Personuppgifter i molnet Avtalsrelationen mellan personuppgiftsansvarig och -biträde i ljuset av EU:s dataskyddsreform

Juridiska institutionen Vårterminen 2017

Examensarbete i EU-rätt, särskilt personuppgiftsrätt 30 högskolepoäng

Personuppgifter i molnet

Avtalsrelationen mellan personuppgiftsansvarig och -biträde i ljuset av EU:s dataskyddsreform

Personal Data in the Cloud

The Contractual Relationship between Controller and Processor in the Light of the European Data Protection Reform

Författare: Markus Rylander

Handledare: Johanna Chamberlain

1

2

Innehållsförteckning

Förkortningar ... 4

1 Inledning ... 6

1.1 Personuppgifter i molntjänster ... 6

1.2 Syfte och frågeställning ... 8

1.3 Avgränsning ... 8

1.4 Metod och material ... 9

1.5 Disposition ... 11

2 Vad är molntjänster? ... 12

2.1 Definition av molntjänster ... 12

2.2 Karaktäristiska aspekter ... 13

2.3 Molntjänstmodeller ... 14

2.4 Leveransmodeller ... 16

2.5 Parter ... 18

2.6 Utmaningar med personuppgiftsbehandling i molntjänster ... 19

3 Personuppgiftsregleringen i EU ... 21

3.1 Nuvarande lagstiftning och dess syften ... 21

3.2 Varför har man antagit en ny förordning? ... 21

3.3 Regleringens uppbyggnad ... 23

3.4 Regleringens terminologi ... 24

3.4.1 Allmänt ... 24

3.4.2 Personuppgifter ... 24

3.4.3 Behandling av personuppgifter ... 27

3.4.4 Personuppgiftsansvarig och personuppgiftsbiträde ... 28

3.5 Grundläggande krav på personuppgiftsbehandlingen ... 30

3.5.1 Grundläggande principer... 30

3.5.2 Grunder för tillåten behandling ... 31

4 Avtalsrelationen mellan personuppgiftsansvarig och -biträde ... 33

4.1 Garantier från personuppgiftsbiträdet ... 33

4.1.1 Garantier om regelefterlevnad ... 33

4.1.2 Uppförandekoder och certifieringar som garantier ... 34

4.2 Personuppgiftsbiträdesavtalets innehåll ... 38

4.2.1 Avtalets syften och krav... 38

4.2.2 Instruktionsefterlevnad (punkt a)... 39

3

4.2.3 Konfidentialitet och tystnadsplikt (punkt b) ... 48

4.2.4 Säkerhetsåtgärder (punkt c) ... 49

4.2.5 Anlitande av underbiträden (punkt d) ... 53

4.2.6 Hjälp avseende den registrerades rättigheter (punkt e) ... 56

4.2.7 Hjälp avseende säkerhetsåtgärder, personuppgiftsincidenter och konsekvensbedömningar (punkt f) ... 58

4.2.8 Åtgärder vid avtalets upphörande (punkt g) ... 59

4.2.9 Information och inspektion (punkt h)... 60

5 Slutsatser och avslutande synpunkter ... 64

Källförteckning ... 68

4

Förkortningar

Artikel 29-gruppen Artikel 29-arbetsgruppen för skydd av personuppgifter, etablerad med stöd av artikel 29 i direktiv 95/46/EG CISPE Cloud Infrastructure Service Providers in Europe

Dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

EKMR Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna

ENISA Europeiska unionens byrå för nät- och

informationssäkerhet

Expertgruppen EU-kommissionens expertgrupp för avtal om molnbaserade datortjänster

FEUF Fördraget om europeiska unionens funktionssätt

FRA European Union Agency for Fundamental Rights

GDPR Europaparlamentets och rådets förordning 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG

IaaS Infrastructure as a Service

ISO Internationella standardiseringsorganisationen

ISO 27018 ISO/IEC 27018:2014 Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

JO Justitieombudsmannen

NIST National Institute of Standards and Technology

PaaS Platform as a Service

PuL Personuppgiftslag (1998:204)

SaaS Software as a Service

SAS 70 Statement on Auditing Standards No. 70

SSAE 16 Statement on Standards for Attestation Engagements No. 16

SPI-modellen Software-Platform-Infrastructure-model (här ingår SaaS, PaaS och IaaS)

SWIFT Society for Worldwide Interbank Financial

Telecommunication

Övriga ord och begrepp som behöver klargöras förklaras löpande i texten.

5

6

1 Inledning

1.1 Personuppgifter i molntjänster

Molntjänster kan förenklat beskrivas som IT-funktioner som tillhandahålls över internet.

Från att företag har behövt köpa in, installera och underhålla egen, ofta dyr, IT-utrustning och programvara kan nu denna kapacitet erhållas genom prenumerationstjänster via internet. Det innebär stor flexibilitet eftersom molntjänsterna snabbt kan anpassas efter större belastning och nya uppgifter. Molntjänster underlättar för många verksamheter och blir därför en allt viktigare form av IT-tjänster. Enligt en studie som EU-kommissionen har låtit ta fram förväntades värdet av den europeiska molntjänstmarknaden vara €9,5 miljarder år 2013 och växa till €44,8 miljarder år 2020.¹ Den globala marknaden för molntjänster har förutspåtts växa till över $240 miljarder år 2020.² EU-kommissionen har erkänt molntjänstmarknadens stora vikt och antog 2012 en strategi för att främja användandet av molntjänster inom EU till förmån för den digitala inre marknaden.³ Enligt kommissionen tillför molntjänster många fördelar och kan leda till stora kostnadsbesparingar, investeringar och fler jobb. Strategin syftar därför till att underlätta användandet av molntjänster så att de används i större utsträckning.

Att använda molntjänster är dock inte helt oproblematiskt ur juridisk synvinkel.

Ett av de främsta problemen är hur personuppgifter ska hanteras. Om ett företag exempelvis har ett internt löneadministrationssystem där uppgifter om personalen finns registrerade, är företaget ansvarigt för att behandlingen av personuppgifterna sker på ett korrekt och säkert sätt. Om företaget vill övergå till att använda sig av ett molnbaserat löneadministrationssystem för att dra ned på sina kostnader, lämnas hanteringen av systemet över till en molntjänstleverantör. För att kunna hantera systemet för förtagets räkning får leverantören då tillgång till och behandlar personuppgifterna om den registrerade personalen, vilket kan föranleda problem. En grundtanke med molntjänster är att kunden genom att lämna över hantering av IT-funktioner ska kunna uppnå större effektivitet och flexibilitet samt kostnadsbesparingar. En följd blir då att kundens kontroll

1 International Data Corporation (IDC), Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake och uppföljningsrapporten Uptake of Cloud in Europe – Follow-up of IDC Study on Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake.

2 Ried m. fl., Sizing the cloud: Understanding and quantifying the future of cloud computing.

3 EU-kommissionen, Att frigöra de molnbaserade datortjänsternas potential i Europa.

7

över och insyn i behandlingen minskar. Personuppgiftsregleringen i EU förutsätter däremot att den som är ansvarig för personuppgifterna har kontroll över behandlingen.

Denna motsättning gör att molntjänster i viss mån är svårförenliga med reglerna om personuppgifter. En rapport från Europeiska unionens byrå för nät- och informationssäkerhet (ENISA) visar även att företag, myndigheter och organisationer upplever att personuppgifts- och integritetsrisker utgör några av de främsta hindren mot att använda molntjänster.⁴

De huvudsakliga regler som molntjänstkunder och -leverantörer i Sverige har att anpassa sig efter finns i personuppgiftslag (1998:204) (PuL). PuL är Sveriges implementering av Dataskyddsdirektivet.⁵ Från och med den 25 maj 2018 ersätts Dataskyddsdirektivet, och därmed även PuL, av EU:s nya allmänna dataskyddsförordning (GDPR).⁶ GDPR kommer att medföra viktiga förändringar inom alla verksamheter där personuppgifter hanteras, inte minst för molntjänster. Förordningen medför bland annat strängare krav på hur personuppgifter ska behandlas och kraftigare sanktioner för när reglerna inte efterlevs. Vare sig nuvarande direktiv eller kommande förordning har dock särskilda regler för molntjänster och är inte anpassade efter molntjänsters komplexa struktur.

En aspekt som karaktäriserar behandling av personuppgifter i molntjänster är att det alltid är flera parter inblandade i behandlingen. Det finns alltid åtminstone en kund som oftast är personuppgiftsansvarig och en leverantör som oftast är personuppgiftsbiträde. Eftersom dessa parter intar huvudrollerna i molntjänstavtalet är relationen mellan dem i centrum när det gäller personuppgiftsbehandling i molntjänster.

För att reglera personuppgiftsansvaret mellan personuppgiftsansvarig och -biträde och sätta ramar för parternas agerande uppställs krav i både Dataskyddsdirektivet och GDPR på att ett skriftligt personuppgiftsbiträdesavtal upprättas. Innehållet i avtalet är därför viktigt och kan få stor påverkan på parternas avtalsrelation och användandet av

4 ENISA, An SME perspective on cloud computing – Survey, s. 15.

5 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

6 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG. I EU:s dataskyddsreform ingår även ett nytt direktiv om personuppgiftsbehandling som utförs av brottsbekämpande verksamheter, Europaparlamentets och rådets direktiv 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Detta direktiv kommer inte att behandlas inom ramen för uppsatsen.

8

molntjänster. Av betydelse för avtalsrelationen är även kravet på att den ansvarige ska se till att biträdet ställer tillräckliga garantier att förordningens regler uppfylls innan denne lämnar över personuppgiftsbehandling till biträdet. Hur GDPR kommer att påverka avtalsrelationen mellan parterna är i fokus för denna uppsats.

1.2 Syfte och frågeställning

Syftet med denna uppsats är att identifiera och analysera de förändringar som GDPR medför för avtalsrelationen mellan molntjänstkund och -leverantör, i egenskap av personuppgiftsansvarig respektive personuppgiftsbiträde, och vad förändringarna får för konsekvenser för molntjänster. I uppsatsen utreds de krav som ställs på avtalsrelationen enligt GDPR, i förhållande till Dataskyddsdirektivet. Fokus ligger huvudsakligen på innehållet i det personuppgiftsbiträdesavtal som ska upprättas mellan parterna för att reglera personuppgiftsbehandlingen, men även garantier från biträdet som krävs för att ingå avtalet behandlas. Ett övergripande tema som genomsyrar uppsatsen är motsättningen mellan molntjänsternas fokus på effektivitet och personuppgiftsregleringens krav på kontroll och insyn. Den huvudsakliga fråga uppsatsen syftar till att besvara är således:

Vilka förändringar medför GDPR för avtalsrelationen mellan molntjänstkund och -leverantör, och vad får förändringarna för konsekvenser för molntjänster?

1.3 Avgränsning

Avtalsrelationen mellan parterna kan även påverkas av andra aspekter av GDPR utöver personuppgiftsbiträdesavtalet. Dessa aspekter berörs endast i den mån de har koppling till avtalet. Inom den aktuella avtalsrelationen ryms också en rad andra juridiska problemområden förutom personuppgiftsfrågor, såsom lagval och jurisdiktion, offentlighet och sekretess samt immaterialrättsliga och arbetsrättsliga frågor. Sådana frågor behandlas inte i uppsatsen. Ett område som i viss utsträckning diskuteras är rättsliga frågor rörande informationssäkerhet. Anledningen är att informationssäkerhet har stark koppling till skyddet av personuppgifter genom att det ställs rättsliga krav på säkerhet vid personuppgiftsbehandling. Dessutom utgör informationssäkerhetsfrågor en

9

viktig del av personuppgiftsbiträdesavtalet mellan den personuppgiftsansvarige och -biträdet.

Syftet avgränsas också till att enbart omfatta företag och organisationer, samt i viss mån myndigheter, som molntjänstkunder. Anledningen är att de oftare än privatpersoner är ansvariga för uppgifter om registrerade personer och därmed är mer intressanta för avtalsrelationen mellan den personuppgiftsansvarige och -biträdet. Privatpersoners användning av molntjänster behandlas därför inte.

Ett område som är av stor betydelse för molntjänster, men som inte behandlas i denna uppsats, är frågor om överföring av personuppgifter till tredje land. Anledningen till att dessa frågor inte berörs är att överföring till tredje land inte regleras genom personuppgiftsbiträdesavtalet. Frågorna är också omfattande och komplexa vilket gör att de inte lämpligen bör behandlas i förbigående.

Framställningen utgår från de huvudsakliga EU-rättsliga regelverken till skydd för personuppgifter. Det innebär att hänsyn inte tas till annan lagstiftning än den kommande europeiska dataskyddsförordningen, GDPR, och det nu gällande Dataskyddsdirektivet.

Hänsyn tas dock även till nationella myndigheters tolkningar av implementeringar av Dataskyddsdirektivet, såsom PuL i Sverige.

1.4 Metod och material

Eftersom syftet med uppsatsen är att utreda gällande rätt enligt nuvarande reglering i förhållande till kommande förändringar, är metoden i grunden rättsdogmatisk. Den rättsdogmatiska metoden kännetecknas av ett sökande efter gällande rätt genom tolkning och systematisering av rättskällor såsom lagstiftning, rättspraxis, lagförarbeten och juridisk doktrin.⁷ För att kunna analysera innebörden av framtida förändringar genom GDPR måste gällande rätt enligt Dataskyddsdirektivet utredas. En svårighet med metoden som uppstår i den här uppsatsen är att det är omöjligt att med säkerhet fastställa gällande rätt enligt en rättsakt som ännu inte har börjat tillämpas. Av naturliga skäl blir därför viss argumentation kring GDPR spekulativ. Sökandet efter vad som kommer att bli gällande rätt sker dock på samma sätt när det gäller en kommande rättsakt, det vill säga genom tolkning och systematisering av rättskällor. Ställningstagandena kring förändringarna i GDPR bygger på resonemang utifrån de tillgängliga rättskällorna.

7 Kleineman, Rättsdogmatisk metod. I: Juridisk metodlära, Korling, Zamboni (red.), s. 21.

10

Till följd av att skyddet av personuppgifter är ett rättsområde som har en särpräglat EU-rättslig karaktär och det är EU-rättsliga rättsakter som analyseras, används även EU-rättslig metod. Det är dock inte möjligt att enbart hänvisa till en EU-rättslig metod utan många olika överväganden kan spela in. Den EU-rättsliga metoden kan snarare ses som ett tillvägagångssätt att hantera EU-rättsliga källor.⁸ En av de främsta källorna för tolkning av unionsrätten är EU-domstolens avgöranden. Även om det saknas särskilda avgöranden från EU-domstolen rörande molntjänster utgör därför domstolens domar en viktig rättskälla i uppsatsen för tolkning av reglerna om skydd för personuppgifter.

En viktig avvikelse att notera jämfört med en traditionell svensk rättsdogmatisk metod är att lagförarbeten spelar en begränsad roll inom EU-rätten. Istället används så kallad soft law, bestående av icke-bindande dokument som utarbetats av olika EU-organ, som källa för att tolka rättsakter och fastställa deras syften.⁹ En stor del av de rättskällor som används i uppsatsen utgörs av yttranden från Artikel 29-gruppen och nationella dataskyddsmyndigheter, såsom Datainspektionen i Sverige. Artikel 29-gruppen är ett fristående rådgivande organ inom EU som arbetar särskilt med frågor om dataskydd inom unionsrätten. Rättskällevärdet är begränsat men ger en tydlig fingervisning om hur EU-rätten ska tolkas och bidrar till enhetlig tillämpning. Artikel 29-gruppens yttranden stämmer ofta väl överens med hur EU:s institutioner ser på EU-rätten och är i sammanhanget en lämplig sakkunnig källa.

En annan viktig rättskälla som ersätter lagförarbeten och bör beaktas noga är den ingress, även kallad preambel, som finns i början av varje förordning och direktiv.¹⁰ I ingressen anges i punktform en kortfattad förklaring av rättsaktens syften och vilka överväganden som har tagits i beaktande inför dess antagande. Ingressen är inte bindande men kan ändå bidra med viktiga tolkningsdata genom att fastställa syftet med en viss reglering. Man kan säga att ingressens funktion påminner om den som lagförarbeten fyller i svensk rätt.¹¹ För att tolka vissa bestämmelsers syften har därför rättsakternas ingresser använts i uppsatsen.

Rättsområdet som behandlar skyddet av personuppgifter befinner sig i gränslandet mellan civilrätt och offentlig rätt. Å ena sidan bygger en stor del av skyddet på att de parter som är inblandade i behandling av personuppgifter avtalar om hur behandlingen

8 Reichel, EU-rättslig metod. I: Juridisk metodlära, Korling, Zamboni (red.), s. 109.

9 A.a. s. 127.

10 Bernitz m. fl., Finna rätt – Juristens källmaterial och arbetsmetoder, s. 73.

11 A.st.

11

ska gå till. Å andra sidan är skyddet till stor del detaljreglerat och den som behandlar personuppgifter felaktigt riskerar förelägganden och andra sanktioner. I den här uppsatsen ligger fokus på avtalsrelationen mellan den personuppgiftsansvarige och dennes personuppgiftsbiträde vid användning av molntjänster. GDPR upprätthåller den civilrättsliga konstruktion som gäller enligt Dataskyddsdirektivet, där avtal mellan de inblandade parterna spelar stor roll. Däremot medför införandet av GDPR att det ställs fler krav i lag på avtalet mellan den personuppgiftsansvarige och -biträdet. Dessutom förenas brott mot reglerna med nya strikta ansvars- och sanktionsbestämmelser. Genom att fokusera på avtalet, men samtidigt ta upp de offentligrättsliga aspekter som påverkar avtalsrelationen, har uppsatsen en civilrättslig grund med offentligrättsliga inslag.

1.5 Disposition

Uppsatsen fokuserar på hur de förändringar som GDPR medför påverkar avtalsrelationen mellan kund och leverantör i molntjänstavtal. I kapitel 2 redogörs därför inledningsvis för vad molntjänster är samt vilka juridiska problem som kan uppstå med avseende på skyddet av personuppgifter till följd av hur molntjänster är uppbyggda och fungerar.

Syftet med kapitlet är att ge läsaren den tekniska bakgrundsinformation som behövs för att förstå vilka juridiska problem som användandet av molntjänster kan innebära för skyddet av personuppgifter. I kapitel 3 behandlas därefter personuppgiftsregleringen i EU. Kapitlet innehåller både en redogörelse för nuvarande lagstiftning och en framåtblick mot kommande ändringar genom GDPR, med intentionen att förklara personuppgiftsregleringens syften och terminologi. Kapitlet leder fram till uppsatsens huvudsakliga fokus, nämligen kapitel 4 om avtalsrelationen mellan personuppgiftsansvarig och -biträde. Fokus ligger framförallt på innehållet i personuppgiftsbiträdesavtalet, men även garantier från biträdet behandlas. I kapitlet jämförs de krav som ställs på avtalsrelationen enligt GDPR med kraven enligt Dataskyddsdirektivet. Utgångspunkten är de krav som ställs i GDPR eftersom de är mer omfattande och kommer att börja gälla inom kort. Kraven på innehållet i avtalet behandlas punkt för punkt och jämförelser med Dataskyddsdirektivet görs löpande. I kapitel 5 dras avslutningsvis slutsatser om hur GDPR sammantaget kommer att påverka avtalsrelationen mellan kund och leverantör i en molntjänstaffär och hur framtiden ser ut för molntjänstindustrin i stort.

12

2 Vad är molntjänster?

2.1 Definition av molntjänster

Molntjänster kan kort beskrivas som IT som tillhandahålls över internet från externa servrar bestående i exempelvis programvara, datalagring och processorkraft. System och funktioner som tidigare skötts internt på företags egna datorer kan genom molntjänster flyttas till andra platser. Molntjänster kan därför beskrivas som en outsourcing av IT¹² eller som ”IT på kran”¹³. Det gör exempelvis att företag kan minska sina kostnader för IT genom att slippa köpa in och uppdatera dyr utrustning och genom att enbart betala för den kapacitet företaget behöver. Ett typexempel som nämndes i det inledande avsnittet 1.1 är att ett företag betalar för att ett annat företag via molnet ska sköta löneadministration.

Det saknas legaldefinitioner och universella definitioner av vad molntjänster är, men det har skett vissa försök att närmare precisera innebörden av begreppet. Den definition som mött störst acceptans är den som har tagits fram av National Institute of Standards and Technology (NIST) i USA.¹⁴ Enligt NIST:s sammanfattande definition är en molntjänst en modell för att ”vid behov möjliggöra allmänt tillgänglig och behändig nätverksaccess till en delad och gemensam mängd av konfigurerbara datorresurser (exempelvis nätverk, servrar, datalagring, datorprogram och tjänster) som snabbt kan göras tillgängliga och frigöras med minimal insats och utan direkt interaktion med molntjänstleverantören”.¹⁵

Inom EU-rätten saknas tydliga definitioner av vad molntjänster är. Inga EU-institutioner eller organ har definierat begreppet lika utförligt som NIST.

Artikel 29-gruppen, som är ett oberoende rådgivande EU-organ i frågor om dataskydd och integritet, har dock avgett ett yttrande om molntjänsters förenlighet med unionsrättens regler om dataskydd.¹⁶ Gruppen beskriver i yttrandet molntjänster som tekniker och tjänstemodeller som är inriktade på internetbaserad användning och leverans av IT-applikationer, behandlingskapacitet, lagrings- och minnesutrymme.¹⁷ I yttrandet

12 Hellström, På molnfronten intet nytt? Vissa rättsliga aspekter på molntjänster, s. 40.

13 Edvardsson, Frydlinger, Molntjänster: juridik, affär och säkerhet, s. 24.

14 A.a. s. 21. Se Mell, Grance, The NIST definition of cloud computing.

15 Mell, Grance, The NIST definition of cloud computing, s. 2 (översättning till svenska av Edvardsson, Frydlinger, Molntjänster: juridik, affär och säkerhet, s. 22).

16 Artikel 29-gruppen, Yttrande 5/2012 om datormoln (cloud computing).

17 A.a. s. 4.

13

hänvisar Artikel 29-gruppen till NIST:s mer genomarbetade definition.¹⁸ Även ENISA anger att de i huvudsak utgår från NIST:s definition av begreppet.¹⁹ Trots att NIST:s definition inte formellt sett har antagits av EU verkar man alltså i stor utsträckning ha inspirerats av den och använda den i praktiken. Den fortsatta framställningen utgår därför från NIST:s definition.

Det är viktigt att veta hur molntjänster är uppbyggda och fungerar för att förstå vad de kan föranleda för juridiska frågor angående rollfördelningen mellan personuppgiftsansvariga och -biträden. NIST:s definition är uppdelad i fem karaktäristiska aspekter hos molntjänster, tre molntjänstmodeller och fyra leveransmodeller. Dessa aspekterna förklaras närmare nedan.

2.2 Karaktäristiska aspekter

Som ovan nämnts pekar NIST-definitionen ut fem aspekter som är karaktäristiska för molntjänster. Molntjänster är:

- tillgängliga vid behov genom självbetjäning, - har bred tillgänglighet,

- gemensam resursanvändning, - snabb skalbarhet efter behov och - mätbar användning.²⁰

Att molntjänster är tillgängliga vid behov genom självbetjäning innebär att molntjänstkunden själv kan starta och avsluta de IT-resurser kundens verksamhet behöver genom ett internetgränssnitt, utan att behöva ta kontakt med en fysisk säljare.²¹ Det medför en möjlighet för kunden till stor flexibilitet att avgöra exakt vilka resurser som behövs och när de behövs. En nackdel är att bristen på kontakt med molntjänstleverantören innebär att det är svårt att påverka innehållet i molntjänsteavtalet, som oftast utgörs av leverantörens standardkontrakt.²² Det kan föranleda flera juridiska problem avseende rollfördelningen mellan personuppgiftsansvariga och personuppgiftsbiträden som behandlas utförligare senare i uppsatsen.

18 Artikel 29-gruppen, Yttrande 5/2012 om datormoln (cloud computing), s. 25 ff.

19 ENISA, Security & Resilience in Governmental Clouds – Making an informed decision, s. 46.

20 Mell, Grance, The NIST definition of cloud computing, s. 2.

21 A.st.

22 Edvardsson, Frydlinger, Molntjänster: juridik, affär och säkerhet, s. 23.

14

Att molntjänster har bred tillgänglighet innebär att de kan nås från alla olika typer av internetuppkopplade enheter såsom datorer, mobiltelefoner och surfplattor, samt att tillgängligheten är oberoende av var man befinner sig geografiskt.²³

Att molntjänster utnyttjar gemensam resursanvändning betyder att dess kunder delar på kapaciteten och att exempelvis servrar allokeras dynamiskt utifrån behov.²⁴ Kunderna saknar vetskap om och kontroll över exakt varifrån IT-resurserna kommer. Det innebär att en molntjänstkund kan ha svårt att avgöra hur, var och av vem deras data innehållande personuppgifter behandlas.²⁵ Att kunderna saknar vetskap och kontroll kan innebära flera juridiska problem vid behandling av personuppgifter, såsom svårigheter att kontrollera instruktionsefterlevnad och att tillräckliga säkerhetsåtgärder vidtas.

Att molntjänster har snabb skalbarhet efter behov innebär att molntjänsten automatiskt anpassar sig efter kundens behov.²⁶ Om en kund exempelvis laddar upp en stor fil för lagring anpassar sig systemet direkt så att filen får plats. Om ett företag istället har egna servrar måste det beräkna sitt behov i förväg.

Att molntjänster har mätbar användning innebär att kundens faktiska förbrukning kan mätas och att kunden enbart behöver betala för vad den använt. Hur mycket som förbrukats är synligt för både kunden och leverantören.²⁷

Sammanfattningsvis handlar alltså de juridiska problem avseende behandling av personuppgifter som uppstår till följd av molntjänsters karaktäristik främst om att tjänsterna tillhandahålls vid behov via självbetjäning och att de utnyttjar gemensam och flexibel resursanvändning. Dessa karaktäristiska aspekter leder till att kunder får minskad kontroll över och insyn i behandlingen av personuppgifterna.

2.3 Molntjänstmodeller

NIST-modellen delar upp molntjänster i tre olika tjänstemodeller utifrån vad det är som tillhandahålls genom molntjänsten. Den uppdelning som NIST gör bygger på den så kallade SPI-modellen där uppdelningen beror på om det är mjukvara (software), plattformar eller infrastruktur som tillhandahålls.²⁸ Även inom EU gör man denna

23 Mell, Grance, The NIST definition of cloud computing, s. 2.

24 A.st.

25 Se Datainspektionen, Tillsyn av Salems kommunstyrelse, s. 16.

26 Mell, Grance, The NIST definition of cloud computing, s. 2.

27 A.st.

28 Savu, Cloud computing – deployment models, delivery models, risks and research challenges, s. 2.

15

distinktion.²⁹ De tre olika tjänstemodellerna som ingår i SPI-modellen beskrivs närmare nedan.

Software as a Service (SaaS) är när leverantören tillhandahåller kunden datorprogram eller andra applikationstjänster via datormoln. Kunden får enbart tillgång till mjukvara eller tjänster och kan inte kontrollera den bakomliggande strukturen.³⁰ Man kan se det som att kunden hyr digital programvara som kan ersätta traditionell programvara som installerats på varje enhet. Några vanligt använda SaaS är Office 365, Gmail och Dropbox. Företag använder ofta SaaS-tjänster för att underlätta olika funktioner inom företaget såsom personalhantering, e-post, bokföring och dokumenthantering. SaaS-tjänster är även vanliga bland privatpersoner.

Platform as a Service (PaaS) är när leverantören tillhandahåller kunden en utvecklingsplattform där kunden själv kan utveckla och hantera applikationer. Utöver själva plattformen brukar kunden även erbjudas verktyg, programmeringsspråk och tjänster för att designa och testa sina applikationer.³¹ Två framstående exempel på PaaS är Microsoft Azure och Google App Engine. PaaS-tjänster kan exempelvis användas av företag som vill utveckla programvara att sälja vidare eller använda internt, men som inte har resurser att själva utveckla alla verktyg som behövs. Den digitala brevlådetjänsten Brevo är ett exempel där ett företag använder sig av PaaS-tjänsten Microsoft Azure för att tillhandahålla sin tjänst.³²

Infrastructure as a Service (IaaS) är när leverantören tillhandahåller kunden grundläggande datorkapacitet såsom lagring och processorkraft via virtuella system.

Kunden tillhandahålls en IT-infrastruktur med samma funktioner som att ha egna fysiska servrar och nätverk.³³ Utifrån infrastrukturen kan kunden sedan bygga upp sina egna nätverk, system och program. Några stora leverantörer av IaaS är Amazon Web Services och Rackspace. IaaS-tjänster kan exempelvis användas av företag som tillhandahåller videoströmningstjänster och som vill utveckla sitt system från grunden men som behöver hjälp med att lagra stora mängder data.

Molntjänstmodellerna IaaS och PaaS används, som framgått ovan, ofta av företag som vill skapa och tillhandahålla applikationer och andra program som SaaS. Det innebär

29 Artikel 29-gruppen, Yttrande 5/2012 om datormoln (cloud computing), s. 25 ff.

30 Mell, Grance, The NIST definition of cloud computing, s. 2.

31 Edvardsson, Frydlinger, Molntjänster: juridik, affär och säkerhet, s. 26.

32 Datainspektionen, Tillsyn av Brevo AB, s. 2.

33 Edvardsson, Frydlinger, Molntjänster: juridik, affär och säkerhet, s. 25 f.

16

att molntjänstleverantörer ofta är kunder till andra molntjänstleverantörer. Dessutom kan leverantörer, för att kunna tillhandahålla sin tjänst eller av effektivitetsskäl, utnyttja underleverantörer i flera led. Ett exempel är videoströmningstjänsten Netflix som tillhandahåller sin SaaS-tjänst med hjälp av Amazon Web Services IaaS-tjänst.³⁴ Amazon Web Services utnyttjar i sin tur ett flertal underleverantörer för att kunna tillhandahålla sina IaaS-tjänster.³⁵ Det innebär att komplicerade partsförhållanden med många inblandade aktörer kan uppstå vid användande av molntjänster (se figur 1 under avsnitt 2.5), vilket ytterligare komplicerar de juridiska problemen med kontroll och insyn.

2.4 Leveransmodeller

Molntjänster kan också levereras på olika sätt. NIST-modellen identifierar fyra sådana leveransmodeller: publika moln, privata moln, gemenskapsmoln och hybridmoln.

Publika moln är den vanligast förekommande leveransmodellen. Det är när molntjänsten är utformad så att den är öppen att användas av allmänheten över internet och en stor mängd kunder delar på IT-resurserna.³⁶ Publika moln är av det skälet den modell där stordriftsfördelarna är som störst, vilket gör att de är väldigt kostnadseffektiva och skalbara. Som kund vet man inte var ens data lagras eller av vem den behandlas eftersom det sker utifrån var det finns kapacitet. Det innebär att data ena stunden kan behandlas på en plats och i nästa stund i något annat land av en annan aktör. Öppenheten och delandet av resurserna samt flexibiliteten i tillhandahållandet är dock även de publika molnens största nackdelar eftersom det leder till minskad kontroll och insyn för kunden.

För att ingå ett molntjänstavtal för en tjänst som levereras som publikt moln är kunden ofta hänvisad till att acceptera leverantörens standardavtal. Avtalen är alltså av typen

”take it or leave it”, vilket gynnar leverantörens kostnader men är till nackdel för kundernas möjligheter att säkerställa att personuppgifter behandlas säkert så att de registrerades integritet skyddas.³⁷ Möjligheterna att påverka innehållet i standardavtalen är begränsade och kunden kan få svårt att utöva effektiv kontroll över hur och var personuppgifter behandlas i molnet. Dessutom innebär delandet av resurserna att kunden

34 Izrailevsky, Y, Completing the Netflix Cloud Migration.

35 Amazon Web Services, Whitepaper on EU Data Protection, s. 16.

36 Liu m. fl., NIST cloud computing reference architecture, s. 10.

37 EU-kommissionen, Att frigöra de molnbaserade datortjänsternas potential i Europa, avsnitt 3.4.

17

får svårt att kontrollera instruktionsefterlevnad och att lämpliga säkerhetsåtgärder har vidtagits.

Privata moln är när molntjänsten utformas enbart för att ge en specifik kund tillgång till IT-resurserna.³⁸ Till följd av att molnet enbart är tillgängligt för en kund finns det större möjligheter för kunden att ha kontroll över bland annat informationssäkerhet och integritetsfrågor såsom hur och var personuppgifter behandlas. Det är därför en fördel att använda privata moln om den information som ska hanteras är känslig. En annan följd av molntjänstens exklusivitet till en kund är att det troligtvis är lättare för kunden att påverka innehållet i molntjänsteavtalet med leverantören. Det gör att färre integritetsproblem uppstår vid användning av privata moln. Däremot leder exklusiviteten och anpassningen till en specifik kund till att stordriftsfördelarna minskar och priset ökar.

I förhållande till publika moln erbjuder alltså de privata molnen bättre möjligheter till integritetsskydd men till ett högre pris och lägre effektivitet.

Gemenskapsmoln är när molntjänsten är utformad för gemensam användning av flera organisationer som delar ett gemensamt syfte med sin användning eller har liknande krav på molntjänsten.³⁹ Via gemenskapsmoln kan man därför få ett mellanting mellan publika och privata moln.

Hybridmoln innebär att man kombinerar användning av de andra leveransmodellerna för att kunna utnyttja fördelarna med både privata och publika moln.

Exempelvis kan en kund vilja utnyttja privata moln för att hantera känslig information som kräver större säkerhet och integritet, men samtidigt vilja utnyttja skalbarheten och kostnadseffektiviteten i publika moln för mindre känsliga funktioner. De olika molntyperna hålls separata, men integreras genom ett övergripande hybridmoln så att de kan samverka.⁴⁰

Fokus i den fortsatta framställningen kommer huvudsakligen att ligga på publika moln eftersom de är i särklass vanligast förekommande och även leder till flest integritetsproblem avseende behandling av personuppgifter.

38 Liu m. fl., NIST cloud computing reference architecture, s. 10.

39 A.a. s. 11.

40 A.a. s. 12.

18 2.5 Parter

De viktigaste aktörerna i en molntjänstaffär är kunden och leverantören. Kunden är en fysisk eller juridisk person som vill utnyttja en molnbaserad tjänst och för det syftet anlitar en molntjänstleverantör. Leverantören är den som driver molntjänsten och tillhandahåller infrastruktur, plattformar eller mjukvara. Ur personuppgiftsperspektiv är kunden i princip alltid personuppgiftsansvarig och måste se till att reglerna efterlevs medan leverantören är ett personuppgiftsbiträde.⁴¹ Dessa begrepp kommer att förklaras närmare nedan under avsnitt 3.4.4.

Eftersom gemensam resursfördelning och snabb skalbarhet efter behov är karaktäristiska aspekter av molntjänster tillhandahålls de på den plats och av den part där resurserna för tillfället finns.⁴² Det medför att molntjänstleverantören ofta anlitar underleverantörer för att kunna effektivisera tillhandahållandet av tjänsten.

Underleverantörerna ses också som personuppgiftsbiträden eftersom de behandlar personuppgifter för den personuppgiftsansvariges räkning.

Partskonstellationen kompliceras ytterligare av att det ofta förekommer så kallade molnmäklare som exempelvis kombinerar olika molntjänster eller på andra sätt utvecklar dem och sedan säljer tjänsterna vidare till kunden⁴³ Molnmäklaren är på en och samma gång både kund och leverantör och kan i personuppgiftssammanhang därför både inta rollen som personuppgiftsansvarig och -biträde. Utöver nämnda parter kan även andra inta roller i molntjänster såsom internetleverantörer, tillsynsmyndigheter och molnrevisorer (se figur 1 nedan). Exempelvis spelar internetleverantörer en viktig roll genom att tillhandahålla uppkoppling mellan molntjänstkunden och molntjänstleverantören och därigenom möjliggöra tjänsterna.

Nedan illustreras med hjälp av en figur ett exempel på en molntjänststruktur. Av figuren framgår olika tjänster som leverantören kan tillhandahålla inom de olika molntjänstmodellerna (SaaS, PaaS, IaaS), såsom dokumenthantering, utvecklingsplattformar och lagring. Samma leverantör kan förmedla tjänster inom alla modellerna. Microsoft och Google är exempel på sådana leverantörer. Tjänsterna i figuren levereras antingen som publikt moln där både företagskunder och privatkunder kan dela på resurserna, eller som privat moln till en enskild kund. Partskonstellationen

41 Artikel 29-gruppen, Yttrande 5/2012 om datormoln (cloud computing), s. 8.

42 Mell, Grance, The NIST definition of cloud computing, s. 2.

43 Liu m. fl., NIST cloud computing reference architecture, s. 8.

19

kan bli komplicerad för molntjänster. För att tillhandahålla tjänsterna kan leverantören behöva använda sig av flera underleverantörer och molnmäklare kan förekomma som mellanhand gentemot kunderna. Molnrevisorn kan på begäran granska att molntjänsterna exempelvis uppfyller kraven på lämpliga säkerhetsåtgärder. Tillsynsmyndigheten granskar personuppgiftsbehandlingen hos både kunder och leverantörer för att se till att de följer reglerna och kan besluta om sanktioner vid överträdelser.

2.6 Utmaningar med personuppgiftsbehandling i molntjänster

Begreppet molntjänster saknar entydig definition och variationerna mellan olika molntjänster är stora. Tjänsternas strukturer är ofta komplexa och flera olika modeller kan blandas. Gemensamt för alla molntjänster är dock att det alltid är flera parter inblandade i behandlingen av personuppgifter. Ur ett personuppgiftsperspektiv blir relationen mellan

Figur 1: Exempel på molntjänststruktur.

20

kunden och leverantören av molntjänsten särskilt viktig eftersom det framförallt är i avtalsrelationen mellan dessa som hanteringen av personuppgifter regleras.

Relationen är inte oproblematisk. Molntjänster föranleder ett flertal problem som i viss mån är svåra att förena med den nuvarande personuppgiftsregleringen. Problemen beror till stor del på att molntjänstkunden, i egenskap av personuppgiftsansvarig, ofta har begränsad insyn i molntjänstleverantörens personuppgiftsbehandling samt saknar medel för att effektivt utöva kontroll över behandlingen. En ytterligare aspekt som försvårar insyn och kontroll när det gäller molntjänster är att maktförhållandet mellan parterna ofta är ojämnt. I många fall är molntjänstleverantören ett multinationellt företag medan kunden kan vara en liten lokal aktör. Bristen på insyn och kontroll leder bland annat till att ensidiga standardavtal används och att kunden får svårt att kontrollera leverantörens instruktionsefterlevnad och säkerhetsåtgärder samt hur leverantörens underleverantörer behandlar personuppgifterna.

Utmaningen med att reglera personuppgiftsbehandling i molntjänster är att se till att det råder balans mellan molntjänsternas stora effektivitets- och flexibilitetsfördelar och skyddet för enskilda individers personliga integritet. Molntjänsternas fördelar bygger nämligen till stor del på att kunderna slipper ha kontroll över sin data, medan personuppgiftsregleringen i EU kräver bibehållen kontroll till skydd för den personliga integriteten. Grundtankarna med molntjänster respektive personuppgiftsskydd går därför i viss mån stick i stäv med varandra. Trots att molntjänster är en praktisk verklighet, och därtill en ekonomiskt mycket viktig sådan, saknas det regler som är anpassade till tjänsternas komplexa struktur och särskilda problem. För att visa hur molntjänster förhåller sin till skyddet av personuppgifter följer i nästa kapitel en genomgång av personuppgiftsregleringen i EU.

21

3 Personuppgiftsregleringen i EU

3.1 Nuvarande lagstiftning och dess syften

Dataskyddsdirektivet utgör navet i det nuvarande EU-rättsliga regelverket om personuppgifter. Regleringen av personuppgifter är en central fråga inom det EU-rättsliga samarbetet och har två huvudsyften: att skydda EU-medborgarnas personliga integritet och att se till att data kan flöda fritt inom EU:s inre marknad.

Syftet att skydda EU-medborgarnas personliga integritet framgår tydligt i ingresspunkt 2 och 10 i Dataskyddsdirektivet. I ingresspunkterna betonas vikten av att skydda EU-medborgarnas grundläggande rättigheter, särskilt den rätt till privatliv som erkänns i både artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (EKMR) och genom EU:s allmänna rättsprinciper. Grundtanken som framkommer av ingresspunkterna är att skyddet för medborgarnas personliga integritet och privatliv ska vara starkt samtidigt som systemen för databehandling bidrar till samhällets utveckling. I ingresspunkt 4 tillkännages att den tekniska utvecklingen, framförallt på IT-området, har gjort det betydligt enklare att behandla personuppgifter och att utbyta sådana uppgifter. Det gör att behovet av att säkerställa ett tillräckligt skydd för enskildas personliga integritet blir allt större ju längre utvecklingen går.

Dataskyddsdirektivets andra syfte är att data ska kunna flöda fritt inom EU.

Tanken var att skapa förutsättningar för en välfungerande inre marknad med beaktande av den snabba teknik- och samhällsutvecklingen. Den ökade integrationen inom EU anses enligt ingresspunkt 5 också ha lett till ett större behov av att utbyta uppgifter mellan länderna. Skillnaderna mellan medlemsstaternas skyddsnivåer för personuppgifter ansågs dock förhindra ett tillräckligt skydd för personlig integritet och ett fritt flöde av data enligt ingresspunkt 8. Lösningen blev därför att genom Dataskyddsdirektivet försöka harmonisera lagstiftningen på området.

3.2 Varför har man antagit en ny förordning?

Enligt artikel 288 i Fördraget om europeiska unionens funktionssätt (FEUF) är EU-lagstiftning som sker genom direktiv bindande med avseende på det resultat som ska uppnås, men lämnar det upp till medlemsstaterna att välja hur resultatet ska uppnås. Till

22

följd av denna flexibilitet har de nationella implementeringarna av Dataskyddsdirektivet, trots harmoniseringsförsöket⁴⁴, lett till skillnader mellan medlemsstaternas nationella dataskyddslagstiftningar enligt ingresspunkt 7 i GDPR. Den fragmenterade implementeringen och tillämpningen av dataskyddsreglerna beräknas sammantaget skapa en administrativ börda för europeiska företag som kostar närmar €3 miljarder per år.⁴⁵ Ett exempel på fragmenteringen som har framkommit av en rapport från European Union Agency for Fundamental Rights (FRA) är att olika länder har valt olika implementeringsstrategier avseende dataskyddsmyndigheternas roll.⁴⁶ Exempelvis Sverige, Finland och Storbritannien har fokuserat på att dataskyddsmyndigheterna ska ha en förebyggande och vägledande roll, medan länder som Grekland, Lettland och Tjeckien främst har gett myndigheterna i uppgift att kontrollera att reglerna efterlevs och att straffa överträdelser.⁴⁷ Med hänsyn bland annat till denna bristande enhetlighet och till att teknikutvecklingen gjort direktivet föråldrat, beslutade EU att anta en allmän dataskyddsförordning (GDPR) för att åstadkomma fullharmonisering på området.⁴⁸ Förordningar är till skillnad från direktiv bindande i alla delar och direkt tillämpliga i medlemsstaterna enligt artikel 288 i FEUF. Genom förordningen förväntar man sig att bättre kunna uppnå de mål som direktivet uppställde, det vill säga huvudsakligen att skydda EU-medborgarnas personliga integritet och att underlätta flödet av personuppgifter inom EU:s inre marknad.⁴⁹

GDPR kommer att medföra viktiga förändringar inom alla verksamheter där personuppgifter hanteras, inte minst när det gäller molntjänster. Bland annat kommer förordningen att medföra strängare krav på hur personuppgifter ska behandlas och kraftigare sanktioner för när reglerna inte efterlevs.⁵⁰ Avtalsrelationen mellan personuppgiftsansvarig och -biträde kommer också att påverkas genom att nya krav ställs

44 EU-domstolen uttalade i de förenade målen C-468/10 och C-469/10 ASNEF p. 29 att Dataskyddsdirektivet i princip leder till fullständig harmonisering på dataskyddsområdet. Det har visat sig vara en sanning med modifikation.

45 EU-kommissionen, Commission staff working paper – Impact Assessment, s. 11.

46 FRA, Data Protection in the European Union: the role of National Data Protection Authorities – Strengthening the fundamental rights architecture in the EU II.

47 A.a. s. 20.

48 EU-kommissionen, Förslag till Europaparlamentets och Rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning), s. 1 f.

49 A.st.

50 Av artikel 83.5–6 framgår att administrativa sanktionsavgifter på upp till €20 miljoner eller 4 % av den globala årsomsättningen, beroende på vilket som är störst, kan påföras för allvarliga överträdelser. Det kan innebära mångmiljardbelopp för stora multinationella molntjänstleverantörer.

23

på båda parter och på avtalet mellan dem. När det gäller denna relation är det av intresse att det poängteras i ingresspunkt 11 i förordningen att det för ett effektivt skydd av personuppgifter är en förutsättning att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter klargörs.

GDPR medför ett förtydligande av parternas skyldigheter och innebär en ny rollfördelning som kommer att utredas närmare i den följande framställningen. När GDPR börjar tillämpas den 25:e maj 2018 ersätter den Dataskyddsdirektivet och dess nationella implementeringar, såsom PuL i Sverige.⁵¹

3.3 Regleringens uppbyggnad

Dataskyddsdirektivet är uppbyggt enligt en hanteringsmodell. Det innebär att själva hanteringen är reglerad oavsett om denna innebär risker ur integritetssynpunkt eller inte.⁵² All behandling av personuppgifter oavsett art, syfte och omfattning måste därför uppfylla de krav som ställs i lagstiftningen för att behandlingen ska vara tillåten.

Hanteringsmodellen kan ställas i kontrast till en missbruksmodell som skulle innebära att behandling av personuppgifter är tillåten så länge personuppgifterna inte missbrukas på ett sätt som riskerar att kränka den personliga integriteten.⁵³ Det kan ifrågasättas om det är lämpligt att basera personuppgiftsregleringen på en hanteringsmodell eftersom det ställer stora krav på att tillförsäkra regelefterlevnad trots att den mesta personuppgiftsbehandlingen troligtvis är harmlös. Den svenska regeringen ifrågasatte redan vid införandet av PuL om det var lämpligt med en hanteringsmodell och påpekade att en sådan modell framstod som omodern med hänsyn till digitaliseringen och internet.⁵⁴ I PuL infördes missbruksmodellen som ett parallellt system via 5 a § för att underlätta enklare behandling av personuppgifter. Både nuvarande reglering i Dataskyddsdirektivet och kommande i GDPR är dock helt uppbyggda utifrån hanteringsmodellen. Den grundläggande strukturen i GDPR kommer alltså att vara densamma som i Dataskyddsdirektivet.

51 För svensk rätts del har regeringen genom Dataskyddsutredningen lagt fram ett förslag på kompletterande bestämmelser till GDPR genom betänkandet SOU 2017:39. Förslaget innebär bland annat att en ny övergripande lag om dataskydd, kallad dataskyddslagen, införs.

52 Prop. 2005/06:173 s. 12.

53 A.st.

54 Prop. 1997/98:44 s. 36 f.

24 3.4 Regleringens terminologi

3.4.1 Allmänt

Terminologin och betydelserna av begreppen i Dataskyddsdirektivet kommer till stor del att förbli desamma i GDPR. Det förekommer emellertid vissa betydelseförändringar och även flera tillägg av nya begrepp för att svara mot den tekniska utvecklingen. De mest relevanta begreppen för den här uppsatsens syften är personuppgifter, behandling av personuppgifter, personuppgiftsansvarig och personuppgiftsbiträde. Begreppen personuppgiftsansvarig och personuppgiftsbiträde är nya i förhållande till den svenska lydelsen av Dataskyddsdirektivet, där benämningarna är registeransvarig och registerförare. I den engelska lydelsen av direktivet används dock samma begrepp och definition som i den kommande förordningen. Begreppen är inte tänkta att få någon ny betydelse. Begreppet personuppgifter får till följd av teknisk utveckling en något vidgad betydelse i GDPR. Nedan utreds betydelserna av nyckelbegreppen närmare.

3.4.2 Personuppgifter

Personuppgifter är det mest grundläggande begreppet att förstå för att kunna avgöra om och hur man ska följa dataskyddslagstiftningen. Om de uppgifter som behandlas inte utgör personuppgifter behöver förordningens regler nämligen inte följas. Med personuppgifter avses enligt Dataskyddsdirektivet artikel 2(a):

Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.

EU-domstolen har uttalat att namn tillsammans med inkomstuppgifter, telefonnummer, arbetsförhållanden och fritidsintressen utgör klara exempel på personuppgifter.⁵⁵ Om dessa uppgifter exempelvis förekommer i ett löneadministrationssystem utgör de personuppgifter om personalen eftersom uppgifterna möjliggör identifiering av

55 EU-domstolens dom av den 16 december 2008 i mål C-73/07 Tietosuojavaltuutettu p. 35 och EU-domstolens dom av den 6 november 2003 i mål C-101/01 Lindqvist p. 24.

25

personalen. Personalen är i det fallet de registrerade vars integritet lagstiftningen syftar till att skydda.

Definitionen av personuppgifter i GDPR artikel 4.1 är huvudsakligen densamma.

En viktig skillnad för molntjänster är att lokaliseringsuppgifter och onlineidentifikatorer uttryckligen nämns som personuppgifter. Det är därför möjligt att exempelvis IP-adresser, information om anslutningar till trådlösa nätverk, GPS-signaler, sökhistorik och cookies kan utgöra personuppgifter. Dessa uppgifter efterlämnar spår som kan användas för att skapa profiler över användares beteendemönster och identifiera dem, vilket påpekas i ingresspunkt 30 i förordningen. Det kan leda till att exempelvis cookies som används för att hålla användare inloggade på en molntjänst ses som personuppgifter.

Att definitionen omfattar ”varje upplysning” är ett resultat av att lagstiftaren ville ha en så bred definition som möjligt för att kunna vara flexibel och fånga in många olika typer av uppgifter.⁵⁶ EU-domstolen har slagit fast att upplysningar inte behöver avse en persons privatliv för att utgöra personuppgifter utan kan röra en fysisk person i ett professionellt sammanhang.⁵⁷ I princip alla uppgifter som direkt eller indirekt kan identifiera en person utgör alltså personuppgifter. I många fall är det enkelt att avgöra vad som är personuppgifter, som exempelvis när en arbetsgivare har uppgifter om namn, personnummer, adress och telefonnummer om en arbetstagare. I andra fall kan det vara betydligt svårare. Eftersom personuppgiftslagstiftningen bara gäller för personuppgifter är det viktigt att närmare förstå innebörden av begreppet.

Artikel 29-gruppen har i ett yttrande förtydligat sin syn på begreppet.⁵⁸ Enligt gruppen kan både objektiv information, såsom en upplysning om DNA, och subjektiv information, såsom ett utlåtande från en arbetsgivare om lämplighet för en tjänst, utgöra personuppgifter.⁵⁹ Det saknar även betydelse i vilket format upplysningen är och om uppgiften är sann eller inte. Väsentligt är att uppgiften till sitt innehåll, syfte eller resultat handlar om eller påverkar en identifierad eller identifierbar person och att denna person kan särskiljas från andra.⁶⁰

En uppgift behöver inte ensam kunna identifiera en individ. Om en personuppgiftsansvarig har tillgång till två uppgifter som gemensamt kan identifiera en

56 EU-kommissionen, Amended proposal for a council directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data, s. 9 (kommentar till artikel 2).

57 EU-domstolens dom av den 16 juli 2015 i mål C-615/13 P ClientEarth, p. 30–32.

58 Artikel 29-gruppen, Yttrande 4/2007 om begreppet personuppgifter.

59 A.a. s. 6.

60 A.a. s. 25 f.

26

person utgör de personuppgifter var för sig, även om uppgifterna individuellt sett inte kan användas för att identifiera personen.⁶¹ Exempelvis kanske en uppgift om inkomst inte är tillräcklig för att identifiera en person, men tillsammans med uppgifter om arbetsgivare och position på företaget kan personen identifieras. I ett sådant fall utgör alla uppgifterna personuppgifter. Den personuppgiftsansvarige behöver inte heller ha tillgång till alla uppgifter som behövs för identifiering så länge det finns möjlighet att få tag på uppgifterna på annat håll. Ingresspunkt 26 i Dataskyddsdirektivet anger nämligen att alla hjälpmedel som rimligen kan komma att användas ska beaktas för att avgöra om en person är identifierbar. En rent hypotetisk möjlighet att identifiera någon är inte tillräckligt utan hänsyn måste tas till om identifiering i praktiken skulle kunna ske i det enskilda fallet.⁶² I målet Breyer kom EU-domstolen fram till att dynamiska IP-adresser som en tjänsteleverantör på internet har tillgång till utgör personuppgifter, om leverantören förfogar över lagliga medel att begära kompletterande information som möjliggör identifiering från den registrerades internetleverantör.⁶³ En dynamisk IP-adress möjliggör nämligen inte i sig identifiering. Däremot kan en användare pekas ut med hjälp av kompletterande information ur internetleverantörers loggfiler om vem som tilldelats vilken IP-adress vid vilket tillfälle. Om det finns rimliga möjligheter att få tillgång till flera uppgifter som tillsammans möjliggör identifiering utgör dessa alltså personuppgifter. I takt med att den tekniska utvecklingen förenklar identifiering av individer baserat på beteendemönster på internet och med hjälp av övervakningsverktyg bör identifierbarhetskriteriet ställas allt lägre. Samtidigt förbättras även teknikerna för att på olika sätt dölja identiteter.

En följd av att identifierbarhetskriteriet är avgörande för definitionen av personuppgifter är att anonyma uppgifter inte utgör personuppgifter. Både Dataskyddsdirektivet och GDPR anger i ingresspunkt 26 att dataskyddsreglerna inte gäller för sådana uppgifter som anonymiserats på ett sådant sätt att den registrerade inte kan identifieras. För att uppgifter ska ses som anonyma ska personer inte kunna identifieras genom användning av alla hjälpmedel som rimligen kan komma att användas.

Kravet är högt ställt och det är troligtvis svårt att säkerställa att uppgifter har anonymiserats tillräckligt. Artikel 29-gruppen har uttalat att anonymiseringstekniker kan

61 Carey, Data Protection: A practical guide to UK and EU law, s. 22.

62 Artikel 29-gruppen, Yttrande 4/2007 om begreppet personuppgifter, s. 15.

63 EU-domstolens dom av den 19 oktober 2016 i mål C-582/14 Breyer.

27

vara effektiva om de är konstruerade på rätt sätt och att olika tekniker med fördel kan kombineras för att uppnå stark anonymisering.⁶⁴

En nyhet som introduceras genom GDPR är konceptet med pseudonymiserade uppgifter. Pseudonymiseringstekniker har visserligen funnits sedan tidigare, men genom GDPR vidkänns de som en del av dataskyddsregleringen. Pseudonymisering innebär enligt definitionen i artikel 4.5 i GDPR att personuppgifter behandlas på ett sådant sätt att uppgifterna inte längre kan tillskrivas en viss person utan att kompletterande uppgifter används. Man kan jämföra det med hur vissa författare använder pseudonymer istället för sina riktiga namn för att försvåra att verket kopplas ihop med författaren. Det är alltså inte fråga om anonyma uppgifter utan teknikerna används för att minska länkbarheten mellan en uppgift och en individ.⁶⁵ Vanliga metoder för att åstadkomma detta är hashfunktioner⁶⁶ och vissa former av kryptering. En förutsättning för att pseudonymiseringen ska vara effektiv i skyddssyfte är att de kompletterande uppgifterna som gör att individen kan identifieras förvaras separat och skyddat. Pseudonymiserade uppgifter utgör, till skillnad från anonyma uppgifter, fortfarande personuppgifter enligt ingresspunkt 26 i GDPR.

Pseudonymisering kan dock enligt ingresspunkt 28 vara användbart för att minska riskerna med personuppgiftsbehandling och för att hjälpa den personuppgiftsansvarige och -biträdet att fullgöra sina skyldigheter enligt förordningen.

3.4.3 Behandling av personuppgifter

Med behandling av personuppgifter avses enligt artikel 2(b) i Dataskyddsdirektivet och artikel 4.2 i GDPR varje åtgärd som vidtas beträffande personuppgifter, till exempel insamling, registrering, organisering, lagring, bearbetning, förstöring. Definitionen är bred och i princip allt man kan göra med personuppgifter omfattas. De omfattande definitionerna av personuppgifter och behandling av sådana gör att det i princip blir oundvikligt att personuppgiftsbehandling förekommer i samband med användande av molntjänster. I målet Google Spain kom EU-domstolen fram till att Googles sökning, insamling, systematisering, registrering, organisering, lagring, utlämnande och

64 Artikel 29-gruppen, Yttrande 5/2014 om avidentifieringsmetoder, s. 3 f.

65 A.a. s. 20.

66 En hashfunktion är en algoritm som räknar om data som matas in till ett unikt värde (oftast ett tal bestående av en kombination av bokstäver och siffror). Om samma data matas in får den alltid samma värde. Den som har tillgång till algoritmen kan relativt enkelt härleda vilken data som har pseudonymiserats. Se Artikel 29-gruppen, Yttrande 5/2014 om avidentifieringsmetoder, s. 20 f.

28

tillhandahållande av personuppgifter utgör behandling i Dataskyddsdirektivets mening.⁶⁷ Att Google vidtar samma åtgärder avseende andra typer av information och att det rör sig om information som redan är publicerad på internet och inte ändras av Google saknade enligt domstolen betydelse.⁶⁸ Googles verksamhet består därmed till betydande del av personuppgiftsbehandling.

Det är naturligtvis möjligt att använda molntjänster även utan att det förekommer personuppgifter. Då sker ingen personuppgiftsbehandling. All användning där personuppgifter förekommer medför dock behandling och kräver att personuppgiftsregleringen följs. Om ett företag exempelvis köper lagringsutrymme som molntjänst är det troligt att det förekommer personuppgifter i företagets lagrade data och därmed att behandling av personuppgifter sker i molnet.

3.4.4 Personuppgiftsansvarig och personuppgiftsbiträde

GDPR upprätthåller genom artikel 4.7–8 de definitioner av personuppgiftsansvarig och -biträde som etablerades genom Dataskyddsdirektivets artikel 2(d–e). Med personuppgiftsansvarig avses den fysiska eller juridiska person, offentliga myndighet, institution eller annat organ som bestämmer ändamålen och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde är den som för en personuppgiftsansvarigs räkning behandlar personuppgifter.

Den personuppgiftsansvarige är huvudansvarig, även om GDPR kommer att införa ett självständigt ansvar för biträdet, för att behandlingen av personuppgifter följer reglerna.⁶⁹ När det gäller molntjänster har Datainspektionen uttalat att den som använder en molntjänst för sin personuppgiftsbehandling, det vill säga molntjänstkunden, är personuppgiftsansvarig och att molntjänstleverantören och dess underleverantörer är personuppgiftsbiträden.⁷⁰ Detta stämmer för det mesta, men förhållandet är inte riktigt så enkelt. Enligt Artikel 29-gruppen måste man titta på omständigheterna i varje enskilt fall för att avgöra vem som faktiskt bestämmer ändamålen och medlen med behandlingen.⁷¹ Det avgörande är att fastställa i hur stor detalj någon ska bestämma ändamålen och

67 EU-domstolens dom av den 13 maj 2014 i mål C-131/12 Google Spain, p. 28.

68 Google Spain, p. 28–29.

69 Edvardsson, Kommersiella it-avtal. I: Rättsinformatik – Juridiken i det digitala informationssamhället, Magnusson Sjöberg, C (red.), s. 450.

70 Datainspektionen, Molntjänster och personuppgiftslagen, s. 1.

71 Artikel 29-gruppen, Yttrande 1/2010 om begreppen registeransvarig och registerförare, s. 8 f.