Digdir og markedsplassen for skytjenester i DFØ har utarbeidet og publisert en veileder om bruk av skytjenester etter Schrems II på oppdrag fra Skate. Datatilsynet og Digdir har opplevd å få mange henvendelser om veilederen og at veilederen har skapt noe usikkerhet. Dette er derfor en felles uttalelse.
Skate har ønsket å bistå virksomheter i deres arbeid med praktisk implementering av et vanskelig regelverk. Datatilsynet har ikke vært med i utarbeidelsen av dokumentet, men har fått gi innspill til Skate underveis.
Noen punkter i veilederen som nå er publisert, skiller seg fra Datatilsynet og Personvernrådets praksis.
– Intensjonen har vært å hjelpe virksomheter som syns dette er vanskelig med å gjøre reelle og grundige vurderinger av skytjenester. Jeg er blitt informert om at Datatilsynet har fått mange spørsmål om denne veiledningen erstatter Datatilsynets veiledning. Det gjør den ikke. Vår veiledning er ment å ta utgangspunkt i Datatilsynets veileder, men også gjøre veiledningen mer konkret etter innspill og behov fra virksomheter i offentlig sektor. Jeg er lei meg for at flere opplever at veiledningen skaper usikkerhet om Datatilsynets rolle, og det er vi innstilt på å klargjøre i tett samarbeid med Datatilsynet den nærmeste tiden. Dette gjelder også juridiske uenigheter, sier Digdir-direktør Steffen Sutorius.
Datatilsynet får mange henvendelser fra virksomheter, med spørsmål om hva som nå gjelder. Ansvarlighetsprinsippet er helt sentralt i personvernforordningen, og innebærer at alle virksomheter må gjøre sine egne vurderinger. Veiledningen til Digdir og DFØ har hatt som formål å hjelpe virksomhetene å gjøre disse vurderingene, men rettspraksisen er kompleks. Datatilsynet og Personvernrådet skal veilede om, og håndheve, personvernforordningen. Hvis du lurer på hvordan datatilsynene i Europa, inkludert det norske Datatilsynet, vil håndheve dette regelverket, så er det veilederen her som gjelder Overføring av personopplysninger ut av EØS | Datatilsynet.
– Vi er også opptatt av forenkling og å hjelpe virksomheter til å etterleve regelverket på en best mulig måte. Men det må skje innenfor dagens regler, som virksomhetene faktisk må forholde seg til. Veiledningen vår viser hvordan vi og Personvernrådet forstår dagens regelverk, sier Line Coll, direktør i Datatilsynet.
Datatilsynet, Digdir og DFØ vil understreke at veilederen bør sees i lys av veiledning fra Datatilsynet og EDPB. Det vil bli møter om kort tid for å vurdere behovet for å gjøre justeringer, slik at virksomhetene får et riktig og best mulig veiledningstilbud.