Molntjänster inom offentlig sektor : Särskilt om förutsättningarna för personuppgiftsöverföringar till tredje länder

Sammanfattning: Vid överföring av personuppgifter till en molntjänst kan det uppstå risk för att person-uppgifterna inte är tillräckligt skyddade hos mottagaren. Särskilda risker kan uppkomma när personuppgifter flyttas över nationsgränser om molntjänstleverantören är etablerad i ett annat land. Det kan innebära att olika länders lagstiftningar hamnar i konflikt med varandra, i synnerhet när det gäller ett land som är beläget utanför EU. Den amerikanska U.S CLOUD Act innebär bland annat att molntjänstleverantören kan tvingas lämna ut personuppgifter som finns lagrade på leverantörens servrar till en amerikansk brottsbekämpande myndighet. Samtidigt förbjuder EU:s dataskyddsförordning personuppgiftsöverföringar till länder utan adekvat skyddsnivå.  Skydd för personuppgifter när en behandling sker i offentlig verksamhet finns också i  offentlighets- och sekretesslagen. OSL innehåller både sekretessbestämmelser som gäller inom specifika sektorer och generella sekretessbestämmelser som gäller inom all offentlig verksamhet. En sådan bestämmelse utgör 21 kap. 7 § OSL, som föreskriver sekretess för personuppgifter om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen. Många gånger kan dock uppgifter som omfattats av sekretess lämnas ut efter en skade- och menbedömning. Det gör det möjligt för myndigheter att utkontraktera it-drift och information i molntjänster. När svenska myndigheter använder molntjänster där leverantören omfattas av lagstiftning som CLOUD Act finns det däremot en risk för att behandlingen kan förhindras även av OSL om det innebär en överföring i strid med dataskyddsförordningen.