Instruktionsefterlevnad (punkt a) - Personuppgiftsbiträdesavtalets innehåll

4.2 Personuppgiftsbiträdesavtalets innehåll

4.2.2 Instruktionsefterlevnad (punkt a)

4.2.2.1 Vem lämnar instruktioner? – utmaningen med standardavtal

Den första punkten som måste ingå i ett personuppgiftsbiträdesavtal är skyldigheten för personuppgiftsbiträdet att följa den ansvariges instruktioner. Kravet på instruktionsefterlevnad finns med i både GDPR och Dataskyddsdirektivet i artikel 28.3(a) respektive artikel 17.3. Skyldigheten innebär att biträden och andra som utför arbete åt en

101 Artikel 28.9 i GDPR och Prop. 1997/98:44 s. 134.

102 Datainspektionen, Molntjänster och personuppgiftslagen, s. 3. Se även danska Datatilsynet, Behandling af følsomme personoplysninger i cloud-løsning, där tillsynsmyndigheten i sin granskning av Odense kommuns användning av Google Apps kom fram till att det inte var godtagbart att Google ensidigt kunde ändra sin policy för personuppgiftsbehandling.

personuppgiftsansvarig eller dess biträden, och som får tillgång till personuppgifter, endast får behandla dem enligt de anvisningar som lämnas av den ansvarige.¹⁰³ Det är den personuppgiftsansvariges ansvar att se till att instruktionerna är tillräckligt tydliga så att otillåten behandling inte kommer att ske.¹⁰⁴ Tanken är att kontrollen ska ligga kvar hos den ansvarige även om behandlingen sker hos ett biträde.¹⁰⁵ På så sätt kan den personuppgiftsansvarige se till att reglerna kring behandling av personuppgifter efterlevs och att uppgifterna exempelvis inte behandlas i andra syften än de samlats in. Det är viktigt att se till att instruktionsefterlevnad garanteras både vid avtalets ingående och under hela tiden som samarbetet pågår.¹⁰⁶

En förutsättning för att den ansvarige ska kunna se till att instruktionerna efterlevs är att denne faktiskt har kontroll och kan lämna instruktioner. Många stora, multinationella molntjänstleverantörer, framförallt de som tillhandahåller publika molntjänster, utnyttjar standardavtal för att förmedla sina tjänster. Det innebär att kunden får svårt att påverka avtalsinnehållet och antingen måste acceptera avtalet fullt ut eller inte använda tjänsten alls. Att avtalen är av typen ”take it or leave it” leder till lägre kostnader för leverantören men gör det svårare för kunden att behålla kontrollen över personuppgifterna.¹⁰⁷ Det kan ifrågasättas om det då verkligen är kunden, i egenskap av personuppgiftsansvarig, som lämnar instruktioner för behandlingen till molntjänstleverantören, och inte tvärtom. Den danska dataskyddsmyndigheten (Datatilsynet) ifrågasatte, vid sin granskning av Odense kommuns användning av Google Apps, om kommunen verkligen givit Google instruktioner för behandlingen.¹⁰⁸ Avtalet mellan parterna föreskrev att personuppgiftsbehandlingen skulle ske i enlighet med Googles integritetspolicy, vilken ensidigt och när som helst kunde ändras av Google.

Den svenska Datainspektionen uppmärksammade i sin tillsyn av Salems kommun att dagens dataskyddslagstiftning är svårförenlig med molntjänster.¹⁰⁹ Inspektionen påpekade att lagstiftningen bygger på att det är den personuppgiftsansvarige som är den starka parten som kan instruera och kontrollera sina biträden, men att verkligheten är en annan när det gäller molntjänster. Datainspektionen förelade Salems kommun att upphöra

103 Se artiklarna 16 i Dataskyddsdirektivet och 29 i GDPR där skyldigheten utvecklas.

104 Datainspektionen, Uppföljning av tillsyn av Salems kommunstyrelse, s. 4.

105 Edvardsson, Kommersiella it-avtal. I: Rättsinformatik – Juridiken i det digitala informationssamhället, Magnusson Sjöberg, C (red.), s. 450.

106 Nissim, GDPR series: practicalities of managing the controller–processor relationship, s. 4.

107 EU-kommissionen, Att frigöra de molnbaserade datortjänsternas potential i Europa, avsnitt 3.4.

108 Datatilsynet, Behandling af følsomme personoplysninger i cloud-løsning.

med personuppgiftsbehandlingen i molntjänsten Google Apps eller åtgärda bristerna i det avtal som kommunen hade tecknat med Google. Avtalet ansågs inte uppfylla kraven på ett giltigt personuppgiftsbiträdesavtal eftersom det saknades föreskrifter om att Google endast fick behandla personuppgifter i enlighet med kommunens instruktioner. Enligt Datainspektionen kunde kommunen därmed inte säkerställa att personuppgifterna inte behandlades för andra ändamål än vad Google, i egenskap av personuppgiftsbiträde, hade anlitats för.¹¹⁰ Förvaltningsrätten i Stockholm fastställde Datainspektionens beslut och påpekade framförallt att det i avtalet även framgick att Google fick använda inhämtad information till att förbättra och utveckla sina egna tjänster.¹¹¹ Det innebar att Google hade möjlighet att självständigt bestämma ändamål med behandlingen vilket inte är förenligt med personuppgiftsregleringen och gick utanför kommunens instruktioner. I sin uppföljning av tillsynen öppnade dock Datainspektionen upp för att personuppgiftsbiträden i viss begränsad omfattning kan få behandla personuppgifter för att utveckla och förbättra sina tjänster om ändamålet och omfattningen är tydligt avgränsade.112 Det är en rimlig hållning som tycks ligga i linje med GDPR. Av artikel 6.4(e) framgår att förekomsten av lämpliga skyddsåtgärder kan beaktas vid bedömningen av om behandling utanför det ursprungliga ändamålet är tillåten. Det kan alltså göra det lättare att få utföra behandling utanför den ansvariges instruktioner.

För att säkerställa att kunden verkligen kan lämna instruktioner skulle användandet av molntjänster behöva föregås av avtalsförhandlingar. Att som leverantör ha individualiserade avtal med olika villkor för varje molntjänstkund är dock inte praktiskt möjligt av ekonomiska och organisatoriska skäl. Särskilt för leverantörer av stora publika molntjänster med miljontals kunder skulle det bli ohållbart att hålla koll på vilka särskilda villkor som gäller i varje enskilt avtal. Det skulle förta mycket av molntjänsternas effektivitet och flexibilitet eftersom tjänsterna bygger på att de är tillgängliga för självbetjäning vid behov och att de kan tillämpa gemensam resursanvändning. Här gör sig konflikten mellan ett starkt integritetsskydd och effektiviteten i den tekniska och ekonomiska utvecklingen påmind. Om molntjänstleverantören skulle behöva avtala unika villkor med varje kund skulle det sätta käppar i hjulet för utvecklingen och användandet av molntjänster. Till följd av det mycket

110 Datainspektionen, Tillsyn av Salems kommunstyrelse, s. 15.

111 Förvaltningsrätten i Stockholm, mål nr. 15410–13, s. 10.

stora praktiska användandet av molntjänster och dess vidsträckta ekonomiska betydelse, skulle ett hämmande av användandet påverka många branscher och i förlängningen hela samhällsekonomin. Om man däremot blundar för att ensidiga standardavtal används riskerar den personuppgiftsansvariges kontroll, och i förlängningen skyddet av de registrerades integritet, att bli illusorisk. Leverantören, i egenskap av personuppgiftsbiträde, har enligt Dataskyddsdirektivet inget ansvar gentemot de registrerade. Om kunden då inte har kontroll och insyn i leverantörens personuppgiftsbehandling kan de registrerades rättigheter inte garanteras och deras personuppgifter kan komma att behandlas på otillåtna sätt. Dessutom kan bristen på kontroll och insyn avskräcka företag från att välja att använda sig av molntjänster.

Motsättningen behöver dock inte bli ett problem, trots att kunden i strikt bemärkelse inte lämnar instruktioner, eftersom kunden väljer molntjänst efter fritt eget beslut. Genom att välja molntjänst kan kunden sägas bestämma ändamålen och medlen med behandlingen. En förutsättning är att det tydligt och öppet framgår vad användandet av molntjänsten innebär så att kunden kan ta ställning till om molntjänsten är förenlig med behandlingens ändamål. Om kunden exempelvis väljer en prenumeration på ett personalhanteringssystem i molnet är all behandling av personuppgifter som syftar till att hantera personal, såsom tidrapportering, schemaläggning och uppgiftsdelegering förenliga med kundens instruktioner. Standardavtal kan utformas så att behandling av personuppgifter enbart sker i linje med den tillhandahållna molntjänstens syften. Leverantören får då inte behandla personuppgifter för andra ändamål än det molntjänsten är avsedd för och som kunden genom att starta prenumerationen kan sägas ha lämnat instruktioner om. Kunden måste också kunna avsluta tjänsten och få behandlingen att upphöra när den inte längre är nödvändig. Det är då kunden, i egenskap av personuppgiftsansvarig, som kan sägas lämna instruktioner till leverantören trots att standardavtal tillämpas.¹¹³ På så vis kan syftet med instruktionerna, det vill säga att den ansvarige ska kunna behålla kontroll och se till att behandlingen uppfyller reglerna, ändå uppnås. Samtidigt kan en balans mellan integritetsskydd och effektivitet åstadkommas. Förutsättningarna är att molntjänstleverantören är öppen och tydlig med molntjänstens

113 Även Artikel 29-gruppen förefaller vara av uppfattningen att kunden genom att välja att ingå molntjänstavtal ska anses ha lämnat instruktioner. Se Artikel 29-gruppen, Yttrande 1/2010 om begreppen registeransvarig och registerförare, s. 26. Något annat synsätt skulle medföra att publika molntjänster i princip vore omöjliga att förena med personuppgiftsregleringen.

syfte och att kunden genomför en noggrann analys av vilken molntjänst som har standardavtal som är förenliga med behandlingens ändamål.

GDPR medför inte några större förändringar när det gäller att avgöra vem som lämnar instruktioner vid tillämpning av standardavtal. Ansvaret för att välja en molntjänst som är förenlig med personuppgiftsbehandlingens ändamål kommer vid införandet av GDPR fortsatt att ligga hos kunden. Däremot kan de uppförandekoder och certifieringar som utvecklas genom GDPR, och som har beskrivits ovan under avsnitt 4.1.2, användas för att visa att en branschspecifik molntjänst är förenlig med lagstiftningen. Kunden kan utifrån det troligtvis lättare avgöra om molntjänstens standardavtal är förenligt med den aktuella behandlingens ändamål innan avtal ingås. Genom att uppmuntra till användningen av sådana intyg kan GDPR därmed bidra till att lindra de svårigheter som standardavtal medför för användandet av molntjänster. Det kan underlätta för parterna att ingå molntjänstavtal.

4.2.2.2 Om biträdet inte efterlever instruktionerna

Enligt Dataskyddsdirektivet är det den personuppgiftsansvarige som bär allt ansvar gentemot den registrerade för att behandlingen av personuppgifter uppfyller de grundläggande kraven i lagstiftningen. Det är därför enbart den personuppgiftsansvarige, och inte biträdet, som kan åläggas skadeståndsskyldighet och andra sanktioner för lagöverträdelser. Personuppgiftsbiträden kan alltså inte bli direkt ansvariga gentemot de registrerade för överträdelser av personuppgiftslagstiftningen. Som tidigare nämnts, under avsnitt 3.4.4, kan dock ansvaret övergå från den personuppgiftsansvarige till biträdet, om biträdet självständigt bestämmer ändamål och medel av väsentlig betydelse för behandlingen. Personuppgiftsbiträdet betraktas då som personuppgiftsansvarig för den behandling som biträdet har bestämt ändamål och medel för.

Ett belysande exempel är SWIFT-fallet som har analyserats av Artikel 29-gruppen.114 Society for Worldwide Interbank Financial Telecommunication (SWIFT) är en global transaktionsmeddelandetjänst som skickar meddelanden om internationella överföringar mellan banker och finansinstitut över hela världen. I meddelandena finns personuppgifter såsom namn på avsändaren och mottagaren av betalningen. Alla meddelanden lagras under en tid på servrar i USA och Belgien. SWIFT

114 Artikel 29-gruppen, Yttrande 10/2006 om behandling av personuppgifter hos SWIFT (Society for Worldwide Interbank Financial Telecommunication).

ansåg själva att de agerade personuppgiftsbiträde åt bankerna och finansinstituten som ville skicka meddelanden genom att förmedla tjänsten. Till följd av terroristattackerna i USA den 11 september 2001 utfärdade amerikanska finansdepartementet förelägganden mot SWIFT om att lämna ut meddelanden för att motverka finansiering av terrorism. SWIFT lämnade ut vissa meddelanden. Den belgiska dataskyddsmyndigheten ansåg att SWIFT var personuppgiftsansvarig och att organisationen genom sitt agerande hade brutit mot belgisk personuppgiftslag, vilken hade implementerats från Dataskyddsdirektivet.¹¹⁵ Artikel 29-gruppen kom i sin analys till samma slutsats.116 Anledningen till att SWIFT ansågs vara personuppgiftsansvarigt var att organisationen självständigt hade bestämt ändamål för den behandling av personuppgifter som utlämnandet till det amerikanska finansdepartementet inneburit.

SWIFT-fallet rörde visserligen inte en molntjänst men visar ändå hur ansvaret kan omfördelas om ett biträde bestämmer ändamålen med behandlingen. Ur molntjänstperspektiv är exempelvis en leverantör av en molnbaserad e-posttjänst personuppgiftsbiträde när den behandlar personuppgifter genom att tillhandahålla e-posttjänsten, men betraktas som personuppgiftsansvarig om den använder personuppgifter som den får tillgång till via e-posttjänsten för riktad marknadsföring.

Viktigt att poängtera är att SWIFT:s otillåtna personuppgiftsbehandling uppdagades först 2006, det vill säga fem år efter att den ägde rum, efter att medier skrivit om händelserna.¹¹⁷ Troligtvis var den långa tiden fram till uppdagandet en följd av brist på insyn och kontroll utifrån. På motsvarande sätt kan det för molntjänster uppstå svårigheter att upptäcka otillåten behandling till följd av kundernas bristande insyn i och kontroll över leverantörernas personuppgiftsbehandling. Även om ansvaret formellt sett kan gå över på biträdet är det troligtvis ofta svårt att upptäcka att otillåten behandling har skett. Förstärkt kontroll över och insyn i leverantörernas personuppgiftsbehandling kan därmed öka sannolikheten för att otillåten behandling upptäcks och att instruktioner efterlevs.

Enligt artikel 28.10 i GDPR framgår det uttryckligen att ett personuppgiftsbiträde som själv bestämmer ändamål och medel för behandlingen ska anses vara

115 Commission de la protection de la vie privee (belgiska dataskyddsmyndigheten), Opinion 37/2006 on the transfer of personal data by the CSLR SWIFT by virtue of UST (OFAC) subpoenas.

116 Artikel 29-gruppen, Yttrande 10/2006 om behandling av personuppgifter hos SWIFT (Society for Worldwide Interbank Financial Telecommunication), s. 12.

personuppgiftsansvarig för den behandlingen. Redan utan den bestämmelsen ökar dock GDPR incitamenten för personuppgiftsbiträden att följa den ansvariges instruktioner och se till att förordningens regler uppfylls. Personuppgiftsbiträden kommer nämligen att kunna hållas direkt ansvariga gentemot de registrerade och åläggas administrativa sanktionsavgifter även utan att betraktas som personuppgiftsansvariga, till skillnad från enligt dagens reglering. Om en molntjänstleverantör, enligt dagens reglering, behandlar personuppgifter felaktigt så att de registrerades integritet kränks är det molntjänstkunden som är ansvarig gentemot de registrerade och riskerar skadeståndsskyldighet. Molntjänstkunden i egenskap av personuppgiftsansvarig är alltså ytterst ersättningsansvarig. Leverantören riskerar endast ersättningsskyldighet gentemot den ansvarige enligt allmänna kontrakts- och skadeståndsrättsliga principer.¹¹⁸ Om parterna har avtalat om det eller om leverantören har varit försumlig kan kunden följaktligen ha regressrätt för skadestånd till följd av leverantörens vållande.

GDPR medför därmed betydelsefulla skillnader gentemot Dataskyddsdirektivet i fråga om ansvar och sanktioner. Av artikel 82.1 följer att varje registrerad som har lidit skada till följd av en överträdelse av GDPR:s regler kan begära ersättning direkt från personuppgiftsbiträdet. En förutsättning för sådant ansvar är att biträdet har åsidosatt förpliktelser som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför den ansvariges instruktioner, enligt artikel 82.2. GDPR inför en rad nya förpliktelser för biträden, såsom skyldigheter att föra register över behandling enligt artikel 30.2, att samarbeta med tillsynsmyndigheten enligt artikel 31, att vidta lämpliga säkerhetsåtgärder enligt artikel 32, att underrätta den ansvarige om personuppgiftsincidenter enligt artikel 33.2 och att i vissa fall utse dataskyddsombud enligt artikel 37. Om de förpliktelser som riktar sig till biträdet inte fullgörs kan alltså biträdet bli direkt ansvarigt gentemot de registrerade.

Personuppgiftsbiträdet kan enligt GDPR, i likhet med den personuppgiftsansvarige, även åläggas administrativa sanktionsavgifter för brott mot förordningens regler. Däremot är den maximala sanktionsavgiften lägre för biträdet än för den ansvarige. Biträdet riskerar administrativa sanktionsavgifter på upp till €10 miljoner eller 2 % av den globala årsomsättningen enligt artikel 83.4, medan den ansvarige riskerar avgifter på upp till det dubbla enligt artikel 83.5. GDPR medför på så sätt en balansering av ansvaret mellan ansvarig och biträde. Förordningen innebär större

möjligheter för den registrerade att kräva ersättning för integritetskränkningar och ger den personuppgiftsansvarige- och biträdet starkare incitament att iaktta dataskyddsreglerna. Det kan vara positivt ur integritetshänseende. För den personuppgiftsansvarige kan det också innebära att man kan undvika ansvar i de fall där biträdet är ensamt ansvarigt för överträdelsen. Däremot innebär omfördelningen av ansvar en stor börda och utökade kostnader för molntjänstleverantörer, i egenskap av personuppgiftsbiträden, vilket kan försämra attraktiviteten med molntjänster. Leverantörernas utökade kostnader kommer troligtvis att läggas över på kunderna vilket gör molntjänsterna mindre kostnadseffektiva. På så sätt bidrar troligtvis förordningen till ett starkare integritetsskydd på bekostnad av molntjänsters kostnadseffektivitet.

4.2.2.3 EU-kommissionens arbete med standardavtal

Eftersom standardavtal som ovan visats kan medföra problem med instruktionsefterlevnad genom att minska kontrollen över och insynen i personuppgiftsbehandlingen, är det önskvärt att enhetliga standardavtalsklausuler som är förenliga med personuppgiftsregleringen utarbetas. Genom GDPR ges EU-kommissionen och tillsynsmyndigheter enligt artikel 28.7–8 en möjlighet att fastställa standardavtalsklausuler för de frågor som enligt artikel 28.3 ska regleras i personuppgiftsbiträdesavtalet. Det skapar förutsättningar för att standardavtalsklausuler i molntjänstavtal blir mer enhetliga och lättare att förena med förordningens regler så att den ansvarige får ökad kontroll över och insyn i personuppgiftsbehandlingen. Det kan i sin tur främja instruktionsefterlevnad.

EU-kommissionen har redan under Dataskyddsdirektivet arbetat med avtalsvillkor för molntjänster. Under 2013 beslutade kommissionen att tillsätta en expertgrupp för avtal om molntjänster som ett led i visionen att frigöra molntjänsternas potential i EU.¹¹⁹ Expertgruppens uppgifter var att finna lösningar på problem som hindrar molntjänsters potential från att komma till full användning, genom att utarbeta förslag på hur avtalsvillkor kan bli mer säkra och rättvisa. Gruppen fokuserade alltså inte enbart på personuppgiftsbehandling, men det utgjorde ett viktigt fokusområde.120

119 EU-kommissionen, Beslut av den 18 juni 2013 om inrättande av en expertgrupp för avtal om molnbaserade datortjänster. Se även EU-kommissionens strategi ”Att frigöra de molnbaserade datortjänsternas potential i Europa”.

120 EU-kommissionen, Beslut av den 18 juni 2013 om inrättande av en expertgrupp för avtal om molnbaserade datortjänster, ingresspunkt 2 och 4.

Bakgrunden till tillsättandet av gruppen var att molntjänstleverantörer uttryckt bekymmer över att gällande regelverk är så komplext och osäkert att det försvårar användandet av molntjänster. Samtidigt upplevde kunder att avtalen ofta är svårtillgängliga, oförmånliga och ensidigt formulerade så att de i realiteten inte kunde lämna instruktioner.¹²¹ Tanken var att underlätta för parterna att ingå molntjänstavtal och i så stor mån som möjligt göra avtalen förenliga med personuppgiftsregleringen.¹²² Expertgruppen har avgett många yttranden om hur man ser på olika frågor som bör regleras i molntjänstavtal. Expertgruppens arbete sträckte sig dock enbart fram till 1 juli 2016 enligt artikel 7 i beslutet och gruppens senast publicerade yttrande är från december 2014. EU-kommissionen har inte heller beslutat om förlängning av gruppens arbete. Det innebär att gruppen inte har tagit hänsyn till de förändringar som GDPR medför.

En viktig skillnad i GDPR jämfört med Dataskyddsdirektivet är att kommissionen och tillsynsmyndigheterna genom bestämmelserna i artikel 28.7–8 ges möjlighet att fastställa standardavtalsklausuler som är bindande för parterna i molntjänstavtal. Expertgruppens yttranden var enbart vägledande rekommendationer. De nya bestämmelserna i GDPR medför alltså bättre förutsättningar för att få igenom förändring när det gäller utformningen av standardavtalsklausuler i personuppgiftsbiträdesavtal. Om kommissionen och tillsynsmyndigheterna utnyttjar möjligheten att fastställa standardavtalsklausuler för personuppgiftsbiträdesavtal kan det lindra de problem som användare upplever som hinder mot att använda molntjänster. Företag, organisationer och myndigheter har angett att osäkerheter kring personuppgiftsbehandling utgör ett av de främsta hindren mot att använda molntjänster.¹²³ Om standardavtalsvillkoren förenklas och förtydligas kan det bidra till att molntjänster används i större utsträckning och att kommissionens vision om att frigöra potentialen i molntjänster uppfylls. Dessutom kan det lindra det ofta ojämna styrkeförhållandet i molntjänster så att kundens kontroll över personuppgiftsbehandlingen ökar. Att kunden har kontroll över och insyn i hur leverantörens behandling går till kan i sin tur främja instruktionsefterlevnad.

121 EU-kommissionen, Beslut av den 18 juni 2013 om inrättande av en expertgrupp för avtal om molnbaserade datortjänster, ingresspunkt 2.

122 EU-kommissionen, Beslut av den 18 juni 2013 om inrättande av en expertgrupp för avtal om molnbaserade datortjänster, ingresspunkt. 4–5.

In document Personuppgifter i molnet Avtalsrelationen mellan personuppgiftsansvarig och -biträde i ljuset av EU:s dataskyddsreform (Page 40-49)