Cloud Act og GDPR

Amerikansk lovendring kan tvinge selskaper til å bryte GDPR

USAs Cloud act kan sette amerikanske selskaper med servere i europeiske land i en situasjon hvor de må velge mellom å følge amerikansk eller europeisk lovgivning.

USAs Cloud act kan i verste fall sabotere for artikkel 48 i GDPR.
USAs Cloud act kan i verste fall sabotere for artikkel 48 i GDPR. (Illustrasjonsfoto: Per Ervland)
EKSTRA

USAs Cloud act kan sette amerikanske selskaper med servere i europeiske land i en situasjon hvor de må velge mellom å følge amerikansk eller europeisk lovgivning.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

Mens «hele» Europa gjorde seg klar til innføringen av GDPR i fjor, vedtok amerikanske myndigheter den såkalte «Cloud act» (Clarifying Lawful Overseas Use of Data Act), som kan se ut til å gå i direkte konflikt med deler av EUs personvernforordning.

Innføringen av Cloud act fikk gå relativt ubemerket hen, og fortsatt ser det ikke ut til at noen helt vet hva man skal gjøre hvis et selskap havner i konflikt mellom EUs og USAs motstridende regelverk.

Følger Microsoft-konflikt

Cloud act innebærer at amerikanske myndigheter kan kreve at amerikanske tilbydere av skytjenester skal utlevere data, uansett hvor i verden dataene er lagret. 

Dette gjelder også data som involverer borgere fra andre land, så lenge det handler om forhold som er straffbare i USA.

Lovendringen har sin bakgrunn i den flere år lange konflikten med Microsoft, der selskapet nektet å overlevere innholdet i en epostkonto som var lagret i et datasenter i Irland.

Konflikten gikk flere runder i det amerikanske rettsapparatet, men ble til slutt avvist som irrelevant med innføringen av Cloud act.

På tross av Microsofts motstand mot en slik utlevering ga de sin støtte til lovendringen fordi de mener den er klargjørende.

EU vurderer veiledning

For EU er nok imidlertid lovendringen heller kompliserende. Artikkel 48 i GDPR sier nemlig at en dom eller et vedtak fra en tredjestat om utlevering av personopplysninger bare kan anerkjennes eller håndheves dersom den bygger på en internasjonal avtale. 

Uten en slik avtale vil dermed et amerikansk selskap som utleverer slike data på krav fra amerikanske myndigheter, samtidig bryte kravene fra europeiske myndigheter.

Juridisk seniorrådgiver hos Datatilsynet, Rozemarijn van der Hilst-Ytreland, bekrefter at det kan se ut til å være en motsetning mellom de to regelverkene.

– Dette er en tematikk som Det europeiske personvernråd har identifisert som en mulig problemstilling. De vurderer å skrive en veileder på dette punktet, forteller hun.

Vil forverre forholdet mellom EU og USA

Jan Sandtrø. Foto.
Teknologiadvokat Jan Sandtrø tror amerikanske selskaper vil velge å følge amerikansk lovgivning fremfor GDPR. Foto: Calle Huth / Studio Illegal

Teknologiadvokat Jan Sandtrø har spesialisert seg på GDPR, og er enig i at Cloud act i ytterste konsekvens kan føre til at amerikanske selskaper med datasentre i EU-land må velge mellom å følge amerikansk eller europeisk lov.

– Hvis du, som norsk statsborger, mistenkes for å gjøre noe som krenker amerikansk lov og rett, og dataene som er knyttet til det mistenkte lovbruddet for eksempel ligger lagret i Microsofts datasenter i Stockholm, kan amerikanske myndigheter kreve å få de dataene utlevert. 

– Da vil det kunne være brudd på GDPR å utlevere de dataene, og det vil være brudd på Cloud act å ikke gjøre det, forklarer Sandtrø.

Han tror selskapene i så tilfelle vil velge å følge amerikansk lov.

– Skyleverandørene vil nok forholde seg til USA. Det er amerikanske selskaper, det er der deres lojalitet ligger, og der de har de største konsekvensene, selv om de risikerer bot for brudd på den europeiske personvernforordningen.

EU har tidligere kritisert USAs håndtering av personopplysning, og Sandtrø tror ikke slike motsetninger vil hjelpe på situasjonen.

– Dette vil gjøre forholdet mellom USA og EU ytterligere vanskelig, sier han.

Smutthull i organiseringen

Sandtrø mener at kunder av skytjenesteleverandører nå bør undersøke de amerikanske selskapenes organisasjonsstruktur før de inngår avtale.

For at Cloud act skal være gjeldende, må nemlig tre betingelser være oppfylt:

  • En amerikansk rettsinstans må ha domsmyndighet over virksomheten som eier de aktuelle dataene.
  • Virksomheten må være en leverandør av skytjenester.
  • Virksomheten må være i besittelse av, eller ha ansvar eller kontroll over, de aktuelle dataene.

– Et mulig unntak fra utleveringsplikt er for eksempel at dataene ligger i et datterselskap, og at morselskap ikke har tilgangsrett til dataene, forklarer han.

– Eller hvis dataene om meg var lagret på Microsofts datasenter i Tyskland, hvor datasenteret er eid av T-Mobile, så kan det ikke utleveres.

Tidal-servere i USA

Beyoncé og Jay Z på scenen.
Beyoncé og Jay Z er begge medeiere i Tidal, som i en DN-artikkel er blitt beskyldt for å jukse med avspillingstallene, Foto: NTB Scanpix

For tiden diskuteres også spørsmålet om norske myndigheters rett til å laste ned data som er lagret i andre land. 

Forrige uke ble nemlig Økokrim stoppet midt i ransakingen av strømmetjenesten Tidals servere, fordi disse ligger i USA. Høyesterett skal nå vurdere om ransakingen kan gjennomføres.

Advokat Stine Hélen Pettersen i Bing Hodneland representerer Gramart, en av musikkorganisasjonene som har politianmeldt Tidal. Hun argumenterer til DN for at ransakingen bør tillates. (Bak betalingsmur hos DN)

– Det ville være uheldig om et norsk selskaps valg av skylagringstjenester blir avgjørende for om selskapet i praksis kan ransakes av norsk politi, sier hun.

I samme artikkel uttrykker imidlertid ledende partner i advokatfirmaet Elden, Anders Brosveet, skepsis til en slik ransakelse.

– I prinsippet kan et tvangsmessig beslag av data i et annet land, avhengig av lovgivningen i det landet, bli vurdert som datatyveri, sier han til DN.

Kommentarer (0)

Kommentarer (0)
Til toppen