Vad är Cloud Act?
Cloud Act (Clarifying Lawful Overseas Use of Data Act) är en amerikansk federal lag från 2018 som ger amerikanska myndigheter rätt att begära ut data från amerikanska molnleverantörer — oavsett var i världen datan fysiskt lagras.
Lagen omfattar bland annat Microsoft, Google, Amazon, Apple och Meta samt deras dotterbolag och europeiska serverhallar. Är leverantören amerikansk lyder datan under amerikansk lag.
Cloud Act vs GDPR — så skiljer de sig
| Aspekt | Cloud Act (USA) | GDPR (EU) |
| Skyddar | Amerikanska brottsbekämpande intressen | Enskildas personuppgifter |
| Datadelning | Tillåten på myndighetsbegäran | Förbjuden utan laglig grund |
| Underrättelse | Kunden behöver inte informeras | Den registrerade ska informeras |
| Geografisk räckvidd | Amerikansk leverantör — global data | EU-medborgare oavsett serverns plats |
| Konsekvens vid konflikt | Leverantör tvingas följa USA-lag | Risk för GDPR-böter på 4 % av omsättning |
EU-domstolens Schrems II-dom (2020) slog fast att överföringar till USA i normalfallet inte uppfyller GDPR:s skyddsnivå när Cloud Act är tillämplig.
Konflikten med GDPR och svensk integritet
Cloud Act står i direkt konflikt med grundtankarna i europeiska GDPR. GDPR syftar till att skydda EU-medborgares integritet och begränsa hur data får delas med länder utanför EU (tredjeland).
- GDPR säger: Du får inte dela data utan laglig grund eller adekvat skyddsnivå.
- Cloud Act säger: Amerikanska företag måste dela data om USA begär det, oavsett lokala lagar.
Detta skapar en juridisk osäkerhet för svenska företag. Kan man garantera att personuppgifter är skyddade enligt GDPR om leverantören tvingas lyda under Cloud Act? EU-domstolen (Schrems II) har indikerat att svaret ofta är nej.
Vilka leverantörer omfattas av Cloud Act?
- Amerikanska moln- och SaaS-företag (Microsoft 365, Google Workspace, AWS, Salesforce m.fl.)
- Dotterbolag till amerikanska företag, även de som juridiskt sitter i Sverige
- Företag med moderbolag eller huvudkontor i USA
- I praktiken även företag där en betydande del av infrastrukturen drivs av amerikanska leverantörer
Varför Savecore inte omfattas av Cloud Act
Savecore är ett helsvenskt bolag med svenska ägare och infrastruktur placerad uteslutande i Sverige. Vi lyder inte under amerikansk lagstiftning.
När ni lagrar data hos oss finns det ingen bakdörr för främmande makt. Er data skyddas av svensk och europeisk lag, vilket ger er full suveränitet över er information och förenklar ert GDPR-arbete avsevärt.
Vanliga frågor och svar om Cloud Act
Gäller Cloud Act även om servern står i Sverige?
Ja, om leverantören av tjänsten är ett amerikanskt företag (eller dotterbolag till ett sådant) gäller lagen, oavsett var servern fysiskt är placerad. Det är ägarskapet, inte geografin, som styr.
Hur påverkar Cloud Act offentlig sektor i Sverige?
Offentlig sektor har strikta krav på sig att skydda medborgarnas data (OSL och GDPR). Att använda tjänster som lyder under Cloud Act anses ofta olämpligt för sekretessbelagd information, vilket gör svenska molntjänster till ett förstahandsval.
Kan man kryptera sig skyddad från Cloud Act?
Kryptering är bra, men om leverantören har tillgång till krypteringsnycklarna (vilket ofta krävs för att tjänsten ska fungera smidigt) kan de tvingas lämna ut både data och nycklar.