Historien om GDPR och Cloud Act

Att EU och USA de senaste åren arbetat med att uppdatera lagstiftningen kring hantering och kontroll av olika typer av data har knappast undgått någon. Vi lever idag i en verklighet där våra verksamheter påverkas på olika sätt av dessa lagstiftningar och ser det mer och mer som självklarheter i vårt arbete med information i organisationer. 

Vad som kan vara intressant att reflektera över är syftet med dessa olika lagstiftningar, hur de påverkar varandra och hur framtiden kan tänkas se ut. I denna artikel sammanfattar vi kort bakgrunden till dessa initiativ för att försöka förstå varför vi hanterar alla dagliga praktikaliteter som dessa inneburit.

Hur uppstod GDPR?

Länderna inom EU hade redan innan GDPR trädde i kraft 2018 olika lagstadgade skydd för den personliga integriteten med avseende på hantering av personuppgifter, grundade i EU-konventionen om skydd för de mänskliga rättigheterna och friheterna genom det så kallade dataskyddsdirektivet från 1995. I Sverige hade vi till exempel Personuppgiftslagen (PUL) som reglerade detta och liknande lagar och förordningar fanns även i andra medlemsländer.

Sedan 1995 har mycket hänt med behoven av att behandla personuppgifter då storskaliga, moderna IT-tjänster vuxit fram både för företagsanvändare och privatanvändare. I takt med att EUs inre marknad vuxit ihop mer och mer har även behoven av att dessa personuppgifter kan flöda fritt, kontrollerat och förutsägbart inom unionen ökat kraftigt. Ett av grundsyftena med GDPR är därför att, i enlighet med den fria rörligheten inom EU, underlätta rörligheten av information över medlemsländernas landsgränser genom att samma lagstiftning för skydd av personuppgifter gäller i hela unionen. 

GDPR trädde i kraft i maj 2016 men började tillämpas först två år senare och då av EU-länderna, men även Island, Liechtenstein och Norge som en del av EES. Läs mer om GDPR hos Identitetsskyddsmyndigheten.

Hur uppstod CLOUD Act?

USA har sedan 1986 haft en lagstiftning som reglerar utlämnande och hantering av lagrade uppgifter relaterade till kommunikations- och transaktionshistorik, kallad Stored Communications Act. Under 2010-talet uppstod dock ett antal fall där amerikanska myndigheter enligt denna lagstiftning begärt ut uppgifter relaterade till amerikanska brottmål men inte fått ut dem. Detta eftersom informationen som efterfrågats inte var lagrad i USA, utan utomlands. Mest uppmärksammat är ett fall från 2013 där Microsoft vägrade att lämna ut information lagrad på sina servrar på Irland och som därefter togs hela vägen till högsta domstolen. 

Under tiden Microsoft drev processen arbetades CLOUD Act fram som ett tillägg till Stored Communications Act, med syftet att uppdatera lagstiftningen så att den täcker även moderna och globala molntjänster. Målet är alltså att amerikanska företag ska lämna ut den information som brottsbekämpande myndigheter, via domare, anser behövas för brottsutredningar där brotten är av grövre karaktär. 

CLOUD Act tvingar därför företag att lämna ut uppgifter som finns på alla servrar som de äger, oavsett vilket land dessa står i, och som efterfrågas av amerikanska myndigheter via en så kallad warrant utfärdad av en domare. Företaget som äger servern kan ifrågasätta och avvisa dessa om de anser att utlämnandet strider mot lokal lag i landet där servern står, till exempel GDPR. Tillägget har varit i bruk sedan 2018. 

Varför är inte GDPR och CLOUD Act förenliga med varandra?

Överföring av personuppgifter till tredjeland baserat på domslut eller beslut från myndigheter i tredjelandet är förbjudet enligt GDPR om det inte finns en internationell överenskommelse som överföringen grundar sig på. Just nu finns ingen sådan mellan USA och EU och därför är överföring av uppgifter på det sätt som CLOUD Act beskriver förbjudet. 

EU har heller inte beslutat om att USA har en så kallad adekvat skyddsnivå för personuppgifter, troligen beroende på att lagstiftningen där är avsevärt annorlunda och därmed inte anses förenlig med hur GDPR fungerar. För de länder som EU har beslutat har en adekvat skyddsnivå kan överföring av personuppgifter annars ske utan vidare överenskommelser. Den tidigare Privacy Shield-överenskommelsen fanns till för just detta, men sedan 2020 är den ogiltigförklarad (genom den så kallade Schrems II-domen i EU-domstolen) med grund i just att den inte ger tillräckligt skydd för de personuppgifter som överförs till USA.

Framtiden för dataskydd och informationsöverföring mellan USA och EU

Ursula von der Leyen har i mars 2022 skakat hand med Joe Biden om att USA och EU är överens om att arbeta mot ett nytt ramverk för att hantera de två parternas motstridiga lagstiftningar. Tills att detta är på plats gäller dock befintlig lagstiftning, tolkningar och vägledande domar. 

Det som den nya överenskommelsen bland annat kommer att innehålla är nya begränsningar för amerikanska myndigheter i insamlandet och hanteringen av personuppgifter, en gemensam institution för att löpande behandla och utvärdera datasäkerhetsfrågor relaterat till överföringen mellan parterna samt ett fortsatt krav för amerikanska företag som behandlar personuppgifter från EU att certifiera sig. Läs mer om denna överenskommelse hos EU-kommissionen.