Av det presenterade arbetet kan frågor ställas rörande tjänsten, den första likt integritetskommitténs delbetänkande, är huruvida de personuppgiftsansvariga lärosätena har full insikt och kontroll om hur tjänsten faktiskt fungerar. Trots att underbiträdet har uppdaterat tjänstebeskrivningen, så har inte avtal runt tjänsten reviderats, och inte heller personuppgiftsansvariga eller registrerade informerats utförligt av risker som föreligger. Biträdets uppdatering visar att
307 Ibid. s. 1.
308 Ibid. s. 4.
309 Datainspektionen, Tillsyn enligt dataskyddsförordningen – Umeå universitets behandling av
personuppgifter, dnr. 2019–9432.
76
delar av tjänsten, däribland webbklienten, inte de facto inkluderas i användning- en och att dessa använder Zooms publika molntjänst.310F310F310F311
“The NORDUnet Zoom on-premise solution handles all regular video traffic re- lating to the use of Zoom via the App’s, clients, H.323, and Zoom rooms. There are, however, a few exceptions like the use of PSTN, the direct web browser ac- cess and specialised connectors like Skype for Business, these gateway functions are not supported on-prem and will use the regular Zoom public cloud gate- ways.”
Motsägelsefullt anger biträdet på den specifika sidan om dataskyddsförordning- en att tjänsten är helt fristående.311F311F311F312
“Zoom public service: Zoom centrally in the US provides a so-called "public" or public service. Zoom from NORDUnet is not part of this public service. NOR- DUnet provides a private Zoom service,”
En av de personuppgiftsansvarige som använder tjänsten, Stockholms universi- tet, anger att 0,85% deltagarna använder webbklienten i dagsläget, och datatra- fik genom webbklienten går via Zooms publika moln i Frankfurt.312F312F312F313 Siffran kan
sättas i relation mot universitetets över 33 000 inskriva studenter, vilket kan innebära upp mot 2 800 studenter använder webbklienten.313F313F313F314 Att säkerställa att
även deras personuppgifter hanteras i första hand på det privata molnet och i andra hand inom EU bör vara stor vikt. Att det föreligger en risk för behand- ling av personuppgifter sker i USA, såsom har skett, har inte tydligt informerats. Hur många av dessa användare som har blivit utsatta för intrång i dess person- liga integritet kan inte med säkerhet kunna fastställas inom ramen för denna studie.
Viktigt att notera är att i samtliga fall där mötessamordnaren inte aktiverat krav på inloggning har dessa lämnat ett samtycke till Zoom Inc, något som inte lagligen, enligt förordningen, kan utkrävas av studenterna.314F314F314F315
Gällande den inbygga säkerheten, privacy by design, i tjänsten så bör påpe- kas att ett arbete hos underbiträdet konstant pågår, där tjänsten kontinuerligt
311 NORDUnet, Zoom, http://nordu.net/content/zoom-0, hämtad 2021-03-06.
312 NORDUnet, NORDUnet Zoom GDPR and Privacy Facts, https://support.nordu.net/hc/en-
us/articles/360012913660-NORDUnet-Zoom-GDPR-and-Privacy-Facts, hämtad 2021-03-06.
313 Stockholms universitet, Säkerhetsinformation om Sunet E-möte,
https://www.su.se/medarbetare/it/it-tj%C3%A4nster/e-m%C3%B6testj%C3%A4nsten- zoom/s%C3%A4kerhetsinformation-om-e-m%C3%B6testj%C3%A4nsten-zoom-1.496157, hämtad 2021-03-06.
314 Stockholms universitet, Universitetet i siffror, https://www.su.se/om-
universitetet/universitetsfakta/universitetet-i-siffror
77
uppdateras.315F315F315F316 Ett sådant arbete bör dock ha innefattat att upptäckta de säker-
hetsbrister som uppdagats. Av det tidigare angivna biträdes- och tjänsteavtalet följer att krav ska ställas på att biträdet hanterar personuppgifter förenligt med förordningen och att tekniska, administrativa och organisatoriska åtgärder kon- tinuerligt ska ske för att skydda personuppgifterna.
En tydligare granskning och eventuell tillsyn bör ske av oberoende part al- ternativt tillsynsmyndighet för att reda ut huruvida brukandet av tjänsten fortfa- rande innebär att tredjelandsöverföringar av personuppgifter och samtyck- eskrav föreligger samt hur många som har blivit utsatta. Förordningen ger till- synsmyndigheten möjligheter att påföra sanktionsavgifter enligt artikel 83 om exempelvis det inbyggda dataskyddet är förbigått eller att tredjelandsöverföring- ar utan rättslig grund sker.316F316F316F317
4.12 Sammanfattning och analys
Dataskyddsförordningen är sedan ikraftträdandet den viktigaste regleringen på dataskyddsområdet och har ett brett tillämpningsområde, både materiellt och territoriellt och innefattar närmast all behandling av personuppgifter med an- knytning till unionen förutom i de fall där behandlingen sker i enbart privat natur. Förordningen är därav tillämplig på personuppgifter som behandlas i Sunet E-möte.
Förordningen är uppbyggd utifrån först och främst två parter, den person- uppgiftsansvarige samt personuppgiftsbiträdet. Biträdet kan i sin tur anlita ett underbiträde. Vid användandet av molntjänster är det som regel biträdet den som tillhandahållet tjänsten samtidigt som ansvaret ligger på kunden av tjäns- ten. I relation till Sunet E-möte är Sunet och NORDUnet biträden och respek- tive lärosäte är personuppgiftsansvariga.
En personuppgift är all form av data som kan kopplas till en fysisk person, och för att behandla personuppgifter på ett lagligt sätt krävs ett tydligt och pre- ciserat ändamål med behandlingen, att behandlingen är nödvändig för att uppnå ändamålet och att det finns en så kallad laglig eller rättslig grund. Att behand- lingen ska vara nödvändig betyder i praktiken att man inte ska kunna uppnå sitt ändamål på ett annat sätt. För att överföra och behandla personuppgifter inom unionen krävs normalt inga extra åtgärder, då dataskyddslagstiftningen är har- moniserad på området. Länder utom unionen betraktas som tredjeländer, hit kan överföring endast ske på grundval av särskilda mekanismer som stadgas i
316 Se exempelvis, Stockholms universitet, Inget tvingande väntrum i Zoom just nu,
https://www.su.se/medarbetare/it/it-nyheter/inget-tvingande-v%C3%A4ntrum-i-zoom-just-nu- 1.518731, hämtad 2021-03-06.
317 Se exempelvis artikel 83.2. d, artikel 83.4 a samt artikel 83.5 c GDPR för bestämmelser om
78
kapitel V i förordningen. En sådan mekanism är där kommissionen har beslutat om att landet erhåller en adekvat skyddsnivå gällande skyddet av den personliga integriteten som är väsentligen densamma som inom unionen. Ett sådant beslut var Privacy Shield-regelverket med USA, där amerikanska företag kunde ansluta sig genom självcertifiering. Efter att Schrems II domen ogiltigförklarade hela beslutet, delvis på grund av den stora övervakningslagstiftning som finns i lan- det, begränsades möjligheterna att överföra uppgifter till USA. Överföringar som tidigare var möjliga enligt förordningen var därav tvungna att omgående upphöra i de fall att överföringen inte kunde grundas på andra mekanismer. Då incidenter och analyser gjorts i det tidigare avsnittet verkar det som att det föreligger risk för att överföringar av personuppgifter fortfarande sker till USA, efter domen, vilket inte är förenligt med förordningen.
Förordningen har även andra former av regelverk som måste beaktas, det rör sig bland annat om informationsskyldighet gentemot de registrerade och inbyggt dataskydd. Inbyggt dataskydd, eller privacy by design innebär att per- sonuppgiftsansvarig kontinuerligt måste testa systemet och säkerställa att det i alla tänkbara skeenden uppfyller förordningens krav. Det innebär exempelvis att särskilda säkerhetsinställningar ska vara ifyllda som standard och att tekniska åtgärder ska vidtas i proportion mot behandlingens art. Mot detta kan konstate- ras att det finns frågetecken huruvida samtliga säkerhetsinställningar är utfor- made från ett dataskyddsperspektiv och om ansvariga gjort vad som krävs för att uppfylla förordningen. Integritetsskyddskommitten och Integritetsskydds- myndigheten har gjort uttalanden och granskningar som påvisar den svåra upp- giften att i alla lägen säkerställa att förordningen följs ju mer komplext tjänsten är. Slutsatsen kan dras att så är även fallet när webbklienten används.
79