Riskbedömning av molntjänstavtal
Kort före GDPR:s ikraftträdande antogs i mars 2018 the Clarifying Lawful Overseas Use of Data Act (Cloud Act) av den amerikanska kongressen i USA, mitt under en pågående rättsprocess mellan Amerikanska Justitiedepartementet och Microsoft, för att ge stöd för Justitiedepartementets begäran om att få tillgång till uppgifter som lagrades på Microsofts servrar på Irland.
Med Cloud Act får amerikanska myndigheter en extraterritoriell räckvidd och lagen är tillämplig på bolag som står under amerikansk jurisdiktion, inklusive eventuella dotterbolag etablerade inom t ex EU, och som tillhandahåller elektroniska kommunikations- och molntjänster. Kortfattat innebär detta att amerikanska molntjänstleverantörer enligt amerikansk rätt är skyldiga att hörsamma en begäran om tillgång till data från amerikanska myndigheter även om uppgifterna lagras inom EU. Molntjänstleverantörerna kan dessutom beläggas med en sekretessklausul om att inte informera sina kunder om att uppgifter har begärts ut.
Cloud Act har givit upphov till frågetecken eftersom den kan anses stå i direkt konflikt med både GDPR och sekretesslagstiftning. Enligt artikel 48 i GDPR får beslut från domstolar och andra myndigheter i tredje land inte hörsammas om beslutet inte grundar sig på en internationell överenskommelse som gäller mellan det begärande tredjelandet och EU eller någon av dess medlemsstater. Europeiska dataskyddsstyrelsen (EDPB), tillsammans med Europeiska tillsynsmannen (EDPS), har i en rättslig analys i juli månad presenterat att de ser mycket begränsade möjligheter att lämna ut uppgifter under Cloud Act utan att bryta mot GDPR.
Vid anlitande av personuppgiftsbiträden, som molntjänstleverantörer ofta utgör, får den personuppgiftansvarige endast anlita personuppgiftsbiträden som erbjuder “tillräckliga garantier” för att GDPR kommer att efterlevas. Det är därför av stor vikt att som kund se över vilka molntjänstleverantörer som man anlitar eller överväger att anlita och vilka riskmitigerande åtgärder som kan vidtas, både vad gäller formuleringar i personuppgiftsbiträdesavtal avseende t ex konfidentialitet och genomförande av tekniska åtgärder i form av kryptering.
För finansiell sektor finns det dessutom omfattande krav på genomgång av molntjänstavtal med anledning av EBA’s riktlinjer för outsourcing som trädde ikraft den 30 september i år. Riktlinjerna innehåller detaljerade regler om dokumentation och interna regler av alla outsourcingarrangemang samt krav på avtalsinnehåll, bland annat vad gäller revisionsrätt och tillgång till leverantörers serverhallar och utrustning.
