EU-parlamentet har invändningar mot European Union-U.S. Data Privacy Framework
Det är fortfarande oklart vad som kommer att hända med European Union-U.S. Data Privacy Framework – ramverket som är tänkt att ersätta Privacy Shield som ogiltigförklarades av EU-domstolen 2020 i den så kallade Schrems II-domen.
I ett icke-bindande beslut den 11 maj uttalade EU-parlamentet att EU-kommissionen inte borde besluta om adekvat skyddsnivå för ramverket. Tidigare i år har även EDPB uttryckt oro för att ramverket inte innebär en tillräcklig skyddsnivå för överföring av personuppgifter till USA.
Som jag har skrivit om i en tidigare expertkommentar har president Biden undertecknat ett presidentdekret – en så kallad Executive Order – om att införa det nya ramverket. För att personuppgifter ska kunna föras över till USA enligt det nya ramverket krävs dock även att EU-kommissionen beslutar om adekvat skyddsnivå, något som alltså EU-parlamentet motsätter sig.
Visserligen anser EU-parlamentet att det nya ramverket innehåller stora förbättringar jämfört med Privacy Shield. Däremot menar man att det inte går tillräckligt långt för att säkerställa en väsentligt likvärdig skyddsnivå för personuppgifterna som inom EU och EES.
Bland annat har EU-parlamentet följande invändningar:
- Bristande transparens i det domstolsförfarande som inrättats (DPRC) för att ta tillvara rättigheter för de individer vars personuppgifter behandlas;
- Bristande garantier för att domarna i DPRC är oberoende. EU-parlamentet noterar att USA:s president kan avskeda domare under deras mandatperiod och även upphäva deras beslut;
- Det är alltjämt tillåtet med bulkinsamling av data i vissa fall och det saknas tillräckliga skyddsmekanismer i de fall där det sker. Bland annat saknas skydd i form av oberoende föregående auktorisation av bulkinsamling och tydliga regler för hur länge uppgifterna får bevaras.
EU-parlamentet påpekar även att ett beslut om ramverket skulle kunna upphävas av EU-domstolen, vilket skulle skapa rättslig osäkerhet och ytterligare kostnader för medborgare och företag inom EU.
Vidare noterar EU-parlamentet att ett beslut om adekvat skyddsnivå kan fattas endast sedan amerikanska myndigheter har sett till att de åtaganden som görs i Executive Order uppfylls i praktiken. EU-parlamentet noterar att åtagandet att uppdatera underrättelsemyndigheternas policyer för att återspegla de skärpta kraven på skydd för människors privatliv och civila rättigheter ska vara uppfyllt först i oktober i år.
Det blir spännande att se EU-kommissionens reaktion på de invändningar som EU-parlamentet och EDPB har haft på ramverket European Union-U.S. Data Privacy Framework. Min gissning är att EU-kommissionen ändå kommer att driva igenom ett beslut om adekvat skyddsnivå för ramverket. Om det sker är det troligt att beslutet kommer att hamna på EU-domstolens bord. Utgången i ett sådant fall är oviss och risken finns naturligtvis att vi hamnar i ett ”Schrems III”, det vill säga ett nytt ogiltigförklarande av ett ramverk för överföring av personuppgifter till USA.
Som EU-parlamentet påpekar, vore det mycket olyckligt. Det behövs en förutsebarhet när det gäller överföring av personuppgifter till USA, inte minst när det gäller användning av molntjänster. Ett beslut om adekvat skyddsnivå för European Union-U.S. Data Privacy Framework skulle onekligen underlätta för myndigheters användning av molntjänster.
Kartläggning av myndigheters användning av molntjänster
I en tidigare expertkommentar uppmärksammade jag att Integritetsskyddsmyndigheten, IMY, gjorde en kartläggning av myndigheters användning av molntjänster. Ett relativt omfattande frågeformulär skickades ut till elva statliga myndigheter. Sju myndigheter svarade på formuläret.
Kartläggningen var ett led i ett initiativ från den Europeiska dataskyddsstyrelsen, EDPB. Samtidigt som IMY gjorde sin kartläggning undersökte många andra dataskyddsmyndigheter inom EU hur molntjänster används inom offentlig sektor i deras respektive länder. Totalt skickades enkäter ut till nära hundra olika europeiska myndigheter.
EDPB har redovisat resultatet av sin undersökning i en rapport – 2022 Coordinated Action, Use of cloud-based services by the public sector. Rapporten finns att läsa här.
Några slutsatser från EDPBs rapport
EDPB:s undersökning omfattade 98 myndigheter i EU:s medlemsstater. Av dessa uppgav en stor majoritet, 87 stycken, att man använde sig av molntjänstleverantörer eller planerade att göra det vid utgången av år 2022.
De flesta myndigheter använde molntjänster för sina interna ändamål, men en stor andel – 48 stycken – använde molntjänstleverantörer även för tillhandahållande av tjänster gentemot sina medborgare.
EDPB noterade i sin rapport ett antal områden med förbättringspotential:
Konsekvensbedömning
Endast 32 av 87 myndigheter som använde sig av en molntjänstleverantör uppgav att man hade gjort en konsekvensbedömning. EDPB understryker att en konsekvensbedömning ofta är nödvändig att göra när myndigheter använder sig av molntjänster. Om en konsekvensbedömning inte har gjorts i samband med ingående av avtalet med molntjänstleverantören måste den göras så fort som möjligt därefter.
I de fall det inte är nödvändigt att göra en konsekvensbedömning måste i vart fall en riskbedömning göras för att myndigheten ska uppfylla artikel 24 och 32 i GDPR.
EDPB konstaterar vidare att vissa myndigheter svarat att man förlitade sig på säkerhetsåtgärder som vidtagits av molntjänstleverantören, men att de riskbedömningar som molntjänstleverantören gör typiskt sett rör informationssäkerhet och inte är tillräckliga för att bedöma dataskyddsaspekterna.
Intressant är även att endast drygt hälften av myndigheterna (48 stycken) kontaktade dataskyddsombudet för rådgivning.
Klarläggande av roller – personuppgiftsansvarig/personuppgiftsbiträde
EDBP noterar att molntjänstleverantören i vissa fall kan uppträda som personuppgiftsansvarig för behandlingen av personuppgifter. Det kan till exempel röra sig om behandlingen av diagnostik/telemetriska data, som statistikuppgifter avseende användningen av molntjänsterna.
En reflektion är att många myndigheter saknar kunskap om behandlingen av diagnostik/telemetriska data. EDPB betonar att det måste finnas en rättslig grund för myndighetens överföring av diagnostik/telemetriska data till molntjänstleverantören. Annars utgör det ett brott mot GDPR.
Svårigheter att använda sig av ett skräddarsytt avtal med molntjänstleverantören
EDPB noterar även att det kan vara svårt för myndigheten att förhandla avtalet med molntjänstleverantören och att det kan göra att det blir problematiskt för myndigheten att uppfylla sina skyldigheter enligt GDPR, till exempel att bestämma ändamålen och medlen med behandlingen.
Underbiträden
En observation som EDPB gör är att de flesta myndigheter verkar ha begränsad kontroll över molntjänstleverantörens underbiträden och inte kan invända mot användningen av underbiträden på ett meningsfullt sätt.
Ett sätt som EDBP förespråkar är att definiera i kontraktet vilka specifika kriterier som underbiträden måste uppfylla och vilken information som molntjänstleverantören måste tillhandahålla beträffande föreslagna nya underbiträden.
Dataskyddsombud
Dataskyddsombudets inblandning i processen att träffa avtal med molntjänstleverantörer poängteras.
Cloud Act
En intressant iakttagelse är att EDPB ingående även belyser problematiken med Cloud Act och inte bara ”Schrems-II-problematiken” i samband med överföringar av personuppgifter till land utanför EU/EES. Med problematiken med Cloud Act menar jag de frågor som uppstår när myndigheten träffar avtal med en molntjänstleverantör som har sitt säte inom EU, där molntjänstleverantörens moderbolag finns i tredje land, till exempel i USA, och där myndigheter i det tredje landet kräver åtkomst till uppgifter som finns hos molntjänstleverantören. EDPB:s rekommendation är att en noggrann analys ska göras även i detta fall.
Några reflektioner
Rapporten är intressant läsning. Min tolkning är att den visar på en ganska låg medvetenhet om riskerna med att ingå avtal med molntjänstleverantörer bland myndigheter inom EU. EDPB meddelar att arbetet kommer att fortsätta och att rekommendationer för myndigheternas användning av molntjänster kan komma att tas fram.
För den som är intresserad, innehåller rapporten en utförlig beskrivning av de beslut som dataskyddsmyndigheter i EU:s medlemsstater har tagit när det gäller användningen av molntjänster.
Peter Nordbeck
Advokat, Advokatfirman Delphi
Kommentatorerna ansvarar för sina egna kommentarer