I en ny afgørelse har den islandske datatilsynsmyndighed afgjort, at en skole i Reykjavík ikke må bruge en amerikansk cloududbyder:
“[..] all processing in the Seesaw educational system should be seized and students’ data deleted after being retrieved, if applicable, to be stored within each school.”
Ordren kommer ovenpå al polemikken omkring overførsler til USA (og andre tredjelande), som ikke skal gengives her.
Det er dog værd at bemærke, at der var meget galt ved kommunens anvendelse af systemet:
- the processing agreement between Reykjavík and Seesaw was insufficient,
- the municipality could not demonstrate a specified, explicit and legitimate purpose for the processing in question, which was therefore considered unlawful,
- the processing was neither fair nor transparent,
- the principles of data minimisation and storage limitations were not implemented nor data protection by design and by default, taking into consideration the amount of data collected, the extent of their processing, the period of their storage and their accessibility,
- the data protection impact assessment did not meet the minimum requirements,
- the municipality did not demonstrate that it had ensured appropriate security of the personal data in question and
- the data was being transferred to the United States without appropriate safeguards.
En rigtig god kammerat gjorde mig opmærksom på afgørelsen og foreslog helt rimeligt, at der kunne være tale om en den dyreste afgørelse indtil videre på GDPR-området. Det er således uinteressant, at der i sagen er givet en bøde på ca. 35.000 EUR. Det væsentligste er, at tilsynsmyndigheden siger, at kommunen ikke må anvende den amerikanske udbyder.
Og det er på sin vis også korrekt observeret, men jeg er dog nødt til at indskyde, at der som vist var temmelig meget galt med behandlingsaktivteten. Det er således svært at se, at det netop er overførslen, der diskvalificerer anvendelsen. Hvis databehandleraftalen således ikke duede, hvad den ikke gjorde, jf. punkt 1 ovenfor, så er overladelsen af behandlingen til it-leverandøren i USA allerede derfor ikke lovlig.
Virksomheder og myndigheder er heller ikke med denne afgørelse rigtigt blevet klogere på, hvor farligt det er at anvende it-leverandører ulovligt/i strid med reglerne i USA uden at have taget alle de skridt, som databeskyttelsesreglerne siger, vi skal.
Skal jeg på baggrund af ovenstående være spidsfindig, vil jeg påstå, at Datatilsynets cloudvejledning indeholder væsentligt tungere pligter for virksomhederne og myndighederne end lige overførslen til USA eller tredjelande.
Det har efter min opfattelse således været for lidt diskussion af følgende krav, som er fremhævet med cloudvejledningen (og andre kunne nævnes):
1. Dokumentation: Vejledningen medfører, at dataansvarlige skal opdele sin GDPR-risikovurdering i en risikovurdering vedrørende databeskyttelse og en vedrørende behandlingssikkerhed (side 10 – 11).
2. Egne formål: Saas-udbydere må ikke anvende personoplysninger til egne formål, og det skal de bekræfte, at de ikke gør (side 10 og 13 – 14) . Det er min opfattelse, at det sker i dag i vidt omfang, at saas-udbydere bruger personoplysninger til udvikling. Hvilken virkning det måtte få, at saas-udbydere som udgangspunkt ikke kan bruge data til udvikling (egne formål), får stå hen i det uvisse.
3. Du skal kende slutbehandleren: Den dataansvarlige skal kende hele kæden (side 15). Det er der ingen, der kender i dag, og de fleste mindre saas-udbydere, der ligger hos AWS eller Google Cloud / Azure, gør heller ikke, så de kan ikke bestå screeningen på side 12 – 13.
Det kan konstateres, at GDPR fortsat er et område, hvor der er umådeligt langt fra reglerne og så ned til virkeligheden, som vi er mange, der bokser med at flytte nærmere reglerne.
Alt i alt kan det i hvert fald for nu fortsat konstateres (og det kan så medtages i læserens forretningsrisikovurdering og orientering til ledelsen), at risikoen ved at cloude i USA og andre tredjelande er relativt lav, men at konsekvensen ved at blive opdaget kan være stor.
Bliver man opdaget, bør man således have lavet sin databehandleraftale godt, herunder eventuelt inkluderet et overførselsgrundlag, hvis den umiddelbare part er i USA eller et tredjeland. Og så vidt muligt skal man have valgt nogle relevante supplerende foranstaltninger.
Hovedsagen er under alle omstændigheder, at man ikke må tages i færd med en ulovlig overførsel og så stort set intet have gjort eller overvejet som i det islandske tilfælde. Som det står på side 19 i bødeberegningsvejledningen fra Det Europæiske Databeskyttelsesråd, som netop er sendt i høring, må man helst ikke have udvist “contempt for the provisions of the law [..]”. Det vil – selvsagt – medføre en højere bøde.