Anlitande av underbiträden (punkt d)

En grundläggande tanke med molntjänster, som följer av deras karaktäristik och ligger bakom tjänsternas effektivitet, är att data kan behandlas på den geografiska plats där resurser finns när kunden efterfrågar dem och att tillhandahållandet kan ske av den som då har bäst förmåga.¹³⁵ Det gör att det ofta är viktigt för molntjänstleverantörer att i sin tur kunna anlita underleverantörer att tillhandahålla delar av tjänsterna. Det medför att det ofta är fler parter inblandade i personuppgiftsbehandlingen än den ansvarige och dennes biträde (se figur 1 under avsnitt 2.5). Molntjänstleverantörens underleverantörer kallas för underbiträden och anlitandet av dessa föranleder vissa frågor om hur behandlingen av personuppgifter ska integritetssäkras.

Artikel 28.3(d) i GDPR anger att personuppgiftsbiträdesavtalet ska föreskriva att personuppgiftsbiträdet måste respektera villkoren i punkterna 2 och 4 i artikel 28 vid anlitande av ett annat personuppgiftsbiträde, det vill säga ett underbiträde. Enligt artikel 28.2 får underbiträden endast anlitas efter ett särskilt eller allmänt skriftligt förhandstillstånd från den personuppgiftsansvarige. Om ett allmänt tillstånd har erhållits måste den ansvarige informeras om eventuella nya underbiträden så att det finns en möjlighet att invända. Underbiträden måste, enligt artikel 28.4, åläggas samma skyldigheter i fråga om dataskydd som fastställts i avtalet mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Om ett underbiträde inte uppfyller sina skyldigheter blir huvudbiträdet ansvarigt gentemot de registrerade.

Dataskyddsdirektivet saknar särskilda regler om anlitande av underbiträden. Däremot kan regler avseende underbiträden sägas följa av artikel 16 om krav på instruktionsefterlevnad för alla som behandlar personuppgifter för den personuppgiftsansvariges räkning. Eftersom underleverantörer till molntjänstens huvudleverantör behandlar personuppgifter för kundens räkning måste även de följa den ansvariges instruktioner och vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Artikel 29-gruppen har gett uttryck för att det inte finns något hinder mot att flera personuppgiftsbiträden anlitas, men att samtliga måste följa den ansvariges instruktioner.136 Mot den bakgrunden uttalade gruppen i sitt yttrande om molntjänster att underleverantörer till molntjänstleverantören får anlitas, så länge alla relevanta

135 Mell, Grance, The NIST definition of cloud computing, s. 2.

54

skyldigheter som gäller för huvudbiträdet även gäller för underbiträden.¹³⁷ Det innebär att de krav som föreskrivs i artikel 28.4 i GDPR om lika skyldigheter för underbiträden i huvudsak även gäller enligt nuvarande lagstiftning i Dataskyddsdirektivet. En viktig avvikelse att notera är dock att GDPR kräver att underbiträden åläggs samma skyldigheter som huvudbiträdet, medan Artikel 29-gruppen talar om alla relevanta skyldigheter. Det kan potentiellt sett få långtgående konsekvenser. Om en molntjänstleverantör inte har exakt likadana avtal med alla sina kunder skulle de även att behöva teckna olika avtal med sina underleverantörer.138 För leverantörer med en stor mängd kunder och underleverantörer kan det i så fall bli mycket svårt att ha samma skyldigheter för alla underleverantörer. Det förstärker behovet av att kunna utnyttja standardavtal som är förenliga med GDPR.

Artikel 29-gruppen har vidare uttalat att man anser att personuppgiftsbiträdet endast får anlita underbiträden med den ansvariges samtycke och att den ansvarige måste informeras om eventuella nya biträden så att det finns möjlighet att invända.139 Uttalandet ger uttryck för att även det som föreskrivs i artikel 28.2 i GDPR om förhandstillstånd och information om anlitande av underbiträden gäller enligt nuvarande lagstiftning. Väsentligt är att skyldigheter och ansvarsfördelning tydligt framgår så att det är möjligt att kontrollera att behandlingen uppfyller lagkraven och om så inte är fallet utkräva ansvar.

Datainspektionen i Sverige har gett uttryck för en liknande inställning som Artikel 29-gruppen. I sin tillsyn av Salems kommun uttalade inspektionen bland annat att en förutsättning för att acceptera underbiträden är att dessa är skyldiga att följa den ansvariges instruktioner och uppfylla kravet på säkerhetsåtgärder.¹⁴⁰ På samma sätt som för huvudbiträdet måste den personuppgiftsansvarige även kunna kontrollera att underbiträden faktiskt uppfyller detta. Kravet på att det ska finnas personuppgiftsbiträdesavtal med de som behandlar uppgifter för den personuppgiftsansvariges räkning kan, enligt Datainspektionen, uppfyllas antingen genom att den ansvarige själv ingår avtal med alla biträden eller att huvudbiträdet ges mandat att ingå avtal med underbiträden.141 I sin tillsyn av den digitala brevlådetjänsten

137 Artikel 29-gruppen, Yttrande 5/2012 om datormoln (cloud computing), s. 9.

138 Webber, The GDPR’s impact on the cloud service provider as a processor, s. 13.

139 Artikel 29-gruppen, Yttrande 5/2012 om datormoln (cloud computing), s. 10.

140 Datainspektionen, Tillsyn av Salems kommunstyrelse, s. 11 f.

141 Datainspektionen, Tillsyn av Salems kommunstyrelse, s. 11. JO har dock uttryckt en annan uppfattning i ärendet JO 2012/13 s. 362. JO riktade i ärendet kritik mot Försäkringskassan för att man anlitat ett

55

Brevo uttalade dock Datainspektionen att det inte är tillräckligt att det finns en klausul i avtalet som medger att leverantören ingår avtal med underbiträden om inte den personuppgiftsansvarige informeras om vilka underbiträden som anlitas.¹⁴² En förutsättning för att den ansvarige ska kunna utöva kontroll över sina biträden är nämligen att den känner till vilka dessa underbiträden är.¹⁴³

Även om Dataskyddsdirektivet saknar särskilda regler om anlitande av underbiträden tycks alltså Artikel 29-gruppen och Datainspektionen vara av uppfattningen att underbiträden i huvudsak omfattas av samma krav som huvudbiträdet och att det krävs godkännande från den personuppgiftsansvarige. Det innebär att GDPR sannolikt inte kommer att medföra särskilt stora praktiska förändringar i frågan. Det kan dock vara betydelsefullt att kraven artikuleras i lagstiftningen så att det blir tydligt för alla parter vad som gäller. Det är inte heller säkert att alla rättar sig efter vad Artikel 29-gruppen och Datainspektionen anser vilket förstärker vikten av att kravet förtydligas i GDPR. Att förordningen kräver att samma skyldigheter ska gälla för underbiträden som för huvudbiträdet kan däremot leda till svårigheter med individuella anpassningar av avtal. En strikt läsning kan göra att det blir svårt att utgå från kundens specifika behov och att man istället måste anpassa skyldigheterna efter tjänsten. Förordningens regel är dock troligtvis inte avsedd att läsas så strikt så att inget utrymme för individuella anpassningar ges. Syftet bör istället vara att se till att förordningens regler inte kringgås till följd av att underbiträden anlitas. Det kan åstadkommas även utan att helt förbjuda skillnader. Sammanfattningsvis leder GDPR troligtvis inte till särskilt stora förändringar avseende anlitande av underbiträden.

personuppgiftsbiträde och samtyckt till anlitande av ett underbiträde för att utföra en undersökning. Enligt JO räckte det inte att Försäkringskassan avtalat med personuppgiftsbiträdet om att eventuella underbiträden var bundna att följa Försäkringskassans instruktioner och vidta lämpliga säkerhetsåtgärder. JO var istället av uppfattningen att Försäkringskassan skulle ha ingått personuppgiftsbiträdesavtal med varje biträde, alltså även med underbiträden. Artikel 29-gruppen förefaller, i sitt yttrande om datormoln, vara av samma uppfattning som Datainspektionen. De uttalar där att molnleverantören har en skyldighet att ange alla underleverantörer som anlitas och upprätta avtal med dem. Detta synsätt bör ges företräde framför JO:s tolkning av bestämmelserna.

142 Datainspektionen, Tillsyn av Brevo AB, s. 8.

56