører altså ikke at opplysninger har blitt overført. Dette innebærer at muligheten for fjerntilgang i seg selv ikke innebærer at det skjer en overføring, det er først når den benyttes.

1.5        Skytjenester hvor lagring og prosessering skjer i tredjeland

Når det benyttes skytjenester eller funksjoner i skytjenester med lagring og prosessering i tredjeland slik at det skjer en flyt av personopplysninger til dette tredjelandet, overføres det personopplysninger i henhold til overføringsbegrepet i pvf. kapittel V. Hvis Standard Contractual Clauses (SCC) benyttes som overføringsmekanisme skal det foretas en helhetsvurdering, jf. pvf. kapittel V, EMK artikkel 8 og Schrems II. I denne helhetsvurderingen er det opplysningene som faktisk overføres som skal vurderes.

Det er viktig å skille mellom et inngrep og en krenkelse. Dersom overføringen innebærer en risiko for innhenting av personopplysninger til etterretningsformål, kan det legges til grunn at det skjer et inngrep i den registrertes rettigheter. I lys av Schrems II er dette tilfellet for overføringer til USA.

EMK artikkel 8 gir ikke et absolutt vern. Selv om det foreligger et inngrep, er det avgjørende at inngrepet som overføringen medfører ikke går lengre enn det som er nødvendig i et demokratisk samfunn. Dette innebærer en forholdsmessighetsvurdering hvor inngrepets størrelse sammenliknes med eventuelle tiltak som kan avhjelpe de negative konsekvensene av inngrepet. Dersom inngrepet er uforholdsmessig stort, skjer det en krenkelse.

EU-kommisjonenes standard personvernbestemmelser (SCC) gir under normale forutsetninger effektive rettssikkerhetsgarantier, herunder håndhevbare rettigheter for de registrerte, samt effektive rettsmidler som sikrer at overføringen og viderebehandlingen er i tråd med personvernforordningen og EMK artikkel 8. Avhengig av risikoen for innhenting til etterretningsformål, kan det likevel være at denne må suppleres med ytterligere tiltak.

Risikoens størrelse påvirker inngrepets størrelse

Overføring av personopplysninger til et tredjeland hvor det er en risiko for innhenting til etterretningsformål utgjør et inngrep. Hvor stort inngrepet er, beror på hvor stor risikoen er. Normalt skal denne risikoen være vurdert etter artikkel 32, jf. 28 nr. 1, og denne vurderingen kan trekkes inn i helhetsvurderingen hvor man vurderer om inngrepet utgjør en krenkelse. Arbeidsgruppen veileder både om risikovurderingen og helhetsvurderingen ved overføring av personopplysninger til tredjeland i sammenheng:

Figur som viser veiledningens to trinn
Hvor er jeg i forhold til EDPB og Datatilsynet sin trinnvise veiledning?

Helhetsvurderingen vi beskriver sammenfaller i stor grad med trinn tre og fire i EDPB og Datatilsynets veiledning. Deres veiledning er med når vi har fastsatt hva som skal vurderes ved overføring av personopplysninger.

Vi har lagt stor vekt på EMK artikkel 8. Dette understreker at det ikke er etterretningslovgivning i seg selv vi skal sikre oss mot, men etterretning som er så inngripende at den krenker våre grunnleggende rettigheter. Det er relevant å vurdere lovgivningen, men denne gir bare et utgangspunkt. Det er alltid en risiko, det avgjørende er størrelsen på denne. For å sikre den registrertes rettigheter i praksis, må det gjøres gode risikovurderinger og da må lovgivningen også sees i lys av annen informasjon.

Ved en overføring har den registrerte krav på et vernenivå som er "essentially equivalent" til det vi har i EU/EØS. Vi har imidlertid ikke et absolutt vern mot etterretning. Det avgjørende er derfor at inngrepet som overføringen medfører ikke utgjør en krenkelse.

1.6       Overføringer som arbeidsgruppen særlig har vurdert

Arbeidsgruppen har sett nærmere på to situasjoner hvor det skjer overføringer:

  • Arbeidsrelaterte personopplysninger: Ved bruk av en skytjeneste eller et annet skybasert digitalt verktøy i arbeidssammenheng, vil det ofte overføres visse opplysninger om de ansatte som skal bruke verktøyet ("arbeidsrelaterte personopplysninger"). Dette kan eksempelvis være fordi serverne for autentisering og tilgangsstyring er utenfor EU/EØS. For overføring av arbeidsrelaterte opplysninger anser arbeidsgruppen at inngrepet som overføringen medfører normalt vil være så lite at det ikke er behov for ytterligere tiltak og rettsikkerhetsmekanismer enn det som allerede følger av personvernforordningens øvrige bestemmelser.
  • Supporttjenester: Bruk av supporttjenester kan medføre overføring av personopplysninger, men det finnes flere tiltak som begrenser muligheten for overføring ved bruk av supporttjenester. Dersom slike tiltak er gjennomført i tilstrekkelig grad, anser gruppen som hovedregel ikke supporttjenester som problematisk med hensyn til tredjelands etterretning.

1.7        Skytjenestenes standardvilkår

Skytjenestenes standardvilkår gir behandlingsansvarlig viktig informasjon om hva skytjenesteleverandøren kan foreta seg. Informasjonen bør brukes til å gjøre gode risikovurderinger ved anskaffelse og bruk av skytjenesten. Standardvilkårene gir likevel ikke uttømmende informasjon om det som kan skje. Det er alltid en risiko ved bruk av digitale verktøy. Aktuelle risikoer må vurderes på en tilstrekkelig måte for den konkrete behandling, jf. blant annet artikkel 32, jf. artikkel 28 nr. 1.

Behandlingsansvarlig fastsetter mål og midler for behandlingen, herunder å instruere skytjenesteleverandøren om hva denne skal gjøre. Skytjenesteleverandøren skal kun behandle opplysninger på instruks fra behandlingsansvarlig. Dersom de selv fastsetter mål og midler for behandlingen, behandler de ikke på instruks og er selv behandlingsansvarlige.

1.8        Er et forbehold i standardvilkårene om utlevering av personopplysninger en instruks?

Forbehold i standardvilkårene om mulig utlevering av opplysninger til etterretningsmyndigheter bidrar til klarhet i avtaleforholdet, men hva betyr det at behandlingsansvarlig har akseptert dette forbeholdet? Det betyr ikke nødvendigvis at behandlingsansvarlig har instruert skytjenesteleverandøren.

Alt som står i databehandleravtalen er ikke uten videre instrukser fra behandlingsansvarlig til databehandler, og et forbehold kan ikke automatisk tolkes som en instruks fra behandlingsansvarlig om å utlevere. Med utgangspunkt i vanlig juridisk metode må vilkåret «instruks» i personvernforordningen tolkes og deretter må det konkret vurderes om forbeholdet utgjør en slik instruks. I denne sammenhengen er det relevant å se på:

  • Hvordan er forbeholdet formulert? Er det formulert som en instruks?
  • Hvem fastsetter formål og midler for behandlingen?
  • Avtalerettslige tolkningsprinsipper har også betydning for om forbeholdet anses som en instruks. Dersom ingen av avtalepartene mener forbeholdet er en instruks, taler dette mot at det er en instruks.

Der konklusjonen blir at skytjenesteleverandøren ikke er instruert, og dermed selv bestemmer mål og midler for behandlingen, er skytjenesteleverandøren selv behandlingsansvarlig, jf. pvf. art. 28 nr. 10.

Eksempel på forbehold i en skytjenestes standardvilkår

Once Customer has made its choice, AWS will not transfer Customer Data from Customer’s selected Region(s) except […] as necessary to comply with the law or binding order of a governmental body.”

AWS sitt forbehold slik dette er gjengitt i det danske Datatilsynets uttalelse

1.9 Dersom skytjenesteleverandøren kan være behandlingsansvarlig og har tatt et forbehold, trenger jeg et ytterligere behandlingsgrunnlag?

En skytjenesteleverandør er normalt en databehandler. Informasjon som deles med skytjenesten, skyldes derfor normalt databehandleroppdraget. Overfor databehandlere er det ikke nødvendig med et ytterligere behandlingsgrunnlag.

Dersom en skytjenestelverandør ikke blir instruert og selv fastsetter mål og midler for behandlingen, blir den behandlingsansvarlig. Dette kan være tilfelle dersom den utleverer opplysninger til etterretningsformål. Det er imidlertid alltid en risiko for at et selskap må utlevere opplysninger til etterretningsformål, selv om det ikke er tatt et forbehold. Mange databehandlere vil aldri utlevere opplysningene selv om dette står i standardvilkårene. Motsetningsvis kan det være at databehandlere vil utlevere opplysninger, selv om dette ikke står i standardvilkårene. 

Arbeidsgruppen mener det harmonerer dårlig med personvernforordningens systematikk og "når" en databehandler blir behandlingsansvarlig, å kreve et ytterligere behandlingsgrunnlag ved bruk av skytjenesteleverandører som har tatt et forbehold. Bruk i stedet informasjonen til å gjøre grundige risikovurderinger ved valget av skytjenesteleverandør.

Du kan lese mer om denne problemstillingen og arbeidsgruppens vurdering under punkt 6.3 i "Betyr skytjenesters forbehold i avtalen at jeg instruerer dem?".

2         Er arbeidsgruppen uenig med Datatilsynet?

Det korte svaret er nei. Arbeidsgruppen har benyttet uttalelser og veiledning fra Datatilsynet og veiledning fra EDPB som rettskildefaktorer for å klarlegge de juridiske spørsmålene etter Schrems II. Her blir disse rettskildefaktorene sammenholdt med øvrige rettskildefaktorer i henhold til vanlig juridisk metode. Datatilsynet har ikke vært involvert i arbeidet.

Hovedvekten av arbeidsgruppens arbeid har gått til å avklare og gi veiledning om hvordan risikovurderinger etter artikkel 32, jf. 28 nr. 1 skal gjennomføres. Datatilsynet understreker at slike vurderinger må gjennomføres i visse sammenhenger, men forklarer ikke hvordan de skal gjennomføres. På dette punktet tar arbeidsgruppen stafettpinnen fra Datatilsynet og forsøker å gi ytterligere veiledning.

Arbeidsgruppen har imidlertid også tatt stilling til visse juridiske spørsmål som Datatilsynet i Norge og Danmark har berørt, men i liten grad har drøftet. Her har vi til en viss grad et annet syn enn datatilsynene. De aktuelle punktene er her:

Vi er takknemlige for tilbakemeldinger!

Arbeidsgruppen ønsker å gi god og korrekt veiledning. De juridiske spørsmålene på dette området er mange og kompliserte. Dette er også et område med rask utvikling. Leser du noe du mener er feil eller har du innspill? Da vil vi gjerne høre fra deg, slik at vi kan oppdatere tekstene og sørge for at vi hjelper hverandre med de vanskelige spørsmålene. Send oss tilbakemelding til KA@dfo.no

3         Praktiske tips

Behandlingsansvarlig skal ha gjort nødvendige vurderinger ved anskaffelsen av skytjenesten, og en DPIA dersom personvernreglene krever dette. DPIA gjort før Schrems II vil ikke nødvendigvis være dekkende i dag.

Når en virksomhet har gjort de nødvendige vurderingene etter personvernforordningen, herunder risikovurderinger, kan resultatet være at:

  • Vurderingene tilsier at behandlingen er i tråd med personvernregelverket
  • Vurderingene tilsier at behandlingen ikke er i tråd med personvernregelverket

Dersom du er behandlingsansvarlig og kommer til at din behandling ikke er i tråd med personvernregelverket, bør du så raskt som mulig ta kontakt med leverandøren for å vurdere om det er mulig å bringe behandlingen i tråd med personvernregelverket. Hvis dette ikke er mulig, må du behandle personopplysningene på en annen måte.

For enkelte virksomheter kan det være aktuelt å vurdere reforhandlinger av avtalene. Dette er omfattende spørsmål som også berører konkurranserettslige og anskaffelsesrettslige problemstillinger. Dersom du som offentlig virksomhet vurderer reforhandling av avtalen ønsker arbeidsgruppen at du tar kontakt med Markedsplassen for skytjenester. På den måten kan det avklares hvordan offentlige virksomheter samlet kan tilnærme seg eventuelle reforhandlinger.

Oppdatert: 12. september 2023

Kontakt

Gi oss tilbakemelding!

Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!

E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.