Information och inspektion (punkt h)

Det sista kravet på innehållet i personuppgiftsbiträdesavtalet framgår av artikel 28.3(h) i GDPR. Där föreskrivs att personuppgiftsbiträdet ska ge den ansvarige tillgång till all information som behövs för att visa att de skyldigheter som följer av artikeln efterlevs, samt bidra till granskningar och inspektioner. Biträdet måste alltså kunna visa att alla skyldigheter som följer av artikel 28 uppfylls. Syftet med bestämmelsen är att ge den ansvarige kontroll över och insyn i hur personuppgiftsbehandlingen går till i

151 Datainspektionen, Uppföljning av tillsyn av Salems kommunstyrelse, s. 7.

61

personuppgiftsbiträdets verksamhet. Särskilt viktigt borde vara att biträdet kan visa att lämpliga tekniska och organisatoriska säkerhetsåtgärder har vidtagits för att skydda personuppgifterna. Därutöver ska den personuppgiftsansvarige, eller en revisor som denne bemyndigat, ha rätt att granska hur personuppgiftsbehandlingen går till samt inspektera personuppgiftsbiträdets lokaler.

Någon motsvarande bestämmelse finns inte i Dataskyddsdirektivet. Däremot följer av artikel 17.2 att den personuppgiftsansvarige måste förvissa sig om att biträdet vidtar lämpliga säkerhetsåtgärder. För att veta det måste den ansvarige få tillgång till information och kunna genomföra inspektioner på liknande sätt som föreskrivs i bestämmelsen i GDPR. Det finns däremot ingen skyldighet för biträdet att lämna information eller tillåta inspektioner vilket kan göra det svårt för kunden att leva upp till kraven, särskilt för mindre företag som anlitar stora multinationella leverantörer.

När det gäller molntjänster kan det vara svårt att uppfylla föreskrifterna som innebär insyn och inspektioner till följd av att gemensam resursanvändning är en grundläggande karaktäristisk aspekt. Om en kund skulle tillåtas inspektera molntjänstleverantörens datacenter riskeras säkerheten och konfidentialiteten hos andra kunders data. Det är därför inte praktiskt möjligt med en sådan lösning avseende inspektioner. En ytterligare aspekt som försvårar för molntjänstkunden att behålla kontrollen över leverantörens personuppgiftsbehandling är att molntjänstleverantörer ofta är globala företag med verksamhet i många länder. För en liten aktör som har anlitat en stor multinationell molntjänstleverantör kan det därför vara mycket svårt att faktiskt få insyn och genomföra inspektioner. Datainspektionen har påpekat att personuppgiftsregleringen i vissa avseenden är svårförenlig med molntjänster och har erkänt svårigheten i att säkerställa att den ansvarige har kontroll över biträdet.¹⁵³ I Datainspektionens tillsyn av Salems kommun anförde kommunen att man genom ett så kallat SAS 70-avtal¹⁵⁴ hade rätt till tillträde och inspektion av Googles lokaler för att kontrollera säkerheten i Googles personuppgiftsbehandling.¹⁵⁵ Datainspektionen ansåg inte att en sådan rätt framgick av dokumentationen och ifrågasatte även lämpligheten i att kommunen skulle ha en sådan tillträdesrätt. Däremot öppnade inspektionen för att

153 Datainspektionen, Tillsyn av Salems kommunstyrelse, s. 10.

154 En standard för kontroll och inspektion av tjänsteleverantörers interna kontrollsystem och säkerhetsåtgärder. Standarden har nu ersatts av den nyare SSAE 16 för att möta internationella revisionsstandarder. För mer info om standarderna se http://sas70.com/ och http://ssae16.com/.

62

tredjepartsrevision kan användas för att kontrollera att leverantören uppfyller säkerhets- och kvalitetskraven.¹⁵⁶ Även Artikel 29-gruppen har uttalat att tredjepartsrevisioner kan fylla en sådan funktion.¹⁵⁷

Både GDPR och Dataskyddsdirektivet föranleder samma problematik – det är svårt för en molntjänstkund att på ett godtagbart sätt kontrollera regelefterlevnad genom att inspektera leverantörens lokaler. Den bästa tänkbara lösningen borde vara att kunden med hjälp av tredjepartsrevision och information från leverantören sätter sig in i leverantörens interna kontrollsystem och säkerhetsåtgärder och utifrån det gör en riskanalys.¹⁵⁸ Det är möjligt att GDPR kommer att förenkla sådana lösningar genom att kräva att personuppgiftsbiträdet lämnar all nödvändig information till den ansvarige och bidrar till inspektioner och granskningar. Dessutom anges i GDPR, till skillnad från i Dataskyddsdirektivet, uttryckligen att kontroll kan genomföras av en bemyndigad revisor. Av ovan diskuterade uttalanden från Datainspektionen förefaller dock lösningar med tredjepartsrevision enligt internationella standarder, såsom SAS 70 och SSAE 16, redan accepteras enligt nuvarande personuppgiftsreglering. Många molntjänstleverantörer använder också redan standarder för tredjepartsrevision för att möjliggöra kontroll av bland annat interna säkerhetsåtgärder.¹⁵⁹ GDPR medför dock ett viktigt förtydligande som kan öka användandet av tredjepartsrevision så att det inte enbart används av de största leverantörerna. Dessutom kan det göra att revisionerna går längre än till att enbart kontrollera säkerhetsåtgärder.

En viktig skillnad att poängtera är att GDPR, som ovan nämnts, föreskriver en skyldighet för biträdet att lämna all information som behövs för att avgöra om skyldigheterna efterlevs. Det ökar insynen och möjligheten till kontroll från den ansvariges sida. Enligt Dataskyddsdirektivet har biträdet inte någon sådan skyldighet, utan det är upp till den ansvarige att välja ett annat biträde om tillräckliga garantier inte ges. I praktiken accepterar molntjänstkunder troligtvis ofta villkoren för leverantörens molntjänst även om tillräckliga garantier inte ges. GDPR:s krav på information kan därför komma att bli mycket viktiga. En annan skillnad är att artikel 28.3(h) i GDPR omfattar alla biträdets skyldigheter som följer av artikel 28, inte bara säkerhetsåtgärder, vilket ökar bestämmelsens omfång i förhållande till Dataskyddsdirektivet. Sammantaget bidrar

156 Datainspektionen, Tillsyn av Salems kommunstyrelse, s. 16.

157 Artikel 29-gruppen, Yttrande 5/2012 om datormoln (cloud computing), s. 22.

158 Edvardsson, Frydlinger, Molntjänster: juridik, affär och säkerhet, s. 143 f.

63

GDPR troligtvis med ökad insyn i och kontroll över personuppgiftsbiträdets verksamhet vilket utjämnar balansen mellan de i molntjänstsammanhang ofta olika starka parterna.

64

5 Slutsatser och avslutande synpunkter

Trots att GDPR bibehåller samma grundstruktur som Dataskyddsdirektivet och i huvudsak har samma terminologi medför förordningen tydliga förändringar för avtalsrelationen mellan den personuppgiftsansvarige och -biträdet. Personuppgiftsbiträdesavtalets innehåll blir i större utsträckning detaljreglerat och nya krav artikuleras i lagstiftningen. Till exempel blir biträdet skyldigt att hjälpa den ansvarige att på olika sätt visa och kontrollera att förordningens regler uppfylls. Kraven på innehållet i avtalet tar sikte på personuppgiftsbiträdets skyldigheter i förhållande till den ansvarige och medför en balansering av ansvaret för regelefterlevnad. Det kan bidra till att lindra motsättningen mellan molntjänsters fokus på effektivitet och personuppgiftsregleringens krav på kontroll och insyn. Det är särskilt betydelsefullt när det gäller molntjänster eftersom sådana avtalsrelationer ofta präglas av en ojämn maktbalans där leverantören är ett stort multinationellt företag medan kunden många gånger är en liten lokal aktör.

Även om GDPR föreskriver en rad nya skyldigheter för personuppgiftsbiträdet är det många av skyldigheterna som redan anses gälla under Dataskyddsdirektivet, eller som av andra skäl redan tillämpas. Redan detta faktum visar på behovet av en uppdatering av lagstiftningen. Ett exempel är att kraven vid anlitande av underbiträden tidigare inte har varit uttryckta i lag, men ändå i huvudsak har ansetts gälla enligt Artikel 29-gruppen och nationella dataskyddsmyndigheter. Både Artikel 29-gruppen och den svenska Datainspektionen har även rekommenderat att många av de punkter som genom GDPR blir lag ska ingå i personuppgiftsbiträdesavtalet.¹⁶⁰ Ett annat exempel som ofta tillämpas redan under nuvarande reglering är skyldigheten för personuppgiftsbiträdet att hjälpa den ansvarige avseende den registrerades rättigheter. De flesta större molntjänstavtal har av effektivitets- eller konkurrensmässiga skäl utvecklats till att redan innehålla sådana krav på samarbete mellan parterna.161 I viss mån kan GDPR därför sägas kodifiera ”best practice” på området eftersom mycket redan tillämpas. Det är emellertid inte säkert att alla aktörer följer Artikel 29-gruppens och Datainspektionens rekommendationer eller det som anses vara ”best practice”. Det är därför betydelsefullt att kraven fastställs i

160 Artikel 29-gruppen, Yttrande 5/2012 om datormoln (cloud computing), s. 19 ff. och Datainspektionen, Molntjänster och personuppgiftslagen, s. 3.

65

lagstiftning och skapar ramar för likformig och förutsebar regeltillämpning till förmån för integritetsskyddet.

Genom GDPR ökar även incitamenten både för den personuppgiftsansvarige och för personuppgiftsbiträdet att bidra till regelefterlevnad. Båda parterna kan enligt förordningen åläggas att betala skadestånd och stora administrativa sanktionsavgifter för överträdelser. Av särskild vikt är nyheten att personuppgiftsbiträden har självständiga skyldigheter enligt förordningen och kan hållas direkt ansvariga gentemot de registrerade. Om en molntjänstleverantör exempelvis har brister i sin säkerhet som föranleder kränkning av den registrerades integritet, utan att molntjänstkunden kan klandras, kan därmed leverantören bli skadeståndsskyldig gentemot den registrerade. Det kan bidra till ökad balans i relationen mellan parterna eftersom ansvaret för regelefterlevnad framöver kommer att ligga på båda parterna. De kraftiga sanktionerna och den badwill som följer med konstaterade överträdelser leder troligtvis till att frågor om dataskydd kommer högt upp på agendan för både företagsledningar och politiker. Det kan bidra till en debatt som mynnar ut i nya lösningar som gynnar både integritetsskyddet och molntjänsternas effektivitet. En annan aspekt som också kan skapa incitament för säker personuppgiftsbehandling är att GDPR erbjuder vissa fördelar för den som kan uppvisa säker behandling. Den som har vidtagit säkerhetsåtgärder genom att kryptera data kan exempelvis undslippa förpliktelsen att informera de registrerade om personuppgiftsincidenter.

Att balansen mellan parterna utjämnas bidrar troligtvis till ett ökat integritetsskydd, vilket är bra för de enskilda personer vars personuppgifter registreras. En risk med att integritetsskyddet stärks och att leverantörer åläggs fler skyldigheter är dock att det sker på bekostnad av molntjänsternas effektivitet genom att öka kostnaderna och den administrativa bördan av att uppfylla reglerna. Det kan leda till att molntjänster blir en mindre attraktiv affärsform och att kommissionens strategi för att släppa lös molntjänsternas potential inom EU inte uppfylls.¹⁶² Det finns emellertid fördelar med den nya regleringen även för molntjänstleverantörer, vilket potentiellt sett kan bidra till att bibehålla effektiviteten i molntjänster trots det ökade integritetsskyddet. De nuvarande skillnaderna i nationella implementeringar gör det svårt för molntjänstleverantörer att veta vilka juridiska krav som ställs i varje land vilket leder till stora administrativa kostnader. GDPR kommer, genom att vara ett enhetligt regelverk som är lika i alla

66

medlemsländer, att minska den juridiska osäkerheten för leverantörer och bidra till att minska dessa kostnader.

En annan nyhet i förordningen som har potential att bidra med fördelar för både leverantörer och kunder är utvecklingen av uppförandekoder och certifieringar. Leverantörens anslutning till godkända uppförandekoder och certifieringar kan användas för att underlätta för parterna att ingå och upprätthålla molntjänstavtal som är förenliga med GDPR. Intygandet att molntjänsten uppfyller förordningens regler kan göra att fler företag, organisationer och myndigheter vågar teckna molntjänstavtal, vilket ger leverantörerna fler kunder. Dessutom kan intygen vara effektiva ur marknadsföringssynpunkt för att locka till sig nya kunder. Intygens specificering av reglerna kan också ge leverantören vägledning kring hur personuppgiftsbehandlingen ska gå till så att risken för överträdelser minskar.163 Eftersom intygen inte kan användas för att kringgå eller mildra kraven som ställs i GDPR kan de troligtvis inte förhindra att molntjänster förlorar en del av sin effektivitet genom det striktare integritetsskyddet. Däremot kan intygen, som ovan förklarats, ge molntjänstleverantören andra fördelar som kan komma att väga upp detta. Om intygen blir effektiva hjälpmedel återstår dock att se. Svar på den frågan kan inte väntas före den 25 maj 2018.

Sammanfattningsvis medför GDPR viktiga förändringar för avtalsrelationen mellan molntjänstkund och -leverantör, även om många av kraven som uppställs redan anses gälla enligt Dataskyddsdirektivet eller anses vara ”best practice”. Särskilt viktigt är att personuppgiftsbiträdet åläggs att vidta fler integritetsskyddande åtgärder och bidra till att förordningens regler uppfylls, samt att biträdet får ett självständigt ansvar. Effekterna av nyheterna är framförallt att den personuppgiftsansvarige får ökad kontroll över och insyn i biträdets personuppgiftsbehandling. Det medför en utjämnad balans i relationen mellan parterna och större sannolikhet för att förordningens regler efterlevs så att de registrerades personliga integritet skyddas. Det stärkta integritetsskyddet riskerar emellertid att påverka molntjänsters effektivitet negativt genom att öka kostnader och administration. Det finns dock, beroende på hur utvecklingen fortskrider, potential att uppförandekoder och certifieringar kan bidra med positiva effekter för molntjänstleverantörer som väger upp detta. Hur dessa intyg kommer att utvecklas är en

163 Bock, Data Protection Certification: Decorative or Effective Instrument? Audit and Seals as a Way to Enforce Privacy. I: Enforcing Privacy – Regulatory, Legal and Technological Approaches, De Hert, Wright (red.), s. 354.

67

intressant fråga att följa framöver. De kan komma att få stor påverkan för hela molntjänstindustrin.

Trots ökade kostnader och striktare krav för att skydda de registrerades integritet kan betydelsen och användningen av molntjänster inte väntas minska framöver. Till följd av att alltmer information digitaliseras är det snarare troligt att industrins betydelse kommer att fortsätta att öka i linje med prognoserna.¹⁶⁴ EU har utnyttjat det förmånliga läge som de växande behoven skapar till att utöka integritetsskyddet. Samtidigt är visionen att släppa lös molntjänsternas potential inom EU.165 Målet verkar vara att åstadkomma ett starkare skydd samtidigt som användningen av molntjänster främjas. Det är då viktigt att integritetsskyddet inte stärks på bekostnad av molntjänsternas effektivitet. Om unionen lyckas uppnå sina mål genom den stora reformen återstår att se.

164 Se International Data Corporation (IDC), Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake och uppföljningsrapporten Uptake of Cloud in Europe – Follow-up of IDC Study on Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake och Ried m. fl., Sizing the cloud: Understanding and quantifying the future of cloud computing.

68

Källförteckning

Offentligt tryck

Sverige

Prop. 1997/98:44 Personuppgiftslag

Prop. 2005/06:173 Översyn av personuppgiftslagen

SOU 2017:39 Ny dataskyddslag – Kompletterande bestämmelser till EU:s

dataskyddsförordning

EU

EU-kommissionen, Amended proposal for a council directive on the protection of

individuals with regard to the processing of personal data and on the free movement of such data, COM(92) 422 final

EU-kommissionen, Förslag till Europaparlamentets och Rådets förordning om skydd för

enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning), COM(2012) 11 final

EU-kommissionen, Commission Staff Working Paper – Impact Assessment, SEC(2012) 72 final

Litteratur

Bernitz, U, Heuman, L, Vogel, H-H, Leijonhufvud, M, Seipel, P, Warnling-Nerep, W,

Finna rätt – Juristens källmaterial och arbetsmetoder, 13 uppl., Norstedts Juridik 2014

Bock, K, Data Protection Certification: Decorative or Effective Instrument? Audit and

Seals as a Way to Enforce Privacy. I: De Hert, P, Wright, D (red.) Enforcing Privacy – Regulatory, Legal and Technological Approaches, Springer International Publishing

2016

Carey, P, Data Protection: A Practical Guide to UK and EU Law, 4 uppl., Oxford University Press 2015

De Hert, P, Papakonstantinou, V, The new General Data Protection Regulation: Still a

sound system for the protection of individuals?, Computer Law & Security Review, vol.

32, nr. 2, april 2016

Edvardsson, T, Kommersiella it-avtal. I: Magnusson Sjöberg, C (red.), Rättsinformatik –

69

Edvardsson, T, Frydlinger, D, Molntjänster: juridik, affär och säkerhet, Norstedts Juridik 2013

Hellström, R, På molnfronten intet nytt? Vissa rättsliga aspekter på molntjänster, Ny Juridik, 2:11

Hon, W K, Millard, C, Walden, I, Who is responsible for ’personal data’ in cloud

computing? – The cloud of the unknowing, Part 2, International Data Privacy Law, vol.

2, nr. 1, februari 2012

IT Governance Privacy Team, EU General Data Protection Regulation (GDPR) – An

Implementation and Compliance Guide, IT Governance Publishing 2016

Kleineman, J, Rättsdogmatisk metod. I: Korling, F, Zamboni, M (red.), Juridisk

metodlära, Studentlitteratur 2013

Lachaud, E, Why the certification process defined in the General Data Protection

Regulation cannot be successful, Computer Law & Security Review, vol. 32, nr. 6,

december 2016

Liu, F, Tong, J, Mao, J Bohn, R, Messina, J, Badger, L, Leaf, D, NIST Cloud Computing

Reference Architecture, National Institute of Standards and Technology (NIST), Special

Publication 500-292, september 2011

Mell, P, Grance, T, The NIST Definition of Cloud Computing, National Institute of Standards and Technology (NIST), Special Publication 800-145, september 2011

Nissim, J, GDPR series: practicalities of managing the controller-processor relationship, Privacy & Data Protection Journal, vol. 17, nr. 4

Reichel, J, EU-rättslig metod. I: Korling, F, Zamboni, M (red.), Juridisk metodlära, Studentlitteratur 2013

Savu, L, Cloud Computing – Deployment models, delivery models, risks and research

challenges, 2011 International Conference on Computer and Management (CAMAN),

IEEE 2011

Webber, M, The GDPR’s impact on the cloud service provider as a processor, Privacy & Data Protection Journal, vol. 16, nr. 4

Öman, S, Lindblom H-O, Personuppgiftslagen: en kommentar, 4 uppl., Norstedts Juridik 2011

70

Rättsfall och avgöranden

Svenska domstolar

HFD 2015 ref. 3

Kammarrätten i Stockholm, mål nr. 2758–13, 9 januari 2014 Förvaltningsrätten i Stockholm, mål nr. 15410–13, 1 juli 2014

EU-domstolen

EU-domstolens dom av den 6 november 2003 i mål C-101/01 Bodil Lindqvist, ECLI:EU:C:2003:596

EU-domstolens dom av den 12 september 2007 i mål T-259/03 Kalliopi Nikolaou mot

EU-kommissionen, ej publicerad, ECLI:EU:T:2007:254

EU-domstolens dom av den 16 december 2008 i mål C-524/06 Heinz Huber mot

Bundesrepublik Deutschland, ECLI:EU:C2008:724

EU-domstolens dom av den 16 december 2008 i mål C-73/07 Tietosuojavaltuutettu mot

Satakunnan Markkinapörssi Oy och Satamedia Oy, ECLI:EU:C:2008:727

EU-domstolens dom av den 24 november 2011 i de förenade målen C-468/10 och C-469/10 Asociación Nacional de Establecimientos Financieros de Crédito(ASNEF) och

Federación de Comercio Electrónico y Marketing Directo (FECEMD) mot Administración del Estado, ECLI:EU:C:2011:777

EU-domstolens dom av den 13 maj 2014 i mål 131/12 Google Spain SL och Google Inc.

mot Agencia Española de Protección de Datos (AEPD) och Mario Costeja González,

ECLI:EU:C:2014:317

EU-domstolens dom av den 16 juli 2015 i mål C-615/13 P ClientEarth och Pesticide

Action Network Europe (PAN Europe) mot Europeiska myndigheten för livsmedelssäkerhet (Efsa), ECLI:EU:C:2015:489

EU-domstolens dom av den 19 oktober 2016 i mål C-582/14 Patrick Breyer mot

Bundesrepublik Deutschland, ECLI:EU:C:2016:779

Datainspektionen

Datainspektionen, Tillsyn enligt personuppgiftslagen (1998:204) – Salems kommunstyrelse, dnr. 263–2011, 28 september 2011

71

Datainspektionen, Tillsyn enligt personuppgiftslagen (1998:204) – Enköpings

kommunstyrelses användning av molntjänsten Dropbox, dnr. 256–2011, 28 september

2011

Datainspektionen, Tillsyn enligt personuppgiftslagen (1998:204) – Brevo AB, dnr. 574-2011, 28 september 2011

Datainspektionen, Tillsyn enligt personuppgiftslagen (1998:204) – Uppföljning av beslut

i ärende 263–2011, dnr. 1351–2012, 31 maj 2013

Utländska dataskyddsmyndigheter

Commission de la protection de la vie privee (belgiska dataskyddsmyndigheten), Opinion

37/2006 on the transfer of personal data by the CSLR SWIFT by virtue of UST (OFAC) subpoenas, 27 september 2006

Datatilsynet (danska dataskyddsmyndigheten), Behandling af følsomme personoplysninger i cloud-løsning, dnr. 2010-52-0138, 3 februari 2011

Justitieombudsmannen

JO-beslut 2015/16 s. 606, dnr. 3032–2011 JO-beslut 2012/13 s. 362, dnr. 6613–2010

Yttranden och beslut

Artikel 29-gruppen, Yttrande 10/2006 om behandling av personuppgifter hos SWIFT

(Society for Worldwide Interbank Financial Telecommunication), WP 128, november

2006

Artikel 29-gruppen, Yttrande 4/2007 om begreppet personuppgifter, WP 136, juni 2007 Artikel 29-gruppen, Yttrande 1/2010 om begreppen registeransvarig och registerförare, WP 169, februari 2010

Artikel 29-gruppen, Yttrande 5/2012 om datormoln (cloud computing), WP 196, juli 2012 Artikel 29-gruppen, Yttrande 5/2014 om avidentifieringsmetoder, WP 216, april 2014 EU-kommissionen, Att frigöra de molnbaserade datortjänsternas potential i Europa, COM(2012) 529 final

72

EU-kommissionen, Beslut av den 18 juni 2013 om inrättande av en expertgrupp för avtal

om molnbaserade tjänster, 2013/C 174/04

Rapporter, riktlinjer och informationsblad

Artikel 29-gruppen, Guidelines on the right to data portability, WP 242, december 2016 CISPE, Data Protection Code of Conduct for Cloud Infrastructure Service Providers, januari 2017

Datainspektionen, Säkerhet för personuppgifter – Datainspektionens allmänna råd, november 2008

ENISA, An SME perspective on Cloud Computing – Survey, november 2009 ENISA, Cloud Computing – Information Assurance Framework, november 2009

ENISA, Security & Resilience in Governmental Clouds – Making and informed decision, januari 2011

FRA, Data Protection in the European Union: the role of National Data Protection

Authorities – Strengthening the fundamental rights architecture in the EU II, Publications

Office of the European Union, 2010

International Data Corporation (IDC), Quantitative Estimates of the Demand for Cloud

Computing in Europe and the Likely Barriers to Uptake, SMART 2011/0045, slutrapport,

juli 2012

International Data Corporation (IDC), Uptake of Cloud in Europe – Follow-up of IDC

Study on Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake, SMART 2013/0043, slutrapport, 2014

Internationella Standardiseringsorganisationen (ISO), ISO/IEC 27018:2014 Information

In document Personuppgifter i molnet Avtalsrelationen mellan personuppgiftsansvarig och -biträde i ljuset av EU:s dataskyddsreform (Page 61-74)