ARTIKEL 29-ARBETSGRUPPEN FÖR SKYDD AV PERSONUPPGIFTER

Transkript

1 ARTIKEL 29-ARBETSGRUPPEN FÖR SKYDD AV PERSONUPPGIFTER 01037/12/SV WP 196 Yttrande 5/2012 om datormoln (cloud computing) Antaget den 1 juli 2012 Arbetsgruppen inrättades enligt artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ i frågor rörande dataskydd och integritet. Dess uppgifter beskrivs i artikel 30 i direktiv 95/46/EG och artikel 15 i direktiv 2002/58/EG. Gruppens sekretariat finns hos direktorat C (Grundläggande rättigheter och unionsmedborgarskap) på Europeiska kommissionen, Generaldirektoratet för rättsliga frågor, B-1049 Bryssel, Belgien, Kontor MO59 02/013. Webbplats: 1

2 Sammanfattning I det här yttrandet analyserar artikel 29-arbetsgruppen alla relevanta frågor om datormolntjänsteleverantörer som bedriver verksamhet inom Europeiska ekonomiska samarbetsområdet (EES) och deras kunder. Arbetsgruppen beskriver alla tillämpliga principer i EU:s direktiv om dataskydd (95/46/EG) och direktivet om integritet och elektronisk kommunikation (ändrat genom direktiv 2009/136/EG) när det är relevant. Trots de uppenbara fördelarna med datormoln ur både ekonomisk och samhällelig synpunkt, visar detta yttrande hur storskalig användning av datormolntjänster kan utlösa en rad uppgiftsskyddsrisker, främst genom bristande kontroll över personuppgifter och otillräcklig information om hur, när och av vem uppgifterna behandlas/vidarebehandlas. Dessa risker måste bedömas noggrant av offentliga organ och privata företag när de överväger att utnyttja en molnleverantörs tjänster. I detta yttrande undersöks frågor i samband med resursdelning med andra parter, bristen på insyn i en underentreprenörskedja som består av flera registerförare och underentreprenörer, avsaknaden av en gemensam, global ram för uppgiftsportabilitet och osäkerhet i fråga om tillåtligheten i överföring av personuppgifter till molnleverantörer som är etablerade utanför EES. På samma sätt belyses bristen på insyn i fråga om vilken information en registeransvarig kan lämna till en registrerad om behandlingen av dennes personuppgifter, vilket ger upphov till allvarliga farhågor. De registrerade måste 1 informeras om vem som behandlar deras uppgifter i vilket syfte och för att kunna utöva sina rättigheter i detta avseende. En viktig slutsats i detta yttrande är att företag och myndigheter som vill använda datormoln i första hand bör göra en omfattande och grundlig riskanalys. Alla molnleverantörer som erbjuder tjänster i EES bör ge molnkunden all information som behövs för att kunna göra en rättvisande bedömning av för- och nackdelarna med en sådan tjänst. Säkerhet, öppenhet och rättssäkerhet för kunderna bör vara de viktigaste drivkrafterna bakom erbjudandet om datormolntjänster. När det gäller rekommendationerna i detta yttrande betonas molnkundens ansvar som registeransvarig och det rekommenderas därför att kunden ska välja en molnleverantör som garanterar att EU:s uppgiftsskyddslagstiftning följs. Lämpliga säkerhetsklausuler i avtal behandlas i yttrandet, där det krävs att alla avtal mellan molnkunden och molnleverantören bör ge tillräckliga garantier i fråga om tekniska och organisatoriska åtgärder. Rekommendationen om att molnkunden bör kontrollera att molnleverantören kan garantera att alla internationella uppgiftsöverföringar är lagliga är också viktig. Precis som alla utvecklingsprocesser är den ökande användningen av datormoln ett globalt tekniskt paradigm som innebär en utmaning. Detta yttrande kan betraktas som ett viktigt steg i utformningen av de uppgifter som uppgiftsskyddssamfundet kommer att behöva ta på sig inom det här området de närmaste åren. 1 Nyckelorden MÅSTE, FÅR INTE, SKYLDIG, SKA, SKA INTE, BÖR, BÖR INTE, REKOMMENDERAD, FÅR och FRIVILLIG i detta dokument ska tolkas enligt beskrivningen i begäran om synpunkter Dokumentet finns på För läsbarhetens skull skrivs dessa ord dock inte med versaler i denna specifikation. 2

3 Innehållsförteckning Sammanfattning Inledning Uppgiftsskyddsrisker med datormoln Rättslig ram Ram för uppgiftsskydd Tillämplig lag Olika aktörers uppdrag och ansvarsområden Molnkund och molnleverantör Underentreprenörer Uppgiftsskyddskrav i förhållandet mellan kund och leverantör Följa de grundläggande principerna Insyn Specificering och begränsning av ändamål Säkerhetsklausuler i avtal mellan registeransvarig och registerförare Tekniska och organisatoriska åtgärder för uppgiftsskydd och uppgiftssäkerhet Tillgänglighet Integritet Sekretess Insyn Isolering (begränsning av ändamål) Möjlighet att ingripa Portabilitet Ansvarsskyldighet Internationella överföringar Safe Harbour och länder som erbjuder adekvat skydd Undantag Standardavtalsklausuler Bindande företagsregler: mot en global strategi Slutsatser och rekommendationer Riktlinjer för köpare och leverantörer av datormolntjänster Certifiering om uppgiftsskydd från tredje part Rekommendationer: Utveckling BILAGA a) Utvecklingsmodeller b) Modeller för tillhandahållande av tjänster

4 1. Inledning Vissa anser att datormoln är en av de största tekniska revolutionerna på senaste tid. Andra tycker att det bara är en naturlig utveckling av ett antal tekniker för att förverkliga den gamla drömmen om utility computing (tillhandahållande av IKT-resurser som följer affärsverksamhetens skiftande behov). I vilket fall som helst har ett stort antal intressenter satt datormoln främst vid utvecklingen av sina teknikstrategier. Datormoln består av tekniker och tjänstemodeller som är inriktade på internetbaserad användning och leverans av it-applikationer, behandlingskapacitet, lagrings- och minnesutrymme. Datormoln kan ge stora ekonomiska fördelar eftersom resurser som beställs efter behov är ganska enkla att konfigurera, bygga ut och komma åt på internet. Utöver ekonomiska fördelar kan datormoln också ge säkerhetsfördelar. Företag särskilt små och medelstora kan till marginella kostnader köpa in teknik av högsta kvalitet, som annars skulle vara alltför dyr. Det finns ett brett spektrum av tjänster som erbjuds av molnleverantörer, från virtuella behandlingssystem (som ersätter och/eller fungerar sida vid sida med konventionella servrar under den registeransvariges direkta kontroll) till tjänster som stöder applikationsutveckling och avancerade värdtjänster, till webbaserade programlösningar som kan ersätta konventionellt installerade applikationer på slutanvändarnas persondatorer. Detta omfattar textbehandlingsapplikationer, kalendrar, arkiveringssystem för onlinebaserade dokumentarkiv och e-postlösningar utlagda på entreprenad. Några av de vanligaste definitionerna på dessa olika typer av tjänster finns i bilagan till detta yttrande. I detta yttrande analyserar artikel 29-arbetsgruppen (nedan kallad arbetsgruppen) den tillämpliga lagen och de tillämpliga skyldigheterna för registeransvariga i Europeiska ekonomiska samarbetsområdet (nedan kallat EES) och för molntjänsteleverantörer med kunder i EES. Yttrandet är inriktat på en situation där förhållandet antas vara ett förhållande mellan registeransvarig och registerförare, där kunden är registeransvarig och molnleverantören är registerförare. Om molnleverantören också fungerar som registeransvarig måste denne uppfylla ytterligare villkor. En förutsättning för att använda molntjänster är alltså att den registeransvarige gör en tillfredsställande riskbedömning, inklusive placering av de servrar där uppgifterna behandlas och bedömning av risker och fördelar ur ett uppgiftsskyddsperspektiv, enligt de kriterier som beskrivs i punkterna nedan. I detta yttrande beskrivs de principer i det övergripande direktivet om dataskydd (95/46/EG) som ska gälla för både registeransvariga och registerförare, t.ex. ändamålsspecifikation och ändamålsbegränsning, radering av data samt tekniska och organisatoriska åtgärder. I yttrandet ges vägledning om säkerhetskraven, både strukturellt och i fråga om förfaranden. De avtalsklausuler som bör reglera förhållandet mellan en registeransvarig och en registerförare i detta sammanhang betonas särskilt. De klassiska målen för datasäkerhet är tillgänglighet, integritet och sekretess. Uppgiftsskyddet är dock inte begränsat till datasäkerhet, varför dessa mål kompletteras med de specifika uppgiftsskyddsmålen insyn, isolering, möjlighet att ingripa och portabilitet för att styrka den enskilda individens rätt till uppgiftsskydd enligt artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. När det gäller överföringar av personuppgifter utanför EES analyseras verktyg som de standardavtalsklausuler som Europeiska kommissionen har antagit, slutsatser om 4

5 ändamålsenlighet och eventuellt framtida bindande företagsregler för registerförare, samt uppgiftsskyddsrisker till följd av framställningar om verkställighet av internationell rätt. Yttrandet avslutas med rekommendationer till molnkunder som registeransvariga, molnleverantörer som registerförare och till Europeiska kommissionen om kommande ändringar av den europeiska ramen för uppgiftsskydd. Berliner Beauftragter für Datenschutz und Informationsfreiheit (Berlins internationella arbetsgrupp för uppgiftsskydd inom telekommunikationer) antog Sopot Memorandum 2 (Sopotförklaringen) i april I förklaringen behandlas integritets- och uppgiftsskyddsfrågor i samband med datormoln och det betonas att datormoln inte får leda till en sänkning av standarderna för uppgiftsskydd jämfört med konventionell databehandling. 2. Uppgiftsskyddsrisker med datormoln Eftersom detta yttrande är inriktat på behandling av personuppgifter med hjälp av datormolntjänster beaktas endast de specifika riskerna för detta. 3 Merparten av dessa risker ligger inom två stora kategorier: bristande kontroll över uppgifterna och otillräcklig information om behandlingen i sig (ingen insyn). I yttrandet behandlas bl.a. följande särskilda datormolnrisker: Brist på kontroll Genom att lämna över personuppgifter till system som förvaltas av en molnleverantör kan molnkunderna förlora sin exklusiva kontroll över uppgifterna och kan kanske inte genomföra de tekniska och organisatoriska åtgärder som krävs för att garantera tillgänglighet, integritet, sekretess, insyn, isolering 4, möjlighet att ingripa och portabilitet för uppgifterna. Denna bristande kontroll kan yttra sig på följande sätt: o Bristande tillgänglighet på grund av bristande kompatibilitet (låsning av köparen till vissa produkter): Om molnleverantören utgår från egenutvecklad teknik kan det bli svårt för en molnkund att flytta uppgifter och dokument mellan olika molnbaserade system (uppgiftsportabilitet) eller att utbyta information med enheter som använder molntjänster från andra leverantörer (driftskompatibilitet). o Bristande integritet på grund av delning av resurser: Ett moln består av delade system och infrastrukturer. Molnleverantörer behandlar personuppgifter från en rad olika källor i fråga om registrerade och organisationer och det kan komma att uppstå intressekonflikter och/eller olika mål. o Bristande sekretess i fråga om framställningar på brottsbekämpningsområdet direkt till en molnleverantör: Personuppgifter som behandlas i molnet kan bli föremål för framställningar på brottsbekämpningsområdet från brottsbekämpande myndigheter i EU-medlemsstaterna och i tredjeländer. Det finns risk för att personuppgifter avslöjas för (utländska) brottsbekämpande myndigheter utan giltig EU-rättslig grund, vilket skulle strida mot EU:s dataskyddslagstiftning Utöver de risker för personuppgifter som behandlas i molnet och som nämns uttryckligen i detta yttrande, måste alla risker i samband med utläggning på entreprenad av behandlingen av personuppgifter beaktas. I Tyskland har det mer omfattande begreppet olänkbarhet införts. Se fotnot 24 nedan. 5

6 o Bristen på möjlighet att ingripa på grund av komplexiteten och dynamiken i underentreprenörskedjan: Den molntjänst som erbjuds av en leverantör kan produceras genom en kombination av tjänster från en rad andra leverantörer, som kan läggas till eller tas bort dynamiskt under giltighetstiden för kundens kontrakt. o Bristen på möjlighet att ingripa (den registrerades rättigheter): En molnleverantör kanske inte kan tillhandahålla de åtgärder och verktyg som krävs för att hjälpa den registeransvarige att hantera uppgifterna i fråga om tillgång, radering eller korrigering av uppgifter. o Brist på isolering: En molnleverantör kan använda sin fysiska kontroll över uppgifter från olika kunder för att koppla samman personuppgifter. Om administratörer får tillräckligt förmånliga åtkomsträttigheter (högriskroller) kan de koppla samman information från olika kunder. Brist på information om behandlingen (insyn) Otillräcklig information om en molntjänsts behandling utgör en risk för både registeransvariga och registrerade eftersom de kanske inte är medvetna de potentiella hoten och riskerna och därmed inte kan vidta lämpliga åtgärder. Vissa potentiella hot kan uppstå på grund av att den registeransvarige inte känner till följande: o Det pågår kedjebehandling som omfattar flera registerförare och underentreprenörer. o Personuppgifter behandlas på olika geografiska platser inom EES. Detta påverkar direkt vilken lag som är tillämplig på eventuella tvister om uppgiftsskydd som kan komma att uppstå mellan användare och leverantör. o Personuppgifter överförs till tredjeländer utanför EES. Tredjeländer kanske inte erbjuder en tillräckligt hög dataskyddsnivå och överföringar kanske inte skyddas med lämpliga åtgärder (t.ex. standardavtalsklausuler eller bindande företagsregler) och kan därmed vara olagliga. Registrerade vars personuppgifter behandlas i molnet måste informeras om den registeransvariges identitet och om ändamålet med behandlingen (ett befintligt krav på alla registeransvariga enligt direktiv 95/46/EG om dataskydd). Eftersom behandlingskedjor i datormoln kan bli komplexa bör registeransvariga också enligt god praxis ge ytterligare information om de (under)registerförare som erbjuder molntjänsterna, för att garantera en rättvis behandling av den registrerade (artikel 10 i direktiv 95/46/EG). 3. Rättslig ram 3.1 Ram för uppgiftsskydd Den relevanta lagstiftningen är dataskyddsdirektivet 95/46/EG. Detta direktiv ska tillämpas i varje fall där personuppgifter behandlas till följd av användning av datormolntjänster. Direktivet om integritet och elektronisk kommunikation (ändrat genom direktiv 2009/136/EG) ska tillämpas på behandling av personuppgifter i samband med allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät 6

7 (telekomoperatörer) och är därför relevant om sådana tjänster tillhandahålls genom en molnlösning Tillämplig lag Kriterierna för att fastställa tillämplig lag anges i artikel 4 i direktiv 95/46/EG där det hänvisas till tillämplig lag för registeransvariga 6 med en eller flera etableringar inom EES och även till tillämplig lag för registeransvariga som är etablerade utanför EES, men som använder utrustning som befinner sig inom EES för att behandla personuppgifter. Artikel 29- arbetsgruppen analyserade denna fråga i sitt yttrande 8/2010 om tillämplig lagstiftning 7. I det första fallet är det platsen för den registeransvariges etablering som utlöser tillämpningen av EU-lagstiftningen och vilken verksamhet som bedrivs enligt artikel 4.1 a i direktivet, och vilken modell för datormolntjänsten som används är irrelevant. Den tillämpliga lagstiftningen är lagen i det land där den registeransvarige som köper in datormolntjänsterna är etablerad, inte den plats där datormolnleverantörerna befinner sig. Om den registeransvarige är etablerad i flera medlemsstater ska tillämplig lagstiftning för behandling av uppgifter inom ramen för verksamheten i dessa länder vara den tillämpliga lagstiftningen i var och en av de medlemsstater där behandlingen äger rum. I artikel 4.1 c 8 hänvisas till hur uppgiftsskyddslagstiftningen ska tillämpas på registeransvariga som inte är etablerade i EES men som använder databehandlad eller icke databehandlad utrustning som befinner sig på medlemsstatens territorium, om inte sådan utrustning endast används för att låta uppgifter passera genom gemenskapen. Det betyder att om en molnkund är etablerad utanför EES men anlitar en molnleverantör som befinner sig i EES, exporterar leverantören uppgiftsskyddslagstiftningen till kunden. 3.3 Olika aktörers uppdrag och ansvarsområden Som anges ovan omfattar datormoln en rad olika aktörer. Det är viktigt att bedöma och förtydliga vilken roll var och en av dessa aktörer har för att fastställa deras specifika skyldigheter inom ramen för den gällande uppgiftsskyddslagstiftningen. Det bör påpekas att artikel 29-arbetsgruppen i sitt yttrande 1/2010 om begreppen registeransvarig och registerförare konstaterade att begreppet registeransvarig först och främst tjänar till att avgöra vem som ska ansvara för efterlevnaden av uppgiftsskyddsbestämmelserna och hur registrerade kan utöva sina rättigheter i praktiken. Det Direktiv 2002/58/EG om integritet och elektronisk kommunikation (ändrat genom direktiv 2009/136/EG): Detta direktiv är tillämpligt på leverantörer av elektroniska kommunikationstjänster som görs tillgängliga för allmänheten och ålägger dem att se till att skyldigheterna uppfylls i fråga om sekretess vid kommunikation och skydd av personuppgifter och även rättigheterna och skyldigheterna i fråga om elektroniska kommunikationsnät och kommunikationstjänster. Om leverantörer av datormolntjänster fungerar som leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster kommer de att omfattas av detta direktiv. Begreppet registeransvarig finns i artikel 2 h i direktivet och analyserades i artikel 29-arbetsgruppens yttrande 1/2010 om begreppen registeransvarig och registerförare. Enligt artikel 4.1 c ska medlemsstatens lagstiftning vara tillämplig när den registeransvarige inte är etablerad på gemenskapens territorium och för behandling av personuppgifter använder databehandlad eller icke databehandlad utrustning som befinner sig på den nämnda medlemsstatens territorium, om inte sådan utrustning endast används för att låta uppgifter passera genom gemenskapen. 7

8 vill säga att fördela ansvar. Dessa båda kriterier för ansvar för efterlevnad och fördelning av ansvar bör parterna hålla i minnet under hela analysen Molnkund och molnleverantör Molnkunden avgör slutmålet för behandlingen och beslutar om utläggning på entreprenad av behandlingen och delegering av hela eller delar av behandlingen till en extern organisation. Molnkunden fungerar alltså som registeransvarig. Enligt definitionen i direktivet är den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som behandlar personuppgifter för den registeransvariges räkning. Molnkunden måste som registeransvarig ta på sig ansvaret för att uppgiftsskyddslagstiftningen följs och har ansvar för och omfattas av alla de rättsliga skyldigheter som anges i direktiv 95/46/EG. Molnkunden kan ge molnleverantören i uppdrag att välja vilka metoder och tekniska eller organisatoriska åtgärder som ska användas för att uppnå den registeransvariges syften. Molnleverantören är den enhet som tillhandahåller datormolntjänsterna i de olika former som diskuteras ovan. När molnleverantören tillhandahåller medlen och plattform och agerar på molnkundens vägnar, betraktas molnleverantören som registerförare, dvs. enligt direktiv 95/46/EG, den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som behandlar personuppgifter för den registeransvariges räkning. 910 Som anges i yttrande 1/2010 finns det vissa kriterier 11 som kan användas för att bedöma vem som har kontroll över behandlingen. Det kan finnas situationer där en leverantör av molntjänster kan betraktas som gemensam registeransvarig eller som självständig registeransvarig, beroende på sakförhållandena. Detta kan t.ex. vara fallet när leverantören behandlar uppgifter för egna ändamål. Det bör betonas att även i komplicerade uppgiftsbehandlingsmiljöer, där olika registeransvariga har en roll i behandlingen av personuppgifter, måste efterlevnaden av reglerna för uppgiftsskydd och ansvaret för eventuella brott mot dessa regler fördelas tydligt, för att undvika att skyddet av personuppgifter minskas eller att det uppstår en negativ behörighetskonflikt eller luckor, där vissa skyldigheter eller rättigheter enligt direktivet inte garanteras av någon av parterna. I dagens datormolnscenario kan köpare av datormolntjänster sakna manöverutrymme i förhandlingarna om avtalsvillkoren för användning av molntjänsterna, eftersom många datormolntjänster ingår i standardiserade erbjudanden. I slutänden är det dock kunden som avgör om hela eller delar av behandlingen ska förläggas till molntjänster för särskilda ändamål. Molnleverantören fungerar därmed som entreprenör gentemot kunden, vilket är det viktigaste i detta fall. Som anges i artikel 29-arbetsgruppens yttrande 1/ om begreppen registeransvarig och registerförare bör det faktum att en liten registeransvarig inte har samma starka förhandlingsposition som en stor tjänsteleverantör [ ] inte heller godtas som motivering för att den registeransvarige godtar avtalsklausuler och avtalsvillkor som inte är förenliga med dataskyddslagstiftningen. Därför måste den registeransvarige välja en Detta yttrande berör endast det vanliga förhållandet mellan registeransvarig och registerförare. Datormolnmiljön kan också användas av fysiska personer (användare) för att utföra uteslutande personliga eller privata verksamheter. I sådana fall måste det göras en ingående analys av huruvida det s.k. hushållsundantaget, som undantar användaren från att klassificeras som registerförare, ska tillämpas. Den frågan ligger dock utanför ramen för detta yttrande. T.ex. hur detaljerade instruktioner molnkunden ger, molnkundens övervakning, parternas sakkunskap. Yttrande 1/2010 om begreppen registeransvarig och registerförare 8

9 molnleverantör som garanterar att uppgiftsskyddslagen följs. Utformningen av de tillämpliga avtalen måste framhållas särskilt. Avtalen måste innehålla en uppsättning standardiserade skyddsmekanismer för uppgiftsskydd, däribland dem som beskrivs av arbetsgruppen i punkt (tekniska och organisatoriska åtgärder) och i punkt 3.5 (gränsöverskridande uppgiftsflöden) samt eventuella ytterligare mekanismer som kan vara lämpliga för att underlätta kundkontroll och ansvarsskyldighet (t.ex. oberoende tredjepartsrevisioner och certifieringar av en leverantörs tjänster se punkt 4.2). Molnleverantörer (som registerförare) är skyldiga att garantera sekretessen. I direktiv 95/46/EG anges följande: Den som utför arbete under den registeransvarige eller registerföraren, liksom registerföraren själv, och som får tillgång till personuppgifter, får behandla dem endast enligt instruktion från den registeransvarige, om han inte är skyldig att göra det enligt lag. Molnleverantörens åtkomst till uppgifter vid tillhandahållandet av tjänsterna styrs också i grunden av kravet på att bestämmelserna i artikel 17 i direktivet ska följas se avsnitt Registerförare måste ta hänsyn till vilken typ av moln det handlar om (offentligt, privat, nätgemenskap eller hybrid/iaas, SaaS eller PaaS [se bilaga a utvecklingsmodeller b modeller för tillhandahållande av tjänster]) och vilken typ av tjänst som kunden köper. Registerförare är ansvariga för att vidta säkerhetsåtgärder som är förenliga med EUlagstiftningen som den tillämpas i den registeransvariges och registerförarens jurisdiktioner. Registerförarna måste också stödja och hjälpa den registeransvarige att uppfylla registrerades (utövade) rättigheter Underentreprenörer Datormolntjänster kan innebära att flera avtalsparter deltar och fungerar som registerförare. Det är också vanligt att registerförare i sin tur anlitar underentreprenörer som sedan får tillgång till personuppgifter. Om registerförare lägger ut tjänster på underentreprenad är de skyldiga att ge kunden tillgång till denna information och beskriva vilken typ av tjänst som har lagts ut på underentreprenad, vilka egenskaper nuvarande eller potentiella underentreprenörer har och vilka garantier dessa enheter erbjuder molntjänsteleverantören för att direktiv 95/46/EG kommer att följas. Alla relevanta skyldigheter måste därför också gälla underentreprenörer genom avtal mellan molnleverantören och underentreprenören som avspeglar kraven i avtalet mellan molnkunden och molnleverantören. I sitt yttrande 1/2010 om begreppen registeransvarig och registerförare hänvisade artikel 29-arbetsgruppen till fallet med flera registerförare, där registerförarna kan ha ett direkt förhållande med den registeransvarige, eller fungera som underentreprenörer där registerförarna lägger ut delar av det behandlingsarbete de har fått i uppdrag att utföra. Det finns inget i direktivet som hindrar att flera enheter kan utses som registerförare eller (del)registerförare genom att de berörda uppdragen delas upp på grund av organisatoriska behov. Samtliga måste dock följa den registeransvariges instruktioner för behandlingen. 13 I sådana fall bör de skyldigheter och ansvarsområden som följer av uppgiftsskyddslagstiftningen fastställas tydligt och inte spridas i kedjan av entreprenader eller underentreprenaden, så att det går att säkerställa en effektiv kontroll över behandlingen och en tydlig ansvarsfördelning. 13 Yttrande 1/2010 om begreppen registeransvarig och registerförare, WP s

10 En möjlig garantimodell för att förtydliga registerförarnas skyldigheter när de lägger ut behandling av uppgifter på underentreprenörer infördes för första gången genom kommissionens beslut av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland 14. Enligt denna modell är det endast tillåtet med underentreprenörer om den registeransvarige har gett sitt skriftliga samtycke och det finns ett skriftligt avtal som ålägger underentreprenören samma skyldigheter som registerföraren. Om underentreprenören inte uppfyller sina skyldigheter i fråga om uppgiftsskydd enligt ett sådant skriftligt avtal ska registerföraren fortfarande ha det fulla ansvaret gentemot den registeransvarige för att uppfylla underentreprenörens skyldigheter enligt avtalet. En liknande bestämmelse skulle kunna användas i alla avtalsklausuler mellan en registeransvarig och en molntjänsteleverantör, om den senare tänker tillhandahålla tjänster genom underentreprenörer, för att få de garantier som krävs för underentreprenaden. En liknande lösning för garantier vid underentreprenader föreslogs nyligen av kommissionen i förslaget till en allmän uppgiftsskyddsförordning 15. En registerförares verksamhet måste styras av ett avtal eller en annan juridiskt bindande akt som knyter registerföraren till den registeransvarige och särskilt innebär att registerföraren bl.a. måste få tillstånd av den registeransvarige i förväg för att anlita någon annan registerförare (artikel 26.2 i förslaget). Artikel 29-arbetsgruppen anser att registerföraren endast får lägga ut sin verksamhet på underentreprenad med den registeransvariges samtycke, vilket generellt kan lämnas när tjänsten börjar tillhandahållas 16. Registerföraren har en tydlig skyldighet att informera den registeransvarige om eventuella planerade ändringar, t.ex. genom att underentreprenörer läggs till eller tas bort. Den registeransvarige ska hela tiden ha möjlighet att invända mot ändringarna eller säga upp avtalet. Det bör finnas en tydlig skyldighet för molnleverantören att ange alla underentreprenörer som anlitas. Dessutom bör det undertecknas ett avtal mellan molnleverantören och underentreprenören som återspeglar villkoren i avtalet mellan molnkunden och molnleverantören. Den registeransvarige bör ha avtalsenliga möjligheter till rättelse om underentreprenören orsakar brott mot avtalet. Detta kan ordnas genom att registerföraren ges direkt ansvar gentemot den registeransvarige för eventuella brott mot avtalet som orsakas av en underentreprenör som registerföraren har anlitat, eller genom att en klausul om tredjepartsberättigande införs för den registeransvarige i de avtal som tecknas mellan registerföraren och underentreprenörerna, eller genom att dessa avtal undertecknas på den registeransvariges vägnar vilket innebär att denne blir en avtalspart. 3.4 Uppgiftsskyddskrav i förhållandet mellan kund och leverantör Följa de grundläggande principerna För att behandlingen av personuppgifter i molnet ska vara laglig måste de grundläggande principerna i EU:s uppgiftsskyddslagstiftning följas. Det innebär att den registrerades insyn ska garanteras, principen om angivande och begränsning av ändamål måste följas och personuppgifter ska raderas så snart de inte behöver lagras längre. Dessutom måste lämpliga tekniska och organisatoriska åtgärder vidtas för att garantera en tillfredsställande uppgiftsskydds- och uppgiftssäkerhetsnivå Se FAQ II.5 i WP176. Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Se FAQ II.1 i WP176 av den 12 juli

11 Insyn Insyn är avgörande för en rättvis och legitim behandling av personuppgifter. Enligt direktiv 95/46/EG är molnkunden skyldig att informera den registrerade om att dennes person- och identitetsuppgifter samlas in och om ändamålet med behandlingen. Molnkunden bör också lämna all ytterligare information, t.ex. om mottagarna eller kategorierna av mottagare av uppgifterna, vilket också kan innefatta registerförare och underentreprenörer om den informationen är nödvändig för att garantera en rättvis behandling av den registrerade (se artikel 10 i direktivet) 17. Insynen måste också garanteras i förhållandet mellan molnkunden, molnleverantören och eventuella underentreprenörer. Molnkunden kan endast bedöma om behandlingen av personuppgifter i molnet är laglig om leverantören informerar kunden om alla relevanta frågor. En registeransvarig som vill anlita en molnleverantör bör kontrollera molnleverantörens villkor noggrant och bedöma dem ur uppgiftsskyddssynpunkt. Insyn i molnet betyder att molnkunden måste informeras om alla underentreprenörer som bidrar till tillhandahållande av den respektive molntjänsten och om var alla datacenter där personuppgifter kan komma att behandlas ligger. 18 Om tillhandahållandet av tjänsten kräver installation av programvara i molnkundens system (t.ex. insticksprogram i webbläsare) bör molnleverantören som god praxis upplysa kunden om detta och framför allt om vad detta innebär för uppgiftsskyddet och uppgiftssäkerheten. Molnkunden bör å sin sida ta upp denna fråga i förväg, om inte molnleverantören ger tillräckligt med information Specificering och begränsning av ändamål Principen om specificering och begränsning av ändamål kräver att personuppgifter måste samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte får vidarebehandlas på något sätt som är oförenligt med dessa ändamål (se artikel 6.1 b i direktiv 95/46/EG). Molnkunden måste fastställa ändamålet eller ändamålen med behandlingen innan personuppgifter samlas in från den registrerade och informera den registrerade om det. Molnkunden får inte behandla personuppgifter för andra ändamål som inte är förenliga med de ursprungliga ändamålen. Dessutom måste det säkerställas att personuppgifter inte (olagligt) behandlas för andra ändamål av molnleverantören eller någon av dennes underentreprenörer. Det är inte ovanligt att ett typiskt molnscenario omfattar ett stort antal underentreprenörer, varför risken för behandling av personuppgifter för andra, oförenliga ändamål måste betraktas som ganska stor. För att minimera denna risk bör avtalet mellan molnleverantören och molnkunden omfatta tekniska och organisatoriska åtgärder för att minska risken och ge garantier för att den behandling av personuppgifter som utförs av anställda hos molnleverantören eller dennes underentreprenörer registreras och granskas. 19 Avtalet bör innehålla klausuler om straffavgifter för leverantören eller underentreprenören om uppgiftsskyddslagstiftningen överträds Motsvarande skyldighet att informera den registrerade finns när uppgifter som inte har inhämtats från den registrerade själv utan kommer från andra källor registreras eller lämnas ut till en tredje part (se artikel 11). Det är först då som molnkunden kan bedöma om personuppgifter kan överföras till ett tredjeland utanför Europeiska ekonomiska samarbetsområdet (EES) som inte garanterar ett tillfredsställande skydd i den mening som avses i direktiv 95/46/EG. Se också avsnitt Se avsnitt

12 Radering av uppgifter Enligt artikel 6.1 e i direktiv 95/46/EG ska personuppgifter förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Personuppgifter som inte längre är nödvändiga måste raderas eller anonymiseras fullständigt. Om uppgifterna inte kan raderas på grund av rättsliga regler om lagring (t.ex. skattebestämmelser), bör tillgången dessa personuppgifter blockeras. Det är molnkundens ansvar att se till att personuppgifter raderas så snart de inte längre är nödvändiga i den mening som anges ovan 20. Principen om radering av uppgifter gäller personuppgifter oavsett om de lagras på hårddiskar eller andra lagringsmedier (t.ex. säkerhetskopieringsband). Eftersom personuppgifter kan lagras redundant på olika servrar på olika platser måste det säkerställas att varje förekomst av dem raderas oåterkalleligt (dvs. även tidigare versioner, tillfälliga filer och till och med filfragment ska raderas). Molnkunder måste vara medvetna om att loggdata 21 som gör det lättare att granska t.ex. lagring, ändring eller radering av uppgifter också kan klassificeras som personuppgifter om den person som utförde den berörda behandlingen. 22 För säker radering av personuppgifter krävs att lagringsmediet förstörs eller avmagnetiseras eller att de lagrade personuppgifterna raderas effektivt genom överskrivning. För överskrivning av personuppgifter bör särskilda programvaruverktyg som skriver över data flera gånger enligt en erkänd specifikation användas. Molnkunden bör se till att molnleverantören garanterar säker radering i den mening som anges ovan och att avtalet mellan leverantören och kunden innehåller tydliga bestämmelser om radering av personuppgifter 23. Detsamma gäller avtal mellan molnleverantörer och underentreprenörer Säkerhetsklausuler i avtal mellan registeransvarig och registerförare Om registeransvariga beslutar sig för att anlita datormolntjänster måste de välja en registerförare som kan ge tillräckliga garantier för de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som måste vidtas och se till att dessa åtgärder genomförs (artikel 17.2 i direktiv 95/46/EG). Dessutom är de rättsligt skyldiga att teckna ett formellt avtal med molntjänsteleverantören enligt artikel 17.3 i direktiv 95/46/EG. I den artikeln fastställs kravet på att det ska finnas ett avtal eller annan rättsligt bindande handling som reglerar förhållandet mellan den registeransvarige och registerföraren. För att säkra bevisning ska de delar av avtalet eller den rättsligt bindande handlingen som rör skyddet av uppgifter och de krav som rör de tekniska och organisatoriska åtgärderna föreligga i skriftlig eller därmed jämförlig form. I avtalet måste det minst fastställas att registerföraren ska följa den registeransvariges instruktioner och att registerföraren ska vidta tekniska och organisatoriska åtgärder för att ge personuppgifter ett tillfredsställande skydd. För att garantera rättssäkerhet bör avtalet också gälla följande frågor: Radering av uppgifter är ett problem under hela giltighetstiden för ett avtal om datormolntjänster och när avtalet upphör. Det är också relevant om en underentreprenör ersätts eller avskaffas. Loggningskraven tas upp i punkt Detta betyder att det måste fastställas rimliga lagringsperioder för loggfiler och att det måste finnas processer som garanterar att uppgifterna raderas eller anonymiseras i rätt tid. Se avsnitt

13 1. Detaljer om (omfattningen av och villkoren för) kundens instruktioner till leverantören, särskilt i fråga om de tillämpliga servicenivåavtalen (som bör vara objektiva och mätbara) och de gällande påföljderna (som kan vara finansiella eller gälla möjligheten att stämma leverantören om villkoren inte uppfylls). 2. Specificering av de säkerhetsåtgärder som molnleverantören måste följa, beroende på de risker som följer av behandlingen och egenskaperna hos de uppgifter som ska skyddas. Det är mycket viktigt att det specificeras konkreta tekniska och organisatoriska åtgärder, t.ex. dem som beskrivs i punkt Detta hindrar inte att eventuella strängare bestämmelser tillämpas enligt kundens nationella lagstiftning. 3. Ämne och tidsram för den molntjänst som molnleverantören ska leverera, omfattning, metod och ändamål för molnleverantörens behandling av personuppgifterna, samt vilka typer av personuppgifter som ska behandlas. 4. Specificering av villkoren för att återlämna (person)uppgifterna eller förstöra uppgifterna så snart tjänsten är slutförd. Det måste också garanteras att personuppgifter raderas på ett säkert sätt på molnleverantörens begäran. 5. Införande av en bindande sekretessklausul för både molnleverantören och de av leverantörens anställda som kan få tillgång till uppgifterna. Endast behöriga personer får ha tillgång till uppgifter. 6. Skyldighet för leverantören att stödja kunden genom att underlätta de registrerades möjlighet att utöva sina rättigheter att få tillgång till, korrigera eller radera sina uppgifter. 7. Det bör uttryckligen anges i avtalet att molnleverantören inte får vidarebefordra uppgifterna till tredje part, inte ens för lagringsändamål, förutsatt att det inte fastställs i avtalet att underentreprenörer kommer att anlitas. Det bör anges i avtalet att underentreprenörer endast får anlitas med den registeransvariges samtycke, vilket kan lämnas i generella ordalag och bör ge registerföraren en tydlig skyldighet att informera den registeransvarige om alla planerade ändringar av detta. Den registeransvarige ska alltid ha möjlighet att invända mot förändringarna eller att säga upp avtalet. Det bör finnas en tydlig skyldighet för molnleverantören att ange alla underentreprenörer som anlitas (t.ex. i ett offentligt digitalt register). Det måste säkerställas att avtal mellan molnleverantör och underentreprenör återspeglar villkoren i avtalet mellan molnkunden och molnleverantören (dvs. att underentreprenörer omfattas av samma avtalsenliga skyldigheter som molnleverantören). Det måste framför allt garanteras att både molnleverantör och alla underentreprenörer enbart ska agera enligt molnkundens instruktioner. Som förklaras i kapitlet om underentreprenader bör ansvarskedjan vara tydligt fastställd i avtalet. Där bör fastställas att registerföraren är skyldig att ange en ram för internationella överföringar, t.ex. genom att teckna avtal med underentreprenörer på grundval av standardavtalsklausulerna i beslut 2010/87/EU. 8. Förtydligande av molnleverantörens ansvar att meddela molnkunden om alla dataintrång som påverkar molnkundens uppgifter. 9. Molnleverantörens skyldighet att tillhandahålla en förteckning över de platser där uppgifterna kan komma att behandlas. 10. Den registeransvariges rätt att övervaka och molnleverantörens motsvarande skyldighet att samarbeta. 11. Det bör fastställas i avtalet att molnleverantören måste informera kunden och relevanta ändringar i respektive molntjänst, t.ex. installation av nya funktioner. 13

14 12. Avtalet bör innehålla bestämmelser om loggning och granskning av den berörda behandlingen av personuppgifter som utförs av molnleverantören eller underentreprenörerna. 13. Molnkunden ska meddelas om alla rättsligt bindande framställningar om utlämning av personuppgifter från brottsbekämpande myndigheter om detta inte är förbjudet, t.ex. enligt straffrätten, för att bevara sekretessen i en brottsutredning. 14. En allmän skyldighet för leverantören att ge garantier för att dennes (och eventuella underentreprenörers) interna organisation och behandlingssystem uppfyller kraven i tillämpliga nationella och internationella lagar och standarder. Vid överträdelser av den registeransvarige ska varje person som lider skada till följd av olaglig behandling ha rätt till ersättning från den registeransvarige för de skador som orsakats. Om registerförarna använder uppgifterna för något annat ändamål eller vidarebefordrar dem eller använder dem på ett sätt som står i strid med avtalet, ska även de betraktas som registeransvariga och hållas ansvariga för de överträdelser som de personligen har deltagit i. Det bör påpekas att molntjänsteleverantörer i många fall erbjuder standardiserade tjänster och avtal som ska undertecknas av registeransvariga där det fastställs ett standardformat för behandling av personuppgifter. Det faktum att en liten registeransvarig inte har samma starka förhandlingsposition som en stor tjänsteleverantör bör inte heller godtas som motivering för att den registeransvarige godtar avtalsklausuler och avtalsvillkor som inte är förenliga med uppgiftskyddslagstiftningen Tekniska och organisatoriska åtgärder för uppgiftsskydd och uppgiftssäkerhet Enligt artikel 17.2 i direktiv 95/46/EG åläggs molnkunder (som agerar som registeransvariga) det fulla ansvaret för att välja molnleverantörer som tillämpar ändamålsenliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter och kan demonstrera ansvarsskyldighet. Utöver de grundläggande säkerhetsmålen för tillgänglighet, sekretess och integritet måste man också uppmärksamma de kompletterande uppgiftsskyddsmålen för insyn (se punkt ), isolering 24, möjlighet att ingripa, ansvarsskyldighet och portabilitet. I detta avsnitt belyses dessa centrala uppgiftsskyddsmål, utan att detta påverkar annan, kompletterande säkerhetsorienterad riskanalys Tillgänglighet Att tillhandahålla tillgänglighet handlar om att säkerställa snabb och tillförlitlig tillgång till personuppgifter. Ett allvarligt hot mot tillgängligheten i molnet är oavsiktlig förlust av nätanslutning mellan kunden och leverantören eller förlust av serverprestanda på grund av illvilligt uppträdande, som (distribuerade) överbelastningsattacker (Denial of Service attacks) 26. Andra tillgänglighetsrisker gäller oavsiktliga hårdvarufel i nätet eller i molnets behandlings- och datalagringssystem, strömavbrott och andra infrastrukturproblem I Tyskland har det bredare begreppet olänkbarhet införts i lagstiftningen och förespråkas av Conference of Data Protection Commissioners. Se t.ex. Enisa på En överbelastningsattack är ett samordnat försök att göra en dator eller nätresurs tillfälligt eller permanent otillgänglig för dess behöriga användare (t.ex. genom att ett stort antal parallella attackerande system paralyserar målet med en mängd externa kommunikationsförfrågningar). 14

15 Registeransvariga bör kontrollera att molnleverantören har vidtagit rimliga åtgärder för att hantera risken för avbrott, t.ex. genom reservanslutningar till internet, redundant lagring och effektiva säkerhetskopieringsmekanismer Integritet Integritet kan identifieras som egenskapen att uppgiften är autentisk och inte med uppsåt eller oavsiktligen har ändrats under behandling, lagring eller överföring. Begreppet integritet kan utvidgas till it-system och kräver att behandlingen av personuppgifter i dessa system bevaras oförändrad. Ändringar i personuppgifter kan upptäckas genom kryptografiska autentiseringsmekanismer som autentiseringskoder eller autentiseringssignaturer för meddelanden. Det går att förebygga eller upptäcka intrång i it-systems integritet genom system för att upptäcka eller förebygga intrång (IPS/IDS). Detta är särskilt viktigt i den typ av öppna nätverksmiljöer som moln vanligtvis fungerar inom Sekretess I en molnmiljö kan kryptering bidra avsevärt till sekretessen för personuppgifter om den tillämpas korrekt, även om den inte oåterkalleligen anonymiserar personuppgifterna 27. Kryptering av personuppgifter bör alltid användas när uppgifter är i transit och när kryptering finns tillgänglig för uppgifter i viloläge. 28 I vissa fall (t.ex. en IaaSlagringstjänst) kanske en molnkund inte förlitar sig på en krypteringslösning som erbjuds av molnleverantören utan i stället väljer att kryptera personuppgifter innan de skickas till molnet. Vid kryptering av uppgifter i viloläge måste man särskilt uppmärksamma hantering av krypteringsnycklar eftersom uppgiftssäkerheten då i slutänden är beroende av sekretessen för krypteringsnycklarna. Kommunikationer mellan molnleverantör och kund och även mellan datacenter bör vara krypterade. Fjärradministration av molnplattformen bör endast utföras via en säker kommunikationskanal. Om en kund inte enbart tänker lagra utan också vidarebehandla personuppgifterna i molnet (t.ex. söka poster i databaser) måste kunden hålla i åtanke att kryptering inte kan upprätthållas under behandlingen av personuppgifterna (utom i mycket specifika beräkningar). Ytterligare tekniska åtgärder för att garantera sekretessen omfattar tillståndsmekanismer och stark autentisering (t.ex. tvåfaktorsautentisering). Avtalsklausulerna bör också medföra sekretessförpliktelser för anställda hos molnkunder, molnleverantörer och underentreprenörer Insyn Tekniska och organisatoriska åtgärder måste stödja insyn för att möjliggöra granskning, se punkt Skäl 26 i direktiv 95/46/EG: Skyddsprinciperna gäller inte för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar. På motsvarande sätt kommer de tekniska datafragmenteringsprocesser som kan komma att användas inom ramen för tillhandahållandet av datormolntjänster inte att leda till oåterkallelig anonymisering och innebär alltså inte att skyldigheterna i fråga om uppgiftsskydd inte är tillämpliga. Detta gäller särskilt för registeransvariga som planerar att föra över känsliga uppgifter i den mening som avses i artikel 8 i direktiv 95/46/EG (t.ex. hälsouppgifter) till molnet och som omfattas av särskilda rättsliga skyldigheter till tystnadsplikt. 15

16 Isolering (begränsning av ändamål) I molninfrastrukturer delas resurser som lagring, minne och nät mellan flera kunder. Detta skapar nya risker för att uppgifter ska avslöjas och behandlas för olagliga ändamål. Syftet med skyddsmålet isolering är att lösa detta problem och bidra till garantierna för att uppgifter inte används utöver sitt ursprungliga ändamål (artikel 6.1 b i direktiv 95/46/EG) och upprätthålla sekretess och integritet. 29 För att skapa isolering krävs för det första en lämplig styrning av rättigheter och roller för den personal som har åtkomst till uppgifterna och detta ska granskas regelbundet. Roller med alltför stora rättigheter bör undvikas (ingen användare eller administratör bör t.ex. ha åtkomstbehörighet för hela molnet). Mer generellt ska administratörer och användare endast kunna komma åt den information som krävs för deras legitima ändamål (principen om minsta möjliga behörighet). För det andra krävs det också tekniska åtgärder som en förstärkt hypervisor och tillfredsställande hantering av delade resurser om virtuella maskiner används för att dela fysiska resurser mellan olika molnkunder Möjlighet att ingripa Genom direktiv 95/46/EG ges registrerade rätt att få tillgång, korrigera, radera, blockera och göra invändningar (se artiklarna 12 och 14). Molnkunden måste kontrollera att molnleverantören inte inför tekniska och organisatoriska hinder för dessa krav. Detta gäller även när uppgifterna vidarebehandlas av underentreprenörer. Avtalet mellan kunden och leverantören bör innehålla klausuler om att molnleverantören är skyldig att hjälpa kunden att underlätta utövandet av de registrerades rättigheter och se till att detta även gäller i leverantörens förhållande med eventuella underentreprenörer Portabilitet I dag använder de flesta molnleverantörer inte standardiserade dataformat och servicegränssnitt som underlättar driftskompatibilitet och portabilitet mellan olika molnleverantörer. Om en molnkund bestämmer sig för att flytta från en molnleverantör till en annan kan denna brist på driftskompatibilitet innebära att det blir omöjligt eller åtminstone svårt att överföra kundens (person)uppgifter till den nya molnleverantören (låsning av köparen till vissa produkter). Detsamma gäller för tjänster som kunden har utvecklat på en plattform som erbjuds av den ursprungliga molnleverantören (Platform as a Service, PaaS). Molnkunden bör kontrollera om och hur leverantören garanterar portabilitet för uppgifter och tjänster innan molntjänsten beställs Ansvarsskyldighet På it-området kan ansvarsskyldighet definieras som förmågan att fastställa vad en enhet gjorde vid en viss tidpunkt och hur. När det gäller uppgiftsskydd har begreppet ofta en vidare mening och beskriver parternas förmåga att visa att de vidtagit lämpliga åtgärder för att se till att principerna för uppgiftsskydd har tillämpats Se punkt Se avsnitt punkt 6. Leverantören kan också instrueras att besvara förfrågningar på kundens vägnar. Helst bör leverantören använda standardiserade eller öppna dataformat och datagränssnitt. I vilket fall som helst bör det införas avtalsklausuler om garanterade format, upprätthållande av logiska förbindelser och eventuella kostnader till följd av migreringen till en annan molnleverantör. 16

17 It-ansvarsskyldighet är särskilt viktigt för att utreda intrång i personuppgifter, där både molnkunder, leverantörer och underentreprenörer kan bära en del av det operativa ansvaret. Molnplattformens förmåga att erbjuda tillförlitlig övervakning och omfattande loggningsmekanismer är av avgörande betydelse i detta avseende. Dessutom bör molnleverantörer lägga fram styrkande handlingar som visar att man har vidtagit lämpliga och effektiva åtgärder som ger de resultat som krävs enligt de principer som beskrivs i de föregående avsnitten. Exempel på sådana åtgärder är förfaranden för att garantera identifiering av all uppgiftsbehandling, besvara åtkomstförfrågningar, fördela resurser, inbegripet utnämning av uppgiftsskyddsombud som är ansvariga för att organisera efterlevnaden av uppgiftsskyddet, eller oberoende certifieringsförfaranden. Dessutom bör registeransvariga vara beredda att på begäran visa den behöriga tillsynsmyndigheten att de nödvändiga åtgärderna har vidtagits Internationella överföringar Enligt artiklarna 25 och 26 i direktiv 95/46/EG är ett fritt flöde av personuppgifter till länder utanför EES endast tillåtet om det landet eller den mottagaren erbjuder en tillfredsställande skyddsnivå för uppgifterna. Annars måste den registeransvarige och dennes medregisteransvariga och/eller registerförare införa särskilda skyddsmekanismer. Datormoln utmärks dock oftast av en total avsaknad av stabila lokaliseringar av uppgifter inom molnleverantörens nät. Uppgifterna kan finnas i ett datacenter kl. 14 och sedan finnas på andra sidan jordklotet kl. 16. Det är alltså sällsynt att molnkunden kan känna till i realtid var uppgifter är placerade eller lagrade eller överförda. I detta sammanhang har de traditionella rättsliga instrument som reglerar uppgiftsöverföringar till tredjeländer som inte erbjuder adekvat skydd sina begränsningar Safe Harbour och länder som erbjuder adekvat skydd Resultaten om en adekvat skyddsnivå, inklusive Safe Harbour, är begränsade i geografisk omfattning och täcker alltså inte alla överföringar i molnet. Överföringar till amerikanska organisationer som tillämpar principerna kan vara förenliga med EU-lagstiftningen eftersom de mottagande organisationerna anses erbjuda en adekvat skyddsnivå för de överförda uppgifterna. Arbetsgruppen anser dock att enbart självcertifiering enligt Safe Harbour inte kan anses vara tillräcklig så länge det inte finns någon robust verkställighet för principerna om uppgiftsskydd i molnmiljön. Dessutom krävs det enligt artikel 17 i EU-direktivet att det undertecknas ett avtal mellan en registeransvarig och en registerförare om behandling, vilket bekräftas i FAQ 10 i dokumentationen om Safe Harbour-ramen mellan EU och USA. Detta avtal behöver inte godkännas i förväg av de europeiska dataskyddsmyndigheterna. I ett sådant avtal fastställs vilken behandling som ska utföras och eventuella åtgärder som krävs för att garantera att uppgifterna är säkra. Olika nationella lagstiftningar och dataskyddsmyndigheter kan ställa ytterligare krav. Arbetsgruppen anser att företag som exporterar uppgifter inte enbart bör lita på uppgiftsimportörens deklaration om att den har en Safe Harbour-certifiering. I stället bör det företag som exporterar uppgifter inhämta belägg för att det finns en självcertifiering enligt 32 Arbetsgruppen lämnade detaljerade synpunkter på frågan om ansvarsskyldighet i sitt yttrande 3/2010 om principen om ansvarsskyldighet 17

18 Safe Harbour och kräva bevis för att principerna följs. Detta är särskilt viktigt för den information som lämnas till de registrerade som påverkas av uppgiftsbehandlingen 33, 34. Arbetsgruppen anser också att molnkunden måste kontrollera om de standardavtal som utformats av molnleverantörerna är förenliga med de nationella kraven på avtal om behandling av uppgifter. Nationell lagstiftning kan kräva att underentreprenörer ska definieras i avtalet, vilket även omfattar lokalisering och andra uppgifter om underentreprenörerna, och uppgifternas spårbarhet. Normalt erbjuder molnleverantörer inte kunden sådan information deras åtagande enligt Safe Harbour kan inte kompensera för bristen på ovannämnda garantier när sådana krävs enligt nationell lagstiftning. I sådana fall uppmuntras exportören att använda andra tillgängliga rättsliga instrument, t.ex. standardavtalsklausuler eller bindande företagsregler. Slutligen anser arbetsgruppen att Safe Harbour-principerna i sig kanske inte heller ger uppgiftsexportören tillräckliga möjligheter att försäkra sig om att molnleverantören i USA har vidtagit lämpliga säkerhetsåtgärder som kan krävas enligt nationell lagstiftning på grundval av direktiv 95/46/EG 35. När det gäller datasäkerhet medför datormoln flera molnspecifika risker, som förlust av styrning, osäker eller ofullständig radering av uppgifter, otillräcklig loggning eller bristande isolering 36, som inte behandlas i tillräcklig utsträckning av de befintliga Safe Harbour-principerna för uppgiftssäkerhet 37. Därför går det att använda ytterligare skyddsmekanismer för uppgiftssäkerheten, t.ex. genom att införliva sakkunskap och resurser hos tredje parter som kan bedöma om molnleverantörerna erbjuder en adekvat skyddsnivå genom olika typer av granskning, standardisering och certifiering 38. Därför kan det vara lämpligt att komplettera uppgiftsimportörens åtagande att följa Safe Harbour med ytterligare skyddsåtgärder med hänsyn till molnets särskilda egenskaper Undantag De undantag som föreskrivs i artikel 26 i direktiv 95/46/EG gör det möjligt för uppgiftsexportörer att överföra uppgifter utanför EU utan att lämna ytterligare garantier. Artikel 29-arbetsgruppen har dock antagit ett yttrande om att undantag endast ska tillämpas när överföringarna varken är återkommande, omfattande eller strukturella. 39 Utifrån dessa tolkningar är det nästan omöjligt att förlita sig på undantag i samband med datormoln Standardavtalsklausuler De standardavtalsklausuler som Europeiska kommissionen har antagit för att skapa en ram för internationella uppgiftsöverföringar mellan två registeransvariga eller en registeransvarig och Se tyska dataskyddsmyndigheten: För krav på avtal med underentreprenörer, se punkt Se ett yttrande från den danska dataskyddsmyndigheten: Beskrivs ingående i Enisas rapport Cloud Computing: Benefits, Risks and Recommendations for Information Security på Organisationer måste vidta rimliga försiktighetsåtgärder för att förhindra förlust, missbruk och otillåten åtkomst, otillåtet avslöjande, otillåten ändring eller otillåten radering av personuppgifter. Se avsnitt 4.2. Arbetsdokument 12/1998: Överföring av personuppgifter till tredje land: tillämpning av artiklarna 25 och 26 i EU:s dataskyddsdirektiv, antaget av arbetsgruppen den 24 juli 1998 ( 18

19 en registerförare bygger på en bilateral strategi. När molnleverantören betraktas som registerförare kan registerföraren och den registeransvarige använda standardklausuler enligt kommissionens beslut 2010/87/EU som grund för datormolnmiljön i syfte att erbjuda en adekvat skyddsnivå vid internationella överföringar. Utöver standardavtalsklausulerna anser arbetsgruppen att molnleverantörer skulle kunna erbjuda kunderna bestämmelser som bygger på deras praktiska erfarenhet, så länge dessa inte direkt eller indirekt strider mot de standardavtalsklausuler som godkänts av kommissionen eller äventyrar de registrerades grundläggande fri och rättigheter 40. Företagen får emellertid inte ändra standardavtalsklausulerna utan att ange att klausulerna inte längre följer standarden 41. När den molnleverantör som fungerar som registerförare etablerad i EU kan läget bli ännu mer komplicerat, eftersom standardklausulerna i allmänhet endast gäller uppgiftsöverföring från en EU-registerförare till en icke-eu-registerförare (se skäl 23 i kommissionens beslut 2010/87/EU om standardavtalsklausuler och WP 176). När det gäller avtalsförhållandet mellan icke-eu-registerföraren och underentreprenörerna bör det införas ett skriftligt avtal som medför samma skyldigheter för underentreprenören som införs för registerföraren i standardklausulerna Bindande företagsregler: mot en global strategi Bindande företagsregler är en uppförandekod för företag som överför uppgifter inom gruppen. En sådan lösning kommer också att föreskrivas för datormoln när leverantören är en registerförare. Artikel 29-arbetsgruppen arbetar redan nu med bindande företagsregler för registerförare som kommer att tillåta överföring inom gruppen på de registeransvarigas vägnar utan att det krävs undertecknade avtal per kund mellan registerföraren och underentreprenörerna. 42 Sådana bindande företagsregler skulle göra det möjligt för leverantörens kund att anförtro registerföraren sina personuppgifter och vara säker på att uppgifter som överförs i leverantörens verksamhet får en adekvat skyddsnivå. 4. Slutsatser och rekommendationer Företag och myndigheter som vill använda datormoln bör i första hand göra en omfattande och grundlig riskanalys. Denna analys måste ta upp riskerna i samband med behandling av uppgifter i molnet (bristande kontroll och otillräcklig information se avsnitt 2) med hänsyn till vilken typ av uppgifter som behandlas i molnet. 43 Bedömningen av de rättsliga riskerna i fråga om uppgiftsskydd bör uppmärksammas särskilt. Dessa risker gäller främst Se FAQ IV B1.9 9: Kan företag införliva standardavtalsklausulerna i ett mer omfattande kontrakt och lägga till särskilda klausuler? Offentliggjord av Europeiska kommissionen på Se FAQ IV B1.10: Kan företag ändra de standardavtalsklausuler som har godkänts av kommissionen? Se arbetsdokument 02/2012 om en tabell över de delar och principer som återfinns i de bindande företagsreglerna för registerförare, som antogs den 6 juni 2012: Enisa har en förteckning över de risker som måste beaktas 19

20 säkerhetsförpliktelser och internationella överföringar. Behandlingen av känsliga uppgifter i datormoln ger upphov till ytterligare farhågor. Utan att det påverkar nationell lagstiftning krävs det därför ytterligare skyddsåtgärder för sådan behandling. 44 Slutsatserna är avsedda att erbjuda en checklista för uppgiftsskydd för molnkunder och molnleverantörer utifrån gällande lagstiftning. Vissa rekommendationer ges också inför utvecklingen av regelverket på EU-nivå och därutöver. 4.1 Riktlinjer för köpare och leverantörer av datormolntjänster Förhållandet registeransvarig registerförare: Detta yttrande är inriktat på förhållandet mellan kund och leverantör som ett förhållande mellan registeransvarig och registerförare (se punkt 3.3.1). I vissa konkreta fall kan det dock finnas lägen där molnleverantören även kan fungera som registeransvarig, t.ex. när leverantören återbehandlar vissa personuppgifter för egna ändamål. I så fall har molnleverantören det fulla (gemensamma) ansvaret för behandlingen och måste uppfylla alla rättsliga skyldigheter som föreskrivs i direktiven 95/46/EG och 2002/58/EG (i tillämpliga fall). Molnkundens ansvar som registeransvarig: Kunden som registeransvarig måste ta på sig det fulla ansvaret för att följa uppgiftsskyddslagstiftningen och omfattas av alla de rättsliga skyldigheter som anges i direktiven 95/46/EG och 2002/58/EG, i tillämpliga fall, särskilt gentemot de registrerade (se 3.3.1). Kunden bör välja en molnleverantör som garanterar efterlevnad av EU:s uppgiftsskyddslagstiftning, vilket ska återspeglas genom de lämpliga avtalsenliga skyddsåtgärder som sammanfattas nedan. Skyddsåtgärder vid underentreprenad: Det bör införas bestämmelser om underentreprenad i alla avtal mellan molnleverantören och molnkunder. Det bör anges i avtalet att underentreprenörer endast får anlitas med den registeransvariges samtycke, vilket kan lämnas i generella ordalag och bör ge registerföraren en tydlig skyldighet att informera den registeransvarige om alla planerade ändringar av detta. Den registeransvarige ska alltid ha möjlighet att invända mot förändringarna eller att säga upp avtalet. Det bör finnas en tydlig skyldighet för molnleverantören att ange alla underentreprenörer som anlitas. Molnleverantören bör underteckna ett avtal med varje underentreprenör som återspeglar villkoren i leverantörens avtal med molnkunden. Kunden bör se till att den har avtalsenliga möjligheter till rättelse om leverantörens underentreprenörer bryter mot sitt avtal (se 3.3.2). Efterlevnad av grundläggande principer för uppgiftsskydd: o Insyn (se ): Molnleverantörer bör informera molnkunden om alla relevanta (uppgiftsskydds)aspekter på sina tjänster under avtalsförhandlingarna. Kunderna bör särskilt informeras om alla underentreprenörer som bidrar till att tillhandahålla den berörda molntjänsten och alla lokaler där uppgifter kan komma att lagras eller behandlas av molnleverantören och/eller dennes underentreprenörer (särskilt om någon eller några lokaler ligger utanför Europeiska ekonomiska samarbetsområdet (EES)). Kunden bör få meningsfull information om tekniska och organisatoriska åtgärder som leverantören har vidtagit. Kunden bör som god praxis informera de registrerade om molnleverantören och alla (eventuella) underentreprenörer samt om de platser där uppgifter kan komma att lagras eller behandlas av molnleverantören och/eller dennes underentreprenörer. 44 Se Sopotförklaringen, jfr fotnot 2. 20