Molntjänster i kommunal verksamhet
När personuppgifter flyttas till en molntjänst gäller alla personuppgiftslagens allmänna villkor för behandlingen av dem, skriver juristen Ida Staffans.
Kommuntidningen
Publicerad i Fikt 7/2013.
Sveriges Datainspektions-myndighet tog redan år 2011 ställning till kommunala myndigheters möjlighet att använda sig av molntjänster i sin verksamhet. I avgörandet Datainspektionen 28.9.2011 (dnr 263-2011) granskades det huru-dana avtal som behövs om en kommunal myndighet vill överföra personregis-ter till en molntjänst. Konkret gällde ärendet överfö-ring av såväl personaluppgifter som elevuppgifter till en tjänst som tillhandahålls av Google.
Sveriges regler om data-skydd bygger på EU:s data-skyddsdirektiv (95/46/EG) och sålunda har vi i Finland samma utgångspunkter som i Sverige. I Finland ingår regler om registeransva-rigas skyldigheter i personuppgiftslagen (523/1999). Personuppgiftslagen tilläm-pas på alla former av registerverksamhet i kommunen med undantag för behand-ling av personuppgifter som enskilda personer utför för personliga syften och behandling som sker för redaktionella, konstnärliga eller litterära syften.
Datainspektionen konstaterar i sitt avgörande att myndigheten även efter en överföring av personuppgifter till en molntjänst är ansvarig för att behandlingen av personuppgifter följer nationella regler. Samma utgångs-punkt gäller också enligt finländsk lagstiftning eftersom myndigheten även efter ett överförande till en molntjänst förblir registeransva-rig. I avgörandet konstateras vidare att de standardavtal som Google erbjudit kommunen inte ger kommunen tillräckliga möjligheter att såsom lagen kräver övervaka och reglera behandlingen av personuppgifter ”i molnet”. Inte heller ger standardavtalet kommunen möjlighet att specifikt identifiera exakt vilka underleverantörer som handhar deras personuppgifter eller att förbjuda en utlämning av uppgifterna till tredje länder vars da-tasekretessnivå inte är acceptabel.
Datainspektionen konstaterar att användningen av en molntjänst för lagring av personuppgifter i det-ta fall stred mot svensk lag-stiftning. ”Otydliga avtal och skrivningar som möjliggör för molnleverantören att ensidigt ändra villkoren för be-handlingen medför stora risker eftersom den personuppgiftsansvarige då inte kan veta om den, genom an-litandet av molntjänstleverantören, uppfyller personuppgiftslagens krav.”
Liknande bindande regler som de som Datainspektionen tog fasta på ingår i den finländska personuppgiftslagens kapitel 2 och 5. Även en finländsk registeransvarig är bunden av reglerna också efter en överföring av uppgifterna till en molntjänst.
Hur skall man då gå till väga om man som kommun eller företag eller annan regis-teransvarig vill överföra personuppgifter till en molntjänst?
En molntjänst är en tjänst som erbjuder it-tjänster över internet oberoende av plats och som kan användas från Molntjänster i kommunal verksamhet vilken station som helst. Det finns olika typer av molntjänster och olika bredd på operatörernas tjänster.
Juridiskt står det klart att personuppgiftslagen tillämpas också när behandlingen av personuppgifter sker i en molntjänst. Om flera personuppgifter överförs till en molntjänst bildar datamängden ett personregister och användaren av tjänsten är registerinnehavare, det vill säga ansvarig för att finländsk lagstiftning följs när uppgifterna behandlas, sparas eller på annat sätt används i molntjänsten.
När personuppgifter flyttas till en molntjänst gäller alla personuppgiftslagens allmänna villkor för behandlingen av personuppgifter. Behandlingen skall vara planerad, registerbeskrivningen skall innehålla ett omnämnande om användningen av molntjänster och vems tjänst som används. Onödiga uppgifter får inte behandlas och uppgifterna får enbart användas till det ändamål som på förhand bestämts, dvs. inte exempelvis till molntjänstinnehavarens egen marknadsföring eller liknande.
Vid överföring till en genomgående inhemsk molntjänst, där behandlingen av uppgifterna även i molntjänsten sker på servrar inom Finland, är de största riskfaktorerna knutna till användningen av öppna anslutningar i samband med överföring eller behandling. Om registerinnehavaren är en myndighet förbjuder offentlighetslagen (621/1999) överföring av dataregister till internet utan alla registrerades explicita samtycke, eftersom det i så fall är fråga om elektronisk överföring och myndigheten måste kunna kontrollera mottagarens rätt att behandla uppgifterna. En myndighet kan alltså som utgångspunkt inte använda sig av ens inhemska tjänster om inte all överföring och behandling är skyddad.
Personuppgiftslagen innehåller specialregler, baserade på EU-lagstiftning, om hur överföring av personuppgifter sker utanför landets gränser. Överföring till servrar inom EU och EES-området lik-ställs med inhemsk överföring, men all överföring utanför dessa gränser liksom också överföring till tjänster inom EU och EESA från vilka vidareöverföring till områden utanför reg-leras mycket noga. Grundtanken är att överföring utanför EU och EES är möjlig enbart om kommissionen med ett särskilt beslut säkrat att landet, till vilket överföringen sker, upprätthåller en tillräckligt hög dataskyddsnivå.
Till USA får uppgifter enbart överföras om mottagarorganisationen förbundit sig till de så kallade safe harbor -principerna.
I Datainspektionens avgörande 28.9.2011 (dnr 263-2011), som refererats ovan, ansåg man att de standard-avtal som Google erbjöd inte var tillräckliga för att kommunen som registerinnehavare skulle kunna garantera att personuppgifterna stannade inom säkra områden.
På samma sätt har också Danmarks datatillsynsmyn-dighet i avgörandet 3.2.2011 (dnr 2010-52-0138) tagit ställning till myndigheters möjlighet att använda sig av standardvillkor vid överfö-ring av personuppgifter till internationella molntjäns-ter och konstaterat att detta i ljuset av gällande EU-lag-stiftning inte är möjligt.