CLOUD Act – USA vill fortfarande ha dina personuppgifter

Publicerat av Cecilia den

Lagom till att EU implementerat GDPR som ska skydda personuppgifter och ge individer kontroll över dessa så har Trump och USA lite i skymundan infört CLOUD Act som i praktiken kan trumfa GDPR om du som företag eller konsument väljer att använda en amerikansk leverantör för att hantera din data. Men hur är detta möjligt? Och vad betyder det egentligen?

Vad är CLOUD Act?

CLOUD Act infördes 23:e mars i år som en del av ”the omnibus budget bill” och innebär att amerikanska företag som tillhandahåller server- och molntjänster kan tvingas lämna ut data till amerikanska brottsbekämpande myndigheter oavsett var själva datat fysiskt är lagrat. CLOUD är en förkortning av Clarifying Lawful Overseas Use of Data. Det som avgör om CLOUD Act gäller eller inte är alltså leverantörens yttersta nationella hemvist och inte var informationen fysiskt är lagrad. Som exempel kan vi ta om man som svenskt företag använder sig av Microsoft365 för intern och extern kommunikation med enbart svenska mottagare och allt detta data finns på Microsofts Irlands servrar i Europa så kan amerikanska myndigheter ändå ha rätt att begära ut data från dessa servrar eftersom Microsoft i grunden är ett amerikanskt bolag. Att Microsoft Irland egentligen lyder under EU- och irländsk lag kör CLOUD Act då över i och med att det är ett dotterbolag till Microsoft som är baserat i USA.

Förutom att amerikanska brottsbekämpande myndigheter genom CLOUD Act får rättigheter att begära ut data från servrar som hanteras av amerikanska företag så öppnar även lagen för att USA som stat kan teckna bilaterala avtal med andra stater som då också kan begära ut uppgifter om deras egna medborgare och företag direkt från amerikanska server- och molntjänstföretag med hänvisning till CLOUD Act. Kraven för att kunna teckna ett sådant avtal är dock att den staten måste respektera individers integritet, mänskliga rättigheter, säkerställa yttrandefrihet samt ha ett fungerande rättsväsende, etc. Än så länge har ingen annan stat tecknat ett sådant avtal om vi förstått saken rätt, men enligt Microsofts blogg finns det ett i princip färdigt avtalsutkast mellan USA och Storbritannien sedan ett par år tillbaka som nu väntas kunna realiseras tack vare CLOUD Act.

Varför har USA infört Cloud Act?

2013 begärde det amerikanska justitiedepartementet att Microsoft skulle lämna ut personuppgifter om en irländsk medborgare vars data var lagrad på Microsofts servrar på Irland. Personen var misstänkt för att vara inblandad i en drogkartell och det var FBI som ville ha ut  personens e-post. Avtalet mellan individen och Microsoft var med Microsofts irländska dotterbolag och trots detta bedömde en amerikansk domare att Microsoft som ett amerikanskt moderbolag var skyldigt att lämna ut uppgifterna. Microsoft vägrade eftersom de upplevde lagstiftningen inom området som alltför lurvig och gammalmodig och fallet gick till amerikanska Högsta domstolen där det sedan fastnade. Frågan handlade alltså om vilket lands lagar som egentligen ska gälla – Irlands eller USA:s?

CLOUD Act är delvis svaret på denna fråga, men det betyder inte att det nu är fritt fram för amerikanska brottsbekämpande myndigheter att begära ut uppgifter om andra länders medborgare hursomhelst. Exempelvis har den amerikanska tjänsteleverantören rätt att innan de lämnar ut uppgifterna till t ex FBI eller NSA informera den stat vars nationalitet de omfrågade individerna/företagen gäller ifall den staten vill bestrida begäran utifrån sin egen lagstiftning. I ett sådant fall måste begäran gå till en ”Comity Analysis” vilket innebär att det blir en gemensam bedömning mellan USA och den staten om CLOUD Act verkligen kan tillämpas.

Generellt sett är de flesta stora drakar som Microsoft, Google, Facebook, etc positiva till CLOUD Act då det är en lag som adresserar det faktum att data passerar landsgränser mest hela tiden och vilket lands lag ska egentligen gälla? USA har valt att det är molntjänstleverantörens slutliga juridiska hemvist som avgör ifall CLOUD Act kan tillämpas. För GDPR är det om ett företag bedriver verksamhet i ett EU-land och därmed behandlar personuppgifter om europeiska medborgare som avgör om lagen ska gälla eller inte. Men det som är gemensamt för båda dessa lagar är att det numera är oväsentligt var datat rent fysiskt befinner sig vilket nog måste ses som ett framsteg.

Hur ska man förhålla sig till CLOUD Act?

Ja, det beror ju lite på hur paranoid man är och hur stort förtroende man har för USA. Är man mycket paranoid och/eller har lågt förtroende för USA:s respekt för individens integritet så bör man försöka hitta andra leverantörer av molntjänster än amerikanska. Detsamma gäller ju om man har brottsligt uppsåt som USA som stat kan ha intresse av att utreda – då bör man omedelbart lämna Facebook, Microsoft, Google, Amazon, osv!

Men skämt åtsido – för ett helt vanligt svenskt företag som inte ägnar sig åt något som kan vara av intresse av USA:s brottsbekämpande myndigheter så spelar nog inte CLOUD Act någon roll och man kan tryggt fortsätta att använda sig av sina befintliga leverantörer. Myndigheter och företag med viktiga dokument kring affärshemligheter och som har amerikanska konkurrenter kan ju dock fundera något varv till på om man vill lägga upp känslig information på amerikanska serverlösningar…

Men det som jag tycker är intressant och lite skrämmande – eftersom jag själv inte har särskilt stort förtroende för Trump och hans regim – är att det i princip inte finns några andra än amerikanska leverantörer av molnbaserade tjänster för kommunikation och dokumenthantering för konsumenter och småföretag. Här måste det finnas en stor affärsmöjlighet för europeiska bolag att etablera sig. Tills dess får vi hoppas att företag som Microsoft fortsätter att kämpa för en balans mellan personlig integritet och brottsbekämpande myndigheters möjligheter att förebygga och utreda allvarliga brott.