Spørgsmål og svar om cloud

Når jeg benytter en cloudleverandør (databehandler), der leverer en cloudservice ved brug af flere underdatabehandlere, skal jeg så ikke kun forholde mig til min leverandør?

Nej. Du skal som den dataansvarlige have overblik over hele leverandørkæden og de behandlinger, der foregår.

Kan jeg – uden at undersøge det nærmere – videregive personoplysninger til databehandleren, som behandler oplysningerne til egne formål?

Nej. Du skal som den dataansvarlige have et retligt grundlag for at videregive oplysningerne, ligesom du skal påse, at den, du videregiver til, lovligt kan behandle oplysningerne.

Skal jeg som den dataansvarlige lave en fornyet risikovurdering, hvis jeg vil benytte en cloudservice?

Hvis du har lavet en risikovurdering for dine behandlingsaktiviteter, og disse aktiviteter ikke ændres væsentligt som følge af din brug af cloudservices, kan den oprindelige vurdering være nok. Generelt vil behandlingsaktiviteterne og måden, som behandlingerne udføres på, dog typisk ændre sig, hvilket vil nødvendiggøre en fornyet risikovurdering.

Hvis jeg som den dataansvarlige ikke kan få cloudleverandøren til at ændre sine vilkår, kan jeg så ikke bruge servicen?

Det er ikke i sig selv diskvalificerende at benytte en standardydelse på baggrund af en standardiseret aftale. Det væsentlige er, om ydelsen og aftalen lever op til de krav, du som den dataansvarlige bør stille. Hvis dine krav kan opfyldes med standardydelsen og -aftalen, er dette ikke i sig selv en hindring. Det betyder dog også, at der kan være services, som du er nødt til at fravælge, hvis ydelsen og aftalen ikke lever op til de krav, du mener er passende.

Hvis jeg konstaterer, at min cloudleverandør overfører oplysninger til et tredjeland, der ikke er vurderet som et sikkert tredjeland af EU-Kommissionen, men benytter EU-Kommissionens standardkontrakt, kan jeg så godt uden videre benytte leverandøren?

Nej. Som dataansvarlig er du forpligtet til at påse, at beskyttelsesniveauet i tredjelandet i det væsentlige svarer til niveauet i EU/EØS, før du overfører oplysninger. Det kan betyde, at du – i tillæg til standardkontrakten – skal træffe supplerende foranstaltninger.

Hvis min cloudleverandør opbevarer oplysningerne i EU og kun har adgang til at se oplysningerne fra et tredjeland, er der ikke tale om en overførsel?

Jo. Enhver behandling i tredjeland udgør en overførsel. En se-adgang er også en behandling – og dermed overførsel – i databeskyttelsesforordningens forstand.

Skal jeg forholde mig til reglerne om tredjelandsoverførsler, hvis en cloudleverandør tilbyder en løsning, hvor oplysningerne kun opbevares i EU og ved hjælp af IP filtrering er afskåret fra et blive tilgået fra tredjelande?

Måske. Hvis cloudleverandøren – enten ved tillægsydelser eller som service eller support af sin egen infrastruktur – kan tilgå oplysningerne fra et tredjeland, skal du fortsat iagttage reglerne om tredjelandsoverførsler.

Kan jeg lovligt overføre personoplysninger i klartekst til USA?

Hvis din dataimportør og/eller de oplysninger, du ønsker at overføre, er omfattet af bl.a. FISA 702, er det meget vanskeligt at overføre oplysninger i klartekst til USA, dvs. uden at træffe supplerende foranstaltninger. Hvis du objektivt kan godtgøre, at den problematiske lovgivning, herunder fx FISA 702, ikke i praksis vil blive anvendt på oplysningerne, der skal overføres, kan det være muligt. Derudover kan du i visse tilfælde og i særlige situationer gøre undtagelse fra reglerne om tredjelandsoverførsler.

Hvis oplysningerne ikke overføres til USA, kan man så bruge en amerikansk cloudleverandør?

Ja, det kan man godt. Selv om en leverandør er omfattet af amerikansk lovgivning, der kan medføre udlevering af oplysninger (fx US CLOUD Act), kan man – hvis det er aftalt, og man er betrygget i, at udbyderen vil overholde gældende EU-ret – godt benytte den pågældende leverandør.

Kan jeg bruge en amerikansk cloudleverandør i EU uden at vurdere risikoen ved en mulig overførsel til USA på baggrund anmodninger fx i henhold til US CLOUD Act?

Nej. Du skal foretage en vurdering af risikoen for den registreredes rettigheder, og du skal være betrygget i, at leverandøren vil overholde gældende EU-ret, før du kan benytte en leverandør, der er omfattet af sådanne lovregler.