Hur fördelas personuppgiftsansvar vid användning av molntjänster?

När en verksamhet ska anlita en extern tjänsteleverantör som ska behandla personuppgifter, såsom en molntjänstleverantör, så är det vanligt att parterna ingår ett personuppgiftsbiträdesavtal (PUB-avtal) enligt GDPR.

Det är ofta en rimlig utgångspunkt att ingå ett personuppgiftsbiträdesavtal.

Men ibland blir det fel – eller så återspeglar det inte hela relationen mellan parterna.

Den här artikeln framför några resonemang kring hur personuppgiftsansvaret kan fördelas vid användning av molntjänster.

Till en början behöver vi förstå vem som är personuppgiftsansvarig och vem som är personuppgiftsbiträde för vilken personuppgiftsbehandling.

Personuppgiftsansvarig och personuppgiftsbiträde

En verksamhet som använder en molntjänst definieras inte sällan slentrianmässigt som personuppgiftsansvarig medan molntjänstleverantören (t.ex. ett SaaS-bolag) definieras som personuppgiftsbiträde. GDPR ger dock inte utrymme för en så rigid syn, där användande verksamhet alltid likställs med ansvarig och leverantören alltid likställs med biträde.

Parterna kan visserligen avtala att deras roller ska fördelas på ett visst sätt. Men om parternas roller i verkligheten är annorlunda, så har verkligheten på marken företräde. Det är alltså GDPR:s legaldefinitioner¹ av personuppgiftsansvarig och personuppgiftsbiträde i förhållande till de verkliga omständigheterna som avgör rollfördelningen – inte vad som står i ett PUB-avtal. Ett skäl så gott som något för verksamheter och SaaS-leverantörer att se till att deras avtal speglar verkligheten.

Personuppgiftsansvar är inte en bestämd roll som följer en verksamhet i allt den gör. En verksamhet är personuppgiftsansvarig eller personuppgiftsbiträde för specifik personuppgiftsbehandling.

En verksamhet som använder en molntjänst kan alltså vara personuppgiftsansvarig för viss personuppgiftsbehandling i molntjänsten, medan molntjänstleverantören kan vara personuppgiftsansvarig för annan personuppgiftsbehandling i molntjänsten. Samma personuppgifter skulle dessutom kunna behandlas på olika sätt, för olika ändamål, och det kan därmed finnas olika personuppgiftsansvariga för olika behandlingar av samma personuppgifter.

Exempel: enkätverktyg

Låt säga att en verksamhet ska använda en molntjänst och därför ingår ett kommersiellt avtal med molntjänstleverantören. Därefter överförs personuppgifter till molntjänsten, och uppgifterna behandlas i molntjänsten på olika sätt. Det sker alltså flera olika personuppgiftsbehandlingar i molntjänsten. Frågan är nu: vem bestämmer ändamålen och medlen med respektive personuppgiftsbehandling i molntjänsten?

Låt säga att molntjänsten är en SaaS-lösning i form av ett enkätverktyg. Verksamheten kan genom inloggning via webbläsare skapa enkäter, skicka ut enkäterna, samla in svaren och analysera dessa.

Verksamhetens ändamål och leverantörens ändamål

Verksamheten använder enkätverktyget för att skapa och skicka ut en nöjdhetsenkät till sina intressenters kontaktpersoner, som besvarar enkäten. Verksamheten vill förstå hur nöjd respektive kontaktperson är med hur samverkan med verksamheten fungerar.

Det är alltså verksamhetens ändamål som gör att kontaktpersonernas personuppgifter behandlas. Det talar för att verksamheten är personuppgiftsansvarig för personuppgiftsbehandlingen när verksamheten skickar ut enkäten och kontaktpersonerna besvarar den.

Personuppgiftsbehandlingen äger visserligen rum i enkätverktyget, som leverantören tillhandahåller, men denna personuppgiftsbehandling sker helt för verksamhetens ändamål. Leverantören av enkätverktyget är då endast ett personuppgiftsbiträde för denna personuppgiftsbehandling, å verksamhetens vägnar.

Låt oss dessutom anta att leverantören av enkätverktyget vill mäta när respondenter generellt sett tröttnar på att besvara enkätfrågor. Leverantören vill mäta detta under 6 månader för samtliga enkäter som skapas med leverantörens verktyg, för att sedan analysera och ta fram statistik över hur många enkätfrågor som är lämpliga att ställa innan svarsfrekvensen går ner. Leverantören vill använda denna kunskap för att:

1. addera tips och varningar i molntjänsten om någon adderar många frågor till en enkät, samt
2. publicera en rapport på sin webbplats.

Leverantören vill göra detta på eget initiativ för att förbättra sin molntjänst samt stärka sitt varumärke. Omständigheterna talar för att leverantören då blir personuppgiftsansvarig för personuppgiftsbehandlingen när leverantören mäter och analyserar respondenternas bortfall.

Samma personuppgifter – information om vilka respondenter som besvarat vilka frågor i enkäterna – skulle då bli föremål för olika personuppgiftsbehandlingar som utförs för olika ändamål. Det ena ändamålet hör till verksamheten som skickar ut enkäten, det andra ändamålet hör till leverantören av enkätverktyget.²

Personuppgiftsbiträdesavtalets gränser

Den personuppgiftsbehandling i molntjänsten som verksamheten bestämmer ändamålet för (att förstå kontaktpersonernas nöjdhet med hur samverkan fungerar), kräver att verksamheten och molntjänstleverantören ingår ett personuppgiftsbiträdesavtal. Personuppgiftsbiträdesavtalet får dock endast omfatta den behandling av personuppgifter som verksamheten bestämmer ändamålen för.³ Verksamheten är ansvarig för att rättsligt bedöma att denna personuppgiftsbehandling håller sig inom GDPR:s ramar. Det är exempelvis verksamheten – inte molntjänstleverantören – som ansvarar för att inhämta korrekta samtycken från kontaktpersonerna som besvarar enkäterna, om verksamheten förlitar sig på samtycke som rättslig grund för att samla in enkätsvaren. Verksamheten är också skyldig att uppfylla sina övriga GDPR-skyldigheter, som att informera respondenterna om den personuppgiftsbehandling som verksamheten är personuppgiftsansvarig för.

Molntjänstleverantörens mätningar och analys av respondenternas bortfall hör däremot inte hemma i personuppgiftsbiträdesavtalet mellan verksamheten och leverantören. Den personuppgiftsbehandlingen är leverantören personuppgiftsansvarig för. Leverantören ansvarar för att avgöra om den över huvud taget har en rättslig grund och rättslig möjlighet i övrigt att genomföra denna personuppgiftsbehandling.

Till saken hör att artikel 28.3 a GDPR kräver att ett personuppgiftsbiträdesavtal ska ange att personuppgiftsbiträdet ”endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige”.⁴

Det betyder att om personuppgifterna redan har hämtats in och behandlas i molntjänsten inom ramen för personuppgiftsbiträdesavtalet, så behöver leverantören på något sätt lagligen få tillgång till personuppgifterna utanför personuppgiftsbiträdesavtalets ram för att få behandla dem för sina egna ändamål. Annars gäller ju personuppgiftsbiträdesavtalets begränsningar, som hindrar leverantören från att behandla personuppgifterna för sina egna ändamål.

Kan ett utlämnande fungera?

Vi ska här resonera kring ett potentiellt sätt att hantera situationen, utan att utesluta att det kan finnas andra metoder. Har du egna tankar eller resonemang i frågan så är du välkommen att höra av dig.

En möjlig väg kan vara att verksamheten som använder enkätverktyget lämnar ut personuppgifterna till leverantören, utanför personuppgiftsbiträdesavtalets ram. Då skulle en självständig personuppgiftsansvarig (verksamheten som använder enkätverktyget) anses lämna ut personuppgifter om enkätsvaren till en annan självständig personuppgiftsansvarig (leverantören som tillhandahåller enkätverktyget). Utlämnandet blir här en rättslig konstruktion, eftersom personuppgifterna rent praktiskt redan finns i enkätverktyget där leverantören kan komma åt dem.

Utmaningen med denna lösning är att verksamhetens utlämnande av personuppgifterna till leverantören, i sig är en personuppgiftsbehandling. Verksamheten som använder enkätverktyget (och som vill lämna ut personuppgifterna så att leverantören kan använda dem för sina egna ändamål), måste därmed:

• ha en rättslig grund för själva utlämnandet av personuppgifterna till leverantören av enkätverktyget, och
• i övrigt komma fram till att utlämnandet uppfyller GDPR.

Därtill följer verksamhetens övriga GDPR-skyldigheter som personuppgiftsansvarig för utlämnandet, vilket inkluderar att enligt artikel 13 GDPR informera respondenterna om att verksamheten lämnar ut uppgifterna till leverantören.

Att bedöma lagligheten i utlämnandet

Liksom all annan personuppgiftsbehandling måste utlämnandet uppfylla de grundläggande principerna i artikel 5 GDPR. Det innebär bland annat att utlämnandet ska ske på ett lagligt, korrekt och öppet sätt (på engelska lawfully, fairly and in a transparent manner). Ett annat exempel är att utlämnandet måste ske för särskilda, uttryckligt angivna och berättigade ändamål.

När verksamheten bedömer om utlämnandet är rättsligt möjligt framstår det därför som rimligt att verksamheten behöver beakta hur leverantören har för avsikt att använda personuppgifterna. Det är svårt att se att utlämnandet skulle vara lagligt om den utlämnande verksamheten förstod att den mottagande leverantören skulle behandla personuppgifterna i strid med GDPR, exempelvis i strid med någon av de grundläggande principerna i artikel 5 GDPR.

Vad gäller ändamålet med utlämnandet är det att möjliggöra att leverantören använder personuppgifterna för sitt eget ändamål, som gäller analys för att förbättra leverantörens molntjänst med tips och varningar samt ta fram en rapport i marknadsföringssyfte. Leverantörens ändamål med sin personuppgiftsbehandling måste alltså vara tillräckligt tydligt – det är tveksamt om ett mer svepande ändamål om att förbättra tjänsterna, utan konkretion om på vilket sätt, skulle nå upp till den ribban.

När det gäller vilken rättslig grund verksamheten kan förlita sig på för utlämnandet, är de troligaste alternativen samtycke enligt artikel 6.1 a GDPR eller berättigat intresse (intresseavvägning) enligt artikel 6.1 f GDPR.

Det är inte säkert att berättigat intresse (intresseavvägning) för utlämnandet till leverantören är en gångbar väg, särskilt om verksamheten förlitar sig på samtycke för att samla in enkätsvaren.⁵

Även om enkätsvaren samlas in med en annan rättslig grund än samtycke, behöver respondenternas rimliga förväntningar beaktas när den rättsliga grunden berättigat intresse (intresseavvägning) används.⁶ Frågan är dessutom om molntjänstleverantörens ändamål och intresse i behandlingen kan anses väga tyngre än respondenternas intresse av att slippa få sina personuppgifter behandlade för molntjänstleverantörens egna ändamål.

När intresseavvägning används ska respondenterna dessutom när som helst kunna göra invändningar mot behandlingen enligt artikel 21 GDPR. Det framstår som svårt för verksamheten att uppfylla sin skyldighet att hantera invändningar mot utlämnanden om verksamheten i praktiken inte har någon möjlighet att stoppa framtida utlämnanden till leverantören, exempelvis när en person redan har besvarat en enkät och därefter gör en invändning.⁷ Här kan alltså krävas att leverantören har byggt funktionalitet i sin tjänst för att tillmötesgå invändningar mot personuppgiftsbehandlingen.

En tryggare rättslig grund skulle kunna vara samtycke. Respondenterna skulle då få möjlighet att aktivt välja att tillåta att verksamheten lämnar ut personuppgifter till leverantören, för leverantörens egen analys. Då skulle det emellertid också krävas en verklig möjlighet att återkalla redan lämnade samtycken. Även här skulle leverantören kunna behöva bygga funktionalitet i molntjänsten för att hantera återkallade samtycken.

Ytterligare ett exempel på vad leverantören behöver göra för att uppfylla sina skyldigheter enligt GDPR, är att informera om sin personuppgiftsbehandling. Informationen skulle exempelvis kunna lämnas på den webbsida som respondenterna möter innan de börjar besvara en enkät. Den utlämnande verksamheten skulle då också enkelt kunna kontrollera att molntjänstleverantören lämnar den information som krävs enligt artikel 13 GDPR, i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, vilket krävs enligt artikel 12 GDPR.

Om den utlämnande verksamheten vet att molntjänstleverantören behandlar personuppgifterna utan att lämna sådan information, eller behandlar personuppgifterna i strid med GDPR av andra skäl, är det svårt att se hur den utlämnande verksamheten kan uppfylla sina egna GDPR-skyldigheter, inte minst vad gäller de grundläggande principerna i artikel 5 GDPR, för sitt eget utlämnande av personuppgifterna till molntjänstleverantören.

Exempel från verkligheten

Skollösningen

I Danmark har frågan lyfts om kommuner kan använda en viss molntjänstleverantörs lösningar för skolan, mot bakgrund av att molntjänstleverantören då vill använda skolelevernas personuppgifter för sina egna ändamål. Molntjänstleverantörens ändamål har bland annat gått ut på att förbättra molntjänstleverantörens tjänster, både tjänsterna som används i skolan och andra tjänster.

Molntjänstleverantören beskriver på sin webbplats hur den behandlar personuppgifterna i fråga. När vi i april 2024 tittar på leverantörens webbsida med information drar vi följande slutsatser vad gäller leverantörens lösning för skolan:⁸

• Molntjänstleverantörens information på sidan är lång, avser flera olika molntjänster och använder ett krångligt språk. Informationen lämnas inte på något nordiskt språk trots att de personer som behöver ta del av informationen finns i Danmark, Sverige och andra nordiska länder. Informationen uppfyller av dessa skäl uppenbart inte kraven i artikel 12 GDPR.
• Molntjänstleverantörens information om vilka personuppgifter som behandlas, och för vilka ändamål, är otydlig. Exempelvis anger leverantören att den samlar in information om ”usage” utan att precisera vilka personuppgifter som då behandlas. Senare anges att ”Technical and operation details of your use of Cloud Services” används för att ”improve the Cloud Services”. Det är tveksamt om detta är tillräckligt tydliga beskrivningar av dels vilka personuppgifter som behandlas, dels ändamålen med personuppgiftsbehandlingen.
• Molntjänstleverantörens rättsliga grund för personuppgiftsbehandling anges vara berättigat intresse (intresseavvägning). Molntjänstleverantören nämner visserligen en rätt att invända mot personuppgiftsbehandlingen, men anger att det går att kontakta molntjänstleverantören genom dennes ”Privacy Help Center” om man inte har kunnat utöva sina rättigheter ”genom de verktyg som finns tillgängliga” eller genom ens egen organisations administratör. Detta framstår inte som förenligt med GDPR eftersom en personuppgiftsansvarig inte anses kunna begränsa hur en person måste gå till väga för att meddela att den vill utöva sina rättigheter. Vidare har Privacy Help Center bland annat information om att ladda ner och radera sin data, men tycks inte ha någon information om att invända mot molntjänstleverantörens personuppgiftsbehandling. Sammantaget tycks molntjänstleverantören alltså inte på ett korrekt och tydligt sätt informera om rätten att göra invändningar mot personuppgiftsbehandlingen.

Molntjänstleverantören är en del av en av världens högst värderade företagskoncerner. Samtidigt som leverantören inte offentligt informerar om sin personuppgiftsbehandling på det språk dess användare talar, har leverantören tagit fram en webbplats med omfattande reklam för sitt integritetsarbete, med text och animerade illustrationer på svenska. Där skriver leverantören exempelvis att den ”respekterar och skyddar din integritet” med ”en ansvarsfull datapraxis” som ”lägger tyglarna i dina händer”.

Mot den här bakgrunden framstår det som lämpligt att kommunerna frågar sig om de lagligen får lämna ut skolelevers och lärares personuppgifter till en molntjänstleverantör som kommer att behandla personuppgifterna i strid med GDPR. Detta eftersom den utlämnande verksamheten själv ansvarar för att utlämnandet är lagligt, bland annat enligt de grundläggande principerna i artikel 5 GDPR.

Den danska tillsynsmyndigheten Datatilsynet beslutade den 30 januari 2024 att danska kommuner inte fick lämna ut personuppgifter om skoleleverna till molntjänstleverantören som ville använda personuppgifterna för att förbättra sina tjänster, bland annat genom att utveckla nya funktioner. Orsaken var att Datatilsynet bedömde att dansk lag inte gav kommunerna ett tillräckligt rättsligt stöd för att lämna ut personuppgifterna till molntjänstleverantören för dessa ändamål. Varken kommunerna eller molntjänstleverantören synes ha framför några invändningar i sak mot tillsynsmyndighetens beslut.

Här kan därför en annan aspekt av leverantörens personuppgiftsbehandling belysas. En konsekvens av tillsynsmyndighetens beslut borde rimligen ha blivit att molntjänstleverantören upphörde med att behandla skolelevernas personuppgifter för dessa ändamål. Molntjänstleverantören kan ju inte längre ta emot personuppgifterna i enlighet med GDPR för att behandla dem för dessa ändamål, och borde därför upphöra med den personuppgiftsbehandlingen. I annat fall är det svårt att se hur molntjänstleverantören kan uppfylla sitt eget ansvar för laglig och rättvis personuppgiftsbehandling.

Det borde alltså ligga i molntjänstleverantörens eget intresse att säkerställa att kunderna faktiskt har rättslig möjlighet att lämna ut personuppgifter till molntjänstleverantören, när molntjänstleverantören vill behandla personuppgifterna för sina egna ändamål. Såvitt känt har dock molntjänstleverantören i fråga fortsatt behandla skolelevernas personuppgifter för sina egna tjänsteutvecklingsändamål trots tillsynsmyndighetens beslut.

Kontorssviten

En dansk kommun har också ställt frågor till Datatilsynet om kommunens potentiella användning av en kontorssvit med verktyg för e-post, dokument och andra filer samt chatt och videokonferens. Frågorna liknade de om skollösningen, nämligen om kommunen fick lämna ut personuppgifter till leverantören så att leverantören skulle kunna behandla personuppgifterna för sina egna ändamål.

Kommunen hade skickat in dokumentation till tillsynsmyndigheten där leverantören beskrev personuppgiftsbehandlingen. Ändå angav tillsynsmyndigheten att den inte fått någon tydlig bild av omfattningen på personuppgiftsbehandlingen.

Datatilsynet konstaterade att personuppgifterna avsåg anställda som använde verktygen, men kunde inte utesluta att uppgifter om andra personer, såsom medborgare vars uppgifter hanterades med verktygen, också kunde komma att lämnas ut till leverantören, exempelvis i form av metadata.

Tillsynsmyndigheten uppgav att i princip motsvarande problematik som med skollösningen förelåg, och att kommunen behövde göra ett arbete för att reda ut ett antal frågor.

Tillsynsmyndighetens svar till kommunen kan läsas här.

Källor

1. Personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Se även IMY:s information samt EDPB:s riktlinjer 07/2020. ↩︎
2. Även om leverantören endast skulle behandla anonymiserad statistik i ett senare skede av sitt arbete, är de ursprungliga uppgifterna som samlas in personuppgifter, och fortsätter att vara det tills leverantören anonymiserar dem. Anonymiseringen är då i sig en personuppgiftsbehandling, som leverantören utför för sitt eget ändamål. ↩︎
3. Jfr artikel 28.3 och 28.10 GDPR. ↩︎
4. Det enda undantaget är om leverantören tvingas avvika från instruktionerna på grund av en rättslig förpliktelse enligt EU-rätten eller en medlemsstats nationella rätt. ↩︎
5. Jfr EDPB:s riktlinjer 05/2020 om samtycke, punkt 123 (s. 26), ”Med andra ord får inte den personuppgiftsansvarige byta från samtycke till andra rättsliga grunder. Det är till exempel inte tillåtet att retroaktivt använda berättigat intresse som grund för att motivera behandlingen, om det har uppstått problem med att erhålla giltigt samtycke.” ↩︎
6. Jfr Artikel 29-gruppens yttrande 06/2014 om begreppet berättigat intresse samt IMY:s beslut i ett ärende om profilering av webbplatsbesökare, som hänvisar till yttrandet. ↩︎
7. I vart fall skulle det bli omöjligt att tillmötesgå en invändning för framtida enkätsvar. ↩︎
8. Punkterna avser endast molntjänsten för skolan. Om en skola dessutom anvisar eleverna att använda bärbara datorer med leverantörens operativsystem och webbläsare, så har en granskning i danska medier visat att leverantören ger sig rätten att även använda skolelevernas webbläsarhistorik, webbläsarbokmärken och andra personuppgifter. ↩︎