Dataskyddsförordningen (GDPR)
Alla verksamheter som hanterar en eller flera personuppgifter måste följa den europeiska dataskyddsförordningen (GDPR). Det innebär bland annat att ni behöver följa de grundläggande principerna som finns, se till att behandlingen har en rättslig grund och informera de registrerade om hur ni hanterar deras personuppgifter.
Ett av syftena med dataskyddsförordningen (GDPR) är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.
Cloud Act
Med stöd av Cloud Act kan amerikanska myndigheter vända sig till domstol och begära att en så kallad warrant om att överlämna data lagrad av amerikanska molnleverantörer även utanför USA:s territorium ska utfärdas. Lagstiftningen Cloud Act (2018) ger amerikanska myndigheter rätt att begära ut data från amerikanska molntjänstleverantörer.
Att kräva tillgång till uppgifter enligt Cloud Act innebär att med hjälp av Cloud Act kan amerikanska myndigheter vända sig till en domstol och begära att en ”warrant” om att överlämna data som är lagrad utanför USA:s gräns ska utfärdas. För att en warrant ska kunna att genomföras krävs följande:
- Den som begäran riktar sig mot ska vara underkastad amerikansk jurisdiktion.
- Tillhandahålla en sådan typ av tjänst som omfattas av lagstiftningen Cloud-Act.
- Förutsättningar för att erhålla en warrant enligt amerikansk straffprocessuelllagstiftning ska vara uppfyllda.
Det krävs inte mycket för att ett företag ska anses underkastat amerikansk jurisdiktion. Det kan till exempel räcka med att man har kunder i USA, även om data verkar utanför USA:s territorium.
Hur undgår jag Cloud Act och är det ens möjligt?
Det bästa sättet att undgå Cloud Act är att verka i ett annat land än USA, det vill säga inte ha några affärer med USA så som inköpta molntjänster genom exempelvis Amazon (AWS), Azure samt Google cloud eftersom samtliga av dessa går under amerikanskt lagstiftning och verkar under Cloud act.
Vad innebär det i praktiken om min data ligger i Sverige men verkar under ett Amerikanskt bolag?
Det innebär att även om USA har molntjänster eller har datahallar i Sverige eller inom den Europeiska unionen så kan din känsliga data överföras till USA:s territorium genom Cloud Act. Så på så vis är inte din data säker när du handlar med ett amerikanskt bolag som löper under Amerikanskt lagstiftning.
Vilka tjänster berörs av Cloud Act ?
De IT-tjänster som omfattas av Cloud Act är ”electronic communication services” och ”remote computing services”. Det innebär att alla leverantörer av olika typer av digitala och elektroniska kommunikations- och molntjänster omfattas av lagen.
Påverkas du av Cloud Act i Sverige ?
Det enkla svaret är NEJ, om du använder dig av en Svensk leverantör och som verkar med företag i Sverige som går under svensk lagstiftning så finns det inga förpliktelser där du måste dela med dig av din data till USA genom Cloud Act.
Schrems II
Den 16 juli 2020 meddelade EU-domstolen dom i det så kallade Schrems II-målet. Domstolen slog fast att Privacy Shield-avtalet mellan EU och USA inte gav ett tillräckligt skydd för personuppgifter när dessa förs över till USA.
Väljer ni att jobba med Digitech Group så uppfyller vi som bolag samt vår plattform alla ovanstående krav.