skip to Main Content

Molntjänster – Vad säger advokaten?

Vi bad en advokatbyrå se på lagar och deras innebörd vid användning av molntjänster.
Här är de 6 punkter de ansåg viktigast, och deras slutsatser om effekten för dig.

”Genom att använda en svensk molntjänst kan företagen vara säkra på att den lagrade datan inte kommer att kunna lämnas ut till utländska myndigheter.”

Varför?

Safe harbour-principerna om överföring av personuppgifter till USA ogiltigförklarades i oktober 2015 och det har sedan dess inte funnits någon laglig grund för överföring av personuppgifter till USA med undantag för samtycke eller standardavtalsklausuler. Den 12 juli 2016 fattade EU-kommissionen ett nytt beslut om adekvat skyddsnivå för vissa mottagare av personuppgifter i USA, nämligen sådana som omfattas av det så kallade Privacy Shield. Privacy Shield är en ny överenskommelse om skydd för personuppgifter mellan EU och USA och innefattar dels ett antal särskilda principer om hur personuppgifter ska hanteras, dels olika slags översynsmekanismer för att se till att principerna följs. Företag i USA som vill ansluta sig till Privacy Shield ska anmäla till det amerikanska handelsministeriet att de följer principerna och handelsministeriet ska upprätta och tillhandahålla en lista över dessa företag. Endast företag som finns med på handelsministeriets lista omfattas av EU-kommissionens beslut om adekvat skyddsnivå.

Microsoft, Google och Dropbox är några av företagen som har anslutit sig till Privacy Shield. Dessa molntjänstleverantörer kan således, med stöd av Privacy Shield, överföra personuppgifter till USA och således lagra kundernas data på servrar i USA. Detta innebär i sin tur att det finns en risk att amerikanska myndigheter kan ha rätt att begära ut uppgifterna med stöd av en husrannsakan i enlighet med amerikansk lag. En amerikansk domstol har däremot inte rätt att förelägga ett svenskt företag att lämna ut uppgifter som lagras på servrar i Sverige.

Genom att använda en svensk molntjänst med servrar i Sverige uppfyller företagen kraven i Bokföringslagen om att all räkenskapsinformation ska förvaras i Sverige.”

Varför?

Enligt Bokföringslagen 7 kap 2 § 2 stycket är svenska företag skyldiga att förvara sin räkenskapsinformation i Sverige. Detta innefattar även sådana elektroniska system som räkenskapsinformationen kan lagras i. Den som vill lagra räkenskapsinformation i en molntjänst i ett annat europeiskt land måste anmäla platsen för förvaring av bokföringsdokumentationen till Skatteverket.

Eftersom molntjänstleverantören kan ha servrar på många olika platser och det inte är givet att all räkenskapsinformation förvaras på samma server (det är ofta till och med svårt att fastställa var uppgifterna finns), kan anmälningsskyldigheten bli ganska omfattande.

Varje gång informationen flyttas till en annan server/plats måste detta rapporteras till Skatteverket. Brott mot skyldigheten att förvara räkenskapsinformation i Sverige kan ge fängelse i högst två år, eller om brottet är ringa, böter eller fängelse i högst 6 månader.

”Genom att använda en svensk molntjänst uppfyller företagen kraven i Personuppgiftslagen om att de ska säkerställa att molntjänstleverantören tillämpar svensk lag vid behandling av personuppgifter.”

Varför?

Enligt 30-31 §§ i Personuppgiftslagen (”PUL”) ansvarar den som är personuppgiftsansvarig för att personuppgiftsbiträdet (dvs molntjänstleverantören) endast behandlar personuppgifterna för att tillhandahålla tjänsten och i övrigt i enlighet med personuppgiftsansvarigs instruktioner.

Det ligger på den personuppgiftsansvarige att säkerställa att molntjänstleverantören följer svensk lag vid behandling av personuppgifterna och med avseende på de erforderliga tekniska och organisatoriska säkerhetsåtgärder som personuppgiftsbiträdet måste vidta för att skydda personuppgifterna.

”Genom att anlita en svensk molntjänstleverantör kan kunden vara säker på att svensk lag kommer att gälla för avtalet, att all kommunikation och avtalstext med Storegate är på svenska samt att eventuella krav från tredje part om att lämna ut data kommer att hanteras i Svensk domstol”

Varför?

Det är en fördel för kunderna att Storegate inte bara kommer att följa PUL utan även i andra sammanhang följer svensk lag och att svensk lag är tillämplig på avtalet.

En ytterligare fördel för kunderna är att, med en svensk leverantör med servrar i Sverige, så kan kunden vara säker på att krav från tredje man mot Storegate t ex med avseende på begäran om utlämning av information kommer att behandlas i svensk domstol.

”Genom att använda en svensk molntjänst med servrar i Sverige kan företagen vara säkra på att personuppgifter inte överförs till ett land utanför EU, för vilket annars ställs särskilda krav”

Varför?

Den som anlitar en molntjänstleverantör som har servrar utanför EU måste först säkerställa att något av undantagen från förbudet mot överföring till tredje land kan tillämpas. Det kan t.ex. vara att det land man vill överföra har en adekvat skyddsnivå för behandling av personuppgifter och finns upptaget i EU:s lista över sådana länder eller är ett amerikanskt företag som har anslutit sig till Privacy Shield, att den registrerade har lämnat sitt samtycke till överföringen eller att det finns ett avtal om standardavtalsklausuler mellan personuppgiftsansvarig och personuppgiftsbiträdet.

Detta är något som företagen själva måste säkerställa. Överföring av personuppgifter till tredje land i strid med PUL kan leda till straffansvar. Mot bakgrund av detta är det enklare för kunderna att anlita en molntjänstleverantör med servrar i Sverige (eller annat EU-land) jämfört med ett land utanför EU.

”Genom att använda en svensk molntjänst är det lättare för företagen att följa upp att molntjänstföretaget lever upp till kraven på personuppgiftsbehandling och verkligen vidtar lämpliga säkerhetsåtgärder”

Varför?

Av 31 § PUL följer att den personuppgiftsansvarig är skyldig att se till att personuppgiftsbiträdet verkligen vidtar de skyddsåtgärder som krävs. Med en svensk molntjänstleverantör etablerad i Sverige är det betydligt enklare för kunderna att verifiera att molntjänstleverantören uppfyller sina skyldigheter än när det är fråga om en leverantör i ett annat land.