Journalnummer: 2012-54-0123 og 2012-54-0124
1. Datatilsynet har den 2. januar 2012 modtaget IT-Universitetet i Københavns (herefter 'IT-Universitetet') ændringer til ovennævnte anmeldelser.
Ved e-mail af 15. februar og 14. marts 2012 har IT-Universitetet besvaret en række spørgsmål fra Datatilsynet, herunder spørgsmål som blev drøftet på et møde mellem tilsynet og IT-Universitetet den 23. februar 2012.
2. I den anledning skal Datatilsynet - efter at sagen har været behandlet på et møde i Datarådet - bemærke følgende:
2.1. Overførsel af personoplysninger til et tredjeland på baggrund af Kommissionens standardkontraktbestemmelser kræver tilladelse fra Datatilsynet efter persondatalovens1 § 27, stk. 4. Forinden de anmeldte ændringer sættes i kraft, vil det således være påkrævet, at IT-Universitetet anmoder om en sådan tilladelse, og at IT-Universitetet i den forbindelse fremsender en kopi af den/de indgående standardkontrakt(er) eller anvender den forenklede procedure for tredjelandsoverførsel baseret på Kommissionens standardkontraktbestemmelser.2
2.2. Ved brev af 6. juni 2012 har Datatilsynet afgivet en udtalelse til Microsoft vedrørende behandling af personoplysninger i cloud-løsningen Office 365. I denne udtalelse omtales bl.a. en række spørgsmål, som danske dataansvarlige vil skulle tage i betragtning ved brug af Office 365. Datatilsynet kan henvise til udtalelsen, der vedlægges i kopi, for nærmere information om, hvilke krav IT-Universitetet bl.a. skal leve op til ved brug af Office 365.
2.3. Som det fremgår af den nævnte udtalelse, godkender Datatilsynet ikke databehandleraftaler og skal ikke have sådanne forelagt. Det er således IT-Universitetets ansvar at sikre sig, at der indgås en databehandleraftale med Microsoft, som lever op til persondatalovens krav, herunder kravene i persondatalovens § 42, stk. 1 og 2, og sikkerhedsbekendtgørelsens § 7, stk. 1.3
2.4. Datatilsynet har ikke på baggrund af den fremsendte it-risikoanalyse mulighed for at vurdere, om IT-Universitetets risikovurdering er foretaget på grundlag af indsigt i reelle forhold hos Microsoft, eller om den foretagne risikovurdering i øvrigt er tilstrækkelig.
Som nævnt i brevet af 6. juni 2012 til Microsoft må den dataansvarlige for at leve op til persondatalovens sikkerhedskrav efter Datatilsynets opfattelse foretage en risikovurdering i forhold til samtlige aspekter af den påtænkte anvendelse af cloud-løsningen.
Datatilsynet går således ud fra, at IT-Universitetet foretager en risikovurdering i forhold til samtlige aspekter af den påtænkte anvendelse af cloud-løsningen baseret på indsigt i reelle forhold hos Microsoft, inden behandlingen af personoplysninger i Office 365 iværksættes.
IT-Universitetet bør navnlig være opmærksom på sit ansvar for, at uvedkommende ikke kan få adgang til personoplysninger, som behandles i cloud-løsningen, herunder ved at sikre sig, at der anvendes betryggende og effektive sletteprocedurer.
Tilsynet skal endvidere anbefale, at IT-Universitetet undersøger mulighederne for - og så vidt muligt sørger for - at personoplysninger lagres i krypteret form hos Microsoft.
Sikkerhedsforanstaltningerne ved transmission og login samt spørgsmålet om logning bør efter tilsynets vurdering også indgå i IT-Universitetets risikovurdering og videre overvejelse om anvendelse af Office 365.
2.5. Under forudsætning af, at IT-Universitetets behandling af personoplysninger ved brug af Office 365 sker under iagttagelse af reglerne i persondataloven og sikkerhedsbekendtgørelsen, giver de fremsendte ændringer ikke Datatilsynet anledning til yderligere bemærkninger.
3. Datatilsynet må forbeholde sig sin stillingtagen til IT-Universitetets brug af Office 365, hvis der i relation til persondataloven skulle visse sig uhensigtsmæssigheder ved brug af løsningen.
Afslutningsvis skal Datatilsynet bemærke, at IT-Universitetets ændringsanmeldelser ikke har betydning for de materielle betingelser for behandlingen af personoplysninger. Det er således IT-Universitetets eget ansvar at vurdere, om en behandling - herunder indsamling, registrering og videregivelse - kan ske i overensstemmelse med persondataloven.
De ændrede anmeldelser vil snarest blive offentliggjort i fortegnelsen på Datatilsynets hjemmeside.4 Det bemærkes i den forbindelse, at Datatilsynet er overgået til en ny journalperiode, hvorefter anmeldelserne er blevet tildelt j.nr. 2012-54-0123 og 2012-54-0124.
Datatilsynet skal for god ordens skyld oplyse, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2 www.datatilsynet.dk/nyheder/seneste-nyheder/artikel/forenklet-procedure-for-tredjelandsoverfoersel-baseret-paa-eu-standardkontrakter/
3 Tilsynet kan herved også henvise til bemærkninger til sikkerhedsbekendtgørelsens § 7, stk. 1, i tilsynets sikkerhedsvejledning (vejledning nr. 37 af 2. april 2001)
4 www.datatilsynet.dk/fortegnelsen/soeg-i-fortegnelsen/