Problemet är inte nytt, utan har varit på tapeten åtminstone sedan den så kallade Schrems II-domen 2020 ogiltigförklarade det skydd, Privacy Shields, som fanns för att enkelt kunna överföra personuppgifter från EU till USA.

Stina Almström, som är jurist på IMY och som tagit fram den svenska rapporten, säger i en kommentar till rapporten.

– Molntjänster överför ofta personuppgifter på något sätt till länder utanför EU vilket ger juridiska utmaningar. Utifrån de svar vi fått är det oklart om det vid överföring av uppgifter till länder utanför EU, det vill säga tredje land, alltid finns juridiskt stöd för överföringen.

IMY:s undersökning är en del av ett samarbete med Europeiska dataskyddsstyrelsen, EDPB, där 22 nationella dataskyddsmyndigheter i Europa undersökt användningen av molnbaserade tjänster inom offentlig sektor.

Vid årsskiftet kommer EDPB att släppa en sammanfattande rapport för hela EU.

I Sverige ingår svaren från sju statliga myndigheter, som behandlar stora mängder personuppgifter och som samtidigt har erfarenhet av att använda molntjänster, i resultaten.

Samtliga sju deltagande myndigheter uppger att det är en utmaning att hitta molntjänster som är förenliga med dataskyddsregelverket.

– Ofta kan det vara svårt att förhandla med molntjänstleverantörer och därmed svårt att påverka utformningen av eller villkoren för användningen av molntjänsterna, säger Stina Almström.

Den svenska undersökningen visar vidare att molntjänster huvudsakligen används som verksamhetsstöd och för behandling av anställdas uppgifter. Det förekommer också att känsliga personuppgifter om medborgare behandlas.

Stina Almström säger vidare i rapporten:

– En förutsättning för att behandlingen av personuppgifter ska vara förenlig med GDPR när en organisation anlitar externa leverantörer för olika tjänster, är att det är tydligt vem som är personuppgiftsansvarig respektive personuppgiftsbiträde. Undersökningen indikerar dock att det finns utmaningar för myndigheterna att fastställa rollfördelningen.

Myndigheterna i undersökningen uppger att de har processer och rutiner för att anskaffa molntjänster och de flesta säger också att det genomförs konsekvensbedömningar innan det sker.

Det framkommer också i undersökningen att myndigheterna anser att en del molnleverantörer har bristande kunskaper om grundläggande dataskyddsregler. Detta ställer stora krav på upphandlande myndigheter, konstateras i rapporten.

Vidare framkommer att myndigheter anser att det kan vara svårt att ingå avtal med leverantörer, då villkor inte alltid är transparenta och ofta uppdateras ensidigt.