EU:s dataskyddsmyndigheter ska tillsammans undersöka hur molntjänster används inom offentlig sektor

EU:s dataskyddsmyndigheter ska tillsammans undersöka hur molntjänster används inom offentlig sektor

Wikström & Partners har tidigare skrivit om IT-driftsutredningen och dess påverkan på myndigheters it-inköp. Frågor om offentlig sektors inköp av molntjänster har varit omdiskuterade. Sedan Schrems II avgörandet publicerades har frågor om tredjelandsöverföring och anlitande av amerikanska it-leverantörer blivit alltmer aktuell och det har i olika sammanhang förts diskussioner kring utlämnandeproblematik kopplat till offentlighets- och sekretesslagen.

Den 28 februari 2021 publicerade Integritetsskyddsmyndigheten nyheten om att 22 nationella dataskyddsmyndigheter har inlett en undersökning om användning av molnbaserade tjänster inom offentlig sektor. Åtgärden har vidtagits av den Europeiska dataskyddsstyrelsen (EDPB) inom det s.k. Coordinated Enforcement Framework (”CEF”). CEF ska verka för samordnade åtgärder för europeiska dataskyddsstyrelser och frågeformuläret är den första åtgärden som genomförs inom det inrättade ramverket.

Pandemin har resulterat i att allt fler offentliga organisationer har genomgått en digital förändring. Molnteknik är vanligt förekommande och tillsynsmyndigheterna i EU vill nu åstadkomma en samordnad vägledning och åtgärder för att möjliggöra regelefterlevnad av dataskyddsförordningen.

Inledningsvis kommer de tillsynsmyndigheter som väljer att delta skicka ut ett frågeformulär till utvalda offentliga organ. Det kommer att ske en undersökning av offentliga aktörers utmaningar med att efterleva dataskyddsförordningen i samband med inköp av molnbaserade it-tjänster. Undersökningen kommer att behandla flera olika frågor så som tredjelandsöverföringar, användning av skyddsåtgärder och bestämmelser som reglerar förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträde. Integritetsskyddsmyndigheten kommer inte att behandla undersökningen som en tillsyn utan den ska möjliggöra att IMY kan tillgodogöra sig ökade kunskaper om användningen av molntjänster inom offentlig sektor för att i ett senare skede ta fram passande nationella åtgärder. Europeiska dataskyddsstyrelsen kommer att publicera en rapport med resultatet av undersökningen under 2022.