2019.06.04

Cloud Act – Ett ingrepp på den europeiska marknaden?


Om du som företag använder dig av en amerikansk leverantör av molntjänster eller elektronisk kommunikation kan du komma att påverkas av Cloud Act (the Clarifying Lawful Overseas Use of Data Act), vilken klubbades igenom som amerikansk lag i slutet av mars förra året. Trots att lagen varit i kraft i över ett år är det få som faktiskt tagit ställningen till och är medvetna om lagens konsekvenser.

Lagen innebär i korthet att amerikanska myndigheter kan kräva att amerikanska molntjänsteleverantörer och amerikanska leverantörer av olika slags elektronisk kommunikation ska lämna ut data som lagras utomlands. Myndigheterna har med andra ord en rätt att kräva ut data om europeiska medborgare. Detta står i strid med grundprinciperna i bland annat Dataskyddsförordningen (”GDPR”) och för med sig att säkerheten och integriteten för europeiska medborgares persondata inte kan garanteras. För att myndigheten ska ha en möjlighet att begära ut data krävs det dock att det föreligger stark misstanke om att ett konkret brott har begåtts.

Företag som använder sig av amerikanska leverantörer måste således se över den behandling som sker och utföra riskbedömningar vad gäller de data, inklusive personuppgifter, som leverantören behandlar å företagets vägnar. Det är viktigt att föra en dialog med leverantören och börja se över vilken typ av data som potentiellt kan lämnas ut.

En parantes i det hela, men däremot inte en liten sådan, är att utlämningen inte är begränsad till amerikanska myndigheter som är vana och kan säkerställa ett adekvat skydd för informationen. Detta innebär således att känslig data som företaget behandlar i molnet potentiellt kan lämnas ut till en myndighet som sällan arbetar med sekretesskyddad information.

Ytterligare en konsekvens av lagstiftningen är att företag kan tvingas kontrollera och omförhandla redan signerade avtal (exv. personuppgiftsbiträdesavtal), eftersom leverantören inte längre kan garantera dess efterlevnad. Cloud Act har länge simmat i GDPR:s kölvatten, men IT-advokaterna rekommenderar starkt att man som företag sätter sig in i och ta ställning till hur man förhåller sig till densamma.