FAQ om personuppgifter, dataintegritet och regelefterlevnad i molnet

Privacy Shield var en överenskommelse mellan EU-kommissionen och USA:s regering om en lösning för transatlantiska överföringar av personuppgifter. Mottagare av i USA kunde välja att certifiera sig mot en uppsättning regler; enkelt uttryckt kunde företag och andra organisationer frivilligt lova att hålla en standard som liknar den som råder i EU. Den 16 juli ogiltigförklarades Privacy Shield av EU-domstolen, som slog fast att avtalet inte gav tillräckligt skydd för personuppgifter i enlighet med GDPR.

CLOUD Act (Clarifying Lawful Overseas Use of Data Act) innebär att amerikanska myndigheter, vid misstanke om brott, har rätt att begära ut personuppgifter och annan data från amerikanska molntjänstleverantörer, även om denna data lagras utanför USA, t.ex. inom EU. Det spelar alltså ingen roll i vilket land som servrarna där datan lagras befinner sig i. Så länge bolaget som äger servrarna är registrerat som ett amerikanskt bolag så lyder de under CLOUD Act. CLOUD Act öppnar även upp för andra länder, som ingått ett datadelningsavtal med USA, att begära ut data från amerikanska bolag utan att kongress eller domstolar får vetskap om det.

GDPR fokuserar på individens rätt. GDPR:s främsta uppgift är att säkerställa alla EU-medborgares rättsliga dataskydd samt individens rätt till sitt privatliv och kontrollen över sin egen data. Det syftar också till att reglera hur personuppgifter får överföras inom och utanför EU. Dessa regler påverkar alla organisationer som på något sätt lagrar och hanterar personuppgifter i sina system, framförallt om lagring sker i molntjänster som ägs av utomeuropeiska företag. Du behöver ha en nära dialog med din leverantör och säkerställa att de kan garantera dig hundraprocentig efterlevnad av de lokala lagar och regler som dina verksamheter lyder under.

Innehållet i Cloud Act går stick i stäv mot själva syftet med bestämmelserna i GDPR. Även om EU visserligen har ett intresse av ett internationellt rättskipande samarbete så måste all utlämning av data som lagras inom EU ske i enlighet med GDPR för att vara laglig. I praktiken innebär detta att överföring endast får ske om det grundar sig på ett specifikt avtal om ömsesidig rättslig hjälp, s.k. MLAT-avtal (Mutual Legal Assistance Treaty). Det är något som CLOUD Act helt enkelt inte tar hänsyn till.

Den 16 juli 2020 kom domen Schrems II. Där slog EU-domstolen fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Avtalet ogiltigförklarades och kan inte längre användas som grund för överföring av personuppgifter.

Ogiltigförklarandet av Privacy Shield-avtalet innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA, genom att exempelvis lagra dem hos en amerikansk molnleverantör. Även om aktörerna ofta har sina datacenter inom EU, så är tjänsterna många gånger beroende av överföringar av personuppgifter till USA, till exempel för utförande av supportärenden. 

Efter EU-domen som ogiltigförklarande Privacy Shield har flera amerikanska molnaktörer nu gått över till att hänvisa till standardavtalsklausuler; ett kontraktsbaserat alternativ till Privacy Shield som tecknas mellan överförare och mottagare av personuppgifter. Mot bakgrund av EU-domstolens uttalanden i domen avseende skyddsnivån för personuppgifter i USA, givet den amerikanska lagen CLOUD Act, talar dock mycket för att en överföring till USA med stöd av modellklausulerna också kan anses vara otillåten. Det finns alltså ännu ingen vägledning om standardavtalsklausulerna verkligen är tillräckliga för att skydda personuppgifter som överförs till USA, utifrån GDPR.

Det är fritt fram att överföra personuppgifter och data mellan alla länder inom EU (gäller även EES-länderna). Om du däremot vill föra över och lagra uppgifter utanför EU, exempelvis i USA, krävs vissa förutsättningar för att detta ska vara tillåtet. Det kan vara följande:

Regelverken kring hantering av personuppgifter har funnits några år och hittills har de stora amerikanska molntjänstleverantörerna lutat sig mot det så kallade Privacy Shield-avtalet. Sedan EU-domstolen ogiltigförklarade Privacy Shield är det inte längre tillåtet att överföra personuppgifter till USA med detta avtal som grund. Det är nu upp till dig som ansvarig för din enskilda verksamhet att göra en bedömning om tillräckligt skydd finns för att garantera att kraven i GDPR efterlevs. 

Kryptering av data kan vara ett sådant skydd för organisationen, men viktigt att tänka på är att bevisbördan ligger på den enskilda verksamheten här. 

Det är alltså den enskilda verksamheten som måste kunna garantera att ingen extern organisation (så som exempelvis amerikanska NSA) har knäckt aktuella krypteringsnivåer. En garanti som är väldigt svår, om inte helt omöjlig, att ge för enskilda organisationer.