Jag hade intressant samtal med en "Big Data"-konsult igår om Hadoop i molnet. Enligt konsulten så får företag som är registrerade i ett land inte föra över personuppgifter till annat land. Konsulten hänvisade till PUL och om det stämmer så har det stor påverkan på möjligheten att nyttja molntjänster eftersom dessa ofta har datacenter i annat land än Sverige samt att kund- och webbanalys ofta inbegriper personuppgifter i form av ID-nummer som indirekt kan kopplas till en person.
Jag var av annan uppfattning/tolkning och utan att vara juridisk expert så tänkte jag återge min tolkning, i synnerhet för att nyttja Azures Hadooptjänst i webbanalyssyfte.
PUL förklarat av Datainspektionen:
"PuL är en förkortning av personuppgiftslagen. Personuppgiftslagen innehåller regler som ska skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen gäller för behandling av personuppgifter i hela samhället - för verksamhet som bedrivs av såväl myndigheter som enskilda..."
Vad är en personuppgift enligt Datainspektionen:
"All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer."
Med andra ord räknas kund-id, order-id, medlemskapsnummer, m.m. som personuppgifter då dessa indirekt kan knytas till en person. Så lagras dessa för analyssyfte så måste företaget leva upp till PUL.
Vilka regler gäller för överföring av personuppgifter till tredje land?
"EU:s dataskyddsdirektiv kräver att alla medlemsstater har regler som ger ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. Eftersom det inte finns några generella regler som ger motsvarande garantier utanför EU/EES har man ansett att överföring till sådana länder bör begränsas. Personuppgifter får därför föras över endast om det finns en adekvat skyddsnivå i mottagarlandet eller om det finns särskilda garantier för att uppgifterna och de registrerades rättigheter skyddas."
Med andra ord är det fullt möjligt att nyttja molntjänster baserade i EU för nämnda ändamål. Men för molntjänster i andra länder gäller särskilda regler. Datainspektionen har en lista över vilka länder som har adekvat skyddsnivå. Eftersom Microsofts Hadoop-tjänst i dagsläget endast finns tillgänglig i deras amerikanska datacenter (US-North) så gäller Safe Harbor-principerna.
Det är en samling frivilliga regler om personlig integritet och dataskydd som har tagits fram och beslutats av USA:s handelsdepartement (Department of Commerce - DoC). Organisationer i USA kan anmäla till departementet att de ansluter sig till dessa regler. EU-kommissionen har bedömt att reglerna (med tillhörande frågor och svar) utgör en adekvat skyddsnivå. Det är därmed tillåtet att föra över personuppgifter från EU/EES till organisationer i USA som har anslutit sig till reglerna. På USA:s handelsdepartements webbplats finns en lista över företag som anslutit sig till Safe Harbor-principerna.
I fallet Microsoft Azure så går det att läsa att de uppfyller nämnda principer. Jag tolkar sålunda att det är fritt fram att nyttja Azure HDInsight för webbanalys, givet att:
"Den personuppgiftsbehandling som sker i Sverige måste fortfarande följa reglerna i personuppgiftslagen. Det innebär att uppgifter bara får föras över om den personuppgiftsansvarige i Sverige har följt övriga krav i personuppgiftslagen, till exempel de grundläggande kraven på personuppgiftsbehandling och reglerna om när sådan behandling över huvud taget är tillåten."