Om du som företag använder dig av en amerikansk leverantör av molntjänster eller elektronisk kommunikation kan du komma att påverkas av US Cloud Act (the Clarifying Lawful Overseas Use of Data Act) vilken i korthet innebär att amerikanska myndigheter kan kräva att amerikanska leverantörer av elektronisk kommunikation ska lämna ut data som lagras utomlands.
Eftersom dataskyddsförordningen (GDPR) ställer höga krav på adekvat skyddsnivå vad gäller överföring av personuppgifter till tredje land har European Data Protection Board (EDPB) och European Data Protection Supervisor (EDPS) granskat och analyserat vilka möjligheter en europeisk personuppgiftsansvarig har att följa en begäran om utlämnande av personuppgifter till amerikanska brottsbekämpande myndigheter under US Cloud Act.
Den slutsats som EDPB och EDPS landat i är att möjligheterna för en personuppgiftsansvarig inom EU att följa en direktbegäran från en amerikansk brottsbekämpande myndighet är mycket begränsad. EDPB/EDPS menar att såvida inte en arresteringsorder under US Clous Act erkänns eller är verkställbar till följd av ett internationellt avtal, kan lagligheten av överföringen inte fastställas.
EU-kommissionen har nyligen inlett förhandlingar med USA om ett internationellt avtal som behandlar gränsöverskridande tillgångsförfrågningar till elektroniska bevis, i syfte att fastställa vilka möjligheter en amerikansk verkställande myndighet har att få tillgång till information inom EU/EES.
För mer information, läs IT-advokaternas tidigare pressmeddelande om Cloud Act här eller se EDPB/EDPS analys om utlämning här.