Kollision mellan dataskyddsförordningen (GDPR) och USA:s Cloud Act
Under år 2018 antogs the Clarifying Lawful Overseas Use of Data Act (Cloud Act) i USA. Bakgrunden till lagen är en domstolsprocess mellan Microsoft och Justitiedepartementet i USA.
Målet handlade om att Microsoft vägrat att lämna ut en privatpersons e-postmeddelanden som lagrades av Microsoft på en server i Irland. Microsoft hävdade att dåvarande lagstiftning inte gav stöd för Justitiedepartementets krav på tillgång till datan i och med att den lagrades utanför USA:s territorium.
Innan målet slutligen avgjorts undanröjdes frågan genom att den amerikanska kongressen beslutade att anta Cloud Act.
Cloud Act är formellt en ändring av the Stored Communications Act (SCA) och innebär att SCA ska ha extraterritoriell räckvidd.
Att kräva tillgång till uppgifter enligt Cloud Act
Med stöd av Cloud Act kan amerikanska myndigheter vända sig till domstol och begära att en ”warrant” om att överlämna data lagrad utanför USA:s territorium ska utfärdas. För att en warrant ska utfärdas krävs mycket förenklat följande:
- den som begäran riktar sig mot ska vara underkastad amerikansk jurisdiktion;
- tillhandahålla en sådan typ av tjänst som omfattas av lagstiftningen; och
- förutsättningar för att erhålla en warrant enligt amerikansk straffprocessuell lagstiftning ska vara uppfyllda.
Det krävs inte mycket för att ett företag ska anses underkastat amerikansk jurisdiktion. Det kan till exempel räcka med att man har kunder i USA. Hur USA skulle gå till väga för att verkställa en warrant mot ett ”heleuropeiskt” företag utan verksamhet i USA är dock en fråga för sig.
De typer av tjänster som omfattas av Cloud Act är ”electronic communication services” och ”remote computing services”. Det innebär att leverantörer av allehanda typer av elektroniska kommunikations- och molntjänster träffas av Cloud Act.
För att en warrant ska utfärdas av domstolen krävs förenklat att det föreligger stark misstanke om att ett konkret brott har begåtts. Det innebär att amerikanska myndigheter inte kan använda Cloud Act för att ge sig ut på ”fishing expeditions” och tråla efter bevis om kriminell aktivitet i största allmänhet.
Innan jag redogör för varför Cloud Act kan kollidera med dataskyddsförordningen (”GDPR”) vill jag nämna att det tycks vara ovanligt att amerikanska myndigheter vänder sig till en IT-leverantör för att få tillgång till en företagskunds data och inte direkt till företaget.
Amerikanska justitiedepartementet har i en vägledning från 2017 uttalat att åklagare i första hand bör begära tillgång direkt från företaget i fråga och inte från dess IT-leverantör.
Microsoft hävdar även att endast en handfull av deras företagskunder någonsin har varit föremål för en begäran om tillgång till data.
Regler om överföring av personuppgifter till tredje land
Att överföra personuppgifter till ett tredje land, som till exempel USA, för att hörsamma domstolsbeslut eller beslut av myndighet i det tredje landet är uttryckligen förbjudet enligt artikel 48 i GDPR, såvida inte överföringen sker baserat på en internationell överenskommelse om till exempel rättshjälp.
Cloud Act är uppenbart inte en internationell överenskommelse. Det innebär att det är förbjudet att överföra personuppgifter till USA för att hörsamma en warrant utfärdad med stöd av Cloud Act. Det är likväl förbjudet att överföra personuppgifter till amerikanska myndigheter enligt artikel 44 i GDPR.
Brott mot artikel 44 eller 48 kan ytterst leda till administrativa böter på upp till 20 miljoner euro eller 4 % av ett företags globala årsomsättning. Dessa regler gäller såväl personuppgiftsansvariga som personuppgiftsbiträden.
Cloud Act och molntjänstleverantörer
Låt säga att en personuppgiftsansvarig (kunden) lagrar personuppgifter i en molntjänst som ett personuppgiftsbiträde (leverantören) tillhandahåller. Amerikansk domstol utfärdar sedan en warrant riktad mot leverantören med krav på att lämna ut personuppgifter som kunden lagrar i leverantörens molntjänst.
Om leverantören hörsammar beslutet så bryter leverantören mot artikel 44 och 48 i GDPR. Om leverantören inte hörsammar beslutet kan leverantören samtidigt råka illa ut i USA.
Leverantören kan alltså behöva välja lag att bryta mot om det skulle vilja sig så illa att amerikanska myndigheter vänder sig direkt till leverantören och inte till kunden.
Cloud Act och molntjänstleverantörers kunder
Enligt min uppfattning är det tveksamt om kunden i exemplet ovan kan anses bryta mot GDPR om leverantören utan kundens vetskap överför kundens personuppgifter till amerikanska myndigheter. Det gäller i synnerhet om kunden i avtal med leverantören har instruerat att personuppgifter inte får överföras till tredje land i strid med GDPR:s regler.
Om leverantören trots det lämnar ut personuppgifter till amerikanska myndigheter blir leverantören enligt artikel 28.10 i GDPR att anse som personuppgiftsansvarig för denna åtgärd. Det talar i någon mån för att kundens ansvar för utlämnandet i sig är begränsat, givet att kunden faktiskt har sett till att avtalet innehåller en sådan skrivning.
Samtidigt kan man inte som kund nöja sig med att ta in en sådan skrivning i avtalet med leverantören och i övrigt förhålla sig passiv till frågan om Cloud Act.
Av artikel 28.1 i GDPR framgår att den personuppgiftsansvarige endast får anlita personuppgiftsbiträden som erbjuder ”tillräckliga garantier” för att GDPR kommer att efterlevas. Som kund behöver man därför ta ställning till om leverantören erbjuder tillräckliga garantier för att GDPR:s regler om överföring av personuppgifter till tredje land kommer att respekteras.
Vad leverantören konkret ska prestera för att man som kund ska anses ha fullgjort denna skyldighet i ljuset av Cloud Act finns det inte någon officiell vägledning kring.
Europeiska dataskyddsstyrelsen bör ta fram vägledning
Det finns knappast något europeiskt företag eller myndighet som inte använder sig av molntjänster. Utvecklingen går dessutom mot mer och mer molnbaserade IT-lösningar.
Risken för kollision mellan GDPR och Cloud Act är något som dessa företag och myndigheter tvingas förhålla sig till redan idag. Den goda nyheten är att det finns ett EU-organ med ansvar för att ta fram vägledning och säkerställa en enhetlig tillämplig av GDPR inom EU/EES.
Europeiska dataskyddsstyrelsen bör skyndsamt agera och tala om vad europeiska företag och myndigheter bör göra för att kunna sälja respektive använda molntjänster utan att behöva oroa sig för att bryta mot GDPR. Till dess är var och en utlämnad till sin egen bedömning.