Den personliga integriteten hotas av Googles molntjänster

Googles integritetspolicy för personuppgifter innebär problem, när Kammarkollegiet och kommuner använder sig av molntjänstupphandling. I EU har dataskyddsmyndigheter skickat ett brev till Google, som inte lever upp till EU:s grundläggande dataskyddsprinciper. Salems kommun granskas i Sverige, men Datainspektionen inväntar Googles svar från de europeiska länderna. David Frydlinger, advokat och Sandra Hjortén, biträdande jurist, berättar mer.

Tre av de fyra leverantörer som tilldelades ramavtal i Kammarkollegiets molntjänstupphandling baserade sina anbud på Googles molntjänst, Google Apps. Det innebär att leverantörerna är tvungna att acceptera att Googles integritetspolicy gäller för de personuppgifter som avropande myndigheter, kommuner med flera lagrar i Google Apps. Detta trots att EU:s dataskyddsmyndigheter har riktat allvarlig kritik mot Google för att företaget inte följer EU:s dataskyddslagstiftning. Det finns därför all anledning för avropande enheter att slå vakt om den personliga integriteten före avrop av Googles molntjänster under det nya ramavtalet.

Google spjärnar emot
I höstas skickade EU:s dataskyddsmyndigheter ett gemensamt brev till Google med anledning av Googles nya integritetspolicy som började gälla den 1 mars 2012. Av brevet framgår att Google inte lever upp till EU:s grundläggande dataskyddsprinciper. Kritiken består främst i att Google inte tillräckligt tydligt informerar om hur användarnas personuppgifter kommer att användas och att det inte går att kontrollera hur personuppgifter från företagets olika tjänster (sökmotorn, e-posttjänsten etc.) samkörs. Google menar dock att företagets integritetspolicy uppfyller lagkraven och har därför vid upprepade tillfällen uppgett att man inte tänker göra några ändringar i den. Det är uppenbart att Google inte delar europeiska myndigheters syn på vilket integritetsskydd EU-medborgarna har rätt till.

Några av EU:s dataskyddsmyndigheter, däribland myndigheterna i Storbritannien, Tyskland och Frankrike har nu reagerat och har meddelat att de inleder en granskning av Google och dess integritetspolicy. Om det visar sig att Google inte uppfyller lagkraven kommer dataskyddsmyndigheterna att besluta om tillsynsåtgärder. Redan tidigare har såväl Danmarks som Norges motsvarigheter till Datainspektionen vid granskningar riktat allvarlig kritik mot kommuner som velat upphandla Google Apps.

Även i Sverige pågår för närvarande ett tillsynsärende som rör Salems kommuns användning av Google Apps. Datainspektionen har i det ärendet beslutat att inhämta övriga europeiska dataskyddsmyndigheters synpunkter mot bakgrund av den senaste tidens kritik mot Google. Ett beslut kommer troligen senare i vår.

Kommuner och andra myndigheter som överväger att avropa Googles tjänster är skyldiga att göra en risk- och sårbarhetsanalys för att tillse att den personliga integriteten inte kränks vid användning av molntjänster. I denna analys måste bedömas om det, givet den pågående tillsynen mot Google och den kritik som framförts av andra europeiska dataskyddsmyndigheter, alls går att avropa Google Apps utan att agera i strid med personuppgiftslagstiftningen. Det är olyckligt att Kammarkollegiet valde att genomföra den stora molntjänstupphandlingen utan att bättre stämma av denna mycket viktiga fråga med Datainspektionen.

Det finns många uppenbara kostnadsbesparingar och andra fördelar att vinna genom molntjänster och utan tvekan kan stat och kommun använda molntjänster. Detta förutsätter dock att en leverantör anlitas som når upp till de stränga kraven på skyddet för den personliga integriteten. Ingen tillsynsmyndighet i Europa anser att Google når upp till dessa krav. Den som sitter på en kommun eller myndighet och vill använda ramavtalet för molntjänster måste vara medveten om detta och respektera skyddet för medborgarnas personliga integritet.

David Frydlinger och Sandra Hjortén
Advokatfirman Lindahl

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *