Menu

AdviceU:s nyligen cerifierade Dataskyddsombud via IT-säkerhetsbolaget Linus Gustafsson ger sina kommentarerar på IMY svar på förhandssamrådet.

Stockholm Stad har begärt förhandssamråd gällande införandet av Microsofts molntjänster Azure AD och Teams med begränsad funktionalitet.

I IMYs svar på samrådan avråder de från införandet och det angivna skälet är att den grundläggande analysen är bristfällig, främst gällande om personuppgiftsbiträdet gett tillräckliga garantier för att säkerställa att behandlingen uppfyller reglerna i GDPR med särskilt beaktande av kraven i artiklarna 28 (Personuppgiftsbiträden) och 48 (Överföring och utlämnanden som inte är tillåtna enligt unionsrätten).

Värt att notera är att Stockholms Stad angett i förutsättningarna att lagring endast kommer ske inom EU/EES men att IMY konstaterar att det trots detta finns en risk att personuppgiftsbiträdet träffas av amerikansk lagstiftning och tvingas överföra uppgifter till USA.

En grundligare analys hade kunnat gett ett annat yttrande från IMY vilket gör att detta yttrande inte uttryckligen säger nej till användandet av Microsofts molntjänster. Det visar dock på att utan att göra en grundläggande analys som svarar på de frågor IMY ställer i sitt yttrande bör man fundera på lagligheten i sitt användande av dessa tjänster.

Går det ens att få ett annat svar genom en grundläggande analys? Nedan ett urklipp ur IMYs yttrande:

Kommunstyrelsen behöver därför ta ställning till vilka garantier i form av tekniska och organisatoriska åtgärder som krävs för att säkerställa att det inte sker en otillåten tredjelandsöverföring, till exempel hur man ska se till att personuppgiftsbiträdet inte lämnar ut uppgifter i strid med artikel 48. Om Kommunstyrelsen inte i enlighet med artikel 28 kan få tillräckliga garantier från ett avsett personuppgiftsbiträde, kan Kommunstyrelsen inte anlita det personuppgiftsbiträdet

Läs hela yttrandet här: https://techlaw.se/wp-content/uploads/2021/06/IMY-Forhandssamrad-Teams-Azure-210602.pdf

Kontakta oss

  • Detta fält används för valideringsändamål och ska lämnas oförändrat.

Kontakt