US CLOUD Act (Clarifying Lawful Overseas Use of Data Act eller kort Cloud Act) är en amerikansk lag som antogs 2018 av USA:s kongress. Lagen gör det möjligt för amerikanska myndigheter att begära ut data som lagras utanför USA:s territorium från tjänsteleverantörer som omfattas av USA:s jurisdiktion. Syftet med lagen är att underlätta utredningsarbetet för brottsbekämpande myndigheter.
CLOUD Act ger USA:s brottsbekämpande myndigheter omfattande befogenheter att beordra vissa typer av tjänsteleverantörer (inklusive telekomoperatörer och molntjänstleverantörer) att bland annat lämna ut data om användare. Data som en tjänsteleverantör kan behöva lämna ut omfattar även innehållet i kommunikation som till exempel e-post och chattmeddelanden. Tjänsteleverantören måste lämna ut denna data oavsett om den lagras i eller utanför USA. När denna data avser personuppgifter som omfattas av dataskyddsförordningen (“GDPR”), till exempel för att de tillhör en europeisk användare av en amerikansk molntjänst, hamnar tjänsteleverantören i en konflikt mellan CLOUD Act och GDPR.
För att en amerikansk myndighet ska kunna begära ut uppgifter från en tjänsteleverantör med stöd av CLOUD Act krävs vanligtvis ett beslut av en amerikansk domstol. Domstolen gör då en bedömning om det är sannolikt att ett specifikt brott har ägt rum eller kommer att göra det.
CLOUD Act öppnar även upp för att en myndighet i vissa situationer kan ställa mer ospecifika krav. Därutöver finns det möjligheter för myndigheter att beordra tjänsteleverantörer att lämna ut information utan domstolsbeslut. CLOUD Act gör det vidare möjligt att kringgå rättsliga instrument som har skapats för datautbyte mellan brottsbekämpande myndigheter över atlanten, som till exempel avtalet om ömsesidig rättslig hjälp mellan Europeiska unionen och Amerikas förenta stater.
USA:s syn på CLOUD Act är att lagen underlättar brottsbekämpande myndigheters arbete genom att förtydliga tjänsteleverantörens skyldigheter. EU:s syn på lagen är istället att CLOUD Act innebär ett betydande ingrepp i medlemsstaternas jurisdiktion och maktmonopol.
Tjänsteleverantörer som lämnar ut personuppgifter som omfattas av GDPR till amerikanska myndigheter med stöd av CLOUD Act bryter i de flesta fall mot GDPR och riskerar således höga sanktionsavgifter.
Ta del av US CLOUD Act, endast tillgänglig på engelska, här.
Läs EDPB:s/EDPS:s juridiska bedömning av CLOUD Act, endast tillgänglig på engelska, här.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.