4.1.1 Garantier om regelefterlevnad
När personuppgifter ska behandlas för den personuppgiftsansvariges räkning ska den ansvarige enligt artikel 28.1 i GDPR endast utse biträden som kan ge tillräckliga garantier för att lämpliga åtgärder kommer att vidtas så att personuppgiftsbehandlingen uppfyller förordningens regler. Garantierna är alltså en förutsättning för att överhuvudtaget lämna över personuppgiftsbehandling till ett biträde och därmed för att ingå personuppgiftsbiträdesavtal. Därmed utgör garantierna även en viktig del av avtalsrelationen mellan personuppgiftsansvarig och -biträde och utreds därför närmare i det följande.
I Dataskyddsdirektivets artikel 17.2 föreskrivs enbart att den personuppgiftsansvarige måste försäkra sig om att biträdet kan garantera att lämpliga säkerhetsåtgärder vidtas. GDPR:s krav på föregående kontroll och riskanalys inför anlitandet av ett personuppgiftsbiträde är därmed mer långtgående än direktivets genom att garantierna ska omfatta regelefterlevnad av hela förordningen. Sannolikt kommer det att innebära att personuppgiftsansvariga i större utsträckning och med större noggrannhet kommer att behöva genomföra riskanalyser och bedömningar av tjänster och system inför anlitande av personuppgiftsbiträden. Vid planerad användning av molntjänster är detta särskilt viktigt eftersom kunden kan få begränsad kontroll över leverantörens personuppgiftsbehandling till följd av molntjänsters karaktäristik. Dessutom ökar incitamenten att säkerställa att förordningens regler uppfylls genom att GDPR inför betydligt kraftigare sanktioner än Dataskyddsdirektivet.86 Noggranna riskanalyser kan minska risken för att en olämplig molntjänst väljs och öka sannolikheten för långsiktigt gynnsamma samarbeten. Samtidigt kan sådana analyser däremot vara resurskrävande och svåra att genomföra.
86 Genom GDPR kan tillsynsmyndigheter besluta om administrativa sanktionsavgifter på upp till €20 miljoner eller 4 % av företagets globala årsomsättning, beroende på vilket som är högst.
34
4.1.2 Uppförandekoder och certifieringar som garantier
Ett sätt att erhålla garantier från personuppgiftsbiträdet utan att själv göra noggranna riskanalyser är genom intyg. Genom GDPR utvecklas två former av intyg – uppförandekoder och certifieringar – som enligt artikel 28.5 kan användas för att visa att biträdet ger tillräckliga garantier för att förordningens regler följs. Dessa intyg kan bli viktiga hjälpmedel för att visa regelefterlevnad och på så sätt underlätta för parterna att ingå och upprätthålla molntjänstavtal. Intygen kan bidra med fördelar för båda parterna och har potential att utvecklas till en viktig del av förordningen.
Enligt artiklarna 40–43 i GDPR ska medlemsstaterna, tillsynsmyndigheterna, Europeiska dataskyddsstyrelsen och EU-kommissionen uppmuntra utarbetandet av uppförandekoder och certifieringar för dataskydd. De får antingen utarbeta intygen själva eller överlåta det till ackrediterade certifieringsorgan eller sammanslutningar och andra organ som företräder personuppgiftsansvariga eller -biträden. Koderna och certifieringarna kan sedan godkännas av tillsynsmyndigheter varefter personuppgiftsansvariga och -biträden kan ansluta sig för att intyga regelefterlevnad och att lämpliga åtgärder har vidtagits. Uppförandekoder kan ses som ett slags ”best practice” över hur man ska agera i enlighet med GDPR i särskilda frågor och branscher för att effektivisera tillämpningen av förordningen.87 Koderna ska enligt ingresspunkt 98 beakta särdrag hos den behandling som sker inom olika sektorer samt de särskilda behov som finns för olika typer av företag. De kan alltså vara branschspecifika och särskilt anpassade för viss typ av personuppgiftsbehandling. Certifieringar är enligt ingresspunkt 100 tänkta att ge möjlighet till att snabbt bedöma nivån på olika produkters och tjänsters dataskydd. Certifieringar kan alltså jämföras med exempelvis ”fair trade”-märkning för att visa att man uppfyller en viss standard. Intygen är ett sätt att på frivillig väg visa att man uppfyller en hög nivå av dataskydd.
För molntjänstkunden kan sökandet efter en lämplig molntjänst underlättas av leverantörens anslutning till ett intyg. Utifrån uppförandekoder kan kunden få reda på hur leverantören löser olika dataskyddsfrågor och genom certifieringen kan kunden snabbt bedöma nivån av molntjänstens dataskydd. De sammanslutningar eller organ som skapar och övervakar uppförandekoder och certifieringar ska nämligen enligt artiklarna 40–43 genomföra noggranna kontroller av dem som vill ansluta sig och se till att de följer reglerna efter anslutning. Det medför att molntjänstkunden skulle kunna slippa att själv
35
göra omfattande kontroller och riskanalyser av molntjänstleverantörens system. Istället skulle kunden kunna förlita sig på sammanslutningarnas eller organens kontroller. I artikel 40.2 om uppförandekoder anges några exempel på vad koderna kan användas till. Där framgår bland annat att de kan användas för att specificera reglerna kring insamling av personuppgifter, pseudonymisering, öppen behandling och säkerhetsåtgärder. De har alltså ett brett tillämpningsområde och kan användas för att intyga det mesta i förordningen. Kunden kan genom uppförandekoden exempelvis få information om att leverantören har vidtagit lämpliga säkerhetsåtgärder och på så sätt enklare välja leverantör utifrån anslutning till ett branschspecifikt intyg som passar den tänkta personuppgiftsbehandlingen. En annan potentiell effekt är att det kan medföra att fler företag, organisationer och myndigheter vågar bli molntjänstkunder, vilket bidrar till att uppfylla kommissionens vision om molntjänstmarknadens utveckling i EU.88
För molntjänstleverantören skapas marknads- och konkurrensmässiga incitament att ansluta sig till godkända uppförandekoder och certifieringar. Om vissa leverantörer ansluter sig och det underlättar för kunder, kommer andra leverantörer också att behöva göra det för att behålla sina nuvarande kunder samt för att locka till sig nya. Dessutom kan anslutning vara ett sätt för leverantören att försäkra sig själv om att GDPR:s regler efterlevs. Intygens specificering av reglerna kan ge leverantören vägledning kring hur personuppgiftsbehandlingen ska gå till så att risken för överträdelser minskar.89 Anslutning till godkända uppförandekoder och certifieringar skulle även kunna användas i marknadsföringssyfte för att intyga att en molntjänsts dataskydd har viss kvalitet.
Uppförandekoder finns redan nu som en del av Dataskyddsdirektivet i artikel 27. Där uppmuntras antagandet av uppförandekoder på i stort sett samma sätt som enligt GDPR. Däremot är certifieringar nya inom personuppgiftsregleringen. Den stora nyheten i GDPR är att båda intygstyperna får en närmare koppling till sanktionssystemet.90 De sammanslutningar och organ som utarbetar och övervakar intygen får möjlighet att bestämma över dem och vidta åtgärder vid överträdelser.91 Om föreskrifterna i en uppförandekod inte efterlevs ska den som övervakar uppförandekoden enligt artikel 41.4
88 Se EU-kommissionens strategi ”Att frigöra de molnbaserade datortjänsternas potential i Europa”.
89 Bock, Data Protection Certification: Decorative or Effective Instrument? Audit and Seals as a Way to Enforce Privacy. I: Enforcing Privacy – Regulatory, Legal and Technological Approaches, De Hert, Wright (red.), s. 354.
90 Heimes, Top 10 operational impacts of the GDPR: Part 9 – Codes of conduct and certifications.
91 Lachaud, Why the certification process defined in the General Data Protection Regulation cannot be successful, s. 818 f.
36
besluta om lämpliga åtgärder, exempelvis uteslutning, mot den personuppgiftsansvarige eller -biträdet och anmäla överträdelsen till tillsynsmyndigheten. På motsvarande sätt ska även certifieringsorgan återkalla certifieringar och informera tillsynsmyndigheten om orsakerna, enligt artiklarna 42.7 och 43.4–5. Utifrån uppgifterna som lämnas av sammanslutningarna och organen kan tillsynsmyndigheten utvärdera om några överträdelser av GDPR har skett och besluta om eventuella sanktioner mot den personuppgiftsansvarige eller -biträdet. När det gäller certifieringar kan redan överträdelser av den personuppgiftsansvariges eller -biträdets skyldigheter i artiklarna 42–43 leda till administrativa sanktionsavgifter enligt artikel 83.4(a). Även de privata sammanslutningarna och organen som ansvarar för intygen riskerar att åläggas administrativa sanktionsavgifter enligt artikel 83.4(b–c) för att inte ha vidtagit lämpliga åtgärder vid överträdelser. De får därför starka incitament att vara noggranna i sin övervakning.
Att förlita sig på uppförandekoder och certifieringar som har utarbetats av ackrediterade sammanslutningar och organ är emellertid inte en helt säker lösning. Anslutningen till en uppförandekod eller certifiering bevisar nämligen inte att man med säkerhet uppfyller kraven i GDPR, utan ger enbart en indikation om att reglerna uppfylls.92 Det är fortfarande tillsynsmyndigheter och domstolar som beslutar hur förordningen ska tolkas. När tillsynsmyndigheter beslutar om administrativa sanktionsavgifter ska påföras och hur stora de ska vara, ska dock hänsyn tas till tillämpandet av godkända uppförandekoder och certifieringar enligt artikel 83.2(j). Även om regelefterlevnad inte fråntar den personuppgiftsansvarige eller -biträdet deras ansvar så bör det betraktas som en förmildrande omständighet när den administrativa sanktionsavgiftens storlek ska bestämmas.93
Uppförandekoder och certifieringar kan alltså bli viktiga hjälpmedel för att intyga att förordningens regler uppfylls. Det kan i sin tur underlätta relationen mellan den personuppgiftsansvarige och -biträdet genom att ge information som kan vara avgörande för valet att ingå och upprätthålla molntjänstavtalet. Troligtvis kommer det till en början
92 IT Governance Privacy Team, EU General Data Protection Regulation (GDPR) – An Implementation and Compliance Guide, s. 283.
93 Se ingresspunkt 148 i GDPR där det framgår att vederbörlig hänsyn ska tas till bland annat om en uppförandekod har tillämpats och till eventuella andra försvårande eller förmildrande faktorer. Formuleringen ger intrycket av att tillämpning av uppförandekoder kan vara både försvårande och förmildrande. En överträdelse av en uppförandekod är troligtvis försvårande, medan följsamhet, som likväl innebär en överträdelse av GDPR, troligtvis är förmildrande.
37
att innebära stora kostnader för molntjänstleverantörer att ansluta sig till godkända uppförandekoder och certifieringar. Dessa kostnader vägs dock förmodligen upp av att det blir lättare för kunder att hitta lämpliga molntjänstleverantörer, vilket sannolikt leder till att fler företag vågar teckna molntjänstavtal. Dessutom kan leverantörer använda sig av anslutningarna i sin marknadsföring för att locka till sig fler nya kunder.
Det kanske främsta problemet med uppförandekoder och certifieringar är att det inte går att avgöra vilka intyg som kommer att godkännas inom ramen för GDPR innan förordningen börjar tillämpas. Förordningen uppmuntrar att intygen ska utarbetas men utan att ange kriterier för vilka intyg som ska godkännas. Det innebär att det är svårt att på förhand avgöra om intygen kommer att bli effektiva hjälpmedel och om det kommer att finnas intresse från privata aktörer att utveckla dem. Trots att uppförandekoder har varit möjliga att använda sig av sedan Dataskyddsdirektivet infördes 1995 finns det nästintill inga relevanta koder idag.94 Möjligtvis blir emellertid skälen för att utveckla intyg större genom GDPR till följd av den ökade vikten av att visa regelefterlevnad.Vissa organisationer har på senare år utvecklat uppförandekoder och certifieringar som kan komma att bli användbara för molntjänster. Ett exempel är uppförandekoden Data Protection Code of Conduct for Cloud Infrastructure Service Providers som publicerades i januari 2017 av organisationen Cloud Infrastructure Service Providers in Europe (CISPE). Uppförandekoden är utvecklad specifikt för leverantörer av IaaS-molntjänster och är tänkt att användas för att visa regelefterlevnad med både Dataskyddsdirektivet och GDPR.95 Ett exempel på en certifiering är standarden ISO 27018 som publicerades av Internationella standardiseringsorganisationen (ISO) i augusti 2014.96 Standarden syftar till att ge personuppgiftsbiträden riktlinjer angående lämpliga informationssäkerhetsåtgärder ur både ett tekniskt och ett juridiskt perspektiv för att skydda personuppgifter i molntjänster. Standarden kan bli ett viktigt hjälpmedel för att visa regelefterlevnad och skydda personuppgifter, särskilt eftersom den till följd av sitt globala perspektiv har potential att harmonisera dataskydd i hela världen.97 GDPR ger
94 De Hert, Papakonstantinou, The new General Data Protection Regulation: Still a sound system for the protection of individuals?, s. 192. Författarna nämner FEDMA:s European Code of Practice for the Use of Personal Data in Direct Marketing som ett undantag.
95 CISPE, Data Protection Code of Conduct for Cloud Infrastructure Service Providers, s. 7. För mer information om uppförandekoden se https://cispe.cloud/.
96 Internationella Standardiseringsorganisationen (ISO), ISO/IEC 27018:2014 Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors. För mer information om standarden se https://www.iso.org.
38
dock ingen information om ifall uppförandekoder och standarder som redan existerar och tillämpas ska godkännas av tillsynsmyndigheterna. Det kan därför vara vanskligt att satsa alltför mycket på att ansluta sig till sådana intyg innan förordningen börjar tillämpas och intygen har godkänts.
Intygen har alltså stor potential, men det är inte säkert att de kommer att få stor praktisk påverkan om intresset av att utarbeta dem är svalt. De erbjuder smidiga möjligheter att garantera regelefterlevnad och kan, om de utvecklas i rätt riktning, bidra till ett stärkt integritetsskydd. Hur effektiva intygen blir är till stor del beroende av om bra koder och certifieringar utvecklas framöver och hur tillsynsmyndigheterna väljer att godkänna dem som har utarbetats. Intresset för intygen kan tänkas vara större än det är under Dataskyddsdirektivet, till följd av att GDPR innehåller fler krav på vilka biträden som får anlitas och hårdare sanktioner för regelbrott. Däremot kan reglernas komplexitet vara avskräckande och leda till att få vill ta sig an uppgiften att utarbeta dem.98
Artikel 29-gruppen har i sin arbetsplan för 2017 uttalat att man jobbar med och kommer att publicera riktlinjer angående certifieringar under året.99 Förhoppningsvis bidrar riktlinjerna med värdefull information så att molntjänstleverantörer kan börja ansluta sig till certifieringar.