Den som funderar på att anlita amerikanska molnjänstleverantörer måste beakta EU:s dataskyddslagstiftning (GDPR). Det är ett snårigt område eftersom amerikansk lagstiftning står i strid med GDPR. Trots att många amerikanska molntjänster erbjuder lagring inom EU till svenska företag är det svårt för dessa att uppnå kraven enligt GDPR.
Cloud Act
I mars 2018 antogs Cloud Act som ger amerikanska myndigheter tillgång till data som lagras på amerikanska molntjänster, även om denna lagras inom EU. Cloud Act är tillämplig på molntjänstleverantörer som lyder under amerikansk rätt. Även dotterbolag till amerikanska bolag omfattas av lagen. Därför måste man behöver ha koll på vilka underleverantörerna är. Anlitar ditt företag ett svenskt eller europeiskt bolag för behandling av personuppgifter behöver man utreda huruvida leverantören i sin tur anlitar en amerikansk molntjänstleverantör (som lyder under Cloud Act).
På grund av lagen tvingas amerikanska bolag, som lyder under Cloud Act, att lämna ut personuppgifter som är lagrade i molntjänster. Amerikanska myndigheter kan få tillgång till personuppgifter, utan att du och ditt företag får kännedom om det. Detta är ett brott mot överföring av personuppgifter i strid med GDPR vilket kan leda till sanktionsavgifter på upp till 20 miljoner euro eller 4 % av ett företags globala årsomsättning.
FISA section 702
Foreign Intelligence Surveillance Act, förkortad FISA, tillåter att amerikanska myndigheter genomför elektronisk övervakning och får tillgång till data som lagras i amerikanska molntjänster. FISA strider mot GDPR eftersom den amerikanska lagen tillåter hemlig insamling och behandling av personrelaterade data, utan begränsning till ett visst specifikt ändamål. Vidare finns inga tillgängliga och effektiva rättsmedel, dvs möjligheter för en enskild individ att överklaga ett avlysningsbeslut och få en rättslig prövning av en oberoende domstol.
Lag24 Trainee
03.09.2021
Få snabbt och enkelt hjälp med din juridiska fråga.