Varför är det så lite reaktioner på CLOUD Act? – del 2

Denna blogg är en fortsättning på ett tidigare blogginlägg som berörde CLOUD Act och GDPR [1], och kommer beröra problemen som är associerade med användningen av amerikanska molntjänster.

Bakgrund

I mars 2018 antogs CLOUD Act i USA i syfte att underlätta för amerikanska myndigheter att inhämta data från amerikanska IT-bolag. Detta som svar på en utdragen rättsprocess mellan Microsoft och det amerikanska justitiedepartementet angående Microsofts data på Irland. Efter införandet av CLOUD Act lades fallet ner i Högsta domstolen i USA [7].

EU-kommissionen konstaterade i en amicus curiae-inlaga till fallet mellan Microsoft och USA att EU har ett intresse av ett internationellt samarbete men att all utlämning av data fysiskt lagrad inom EU måste ske i enlighet med GDPR [2]. Samt har EDPB (EU:s svar på Datainspektionen) i ett svar till EU-parlamentet analyserat de möjligheter en personuppgiftsansvarig har att lämna ut personuppgifter till en amerikansk myndighet på begäran under CLOUD Act. Då GDPR, enligt artikel 48, ställer särskilda krav på adekvat skyddsnivå vid överföring av personuppgifter till tredje land och att Privacy Shield endast omfattar privat sektor, ser EDPB begränsade möjligheter för en personuppgiftsansvarig att följa en sådan begäran från en amerikansk myndighet [3].

USA är i dagsläget ett ej godkänt land för behandling av personuppgifter, om inte företaget som utför behandlingen är certifierade via Privacy Shield [4]. Certifieringen via Privacy Shield är en mekanism för att säkerställa att företag uppfyller de krav som ställs i Privacy Shield och tillåter då en personuppgiftsansvarig att överföra personuppgifter till USA.

Den 9 juli 2019 väckte den österrikiska internetaktivisten Max Schrems en talan till Europadomstolen angående huruvida Faceboooks dataflöden från Irland till USA kan anses vara rättslig hållbart i förhållande till GDPR. Europadomstolen kommer ta ställning till denna fråga under det första kvartalet 2020 och kommer innebära att legitimiteten av Privacy Shield kommer ifrågasättas [6].

Problembilder

Många organisationer använder i dagsläget amerikanska molnleverantörer då det är resursminimerande och kostnadseffektivt. Men under de rådande omständigheterna är det två områden som kan vara problematiska för organisationer vid användningen av amerikanska molnleverantörer:

• En möjlig ogiltigförklaring av Privacy Shield, och
• CLOUD Act.

Om Europadomstolen inte anser att Privacy Shield är förenlig med GDPR och överenskommelsen ogiltigförklaras, skulle privata företag i USA och företag ägda av amerikanska medborgare inte längre vara betrodda att lagra/hantera personuppgifter enligt GDPR. Att använda amerikanska molnleverantörer skulle då likställas med att överföra personuppgifter till ett tredje land och är förbjudet enligt artikel 48, om inte överföringen sker baserat på en internationell överenskommelse. Vilket inte längre skulle finnas mellan USA och EU om Privacy Shield ogiltigförklaras.

Om Privacy Shield hålls gällande så kvarstår fortfarande problemet med CLOUD Act. Problemet uppstår i vart ansvaret skall ligga, alltså vem som ska anses vara personuppgiftsansvarig i det fall då personuppgifter lämnas ut till amerikanska myndigheter till följd av CLOUD Act. EDPB ser begränsade möjligheter att lämna ut personuppgifter till följd av en begäran från amerikanska myndigheter. Hur ska organisationer då gå till väga?

Om molnleverantören utan kundens vetskap överför personuppgifter till amerikanska myndigheter är det osäkert om kunden anses bryta mot GDPR. För om molnleverantören skulle lämna över personuppgifter, utan kundens vetskap, till amerikanska myndigheter skulle molnleverantören att anses som personuppgiftsansvarig enligt artikel 28 §10 i GDPR. Men enligt artikel 28 §1 får en personuppgiftsansvarig endast anlita personuppgiftsbiträden som erbjuder tillräckliga garantier för att GDPR ska kunna efterlevas. Kunderna till molnleverantörer måste då ta ställning till om leverantören erbjuder ett tillräckligt skydd för att artikel 48 i GDPR kommer efterlevas. Molnleverantörerna måste också ta ställning till vilken av dessa lagar de vill följa, GDPR eller CLOUD Act.

Slutsats

Den senaste ogiltigförklaringen av ett dataöverföringsavtal mellan USA och EU skedde 2015 och gällde Safe Harbor [8]. Vid det tillfället upphörde avtalet omedelbart men gav dåvarande personuppgiftsombud (nuvarande dataskyddsombud) tre månader tidsfrist för att EU och USA skulle kunna förhandla fram ett nytt avtal. Om nu Privacy Shield upphör och en ny lösning ej uppnås mellan parterna i närtid, behöver dataskyddsombud och personuppgiftsansvariga upphöra med behandlingen av personuppgifter i molnet för att inte riskera böter.

För att minimera konsekvenserna av en sådan ogiltigförklaring bör organisationer utföra en analys av de uppgifter som är lagrade i molnet. Om organisationer tydligt kartlägger vilken data som finns i molnet kan de, vid en ogiltigförklaring av Privacy Shield, förflytta datamängder som innehåller personuppgifter så att de kan lagras inom EU. Organisationer bör även analysera dataflöden som innebär överföring av data till länder utanför EU och de överföringsavtal som används och hur viktiga dessa är för verksamheten samt de konsekvenser av att inte kunna fortsätta sådana överföringar.

Om Privacy Shield inte blir ogiltigförklarat kvarstår problemet med CLOUD Act. För att organisationer inom EU då ska kunna fortsätta lagra eller behandla personuppgifter hos molnleverantörer behövs vägledning från EDPB för hur behandlingen/lagringen får ske. I dagsläget är det oklart vem som ska hållas ansvarig om personuppgifter lämnas ut till tredje land.

Referenser

1. https://simovits.com/varfor-ar-det-sa-lite-reaktioner-pa-cloudact/
2. https://iapp.org/news/a/european-commission-weighs-in-on-microsoft-ireland-case/
3. https://www.datainspektionen.se/nyheter/edpb-och-edps-analyserar-utlamnanden-under-us-cloud-act/
4. https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/tredjelandsoverforing/hur-vet-vi-om-ett-tredje-land-har-adekvat-skyddsniva/
5. https://www.techuk.org/insights/news/item/15710-ecj-hears-case-which-could-upend-international-data-transfer-rules
6. Bild tagen från: https://blog.intercloud.com/gdpr-vs-cloud-act
7. https://www.theverge.com/2018/4/5/17203630/us-v-microsoft-scotus-doj-ireland-ruling
8. https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-09/cp150106sv.pdf