{"id":15431,"date":"2023-07-12T20:00:00","date_gmt":"2023-07-12T18:00:00","guid":{"rendered":"https:\/\/cleura.com\/?p=15431"},"modified":"2025-10-30T09:26:17","modified_gmt":"2025-10-30T08:26:17","slug":"vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet","status":"publish","type":"post","link":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/","title":{"rendered":"Vad din verksamhet beh\u00f6ver veta om det tredje adekvansbeslutet"},"content":{"rendered":"\n<div class=\"wp-block-columns are-vertically-aligned-center is-layout-flex wp-container-core-columns-is-layout-9d6595d7 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-vertically-aligned-center is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:100%\">\n<ul class=\"wp-block-outermost-social-sharing has-normal-icon-size is-style-logos-only is-content-justification-center is-layout-flex wp-container-outermost-social-sharing-is-layout-16018d1d wp-block-outermost-social-sharing-is-layout-flex\"><li class=\"outermost-social-sharing-link outermost-social-sharing-link-linkedin  wp-block-outermost-social-sharing-link\">\n\t<a href=\"https:\/\/www.linkedin.com\/shareArticle?mini=true&#038;url=https%3A%2F%2Fcleura.com%2Fsv%2Fmolnguiden%2Frapport%2Fvad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet%2F&#038;title=Vad%20din%20verksamhet%20beh%C3%B6ver%20veta%20om%20det%20tredje%20adekvansbeslutet\" aria-label=\"Dela p\u00e5 LinkedIn\" rel=\"noopener nofollow\" target=\"_blank\" class=\"wp-block-outermost-social-sharing-link-anchor\">\n\t\t<svg width=\"24\" height=\"24\" viewBox=\"0 0 24 24\" version=\"1.1\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" aria-hidden=\"true\" focusable=\"false\"><path d=\"M19.7,3H4.3C3.582,3,3,3.582,3,4.3v15.4C3,20.418,3.582,21,4.3,21h15.4c0.718,0,1.3-0.582,1.3-1.3V4.3 C21,3.582,20.418,3,19.7,3z M8.339,18.338H5.667v-8.59h2.672V18.338z M7.004,8.574c-0.857,0-1.549-0.694-1.549-1.548 c0-0.855,0.691-1.548,1.549-1.548c0.854,0,1.547,0.694,1.547,1.548C8.551,7.881,7.858,8.574,7.004,8.574z M18.339,18.338h-2.669 v-4.177c0-0.996-0.017-2.278-1.387-2.278c-1.389,0-1.601,1.086-1.601,2.206v4.249h-2.667v-8.59h2.559v1.174h0.037 c0.356-0.675,1.227-1.387,2.526-1.387c2.703,0,3.203,1.779,3.203,4.092V18.338z\"><\/path><\/svg>\t\t<span class=\"wp-block-outermost-social-sharing-link-label screen-reader-text\">\n\t\t\tDela p\u00e5 LinkedIn\t\t<\/span>\n\t<\/a>\n<\/li>\n\n\n<li class=\"outermost-social-sharing-link outermost-social-sharing-link-x  wp-block-outermost-social-sharing-link\">\n\t<a href=\"https:\/\/x.com\/share?url=https%3A%2F%2Fcleura.com%2Fsv%2Fmolnguiden%2Frapport%2Fvad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet%2F&#038;text=Vad%20din%20verksamhet%20beh%C3%B6ver%20veta%20om%20det%20tredje%20adekvansbeslutet\" aria-label=\"Dela p\u00e5 X\" rel=\"noopener nofollow\" target=\"_blank\" class=\"wp-block-outermost-social-sharing-link-anchor\">\n\t\t<svg width=\"24\" height=\"24\" viewBox=\"0 0 24 24\" version=\"1.1\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" aria-hidden=\"true\" focusable=\"false\"><path d=\"M13.982 10.622 20.54 3h-1.554l-5.693 6.618L8.745 3H3.5l6.876 10.007L3.5 21h1.554l6.012-6.989L15.868 21h5.245l-7.131-10.378Zm-2.128 2.474-.697-.997-5.543-7.93H8l4.474 6.4.697.996 5.815 8.318h-2.387l-4.745-6.787Z\"><\/path><\/svg>\t\t<span class=\"wp-block-outermost-social-sharing-link-label screen-reader-text\">\n\t\t\tDela p\u00e5 X\t\t<\/span>\n\t<\/a>\n<\/li>\n\n\n<li class=\"outermost-social-sharing-link outermost-social-sharing-link-facebook  wp-block-outermost-social-sharing-link\">\n\t<a href=\"https:\/\/www.facebook.com\/sharer\/sharer.php?u=https%3A%2F%2Fcleura.com%2Fsv%2Fmolnguiden%2Frapport%2Fvad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet%2F&#038;title=Vad%20din%20verksamhet%20beh%C3%B6ver%20veta%20om%20det%20tredje%20adekvansbeslutet\" aria-label=\"Dela p\u00e5 Facebook\" rel=\"noopener nofollow\" target=\"_blank\" class=\"wp-block-outermost-social-sharing-link-anchor\">\n\t\t<svg width=\"24\" height=\"24\" viewBox=\"0 0 24 24\" version=\"1.1\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" aria-hidden=\"true\" focusable=\"false\"><path d=\"M12 2C6.5 2 2 6.5 2 12c0 5 3.7 9.1 8.4 9.9v-7H7.9V12h2.5V9.8c0-2.5 1.5-3.9 3.8-3.9 1.1 0 2.2.2 2.2.2v2.5h-1.3c-1.2 0-1.6.8-1.6 1.6V12h2.8l-.4 2.9h-2.3v7C18.3 21.1 22 17 22 12c0-5.5-4.5-10-10-10z\"><\/path><\/svg>\t\t<span class=\"wp-block-outermost-social-sharing-link-label screen-reader-text\">\n\t\t\tDela p\u00e5 Facebook\t\t<\/span>\n\t<\/a>\n<\/li>\n\n\n<li class=\"outermost-social-sharing-link outermost-social-sharing-link-mail  wp-block-outermost-social-sharing-link\">\n\t<a href=\"mailto:?subject=Vad%20din%20verksamhet%20beh%C3%B6ver%20veta%20om%20det%20tredje%20adekvansbeslutet&#038;body=Vad%20din%20verksamhet%20beh%C3%B6ver%20veta%20om%20det%20tredje%20adekvansbeslutet%20&mdash;%20https%3A%2F%2Fcleura.com%2Fsv%2Fmolnguiden%2Frapport%2Fvad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet%2F\" aria-label=\"Skicka denna sida med e-post\"  class=\"wp-block-outermost-social-sharing-link-anchor\">\n\t\t<svg width=\"24\" height=\"24\" viewBox=\"0 0 24 24\" version=\"1.1\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" aria-hidden=\"true\" focusable=\"false\"><path d=\"M20,4H4C2.895,4,2,4.895,2,6v12c0,1.105,0.895,2,2,2h16c1.105,0,2-0.895,2-2V6C22,4.895,21.105,4,20,4z M20,8.236l-8,4.882 L4,8.236V6h16V8.236z\"><\/path><\/svg>\t\t<span class=\"wp-block-outermost-social-sharing-link-label screen-reader-text\">\n\t\t\tSkicka denna sida med e-post\t\t<\/span>\n\t<\/a>\n<\/li>\n\n\n<li class=\"outermost-social-sharing-link outermost-social-sharing-link-print  wp-block-outermost-social-sharing-link\">\n\t<a href=\"javascript:window.print()\" aria-label=\"Skriv ut denna sida\"  class=\"wp-block-outermost-social-sharing-link-anchor\">\n\t\t<svg width=\"24\" height=\"24\" viewBox=\"0 0 24 24\" version=\"1.1\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" aria-hidden=\"true\" focusable=\"false\"><path d=\"m14.639 3 4.222 4.235v3.177h.528c1.113 0 2.025.864 2.105 1.96l.006.157v5.295h-2.639v2.117c0 .585-.472 1.059-1.055 1.059H6.194a1.057 1.057 0 0 1-1.055-1.059v-2.117H2.5v-5.295c0-1.17.945-2.117 2.111-2.117h.528V4.059C5.139 3.474 5.61 3 6.194 3h8.445Zm2.639 13.235H6.722v3.177h10.556v-3.177Zm2.11-4.5a.793.793 0 0 0-.79.794.793.793 0 1 0 .79-.794Zm-5.277-7.147H6.722v6.883h10.556V7.765h-2.111a1.057 1.057 0 0 1-1.056-1.06V4.589Z\"><\/path><\/svg>\t\t<span class=\"wp-block-outermost-social-sharing-link-label screen-reader-text\">\n\t\t\tSkriv ut denna sida\t\t<\/span>\n\t<\/a>\n<\/li>\n<\/ul>\n<\/div>\n<\/div>\n\n\n\n<p><em>I sp\u00e5ren av EU-kommissionens beslut om adekvat skyddsniv\u00e5 i juli 2023, som f\u00f6rlitar sig p\u00e5 Data Privacy Framework<\/em>,<em> s\u00e5 \u00e4r det naturligt att verksamheter i EU fr\u00e5gar sig om de har f\u00e5tt gr\u00f6nt ljus att anv\u00e4nda amerikanska molntj\u00e4nster.<\/em><\/p>\n\n\n\n<p><em>I denna rapport analyserar vi vad adekvansbeslutet egentligen inneb\u00e4r och inte inneb\u00e4r.<\/em><\/p>\n\n\n\n<p><em>Vi fokuserar s\u00e4rskilt p\u00e5 situationen d\u00e4r en verksamhet \u00f6verv\u00e4ger att l\u00e5ta en molntj\u00e4nstleverant\u00f6r hantera personuppgifter inom EU, allts\u00e5 utan tredjelands\u00f6verf\u00f6ringar till USA. D\u00e5 anv\u00e4nds inte adekvansbeslutet och Data Privacy Framework, samtidigt som GDPR st\u00e4ller upp s\u00e4rskilda krav f\u00f6r att hindra \u00e5tkomst fr\u00e5n tredjelands myndigheter till personuppgifter i EU.<\/em><\/p>\n\n\n\n<p><em>Vi granskar dessutom n\u00e5gra av de f\u00f6r\u00e4ndringar p\u00e5 den amerikanska sidan som f\u00f6ranledde adekvansbeslutet. Vi belyser s\u00e4rskilt delar av presidentdekretet Executive Order 14086 (EO 14086) och best\u00e4mmelserna f\u00f6r den nya pr\u00f6vningsinstans som kallas Data Protection Review Court (DPRC).<\/em><\/p>\n\n\n\n<p><i>V\u00e5r f\u00f6rhoppning \u00e4r att rapporten ska st\u00f6tta <\/i><em style=\"font-style: italic\">verksamheter<\/em><em> att avg\u00f6ra vilka molntj\u00e4nstleverant\u00f6rer de kan f\u00f6rlita sig p\u00e5. Det \u00e4r relevant dels n\u00e4r en verksamhet k\u00f6per molninfrastruktur (IaaS), dels n\u00e4r en verksamhet \u00f6verv\u00e4ger att anv\u00e4nda en SaaS- eller PaaS-leverant\u00f6r som i sin tur nyttjar underliggande molninfrastruktur.<\/em><\/p>\n\n\n\n<p><em>Det finns givetvis en rad r\u00e4ttsliga och l\u00e4mplighetsm\u00e4ssiga faktorer att beakta vid anv\u00e4ndning av molntj\u00e4nster, ut\u00f6ver vad som ber\u00f6rs i denna rapport.<\/em><\/p>\n\n\n\n<p><em>Arman Borghem, jurist och Regulatory and Compliance Advisor p\u00e5 Cleura<\/em><\/p>\n\n\n\n<p><strong>Note: <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/\" target=\"_blank\" rel=\"noreferrer noopener\">this report is also available in English<\/a>.<\/strong><\/p>\n\n\n\n<div style=\"height:10px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-introduktion-och-sammanfattning\">Introduktion och sammanfattning<\/h2>\n\n\n\n<p>I juli 2023 fattade EU-kommissionen ett beslut om adekvat skyddsniv\u00e5, baserat p\u00e5 ramverket Data Privacy Framework. M\u00e5nga verksamheter i EU fr\u00e5gar sig d\u00e4rf\u00f6r om de har gr\u00f6nt ljus att anv\u00e4nda amerikanska molntj\u00e4nstleverant\u00f6rer.<\/p>\n\n\n\n<p>Vi bed\u00f6mer att svaret fortsatt \u00e4r nej.<\/p>\n\n\n\n<p>Till att b\u00f6rja med f\u00f6rv\u00e4ntar vi oss att EU-domstolen vid en pr\u00f6vning skulle ogiltigf\u00f6rklara adekvansbeslutet. N\u00e5gra sk\u00e4l f\u00f6r det ber\u00f6rs i avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-executive-order-14086-och-data-protection-review-court\">Executive Order 14086 och Data Protection Review Court<\/a>. Redan p\u00e5 grund av detta menar vi att det vore ett strategiskt felsteg att f\u00f6rlita sig p\u00e5 adekvansbeslutet f\u00f6r digitala satsningar av n\u00e5gon betydelse.<\/p>\n\n\n\n<p>Den h\u00e4r rapporten fokuserar emellertid p\u00e5 en viktigare fr\u00e5ga \u00e4n adekvansbeslutets \u00f6de.<\/p>\n\n\n\n<p>Rapporten belyser vad adekvansbeslutet kan \u2013 och i synnerhet <em>inte <\/em>kan \u2013 anv\u00e4ndas till.<\/p>\n\n\n\n<p>S\u00e4rskilt fokus \u00e4gnas \u00e5t vad som g\u00e4ller n\u00e4r en personuppgiftsansvarig ska behandla personuppgifter p\u00e5 en molntj\u00e4nstleverant\u00f6rs servrar <em>helt och h\u00e5llet inom EU<\/em>. D\u00e5 aktualiseras inte adekvansbeslutet, eftersom det inte anv\u00e4nds f\u00f6r att genomf\u00f6ra n\u00e5gra tredjelands\u00f6verf\u00f6ringar. Samtidigt kan amerikanska myndigheter anv\u00e4nda amerikanska \u00f6vervakningslagar f\u00f6r att tvinga amerikanska molntj\u00e4nstleverant\u00f6rer att ge tillg\u00e5ng till uppgifter som de behandlar i EU. Vi belyser de krav som GDPR st\u00e4ller f\u00f6r att skydda personuppgifter fr\u00e5n s\u00e5dan \u00e5tkomst.<\/p>\n\n\n\n<p>Med rapporten hoppas vi reda ut fr\u00e5getecken och f\u00f6rebygga missf\u00f6rst\u00e5nd.<\/p>\n\n\n\n<p>EU-kommissionens adekvansbeslut inneb\u00e4r inget generellt godk\u00e4nnande att anv\u00e4nda amerikanska molntj\u00e4nstleverant\u00f6rer. Adekvansbeslutet m\u00f6jligg\u00f6r endast \u00f6verf\u00f6ringar av personuppgifter <em>fr\u00e5n EU till mottagare i USA <\/em>som har sj\u00e4lvcertifierat att de f\u00f6ljer principerna i Data Privacy Framework och har tagits upp p\u00e5 det amerikanska handelsdepartementet lista.<\/p>\n\n\n\n<p>En verksamhet i EU <em>kan <\/em>allts\u00e5 anv\u00e4nda adekvansbeslutet f\u00f6r att \u00f6verf\u00f6ra personuppgifter fr\u00e5n EU till en godk\u00e4nd mottagare <em>i USA<\/em>. Adekvansbeslutet ger emellertid <em>inte<\/em> verksamheter gr\u00f6nt ljus att anv\u00e4nda amerikanska molntj\u00e4nstleverant\u00f6rer f\u00f6r att hantera personuppgifter <em>i EU<\/em>.<\/p>\n\n\n\n<p>De flesta verksamheter i EU vill hantera personuppgifter i EU oavsett adekvansbeslut. Exempelvis kan f\u00f6rdr\u00f6jningen till datacenter i EU vara kortare \u00e4n till datacenter p\u00e5 andra sidan Atlanten. Det finns rentav en trend d\u00e4r amerikanska molntj\u00e4nstleverant\u00f6rer \u00e5tminstone delvis erbjuder datalokalisering inom EU. Vid personuppgiftsbehandling endast inom EU blir allts\u00e5 adekvansbeslutet inte aktuellt.<\/p>\n\n\n\n<p>Oavsett det kvarst\u00e5r emellertid att amerikanska myndigheters kan tvinga amerikanska molntj\u00e4nstleverant\u00f6rer att ge tillg\u00e5ng till uppgifter som de hanterar i EU. Vad s\u00e4ger EU-r\u00e4tten om hur personuppgifter m\u00e5ste skyddas mot s\u00e5dan \u00e5tkomst fr\u00e5n tredje land? Vilka molntj\u00e4nstleverant\u00f6rer kan en verksamhet f\u00f6rlita sig p\u00e5?<\/p>\n\n\n\n<p>Verksamheter som behandlar personuppgifter, \u00e4ven genom en molntj\u00e4nstleverant\u00f6r, m\u00e5ste skydda uppgifterna enligt vad EU:s r\u00e4ttighetsstadga och GDPR kr\u00e4ver. Av betydelse \u00e4r d\u00e5 vilka skyldigheter amerikanska molntj\u00e4nstleverant\u00f6rer lyder under enligt amerikansk lag, och om dessa skyldigheter \u00e4r i konflikt med EU-r\u00e4tten.<\/p>\n\n\n\n<p>Som vi beskriver i avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-amerikansk-extraterritoriell-inhamtning\">Amerikansk extraterritoriell inh\u00e4mtning<\/a>, s\u00e5 menar vi att en rimlig utg\u00e5ngspunkt \u00e4r att amerikanska lagar f\u00f6r underr\u00e4ttelseinh\u00e4mtning, s\u00e4rskilt FISA 702, till\u00e5ter amerikanska myndigheter att tvinga amerikanska molntj\u00e4nstleverant\u00f6rer att l\u00e4mna ut uppgifter oavsett om molntj\u00e4nstleverant\u00f6ren hanterar uppgifterna genom EU-baserade servrar eller dotterbolag. Det kallas extraterritoriell lagstiftning, det vill s\u00e4ga lagstiftning i tredjeland (t.ex. USA) som g\u00f6r anspr\u00e5k p\u00e5 att reglera personuppgiftsbehandling p\u00e5 EU:s territorium.<\/p>\n\n\n\n<p>GDPR f\u00f6reskriver upprepade g\u00e5nger ett skydd mot s\u00e5dan extraterritoriell lagstiftning.<\/p>\n\n\n\n<p>L\u00e5t oss f\u00f6rest\u00e4lla oss ett mycket vanligt scenario: en verksamhet behandlar personuppgifter som <em>personuppgiftsansvarig<\/em>, och vill anlita en molntj\u00e4nstleverant\u00f6r f\u00f6r personuppgiftsbehandling \u00e5 verksamhetens v\u00e4gnar, vilket g\u00f6r molntj\u00e4nstleverant\u00f6ren till ett <em>personuppgiftsbitr\u00e4de<\/em>.<\/p>\n\n\n\n<p>I en s\u00e5dan situation kr\u00e4ver GDPR att parterna ing\u00e5r ett personuppgiftsbitr\u00e4desavtal. Personuppgiftsbitr\u00e4desavtalet <em>m\u00e5ste<\/em> ange att molntj\u00e4nstleverant\u00f6ren <em>endast <\/em>f\u00e5r behandla personuppgifter enligt den personuppgiftsansvarige verksamhetens instruktioner. Det finns bara ett undantag d\u00e4r molntj\u00e4nstleverant\u00f6ren f\u00e5r agera vid sidan av dessa instruktioner, exempelvis i syfte att l\u00e4mna ut personuppgifter till en myndighet. Undantaget g\u00e4ller endast om <em>unionsr\u00e4tten eller en medlemsstats nationella r\u00e4tt <\/em>kr\u00e4ver det av leverant\u00f6ren. Det framg\u00e5r av <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A28\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 28.3 a<\/a> i GDPR.<\/p>\n\n\n\n<p>P\u00e5 motsvarande s\u00e4tt f\u00e5r molntj\u00e4nstleverant\u00f6ren, och varje person som utf\u00f6r arbete under kundens eller molntj\u00e4nstleverant\u00f6rens \u00f6verinseende, och som f\u00e5r tillg\u00e5ng till personuppgifter, inte behandla dessa uppgifter annat \u00e4n p\u00e5 instruktion fr\u00e5n kunden, s\u00e5vida han eller hon inte \u00e4r skyldig att g\u00f6ra det enligt <em>unionsr\u00e4tten eller en medlemsstats nationella r\u00e4tt<\/em>. Det framg\u00e5r av <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A29\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 29<\/a> GDPR.<\/p>\n\n\n\n<p>Vidare s\u00e5 inneb\u00e4r kraven p\u00e5 s\u00e4kerhet att personuppgiftsbitr\u00e4den ska vidta \u00e5tg\u00e4rder f\u00f6r att <em>s\u00e4kerst\u00e4lla <\/em>att deras personal inte avviker fr\u00e5n den personuppgiftsansvariges instruktioner (exempelvis f\u00f6r att l\u00e4mna ut uppgifter till en myndighet) s\u00e5vida inte <em>unionsr\u00e4tten eller en medlemsstats nationella r\u00e4tt <\/em>\u00e5l\u00e4gger dem att g\u00f6ra det. Det framg\u00e5r av <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A32\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 32.4<\/a> i GDPR.<\/p>\n\n\n\n<p>Amerikanska underr\u00e4ttelselagar som FISA 702 \u00e4r varken unionsr\u00e4tt eller en medlemsstats nationella r\u00e4tt. Samtidigt kan underr\u00e4ttelselagarna tvinga amerikanska molntj\u00e4nstleverant\u00f6rer att l\u00e4mna ut uppgifter i EU vid sidan av den personuppgiftsansvariges instruktioner.<\/p>\n\n\n\n<p>Dessa molntj\u00e4nstleverant\u00f6rer uppger att de har tydliga processer f\u00f6r att verkst\u00e4lla utl\u00e4mnanden som \u00e4r korrekta och tvingande enligt <em>amerikansk<\/em> lag. D\u00e4rmed vidtar dessa molntj\u00e4nstleverant\u00f6rer \u00e5tg\u00e4rder som syftar till att s\u00e4kerst\u00e4lla att de kommer att <em>avvika<\/em> fr\u00e5n den personuppgiftsansvariges instruktioner f\u00f6r att genomf\u00f6ra s\u00e5dana utl\u00e4mnanden. S\u00e5dana \u00e5tg\u00e4rder \u00e4r motsatsen till vad de \u00e4r skyldiga att g\u00f6ra enligt GDPR.<\/p>\n\n\n\n<p>\u00c4ven om en amerikansk molntj\u00e4nstleverant\u00f6r avtalade om att inte l\u00e4mna ut uppgifter i strid med EU-r\u00e4tten, menar vi att flera omst\u00e4ndigheter talar f\u00f6r att ett s\u00e5dant l\u00f6fte vore ineffektivt. F\u00f6r det f\u00f6rsta finns det till synes inget s\u00e4tt f\u00f6r en kund att kontrollera att molntj\u00e4nstleverant\u00f6ren uppfyller \u00e5tagandet, eftersom utl\u00e4mnanden av data normalt sker i hemlighet. F\u00f6r det andra, \u00e4ven om ett utl\u00e4mnande p\u00e5 n\u00e5got s\u00e4tt skulle avsl\u00f6jas, verkar det h\u00f6gst osannolikt att en kund i EU skulle driva en tvist om sitt avtal med molntj\u00e4nstleverant\u00f6ren i amerikansk domstol. F\u00f6r det tredje kan en amerikansk molntj\u00e4nstleverant\u00f6r uts\u00e4ttas f\u00f6r starka p\u00e5tryckningar f\u00f6r att verkst\u00e4lla ett amerikanskt krav p\u00e5 utl\u00e4mnande, d\u00e4r en underl\u00e5tenhet att samarbeta med myndigheterna kan leda till h\u00f6ga ackumulerande b\u00f6ter. Om man enbart ser detta som en aff\u00e4rsrisk \u2013 och vilken annan risk skulle en amerikansk molntj\u00e4nstleverant\u00f6r se detta som? \u2013 verkar det som att uppfyllelse av \u00e5tagandet inneb\u00e4r betydande risker, medan det i stort sett inte inneb\u00e4r n\u00e5gon risk alls att inte uppfylla det. Vi menar d\u00e4rf\u00f6r att ett s\u00e5dant \u00e5tagande tycks vara praktiskt taget v\u00e4rdel\u00f6st, utan att ge n\u00e5gon form av effektiv garanti. Intresserade l\u00e4sare kan ocks\u00e5 vija l\u00e4sa vad vi har skrivit om en amerikansk molntj\u00e4nstleverant\u00f6rs <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/perspektiv\/analys-av-microsofts-nya-europeiska-digitala-ataganden\/#h-europeiska-lagar-och-avtal\">inst\u00e4llning till att f\u00f6lja lokala lagar<\/a> och vad det kan ha f\u00f6r betydelse f\u00f6r att f\u00f6lja avtal.<\/p>\n\n\n\n<p>Sammantaget menar vi att detta visar att amerikanska molntj\u00e4nstleverant\u00f6rer i princip inte kan uppfylla de krav som f\u00f6ljer av artikel <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A28\" target=\"_blank\" rel=\"noreferrer noopener\">28.3 a<\/a>, <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A29\" target=\"_blank\" rel=\"noreferrer noopener\">29<\/a> samt <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A32\" target=\"_blank\" rel=\"noreferrer noopener\">32.4<\/a> i GDPR.<\/p>\n\n\n\n<p>Beslutet om adekvat skyddsniv\u00e5 f\u00f6r \u00f6verf\u00f6ringar till USA l\u00f6ser inte detta problem. Adekvansbeslutet kan inte anv\u00e4ndas som grund f\u00f6r \u00f6verf\u00f6ringar fr\u00e5n EU till amerikanska underr\u00e4ttelsemyndigheter i USA. Adekvansbeslutet kan endast anv\u00e4ndas f\u00f6r \u00f6verf\u00f6ringar till mottagare i USA som har sj\u00e4lvcertifierat sig enligt Data Privacy Framework. Det har amerikanska underr\u00e4ttelsemyndigheter inte gjort, och de f\u00f6rv\u00e4ntas inte heller g\u00f6ra det.<\/p>\n\n\n\n<p>Om en molntj\u00e4nstleverant\u00f6r l\u00e4mnar ut personuppgifter n\u00e4r en myndighet kr\u00e4vt det s\u00e5 agerar molntj\u00e4nstleverant\u00f6ren inte l\u00e4ngre enligt sin kunds instruktioner, utan blir i st\u00e4llet sj\u00e4lv personuppgiftsansvarig f\u00f6r utl\u00e4mnandet. All personuppgiftsbehandling m\u00e5ste ha en r\u00e4ttslig grund i GDPR och fr\u00e5gan blir d\u00e5 vilken r\u00e4ttslig grund en molntj\u00e4nstleverant\u00f6r kan anv\u00e4nda.<\/p>\n\n\n\n<p>Vi menar att den enda m\u00f6jliga r\u00e4ttsliga grunden f\u00f6r en molntj\u00e4nstleverant\u00f6rs utl\u00e4mnande till en myndighet finns i <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A6\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 6.1 c<\/a> i GDPR, eftersom utl\u00e4mnandet \u00e4r n\u00f6dv\u00e4ndigt f\u00f6r att molntj\u00e4nstleverant\u00f6ren ska uppfylla en r\u00e4ttslig f\u00f6rpliktelse. Molntj\u00e4nstleverant\u00f6rens r\u00e4ttsliga f\u00f6rpliktelse \u00e4r d\u00e5 skyldigheten att verkst\u00e4lla myndighetens beslut om att uppgifterna ska l\u00e4mnas ut.<\/p>\n\n\n\n<p>Problemet f\u00f6r amerikanska molntj\u00e4nstleverant\u00f6rer \u00e4r att en s\u00e5dan r\u00e4ttslig f\u00f6rpliktelse m\u00e5ste vara fastst\u00e4lld i <em>unionsr\u00e4tten eller en medlemsstats nationella r\u00e4tt<\/em>. Det framg\u00e5r av <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A6\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 6.3<\/a> i GDPR. Som noterats \u00e4r amerikanska underr\u00e4ttelselagar som FISA 702 varken unionsr\u00e4tt eller en medlemsstats nationella r\u00e4tt. Adekvansbeslutet kan inte heller anv\u00e4ndas; amerikanska underr\u00e4ttelsemyndigheter omfattas inte av Data Privacy Framework och \u00e4r inte godk\u00e4nda mottagare. S\u00e5dana utl\u00e4mnanden kan allts\u00e5 inte genomf\u00f6ras i enlighet med GDPR \u2013 en r\u00e4ttslig grund saknas.<\/p>\n\n\n\n<p>GDPR anger dock en r\u00e4ttslig m\u00f6jlighet f\u00f6r molntj\u00e4nstleverant\u00f6rer att l\u00e4mna ut personuppgifter i EU till tredjelands (exempelvis amerikanska) myndigheter. En m\u00f6jlig grund i unionsr\u00e4tten tydligg\u00f6rs i <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A48\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 48<\/a> i GDPR. L\u00f6sningen \u00e4r en internationell \u00f6verenskommelse mellan EU och tredjelandet i fr\u00e5ga. Ett adekvansbeslut \u00e4r dock ingen internationell \u00f6verenskommelse. Det \u00e4r ett ensidigt beslut fr\u00e5n EU-kommissionen, som inte tar sikte p\u00e5 att reglera extraterritoriell \u00e5tkomst fr\u00e5n myndigheter i USA till uppgifter i EU. Artikel 48 kan allts\u00e5 inte anv\u00e4ndas.<\/p>\n\n\n\n<p>Eftersom amerikanska molntj\u00e4nstleverant\u00f6rer inte f\u00e5r anses ha l\u00e4mnat de garantier som kr\u00e4vs f\u00f6r att hindra utl\u00e4mnanden som \u00e4r korrekta enligt amerikansk lag, och som strider mot EU:s r\u00e4ttsordning, menar vi att de inte ger de garantier som kr\u00e4vs av personuppgiftsbitr\u00e4den enligt <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A28\">artikel 28.1<\/a> i GDPR. Vi ber\u00f6r detta i avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-gdpr-garantier-vid-anlitande-av-molntjanstleverantorer\">GDPR-garantier vid anlitande av molntj\u00e4nstleverant\u00f6rer<\/a>. I avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-eu-domstolspraxis-och-synen-pa-risk\" target=\"_blank\" rel=\"noreferrer noopener\">EU-domstolspraxis och synen p\u00e5 risk<\/a> beskriver vi hur EU-domstolspraxis kan anses st\u00f6dja den slutsatsen.<\/p>\n\n\n\n<p>Dessa slutsatser g\u00e4ller oavsett om det finns ett adekvansbeslut p\u00e5 plats f\u00f6r \u00f6verf\u00f6ringar av personuppgifter till organisationer i USA.<\/p>\n\n\n\n<p>I avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-executive-order-14086-och-data-protection-review-court\">Executive Order 14086 och Data Protection Review Court<\/a> g\u00e5r vi \u00e4nd\u00e5 in p\u00e5 varf\u00f6r Executive Order 14086 och pr\u00f6vningsinstansen Data Protection Review Court \u00e4r otillr\u00e4ckliga f\u00f6r att tillgodose EU-r\u00e4ttens krav p\u00e5 tredjelands\u00f6verf\u00f6ringar. Avsnittet \u00e4r fr\u00e4mst relevant f\u00f6r verksamheter som vill f\u00f6rst\u00e5 om adekvansbeslutet faktiskt ger den skyddsniv\u00e5 som kr\u00e4vs enligt unionsr\u00e4tten, och om adekvansbeslutet skulle \u00f6verleva en pr\u00f6vning i EU-domstolen.<\/p>\n\n\n\n<p>I avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-exempel-fran-verkligheten-vid-amerikansk-overvakning\">Exempel fr\u00e5n verkligheten vid amerikansk \u00f6vervakning<\/a> ger vi s\u00e5v\u00e4l historiska som moderna exempel p\u00e5 amerikanska myndigheters \u00f6vertramp och bristande r\u00e4ttss\u00e4kerhet vid \u00f6vervakning.<\/p>\n\n\n\n<p>I avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-organisation-behover-veta-om-det-tredje-adekvansbeslutet\/#h-kryptering-och-liknande-atgarder\">Kryptering och liknande \u00e5tg\u00e4rder<\/a> ber\u00f6r vi varf\u00f6r kryptering i molnet, och liknande \u00e5tg\u00e4rder, s\u00e4llan ger det skydd mot utl\u00e4mnanden till tredjelands myndigheter som m\u00e5nga verksamheter hoppas p\u00e5.<\/p>\n\n\n\n<p>Slutsatsen \u00e4r att molntj\u00e4nster med verklig datasuver\u00e4nitet, utan exponering mot amerikansk lagstiftning, fortsatt \u00e4r det mest attraktiva alternativet.<\/p>\n\n\n\n<div style=\"height:10px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-adekvansbeslutet-mojliggor-inte-tredjelandsoverforingar-till-amerikanska-underrattelsemyndigheter\">Adekvansbeslutet m\u00f6jligg\u00f6r inte tredjelands\u00f6verf\u00f6ringar till amerikanska underr\u00e4ttelsemyndigheter<\/h2>\n\n\n\n<p>EU-kommissionens adekvansbeslut fr\u00e5n juli 2023 m\u00f6jligg\u00f6r endast \u00f6verf\u00f6ringar av personuppgifter fr\u00e5n EU till mottagare i USA som har sj\u00e4lvcertifierat att de f\u00f6ljer principerna i Data Privacy Framework, anm\u00e4lt detta till det amerikanska handelsdepartementet och tagits upp p\u00e5 en s\u00e4rskild lista.<sup data-fn=\"391e3e3b-a068-454b-ae3e-7583560abba4\" class=\"fn\"><a id=\"391e3e3b-a068-454b-ae3e-7583560abba4-link\" href=\"#391e3e3b-a068-454b-ae3e-7583560abba4\">1<\/a><\/sup> Adekvansbeslutet m\u00f6jligg\u00f6r inte \u00f6verf\u00f6ringar till USA generellt.<sup data-fn=\"028c64b6-9d4a-4d5e-8bd1-dbd6c61ce64b\" class=\"fn\"><a id=\"028c64b6-9d4a-4d5e-8bd1-dbd6c61ce64b-link\" href=\"#028c64b6-9d4a-4d5e-8bd1-dbd6c61ce64b\">2<\/a><\/sup><\/p>\n\n\n\n<p>NSA och andra amerikanska underr\u00e4ttelsemyndigheter \u00e4r inte sj\u00e4lvcertifierade mottagare. De finns s\u00e5ledes inte med p\u00e5 listan \u00f6ver godk\u00e4nda organisationer och f\u00f6rv\u00e4ntas inte heller adderas.<\/p>\n\n\n\n<p>Ett beslut om adekvat skyddsniv\u00e5 inneb\u00e4r dessutom i sig inget <em>krav<\/em> p\u00e5 \u00f6verf\u00f6ring av personuppgifter. Som vi utvecklar senare ger adekvansbeslutet d\u00e4rf\u00f6r inte i sig n\u00e5gon giltig r\u00e4ttslig grund f\u00f6r att l\u00e4mna ut personuppgifter i EU till myndigheter i tredje land.<\/p>\n\n\n\n<p>Det sagda inneb\u00e4r att adekvansbeslutet inte kan anv\u00e4ndas f\u00f6r att \u00f6verf\u00f6ra personuppgifter fr\u00e5n EU till amerikanska underr\u00e4ttelsemyndigheter i USA.<\/p>\n\n\n\n<p>Samtidigt vill de flesta verksamheter i EU hantera personuppgifter i EU. Det kan vara f\u00f6r att f\u00f6rdr\u00f6jningen \u00e4r kortare till datacenter i EU \u00e4n till andra sidan Atlanten, av regulatoriska sk\u00e4l eller f\u00f6r att alternativen inte vore l\u00e4mpliga. Amerikanska molntj\u00e4nstleverant\u00f6rer erbjuder ocks\u00e5 i \u00f6kande omfattning datalokalisering inom EU.<\/p>\n\n\n\n<p>Fr\u00e5gan \u00e4r d\u00e5 vad som g\u00e4ller n\u00e4r en verksamhet avser att hantera personuppgifter i datacenter som \u00e4r bel\u00e4gna i EU. Vilka molntj\u00e4nstleverant\u00f6rer g\u00e5r egentligen att anlita?<\/p>\n\n\n\n<p>H\u00e4r beh\u00f6ver verksamheter ha i \u00e5tanke att amerikanska molntj\u00e4nstleverant\u00f6rer omfattas av regler som kan tvinga dem att ge amerikanska myndigheter tillg\u00e5ng till uppgifter i EU. Samtidigt har EU-lagstiftningen regler som i princip f\u00f6rbjuder s\u00e5dana \u00f6verf\u00f6ringar fr\u00e5n EU till tredjelands myndigheter.<\/p>\n\n\n\n<p>Adekvansbeslutet g\u00f6r varken fr\u00e5n eller till i dessa situationer.<\/p>\n\n\n\n<div style=\"height:10px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-skyddsnivan-inom-eu-galler-oavsett-adekvansbeslutet\">Skyddsniv\u00e5n inom EU g\u00e4ller oavsett adekvansbeslutet<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-inledning\">Inledning<\/h3>\n\n\n\n<p>En personuppgiftsansvarig i EU m\u00e5ste s\u00e4kerst\u00e4lla att dess personuppgiftsbehandling uppfyller den skyddsniv\u00e5 som EU-stadgan och GDPR kr\u00e4ver. EU-regler som EU-stadgan och GDPR kallas gemensamt <em>unionsr\u00e4tten<\/em>.<\/p>\n\n\n\n<p>Unionsr\u00e4tten g\u00e4ller vid personuppgiftsbehandling som sker helt och h\u00e5llet p\u00e5 servrar inom EU, det vill s\u00e4ga n\u00e4r adekvansbeslutet inte anv\u00e4nds f\u00f6r n\u00e5gon \u00f6verf\u00f6ring av personuppgifter till USA. Unionsr\u00e4tten reglerar d\u00e5 bland annat hur personuppgifter i EU ska skyddas mot \u00e5tkomst fr\u00e5n tredjelands myndigheter.<\/p>\n\n\n\n<p>F\u00f6r att en personuppgiftsansvarigs verksamhet ska kunna avg\u00f6ra om den kan hantera personuppgifter hos en molntj\u00e4nstleverant\u00f6r i EU beh\u00f6ver verksamheten d\u00e4rf\u00f6r f\u00f6rst f\u00f6rst\u00e5 inneb\u00f6rden av unionsr\u00e4ttens skyddsniv\u00e5. Vilka krav inneb\u00e4r skyddsniv\u00e5n n\u00e4r verksamheten ska anlita en molntj\u00e4nstleverant\u00f6r, s\u00e4rskilt i relation till tredjelands lagstiftning?<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-eu-stadgans-skydd\">EU-stadgans skydd<\/h3>\n\n\n\n<p>Unionsr\u00e4ttens skyddsniv\u00e5 inneb\u00e4r att personuppgifter ska behandlas lagenligt f\u00f6r best\u00e4mda \u00e4ndam\u00e5l och med en legitim och lagenlig grund (EU-stadgan, artikel 8).<\/p>\n\n\n\n<p>Dessutom g\u00e4ller:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>r\u00e4tten att f\u00e5 tillg\u00e5ng till insamlade personuppgifter,<\/li>\n\n\n\n<li>r\u00e4tten att r\u00e4tta (korrigera) felaktiga personuppgifter,<\/li>\n\n\n\n<li>att en oberoende myndighet kontrollerar att reglerna efterlevs, och<\/li>\n\n\n\n<li>r\u00e4tten till en oavh\u00e4ngig och opartisk domstolspr\u00f6vning f\u00f6r de vars r\u00e4ttigheter har kr\u00e4nkts.<\/li>\n<\/ul>\n\n\n\n<p>Dessa punkter har ett slags grundlagsstatus eftersom de f\u00f6reskrivs i Europeiska unionens stadga om de grundl\u00e4ggande r\u00e4ttigheterna (EU-stadgan, artikel 8 och 47). GDPR konkretiserar dessa och andra r\u00e4ttigheter och ska l\u00e4sas i ljuset av EU-stadgan.<\/p>\n\n\n\n<p>R\u00e4tten till domstolspr\u00f6vning (eller effektiva r\u00e4ttsmedel som det ocks\u00e5 kallas) \u00e4r s\u00e4rskilt viktig. Den r\u00e4tten \u00e4r avg\u00f6rande f\u00f6r att en person ska kunna f\u00e5 en oberoende pr\u00f6vning av om personens andra r\u00e4ttigheter har kr\u00e4nkts. EU-domstolen har flera g\u00e5nger framh\u00e5llit det som en grundf\u00f6ruts\u00e4ttning f\u00f6r en r\u00e4ttsstat:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote has-medium-font-size is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"has-medium-font-size\">Enligt fast r\u00e4ttspraxis \u00e4r sj\u00e4lva m\u00f6jligheten till en effektiv domstolspr\u00f6vning i syfte att s\u00e4kerst\u00e4lla iakttagandet av unionsr\u00e4tten en grundf\u00f6ruts\u00e4ttning f\u00f6r en r\u00e4ttsstat. En lagstiftning i vilken det inte f\u00f6reskrivs n\u00e5gon m\u00f6jlighet f\u00f6r enskilda att anv\u00e4nda r\u00e4ttsmedel f\u00f6r att erh\u00e5lla tillg\u00e5ng till, r\u00e4tta eller radera personuppgifter som r\u00f6r dem, respekterar inte det v\u00e4sentliga inneh\u00e5llet i den grundl\u00e4ggande r\u00e4tten till effektivt domstolsskydd, vilken \u00e4r stadf\u00e4st i artikel 47 i [EU-stadgan]\n\n\n\n<p><\/p>\n<cite>C-311\/18 Schrems II p. 187<\/cite><\/blockquote>\n\n\n\n<p>Det \u00e4r d\u00e4rf\u00f6r s\u00e4rskilt viktigt att en personuppgiftsansvarigs verksamhet s\u00e4kerst\u00e4ller denna r\u00e4ttighet, s\u00e5 att den inte undergr\u00e4vs till f\u00f6ljd av valet av molntj\u00e4nstleverant\u00f6r.<\/p>\n\n\n\n<p>EU-stadgans grundl\u00e4ggande r\u00e4ttigheter \u00e4r inte absoluta, de f\u00e5r allts\u00e5 begr\u00e4nsas. Under en p\u00e5g\u00e5ende, legitim underr\u00e4ttelseinh\u00e4mtning kan det exempelvis vara rimligt att inte bevilja tillg\u00e5ng till insamlade personuppgifter.<\/p>\n\n\n\n<p>Varje s\u00e5dan begr\u00e4nsning av en grundl\u00e4ggande r\u00e4ttighet m\u00e5ste emellertid uppfylla vissa krav i EU-stadgan. Bland annat m\u00e5ste begr\u00e4nsningens omfattning tydligt framg\u00e5 i lag. EU-domstolen har i flera r\u00e4ttsfall klargjort var gr\u00e4nsen g\u00e5r f\u00f6r godtagbara begr\u00e4nsningar. Den lagstiftning d\u00e4r r\u00e4ttighetsbegr\u00e4nsningen framg\u00e5r m\u00e5ste uppfylla krav p\u00e5 tydlighet och precision. Ett syfte \u00e4r att lagstiftningen ska kunna ge ett effektivt skydd mot riskerna f\u00f6r missbruk.<\/p>\n\n\n\n<p>En r\u00e4ttighetsbegr\u00e4nsning f\u00e5r inte g\u00e5 l\u00e4ngre \u00e4n vad som \u00e4r strikt n\u00f6dv\u00e4ndigt f\u00f6r att tillgodose begr\u00e4nsningens syfte. Lagstiftning som inneb\u00e4r ett ingrepp i r\u00e4ttigheter m\u00e5ste i sig inneh\u00e5lla tydliga och precisa best\u00e4mmelser som reglerar r\u00e4ckvidden och till\u00e4mpningen av ingreppet och som fastst\u00e4ller minimikrav, s\u00e5 att de personer vilkas uppgifter \u00f6verf\u00f6rs har tillr\u00e4ckliga garantier som m\u00f6jligg\u00f6r ett effektivt skydd av deras personuppgifter mot riskerna f\u00f6r missbruk. Lagstiftningen m\u00e5ste i synnerhet precisera under vilka omst\u00e4ndigheter och p\u00e5 vilka villkor en \u00e5tg\u00e4rd f\u00f6r behandling av personuppgifter f\u00e5r vidtas, vilket s\u00e4kerst\u00e4ller att ingreppet begr\u00e4nsas till vad som \u00e4r strikt n\u00f6dv\u00e4ndigt.<sup data-fn=\"928064a0-26a1-4234-afa1-75a3494221aa\" class=\"fn\"><a id=\"928064a0-26a1-4234-afa1-75a3494221aa-link\" href=\"#928064a0-26a1-4234-afa1-75a3494221aa\">3<\/a><\/sup><\/p>\n\n\n\n<p>Ibland h\u00e4vdas att amerikansk lagstiftning visserligen m\u00f6jligg\u00f6r omfattande underr\u00e4ttelseinh\u00e4mtning, i strid med EU-stadgans krav, men att lagstiftningen inte anv\u00e4nds p\u00e5 ett s\u00e5 omfattande s\u00e4tt i praktiken. Det talar emellertid inte till lagstiftningens f\u00f6rdel \u2013 tv\u00e4rt om.<\/p>\n\n\n\n<p>Amerikansk lagstiftning som Foreign Intelligence Surveillance Act (FISA) m\u00f6jligg\u00f6r en mer omfattande inh\u00e4mtning \u00e4n vad som \u00e4r motiverat, och EU-domstolen har bed\u00f6mt att lagstiftningen inte m\u00f6jligg\u00f6r ett effektivt skydd mot riskerna f\u00f6r missbruk.<sup data-fn=\"22926bf5-930c-489b-a143-cd4cda667d4e\" class=\"fn\"><a id=\"22926bf5-930c-489b-a143-cd4cda667d4e-link\" href=\"#22926bf5-930c-489b-a143-cd4cda667d4e\">4<\/a><\/sup><\/p>\n\n\n\n<p>Facit visar dessutom att amerikanska myndigheters verksamhet \u00e4r kantad av \u00f6vertramp och bristande r\u00e4ttss\u00e4kerhet s\u00e5v\u00e4l historiskt som i n\u00e4rtid, vilket vi \u00e5terkommer till i avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-exempel-fran-verkligheten-vid-amerikansk-overvakning\" target=\"_blank\" rel=\"noreferrer noopener\">Exempel fr\u00e5n verkligheten vid amerikansk \u00f6vervakning<\/a>.<\/p>\n\n\n\n<p>V\u00e5r bed\u00f6mning \u00e4r ocks\u00e5 att eventuella begr\u00e4nsningar som inf\u00f6rs genom presidentdekret eller myndighetsinterna regelverk inte \u00e4r kapabla att \u00e5tg\u00e4rda dessa brister, eftersom EU-domstolen anger att det \u00e4r den lagstiftning som inneb\u00e4r en r\u00e4ttighetsbegr\u00e4nsning som ocks\u00e5 m\u00e5ste sl\u00e5 fast de minimikrav som m\u00f6jligg\u00f6r ett effektivt skydd mot riskerna f\u00f6r missbruk.<sup data-fn=\"83009420-af48-4ffb-93a3-87daa66f2c23\" class=\"fn\"><a id=\"83009420-af48-4ffb-93a3-87daa66f2c23-link\" href=\"#83009420-af48-4ffb-93a3-87daa66f2c23\">5<\/a><\/sup><\/p>\n\n\n\n<p>Bristerna i amerikansk lagstiftning och sk\u00e4len till att f\u00f6r\u00e4ndringarna i USA \u00e4r otillr\u00e4ckliga utvecklas i avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-executive-order-14086-och-data-protection-review-court\" target=\"_blank\" rel=\"noreferrer noopener\">Executive Order 14086 och Data Protection Review Court<\/a>. F\u00f6r vidare l\u00e4sning, se \u00e4ven rapporten <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/amerikansk-vs-europeisk-overvakning-analys-av-skillnader-i-rattighetsskyddet-vid-anvandning-av-molntjanster\/\" target=\"_blank\" rel=\"noreferrer noopener\">Amerikansk vs europeisk \u00f6vervakning: Analys av skillnader i r\u00e4ttighetsskyddet vid anv\u00e4ndning av molntj\u00e4nster<\/a>.<\/p>\n\n\n\n<p>Vi har h\u00e4r \u00f6versiktligt f\u00f6rklarat n\u00e5gra aspekter av det skydd f\u00f6r grundl\u00e4ggande r\u00e4ttigheter som EU-stadgan kr\u00e4ver. En verksamhet som inte kan s\u00e4kerst\u00e4lla detta r\u00e4ttighetsskydd kan inte heller uppfylla unionsr\u00e4ttens krav.<\/p>\n\n\n\n<p>Vi menar att flera av de r\u00e4ttigheter som EU-stadgan sl\u00e5r fast undermineras om en verksamhet l\u00e5ter personuppgifter i EU exponeras mot amerikansk lagstiftning som ges f\u00f6retr\u00e4de framf\u00f6r EU:s lagstiftning. S\u00e5 \u00e4r i regel fallet n\u00e4r en amerikansk molntj\u00e4nstleverant\u00f6r till\u00e5ts hantera personuppgifterna i EU.<\/p>\n\n\n\n<p>F\u00f6ruts\u00e4ttningarna f\u00f6r utl\u00e4mnanden av personuppgifter till myndigheter regleras mer detaljerat i GDPR. D\u00e4r \u00e4r det tydligt att ett utl\u00e4mnande endast godtas om utl\u00e4mnandet har st\u00f6d i unionsr\u00e4tten eller en medlemsstats nationella r\u00e4tt. Tredjelands lagstiftning g\u00f6r sig allts\u00e5 icke besv\u00e4r. Detta behandlas i n\u00e4sta avsnitt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-gdpr-s-skydd-mot-atkomst-fran-tredjeland\">GDPR:s skydd mot \u00e5tkomst fr\u00e5n tredjeland<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-amerikansk-extraterritoriell-inhamtning\">Amerikansk extraterritoriell inh\u00e4mtning<\/h4>\n\n\n\n<p>Det kan vara l\u00e4mpligt att f\u00f6rst kort ber\u00f6ra amerikansk extraterritoriell \u00f6vervakningslagstiftning. Enkelt uttryckt \u00e4r extraterritoriell lagstiftning s\u00e5dan lagstiftning d\u00e4r ett land till\u00e4mpar sin lag p\u00e5 ett annat lands territorium.<\/p>\n\n\n\n<p>Ett framtr\u00e4dande exempel p\u00e5 extraterritoriell lagstiftning i detta sammanhang \u00e4r den amerikanska CLOUD Act. CLOUD Act m\u00f6jligg\u00f6r f\u00f6r amerikanska myndigheter att tvinga en amerikansk molntj\u00e4nstleverant\u00f6r att l\u00e4mna ut uppgifter inom ramen f\u00f6r en <em>brottsutredning<\/em>, \u00e4ven om uppgifterna finns p\u00e5 den amerikanska molntj\u00e4nstleverant\u00f6rens servrar utanf\u00f6r USA.<\/p>\n\n\n\n<p>CLOUD Act har vissa r\u00e4ttss\u00e4kerhetsgarantier, s\u00e5som ett krav p\u00e5&nbsp;<em>warrant<\/em>&nbsp;i vissa situationer (men inte i andra). EDPB och EDPS har i ett yttrande med prelimin\u00e4ra synpunkter belyst flera problematiska aspekter av CLOUD Act i f\u00f6rh\u00e5llande till unionsr\u00e4tten.<sup data-fn=\"b0476bd5-d6c5-4c2b-9608-8b4333856ace\" class=\"fn\"><a id=\"b0476bd5-d6c5-4c2b-9608-8b4333856ace-link\" href=\"#b0476bd5-d6c5-4c2b-9608-8b4333856ace\">6<\/a><\/sup>&nbsp;CLOUD Act m\u00f6jligg\u00f6r bland annat inh\u00e4mtning d\u00e4r ber\u00f6rda personer i EU kan ber\u00f6vas sin r\u00e4tt att f\u00e5 inh\u00e4mtningen r\u00e4ttsligt pr\u00f6vad i domstol.<sup data-fn=\"8a448cd1-c99d-4803-9606-07dfff3fc050\" class=\"fn\"><a id=\"8a448cd1-c99d-4803-9606-07dfff3fc050-link\" href=\"#8a448cd1-c99d-4803-9606-07dfff3fc050\">7<\/a><\/sup>&nbsp;EU-domstolen har slagit fast att r\u00e4tten till domstolspr\u00f6vning \u00e4r en grundf\u00f6ruts\u00e4ttning f\u00f6r en r\u00e4ttsstat.<sup data-fn=\"7b8114a1-2e3c-4d27-85e6-423b7536cd1a\" class=\"fn\"><a id=\"7b8114a1-2e3c-4d27-85e6-423b7536cd1a-link\" href=\"#7b8114a1-2e3c-4d27-85e6-423b7536cd1a\">8<\/a><\/sup>&nbsp;EDPB och EDPS noterade ocks\u00e5 i sitt yttrande att CLOUD Act sannolikt leder till att amerikanska myndigheter kringg\u00e5r det befintliga system f\u00f6r internationell r\u00e4ttslig hj\u00e4lp som etablerats mellan USA och EU.<sup data-fn=\"abd22a29-c59d-40d3-bcec-67e255ffd998\" class=\"fn\"><a id=\"abd22a29-c59d-40d3-bcec-67e255ffd998-link\" href=\"#abd22a29-c59d-40d3-bcec-67e255ffd998\">9<\/a><\/sup>&nbsp;Microsofts President Brad Smith varnade redan \u00e5r 2018 f\u00f6r det som skulle leda till CLOUD Act, <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-exempel-fran-verkligheten-vid-amerikansk-overvakning\">vilket vi noterar l\u00e4ngre fram<\/a> i denna rapport.<\/p>\n\n\n\n<p>USA har ocks\u00e5 lagstiftning f\u00f6r <em>underr\u00e4ttelseinh\u00e4mtning<\/em>, som har \u00e4nnu f\u00e4rre skydds\u00e5tg\u00e4rder \u00e4n CLOUD Act. Sektion 702 av Foreign Intelligence Surveillance Act (FISA 702) \u00e4r ett exempel p\u00e5 detta. \u00c4ven om namnet kanske inte \u00e4r lika f\u00e4ngslande s\u00e5 \u00e4r FISA 702 troligtvis ett st\u00f6rre hot mot m\u00e4nniskor, f\u00f6retag och verksamheter i offentlig sektor i Europa \u00e4n CLOUD Act. Det beror p\u00e5 att FISA 702 har ett bredare till\u00e4mpningsomr\u00e5de och \u00e4r mindre precist formulerad n\u00e4r det g\u00e4ller under vilka omst\u00e4ndigheter lagen kan anv\u00e4ndas. Det inneb\u00e4r i sin tur att det finns en st\u00f6rre risk att lagen missbrukas. Vi ger flera exempel p\u00e5 <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-exempel-fran-verkligheten-vid-amerikansk-overvakning\">USA:s missbruk av \u00f6vervakning<\/a> l\u00e4ngre fram.<\/p>\n\n\n\n<p>Vi menar att det \u00e4r en rimlig utg\u00e5ngspunkt att anta att FISA 702 till\u00e4mpas med extraterritoriell verkan, precis som CLOUD Act. FISA 702 syftar till att samla in&nbsp;<em>utl\u00e4ndska<\/em>&nbsp;underr\u00e4ttelseuppgifter om&nbsp;<em>icke-amerikanare<\/em>&nbsp;som befinner sig&nbsp;<em>utanf\u00f6r USA<\/em>.<sup data-fn=\"d4833c24-1244-4eff-b64c-fe27f97824c0\" class=\"fn\"><a id=\"d4833c24-1244-4eff-b64c-fe27f97824c0-link\" href=\"#d4833c24-1244-4eff-b64c-fe27f97824c0\">10<\/a><\/sup>&nbsp;Lagstiftningen f\u00f6reskriver inga uttryckliga begr\u00e4nsningar avseende var i v\u00e4rlden den efters\u00f6kta informationen m\u00e5ste finnas f\u00f6r att kunna h\u00e4mtas in.<\/p>\n\n\n\n<p>FISA 702 omfattar \u00e4ven den som \u00e4r \u201dofficer, employee, custodian, or agent\u201d hos en amerikansk molnleverant\u00f6r som omfattas av lagen \u2013 vilket tyder p\u00e5 att \u00e4ven deras EU-baserade dotterbolag omfattas. Vi k\u00e4nner inte till n\u00e5gra undantag p\u00e5 grund av t.ex. juridisk bolagsstruktur eller val av personal. Amerikansk lagstiftning \u00e5l\u00e4gger uttryckligen en molntj\u00e4nstleverant\u00f6r som omfattas av lagen att \u201dimmediately provide the Government with all information, facilities, or assistance necessary\u201c f\u00f6r att i hemlighet kunna skaffa fram information.<\/p>\n\n\n\n<p>Professor Stephen Vladeck vid University of Texas School of Law, specialiserad inom amerikansk konstitutionell r\u00e4tt och \u00f6vervakningslagstiftning, skrev \u00e5r 2021 ett expertutl\u00e5tande f\u00f6r tyska dataskyddsmyndigheter om FISA 702:s r\u00e4ckvidd. Han lyfter i utl\u00e5tandet omst\u00e4ndigheter som talar f\u00f6r att FISA 702 kan anv\u00e4ndas extraterritoriellt, \u00e4ven n\u00e4r ett amerikanskt bolag anv\u00e4nder ett europeiskt dotterbolag.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"has-medium-font-size\">if the data is stored by U.S. companies (including EU subsidiaries thereof) outside the United States, it may well fall within the auspices of section 702 \u2026 Where the target is a non-U.S. person reasonably believed to be outside the United States, and the electronic communication service provider is a U.S. company, there certainly appears to be an argument that section 702 would apply to data stored on European servers \u2014 and that the compliance regime outlined above could be used to compel cooperation even with respect to data stored overseas.<\/p>\n\n\n\n<p class=\"has-medium-font-size\">Section 702 itself does not condition any of the authorities it provides on whether the collection is consistent with EU or EU member state law; to the contrary, it specifically says that the collection it authorizes is \u201c[n]otwithstanding any other provision of law.\u201d<sup data-fn=\"431a6f9d-5b78-4907-a2d6-1a994108d638\" class=\"fn\"><a id=\"431a6f9d-5b78-4907-a2d6-1a994108d638-link\" href=\"#431a6f9d-5b78-4907-a2d6-1a994108d638\">11<\/a><\/sup><\/p>\n<\/blockquote>\n\n\n\n<p>Amerikanska molntj\u00e4nstleverant\u00f6rer har s\u00e5vitt vi k\u00e4nner till inte heller h\u00e4vdat att information de hanterar inom EU avsk\u00e4rmas fr\u00e5n \u00e5tkomst fr\u00e5n amerikanska myndigheter. Inte heller amerikanska myndigheter har s\u00e5vitt vi k\u00e4nner till h\u00e4vdat detta.<\/p>\n\n\n\n<p>Den danska it-entrepren\u00f6ren David Heinemeier Hansson, vars amerikanska bolag 37Signals ligger bakom samarbetstj\u00e4nsten Basecamp och e-posttj\u00e4nsten HEY, har skrivit om 37Signals f\u00f6rs\u00f6k att undg\u00e5 amerikanska underr\u00e4ttelselagar.<sup data-fn=\"1a1d0b7e-474d-48d6-bcb3-0d4509f9a710\" class=\"fn\"><a id=\"1a1d0b7e-474d-48d6-bcb3-0d4509f9a710-link\" href=\"#1a1d0b7e-474d-48d6-bcb3-0d4509f9a710\">12<\/a><\/sup>&nbsp;F\u00f6retaget anlitade ett team med amerikanska advokater som unders\u00f6kte olika uppl\u00e4gg, med alltifr\u00e5n olika dotterbolag till europeiska servrar. Syftet var att hindra amerikanska myndigheter fr\u00e5n att kr\u00e4va ut information med st\u00f6d av lagar som FISA 702. Det gick inte.<\/p>\n\n\n\n<p>Mot ovan bakgrund menar vi att den mest rimliga utg\u00e5ngspunkten \u00e4r att FISA 702 kan anv\u00e4ndas f\u00f6r att kr\u00e4va ut information som hanteras p\u00e5 amerikanska molntj\u00e4nstleverant\u00f6rers servrar i EU, \u00e4ven n\u00e4r det sker genom deras europeiska dotterbolag. Med andra ord: att FISA 702 \u00e4r extraterritoriell lagstiftning, eller i vart fall anv\u00e4nds p\u00e5 det s\u00e4ttet.<\/p>\n\n\n\n<p>Vi k\u00e4nner inte till n\u00e5got EU-land som har en lag med samma r\u00e4ckvidd och verkan som FISA 702, som kan anv\u00e4ndas f\u00f6r att tvinga en molntj\u00e4nstleverant\u00f6r att l\u00e4mna ut information f\u00f6r \u00e4ndam\u00e5l som r\u00f6r underr\u00e4ttelseinh\u00e4mtning. Den intresserade kan l\u00e4sa mer i rapporten <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/amerikansk-vs-europeisk-overvakning-analys-av-skillnader-i-rattighetsskyddet-vid-anvandning-av-molntjanster\/\">Amerikansk vs europeisk \u00f6vervakning: Analys av skillnader i r\u00e4ttighetsskyddet vid anv\u00e4ndning av molntj\u00e4nster<\/a>.<\/p>\n\n\n\n<p>Om det \u2013 trots ovanst\u00e5ende information som tyder p\u00e5 att EU-baserade dotterbolag till amerikanska molntj\u00e4nstleverant\u00f6rer omfattas av amerikanska \u00f6vervakningslagar och kan tvingas att bist\u00e5 vid utl\u00e4mnande av data som de hanterar i EU \u2013 motsatsen skulle visa sig vara sann, k\u00e4nner vi inte till n\u00e5got som hindrar den amerikanska lagstiftaren fr\u00e5n att uppdatera amerikansk lagstiftning f\u00f6r att \u00e5tg\u00e4rda eventuella kryph\u00e5l, t.ex. p\u00e5 grund av juridisk f\u00f6retagsstruktur, och d\u00e4rmed s\u00e4kerst\u00e4lla fortsatt tillg\u00e5ng till s\u00e5dan data.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-nar-personuppgiftsbitradet-far-avvika-fran-sina-instruktioner\"><br>N\u00e4r personuppgiftsbitr\u00e4det f\u00e5r avvika fr\u00e5n sina instruktioner<\/h4>\n\n\n\n<p>N\u00e4r en verksamhet i EU ska l\u00e5ta en molntj\u00e4nstleverant\u00f6r behandla personuppgifter \u00e5 verksamhetens v\u00e4gnar m\u00e5ste parterna ing\u00e5 ett personuppgiftsbitr\u00e4desavtal. Genom personuppgiftsbitr\u00e4desavtalet ger den personuppgiftsansvarige instruktioner till molntj\u00e4nstleverant\u00f6ren om hur personuppgifterna ska behandlas f\u00f6r att den personuppgiftsansvarige ska uppn\u00e5 sina \u00e4ndam\u00e5l med behandlingen.<\/p>\n\n\n\n<p>Personuppgiftsbitr\u00e4desavtalet m\u00e5ste ange att bitr\u00e4det <em>endast<\/em> f\u00e5r behandla personuppgifter enligt den personuppgiftsansvariges instruktioner, \u00e4ven n\u00e4r det g\u00e4ller tredjelands\u00f6verf\u00f6ringar. Utan instruktioner fr\u00e5n sin kund f\u00e5r personuppgiftsbitr\u00e4det (molntj\u00e4nstleverant\u00f6ren) allts\u00e5 inte behandla personuppgifterna f\u00f6r sina egna eller andras \u00e4ndam\u00e5l, inklusive f\u00f6r att genomf\u00f6ra tredjelands\u00f6verf\u00f6ringar. Det enda undantaget, d\u00e4r molntj\u00e4nstleverant\u00f6ren t.ex. f\u00e5r l\u00e4mna ut personuppgifterna vid sidan av instruktionerna fr\u00e5n den personuppgiftsansvarige, \u00e4r om <em>unionsr\u00e4tten eller en medlemsstats nationella r\u00e4tt<\/em> kr\u00e4ver att bitr\u00e4det g\u00f6r det. Det framg\u00e5r av artikel <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A28\" target=\"_blank\" rel=\"noreferrer noopener\">28.3 a<\/a> i GDPR.<\/p>\n\n\n\n<p>Kraven p\u00e5 s\u00e4kerhet f\u00f6r personuppgifter inneb\u00e4r p\u00e5 motsvarande s\u00e4tt att personuppgiftsbitr\u00e4den ska vidta \u00e5tg\u00e4rder f\u00f6r att s\u00e4kerst\u00e4lla att deras personal inte avviker fr\u00e5n den personuppgiftsansvariges instruktioner s\u00e5vida inte <em>unionsr\u00e4tten eller en medlemsstats nationella r\u00e4tt<\/em> \u00e5l\u00e4gger dem att g\u00f6ra det. Det framg\u00e5r av artikel <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A32\" target=\"_blank\" rel=\"noreferrer noopener\">32.4<\/a> i GDPR.<\/p>\n\n\n\n<p>Amerikanska underr\u00e4ttelselagar som FISA 702 utg\u00f6r varken unionsr\u00e4tt eller en medlemsstats nationella r\u00e4tt. Samtidigt kan underr\u00e4ttelselagarna tvinga amerikanska molntj\u00e4nstleverant\u00f6rer att l\u00e4mna ut uppgifter de hanterar i EU vid sidan av den personuppgiftsansvariges instruktioner. Det kan ocks\u00e5 noteras att artikel <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A28\" target=\"_blank\" rel=\"noreferrer noopener\">28.3 a<\/a> och <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A32\" target=\"_blank\" rel=\"noreferrer noopener\">32.4<\/a> inte medger undantag f\u00f6r tredjel\u00e4nder med r\u00e4ttss\u00e4kra lagar. N\u00e4r avvikelser fr\u00e5n den personuppgiftsansvariges instruktioner kr\u00e4ver en grund i unionsr\u00e4tten eller en medlemsstats nationella r\u00e4tt s\u00e5 ges allts\u00e5 inte undantag f\u00f6r tredjel\u00e4nder vars lagar som uppn\u00e5r en viss kvalitet.<\/p>\n\n\n\n<p>Som vi noterade i avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-organisation-behover-veta-om-det-tredje-adekvansbeslutet\/#h-adekvansbeslutet-mojliggor-inte-tredjelandsoverforingar-till-amerikanska-underrattelsemyndigheter\" target=\"_blank\" rel=\"noreferrer noopener\">Adekvansbeslutet m\u00f6jligg\u00f6r inte tredjelands\u00f6verf\u00f6ringar till amerikanska underr\u00e4ttelsemyndigheter<\/a> kan inte heller adekvansbeslutet anv\u00e4ndas som grund f\u00f6r dessa utl\u00e4mnanden. Adekvansbeslutet kan endast anv\u00e4ndas f\u00f6r \u00f6verf\u00f6ringar till sj\u00e4lvcertifierade mottagare i USA, och amerikanska underr\u00e4ttelsemyndigheter \u00e4r inte sj\u00e4lvcertifierade. Ett beslut om adekvat skyddsniv\u00e5 inneb\u00e4r dessutom inte i sig ett <em>krav<\/em> p\u00e5 att personuppgifter ska \u00f6verf\u00f6ras till tredje land. I artikel <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A28\" target=\"_blank\" rel=\"noreferrer noopener\">28.3 a<\/a> och <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A32\" target=\"_blank\" rel=\"noreferrer noopener\">32.4<\/a> g\u00f6rs endast undantag f\u00f6r utl\u00e4mnanden som <em>kr\u00e4vs<\/em> enligt unionsr\u00e4tten eller en medlemsstats nationella r\u00e4tt.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-rattslig-grund-for-utlamnanden-till-myndigheter\">R\u00e4ttslig grund f\u00f6r utl\u00e4mnanden till myndigheter<\/h4>\n\n\n\n<p>N\u00e4r en molntj\u00e4nstleverant\u00f6r l\u00e4mnar ut personuppgifter p\u00e5 beg\u00e4ran av en myndighet s\u00e5 agerar molntj\u00e4nstleverant\u00f6ren inte l\u00e4ngre enligt sin kunds instruktioner, utan blir sj\u00e4lv personuppgiftsansvarig f\u00f6r utl\u00e4mnandet. All personuppgiftsbehandling m\u00e5ste ha en r\u00e4ttslig grund i GDPR och fr\u00e5gan blir d\u00e5 vilken r\u00e4ttslig grund som en molntj\u00e4nstleverant\u00f6r kan anv\u00e4nda. Utan en giltig r\u00e4ttslig grund uppfyller utl\u00e4mnandet inte GDPR.<\/p>\n\n\n\n<p>EU-domstolen slog i ett m\u00e5l fast att ett f\u00f6retags utl\u00e4mnande av information till brottsbek\u00e4mpande myndigheter f\u00f6r att f\u00f6rebygga, uppt\u00e4cka och lagf\u00f6ra brott, \u00e4r ett \u00e4ndam\u00e5l som <em>i princip inte \u00e4r kapabelt<\/em> att utg\u00f6ra ett ber\u00e4ttigat intresse f\u00f6r f\u00f6retaget enligt artikel <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A6\">6.1<\/a> f i GDPR.<sup data-fn=\"61a13f2c-272a-443c-a81f-af50ffdab9d5\" class=\"fn\"><a id=\"61a13f2c-272a-443c-a81f-af50ffdab9d5-link\" href=\"#61a13f2c-272a-443c-a81f-af50ffdab9d5\">13<\/a><\/sup> Domstolen konstaterade att \u00e4ndam\u00e5let saknade samband med f\u00f6retagets ekonomiska och finansiella verksamhet.<\/p>\n\n\n\n<p>EU-domstolen pekade ist\u00e4llet p\u00e5 den r\u00e4ttsliga grunden r\u00e4ttslig f\u00f6rpliktelse som \u00e5vilar den personuppgiftsansvarige enligt artikel <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A6\">6.1<\/a> c i GDPR. Utifr\u00e5n EU-domstolens sk\u00e4l bed\u00f6mer vi att samma r\u00e4ttsliga grund blir relevant vid en molntj\u00e4nstleverant\u00f6rs utl\u00e4mnanden till underr\u00e4ttelsemyndigheter.<\/p>\n\n\n\n<p>Den r\u00e4ttsliga f\u00f6rpliktelse som \u00e5vilar den personuppgiftsansvarige (dvs. molntj\u00e4nstleverant\u00f6ren) enligt artikel <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A6\">6.1<\/a> c i GDPR m\u00e5ste i sin tur vara fastst\u00e4lld i unionsr\u00e4tten eller en medlemsstats nationella r\u00e4tt som den personuppgiftsansvarige omfattas av. Det framg\u00e5r av artikel <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A6\">6.3<\/a> i GDPR.<\/p>\n\n\n\n<p>Amerikanska underr\u00e4ttelselagar som FISA 702 utg\u00f6r inte unionsr\u00e4tt eller en medlemsstats nationella r\u00e4tt. Amerikanska molntj\u00e4nstleverant\u00f6rer synes d\u00e4rf\u00f6r inte kunna f\u00f6rlita sig p\u00e5 n\u00e5gon r\u00e4ttslig grund i GDPR f\u00f6r utl\u00e4mnanden till amerikanska myndigheter enligt dessa \u00f6vervakningslagar. Som vi noterade i avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-organisation-behover-veta-om-det-tredje-adekvansbeslutet\/#h-adekvansbeslutet-mojliggor-inte-tredjelandsoverforingar-till-amerikanska-underrattelsemyndigheter\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-organisation-behover-veta-om-det-tredje-adekvansbeslutet\/#h-adekvansbeslutet-mojliggor-inte-tredjelandsoverforingar-till-amerikanska-underrattelsemyndigheter\">Adekvansbeslutet m\u00f6jligg\u00f6r inte tredjelands\u00f6verf\u00f6ringar till amerikanska underr\u00e4ttelsemyndigheter<\/a> kan inte heller adekvansbeslutet anv\u00e4ndas.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-utlamnanden-till-tredjelands-myndigheter-kraver-en-internationell-overenskommelse\">Utl\u00e4mnanden till tredjelands myndigheter kr\u00e4ver en internationell \u00f6verenskommelse<\/h4>\n\n\n\n<p><a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A48\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 48<\/a> i GDPR erbjuder en grund f\u00f6r molntj\u00e4nstleverant\u00f6rer att verkst\u00e4lla beslut enligt tredjelands lagstiftning, men endast om beslutet grundar sig p\u00e5 en internationell \u00f6verenskommelse mellan tredjelandet och EU eller en medlemsstat.<\/p>\n\n\n\n<p>Adekvansbeslutet \u00e4r inte en s\u00e5dan internationell \u00f6verenskommelse, vilket vi g\u00e5r in p\u00e5 i n\u00e4sta avsnitt.<\/p>\n\n\n\n<p>Artikel 48 anger i sin helhet:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote has-medium-font-size is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"has-medium-font-size\"><strong>\u00d6verf\u00f6ringar och utl\u00e4mnanden som inte \u00e4r till\u00e5tna enligt unionsr\u00e4tten<\/strong><br><br>Domstolsbeslut eller beslut fr\u00e5n myndigheter i tredjeland d\u00e4r det kr\u00e4vs att en personuppgiftsansvarig eller ett personuppgiftsbitr\u00e4de \u00f6verf\u00f6r eller l\u00e4mnar ut personuppgifter f\u00e5r <span style=\"text-decoration: underline\">erk\u00e4nnas eller genomf\u00f6ras p\u00e5 n\u00e5got som helst s\u00e4tt endast<\/span> om det grundar sig p\u00e5 en internationell \u00f6verenskommelse, s\u00e5som ett avtal om \u00f6msesidig r\u00e4ttslig hj\u00e4lp, som g\u00e4ller mellan det beg\u00e4rande tredjelandet och unionen eller en medlemsstat, utan att detta p\u00e5verkar andra grunder f\u00f6r \u00f6verf\u00f6ring enligt detta kapitel.<\/p>\n<cite>(Cleuras understrykning)<\/cite><\/blockquote>\n\n\n\n<p>Om en personuppgiftsansvarig eller ett personuppgiftsbitr\u00e4de tar emot ett beslut som kr\u00e4ver att personuppgifter \u00f6verf\u00f6rs eller l\u00e4mnas ut till tredjelands myndigheter, s\u00e5 f\u00e5r beslutet med st\u00f6d av artikel 48 allts\u00e5:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>endast<\/li>\n\n\n\n<li>erk\u00e4nnas eller genomf\u00f6ras (eller rentav bli verkst\u00e4llbart, det vill s\u00e4ga m\u00f6jligt att genomf\u00f6ra.<sup data-fn=\"8d9f9bf2-f657-4060-8c07-edfe5203d752\" class=\"fn\"><a id=\"8d9f9bf2-f657-4060-8c07-edfe5203d752-link\" href=\"#8d9f9bf2-f657-4060-8c07-edfe5203d752\">14<\/a><\/sup>)<\/li>\n\n\n\n<li>p\u00e5 n\u00e5got som helst s\u00e4tt<\/li>\n\n\n\n<li>om det grundar sig p\u00e5 en internationell \u00f6verenskommelse.<\/li>\n<\/ul>\n\n\n\n<p>H\u00e4r noterar vi hur str\u00e4ngt formulerad artikel 48 \u00e4r, vilket bekr\u00e4ftas av hur <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/beaktandesatser\/\" target=\"_blank\" rel=\"noreferrer noopener\">beaktandesats<\/a> 115 i GDPR tydligg\u00f6r EU-lagstiftarens aversion mot extraterritoriell lagstiftning.<\/p>\n\n\n\n<p>Artikel 48 f\u00f6regriper inte andra grunder f\u00f6r tredjelands\u00f6verf\u00f6ringar, men vi menar att f\u00f6ruts\u00e4ttningar saknas \u00e4ven enligt \u00f6vriga grunder. Adekvansbeslutet som st\u00f6djer sig p\u00e5 artikel 45 kan inte anv\u00e4ndas eftersom NSA och andra amerikanska underr\u00e4ttelsemyndigheter inte \u00e4r sj\u00e4lvcertifierade mottagare. Vi f\u00f6rv\u00e4ntar oss inte heller att amerikanska underr\u00e4ttelsemyndigheter ing\u00e5r standardavtalsklausuler med amerikanska molntj\u00e4nstleverant\u00f6rer eller medverkar till att anv\u00e4nda andra verktyg i artikel 46. Slutligen menar vi att det i princip inte g\u00e5r att f\u00f6rlita sig p\u00e5 artikel 49 i denna kontext<sup data-fn=\"0893c586-28c0-414b-97d0-ede5253ca79d\" class=\"fn\"><a id=\"0893c586-28c0-414b-97d0-ede5253ca79d-link\" href=\"#0893c586-28c0-414b-97d0-ede5253ca79d\">15<\/a><\/sup>, bland annat eftersom en molntj\u00e4nstleverant\u00f6r normalt inte informeras om omst\u00e4ndigheterna bakom varje utl\u00e4mnande den m\u00e5ste verkst\u00e4lla med st\u00f6d av exempelvis FISA 702.<\/p>\n\n\n\n<p>Utan en till\u00e4mplig internationell \u00f6verenskommelse som grund s\u00e5 \u00e4r allts\u00e5 amerikanska molntj\u00e4nstleverant\u00f6rer f\u00f6rhindrade att \u00f6verf\u00f6ra personuppgifter till tredjeland baserat p\u00e5 beslut fr\u00e5n tredjelands myndigheter.<\/p>\n\n\n\n<p>Microsofts President Brad Smith \u00e4r en av de som p\u00e5talat behovet av internationella \u00f6verenskommelser mellan USA och EU, som l\u00f6sning p\u00e5 problemet med ensidig extraterritoriell \u00e5tkomst till uppgifter i EU.<sup data-fn=\"67de80ed-fbe6-4c66-90f3-575bb488177b\" class=\"fn\"><a id=\"67de80ed-fbe6-4c66-90f3-575bb488177b-link\" href=\"#67de80ed-fbe6-4c66-90f3-575bb488177b\">16<\/a><\/sup><\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-adekvansbeslutet-ar-inte-en-grund-i-unionsratten-en-medlemsstats-nationella-ratt-eller-en-internationell-overenskommelse-for-utlamnanden-till-tredjelands-myndigheter\">Adekvansbeslutet \u00e4r inte en grund i unionsr\u00e4tten, en medlemsstats nationella r\u00e4tt eller en internationell \u00f6verenskommelse \u2013 f\u00f6r utl\u00e4mnanden till tredjelands myndigheter<\/h4>\n\n\n\n<p>Som vi noterade i avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-organisation-behover-veta-om-det-tredje-adekvansbeslutet\/#h-adekvansbeslutet-mojliggor-inte-tredjelandsoverforingar-till-amerikanska-underrattelsemyndigheter\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-organisation-behover-veta-om-det-tredje-adekvansbeslutet\/#h-adekvansbeslutet-mojliggor-inte-tredjelandsoverforingar-till-amerikanska-underrattelsemyndigheter\" target=\"_blank\" rel=\"noreferrer noopener\">Adekvansbeslutet m\u00f6jligg\u00f6r inte tredjelands\u00f6verf\u00f6ringar till amerikanska underr\u00e4ttelsemyndigheter<\/a> m\u00f6jligg\u00f6r adekvansbeslutet endast tredjelands\u00f6verf\u00f6ringar till sj\u00e4lvcertifierade mottagare i USA som tagits upp p\u00e5 det amerikanska handelsdepartementets lista. Amerikanska underr\u00e4ttelsemyndigheter som NSA sj\u00e4lvcertifierades aldrig enligt de tv\u00e5 tidigare ramverken Safe Harbour och Privacy Shield. De f\u00f6rv\u00e4ntas inte heller sj\u00e4lvcertifieras enligt Data Privacy Framework.<\/p>\n\n\n\n<p>Adekvansbeslutet varken kr\u00e4ver eller m\u00f6jligg\u00f6r tredjelands\u00f6verf\u00f6ringar fr\u00e5n en verksamhet i EU till amerikanska underr\u00e4ttelsemyndigheter. Adekvansbeslutet \u00e4r allts\u00e5 inte en grund i unionsr\u00e4tten eller en medlemsstats nationella r\u00e4tt som kan anv\u00e4ndas f\u00f6r utl\u00e4mnanden vid sidan av den personuppgiftsansvariges instruktioner enligt artikel 28.3 a eller 32.4, eller som r\u00e4ttslig f\u00f6rpliktelse enligt artikel 6.1 c och 6.3.<\/p>\n\n\n\n<p>\u00c4ven om det ibland talas om ett \u201ddata\u00f6verf\u00f6ringsavtal\u201d eller \u201ddatapakt\u201d s\u00e5 \u00e4r adekvansbeslutet i sig inte heller en internationell \u00f6verenskommelse. Det \u00e4r ett ensidigt beslut fr\u00e5n EU-kommissionen, som inte tar sikte p\u00e5 att reglera \u00e5tkomst fr\u00e5n underr\u00e4ttelsetj\u00e4nster i USA till uppgifter i EU. \u00c4ven FISA 702, den amerikanska presidentens EO 14086 och DPRC-best\u00e4mmelserna \u00e4r ensidiga och utg\u00f6r inte internationella \u00f6verenskommelser. Inget av dessa instrument \u00e4r s\u00e5ledes en internationell \u00f6verenskommelse som kan anv\u00e4ndas f\u00f6r tredjelands\u00f6verf\u00f6ringar enligt artikel 48.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-gdpr-garantier-vid-anlitande-av-molntjanstleverantorer\">GDPR-garantier vid anlitande av molntj\u00e4nstleverant\u00f6rer<\/h4>\n\n\n\n<p>Vi har hittills konstaterat att amerikanska molntj\u00e4nstleverant\u00f6rer av flera sk\u00e4l saknar r\u00e4ttsliga f\u00f6ruts\u00e4ttningar i GDPR f\u00f6r att l\u00e4mna ut personuppgifter som de hanterar i EU, till amerikanska myndigheter. Amerikanska molntj\u00e4nstleverant\u00f6rer uppger samtidigt att de med stor omsorg s\u00e4kerst\u00e4ller uppfyllelsen av sin skyldighet att l\u00e4mna ut uppgifter till amerikanska myndigheter. Som vi <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-nar-personuppgiftsbitradet-far-avvika-fran-sina-instruktioner\">tidigare noterat<\/a> \u00e4r detta motsatsen till vad de \u00e4r skyldiga till att s\u00e4kerst\u00e4lla enligt GDPR. Vad f\u00e5r det f\u00f6r konsekvenser f\u00f6r en verksamhet som \u00f6verv\u00e4ger att anlita en s\u00e5dan molntj\u00e4nstleverant\u00f6r?<\/p>\n\n\n\n<p><a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A24\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 24<\/a> i dataskyddsf\u00f6rordningen beskriver den personuppgiftsansvarigas ansvar \u2013 oavsett om ett bitr\u00e4de anlitas. Artikeln kr\u00e4ver l\u00e4mpliga tekniska och organisatoriska \u00e5tg\u00e4rder f\u00f6r att <em>s\u00e4kerst\u00e4lla <\/em>och <em>kunna visa <\/em>att personuppgiftsbehandling utf\u00f6rs i enlighet med GDPR.<\/p>\n\n\n\n<p>Ansvaret fortl\u00f6per n\u00e4r en personuppgiftsansvarig ska anlita ett personuppgiftsbitr\u00e4de, s\u00e5som en molntj\u00e4nstleverant\u00f6r. Den personuppgiftsansvariga ska enligt artikel <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A28\" target=\"_blank\" rel=\"noreferrer noopener\">28.1<\/a> GDPR endast anlita personuppgiftsbitr\u00e4den som ger tillr\u00e4ckliga garantier om att genomf\u00f6ra l\u00e4mpliga tekniska och organisatoriska \u00e5tg\u00e4rder <em>p\u00e5 ett s\u00e5dant s\u00e4tt <\/em>att behandlingen <em>uppfyller <\/em>kraven i GDPR och <em>s\u00e4kerst\u00e4ller <\/em>att personers r\u00e4ttigheter skyddas.<\/p>\n\n\n\n<p>En molntj\u00e4nstleverant\u00f6rs garantier ska allts\u00e5 avse \u00e5tg\u00e4rder som genomf\u00f6rs <em>p\u00e5 ett s\u00e5dant s\u00e4tt<\/em> att personuppgiftsbehandlingen kommer att uppn\u00e5 tv\u00e5 resultat: <em>uppfyller kraven i GDPR<\/em> och <em>s\u00e4kerst\u00e4ller skyddet f\u00f6r personers r\u00e4ttigheter<\/em>.<\/p>\n\n\n\n<p>GDPR:s krav och personers r\u00e4ttigheter omfattar exempelvis:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>kraven p\u00e5 skydd mot tredjelands lagstiftning som kommer till uttryck i artikel 28.3 a och 32.4 GDPR (<a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-nar-personuppgiftsbitradet-far-avvika-fran-sina-instruktioner\" target=\"_blank\" rel=\"noreferrer noopener\">vilket behandlats ovan<\/a>),<\/li>\n\n\n\n<li>de principer som kommer till uttryck i <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A5\" target=\"_blank\" rel=\"noreferrer noopener\">artikel 5<\/a> GDPR, s\u00e5som kraven p\u00e5 laglighet, korrekthet och \u00f6ppenhet, och<\/li>\n\n\n\n<li>de r\u00e4ttigheter som kommer till uttryck i <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#K3\" target=\"_blank\" rel=\"noreferrer noopener\">kapitel III<\/a> GDPR, l\u00e4sta i ljuset av de grundl\u00e4ggande r\u00e4ttigheter som vi n\u00e4mnde i avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-eu-stadgans-skydd\">EU-stadgans skydd<\/a>.<\/li>\n<\/ul>\n\n\n\n<p>Fr\u00e5gan \u00e4r d\u00e5 vilka garantier, om n\u00e5gra, som amerikanska molntj\u00e4nstleverant\u00f6rer ger till personuppgiftsansvariga verksamheter i detta sammanhang s\u00e5 att de personuppgiftsansvariga kan m\u00f6ta kraven i artikel 28.1 GDPR.<\/p>\n\n\n\n<p>I samtliga fall som vi k\u00e4nner till anger amerikanska molntj\u00e4nstleverant\u00f6rer att de l\u00e4mnar ut personuppgifter enligt tvingande myndighetsbeslut. Eftersom molntj\u00e4nstleverant\u00f6rerna omfattas av amerikansk lag, \u00e4ven n\u00e4r de \u00e4r verksamma i EU, kommer de d\u00e4rmed att f\u00f6lja beslut om att g\u00f6ra personuppgifter i EU tillg\u00e4ngliga f\u00f6r amerikanska myndigheter.<\/p>\n\n\n\n<p>En del molntj\u00e4nstleverant\u00f6rer h\u00e4vdar samtidigt att de har tagit emot f\u00e5 beg\u00e4randen fr\u00e5n amerikanska myndigheter, \u00e5tminstone med grund i vissa r\u00e4ttsregler, kategorier av beg\u00e4randen, kundsegment, tj\u00e4nster eller uppgiftstyper. S\u00e5dana p\u00e5st\u00e5enden kan exempelvis n\u00e4mna antalet utl\u00e4mnanden av \u201dcustomer data\u201d eller <em>\u201d<\/em>content data<em>\u201d<\/em> f\u00f6r ett visst kundsegment. Dessa p\u00e5st\u00e5enden omfattar emellertid inte n\u00f6dv\u00e4ndigtvis utl\u00e4mnanden av metadata, som potentiellt kan vara lika k\u00e4nslig som inneh\u00e5llet i ett dokument eller meddelande.<sup data-fn=\"70f5a850-c0a5-4109-bedf-1f239ac19082\" class=\"fn\"><a id=\"70f5a850-c0a5-4109-bedf-1f239ac19082-link\" href=\"#70f5a850-c0a5-4109-bedf-1f239ac19082\">17<\/a><\/sup><\/p>\n\n\n\n<p>Genom att anv\u00e4nda sig av p\u00e5st\u00e5enden av detta slag f\u00e5r \u00e4nd\u00e5 f\u00f6rmodas att molntj\u00e4nstleverant\u00f6rerna f\u00f6rs\u00f6ker antyda en s\u00e5 l\u00e5g sannolikhet f\u00f6r utl\u00e4mnanden att risken i praktiken borde bortses fr\u00e5n.<\/p>\n\n\n\n<p>Trots det inneb\u00e4r alla villkor fr\u00e5n amerikanska molntj\u00e4nstleverant\u00f6rer som vi har tagit del av att den amerikanska r\u00e4ttsordningen ges f\u00f6retr\u00e4de framf\u00f6r EU:s r\u00e4ttsordning. Amerikanska molntj\u00e4nstleverant\u00f6rer framst\u00e4ller detta som en sj\u00e4lvklarhet, att de som amerikanska bolag givetvis m\u00e5ste verkst\u00e4lla beslut enligt amerikansk jurisdiktion. De f\u00f6rv\u00e4ntar sig d\u00e4rmed med samma sj\u00e4lvklarhet att deras kunder i EU ska ge upp sin egen r\u00e4ttsordnings suver\u00e4nitet till f\u00f6rm\u00e5n f\u00f6r amerikansk.<\/p>\n\n\n\n<p>Om sannolikheten f\u00f6r utl\u00e4mnanden \u00e4r s\u00e5 obetydlig fr\u00e5gar vi oss varf\u00f6r ingen amerikansk molntj\u00e4nstleverant\u00f6r \u00e4r beredd att lova att den kommer att neka varje beg\u00e4ran om utl\u00e4mnande, \u00e5tminstone f\u00f6r vissa kundsegment eller tj\u00e4nstetyper. Av samma sk\u00e4l fr\u00e5gar vi oss varf\u00f6r amerikansk underr\u00e4ttelselagstiftning inte kan begr\u00e4nsas f\u00f6r att utesluta m\u00f6jligheten till s\u00e5dana utl\u00e4mnanden som \u00e4nd\u00e5 inte p\u00e5st\u00e5s ske i verkligheten.<\/p>\n\n\n\n<p>Som vi noterade i avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-organisation-behover-veta-om-det-tredje-adekvansbeslutet\/#h-eu-stadgans-skydd\" target=\"_blank\" rel=\"noreferrer noopener\">EU-stadgans skydd<\/a> finns det ingenting tilltalande med lagstiftning som kan anv\u00e4ndas f\u00f6r omfattande inh\u00e4mtning men som normalt sett inte anv\u00e4nds s\u00e5 brett i praktiken. Genom att lagstiftning som FISA 702 m\u00f6jligg\u00f6r en mer omfattande inh\u00e4mtning \u00e4n vad som \u00e4r motiverad menar vi att lagstiftningen inte m\u00f6jligg\u00f6r ett effektivt skydd mot riskerna f\u00f6r missbruk i enlighet med unionsr\u00e4ttens krav. Vi har i avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-organisation-behover-veta-om-det-tredje-adekvansbeslutet\/#h-exempel-fran-verkligheten-vid-amerikansk-overvakning\">Exempel fr\u00e5n verkligheten vid amerikansk \u00f6vervakning<\/a> inkluderat ett axplock av \u00f6vertramp och bristande r\u00e4ttss\u00e4kerhet vid amerikansk \u00f6vervakning.<\/p>\n\n\n\n<p>En molntj\u00e4nstleverant\u00f6r kan ha sv\u00e5rt att r\u00e5da \u00f6ver antalet beg\u00e4ran om utl\u00e4mnande som den tar emot, oavsett vad antalet varit historiskt. Vi ifr\u00e5gas\u00e4tter d\u00e4rf\u00f6r ocks\u00e5 om statistiken \u00f6ver utl\u00e4mnanden till amerikanska myndigheter ens kan anses vara en del av ett personuppgiftsbitr\u00e4des garantier.<sup data-fn=\"d97a9f93-09e5-4785-b9cb-fea4ac2a56b4\" class=\"fn\"><a id=\"d97a9f93-09e5-4785-b9cb-fea4ac2a56b4-link\" href=\"#d97a9f93-09e5-4785-b9cb-fea4ac2a56b4\">18<\/a><\/sup><\/p>\n\n\n\n<p>Mot ovan bakgrund, s\u00e4rskilt vad g\u00e4ller of\u00f6rm\u00e5gan att uppfylla de krav som f\u00f6ljer av artikel 28.3 a och 32.4 i GDPR, konstaterar vi att amerikanska molntj\u00e4nstleverant\u00f6rer inte ger personuppgiftsansvariga i EU de garantier som personuppgiftsansvariga m\u00e5ste ha enligt artikel 28.1 i GDPR.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-eu-domstolspraxis-och-synen-pa-risk\">EU-domstolspraxis och synen p\u00e5 risk<\/h4>\n\n\n\n<p>Vi har dessutom noterat EU-domstolens syn p\u00e5 vad som kr\u00e4vs f\u00f6r att s\u00e4kerst\u00e4lla unionsr\u00e4ttens skyddsniv\u00e5 \u2013 och vad som \u00e4r tillr\u00e4ckligt f\u00f6r att undergr\u00e4va den. Vi menar att EU-domstolen inte tycks ge n\u00e5got egentligt utrymme att bed\u00f6ma sannolikheten f\u00f6r utl\u00e4mnanden till tredjelands myndigheter eller att beakta vilka typer av personuppgifter som kan komma att l\u00e4mnas ut.<\/p>\n\n\n\n<p>I ett m\u00e5l om tredjelands\u00f6verf\u00f6ringar angav EU-domstolen att ett effektivt skydd f\u00f6r personuppgifter inte kan s\u00e4kerst\u00e4llas n\u00e4r <em>lagstiftningen <\/em>i tredjeland <em>till\u00e5ter <\/em>tredjelandets myndigheter att g\u00f6ra ingrepp i personers r\u00e4ttigheter.<sup data-fn=\"5b570239-ebb4-4091-a9e7-509dcd1f3e8a\" class=\"fn\"><a id=\"5b570239-ebb4-4091-a9e7-509dcd1f3e8a-link\" href=\"#5b570239-ebb4-4091-a9e7-509dcd1f3e8a\">19<\/a><\/sup><\/p>\n\n\n\n<p>EU-domstolen angav likas\u00e5 att en tredjelands\u00f6verf\u00f6ring m\u00e5ste avbrytas redan n\u00e4r <em>lagstiftningen <\/em>i tredjelandet \u00e5l\u00e4gger skyldigheter f\u00f6r mottagaren av personuppgifterna, om skyldigheterna <em>kan<\/em> \u00e4ventyra det unionsr\u00e4ttsliga skydd som ska s\u00e4kerst\u00e4llas.<sup data-fn=\"8163cd48-1f91-456d-ac36-b50526458113\" class=\"fn\"><a id=\"8163cd48-1f91-456d-ac36-b50526458113-link\" href=\"#8163cd48-1f91-456d-ac36-b50526458113\">20<\/a><\/sup> Oavsett vad det i praktiken inneb\u00e4r att uppn\u00e5 ett adekvat skydd enligt unionsr\u00e4tten, s\u00e5 \u00e4r den avg\u00f6rande fr\u00e5gan d\u00e4rmed om tredjelands lagstiftning omfattar mottagaren (t.ex. en molntj\u00e4nstleverant\u00f6r), och d\u00e4rigenom medf\u00f6r skyldigheter som <em>kan<\/em> \u00e4ventyra unionsr\u00e4ttens skyddsniv\u00e5.<sup data-fn=\"be8166d6-679b-4250-b7fb-17bb17696212\" class=\"fn\"><a id=\"be8166d6-679b-4250-b7fb-17bb17696212-link\" href=\"#be8166d6-679b-4250-b7fb-17bb17696212\">21<\/a><\/sup><\/p>\n\n\n\n<p>EU-domstolen har angett att utl\u00e4mnande av personuppgifter till en myndighet utg\u00f6r ett ingrepp i grundl\u00e4ggande r\u00e4ttigheter oavsett hur uppgifterna anv\u00e4nds. Det f\u00f6rh\u00e5ller sig p\u00e5 samma s\u00e4tt med personuppgifter som lagras i syfte att myndigheter ska anv\u00e4nda sig av dem. EU-domstolen har vidare angett att det i sammanhanget saknar betydelse om uppgifterna som avser privatlivet \u00e4r av k\u00e4nslig art eller om ber\u00f6rda personer har f\u00e5tt utst\u00e5 eventuella ol\u00e4genheter.<sup data-fn=\"9ab28efe-b02d-41e5-97bc-c3439dbebc79\" class=\"fn\"><a id=\"9ab28efe-b02d-41e5-97bc-c3439dbebc79-link\" href=\"#9ab28efe-b02d-41e5-97bc-c3439dbebc79\">22<\/a><\/sup><\/p>\n\n\n\n<p>EU-domstolen har inte angett att \u00e4ventyrandet av skyddsniv\u00e5n f\u00f6ruts\u00e4tter att det har skett ett faktiskt utl\u00e4mnande till amerikanska myndigheter eller ens att det \u00e4r sannolikt. De avg\u00f6rande faktorerna \u00e4r <em>vad tredjelands lagstiftning till\u00e5ter och kan anv\u00e4ndas f\u00f6r.<\/em> EU-domstolen tycks h\u00e4r inte g\u00f6ra n\u00e5gon sannolikhetsbed\u00f6mning, tar inte h\u00e4nsyn till om uppgifter som r\u00f6r privatlivet \u00e4r k\u00e4nsliga och v\u00e4ger inte in om personer p\u00e5 n\u00e5got s\u00e4tt f\u00e5r utst\u00e5 n\u00e5gon ol\u00e4genhet p\u00e5 grund av att uppgifter l\u00e4mnas ut.<\/p>\n\n\n\n<p>Detta framst\u00e5r ocks\u00e5 som konsekvent med EU-domstolens dom fr\u00e5n \u00e5r 2014 som ogiltigf\u00f6rklarade EU:s datalagringsdirektiv.<sup data-fn=\"076f371b-dd99-40f3-8a08-218c02808d05\" class=\"fn\"><a id=\"076f371b-dd99-40f3-8a08-218c02808d05-link\" href=\"#076f371b-dd99-40f3-8a08-218c02808d05\">23<\/a><\/sup> Direktivet tvingade telekombolag att lagra trafikdata om telefonsamtal och internetanv\u00e4ndning, men inte inneh\u00e5llet i kommunikationerna. Det f\u00e5r f\u00f6rmodas att endast en mycket liten andel av dessa uppgifter skulle vara intressanta f\u00f6r brottsbek\u00e4mpande och andra myndigheter. Man b\u00f6r d\u00e4rf\u00f6r kunna anta att sannolikheten skulle vara l\u00e5g att en enskild persons uppgifter skulle l\u00e4mnas ut. \u00c4nd\u00e5 ogiltigf\u00f6rklarade EU-domstolen hela direktivet &#8211; det var ett alltf\u00f6r stort hot mot v\u00e5ra grundl\u00e4ggande r\u00e4ttigheter till privatliv och dataskydd. N\u00e4r l\u00e5ngt fler uppgifter \u00e4n n\u00f6dv\u00e4ndigt ska lagras, n\u00e4r det inte \u00e4r tillr\u00e4ckligt tydligt under vilka omst\u00e4ndigheter uppgifterna kan l\u00e4mnas ut och n\u00e4r utl\u00e4mnanden kan ske i hemlighet, s\u00e5 sv\u00e4var vi i ovisshet. EU-domstolen ans\u00e5g att \u201dden omst\u00e4ndigheten att lagringen av uppgifterna och den senare anv\u00e4ndningen av dem sker utan att abonnenten eller den registrerade anv\u00e4ndaren \u00e4r underr\u00e4ttad om detta [kan] ge de ber\u00f6rda personerna en k\u00e4nsla av att deras privatliv st\u00e5r under st\u00e4ndig \u00f6vervakning.\u201d<sup data-fn=\"e694d3e8-1bfd-44f7-99ad-ef19b398b0e4\" class=\"fn\"><a id=\"e694d3e8-1bfd-44f7-99ad-ef19b398b0e4-link\" href=\"#e694d3e8-1bfd-44f7-99ad-ef19b398b0e4\">24<\/a><\/sup><\/p>\n\n\n\n<p>Idag behandlas lejonparten av v\u00e5ra kommunikationer, digitala f\u00f6rehavanden och stora m\u00e4ngder metadata, inklusive platsdata, av tre molntj\u00e4nstleverant\u00f6rer som alla omfattas av samma tvingande amerikanska \u00f6vervakningslagstiftning, FISA 702.<\/p>\n\n\n\n<p>Vi bed\u00f6mer att EU-domstolens syn i n\u00e4mnda r\u00e4ttsfall understryker vad som kr\u00e4vs f\u00f6r att s\u00e4kerst\u00e4lla unionsr\u00e4ttens skyddsniv\u00e5 vid personuppgiftsbehandling inom EU &#8211; och framf\u00f6r allt, vad som \u00e4r tillr\u00e4ckligt f\u00f6r att undergr\u00e4va den.<\/p>\n\n\n\n<p>En bed\u00f6mning av en tredjelands\u00f6verf\u00f6rings skyddsniv\u00e5 g\u00f6rs n\u00e4mligen genom en j\u00e4mf\u00f6relse med skyddsniv\u00e5n inom EU. Det \u00e4r skyddsniv\u00e5n inom EU som en tredjelands\u00f6verf\u00f6ring ska vara minst v\u00e4sentligen likv\u00e4rdig med. Som framg\u00e5r av artikel 44: \u201dAlla best\u00e4mmelser i [kapitel V] ska till\u00e4mpas f\u00f6r att s\u00e4kerst\u00e4lla att den niv\u00e5 p\u00e5 skyddet av fysiska personer <span style=\"text-decoration: underline\">som s\u00e4kerst\u00e4lls genom denna f\u00f6rordning inte undergr\u00e4vs<\/span>\u201d (Cleuras understrykning). Det \u00e4r vad det inneb\u00e4r att skyddet f\u00f6r personuppgifterna f\u00f6ljer uppgifterna <em>fr\u00e5n EU <\/em>till tredjeland.<\/p>\n\n\n\n<p>Skyddsniv\u00e5n vid en tredjelands\u00f6verf\u00f6ring beh\u00f6ver endast vara <em>v\u00e4sentligen likv\u00e4rdig <\/em>den inom EU. Det talar om n\u00e5got f\u00f6r ett utrymme f\u00f6r en <em>n\u00e5got l\u00e4gre <\/em>skyddsniv\u00e5 vid en tredjelands\u00f6verf\u00f6ring \u00e4n vid personuppgiftsbehandling inom EU. Det betyder att motsatt f\u00f6rh\u00e5llande inte kan vara m\u00f6jligt. Personuppgiftsbehandling i EU kan inte omg\u00e4rdas av en l\u00e4gre skyddsniv\u00e5 \u00e4n vid en tredjelands\u00f6verf\u00f6ring.<\/p>\n\n\n\n<p>Det skulle dessutom framst\u00e5 som oproportionerligt att kr\u00e4va en \u00e4nnu h\u00f6gre skyddsniv\u00e5 vid tredjelands\u00f6verf\u00f6ringar \u00e4n den redan h\u00f6ga skyddsniv\u00e5 som g\u00e4ller inom EU. Det skulle ocks\u00e5 motverka syftet med att underl\u00e4tta internationell handel och samarbete, som anges i <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/beaktandesatser\/\" target=\"_blank\" rel=\"noreferrer noopener\">sk\u00e4l<\/a> 101 i GDPR.<\/p>\n\n\n\n<p>Det inneb\u00e4r att skyddsniv\u00e5n som kr\u00e4vs enligt artikel 24, 28, 32 och s\u00e5 vidare, vid personuppgiftsbehandling inom EU, m\u00e5ste tolkas som minst lika h\u00f6g som den skyddsniv\u00e5 som kr\u00e4vs vid en tredjelands\u00f6verf\u00f6ring.<\/p>\n\n\n\n<p>N\u00e4r EU-domstolen bed\u00f6mer att en tredjelands\u00f6verf\u00f6ring inte \u00e4r till\u00e5ten redan n\u00e4r <em>lagstiftningen <\/em>i tredjeland <em>till\u00e5ter <\/em>tredjelandets myndigheter att g\u00f6ra ingrepp i personers unionsr\u00e4ttsliga r\u00e4ttigheter, samt att en tredjelands\u00f6verf\u00f6ring m\u00e5ste avbrytas redan n\u00e4r <em>lagstiftningen <\/em>i tredjelandet f\u00f6reskriver skyldigheter som <em>kan \u00e4ventyra<\/em> det unionsr\u00e4ttsliga skyddet, blir f\u00f6ljden att ribban f\u00f6r att s\u00e4kerst\u00e4lla unionsr\u00e4ttens skydd vid personuppgiftsbehandling <em>inom EU <\/em>m\u00e5ste vara i vart fall <em>minst lika h\u00f6g<\/em>.<\/p>\n\n\n\n<p>Slutsatsen av detta blir att unionsr\u00e4ttens skyddsniv\u00e5 vid personuppgiftsbehandling inom EU, inbegripet enligt artikel 24, 28 och 32 i GDPR, inte kan s\u00e4kerst\u00e4llas n\u00e4r amerikansk lagstiftning f\u00f6reskriver skyldigheter gentemot en molntj\u00e4nstleverant\u00f6r som <em>till\u00e5ter <\/em>amerikanska myndigheter att g\u00f6ra ingrepp i personers r\u00e4ttigheter eller som <em>kan <\/em>\u00e4ventyra unionsr\u00e4ttens skydd. S\u00e5 \u00e4r fortfarande fallet, oavsett adekvansbeslutet, n\u00e4r FISA 702 omfattar amerikanska molntj\u00e4nstleverant\u00f6rer och amerikanska myndigheter d\u00e4rmed kan tvinga en s\u00e5dan molntj\u00e4nstleverant\u00f6r att ge tillg\u00e5ng till personuppgifter som molntj\u00e4nstleverant\u00f6ren behandlar i EU.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-sammanfattande-slutsatser\">Sammanfattande slutsatser<\/h4>\n\n\n\n<p>Mot ovan bakgrund ser vi inte hur en amerikansk molntj\u00e4nstleverant\u00f6r kan anses ha vidtagit \u00e5tg\u00e4rder som \u00e4r tillr\u00e4ckliga f\u00f6r att uppfylla kraven i GDPR och s\u00e4kerst\u00e4lla att individers r\u00e4ttigheter skyddas, n\u00e4r molntj\u00e4nstleverant\u00f6rens besked inneb\u00e4r att:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Molntj\u00e4nstleverant\u00f6ren omfattas av amerikansk \u00f6vervakningslagstiftning, samt har klargjort att den till\u00e5ter sig att l\u00e4mna ut personuppgifter i EU till amerikanska myndigheter enligt s\u00e5dan lagstiftning.<\/li>\n\n\n\n<li>Molntj\u00e4nstleverant\u00f6ren till\u00e5ter sig att i strid med kraven p\u00e5 personuppgiftsbitr\u00e4desavtal enligt artikel 28.3 a GDPR \u00e5sidos\u00e4tta den personuppgiftsansvariges instruktioner samt i strid med kraven p\u00e5 s\u00e4kerhet enligt artikel 32.4 i GDPR l\u00e5ta sin personal g\u00f6ra detsamma, f\u00f6r att l\u00e4mna ut personuppgifter i EU till amerikanska myndigheter utan st\u00f6d i unionsr\u00e4tten eller en medlemsstats nationella r\u00e4tt.<\/li>\n\n\n\n<li>Molntj\u00e4nstleverant\u00f6ren till\u00e5ter sig att i strid med artikel 6.1 c och 6.3 i GDPR l\u00e4mna ut personuppgifter i EU till amerikanska myndigheter utan en korrekt r\u00e4ttslig grund i form av en r\u00e4ttslig f\u00f6rpliktelse i unionsr\u00e4tten eller en medlemsstats nationella r\u00e4tt.<\/li>\n\n\n\n<li>Molntj\u00e4nstleverant\u00f6ren till\u00e5ter sig att i strid med artikel 48 i GDPR l\u00e4mna ut personuppgifter i EU till amerikanska myndigheter utan st\u00f6d i en internationell \u00f6verenskommelse och utan att kunna anv\u00e4nda ett undantag f\u00f6r s\u00e4rskilda situationer.<\/li>\n<\/ul>\n\n\n\n<p>Vad amerikanska molntj\u00e4nstleverant\u00f6rer faktiskt garanterar \u00e4r d\u00e4rmed att de vidtar \u00e5tg\u00e4rder som s\u00e4kerst\u00e4ller att de <em>inte <\/em>uppfyller kraven i GDPR. Vi bed\u00f6mer att s\u00e5dana molntj\u00e4nstleverant\u00f6rer inte ger de garantier som kr\u00e4vs f\u00f6r att anlitas som personuppgiftsbitr\u00e4den enligt artikel 28.1 i GDPR.<\/p>\n\n\n\n<div style=\"height:10px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-executive-order-14086-och-data-protection-review-court\">Executive Order 14086 och Data Protection Review Court<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-nar-data-privacy-framework-och-adekvansbeslutet-spelar-roll-och-nar-de-inte-gor-det\">N\u00e4r Data Privacy Framework och adekvansbeslutet spelar roll \u2013 och n\u00e4r de inte g\u00f6r det<\/h3>\n\n\n\n<p>Som vi tidigare noterat f\u00f6rbjuder GDPR amerikanska molntj\u00e4nstleverant\u00f6rer att \u00f6verf\u00f6ra personuppgifter fr\u00e5n EU till amerikanska underr\u00e4ttelsemyndigheter utan en grund i unionsr\u00e4tten eller en EU-medlemsstats nationella r\u00e4tt. Faktum \u00e4r att amerikanska molntj\u00e4nstleverant\u00f6rer \u00e4r skyldiga att <em>vidta \u00e5tg\u00e4rder f\u00f6r att s\u00e4kerst\u00e4lla<\/em> att s\u00e5dana \u00f6verf\u00f6ringar inte sker. Det f\u00f6ljer av artikel <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A28\" target=\"_blank\" rel=\"noreferrer noopener\">28.3<\/a> a och <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/introduktion-till-gdpr\/dataskyddsforordningen-i-fulltext\/#A32\" target=\"_blank\" rel=\"noreferrer noopener\">32.4<\/a> GDPR.<\/p>\n\n\n\n<p>Dessa regler i GDPR g\u00e4ller oavsett om mottagarlandets lagar uppfyller krav p\u00e5 r\u00e4ttss\u00e4kerhet. F\u00f6r att <em>lagligen<\/em> \u00f6verf\u00f6ra personuppgifter fr\u00e5n EU till amerikanska underr\u00e4ttelsemyndigheter skulle molntj\u00e4nstleverant\u00f6rerna beh\u00f6va f\u00f6rlita sig p\u00e5 en grund i unionsr\u00e4tten eller en EU-medlemsstats nationella r\u00e4tt. Adekvansbeslutet som grundar sig p\u00e5 Data Privacy Framework <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-adekvansbeslutet-mojliggor-inte-tredjelandsoverforingar-till-amerikanska-underrattelsemyndigheter\">\u00e4r inte en s\u00e5dan grund<\/a> som m\u00f6jligg\u00f6r tredjelands\u00f6verf\u00f6ringar fr\u00e5n EU till amerikanska underr\u00e4ttelsemyndigheter.<\/p>\n\n\n\n<p>Trots det uppger amerikanska molntj\u00e4nstleverant\u00f6rer att de \u00e4nd\u00e5 kommer att l\u00e4mna ut personuppgifter till amerikanska underr\u00e4ttelsemyndigheter n\u00e4r de \u00e4r tvungna till det enligt amerikansk r\u00e4tt. Vi menar d\u00e4rf\u00f6r att dessa leverant\u00f6rer inte ger personuppgiftsansvariga de garantier som kr\u00e4vs f\u00f6r att anlitas som personuppgiftsbitr\u00e4den enligt GDPR. Sk\u00e4len f\u00f6r den slutsatsen utvecklas i avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-organisation-behover-veta-om-det-tredje-adekvansbeslutet\/#h-gdpr-s-skydd-mot-atkomst-fran-tredjeland\">GDPR:s skydd mot \u00e5tkomst fr\u00e5n tredjeland<\/a>.<\/p>\n\n\n\n<p>Situationen \u00e4r en annan n\u00e4r en personuppgiftsansvarig i EU <em>avsiktligen<\/em> vill \u00f6verf\u00f6ra personuppgifter till ett tredjeland s\u00e5som USA. Det kan exempelvis ske n\u00e4r en personuppgiftsansvarig i EU vill \u00f6verf\u00f6ra personuppgifter till en molntj\u00e4nstleverant\u00f6r i USA f\u00f6r vidare behandling p\u00e5 molntj\u00e4nstleverant\u00f6rens servrar d\u00e4r. Ett annat exempel kan vara n\u00e4r en personuppgiftsansvarig verksamhet i EU ger en molntj\u00e4nstleverant\u00f6rs supportpersonal i USA tillg\u00e5ng till personuppgifter som lagras i EU.<\/p>\n\n\n\n<p>S\u00e5dana \u00f6verf\u00f6ringar kan f\u00f6rlita sig p\u00e5 adekvansbeslutet, givet att molntj\u00e4nstleverant\u00f6ren \u00e4r sj\u00e4lvcertifierad enligt Data Privacy Framework. I det scenariot kvarst\u00e5r emellertid fr\u00e5gan om adekvansbeslutet g\u00e5r att r\u00e4kna med i framtiden eller om det riskerar att ogiltigf\u00f6rklaras, likt de tidigare tv\u00e5 adekvansbesluten som skulle m\u00f6jligg\u00f6ra \u00f6verf\u00f6ringar till sj\u00e4lvcertifierade mottagare i USA.<\/p>\n\n\n\n<p>Vi ska d\u00e4rf\u00f6r g\u00e5 igenom n\u00e5gra av f\u00f6r\u00e4ndringarna p\u00e5 den amerikanska sidan som det tredje adekvansbeslutet f\u00f6rlitar sig p\u00e5. Syftet \u00e4r att ge en b\u00e4ttre bild av sannolikheten att EU-domstolen ogiltigf\u00f6rklarar adekvansbeslutet samt en f\u00f6rst\u00e5else f\u00f6r de delar av amerikansk r\u00e4tt som \u00e4nnu brister i f\u00f6rh\u00e5llande till unionsr\u00e4tten.<\/p>\n\n\n\n<p>Den h\u00e4r bed\u00f6mningen adekvansbeslutets \u00f6verlevnad \u00e4r fr\u00e4mst relevant f\u00f6r verksamheter som \u00f6verv\u00e4ger tredjelands\u00f6verf\u00f6ringar fr\u00e5n EU till sj\u00e4lvcertifierade mottagare i USA, inklusive genom att ge supportpersonal i USA tillg\u00e5ng till personuppgifter som lagras i EU. Bed\u00f6mningen av adekvansbeslutet \u00e4r mindre relevant f\u00f6r verksamheter som endast ska behandla personuppgifter i EU \u2013 f\u00f6r s\u00e5dana verksamheter \u00e4r d\u00e4remot <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-adekvansbeslutet-mojliggor-inte-tredjelandsoverforingar-till-amerikanska-underrattelsemyndigheter\">denna rapports tidigare kapitel<\/a> h\u00f6gst relevanta.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-vad-som-har-forandrats-sedan-schrems-ii\">Vad som har f\u00f6r\u00e4ndrats sedan Schrems II<\/h3>\n\n\n\n<p>F\u00f6r att v\u00e4rdera amerikansk r\u00e4tt b\u00f6rjar vi med EU-domstolens bed\u00f6mning i Schrems II och j\u00e4mf\u00f6r sedan med n\u00e5gra f\u00f6r\u00e4ndringar som skett sedan dess.<\/p>\n\n\n\n<p>I Schrems II angav EU-domstolen att amerikanska \u00f6vervakningsprogram som grundar sig p\u00e5 FISA 702, Executive Order 12333 och Presidential Policy Directive 28 inte motsvarar de minimikrav som unionsr\u00e4tten kr\u00e4ver enligt proportionalitetsprincipen som stadf\u00e4sts i <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/SV\/TXT\/?uri=CELEX:12012P\/TXT\">EU-stadgan om de grundl\u00e4ggande r\u00e4ttigheterna<\/a>. Det inneb\u00e4r att \u00f6vervakningsprogrammen som grundas p\u00e5 dessa best\u00e4mmelser inte kan anses vara begr\u00e4nsade till vad som \u00e4r strikt n\u00f6dv\u00e4ndigt.<\/p>\n\n\n\n<p>EU-domstolen konstaterade dessutom att \u00f6vervakningsprogrammen inte ger personer r\u00e4ttigheter som kan g\u00f6ras g\u00e4llande mot amerikanska myndigheter i domstol, vilket inneb\u00e4r att personerna inte har r\u00e4tt till ett effektivt r\u00e4ttsmedel. Det \u00e4r ocks\u00e5 ett krav enligt EU:s stadga med grundl\u00e4ggande r\u00e4ttigheter.<\/p>\n\n\n\n<p>USA har d\u00e4refter i huvudsak gjort tv\u00e5 f\u00f6r\u00e4ndringar som EU-kommissionen h\u00e4nvisat till f\u00f6r att fatta adekvansbeslutet fr\u00e5n juli 2023. Vi ska d\u00e4rf\u00f6r titta n\u00e4rmare p\u00e5 n\u00e5gra relevanta delar av dessa f\u00f6r\u00e4ndringar f\u00f6r att se om de g\u00f6r n\u00e5gon betydelsefull skillnad.<\/p>\n\n\n\n<p>F\u00f6r det f\u00f6rsta utf\u00e4rdade USA:s president Executive Order 14086 med regler f\u00f6r signalspaning (EO 14086), vilka har implementerats av underr\u00e4ttelsetj\u00e4nsterna. F\u00f6r det andra anger EO 14086 att USA:s justitieminister ska utf\u00e4rda best\u00e4mmelser som inr\u00e4ttar en pr\u00f6vningsinstans kallad Data Protection Review Court (DPRC-best\u00e4mmelserna).<\/p>\n\n\n\n<p>Fr\u00e5gan \u00e4r d\u00e5 om EO 14086 och DPRC-best\u00e4mmelserna \u00e5tg\u00e4rdar de brister som EU-domstolen identifierade i Schrems II. Andra akt\u00f6rer har gjort djupg\u00e5ende analyser av detta.<sup data-fn=\"6f7d2cc2-0f31-4c45-8702-5e3b24227864\" class=\"fn\"><a id=\"6f7d2cc2-0f31-4c45-8702-5e3b24227864-link\" href=\"#6f7d2cc2-0f31-4c45-8702-5e3b24227864\">25<\/a><\/sup> I korthet bed\u00f6mer vi att EO 14086 och DPRC-best\u00e4mmelserna \u00e4r problematiska i f\u00f6rh\u00e5llande till unionsr\u00e4tten. I f\u00f6ljande avsnitt g\u00e5r vi n\u00e4rmare in p\u00e5 sk\u00e4len f\u00f6r den slutsatsen. Redog\u00f6relsen g\u00f6r inte anspr\u00e5k p\u00e5 att vara fullst\u00e4ndig.<\/p>\n\n\n\n<p>F\u00f6r en \u00f6versiktlig bild av n\u00e5gra skillnader mellan hur \u00f6vervakning och grundl\u00e4ggande r\u00e4ttigheter regleras i USA och p\u00e5 europeisk niv\u00e5, se rapporten <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/amerikansk-vs-europeisk-overvakning-analys-av-skillnader-i-rattighetsskyddet-vid-anvandning-av-molntjanster\/\" target=\"_blank\" rel=\"noreferrer noopener\">Amerikansk vs europeisk \u00f6vervakning: Analys av skillnader i r\u00e4ttighetsskyddet vid anv\u00e4ndning av molntj\u00e4nster<\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-latombe-v-commission\">Latombe v Commission<\/h3>\n\n\n\n<p>Den 3 september 2025 kom ett avg\u00f6rande fr\u00e5n <a href=\"https:\/\/curia.europa.eu\/jcms\/jcms\/Jo2_7033\/sv\/\" target=\"_blank\" rel=\"noreferrer noopener\">tribunalen<\/a>, EU:s <em>General Court<\/em>, i m\u00e5l T-553\/23, Latombe v Commission. M\u00e5let drevs av fransmannen Philippe Latombe, f\u00f6r att f\u00e5 EU-kommissionens adekvansbeslut ogiltigf\u00f6rklarat. Tribunalen ogiltigf\u00f6rklarade inte adekvansbeslutet.<\/p>\n\n\n\n<p>Tribunalen \u00e4r den l\u00e4gre instansen i EU:s domstolssystem. Tribunalen \u00e4r allts\u00e5 inte samma domstol som den h\u00f6gre instans som ofta ben\u00e4mns EU-domstolen eller <em>Court of Justice<\/em>, och som avgjorde m\u00e5len Schrems I och Schrems II.<\/p>\n\n\n\n<p>Baserat p\u00e5 ett <a href=\"https:\/\/curia.europa.eu\/jcms\/jcms\/p1_5126472\/en\/\" target=\"_blank\" rel=\"noreferrer noopener\">officiellt pressmeddelande<\/a> som redog\u00f6r f\u00f6r Tribunalens dom, noterar vi f\u00f6ljande.<\/p>\n\n\n\n<p>Tribunalen har endast utg\u00e5tt ifr\u00e5n situationen vid tidpunkten n\u00e4r EU-kommissionen fattade adekvansbeslutet. Tribunalen har d\u00e4rmed inte tagit h\u00e4nsyn till den utveckling som skett i USA sedan dess, inbegripet de <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/perspektiv\/trump-rattsstaten-och-adekvansbeslutet\/\" target=\"_blank\" rel=\"noreferrer noopener\">attacker mot r\u00e4ttsstaten<\/a> som skett och som fortfarande p\u00e5g\u00e5r.<\/p>\n\n\n\n<p>Tribunalen tycks inte ha bed\u00f6mt, och det \u00e4r oklart om Latombe ens lyfte argumentet, att amerikansk underr\u00e4ttelselagstiftning i sig \u00e4r alltf\u00f6r vag, och d\u00e4rmed inte uppfyller de krav som EU-domstolen slog fast i Schrems II p. 180. Detta oavsett fr\u00e5gan om bulkinsamling av data kr\u00e4ver f\u00f6rhandsgodk\u00e4nnande av en oberoende myndighet.<\/p>\n\n\n\n<p>Tribunalen tycks inte heller ha \u00f6verv\u00e4gt vilken makt USA:s president har att avs\u00e4tta ledam\u00f6terna i DPRC, eller uts\u00e4tta dem f\u00f6r repressalier. Tribunalen tycks ha stannat vid en analys av de regler som begr\u00e4nsar USA:s justitieministers agerande, trots att presidenten \u00e4r den som ytterst ut\u00f6var den exekutiva makten i USA.<\/p>\n\n\n\n<p>Vi f\u00f6rmodar att domen kan \u00f6verklagas. Om s\u00e5 sker skulle m\u00e5let pr\u00f6vas av samma instans som avgjorde Schrems I och Schrems II, det vill s\u00e4ga EU-domstolens h\u00f6gsta instans.<\/p>\n\n\n\n<p>Mot ovan bakgrund f\u00e4ster vi begr\u00e4nsad vikt vid Tribunalens avg\u00f6rande n\u00e4r det g\u00e4ller fr\u00e5gan om adekvansbeslutet r\u00e4ttsligt n\u00e5r upp till unionsr\u00e4ttens krav.<\/p>\n\n\n\n<p>Noyb <a href=\"https:\/\/noyb.eu\/en\/eu-us-data-transfers-first-reaction-latombe-case\">har kommenterat<\/a> tribunalens dom och beskriver den som ett stort avsteg fr\u00e5n EU-domstolens r\u00e4ttspraxis.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-executive-order-14086\">Executive Order 14086<\/h3>\n\n\n\n<p>Den f\u00f6rsta f\u00f6r\u00e4ndringen som EU-kommissionen f\u00f6rlitar sig p\u00e5 i sitt adekvansbeslut \u00e4r Executive Order 14086 (EO 14086).<sup data-fn=\"2e0ff281-16bf-4fdb-b563-35090355e681\" class=\"fn\"><a id=\"2e0ff281-16bf-4fdb-b563-35090355e681-link\" href=\"#2e0ff281-16bf-4fdb-b563-35090355e681\">26<\/a><\/sup> Det \u00e4r ett presidentdekret med regler f\u00f6r signalspaning som ska ha implementerats av amerikanska underr\u00e4ttelsetj\u00e4nster.<\/p>\n\n\n\n<p><em>F\u00f6r det f\u00f6rsta <\/em>ifr\u00e5gas\u00e4tter vi av tv\u00e5 sk\u00e4l om EO 14086 kan uppfylla EU-stadgans krav p\u00e5 att r\u00e4ttighetsbegr\u00e4nsningar ska framg\u00e5 i lag.<\/p>\n\n\n\n<p>Dels koncentrerar en exekutiv order makten till en person, presidenten, som n\u00e4r som helst kan \u00e4ndra eller upph\u00e4va en exekutiv order. Presidenten kan dessutom uppdatera delar av EO 14086 i hemlighet utifr\u00e5n en bed\u00f6mning presidenten sj\u00e4lv r\u00e5der \u00f6ver, se sektion 2(b)(i)(B) och sektion 2(c)(ii)(C). Ett s\u00e5dant uppl\u00e4gg k\u00e4nnetecknar enligt v\u00e5r mening inte \u201dlag\u201d. Ut\u00f6ver detta \u00e4r en exekutiv order i vart fall inte <em>lagstiftning<\/em>, samtidigt som EU-domstolen talar i termer av krav som st\u00e4lls p\u00e5 just lagstiftning (\u201dlegislation\u201d).<sup data-fn=\"dc4810e9-1eb0-426d-a3ed-a6a4ce5e151b\" class=\"fn\"><a id=\"dc4810e9-1eb0-426d-a3ed-a6a4ce5e151b-link\" href=\"#dc4810e9-1eb0-426d-a3ed-a6a4ce5e151b\">27<\/a><\/sup><\/p>\n\n\n\n<p>\u00d6vervakning inneb\u00e4r en inskr\u00e4nking av grundl\u00e4ggande r\u00e4ttigheter. EU-domstolen slagit fast att \u201dden r\u00e4ttsliga grund som g\u00f6r ingreppet i r\u00e4ttigheterna m\u00f6jligt <span style=\"text-decoration: underline\">i sig ska definiera r\u00e4ckvidden av begr\u00e4nsningen<\/span> i ut\u00f6vandet av den aktuella r\u00e4ttigheten\u201d (Cleuras understrykning). EU-domstolen anger att detta \u00e4r en f\u00f6ruts\u00e4ttning f\u00f6r att uppfylla EU-stadgans krav p\u00e5 proportionalitet.<sup data-fn=\"edde6a11-1b0d-49a0-8979-15ee32287e9a\" class=\"fn\"><a id=\"edde6a11-1b0d-49a0-8979-15ee32287e9a-link\" href=\"#edde6a11-1b0d-49a0-8979-15ee32287e9a\">28<\/a><\/sup> Som vi f\u00f6rst\u00e5r det \u00e4r FISA 702 lagstiftning som m\u00f6jligg\u00f6r \u00f6vervakning \u00e4ven om EO 14086 inte hade existerat. \u00d6vervakning med st\u00f6d av FISA 702 inneb\u00e4r ett ingrepp i personers r\u00e4tt till privatliv och skydd f\u00f6r personuppgifter, vilket \u00e4r grundl\u00e4ggande r\u00e4ttigheter. EU-domstolen har slagit fast att FISA 702 inte uppfyller EU-stadgans krav p\u00e5 proportionalitet.<sup data-fn=\"637db5c1-4f66-4fa0-80c6-3a0a0c15d741\" class=\"fn\"><a id=\"637db5c1-4f66-4fa0-80c6-3a0a0c15d741-link\" href=\"#637db5c1-4f66-4fa0-80c6-3a0a0c15d741\">29<\/a><\/sup> F\u00f6r att \u00e5tg\u00e4rda detta synes det d\u00e4rf\u00f6r beh\u00f6vas n\u00e5gon form av \u00e4ndring av FISA 702 s\u00e5 att FISA 702 <em>i sig <\/em>definierar r\u00e4ckvidd och omfattning p\u00e5 de r\u00e4ttighetsbegr\u00e4nsningar av grundl\u00e4ggande r\u00e4ttigheter. N\u00e5gon s\u00e5dan \u00e4ndring har emellertid inte skett. Ist\u00e4llet har EO 14086 inf\u00f6rts med f\u00f6rh\u00e5llningsregler f\u00f6r signalspaningen. Vi menar att EO 14086 inte ens tycks vara kapabel att kompensera f\u00f6r bristen p\u00e5 proportionalitet i FISA 702 eftersom EO 14086 inte \u00e4r den r\u00e4ttsliga grund som FISA 702 \u00e4r.<\/p>\n\n\n\n<p><em>F\u00f6r det andra <\/em>ifr\u00e5gas\u00e4tter vi \u2013 oavsett bed\u00f6mning i den f\u00f6rsta fr\u00e5gan \u2013 om skrivningarna i EO 14086 materiellt uppfyller kraven p\u00e5 tydlighet och precision utifr\u00e5n EU-stadgans krav p\u00e5 proportionalitet (se avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-organisation-behover-veta-om-det-tredje-adekvansbeslutet\/#h-eu-stadgans-skydd\" target=\"_blank\" rel=\"noreferrer noopener\">EU-stadgans skydd<\/a>). Begreppen n\u00f6dv\u00e4ndig och proportionerlig (\u201dnecessary\u201d och \u201dproportionate\u201d) n\u00e4mns i EO 14086, men det \u00e4r sparsamt med f\u00f6rklaringar av vad begreppen inneb\u00e4r konkret. Skrivningarna \u00e4r ocks\u00e5 vaga om n\u00e4r alternativ till signalspaning ska prioriteras. S\u00e5 ska ske n\u00e4r alternativen \u00e4r \u201dtillg\u00e4ngliga, g\u00f6rliga, och l\u00e4mpliga\u201d (\u201davailable, feasible, and appropriate\u201d).<\/p>\n\n\n\n<p>Begreppen \u201dnecessary\u201d och \u201dproportionate\u201d i EO 14086 kan vid en f\u00f6rsta anblick se ut att anknyta till unionsr\u00e4ttsliga koncept, i synnerhet eftersom begreppen \u00e4r centrala i EU-domstolens tolkning av EU-stadgan i Schrems II. Dessutom anger EO 14086 flera f\u00f6rh\u00e5llningsregler avseende \u201dpersonal information\u201d, som \u00e4r ett annat begrepp \u00e4n unionsr\u00e4ttens <em>personal data<\/em>. Avsikten verkar vara att inget av dessa begrepp ska tolkas i linje med unionsr\u00e4tten. DPRC, som ska pr\u00f6va om \u00f6vervakning har g\u00e5tt r\u00e4tt till enligt EO 14086, ska n\u00e4mligen tolka EO 14086 och dess begrepp uteslutande i ljuset av amerikansk r\u00e4tt och r\u00e4ttstradition, inte n\u00e5gon annan r\u00e4ttsk\u00e4lla.<sup data-fn=\"018a64bc-dfbd-4db6-9b05-f955f19fb667\" class=\"fn\"><a id=\"018a64bc-dfbd-4db6-9b05-f955f19fb667-link\" href=\"#018a64bc-dfbd-4db6-9b05-f955f19fb667\">30<\/a><\/sup><\/p>\n\n\n\n<p>Mot ovan bakgrund betvivlar vi att EO 14086 uppfyller unionsr\u00e4ttens krav p\u00e5 tydliga best\u00e4mmelser som preciserar under vilka omst\u00e4ndigheter och p\u00e5 vilka villkor underr\u00e4ttelseinh\u00e4mtning f\u00e5r ske. Vi har sv\u00e5rt att se hur EO 14086 p\u00e5 ett tillr\u00e4ckligt tydligt s\u00e4tt, i enlighet med unionsr\u00e4ttens krav, reglerar r\u00e4ckvidden och till\u00e4mpningen av underr\u00e4ttelseinh\u00e4mtningen och fastst\u00e4ller minimikrav som ger personer tillr\u00e4ckliga garantier som m\u00f6jligg\u00f6r ett effektivt skydd av deras personuppgifter mot riskerna f\u00f6r missbruk (se avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-organisation-behover-veta-om-det-tredje-adekvansbeslutet\/#h-eu-stadgans-skydd\" target=\"_blank\" rel=\"noreferrer noopener\">EU-stadgans skydd<\/a> f\u00f6r mer om dessa krav). Saken blir inte b\u00e4ttre av att DPRC \u00e4r f\u00f6rbjuden att tolka begreppen n\u00f6dv\u00e4ndighet och proportionalitet utifr\u00e5n unionsr\u00e4tten, att \u201dpersonal information\u201d inte tycks motsvara GDPR:s definition av personuppgifter samt att DPRC inte f\u00e5r beakta r\u00e4ttsutvecklingen inom EU n\u00e4r den tolkar hur EO 14086 till\u00e4mpas i praktiken.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-data-protection-review-court\">Data Protection Review Court<\/h3>\n\n\n\n<p>Den andra f\u00f6r\u00e4ndringen som EU-kommissionen f\u00f6rlitar sig p\u00e5 i sitt adekvansbeslut \u00e4r best\u00e4mmelserna om Data Protection Review Court (DPRC-best\u00e4mmelserna).<sup data-fn=\"b84bf371-8b8f-4d3e-bb98-80e47cbc3361\" class=\"fn\"><a id=\"b84bf371-8b8f-4d3e-bb98-80e47cbc3361-link\" href=\"#b84bf371-8b8f-4d3e-bb98-80e47cbc3361\">31<\/a><\/sup> DPRC-best\u00e4mmelserna utf\u00e4rdades av det amerikanska justitiedepartementet utifr\u00e5n presidentens uppdrag i EO 14086. DPRC-best\u00e4mmelserna inr\u00e4ttar en pr\u00f6vningsinstans kallad Data Protection Review Court (DPRC). Syftet f\u00e5r f\u00f6rst\u00e5s som att DPRC ska tillgodose EU-stadgans krav p\u00e5 ett effektivt r\u00e4ttsmedel efter att EU-domstolen bed\u00f6mde<sup data-fn=\"5caf1d79-4321-43f8-8cac-e99f5626006a\" class=\"fn\"><a id=\"5caf1d79-4321-43f8-8cac-e99f5626006a-link\" href=\"#5caf1d79-4321-43f8-8cac-e99f5626006a\">32<\/a><\/sup> att Privacy Shield-ombudsmannen inte var tillr\u00e4cklig.<\/p>\n\n\n\n<p><em>F\u00f6r det f\u00f6rsta <\/em>ifr\u00e5gas\u00e4tter vi om DPRC uppfyller EU-stadgans krav p\u00e5 r\u00e4tten till en r\u00e4ttvis och offentlig r\u00e4tteg\u00e5ng \u201dinf\u00f6r en oavh\u00e4ngig och opartisk domstol som har inr\u00e4ttats enligt lag.\u201d<\/p>\n\n\n\n<p>Vad g\u00e4ller kravet p\u00e5 att inr\u00e4ttas <em>enligt lag <\/em>\u00e4r fr\u00e5getecknen desamma som f\u00f6r EO 14086, vilket behandlas i f\u00f6rsta delen av avsnittet om EO 14086 ovan.<\/p>\n\n\n\n<p>Vad g\u00e4ller kravet p\u00e5 oavh\u00e4ngighet och opartiskhet noterar vi att USA:s styrelseskick pr\u00e4glas av maktdelningsl\u00e4ran. Makt f\u00f6rdelas d\u00e5 mellan lagstiftaren (kongressen), den verkst\u00e4llande makten (presidenten) samt den d\u00f6mande makten (federala domstolar). DPRC \u00e4r inte en federal domstol som tillh\u00f6r den d\u00f6mande makten utifr\u00e5n amerikansk maktdelning. DPRC inr\u00e4ttades av justitiedepartementet men \u00e4r dessutom i sig <em>en del av <\/em>justitiedepartementet<sup data-fn=\"e468b331-df3d-40c2-b148-16d9e78e7753\" class=\"fn\"><a id=\"e468b331-df3d-40c2-b148-16d9e78e7753-link\" href=\"#e468b331-df3d-40c2-b148-16d9e78e7753\">33<\/a><\/sup> och d\u00e4rmed den <em>verkst\u00e4llande<\/em> makten.<\/p>\n\n\n\n<p>DPRC:s ledam\u00f6ter tills\u00e4tts av USA:s justitieminister. Ledam\u00f6terna tycks ocks\u00e5 endast erh\u00e5lla ett skydd f\u00f6r sitt f\u00f6rordnande och mot repressalier i f\u00f6rh\u00e5llande till justitieministern, inte presidenten.<sup data-fn=\"c028be1d-78be-43d7-93c3-503b45143e14\" class=\"fn\"><a id=\"c028be1d-78be-43d7-93c3-503b45143e14-link\" href=\"#c028be1d-78be-43d7-93c3-503b45143e14\">34<\/a><\/sup> EU-domstolen har anm\u00e4rkt att Privacy Shield-ombudsmannen inte tycktes omfattas av garantier <em>i f\u00f6rh\u00e5llande till den verkst\u00e4llande makten <\/em>vad g\u00e4llde sitt f\u00f6rordnade.<sup data-fn=\"32f45a1d-21a1-4ef3-a099-2fe760f45c77\" class=\"fn\"><a id=\"32f45a1d-21a1-4ef3-a099-2fe760f45c77-link\" href=\"#32f45a1d-21a1-4ef3-a099-2fe760f45c77\">35<\/a><\/sup> Presidenten \u00e4r den person som ytterst ut\u00f6var den verkst\u00e4llande makten i USA.<\/p>\n\n\n\n<p><em>F\u00f6r det andra <\/em>omfattar DPRC:s beh\u00f6righet endast vissa typer av \u00f6vertr\u00e4delser, s\u00e5 kallade \u201dcovered violations\u201d, vilket tycks l\u00e4mna \u00f6vertr\u00e4delser av viktiga unionsr\u00e4ttsliga r\u00e4ttigheter utanf\u00f6r DPRC:s beh\u00f6righet.<\/p>\n\n\n\n<p>I korthet tycks definitionen av en \u201dcovered violation\u201d kr\u00e4va att en \u00f6vertr\u00e4delse <em>dels <\/em>negativt p\u00e5verkar en persons integritet (\u201dprivacy\u201d) samt medborgerliga fri- och r\u00e4ttigheter (\u201dcivil liberties interests\u201d), <em>dels <\/em>\u00e4r en \u00f6vertr\u00e4delse av den amerikanska konstitutionen, delar av FISA eller FISC-f\u00f6rfaranden, EO 12333 eller relaterade f\u00f6rfaranden, EO 14086 eller relaterade policyer och f\u00f6rfaranden, en efterf\u00f6ljande lag, order, policy eller f\u00f6rfarande, eller andra lagar, order, policyer eller f\u00f6rfaranden med liknande omfattning som EO 14086.<sup data-fn=\"b6bae316-311a-4a1c-90dc-9d93d9901a99\" class=\"fn\"><a id=\"b6bae316-311a-4a1c-90dc-9d93d9901a99-link\" href=\"#b6bae316-311a-4a1c-90dc-9d93d9901a99\">36<\/a><\/sup><\/p>\n\n\n\n<p>S\u00e5vitt vi k\u00e4nner till inneh\u00e5ller ingen av n\u00e4mnda lagar eller best\u00e4mmelser en till\u00e4mplig r\u00e4tt till <em>tillg\u00e5ng<\/em> till personuppgifter eller r\u00e4tt till <em>r\u00e4ttelse<\/em> av felaktiga personuppgifter, \u00e5tminstone inte i en utstr\u00e4ckning som liknar unionsr\u00e4tten d\u00e4r de \u00e4r en del av den grundl\u00e4ggande r\u00e4tten till skydd f\u00f6r personuppgifter enligt Artikel 8 i EU-stadgan, med tillh\u00f6rande proportionalitetskrav vid begr\u00e4nsningar.<sup data-fn=\"f445548d-4724-494f-a286-d7e88aa9118f\" class=\"fn\"><a id=\"f445548d-4724-494f-a286-d7e88aa9118f-link\" href=\"#f445548d-4724-494f-a286-d7e88aa9118f\">37<\/a><\/sup><\/p>\n\n\n\n<p>Vi ifr\u00e5gas\u00e4tter ocks\u00e5 om det tillr\u00e4ckligt tydligt g\u00e5r att <a href=\"\"><\/a>l\u00e4sa in dessa dataskyddsr\u00e4ttigheter i begreppen \u201dprivacy\u201d och \u201dcivil liberties interests\u201d. <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/SV\/TXT\/?uri=CELEX:12012P\/TXT\" target=\"_blank\" rel=\"noreferrer noopener\">EU:s r\u00e4ttighetsstadga<\/a> erk\u00e4nner r\u00e4tten till respekt f\u00f6r privatlivet (som ofta beskrivs som en r\u00e4tt till personlig integritet) i artikel 7, liksom r\u00e4tten till dataskydd i artikel 8. Som j\u00e4mf\u00f6relse kan n\u00e4mnas att <a href=\"https:\/\/www.echr.coe.int\/documents\/d\/echr\/Convention_SWE\">Europeiska konventionen om skydd f\u00f6r de m\u00e4nskliga r\u00e4ttigheterna<\/a> erk\u00e4nner r\u00e4tten till privatliv, men saknar en uttrycklig r\u00e4tt till dataskydd. Medan det kan vara en bed\u00f6mningsfr\u00e5ga hur integritetsk\u00e4nslig en personuppgiftsbehandling f\u00e5r vara, g\u00e4ller dataskyddsr\u00e4ttigheter som r\u00e4tten till tillg\u00e5ng och r\u00e4ttelse oavsett integritetsintr\u00e5nget. Dessutom inneb\u00e4r DPRC-best\u00e4mmelserna att n\u00e4r EO 14086 n\u00e4mner begrepp som \u201dpersonal information\u201d, \u201dprivacy\u201d och \u201dcivil liberties interests\u201d ska de inte tolkas med unionsr\u00e4tten i \u00e5tanke, utan enbart i ljuset av amerikansk lag och r\u00e4ttstradition.<sup data-fn=\"24d81802-a6d5-4181-af51-67d50f39770b\" class=\"fn\"><a id=\"24d81802-a6d5-4181-af51-67d50f39770b-link\" href=\"#24d81802-a6d5-4181-af51-67d50f39770b\">38<\/a><\/sup><\/p>\n\n\n\n<p>Det f\u00f6refaller d\u00e4rf\u00f6r tveksamt att amerikansk r\u00e4tt skulle erk\u00e4nna dataskyddsr\u00e4ttigheter med h\u00e4nvisning till en persons \u201dprivacy\u201d eller \u201dcivil liberties interests\u201d. Tittar vi s\u00e4rskilt p\u00e5 r\u00e4tten till \u201dprivacy\u201d, s\u00e5som den tolkats enligt den amerikanska konstitutionen, \u00e4r den r\u00e4tten kraftigt begr\u00e4nsad p\u00e5 grund av den s\u00e5 kallade tredjepartsdoktrinen. Denna doktrin inneb\u00e4r att en person f\u00f6rlorar sin r\u00e4tt till integritet vad g\u00e4ller information som personen frivilligt anses ha \u00f6verf\u00f6rt till en tj\u00e4nsteleverant\u00f6r.<sup data-fn=\"4039cc77-4d16-4a03-bcf3-3aa8c1e6e039\" class=\"fn\"><a id=\"4039cc77-4d16-4a03-bcf3-3aa8c1e6e039-link\" href=\"#4039cc77-4d16-4a03-bcf3-3aa8c1e6e039\">39<\/a><\/sup><\/p>\n\n\n\n<p>N\u00e4r det som \u00e4r grundl\u00e4ggande r\u00e4ttigheter i unionsr\u00e4tten inte uttryckligen erk\u00e4nns eller preciseras i det amerikanska regelverket, synes det inte heller vara m\u00f6jligt att r\u00e4ttigheterna kan kr\u00e4nkas i form av en \u00f6vertr\u00e4delse som omfattas (\u201dcovered violation\u201d) fr\u00e5n f\u00f6rsta b\u00f6rjan. DPRC verkar d\u00e4rf\u00f6r inte heller kunna besluta om korrigerande \u00e5tg\u00e4rder i alla de fall d\u00e4r dessa unionsr\u00e4ttsliga r\u00e4ttigheter har kr\u00e4nkts.<\/p>\n\n\n\n<p><em>F\u00f6r det tredje<\/em>, och som vi n\u00e4mnde ovan, ger DPRC-best\u00e4mmelserna inte den klagande n\u00e5gon r\u00e4tt till tillg\u00e5ng till en domstolspr\u00f6vning f\u00f6r att erh\u00e5lla tillg\u00e5ng till sina personuppgifter. En klagande synes d\u00e4rf\u00f6r inte heller vara tillf\u00f6rs\u00e4krad sin r\u00e4tt till r\u00e4ttelse eller radering. Som en konsekvens av det synes DPRC inte heller ha tillr\u00e4ckliga f\u00f6ruts\u00e4ttningar f\u00f6r att bed\u00f6ma en \u00f6vervaknings\u00e5tg\u00e4rds proportionalitet och laglighet.<\/p>\n\n\n\n<p>EU-domstolen har angett att:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"has-medium-font-size\">Enligt fast r\u00e4ttspraxis \u00e4r sj\u00e4lva m\u00f6jligheten till en effektiv domstolspr\u00f6vning i syfte att s\u00e4kerst\u00e4lla iakttagandet av unionsr\u00e4tten en grundf\u00f6ruts\u00e4ttning f\u00f6r en r\u00e4ttsstat. En lagstiftning i vilken det inte f\u00f6reskrivs n\u00e5gon m\u00f6jlighet f\u00f6r enskilda att anv\u00e4nda r\u00e4ttsmedel f\u00f6r att erh\u00e5lla tillg\u00e5ng till, r\u00e4tta eller radera personuppgifter som r\u00f6r dem, respekterar inte det v\u00e4sentliga inneh\u00e5llet i den grundl\u00e4ggande r\u00e4tten till effektivt domstolsskydd, vilken \u00e4r stadf\u00e4st i artikel 47 i [EU-stadgan]<sup data-fn=\"a99aa73c-d3a4-4ecc-9870-a9decc07537f\" class=\"fn\"><a id=\"a99aa73c-d3a4-4ecc-9870-a9decc07537f-link\" href=\"#a99aa73c-d3a4-4ecc-9870-a9decc07537f\">40<\/a><\/sup><\/p>\n<\/blockquote>\n\n\n\n<p>R\u00e4tten till domstolspr\u00f6vning inbegriper allts\u00e5 <em>att f\u00e5 sin r\u00e4tt till tillg\u00e5ng eller r\u00e4ttelse av personuppgifter pr\u00f6vad av en domstol<\/em>. R\u00e4tten till tillg\u00e5ng och r\u00e4tten till r\u00e4ttelse \u00e4r inte absoluta, men varje begr\u00e4nsning ska vara proportionerlig utifr\u00e5n EU-stadgans krav. Ett viktigt syfte med en oberoende och oavh\u00e4ngig domstolspr\u00f6vning blir d\u00e5 att sl\u00e5 fast om det verkligen \u00e4r motiverat att undanh\u00e5lla uppgifter fr\u00e5n en person (och i s\u00e5 fall under vilka f\u00f6ruts\u00e4ttningar s\u00e5som under hur l\u00e5ng tid). Det \u00e4r en s\u00e5dan domstolspr\u00f6vning som EU-domstolen upprepade g\u00e5nger har angett \u00e4r en grundf\u00f6ruts\u00e4ttning f\u00f6r en r\u00e4ttsstat.<\/p>\n\n\n\n<p>I EU-kommissionens adekvansbeslut fr\u00e5n juli 2023 h\u00e4nvisas bland annat till m\u00f6jligheten att beg\u00e4ra ut uppgifter med st\u00f6d av den amerikanska Freedom of Information Act (FOIA), med reservation f\u00f6r olika undantag s\u00e5som n\u00e4r information \u00e4r sekretessbelagd med h\u00e4nsyn till nationell s\u00e4kerhet. Utl\u00e4ndska underr\u00e4ttelseuppgifter vars existens \u00e4r hemligst\u00e4mplad hos FBI \u00e4r dessutom helt undantagna FOIA:s till\u00e4mpningsomr\u00e5de.<sup data-fn=\"e611c7ef-6ef2-49df-b255-3494e28f3e53\" class=\"fn\"><a id=\"e611c7ef-6ef2-49df-b255-3494e28f3e53-link\" href=\"#e611c7ef-6ef2-49df-b255-3494e28f3e53\">41<\/a><\/sup> Vi f\u00f6ruts\u00e4tter att EU-domstolen vid domen i Schrems II k\u00e4nde till befintliga v\u00e4gar f\u00f6r att beg\u00e4ra \u00e5tkomst till sina personuppgifter, s\u00e5som FOIA. Vad g\u00e4ller tillg\u00e5ngen till r\u00e4ttslig pr\u00f6vning r\u00f6rande FISA-\u00f6vervakning noterade EU-domstolen hur EU-kommissionen uppm\u00e4rksammat att den m\u00f6jligheten \u00e4r begr\u00e4nsad f\u00f6r icke-amerikaner, bland annat p\u00e5 grund av kravet p\u00e5 att visa taler\u00e4tt, vilket synes ha varit ett sk\u00e4l till att Privacy Shield-ombudsmannen inf\u00f6rdes.<sup data-fn=\"cdf493cd-f07b-48eb-915b-a7394ea379a3\" class=\"fn\"><a id=\"cdf493cd-f07b-48eb-915b-a7394ea379a3-link\" href=\"#cdf493cd-f07b-48eb-915b-a7394ea379a3\">42<\/a><\/sup><\/p>\n\n\n\n<p>EU-domstolen har \u00e4ven bed\u00f6mt att det av FISA 702 inte kan utl\u00e4sas n\u00e5gra garantier f\u00f6r icke-amerikaner som eventuellt omfattas av \u00f6vervakning samt att \u00e4ven om \u00f6vervakningen m\u00e5ste f\u00f6lja reglerna i PPD-28 s\u00e5 ger PPD-28 inte individer r\u00e4ttigheter som de kan g\u00f6ra g\u00e4llande <em>i domstol <\/em>mot amerikanska myndigheter.<sup data-fn=\"0ec57de3-b216-4a7b-90b7-9852d8abd39d\" class=\"fn\"><a id=\"0ec57de3-b216-4a7b-90b7-9852d8abd39d-link\" href=\"#0ec57de3-b216-4a7b-90b7-9852d8abd39d\">43<\/a><\/sup> V\u00e5r slutsats \u00e4r d\u00e4rmed att amerikansk r\u00e4tt inte har r\u00e4ckt till f\u00f6r att ge icke-amerikaner effektiva r\u00e4ttsmedel, och att s\u00e5 f\u00f6rblir fallet s\u00e5vida inte DPRC-best\u00e4mmelserna \u00e5tg\u00e4rdar det som var otillr\u00e4ckligt med Privacy Shield-ombudsmannen.<\/p>\n\n\n\n<p>DPRC-best\u00e4mmelserna anger att klagandeprocessen avslutas med ett slutligt besked \u201dutan att bekr\u00e4fta eller f\u00f6rneka om den klagande var f\u00f6rem\u00e5l f\u00f6r signalspaningsverksamhet\u201d. Beskedet ska i samtliga fall att lyda \u201dGranskningen visade antingen inte p\u00e5 n\u00e5gra \u00f6vertr\u00e4delser som omfattades eller s\u00e5 utf\u00e4rdade Data Protection Review Court ett beslut som kr\u00e4vde l\u00e4mpliga \u00e5tg\u00e4rder\u201d.<sup data-fn=\"35b7758e-e1f0-4db7-b1ec-b2cc40b20fa8\" class=\"fn\"><a id=\"35b7758e-e1f0-4db7-b1ec-b2cc40b20fa8-link\" href=\"#35b7758e-e1f0-4db7-b1ec-b2cc40b20fa8\">44<\/a><\/sup> \u00c4ven om DPRC m\u00e5ste tilldela den klagande en s\u00e4rskild ombudsperson (\u201dSpecial Advocate\u201d), f\u00e5r denne inte avsl\u00f6ja huruvida den klagande varit f\u00f6rem\u00e5l f\u00f6r USA:s signalspaningsverksamhet.<sup data-fn=\"34902137-6575-4dac-a607-728b8f9a5bef\" class=\"fn\"><a id=\"34902137-6575-4dac-a607-728b8f9a5bef-link\" href=\"#34902137-6575-4dac-a607-728b8f9a5bef\">45<\/a><\/sup><\/p>\n\n\n\n<p>Eftersom DPRC inte ger de klagande n\u00e5gon r\u00e4tt att veta om de varit f\u00f6rem\u00e5l f\u00f6r signalspaning kan DPRC inte heller ge de klagande n\u00e5gon domstolspr\u00f6vning av r\u00e4tten att f\u00e5 tillg\u00e5ng till, r\u00e4tta eller radera personuppgifter som r\u00f6r dem. \u00c4ven om DPRC p\u00e5 pappret kan besluta om exempelvis r\u00e4ttelse eller radering menar vi att det \u00e4r n\u00e4rmast oundvikligt att DPRC f\u00e5r ett otillr\u00e4ckligt underlag f\u00f6r sina granskningar och \u00e5tg\u00e4rder, och att DPRC d\u00e4rf\u00f6r i praktiken inte kan tillf\u00f6rs\u00e4kra att s\u00e5dana \u00e5tg\u00e4rder vidtas n\u00e4r det beh\u00f6vs.<\/p>\n\n\n\n<p>En person kan n\u00e4mligen sv\u00e5rligen beskriva f\u00f6r DPRC hur en uppgift borde r\u00e4ttas, eller f\u00f6rklara varf\u00f6r den \u00e4r irrelevant och borde raderas, om personen inte f\u00f6rst f\u00e5r tillg\u00e5ng till uppgiften f\u00f6r att v\u00e4rdera den. Utan att ta del av uppgiften kan personen inte heller p\u00e5tala omst\u00e4ndigheter som \u00e4r relevanta f\u00f6r att DPRC ska kunna bed\u00f6ma om sj\u00e4lva insamlingen av uppgiften varit proportionerlig och lagenlig. R\u00e4tten till tillg\u00e5ng till uppgifter \u00e4r allts\u00e5 en f\u00f6ruts\u00e4ttning f\u00f6r att ut\u00f6va andra grundl\u00e4ggande r\u00e4ttigheter. EU-domstolen har angett:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote has-medium-font-size is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"has-medium-font-size\">Den r\u00e4tt till tillg\u00e5ng som f\u00f6reskrivs i artikel 15 i dataskyddsf\u00f6rordningen m\u00e5ste s\u00e5ledes g\u00f6ra det m\u00f6jligt f\u00f6r den registrerade att f\u00f6rs\u00e4kra sig om att de personuppgifter som r\u00f6r honom eller henne \u00e4r korrekta och att de behandlas p\u00e5 ett lagenligt s\u00e4tt &#8230; I synnerhet \u00e4r denna r\u00e4tt till tillg\u00e5ng n\u00f6dv\u00e4ndig f\u00f6r att m\u00f6jligg\u00f6ra f\u00f6r den registrerade att, i f\u00f6rekommande fall, kunna ut\u00f6va sin r\u00e4tt till r\u00e4ttelse, sin r\u00e4tt till radering (\u201dr\u00e4tten att bli bortgl\u00f6md\u201d) och sin r\u00e4tt till begr\u00e4nsning av behandling &#8230; liksom sin &#8230; r\u00e4tt att g\u00f6ra inv\u00e4ndningar mot behandlingen av hans eller hennes personuppgifter, och sin r\u00e4tt att f\u00f6ra talan till f\u00f6ljd av skada<sup data-fn=\"7c45e2c1-d681-4a4a-ac2f-50c10e6487ad\" class=\"fn\"><a id=\"7c45e2c1-d681-4a4a-ac2f-50c10e6487ad-link\" href=\"#7c45e2c1-d681-4a4a-ac2f-50c10e6487ad\">46<\/a><\/sup><\/p>\n<\/blockquote>\n\n\n\n<p>V\u00e5r slutsats \u00e4r d\u00e4rf\u00f6r att DPRC inte ger personer <em>n\u00e5gon <\/em>r\u00e4tt till en domstolspr\u00f6vning av r\u00e4tten till tillg\u00e5ng eller r\u00e4ttelse av personuppgifter. Som en konsekvens saknar DPRC \u00e4ven en effektiv m\u00f6jlighet att pr\u00f6va \u00f6vervakningens laglighet samt personers r\u00e4tt till begr\u00e4nsning av behandlingen och r\u00e4tt att f\u00f6ra talan till f\u00f6ljd av skada.<\/p>\n\n\n\n<p>DPRC \u00e5tg\u00e4rdar allts\u00e5 inte det som EU-domstolen identifierade som otillr\u00e4ckligt med Privacy Shield-ombudsmannen, och amerikansk r\u00e4tt n\u00e5r d\u00e4rf\u00f6r fortfarande inte upp till unionsr\u00e4ttens krav p\u00e5 effektiva r\u00e4ttsmedel.<\/p>\n\n\n\n<p>\u00c4ven om vi skulle bortse fr\u00e5n DPRC, och en person i EU p\u00e5 n\u00e5got s\u00e4tt skulle erh\u00e5lla taler\u00e4tt (\u201dstanding\u201d) inf\u00f6r en amerikansk domstol, ifr\u00e5gas\u00e4tter vi dessutom om amerikanska domstolar \u00e4r fullt ut beh\u00f6riga att pr\u00f6va relevanta omst\u00e4ndigheter vid en fr\u00e5ga om r\u00e4tten till tillg\u00e5ng till personuppgifter.<\/p>\n\n\n\n<p><em>F\u00f6r en n\u00e4rmare titt p\u00e5 det amerikanska r\u00e4ttssystemet j\u00e4mf\u00f6rt med det europeiska n\u00e4r det kommer till \u00f6vervakning, se v\u00e5r rapport <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/amerikansk-vs-europeisk-overvakning-analys-av-skillnader-i-rattighetsskyddet-vid-anvandning-av-molntjanster\/\" target=\"_blank\" rel=\"noreferrer noopener\">Amerikansk vs europeisk \u00f6vervakning: Analys av skillnader i r\u00e4ttighetsskyddet vid anv\u00e4ndning av molntj\u00e4nster<\/a>.<\/em><\/p>\n\n\n\n<p>Vi f\u00f6rst\u00e5r n\u00e4mligen EU-domstolens praxis som att en begr\u00e4nsning av en persons r\u00e4tt till tillg\u00e5ng till personuppgifter inte kan leda till att <em>unionsdomstolen <\/em>kan hindras fr\u00e5n att ta del av uppgifterna f\u00f6r att pr\u00f6va personens r\u00e4tt till tillg\u00e5ng enligt artikel 47 i EU-stadgan.<sup data-fn=\"02edd1a1-d416-4d2a-8847-a4b5e332acbf\" class=\"fn\"><a id=\"02edd1a1-d416-4d2a-8847-a4b5e332acbf-link\" href=\"#02edd1a1-d416-4d2a-8847-a4b5e332acbf\">47<\/a><\/sup> Vi noterar h\u00e4rvid att den amerikanska r\u00e4ttsprincipen om State Secrets Privilege ger den verkst\u00e4llande makten (regeringen) i USA en m\u00f6jlighet att helt undanta information fr\u00e5n att behandlas i en domstolsprocess. En domare kan rentav beh\u00f6va besluta att information ska undantas fr\u00e5n ett m\u00e5l utan att domaren sj\u00e4lv f\u00e5tt ta del av informationen som regeringen h\u00e4vdar omfattas av State Secrets Privilege.<sup data-fn=\"182a02c7-3ae0-41f8-ae36-d91fb3f0599c\" class=\"fn\"><a id=\"182a02c7-3ae0-41f8-ae36-d91fb3f0599c-link\" href=\"#182a02c7-3ae0-41f8-ae36-d91fb3f0599c\">48<\/a><\/sup> Som ett resultat kan domaren sedan beh\u00f6va skriva av m\u00e5let.<\/p>\n\n\n\n<p>Denna begr\u00e4nsning av domstolarnas m\u00f6jlighet att ta del av information synes inte vara f\u00f6renlig med EU-domstolens tolkning av r\u00e4tten till ett effektivt r\u00e4ttsmedel enligt artikel 47 i EU-stadgan.<\/p>\n\n\n\n<p><em>F\u00f6r det fj\u00e4rde <\/em>begr\u00e4nsas DPRC vad g\u00e4ller de \u00e5tg\u00e4rder DPRC kan besluta om vid en konstaterad \u00f6vertr\u00e4delse:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote has-medium-font-size is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"has-medium-font-size\">Innan en DPRC-panel fastst\u00e4ller en l\u00e4mplig \u00e5tg\u00e4rd &#8230; ska den genom ODNI CLPO inh\u00e4mta synpunkter fr\u00e5n ber\u00f6rda delar av underr\u00e4ttelsegemenskapen om den l\u00e4mpliga \u00e5tg\u00e4rden, inbegripet en bed\u00f6mning av effekterna p\u00e5 underr\u00e4ttelsegemenskapens verksamhet och USA:s nationella s\u00e4kerhet. Panelen ska ta vederb\u00f6rlig h\u00e4nsyn till dessa synpunkter (\u201ddue account of these views\u201d) samt till sedvanliga s\u00e4tt (\u201dcustomary ways\u201d) f\u00f6r att hantera den typ av \u00f6vertr\u00e4delse som identifierats.<sup data-fn=\"0c274492-e84b-49bc-bd8e-70a5ff97ef8a\" class=\"fn\"><a id=\"0c274492-e84b-49bc-bd8e-70a5ff97ef8a-link\" href=\"#0c274492-e84b-49bc-bd8e-70a5ff97ef8a\">49<\/a><\/sup><\/p>\n<\/blockquote>\n\n\n\n<p>Detta begr\u00e4nsar DPRC:s handlingsfrihet i val av \u00e5tg\u00e4rd, eftersom DPRC \u00e4r skyldig att ta h\u00e4nsyn till synpunkter och sedvanliga arbetss\u00e4tt som inte n\u00f6dv\u00e4ndigtvis grundar sig p\u00e5 vad som \u00e4r r\u00e4ttsligt p\u00e5kallat.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-sammanfattande-slutsatser-om-eo-14086-och-dprc\">Sammanfattande slutsatser om EO 14086 och DPRC<\/h3>\n\n\n\n<p>Vi ifr\u00e5gas\u00e4tter huruvida EO 14086 och DPRC-best\u00e4mmelserna n\u00e5r upp till unionsr\u00e4ttens skyddsniv\u00e5 p\u00e5 flera punkter, i synnerhet:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Huruvida EO 14086 kan anses utg\u00f6ra lag i den mening som EU-stadgan kr\u00e4ver, s\u00e4rskilt till f\u00f6ljd av maktkoncentrationen hos presidenten som n\u00e4r som helst kan \u00e4ndra eller upph\u00e4va EO 14086 och i hemlighet kan \u00e4ndra i delar av EO 14086.<\/li>\n\n\n\n<li>Huruvida EO 14086 uppfyller kraven p\u00e5 proportionalitet, p\u00e5 grund av dess vaga skrivningar om n\u00f6dv\u00e4ndighet och proportionalitet samt n\u00e4r alternativ till signalspaning ska prioriteras (n\u00e4r det \u00e4r \u201dtillg\u00e4ngligt, g\u00f6rligt och l\u00e4mpligt\u201d). Dessutom ska begrepp som till synes relaterar till unionsr\u00e4tten inte tolkas i enlighet med unionsr\u00e4tten, utan endast i ljuset av amerikansk r\u00e4tt.<\/li>\n\n\n\n<li>Huruvida DPRC uppfyller EU-stadgans krav p\u00e5 r\u00e4tten till en \u201dr\u00e4ttvis och offentlig r\u00e4tteg\u00e5ng &#8230; inf\u00f6r en oavh\u00e4ngig och opartisk domstol som har inr\u00e4ttats enligt lag\u201d. Detta med tanke p\u00e5 att DPRC i sig sj\u00e4lvt \u00e4r en del av justitiedepartementet och d\u00e4rmed den verkst\u00e4llande makten.<\/li>\n\n\n\n<li>Huruvida DPRC:s ledam\u00f6ter f\u00e5r ett tillr\u00e4ckligt skydd f\u00f6r sitt f\u00f6rordnande och mot repressalier. DPRC-best\u00e4mmelserna tycks endast ge ett skydd i f\u00f6rh\u00e5llande till USA:s justitieminister men inte mot presidenten, som ytterst ut\u00f6var den verkst\u00e4llande makten.<\/li>\n\n\n\n<li>Att DPRC:s beh\u00f6righet inte tycks omfatta alla kr\u00e4nkningar av grundl\u00e4ggande unionsr\u00e4ttsliga r\u00e4ttigheter, eftersom dessa inte alltid verkar anses utg\u00f6ra s.k. \u201dcovered violations\u201d.<\/li>\n\n\n\n<li>Att DPRC-best\u00e4mmelserna inte tillf\u00f6rs\u00e4krar individer n\u00e5gon r\u00e4tt till tillg\u00e5ng till sina personuppgifter, och d\u00e4rmed inte heller m\u00f6jligheten att ut\u00f6va r\u00e4tten till r\u00e4ttelse eller radering p\u00e5 ett effektivt s\u00e4tt, samt att p\u00e5tala omst\u00e4ndigheter som \u00e4r n\u00f6dv\u00e4ndiga f\u00f6r att DPRC ska kunna bed\u00f6ma en \u00f6vervaknings\u00e5tg\u00e4rds proportionalitet och laglighet.<\/li>\n\n\n\n<li>Att DPRC:s handlingsutrymme vid beslut om \u00e5tg\u00e4rder \u00e4r kringskuret genom att DPRC m\u00e5ste ta h\u00e4nsyn till underr\u00e4ttelsetj\u00e4nsternas synpunkter och arbetss\u00e4tt, som inte n\u00f6dv\u00e4ndigtvis grundar sig i vad som \u00e4r r\u00e4ttsligt p\u00e5kallat.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-exempel-fran-verkligheten-vid-amerikansk-overvakning\">Exempel fr\u00e5n verkligheten vid amerikansk \u00f6vervakning<\/h2>\n\n\n\n<p>Amerikansk \u00f6vervakning \u00e4r kantad av \u00f6vertramp och bristande r\u00e4ttss\u00e4kerhet, s\u00e5v\u00e4l historiskt som i n\u00e4rtid.<\/p>\n\n\n\n<p>H\u00e4r f\u00f6ljer ett axplock d\u00e4r n\u00e5gra exempel g\u00e4ller olagligt agerande medan andra exempel visar p\u00e5 vad som helt lagligt f\u00e5tt \u00e4ga rum.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Redan 1975 slog den amerikanska senatens s.k. Church-kommitt\u00e9 fast att USA:s federala statsmakt under m\u00e5nga \u00e5rtionden \u201davsiktligt \u00e5sidosatt\u201d r\u00e4ttsliga begr\u00e4nsningar av sin \u00f6vervakningsverksamhet och \u201dkr\u00e4nkt amerikanska medborgares konstitutionella r\u00e4ttigheter\u201d.<sup data-fn=\"0c5316d3-a5ad-440e-998f-5a9f7a25314d\" class=\"fn\"><a id=\"0c5316d3-a5ad-440e-998f-5a9f7a25314d-link\" href=\"#0c5316d3-a5ad-440e-998f-5a9f7a25314d\">50<\/a><\/sup><\/li>\n\n\n\n<li>I oktober 2015 framkom att NSA brutit mot ett \u00f6vervakningsavtal med sin tyska motsvarighet. N\u00e4stan 70 % av de selektorer som Tyskland unders\u00f6kte, och som NSA ville bedriva \u00f6vervakning mot, avs\u00e5g regeringsorgan i EU-l\u00e4nder. \u00c4ven europeiska f\u00f6retag var m\u00e5ltavlor.<sup data-fn=\"1bd167ef-b30b-4bd1-a5b1-3cf2199d3cca\" class=\"fn\"><a id=\"1bd167ef-b30b-4bd1-a5b1-3cf2199d3cca-link\" href=\"#1bd167ef-b30b-4bd1-a5b1-3cf2199d3cca\">51<\/a><\/sup><\/li>\n\n\n\n<li>I februari 2020 f\u00f6rklarade en amerikansk domstol att ett \u00f6vervakningsprogram som NSA anv\u00e4nt f\u00f6r att samla in miljarder uppgifter med samtalstrafik var olagligt. Domstolen kritiserade dessutom amerikanska myndigheters uttalanden om \u00f6vervakningsprogrammets nytta och effektivitet, uttalanden som domstolen menade inte var f\u00f6renliga med hemlig dokumentation som domstolen tagit del av. N\u00e4r NSA tillfr\u00e5gades om de fortfarande stod f\u00f6r sina tidigare uttalanden avb\u00f6jde NSA att kommentera.<sup data-fn=\"6d7b0468-aedc-4e33-a889-4dfc4f31e400\" class=\"fn\"><a id=\"6d7b0468-aedc-4e33-a889-4dfc4f31e400-link\" href=\"#6d7b0468-aedc-4e33-a889-4dfc4f31e400\">52<\/a><\/sup><\/li>\n\n\n\n<li>I juli 2020 avsl\u00f6jades att en amerikansk s\u00e4kerhetstj\u00e4nst uppr\u00e4ttat underr\u00e4ttelserapporter om journalister.<sup data-fn=\"2ac7c164-81e3-47e4-a64c-ca8361676a5b\" class=\"fn\"><a id=\"2ac7c164-81e3-47e4-a64c-ca8361676a5b-link\" href=\"#2ac7c164-81e3-47e4-a64c-ca8361676a5b\">53<\/a><\/sup><\/li>\n\n\n\n<li>I en intervju fr\u00e5n maj 2021 ber\u00e4ttade en tidigare federal domare som tj\u00e4nstgjorde i Houston mellan \u00e5r 2004-2018, om hur bemyndiganden f\u00f6r inhemsk \u00f6vervakning rutinm\u00e4ssigt h\u00f6lls hemligst\u00e4mplade. Inte bara under p\u00e5g\u00e5ende utredningar utan l\u00e5ngt efter att fallen avslutats. I hans domstol fanns \u00f6ver 15 \u00e5r gamla beg\u00e4ran om bemyndiganden som fortfarande var hemligst\u00e4mplade. Han unders\u00f6kte saken vidare och fann att om ett fall n\u00e5gon g\u00e5ng hemligst\u00e4mplats beh\u00f6lls hemligst\u00e4mpeln i 99 % av fallen f\u00f6r alltid.<sup data-fn=\"4c5e97f2-5502-4e6b-8f1a-424744070505\" class=\"fn\"><a id=\"4c5e97f2-5502-4e6b-8f1a-424744070505-link\" href=\"#4c5e97f2-5502-4e6b-8f1a-424744070505\">54<\/a><\/sup><\/li>\n\n\n\n<li>I juni 2021 publicerade Microsofts President Brad Smith en debattartikel i Washington Post d\u00e4r han beskrev hur missbruket av hemlig \u00f6vervakning fortg\u00e5tt under s\u00e5v\u00e4l Trump som tidigare presidentadministrationer.<sup data-fn=\"238dab25-c184-4589-a19d-e710cebb4c2b\" class=\"fn\"><a id=\"238dab25-c184-4589-a19d-e710cebb4c2b-link\" href=\"#238dab25-c184-4589-a19d-e710cebb4c2b\">55<\/a><\/sup><\/li>\n\n\n\n<li>I maj 2023 avsl\u00f6jades att FBI gjort fler \u00e4n 278 000 otillb\u00f6rliga s\u00f6kningar i en underr\u00e4ttelsedatabas med FISA 702-information.<sup data-fn=\"f5dfc553-a0cd-4dad-b8e5-c294e0cadb5f\" class=\"fn\"><a id=\"f5dfc553-a0cd-4dad-b8e5-c294e0cadb5f-link\" href=\"#f5dfc553-a0cd-4dad-b8e5-c294e0cadb5f\">56<\/a><\/sup> En senator som varit ledamot i senatens underr\u00e4ttelsekommitt\u00e9 sedan 2001 kr\u00e4vde f\u00f6r\u00e4ndringar i amerikansk lagstiftning, inte bara uppdateringar av FBI:s interna riktlinjer. Senatorn uttalade d\u00e4rtill att \u201dDet finns viktig, hemlig information om hur regeringen har tolkat FISA 702 som kongressen och det amerikanska folket m\u00e5ste f\u00e5 ta del av innan lagen f\u00f6rnyas.\u201d<sup data-fn=\"2719bc4f-aa21-4de4-aae7-cbee4f8de7e7\" class=\"fn\"><a id=\"2719bc4f-aa21-4de4-aae7-cbee4f8de7e7-link\" href=\"#2719bc4f-aa21-4de4-aae7-cbee4f8de7e7\">57<\/a><\/sup><\/li>\n<\/ul>\n\n\n\n<p>Exemplen g\u00e4ller f\u00f6rst\u00e5s bara s\u00e5dant som framkommit i offentlighetens ljus. Vi vill understryka att amerikansk underr\u00e4ttelseinh\u00e4mtning givetvis kan tillf\u00f6ra ett v\u00e4rde n\u00e4r den bedrivs mot verkliga hot. Det vi v\u00e4nder oss mot \u00e4r lagstiftningens alltf\u00f6r l\u00f6sa tyglar, den politiska inblandningen samt bristen p\u00e5 uppriktighet och effektiv tillsyn. Microsofts President Brad Smith satte ord p\u00e5 problematiken i samband med ett m\u00e5l g\u00e4llande en brottsutredning f\u00f6r ett antal \u00e5r sedan:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"has-medium-font-size\">(&#8230;) the U.S. Department of Justice\u2019s attempt to seize foreign customers\u2019 emails from other countries ignores borders, treaties and international law, as well as the laws those countries have in place to protect the privacy of their own citizens. As the French government stated on Monday, it\u2019s a path that creates \u201ca significant risk of conflict of laws.\u201d And as the tech sector appreciates all too well, that\u2019s a conflict that will leave tech companies and consumers caught in the middle.<br><br>It\u2019s also a path that will lead to the doorsteps of American homes by putting the privacy of U.S. citizens\u2019 emails at risk. If the U.S. government obtains the power to search and seize foreign citizens\u2019 private communications physically stored in other countries, it will invite other governments to do the same thing. If we ignore other countries\u2019 laws, how can we demand that they respect our laws? That\u2019s part of why public interest groups, such as the Brennan Center for Justice and the Reporters Committee for Freedom of the Press, are watching this case so closely.<br><br>The [Department of Justice\u2019s] position also bodes ill for the U.S. economy and American jobs. Right now, U.S. companies are world leaders in providing cloud services. That leadership position is based on trust. But if the U.S. government can assert this type of unilateral power to reach into datacenters that are operated by U.S. companies in other countries, foreign countries and foreign customers will question their ability to trust American companies.<sup data-fn=\"2028acb9-8b69-4fb7-939a-bf47cd62d19e\" class=\"fn\"><a id=\"2028acb9-8b69-4fb7-939a-bf47cd62d19e-link\" href=\"#2028acb9-8b69-4fb7-939a-bf47cd62d19e\">58<\/a><\/sup><\/p>\n<\/blockquote>\n\n\n\n<p>Som reaktion genomf\u00f6rde den amerikanska kongressen \u00e5tg\u00e4rder som gav uttryckligt lagst\u00f6d till den extraterritoriella \u00e5tkomst som Microsoft varnade f\u00f6r s\u00e5 kraftigt. Sedan dess har farh\u00e5gorna om eroderad tillit besannats. Adekvansbeslutet fr\u00e5n juli 2023 l\u00f6ser inte problemet med denna extraterritoriella \u00e5tkomst. Det betyder att kr\u00e4nkningen av EU:s r\u00e4ttsliga suver\u00e4nitet best\u00e5r.<\/p>\n\n\n\n<div style=\"height:10px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-kryptering-och-liknande-atgarder\">Kryptering och liknande \u00e5tg\u00e4rder<\/h2>\n\n\n\n<p>Kryptering, pseudonymisering eller s.k. microsharding f\u00f6resl\u00e5s ibland som l\u00f6sning f\u00f6r att hindra amerikanska myndigheter fr\u00e5n att komma \u00e5t personuppgifter. Vi bed\u00f6mer emellertid att s\u00e5dana \u00e5tg\u00e4rder, f\u00f6r att vara tillr\u00e4ckliga, i praktiken m\u00e5ste g\u00f6ra det om\u00f6jligt f\u00f6r amerikanska molntj\u00e4nstleverant\u00f6rer att l\u00e4mna ut personuppgifterna.<\/p>\n\n\n\n<p>Den amerikanska underr\u00e4ttelselagstiftningen FISA 702 m\u00f6jligg\u00f6r f\u00f6r den amerikanska staten att utf\u00e4rda direktiv om inh\u00e4mtning till amerikanska molntj\u00e4nstleverant\u00f6rer. En molntj\u00e4nstleverant\u00f6r som f\u00e5r ett s\u00e5dant direktiv ska d\u00e5 <em>omedelbart ge staten all information, utrustning eller bist\u00e5nd som kr\u00e4vs f\u00f6r att inh\u00e4mtningen ska kunna genomf\u00f6ras<\/em>, i hemlighet, och med ett minimum av st\u00f6rningar i molntj\u00e4nstleverant\u00f6rens tj\u00e4nster.<sup data-fn=\"2576010f-e491-4463-8653-e2b37e239280\" class=\"fn\"><a id=\"2576010f-e491-4463-8653-e2b37e239280-link\" href=\"#2576010f-e491-4463-8653-e2b37e239280\">59<\/a><\/sup> Molntj\u00e4nstleverant\u00f6ren ska d\u00e5 ocks\u00e5 kompenseras f\u00f6r sitt bist\u00e5nd.<sup data-fn=\"1f2e2205-53ef-4ae0-af8c-b185cc0b5d49\" class=\"fn\"><a id=\"1f2e2205-53ef-4ae0-af8c-b185cc0b5d49-link\" href=\"#1f2e2205-53ef-4ae0-af8c-b185cc0b5d49\">60<\/a><\/sup><\/p>\n\n\n\n<p>Hur p\u00e5verkar detta kryptering som metod f\u00f6r att skydda uppgifter mot \u00e5tkomst fr\u00e5n amerikanska underr\u00e4ttelsemyndigheter? Vi bed\u00f6mer att en f\u00f6ruts\u00e4ttning m\u00e5ste vara att molntj\u00e4nstleverant\u00f6ren inte f\u00e5r ha teknisk m\u00f6jlighet att kringg\u00e5 krypteringen eller p\u00e5 annat s\u00e4tt f\u00e5 \u00e5tkomst till uppgifter i klartext. Molntj\u00e4nstleverant\u00f6ren skulle n\u00e4mligen kunna tvingas utnyttja en s\u00e5dan m\u00f6jlighet, \u00e4ven om det kr\u00e4vde att molntj\u00e4nstleverant\u00f6ren vidtog betydande \u00e5tg\u00e4rder som att anpassa sin programvara eller tj\u00e4nsteleverans. Molntj\u00e4nstleverant\u00f6rens \u00e5tagande enligt FISA 702 \u00e4r ju mycket omfattande, eller till synes rentav obegr\u00e4nsat; att ge <em>allt bist\u00e5nd som kr\u00e4vs<\/em> f\u00f6r att genomf\u00f6ra en inh\u00e4mtning.<\/p>\n\n\n\n<p>Det b\u00f6r bland annat inneb\u00e4ra att molntj\u00e4nstleverant\u00f6ren inte f\u00e5r ha teknisk m\u00f6jlighet att anv\u00e4nda sitt eget eller kundens beh\u00f6righetssystem f\u00f6r att ge sig sj\u00e4lv eller tredjelands myndigheter tillg\u00e5ng till personuppgifter, krypteringsfunktioner eller nycklar som kan dekryptera personuppgifter. Det \u00e4r ofta h\u00e4r som krypteringsuppl\u00e4gg visar sig otillr\u00e4ckliga i denna kontext, n\u00e4r det visar sig att molntj\u00e4nstleverant\u00f6ren vid n\u00e5got tillf\u00e4lle:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Hanterar data i klartext i molnet.<\/li>\n\n\n\n<li>Kan p\u00e5verka hur krypteringsnycklar skapas eller anv\u00e4nds.<\/li>\n\n\n\n<li>Hanterar kundens krypteringsnyckel i klartext i molnet.<\/li>\n\n\n\n<li>Har en egen krypteringsnyckel som hanteras i klartext i molnet.<\/li>\n\n\n\n<li>Har tillg\u00e5ng till nyckelhanteringssystemet eller beh\u00f6righetssystemet som kontrollerar \u00e5tkomsten till nyckelhanteringssystemet.<\/li>\n<\/ul>\n\n\n\n<p>Att uppgifter vid n\u00e5got tillf\u00e4lle hanteras i klartext i molnet \u00e4r en vanlig f\u00f6ruts\u00e4ttning f\u00f6r att molntj\u00e4nster s\u00e5som SaaS-l\u00f6sningar \u00f6ver huvud taget ska fungera. \u00c4ven om uppgifter \u00e4r krypterade vid vila (\u201dat rest\u201d) och under transport (\u201din transit\u201d) kan de allts\u00e5 beh\u00f6va dekrypteras n\u00e4r de anv\u00e4nds (\u201din use\u201d). S\u00e5 \u00e4r normalt sett fallet n\u00e4r uppgifterna ska \u00e4ndras, anv\u00e4nds i en ber\u00e4kning eller visas f\u00f6r en slutanv\u00e4ndare i en webbl\u00e4sare.<\/p>\n\n\n\n<p>Om all kryptering och dekryptering av uppgifter sker lokalt, och endast krypterade uppgifter hanteras i molnet, blir molnet inte mycket mer \u00e4n en passiv lagringsyta. Verksamheter f\u00f6rlorar d\u00e5 tillg\u00e5ng till molntj\u00e4nstleverant\u00f6rens skalbara ber\u00e4kningskraft f\u00f6r att bearbeta uppgifterna.<\/p>\n\n\n\n<p>Inte ens en stor molntj\u00e4nstleverant\u00f6rs l\u00f6sning f\u00f6r dubbelnyckelkryptering (DKE) visade sig ge BSI, den tyska federala myndigheten f\u00f6r informationss\u00e4kerhet, tillr\u00e4ckliga garantier. Genom att anv\u00e4nda tv\u00e5 nycklar, varav den ena alltid finns kvar hos kunden, \u00e4r DKE avsett att f\u00f6rhindra datal\u00e4ckage i s\u00e4rskilt s\u00e4krade milj\u00f6er. Men efter en <a href=\"https:\/\/arstechnica.com\/information-technology\/2024\/04\/microsoft-blamed-for-a-cascade-of-security-failures-in-exchange-breach-report\/\" target=\"_blank\" rel=\"noreferrer noopener\">s\u00e4rskilt allvarlig incident<\/a> hos molntj\u00e4nstleverant\u00f6ren fick BSI s\u00e5 otydliga besked att BSI inte kunde bed\u00f6ma om hotakt\u00f6ren <em>\u00e4nd\u00e5<\/em> kommit \u00e5t data i klartext. \u201dInte ens efter upprepade f\u00f6rfr\u00e5gningar och hot om r\u00e4ttsliga \u00e5tg\u00e4rder l\u00e4mnade Microsoft den beg\u00e4rda informationen. D\u00e4rf\u00f6r anv\u00e4nder BSI nu de r\u00e4ttsliga instrument som st\u00e5r till dess f\u00f6rfogande, f\u00f6rklarar en talesperson f\u00f6r BSI\u201d, <a href=\"https:\/\/heise.de\/-9722507\" target=\"_blank\" rel=\"noreferrer noopener\">rapporterar Heise Security<\/a>. En h\u00e4ndelse som f\u00e5r s\u00e4gas ha undergr\u00e4vt f\u00f6rtroendet f\u00f6r amerikanska molntj\u00e4nstleverant\u00f6rers kryptografiska l\u00f6sningar.<\/p>\n\n\n\n<p>Vi vill vara tydliga med att kryptering \u00e4r en viktig \u00e5tg\u00e4rd generellt. N\u00e4r en molntj\u00e4nstleverant\u00f6r utf\u00f6r molnkryptering vid vila och under transport kan det exempelvis skydda uppgifterna vid cyberattacker eller mot otill\u00e5ten \u00e5tkomst fr\u00e5n insiders. S\u00e5dan kryptering inneb\u00e4r emellertid inte att amerikanska molntj\u00e4nstleverant\u00f6rer har hindrats fr\u00e5n att l\u00e4mna ut uppgifterna enligt beg\u00e4randen fr\u00e5n amerikanska underr\u00e4ttelsemyndigheter.<\/p>\n\n\n\n<p>Vi har inte sett n\u00e5got fall d\u00e4r en amerikansk molntj\u00e4nstleverant\u00f6r visat hur de krypterar uppgifter p\u00e5 ett s\u00e4tt d\u00e4r kunden \u00e4r i full kontroll, och d\u00e4r molntj\u00e4nstleverant\u00f6ren inte har teknisk m\u00f6jlighet att dekryptera uppgifterna, utan att kunden ocks\u00e5 p\u00e5verkas av en eller flera av f\u00f6ljande:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Krypteringen omfattar endast en delm\u00e4ngd av de uppgifter som beh\u00f6ver hanteras i molnet.<\/li>\n\n\n\n<li>Reducerad funktionalitet eller prestanda eftersom det blir om\u00f6jligt eller sv\u00e5rt att bearbeta information i molnet samt s\u00f6ka efter, dela och samarbeta kring information.<\/li>\n\n\n\n<li>H\u00f6gre licenskostnader.<\/li>\n\n\n\n<li>Administrativ b\u00f6rda f\u00f6r att hantera krypteringen, samt tillh\u00f6rande s\u00e4kerhetsrisker d\u00e4r en nyckel m\u00e5ste skyddas mot obeh\u00f6rig \u00e5tkomst samt att all krypterad information g\u00e5r f\u00f6rlorad om nyckeln g\u00e5r f\u00f6rlorad. Hanteras nyckeln hos en tredje part kr\u00e4vs tillit till att denne skyddar nyckeln tillr\u00e4ckligt v\u00e4l mot obeh\u00f6rig \u00e5tkomst samt inte f\u00f6rlorar nyckeln. Det g\u00f6r att mycket st\u00e5r p\u00e5 spel.<\/li>\n\n\n\n<li>\u00d6kade krav p\u00e5 medarbetare g\u00e4llande i vilka system och digitala verktyg de f\u00e5r hantera information, krav som \u00e4r sv\u00e5ra att uppr\u00e4tth\u00e5lla fullt ut.<\/li>\n<\/ul>\n\n\n\n<p>D\u00e4rtill beh\u00f6ver beaktas att nuvarande krypteringsalgoritmer och deras implementering kan visa sig s\u00e5rbara i framtiden, exempelvis med h\u00e4nsyn till forskning inom kryptering, att processorkraft blir billigare samt nya teknologiska paradigm s\u00e5som kvantteknik.<\/p>\n\n\n\n<p>Utmaningarna med pseudonymisering, eller att dela upp data i mindre delar (s.k. microsharding), \u00e4r i stort sett de samma som vid kryptering.<\/p>\n\n\n\n<p>Vi h\u00e4vdar inte att kryptering, pseudonymisering eller andra tekniker om\u00f6jligen kan hindra \u00e5tkomst fr\u00e5n amerikanska underr\u00e4ttelsetj\u00e4nster. Vi fr\u00e5gar oss emellertid varf\u00f6r en verksamhet skulle vilja ta risken att dessa \u00e5tg\u00e4rder inte r\u00e4cker till r\u00e4ttsligt eller i praktiken samtidigt som verksamheten m\u00e5ste dras med h\u00f6gre kostnader och praktiska begr\u00e4nsningar.<\/p>\n\n\n\n<p>Vi tror att r\u00e4ttsligt h\u00e5llbara samt l\u00e4mpliga molntj\u00e4nster, d\u00e4r uppgifter krypteras men ocks\u00e5 hanteras i klartext n\u00e4r och d\u00e4r det beh\u00f6vs, ger st\u00f6rst v\u00e4rde f\u00f6r pengarna och mest innovation. D\u00e5 kommer n\u00e4mligen molnets skalbara kapacitet till sin r\u00e4tt fullt ut. Vi menar d\u00e4rf\u00f6r att molntj\u00e4nster med verklig datasuver\u00e4nitet, utan exponering mot amerikansk lagstiftning, fortsatt \u00e4r det mest attraktiva alternativet.<\/p>\n\n\n\n<div style=\"height:10px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-kallor\">K\u00e4llor<\/h2>\n\n\n<ol class=\"wp-block-footnotes\"><li id=\"391e3e3b-a068-454b-ae3e-7583560abba4\">Det amerikanska handelsdepartementet publicerar listan p\u00e5 en <a href=\"https:\/\/www.dataprivacyframework.gov\/\" target=\"_blank\" rel=\"noreferrer noopener\">s\u00e4rskild webbplats<\/a>. <a href=\"#391e3e3b-a068-454b-ae3e-7583560abba4-link\" aria-label=\"Hoppa till fotnotsreferens 1\">\u21a9\ufe0e<\/a><\/li><li id=\"028c64b6-9d4a-4d5e-8bd1-dbd6c61ce64b\">EU-kommissionens <a href=\"https:\/\/commission.europa.eu\/document\/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en\" target=\"_blank\" rel=\"noreferrer noopener\">adekvansbeslut<\/a> anger i sk\u00e4l 8 att <em>\u201dThis Decision has the effect that personal data transfers from controllers and processors in the Union <span style=\"text-decoration: underline\">to certified organisations in the United States<\/span> may take place without the need to obtain any further authorisation.\u201d<\/em> (Cleuras understrykning, fotnot utel\u00e4mnad). P\u00e5 <a href=\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/overforing-till-tredje-land\/adekvat-skyddsniva\/\" target=\"_blank\" rel=\"noreferrer noopener\">Integritetsskyddsmyndighetens webbplats<\/a> framg\u00e5r ocks\u00e5 att mottagaren m\u00e5ste omfattas av \u201dEU-US Data Privacy Framework\u201d. <a href=\"#028c64b6-9d4a-4d5e-8bd1-dbd6c61ce64b-link\" aria-label=\"Hoppa till fotnotsreferens 2\">\u21a9\ufe0e<\/a><\/li><li id=\"928064a0-26a1-4234-afa1-75a3494221aa\">Artikel 52.1 EU-stadgan, C-311\/18 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\" target=\"_blank\" rel=\"noreferrer noopener\">Schrems II<\/a> p. 175-176. <a href=\"#928064a0-26a1-4234-afa1-75a3494221aa-link\" aria-label=\"Hoppa till fotnotsreferens 3\">\u21a9\ufe0e<\/a><\/li><li id=\"22926bf5-930c-489b-a143-cd4cda667d4e\">C-311\/18 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\" target=\"_blank\" rel=\"noreferrer noopener\">Schrems II<\/a> p. 176-180. <a href=\"#22926bf5-930c-489b-a143-cd4cda667d4e-link\" aria-label=\"Hoppa till fotnotsreferens 4\">\u21a9\ufe0e<\/a><\/li><li id=\"83009420-af48-4ffb-93a3-87daa66f2c23\">Ibid., p. 175-176. <a href=\"#83009420-af48-4ffb-93a3-87daa66f2c23-link\" aria-label=\"Hoppa till fotnotsreferens 5\">\u21a9\ufe0e<\/a><\/li><li id=\"b0476bd5-d6c5-4c2b-9608-8b4333856ace\"><a href=\"https:\/\/edpb.europa.eu\/our-work-tools\/our-documents\/letters\/edpb-edps-joint-response-libe-committee-impact-us-cloud-act_en\" target=\"_blank\" rel=\"noreferrer noopener\">EDPB-EDPS Joint Response to the LIBE Committee on the impact of the US Cloud Act on the European legal framework for personal data protection<\/a>. <a href=\"#b0476bd5-d6c5-4c2b-9608-8b4333856ace-link\" aria-label=\"Hoppa till fotnotsreferens 6\">\u21a9\ufe0e<\/a><\/li><li id=\"8a448cd1-c99d-4803-9606-07dfff3fc050\">Ibid, s. 5,\u00a0<em>\u201cTaking into account the elements above, and considering in particular that US law enforcement authorities request for access would occur in the absence of a framework provided by an international agreement, we consider that data subjects may be deprived from the protection afforded by the provision of Article 47 of the Charter, such as the right to an effective remedy, or that this right could not be exercised in practice.\u201c<\/em> <a href=\"#8a448cd1-c99d-4803-9606-07dfff3fc050-link\" aria-label=\"Hoppa till fotnotsreferens 7\">\u21a9\ufe0e<\/a><\/li><li id=\"7b8114a1-2e3c-4d27-85e6-423b7536cd1a\">EU-domstolens dom i C-311\/18\u00a0<a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\" target=\"_blank\" rel=\"noreferrer noopener\">Schrems II<\/a>\u00a0p. 187. <a href=\"#7b8114a1-2e3c-4d27-85e6-423b7536cd1a-link\" aria-label=\"Hoppa till fotnotsreferens 8\">\u21a9\ufe0e<\/a><\/li><li id=\"abd22a29-c59d-40d3-bcec-67e255ffd998\"><a href=\"https:\/\/edpb.europa.eu\/our-work-tools\/our-documents\/letters\/edpb-edps-joint-response-libe-committee-impact-us-cloud-act_en\" target=\"_blank\" rel=\"noreferrer noopener\">EDPB-EDPS Joint Response to the LIBE Committee on the impact of the US Cloud Act on the European legal framework for personal data protection<\/a>, s. 1,\u00a0<em>\u201cBy choosing to create a legal avenue under US law for US law enforcement authorities to require disclosure of personal data directly from service providers who fall under US jurisdiction, irrespective of where the data is stored, the US Congress enacts into US law a practice of US governmental entities likely to bypass the Mutual legal assistance in criminal matters treaty (MLAT) in force between the European Union and the United States of America.\u201c<\/em>\u00a0(fotnoter utel\u00e4mnade). <a href=\"#abd22a29-c59d-40d3-bcec-67e255ffd998-link\" aria-label=\"Hoppa till fotnotsreferens 9\">\u21a9\ufe0e<\/a><\/li><li id=\"d4833c24-1244-4eff-b64c-fe27f97824c0\"><a href=\"https:\/\/www.law.cornell.edu\/uscode\/text\/50\/1881a\" target=\"_blank\" rel=\"noreferrer noopener\">50 U.S.C. \u00a7 1881a<\/a>(a) och (b). <a href=\"#d4833c24-1244-4eff-b64c-fe27f97824c0-link\" aria-label=\"Hoppa till fotnotsreferens 10\">\u21a9\ufe0e<\/a><\/li><li id=\"431a6f9d-5b78-4907-a2d6-1a994108d638\"><a href=\"https:\/\/www.datenschutzkonferenz-online.de\/media\/weitere_dokumente\/Vladek_Rechtsgutachten_DSK_en.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Stephen I. Vladeck Expert Opinion on the Current State of U.S. Surveillance Law and Authorities<\/a>, s. 10 i pdf-dokumentet. <a href=\"#431a6f9d-5b78-4907-a2d6-1a994108d638-link\" aria-label=\"Hoppa till fotnotsreferens 11\">\u21a9\ufe0e<\/a><\/li><li id=\"1a1d0b7e-474d-48d6-bcb3-0d4509f9a710\"><a href=\"https:\/\/world.hey.com\/dhh\/american-data-spies-will-never-care-where-the-servers-are-371d4016\" target=\"_blank\" rel=\"noreferrer noopener\">American data spies will never care where the servers are<\/a>,\u00a0<em>\u201cWe looked into all these issues at length when\u00a0<a href=\"https:\/\/www.gdprsummary.com\/schrems-ii\/\" target=\"_blank\" rel=\"noreferrer noopener\">the Schrems II verdict<\/a>\u00a0arrived back in 2020. Had a whole team of lawyers in the US investigate whether we, 37signals, as an American company, could construct any constellation of subsidiaries, servers in Europe, or whatever, to prevent something like FISA Section 702 from compelling us to hand over data on European citizens in the event the authorities came no-warrant knocking. The answer was clear: no.\u201c<\/em> <a href=\"#1a1d0b7e-474d-48d6-bcb3-0d4509f9a710-link\" aria-label=\"Hoppa till fotnotsreferens 12\">\u21a9\ufe0e<\/a><\/li><li id=\"61a13f2c-272a-443c-a81f-af50ffdab9d5\">C-252\/21 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=275125&amp;doclang=SV\" target=\"_blank\" rel=\"noreferrer noopener\">Meta Platforms mot Bundeskartellamt<\/a> p. 124. <a href=\"#61a13f2c-272a-443c-a81f-af50ffdab9d5-link\" aria-label=\"Hoppa till fotnotsreferens 13\">\u21a9\ufe0e<\/a><\/li><li id=\"8d9f9bf2-f657-4060-8c07-edfe5203d752\">I flera andra spr\u00e5kversioner av GDPR anv\u00e4nds begrepp med en annan betydelse \u00e4n \u201dgenomf\u00f6ras\u201d. Inneb\u00f6rden \u00e4r snarare att besluten inte ens f\u00e5r <em>bli verkst\u00e4llbara<\/em>. Se t.ex. f\u00f6ljande spr\u00e5kversioner: engelska (\u201denforceable\u201d), tyska (\u201dvollstreckbar werden\u201d), franska (\u201drendue ex\u00e9cutoire\u201d) och italienska (\u201dassumere qualsivoglia carattere esecutivo\u201d). <a href=\"#8d9f9bf2-f657-4060-8c07-edfe5203d752-link\" aria-label=\"Hoppa till fotnotsreferens 14\">\u21a9\ufe0e<\/a><\/li><li id=\"0893c586-28c0-414b-97d0-ede5253ca79d\">Vad g\u00e4ller artikel 49, se \u00e4ven <a href=\"https:\/\/edpb.europa.eu\/our-work-tools\/our-documents\/letters\/edpb-edps-joint-response-libe-committee-impact-us-cloud-act_sv\" target=\"_blank\" rel=\"noreferrer noopener\">EDPB-EDPS Joint Response to the LIBE Committee on the impact of the US Cloud Act on the European legal framework for personal data protection<\/a>, s. 6 f. <a href=\"#0893c586-28c0-414b-97d0-ede5253ca79d-link\" aria-label=\"Hoppa till fotnotsreferens 15\">\u21a9\ufe0e<\/a><\/li><li id=\"67de80ed-fbe6-4c66-90f3-575bb488177b\">\u201dWe also need a new generation of international agreements that define when and how governments will seek data stored within other countries\u2019 borders, starting with our European allies.\u201d, fr\u00e5n hans debattartikel i Washington Post, <a href=\"https:\/\/www.washingtonpost.com\/opinions\/2021\/06\/13\/microsoft-brad-smith-trump-justice-department-gag-orders\/\" target=\"_blank\" rel=\"noreferrer noopener\">The Secret Gag Orders Must Stop<\/a>. EU och USA har exempelvis inlett f\u00f6rhandlingar om effektivare \u00e5tkomst till e-bevisning. Vad g\u00e4ller underr\u00e4ttelseinh\u00e4mtning, vilket Schrems-domarna handlar om, \u00e4r det emellertid tyst. <a href=\"#67de80ed-fbe6-4c66-90f3-575bb488177b-link\" aria-label=\"Hoppa till fotnotsreferens 16\">\u21a9\ufe0e<\/a><\/li><li id=\"70f5a850-c0a5-4109-bedf-1f239ac19082\">Beroende p\u00e5 molntj\u00e4nstens art skulle metadata kunna omfatta information om vid vilka tidpunkter en person har anv\u00e4nt en tj\u00e4nst, fr\u00e5n vilka ungef\u00e4rliga platser (genom ip-adressen), med vem kommunikation har skett och hur ofta, etc. Det \u00e4r allts\u00e5 mer \u00e4n bara informationsinneh\u00e5ll, eller <em>content data<\/em> som det ibland kallas p\u00e5 engelska, som kan vara k\u00e4nsligt. EU-domstolen har i ett m\u00e5l om krav p\u00e5 datalagring hos telekomoperat\u00f6rer noterat att <em>\u201ctrafik- och lokaliseringsuppgifter kan avsl\u00f6ja information om ett stort antal aspekter av de ber\u00f6rda personernas privatliv, inbegripet k\u00e4nslig information, s\u00e5som sexuell l\u00e4ggning, politisk \u00e5sk\u00e5dning, religi\u00f6s, filosofisk eller annan \u00f6vertygelse, samh\u00e4lls\u00e5sk\u00e5dning samt h\u00e4lsotillst\u00e5nd, med h\u00e4nsyn till att s\u00e5dana uppgifter dessutom omfattas av ett s\u00e4rskilt skydd enligt unionsr\u00e4tten. Dessa uppgifter kan sammantagna g\u00f6ra det m\u00f6jligt att dra mycket precisa slutsatser om privatlivet f\u00f6r de personer vilkas uppgifter har lagrats, s\u00e5som deras vanor i vardagslivet, deras stadigvarande och tillf\u00e4lliga uppeh\u00e5llsorter, deras dagliga f\u00f6rflyttningar och f\u00f6rflyttningar i \u00f6vrigt, de aktiviteter de ut\u00f6var, deras sociala relationer och de umg\u00e4ngeskretsar de r\u00f6r sig i. <span style=\"text-decoration: underline\">I synnerhet g\u00f6r dessa uppgifter det m\u00f6jligt att kartl\u00e4gga de ber\u00f6rda personerna p\u00e5 ett s\u00e4tt som \u00e4r lika k\u00e4nsligt med avseende p\u00e5 r\u00e4tten till respekt f\u00f6r privatlivet som sj\u00e4lva inneh\u00e5llet i kommunikationerna<\/span>\u201c<\/em> (F\u00f6renade m\u00e5len C\u2011511\/18, C\u2011512\/18 och C\u2011520\/18 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf;jsessionid=D7C7F6A1BDBB35897124A8D248B6E1CC?text=&amp;docid=232084&amp;pageIndex=0&amp;doclang=SV&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=299060\" target=\"_blank\" rel=\"noreferrer noopener\">La Quadrature du Net<\/a>, p. 117, Cleuras understrykning). <a href=\"#70f5a850-c0a5-4109-bedf-1f239ac19082-link\" aria-label=\"Hoppa till fotnotsreferens 17\">\u21a9\ufe0e<\/a><\/li><li id=\"d97a9f93-09e5-4785-b9cb-fea4ac2a56b4\">D\u00e4remot skulle statistik fr\u00e5n ett tredjeland vars lagstiftning faktiskt n\u00e5r upp till unionsr\u00e4ttens skyddsniv\u00e5 kunna bekr\u00e4fta bilden av att lagstiftningen efterlevs i praktiken. <a href=\"#d97a9f93-09e5-4785-b9cb-fea4ac2a56b4-link\" aria-label=\"Hoppa till fotnotsreferens 18\">\u21a9\ufe0e<\/a><\/li><li id=\"5b570239-ebb4-4091-a9e7-509dcd1f3e8a\">C-311\/18 Schrems II p. 126, <em>\u201c\u00c4ven om det s\u00e5ledes finns situationer d\u00e4r mottagaren av en s\u00e5dan \u00f6verf\u00f6ring, beroende p\u00e5 r\u00e4ttsl\u00e4get och g\u00e4llande praxis i det ber\u00f6rda tredjelandet, kan garantera det n\u00f6dv\u00e4ndiga skyddet av uppgifter enbart med st\u00f6d av de standardiserade dataskyddsbest\u00e4mmelserna, finns det andra situationer i vilka best\u00e4mmelserna i dessa klausuler inte kan vara ett tillr\u00e4ckligt medel f\u00f6r att i praktiken s\u00e4kerst\u00e4lla ett effektivt skydd av de personuppgifter som \u00f6verf\u00f6rs till det ber\u00f6rda tredjelandet. S\u00e5 \u00e4r bland annat fallet n\u00e4r <span style=\"text-decoration: underline\">lagstiftningen<\/span> i det tredjelandet <span style=\"text-decoration: underline\">till\u00e5ter<\/span> att myndigheterna i detta tredjeland g\u00f6r ingrepp i de registrerade personernas r\u00e4ttigheter avseende dessa uppgifter.\u201c<\/em> (Cleuras understrykning). Jfr \u00e4ven m\u00e5l C-293\/12 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?mode=DOC&amp;pageIndex=0&amp;docid=150642&amp;part=1&amp;doclang=EN&amp;text=&amp;dir=&amp;occ=first&amp;cid=5189325\" target=\"_blank\" rel=\"noreferrer noopener\">Digital Rights Ireland<\/a> d\u00e4r EU-domstolen ogiltigf\u00f6rklarade datalagringsdirektivet i sin helhet trots att det kan f\u00f6rmodas att en mycket liten andel av de lagrade uppgifterna n\u00e5gonsin skulle komma att l\u00e4mnas ut. Det m\u00e5let g\u00e4llde behandling och utl\u00e4mnanden till myndigheter i EU. <a href=\"#5b570239-ebb4-4091-a9e7-509dcd1f3e8a-link\" aria-label=\"Hoppa till fotnotsreferens 19\">\u21a9\ufe0e<\/a><\/li><li id=\"8163cd48-1f91-456d-ac36-b50526458113\">C-311\/18 Schrems II p. 135, <em>\u201cOm den personuppgiftsansvarige eller personuppgiftsbitr\u00e4det som \u00e4r etablerade i unionen inte kan vidta ytterligare \u00e5tg\u00e4rder som \u00e4r tillr\u00e4ckliga f\u00f6r att s\u00e4kerst\u00e4lla ett s\u00e5dant skydd, \u00e4r dessa eller, i andra hand, den beh\u00f6riga tillsynsmyndigheten, skyldiga att avbryta eller upph\u00f6ra med \u00f6verf\u00f6ringen av personuppgifter till det ber\u00f6rda tredjelandet. S\u00e5 \u00e4r bland annat fallet n\u00e4r <span style=\"text-decoration: underline\">lagstiftningen<\/span> i det tredjelandet \u00e5l\u00e4gger mottagaren av en \u00f6verf\u00f6ring av personuppgifter fr\u00e5n unionen skyldigheter som strider mot n\u00e4mnda klausuler, vilket f\u00f6ljaktligen <span style=\"text-decoration: underline\">kan \u00e4ventyra<\/span> den avtalsenliga garantin om adekvat skydd mot att offentliga myndigheter i det ber\u00f6rda tredjelandet f\u00e5r \u00e5tkomst till dessa uppgifter.\u201c<\/em> (Cleuras understrykning). <a href=\"#8163cd48-1f91-456d-ac36-b50526458113-link\" aria-label=\"Hoppa till fotnotsreferens 20\">\u21a9\ufe0e<\/a><\/li><li id=\"be8166d6-679b-4250-b7fb-17bb17696212\">I fallet med tredjelands\u00f6verf\u00f6ringen (C-311\/18 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\" target=\"_blank\" rel=\"noreferrer noopener\">Schrems II<\/a>) var det s\u00e5ledes tillr\u00e4ckligt att de r\u00e4ttsliga skyldigheterna i sig stred mot standardavtalsklausulerna. N\u00e4r personuppgifter behandlas inom EU framst\u00e5r det som rimligt att det r\u00e4cker att de r\u00e4ttsliga skyldigheterna strider mot EU-stadgan eller GDPR, eftersom dessa kommer att g\u00e4lla ist\u00e4llet f\u00f6r standardavtalsklausulerna. Relevanta skyldigheter enligt GDPR diskuteras i avsnittet <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-nar-personuppgiftsbitradet-far-avvika-fran-sina-instruktioner\">N\u00e4r personuppgiftsbitr\u00e4det f\u00e5r avvika fr\u00e5n sina instruktioner<\/a>. <a href=\"#be8166d6-679b-4250-b7fb-17bb17696212-link\" aria-label=\"Hoppa till fotnotsreferens 21\">\u21a9\ufe0e<\/a><\/li><li id=\"9ab28efe-b02d-41e5-97bc-c3439dbebc79\">C-311\/18 Schrems II p. 171. I den svenska spr\u00e5kversionen anges att det har <em>f\u00f6ga <\/em>betydelse om uppgifterna \u00e4r av k\u00e4nslig art eller om personer drabbas av n\u00e5gon ol\u00e4genhet, men i flera andra spr\u00e5kversioner \u00e4r inneb\u00f6rden i st\u00e4llet <em>oavsett<\/em>. Se t.ex. engelska (\u201dirrespective\u201d), tyska (\u201des nicht darauf ankommt\u201d), franska (\u201dind\u00e9pendamment\u201d) och italienska (\u201dindipendentemente\u201d). <a href=\"#9ab28efe-b02d-41e5-97bc-c3439dbebc79-link\" aria-label=\"Hoppa till fotnotsreferens 22\">\u21a9\ufe0e<\/a><\/li><li id=\"076f371b-dd99-40f3-8a08-218c02808d05\">F\u00f6renade m\u00e5len C-293\/12 och C-594\/12 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=150642&amp;pageIndex=0&amp;doclang=SV&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=19671\" target=\"_blank\" rel=\"noreferrer noopener\">Digital Rights Ireland<\/a>. <a href=\"#076f371b-dd99-40f3-8a08-218c02808d05-link\" aria-label=\"Hoppa till fotnotsreferens 23\">\u21a9\ufe0e<\/a><\/li><li id=\"e694d3e8-1bfd-44f7-99ad-ef19b398b0e4\">Ibid, p. 37. <a href=\"#e694d3e8-1bfd-44f7-99ad-ef19b398b0e4-link\" aria-label=\"Hoppa till fotnotsreferens 24\">\u21a9\ufe0e<\/a><\/li><li id=\"6f7d2cc2-0f31-4c45-8702-5e3b24227864\">Se exempelvis <a href=\"https:\/\/www.justsecurity.org\/83927\/the-biden-administrations-sigint-executive-order-part-ii\/\" target=\"_blank\" rel=\"noreferrer noopener\">The Biden Administration\u2019s SIGINT Executive Order, Part I: New Rules Leave Door Open to Bulk Surveillance<\/a> och <a href=\"https:\/\/www.justsecurity.org\/83927\/the-biden-administrations-sigint-executive-order-part-ii\/\" target=\"_blank\" rel=\"noreferrer noopener\">Part II: Redress for Unlawful Surveillance<\/a>. <a href=\"#6f7d2cc2-0f31-4c45-8702-5e3b24227864-link\" aria-label=\"Hoppa till fotnotsreferens 25\">\u21a9\ufe0e<\/a><\/li><li id=\"2e0ff281-16bf-4fdb-b563-35090355e681\"><a href=\"https:\/\/www.whitehouse.gov\/briefing-room\/presidential-actions\/2022\/10\/07\/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities\/\" target=\"_blank\" rel=\"noreferrer noopener\">Executive Order 14086 On Enhancing Safeguards For United States Signals Intelligence Activities<\/a>, \u00e4ven tillg\u00e4nglig i strukturerad form p\u00e5 <a href=\"https:\/\/noyb.eu\/sites\/default\/files\/2022-10\/Biden%20EO%20on%20Surveillance%2C%20Structured.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">noybs webbplats.<\/a> <a href=\"#2e0ff281-16bf-4fdb-b563-35090355e681-link\" aria-label=\"Hoppa till fotnotsreferens 26\">\u21a9\ufe0e<\/a><\/li><li id=\"dc4810e9-1eb0-426d-a3ed-a6a4ce5e151b\">C-311\/18 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\" target=\"_blank\" rel=\"noreferrer noopener\">Schrems II<\/a> p. 176. <a href=\"#dc4810e9-1eb0-426d-a3ed-a6a4ce5e151b-link\" aria-label=\"Hoppa till fotnotsreferens 27\">\u21a9\ufe0e<\/a><\/li><li id=\"edde6a11-1b0d-49a0-8979-15ee32287e9a\">C-311\/18 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\" target=\"_blank\" rel=\"noreferrer noopener\">Schrems II<\/a> p. 175-176. <a href=\"#edde6a11-1b0d-49a0-8979-15ee32287e9a-link\" aria-label=\"Hoppa till fotnotsreferens 28\">\u21a9\ufe0e<\/a><\/li><li id=\"637db5c1-4f66-4fa0-80c6-3a0a0c15d741\">C-311\/18 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\" target=\"_blank\" rel=\"noreferrer noopener\">Schrems II<\/a> p. 184. <a href=\"#637db5c1-4f66-4fa0-80c6-3a0a0c15d741-link\" aria-label=\"Hoppa till fotnotsreferens 29\">\u21a9\ufe0e<\/a><\/li><li id=\"018a64bc-dfbd-4db6-9b05-f955f19fb667\">\u00a7 201.10 <a href=\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">DPRC-best\u00e4mmelserna<\/a>. <a href=\"#018a64bc-dfbd-4db6-9b05-f955f19fb667-link\" aria-label=\"Hoppa till fotnotsreferens 30\">\u21a9\ufe0e<\/a><\/li><li id=\"b84bf371-8b8f-4d3e-bb98-80e47cbc3361\">US Department of Justice, <a href=\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Data Protection Review Court Final Rule<\/a>. <a href=\"#b84bf371-8b8f-4d3e-bb98-80e47cbc3361-link\" aria-label=\"Hoppa till fotnotsreferens 31\">\u21a9\ufe0e<\/a><\/li><li id=\"5caf1d79-4321-43f8-8cac-e99f5626006a\">C-311\/18 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\" target=\"_blank\" rel=\"noreferrer noopener\">Schrems II<\/a> p. 197. <a href=\"#5caf1d79-4321-43f8-8cac-e99f5626006a-link\" aria-label=\"Hoppa till fotnotsreferens 32\">\u21a9\ufe0e<\/a><\/li><li id=\"e468b331-df3d-40c2-b148-16d9e78e7753\">\u201dThe DPRC will be established within the Department of Justice\u201d, s. 3 <a href=\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">DPRC-best\u00e4mmelserna<\/a>. <a href=\"#e468b331-df3d-40c2-b148-16d9e78e7753-link\" aria-label=\"Hoppa till fotnotsreferens 33\">\u21a9\ufe0e<\/a><\/li><li id=\"c028be1d-78be-43d7-93c3-503b45143e14\">\u00a7 201.7 (d) <a href=\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">DPRC-best\u00e4mmelserna<\/a>. <a href=\"#c028be1d-78be-43d7-93c3-503b45143e14-link\" aria-label=\"Hoppa till fotnotsreferens 34\">\u21a9\ufe0e<\/a><\/li><li id=\"32f45a1d-21a1-4ef3-a099-2fe760f45c77\">C-311\/18 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\" target=\"_blank\" rel=\"noreferrer noopener\">Schrems II<\/a> p. 195. <a href=\"#32f45a1d-21a1-4ef3-a099-2fe760f45c77-link\" aria-label=\"Hoppa till fotnotsreferens 35\">\u21a9\ufe0e<\/a><\/li><li id=\"b6bae316-311a-4a1c-90dc-9d93d9901a99\">\u00a7 201.2 <a href=\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">DPRC-best\u00e4mmelserna<\/a>, som pekar p\u00e5 definitionen av \u201dcovered violation\u201d i <a href=\"https:\/\/noyb.eu\/sites\/default\/files\/2022-10\/Biden%20EO%20on%20Surveillance%2C%20Structured.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">EO 14086<\/a>, se sektion 4(d). <a href=\"#b6bae316-311a-4a1c-90dc-9d93d9901a99-link\" aria-label=\"Hoppa till fotnotsreferens 36\">\u21a9\ufe0e<\/a><\/li><li id=\"f445548d-4724-494f-a286-d7e88aa9118f\">Vi f\u00f6rmodar att det i s\u00e5 fall redan hade varit k\u00e4nt med tanke p\u00e5 att resursstarka akt\u00f6rer p\u00e5 olika s\u00e4tt har belyst amerikansk r\u00e4tt under de r\u00e4ttsprocesser som ledde fram till Schrems II-domen. <a href=\"#f445548d-4724-494f-a286-d7e88aa9118f-link\" aria-label=\"Hoppa till fotnotsreferens 37\">\u21a9\ufe0e<\/a><\/li><li id=\"24d81802-a6d5-4181-af51-67d50f39770b\">\u00a7 201.10 <a href=\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">DPRC-best\u00e4mmelserna<\/a>. <a href=\"#24d81802-a6d5-4181-af51-67d50f39770b-link\" aria-label=\"Hoppa till fotnotsreferens 38\">\u21a9\ufe0e<\/a><\/li><li id=\"4039cc77-4d16-4a03-bcf3-3aa8c1e6e039\">Vi ber\u00f6r <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/amerikansk-vs-europeisk-overvakning-analys-av-skillnader-i-rattighetsskyddet-vid-anvandning-av-molntjanster\/#h-tredjepartsdoktrinen\" target=\"_blank\" rel=\"noreferrer noopener\">tredjepartsdoktrinen<\/a> och mer i rapporten <a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/amerikansk-vs-europeisk-overvakning-analys-av-skillnader-i-rattighetsskyddet-vid-anvandning-av-molntjanster\/\" target=\"_blank\" rel=\"noreferrer noopener\">Amerikansk vs europeisk \u00f6vervakning: Analys av skillnader i r\u00e4ttighetsskyddet vid anv\u00e4ndning av molntj\u00e4nster<\/a>. <a href=\"#4039cc77-4d16-4a03-bcf3-3aa8c1e6e039-link\" aria-label=\"Hoppa till fotnotsreferens 39\">\u21a9\ufe0e<\/a><\/li><li id=\"a99aa73c-d3a4-4ecc-9870-a9decc07537f\">C-311\/18 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\" target=\"_blank\" rel=\"noreferrer noopener\">Schrems II<\/a> p. 187. <a href=\"#a99aa73c-d3a4-4ecc-9870-a9decc07537f-link\" aria-label=\"Hoppa till fotnotsreferens 40\">\u21a9\ufe0e<\/a><\/li><li id=\"e611c7ef-6ef2-49df-b255-3494e28f3e53\"><a href=\"https:\/\/www.foia.gov\/faq.html\" target=\"_blank\" rel=\"noreferrer noopener\">FOIA.gov FAQ<\/a>, fr\u00e5gan \u201cWhat are exclusions?\u201d <a href=\"#e611c7ef-6ef2-49df-b255-3494e28f3e53-link\" aria-label=\"Hoppa till fotnotsreferens 41\">\u21a9\ufe0e<\/a><\/li><li id=\"cdf493cd-f07b-48eb-915b-a7394ea379a3\">C-311\/18 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\" target=\"_blank\" rel=\"noreferrer noopener\">Schrems II<\/a> p. 45, i citaten av sk\u00e4l 115-116. <a href=\"#cdf493cd-f07b-48eb-915b-a7394ea379a3-link\" aria-label=\"Hoppa till fotnotsreferens 42\">\u21a9\ufe0e<\/a><\/li><li id=\"0ec57de3-b216-4a7b-90b7-9852d8abd39d\">C-311\/18 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\" target=\"_blank\" rel=\"noreferrer noopener\">Schrems II<\/a> p. 181. <a href=\"#0ec57de3-b216-4a7b-90b7-9852d8abd39d-link\" aria-label=\"Hoppa till fotnotsreferens 43\">\u21a9\ufe0e<\/a><\/li><li id=\"35b7758e-e1f0-4db7-b1ec-b2cc40b20fa8\">\u00a7 201.9 (h) <a href=\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">DPRC-best\u00e4mmelserna<\/a>, Cleuras \u00f6vers\u00e4ttning. <a href=\"#35b7758e-e1f0-4db7-b1ec-b2cc40b20fa8-link\" aria-label=\"Hoppa till fotnotsreferens 44\">\u21a9\ufe0e<\/a><\/li><li id=\"34902137-6575-4dac-a607-728b8f9a5bef\">\u00a7 201.11 (b) <a href=\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">DPRC-best\u00e4mmelserna<\/a>, Cleuras \u00f6vers\u00e4ttning. <a href=\"#34902137-6575-4dac-a607-728b8f9a5bef-link\" aria-label=\"Hoppa till fotnotsreferens 45\">\u21a9\ufe0e<\/a><\/li><li id=\"7c45e2c1-d681-4a4a-ac2f-50c10e6487ad\">C-487\/21 <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=273286&amp;pageIndex=0&amp;doclang=SV&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=13292847\" target=\"_blank\" rel=\"noreferrer noopener\">\u00d6sterreichische Datenschutzbeh\u00f6rde<\/a>, p. 34-35. <a href=\"#7c45e2c1-d681-4a4a-ac2f-50c10e6487ad-link\" aria-label=\"Hoppa till fotnotsreferens 46\">\u21a9\ufe0e<\/a><\/li><li id=\"02edd1a1-d416-4d2a-8847-a4b5e332acbf\">EU-domstolen uttalade i de f\u00f6renade m\u00e5len C-584\/10 P, C-593\/10 P och C-595\/10 P <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=139745&amp;pageIndex=0&amp;doclang=SV&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=1090358\" target=\"_blank\" rel=\"noreferrer noopener\">Kadi<\/a>, p. 102, 125 och 126 att sekretess f\u00f6r information inte kunde g\u00f6ras g\u00e4llande mot unionens domstolar, eftersom en granskning av relevant information beh\u00f6vdes f\u00f6r att kunna s\u00e4kerst\u00e4lla r\u00e4tten till ett effektivt domstolsskydd: <em>\u201dEtt p\u00e5st\u00e5ende om kr\u00e4nkning av r\u00e4tten till f\u00f6rsvar och r\u00e4tten till ett effektivt domstolsskydd m\u00e5ste dessutom pr\u00f6vas mot bakgrund av de specifika omst\u00e4ndigheterna i varje enskilt fall \u2026 Det \u00e4r riktigt att det finns tvingande h\u00e4nsyn som r\u00f6r unionens eller dess medlemsstaters s\u00e4kerhet eller deras internationella relationer som kan utg\u00f6ra hinder f\u00f6r att l\u00e4mna ut vissa uppgifter eller viss bevisning till den ber\u00f6rda personen. I s\u00e5dana fall ankommer det dock p\u00e5 unionsdomstolen, <span style=\"text-decoration: underline\">mot vilken det inte kan g\u00f6ras g\u00e4llande att uppgifterna eller bevisen \u00e4r sekretessbelagda eller hemliga<\/span>, att inom ramen f\u00f6r sin domstolspr\u00f6vning, anv\u00e4nda sig av metoder som g\u00f6r det m\u00f6jligt att f\u00f6rena ber\u00e4ttigade s\u00e4kerhetsh\u00e4nsyn \u2026 med n\u00f6dv\u00e4ndigheten av att i tillr\u00e4cklig utstr\u00e4ckning s\u00e4kerst\u00e4lla den enskildes processuella r\u00e4ttigheter, s\u00e5som r\u00e4tten att yttra sig och principen om ett kontradiktoriskt f\u00f6rfarande \u2026 Domstolen ska h\u00e4rvid med beaktande av samtliga r\u00e4ttsliga och faktiska omst\u00e4ndigheter som \u00e5beropats av den beh\u00f6riga unionsmyndigheten, pr\u00f6va om det finns st\u00f6d f\u00f6r de sk\u00e4l f\u00f6r att mots\u00e4tta sig en s\u00e5dan utl\u00e4mning som myndigheten har anf\u00f6rt\u201d<\/em> (Cleuras understrykning) <a href=\"#02edd1a1-d416-4d2a-8847-a4b5e332acbf-link\" aria-label=\"Hoppa till fotnotsreferens 47\">\u21a9\ufe0e<\/a><\/li><li id=\"182a02c7-3ae0-41f8-ae36-d91fb3f0599c\"><a href=\"https:\/\/www.supremecourt.gov\/opinions\/21pdf\/20-828_5ie6.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">FBI v Fazaga<\/a>, <em>\u201d<\/em>Reynolds<em>, on the other hand, expressly states that examination of the evidence at issue, \u2018even by the judge alone, in chambers,\u2019 should not be required if the Government shows \u2018a reasonable danger that compulsion of the evidence\u2019 will expose information that \u2018should not be divulged\u2019 in \u2018the interest of national security.\u2019 \u2026 Thus, the state secrets privilege \u2026 may sometimes preclude even <\/em>in camera, ex parte<em> review of the relevant evidence.\u201d<\/em> F\u00f6r ytterlige ett perspektiv p\u00e5 state secrets privilege, se denna debattartikel i Aktuell s\u00e4kerhet, <a href=\"https:\/\/www.aktuellsakerhet.se\/state-secrets-privilege-ett-forbisett-hinder-mot-tredjelandsoverforing-av-personuppgifter-till-usa\/\" target=\"_blank\" rel=\"noreferrer noopener\">State Secrets Privilege \u2013 Ett f\u00f6rbisett hinder mot tredjelands\u00f6verf\u00f6ring av personuppgifter till USA?<\/a> <a href=\"#182a02c7-3ae0-41f8-ae36-d91fb3f0599c-link\" aria-label=\"Hoppa till fotnotsreferens 48\">\u21a9\ufe0e<\/a><\/li><li id=\"0c274492-e84b-49bc-bd8e-70a5ff97ef8a\">\u00a7 201.9 (f) <a href=\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">DPRC-best\u00e4mmelserna<\/a>, Cleuras \u00f6vers\u00e4ttning. <a href=\"#0c274492-e84b-49bc-bd8e-70a5ff97ef8a-link\" aria-label=\"Hoppa till fotnotsreferens 49\">\u21a9\ufe0e<\/a><\/li><li id=\"0c5316d3-a5ad-440e-998f-5a9f7a25314d\"><a href=\"https:\/\/www.intelligence.senate.gov\/sites\/default\/files\/94755_II.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Slutrapport fr\u00e5n Church-kommitt\u00e9n<\/a>, s. 137 (s. 153 i PDF-dokumentet). <a href=\"#0c5316d3-a5ad-440e-998f-5a9f7a25314d-link\" aria-label=\"Hoppa till fotnotsreferens 50\">\u21a9\ufe0e<\/a><\/li><li id=\"1bd167ef-b30b-4bd1-a5b1-3cf2199d3cca\">Spiegel, <a href=\"https:\/\/www.spiegel.de\/politik\/deutschland\/nsa-selektorenliste-kurt-graulich-spricht-von-klarem-vertragsbruch-a-1060280.html\" target=\"_blank\" rel=\"noreferrer noopener\">Sonderermittler spricht von klarem Vertragsbruch der NSA<\/a>. <a href=\"#1bd167ef-b30b-4bd1-a5b1-3cf2199d3cca-link\" aria-label=\"Hoppa till fotnotsreferens 51\">\u21a9\ufe0e<\/a><\/li><li id=\"6d7b0468-aedc-4e33-a889-4dfc4f31e400\">TechCrunch, <a href=\"https:\/\/techcrunch.com\/2020\/09\/03\/nsa-bulk-records-appeals-illegal\/\" target=\"_blank\" rel=\"noreferrer noopener\">NSA call records collection ruled illegal by US appeals court<\/a>. <a href=\"#6d7b0468-aedc-4e33-a889-4dfc4f31e400-link\" aria-label=\"Hoppa till fotnotsreferens 52\">\u21a9\ufe0e<\/a><\/li><li id=\"2ac7c164-81e3-47e4-a64c-ca8361676a5b\">The Washington Post, <a href=\"https:\/\/www.washingtonpost.com\/national-security\/dhs-compiled-intelligence-reports-on-journalists-who-published-leaked-documents\/2020\/07\/30\/5be5ec9e-d25b-11ea-9038-af089b63ac21_story.html\" target=\"_blank\" rel=\"noreferrer noopener\">DHS compiled \u2018intelligence reports\u2019 on journalists who published leaked documents<\/a> och Lawfare, <a href=\"https:\/\/www.lawfaremedia.org\/article\/what-if-j-edgar-hoover-had-been-moron\" target=\"_blank\" rel=\"noreferrer noopener\">What If J. Edgar Hoover Had Been a Moron?<\/a>. <a href=\"#2ac7c164-81e3-47e4-a64c-ca8361676a5b-link\" aria-label=\"Hoppa till fotnotsreferens 53\">\u21a9\ufe0e<\/a><\/li><li id=\"4c5e97f2-5502-4e6b-8f1a-424744070505\">The Markup, <a href=\"https:\/\/themarkup.org\/newsletter\/hello-world\/fighting-government-secrecy-about-surveillance\" target=\"_blank\" rel=\"noreferrer noopener\"><a href=\"https:\/\/themarkup.org\/newsletter\/hello-world\/fighting-government-secrecy-about-surveillance\">Fighting Government Secrecy About Surveillance<\/a><\/a>. <a href=\"#4c5e97f2-5502-4e6b-8f1a-424744070505-link\" aria-label=\"Hoppa till fotnotsreferens 54\">\u21a9\ufe0e<\/a><\/li><li id=\"238dab25-c184-4589-a19d-e710cebb4c2b\">The Washington Post, <a href=\"https:\/\/www.washingtonpost.com\/opinions\/2021\/06\/13\/microsoft-brad-smith-trump-justice-department-gag-orders\/\" target=\"_blank\" rel=\"noreferrer noopener\">The Secret Gag Orders Must Stop<\/a>. <a href=\"#238dab25-c184-4589-a19d-e710cebb4c2b-link\" aria-label=\"Hoppa till fotnotsreferens 55\">\u21a9\ufe0e<\/a><\/li><li id=\"f5dfc553-a0cd-4dad-b8e5-c294e0cadb5f\">The Wall Street Journal, <a href=\"https:\/\/www.wsj.com\/articles\/fbi-improperly-searched-spy-database-for-information-on-americans-court-says-2f12bcd\" target=\"_blank\" rel=\"noreferrer noopener\">FBI Searched Jan. 6 Rioters and George Floyd Demonstrators in Spy Database<\/a> och The Register, <a href=\"https:\/\/www.theregister.com\/2023\/05\/22\/fbi_fisa_abuse\/\" target=\"_blank\" rel=\"noreferrer noopener\">FBI abused spy law but only like 280,000 times in a year<\/a>. The Register <a href=\"https:\/\/www.theregister.com\/2023\/07\/22\/us_senator_caught_in_section_702\/\" target=\"_blank\" rel=\"noreferrer noopener\">rapporterar vidare<\/a> att det bland de \u00f6vervakade fanns en amerikansk senator, en delstatssenator och en domare p\u00e5 delstatsniv\u00e5. <a href=\"#f5dfc553-a0cd-4dad-b8e5-c294e0cadb5f-link\" aria-label=\"Hoppa till fotnotsreferens 56\">\u21a9\ufe0e<\/a><\/li><li id=\"2719bc4f-aa21-4de4-aae7-cbee4f8de7e7\">U.S. Senator Ron Wyden, <a href=\"https:\/\/www.wyden.senate.gov\/news\/press-releases\/wyden-calls-for-reforms-to-fisa-surveillance-following-disclosure-of-new-abuses\" target=\"_blank\" rel=\"noreferrer noopener\">Wyden Calls for Reforms to FISA Surveillance Following Disclosure of New Abuses<\/a>. <a href=\"#2719bc4f-aa21-4de4-aae7-cbee4f8de7e7-link\" aria-label=\"Hoppa till fotnotsreferens 57\">\u21a9\ufe0e<\/a><\/li><li id=\"2028acb9-8b69-4fb7-939a-bf47cd62d19e\">Microsoft, <a href=\"https:\/\/blogs.microsoft.com\/on-the-issues\/2018\/01\/19\/something-extraordinary-happened-washington-d-c-yesterday\/\" target=\"_blank\" rel=\"noreferrer noopener\">Something extraordinary happened in Washington, D.C.<\/a> <a href=\"#2028acb9-8b69-4fb7-939a-bf47cd62d19e-link\" aria-label=\"Hoppa till fotnotsreferens 58\">\u21a9\ufe0e<\/a><\/li><li id=\"2576010f-e491-4463-8653-e2b37e239280\"><a href=\"https:\/\/www.law.cornell.edu\/uscode\/text\/50\/1881a\" target=\"_blank\" rel=\"noreferrer noopener\">50 U.S.C. \u00a7 1881a<\/a>(i)(1),\u00a0<em>\u201cimmediately provide the Government with all information, facilities, or assistance necessary to accomplish the acquisition in a manner that will protect the secrecy of the acquisition and produce a minimum of interference with the services\u201c<\/em>. <a href=\"#2576010f-e491-4463-8653-e2b37e239280-link\" aria-label=\"Hoppa till fotnotsreferens 59\">\u21a9\ufe0e<\/a><\/li><li id=\"1f2e2205-53ef-4ae0-af8c-b185cc0b5d49\"><a href=\"https:\/\/www.law.cornell.edu\/uscode\/text\/50\/1881a\" target=\"_blank\" rel=\"noreferrer noopener\">50 U.S.C. \u00a7 1881a<\/a>(i)(2),\u00a0<em>\u201cThe Government shall compensate, at the prevailing rate, an electronic communication service provider for providing information, facilities, or assistance in accordance with a directive issued pursuant to paragraph (1).\u201c<\/em> <a href=\"#1f2e2205-53ef-4ae0-af8c-b185cc0b5d49-link\" aria-label=\"Hoppa till fotnotsreferens 60\">\u21a9\ufe0e<\/a><\/li><\/ol>\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-9d6595d7 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:100%\">\n<ul class=\"wp-block-outermost-social-sharing has-normal-icon-size is-style-logos-only is-content-justification-center is-layout-flex wp-container-outermost-social-sharing-is-layout-16018d1d wp-block-outermost-social-sharing-is-layout-flex\"><li class=\"outermost-social-sharing-link outermost-social-sharing-link-linkedin  wp-block-outermost-social-sharing-link\">\n\t<a href=\"https:\/\/www.linkedin.com\/shareArticle?mini=true&#038;url=https%3A%2F%2Fcleura.com%2Fsv%2Fmolnguiden%2Frapport%2Fvad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet%2F&#038;title=Vad%20din%20verksamhet%20beh%C3%B6ver%20veta%20om%20det%20tredje%20adekvansbeslutet\" aria-label=\"Dela p\u00e5 LinkedIn\" rel=\"noopener nofollow\" target=\"_blank\" class=\"wp-block-outermost-social-sharing-link-anchor\">\n\t\t<svg width=\"24\" height=\"24\" viewBox=\"0 0 24 24\" version=\"1.1\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" aria-hidden=\"true\" focusable=\"false\"><path d=\"M19.7,3H4.3C3.582,3,3,3.582,3,4.3v15.4C3,20.418,3.582,21,4.3,21h15.4c0.718,0,1.3-0.582,1.3-1.3V4.3 C21,3.582,20.418,3,19.7,3z M8.339,18.338H5.667v-8.59h2.672V18.338z M7.004,8.574c-0.857,0-1.549-0.694-1.549-1.548 c0-0.855,0.691-1.548,1.549-1.548c0.854,0,1.547,0.694,1.547,1.548C8.551,7.881,7.858,8.574,7.004,8.574z M18.339,18.338h-2.669 v-4.177c0-0.996-0.017-2.278-1.387-2.278c-1.389,0-1.601,1.086-1.601,2.206v4.249h-2.667v-8.59h2.559v1.174h0.037 c0.356-0.675,1.227-1.387,2.526-1.387c2.703,0,3.203,1.779,3.203,4.092V18.338z\"><\/path><\/svg>\t\t<span class=\"wp-block-outermost-social-sharing-link-label screen-reader-text\">\n\t\t\tDela p\u00e5 LinkedIn\t\t<\/span>\n\t<\/a>\n<\/li>\n\n\n<li class=\"outermost-social-sharing-link outermost-social-sharing-link-x  wp-block-outermost-social-sharing-link\">\n\t<a href=\"https:\/\/x.com\/share?url=https%3A%2F%2Fcleura.com%2Fsv%2Fmolnguiden%2Frapport%2Fvad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet%2F&#038;text=Vad%20din%20verksamhet%20beh%C3%B6ver%20veta%20om%20det%20tredje%20adekvansbeslutet\" aria-label=\"Dela p\u00e5 X\" rel=\"noopener nofollow\" target=\"_blank\" class=\"wp-block-outermost-social-sharing-link-anchor\">\n\t\t<svg width=\"24\" height=\"24\" viewBox=\"0 0 24 24\" version=\"1.1\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" aria-hidden=\"true\" focusable=\"false\"><path d=\"M13.982 10.622 20.54 3h-1.554l-5.693 6.618L8.745 3H3.5l6.876 10.007L3.5 21h1.554l6.012-6.989L15.868 21h5.245l-7.131-10.378Zm-2.128 2.474-.697-.997-5.543-7.93H8l4.474 6.4.697.996 5.815 8.318h-2.387l-4.745-6.787Z\"><\/path><\/svg>\t\t<span class=\"wp-block-outermost-social-sharing-link-label screen-reader-text\">\n\t\t\tDela p\u00e5 X\t\t<\/span>\n\t<\/a>\n<\/li>\n\n\n<li class=\"outermost-social-sharing-link outermost-social-sharing-link-facebook  wp-block-outermost-social-sharing-link\">\n\t<a href=\"https:\/\/www.facebook.com\/sharer\/sharer.php?u=https%3A%2F%2Fcleura.com%2Fsv%2Fmolnguiden%2Frapport%2Fvad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet%2F&#038;title=Vad%20din%20verksamhet%20beh%C3%B6ver%20veta%20om%20det%20tredje%20adekvansbeslutet\" aria-label=\"Dela p\u00e5 Facebook\" rel=\"noopener nofollow\" target=\"_blank\" class=\"wp-block-outermost-social-sharing-link-anchor\">\n\t\t<svg width=\"24\" height=\"24\" viewBox=\"0 0 24 24\" version=\"1.1\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" aria-hidden=\"true\" focusable=\"false\"><path d=\"M12 2C6.5 2 2 6.5 2 12c0 5 3.7 9.1 8.4 9.9v-7H7.9V12h2.5V9.8c0-2.5 1.5-3.9 3.8-3.9 1.1 0 2.2.2 2.2.2v2.5h-1.3c-1.2 0-1.6.8-1.6 1.6V12h2.8l-.4 2.9h-2.3v7C18.3 21.1 22 17 22 12c0-5.5-4.5-10-10-10z\"><\/path><\/svg>\t\t<span class=\"wp-block-outermost-social-sharing-link-label screen-reader-text\">\n\t\t\tDela p\u00e5 Facebook\t\t<\/span>\n\t<\/a>\n<\/li>\n\n\n<li class=\"outermost-social-sharing-link outermost-social-sharing-link-mail  wp-block-outermost-social-sharing-link\">\n\t<a href=\"mailto:?subject=Vad%20din%20verksamhet%20beh%C3%B6ver%20veta%20om%20det%20tredje%20adekvansbeslutet&#038;body=Vad%20din%20verksamhet%20beh%C3%B6ver%20veta%20om%20det%20tredje%20adekvansbeslutet%20&mdash;%20https%3A%2F%2Fcleura.com%2Fsv%2Fmolnguiden%2Frapport%2Fvad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet%2F\" aria-label=\"Skicka denna sida med e-post\"  class=\"wp-block-outermost-social-sharing-link-anchor\">\n\t\t<svg width=\"24\" height=\"24\" viewBox=\"0 0 24 24\" version=\"1.1\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" aria-hidden=\"true\" focusable=\"false\"><path d=\"M20,4H4C2.895,4,2,4.895,2,6v12c0,1.105,0.895,2,2,2h16c1.105,0,2-0.895,2-2V6C22,4.895,21.105,4,20,4z M20,8.236l-8,4.882 L4,8.236V6h16V8.236z\"><\/path><\/svg>\t\t<span class=\"wp-block-outermost-social-sharing-link-label screen-reader-text\">\n\t\t\tSkicka denna sida med e-post\t\t<\/span>\n\t<\/a>\n<\/li>\n\n\n<li class=\"outermost-social-sharing-link outermost-social-sharing-link-print  wp-block-outermost-social-sharing-link\">\n\t<a href=\"javascript:window.print()\" aria-label=\"Skriv ut denna sida\"  class=\"wp-block-outermost-social-sharing-link-anchor\">\n\t\t<svg width=\"24\" height=\"24\" viewBox=\"0 0 24 24\" version=\"1.1\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" aria-hidden=\"true\" focusable=\"false\"><path d=\"m14.639 3 4.222 4.235v3.177h.528c1.113 0 2.025.864 2.105 1.96l.006.157v5.295h-2.639v2.117c0 .585-.472 1.059-1.055 1.059H6.194a1.057 1.057 0 0 1-1.055-1.059v-2.117H2.5v-5.295c0-1.17.945-2.117 2.111-2.117h.528V4.059C5.139 3.474 5.61 3 6.194 3h8.445Zm2.639 13.235H6.722v3.177h10.556v-3.177Zm2.11-4.5a.793.793 0 0 0-.79.794.793.793 0 1 0 .79-.794Zm-5.277-7.147H6.722v6.883h10.556V7.765h-2.111a1.057 1.057 0 0 1-1.056-1.06V4.589Z\"><\/path><\/svg>\t\t<span class=\"wp-block-outermost-social-sharing-link-label screen-reader-text\">\n\t\t\tSkriv ut denna sida\t\t<\/span>\n\t<\/a>\n<\/li>\n<\/ul>\n<\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-har-du-fragor-om-molntjanster-och-digitalisering\">Har du fr\u00e5gor om molntj\u00e4nster och digitalisering?<\/h2>\n\n\n\n<p>Vi kan hj\u00e4lpa din organisation att genomf\u00f6ra digitaliseringsresan p\u00e5 ett lagligt och h\u00e5llbart sett.<\/p>\n\n\n<div class=\"wpforms-container wpforms-container-full wpforms-block wpforms-block-572115a7-d2ed-4c3d-b76f-b0aa884e6773 general-contact\" id=\"wpforms-11301\"><form id=\"wpforms-form-11301\" class=\"wpforms-validate wpforms-form wpforms-ajax-form\" data-formid=\"11301\" method=\"post\" enctype=\"multipart\/form-data\" action=\"\/sv\/wp-json\/wp\/v2\/posts\/15431\" data-token=\"de8b0fedb6e13c988dda13c2a8b1bc0a\" data-token-time=\"1777494727\"><noscript class=\"wpforms-error-noscript\">Aktivera JavaScript i din webbl\u00e4sare f\u00f6r att fylla i formul\u00e4ret.<\/noscript><div class=\"wpforms-field-container\"><div id=\"wpforms-11301-field_1-container\" class=\"wpforms-field wpforms-field-textarea\" data-field-id=\"1\"><label class=\"wpforms-field-label wpforms-label-hide\" for=\"wpforms-11301-field_1\">Hur kan vi hj\u00e4lpa till?<\/label><textarea id=\"wpforms-11301-field_1\" class=\"wpforms-field-large\" name=\"wpforms[fields][1]\" placeholder=\"Hur kan vi hj\u00e4lpa till? *\" ><\/textarea><\/div><div id=\"wpforms-11301-field_2-container\" class=\"wpforms-field wpforms-field-name\" data-field-id=\"2\"><label class=\"wpforms-field-label wpforms-label-hide\" for=\"wpforms-11301-field_2\">Namn <span class=\"wpforms-required-label\">*<\/span><\/label><input type=\"text\" id=\"wpforms-11301-field_2\" class=\"wpforms-field-large wpforms-field-required\" name=\"wpforms[fields][2]\" placeholder=\"Namn *\" required><\/div><div id=\"wpforms-11301-field_3-container\" class=\"wpforms-field wpforms-field-name\" data-field-id=\"3\"><label class=\"wpforms-field-label wpforms-label-hide\" for=\"wpforms-11301-field_3\">F\u00f6retag <span class=\"wpforms-required-label\">*<\/span><\/label><input type=\"text\" id=\"wpforms-11301-field_3\" class=\"wpforms-field-large wpforms-field-required\" name=\"wpforms[fields][3]\" placeholder=\"F\u00f6retag *\" required><\/div><div id=\"wpforms-11301-field_4-container\" class=\"wpforms-field wpforms-field-email\" data-field-id=\"4\"><label class=\"wpforms-field-label wpforms-label-hide\" for=\"wpforms-11301-field_4\">E-post <span class=\"wpforms-required-label\">*<\/span><\/label><input type=\"email\" id=\"wpforms-11301-field_4\" class=\"wpforms-field-large wpforms-field-required\" name=\"wpforms[fields][4]\" placeholder=\"E-post *\" spellcheck=\"false\" required><\/div><div id=\"wpforms-11301-field_7-container\" class=\"wpforms-field wpforms-field-html\" data-field-id=\"7\"><div id=\"wpforms-11301-field_7\">* Obligatoriskt\r\n<br \/><br \/>\r\nVi behandlar dina personuppgifter i enlighet med v\u00e5rt <a href=\"https:\/\/cleura.com\/sv\/privacy-notice\/\">integritetsmeddelande<\/a>.<\/div><\/div><\/div><!-- .wpforms-field-container --><div class=\"wpforms-submit-container\" ><input type=\"hidden\" name=\"wpforms[id]\" value=\"11301\"><input type=\"hidden\" name=\"page_title\" value=\"\"><input type=\"hidden\" name=\"page_url\" value=\"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/posts\/15431\"><input type=\"hidden\" name=\"url_referer\" value=\"\"><div class=\"frc-captcha \" data-sitekey=\"FCMJ0U90J0RGUVD3\" data-lang=\"sv\" data-puzzle-endpoint=\"https:\/\/eu-api.friendlycaptcha.eu\/api\/v1\/puzzle\"><\/div>\n\t\t<noscript>You need to enable Javascript for the anti-spam check.<\/noscript><button type=\"submit\" name=\"wpforms[submit]\" id=\"wpforms-submit-11301\" class=\"wpforms-submit button-form\" data-alt-text=\"Skickar...\" data-submit-text=\"Skicka\" aria-live=\"assertive\" value=\"wpforms-submit\">Skicka<\/button><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/cleura.com\/wp-content\/plugins\/wpforms\/assets\/images\/submit-spin.svg\" class=\"wpforms-submit-spinner\" style=\"display: none;\" width=\"26\" height=\"26\" alt=\"Laddar\"><\/div><\/form><\/div>  <!-- .wpforms-container -->","protected":false},"excerpt":{"rendered":"<p>I sp\u00e5ren av EU-kommissionens beslut om adekvat skyddsniv\u00e5 i juli 2023, som f\u00f6rlitar sig p\u00e5 Data Privacy Framework, s\u00e5 \u00e4r det naturligt att verksamheter i EU fr\u00e5gar sig om de har f\u00e5tt gr\u00f6nt ljus att anv\u00e4nda amerikanska molntj\u00e4nster. I denna rapport analyserar vi vad adekvansbeslutet egentligen inneb\u00e4r och inte inneb\u00e4r. Vi fokuserar s\u00e4rskilt p\u00e5 situationen d\u00e4r en verksamhet \u00f6verv\u00e4ger att &#8230; <\/p>\n<div><a href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/\" class=\"more-link\">Read More<\/a><\/div>\n","protected":false},"author":10,"featured_media":13277,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"[{\"id\":\"391e3e3b-a068-454b-ae3e-7583560abba4\",\"content\":\"Det amerikanska handelsdepartementet publicerar listan p\u00e5 en <a href=\\\"https:\/\/www.dataprivacyframework.gov\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">s\u00e4rskild webbplats<\/a>.\"},{\"content\":\"EU-kommissionens <a href=\\\"https:\/\/commission.europa.eu\/document\/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">adekvansbeslut<\/a> anger i sk\u00e4l 8 att <em>\u201dThis Decision has the effect that personal data transfers from controllers and processors in the Union <span style=\\\"text-decoration: underline\\\">to certified organisations in the United States<\/span> may take place without the need to obtain any further authorisation.\u201d<\/em> (Cleuras understrykning, fotnot utel\u00e4mnad). P\u00e5 <a href=\\\"https:\/\/www.imy.se\/verksamhet\/dataskydd\/det-har-galler-enligt-gdpr\/overforing-till-tredje-land\/adekvat-skyddsniva\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Integritetsskyddsmyndighetens webbplats<\/a> framg\u00e5r ocks\u00e5 att mottagaren m\u00e5ste omfattas av \u201dEU-US Data Privacy Framework\u201d.\",\"id\":\"028c64b6-9d4a-4d5e-8bd1-dbd6c61ce64b\"},{\"content\":\"Artikel 52.1 EU-stadgan, C-311\/18 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Schrems II<\/a> p. 175-176.\",\"id\":\"928064a0-26a1-4234-afa1-75a3494221aa\"},{\"content\":\"C-311\/18 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Schrems II<\/a> p. 176-180.\",\"id\":\"22926bf5-930c-489b-a143-cd4cda667d4e\"},{\"content\":\"Ibid., p. 175-176.\",\"id\":\"83009420-af48-4ffb-93a3-87daa66f2c23\"},{\"content\":\"<a href=\\\"https:\/\/edpb.europa.eu\/our-work-tools\/our-documents\/letters\/edpb-edps-joint-response-libe-committee-impact-us-cloud-act_en\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">EDPB-EDPS Joint Response to the LIBE Committee on the impact of the US Cloud Act on the European legal framework for personal data protection<\/a>.\",\"id\":\"b0476bd5-d6c5-4c2b-9608-8b4333856ace\"},{\"content\":\"Ibid, s. 5,\u00a0<em>\u201cTaking into account the elements above, and considering in particular that US law enforcement authorities request for access would occur in the absence of a framework provided by an international agreement, we consider that data subjects may be deprived from the protection afforded by the provision of Article 47 of the Charter, such as the right to an effective remedy, or that this right could not be exercised in practice.\u201c<\/em>\",\"id\":\"8a448cd1-c99d-4803-9606-07dfff3fc050\"},{\"content\":\"EU-domstolens dom i C-311\/18\u00a0<a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Schrems II<\/a>\u00a0p. 187.\",\"id\":\"7b8114a1-2e3c-4d27-85e6-423b7536cd1a\"},{\"content\":\"<a href=\\\"https:\/\/edpb.europa.eu\/our-work-tools\/our-documents\/letters\/edpb-edps-joint-response-libe-committee-impact-us-cloud-act_en\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">EDPB-EDPS Joint Response to the LIBE Committee on the impact of the US Cloud Act on the European legal framework for personal data protection<\/a>, s. 1,\u00a0<em>\u201cBy choosing to create a legal avenue under US law for US law enforcement authorities to require disclosure of personal data directly from service providers who fall under US jurisdiction, irrespective of where the data is stored, the US Congress enacts into US law a practice of US governmental entities likely to bypass the Mutual legal assistance in criminal matters treaty (MLAT) in force between the European Union and the United States of America.\u201c<\/em>\u00a0(fotnoter utel\u00e4mnade).\",\"id\":\"abd22a29-c59d-40d3-bcec-67e255ffd998\"},{\"content\":\"<a href=\\\"https:\/\/www.law.cornell.edu\/uscode\/text\/50\/1881a\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">50 U.S.C. \u00a7 1881a<\/a>(a) och (b).\",\"id\":\"d4833c24-1244-4eff-b64c-fe27f97824c0\"},{\"content\":\"<a href=\\\"https:\/\/www.datenschutzkonferenz-online.de\/media\/weitere_dokumente\/Vladek_Rechtsgutachten_DSK_en.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Stephen I. Vladeck Expert Opinion on the Current State of U.S. Surveillance Law and Authorities<\/a>, s. 10 i pdf-dokumentet.\",\"id\":\"431a6f9d-5b78-4907-a2d6-1a994108d638\"},{\"content\":\"<a href=\\\"https:\/\/world.hey.com\/dhh\/american-data-spies-will-never-care-where-the-servers-are-371d4016\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">American data spies will never care where the servers are<\/a>,\u00a0<em>\u201cWe looked into all these issues at length when\u00a0<a href=\\\"https:\/\/www.gdprsummary.com\/schrems-ii\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">the Schrems II verdict<\/a>\u00a0arrived back in 2020. Had a whole team of lawyers in the US investigate whether we, 37signals, as an American company, could construct any constellation of subsidiaries, servers in Europe, or whatever, to prevent something like FISA Section 702 from compelling us to hand over data on European citizens in the event the authorities came no-warrant knocking. The answer was clear: no.\u201c<\/em>\",\"id\":\"1a1d0b7e-474d-48d6-bcb3-0d4509f9a710\"},{\"id\":\"61a13f2c-272a-443c-a81f-af50ffdab9d5\",\"content\":\"C-252\/21 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=275125&amp;doclang=SV\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Meta Platforms mot Bundeskartellamt<\/a> p. 124.\"},{\"id\":\"8d9f9bf2-f657-4060-8c07-edfe5203d752\",\"content\":\"I flera andra spr\u00e5kversioner av GDPR anv\u00e4nds begrepp med en annan betydelse \u00e4n \u201dgenomf\u00f6ras\u201d. Inneb\u00f6rden \u00e4r snarare att besluten inte ens f\u00e5r <em>bli verkst\u00e4llbara<\/em>. Se t.ex. f\u00f6ljande spr\u00e5kversioner: engelska (\u201denforceable\u201d), tyska (\u201dvollstreckbar werden\u201d), franska (\u201drendue ex\u00e9cutoire\u201d) och italienska (\u201dassumere qualsivoglia carattere esecutivo\u201d).\"},{\"id\":\"0893c586-28c0-414b-97d0-ede5253ca79d\",\"content\":\"Vad g\u00e4ller artikel 49, se \u00e4ven <a href=\\\"https:\/\/edpb.europa.eu\/our-work-tools\/our-documents\/letters\/edpb-edps-joint-response-libe-committee-impact-us-cloud-act_sv\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">EDPB-EDPS Joint Response to the LIBE Committee on the impact of the US Cloud Act on the European legal framework for personal data protection<\/a>, s. 6 f.\"},{\"id\":\"67de80ed-fbe6-4c66-90f3-575bb488177b\",\"content\":\"\u201dWe also need a new generation of international agreements that define when and how governments will seek data stored within other countries\u2019 borders, starting with our European allies.\u201d, fr\u00e5n hans debattartikel i Washington Post, <a href=\\\"https:\/\/www.washingtonpost.com\/opinions\/2021\/06\/13\/microsoft-brad-smith-trump-justice-department-gag-orders\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">The Secret Gag Orders Must Stop<\/a>. EU och USA har exempelvis inlett f\u00f6rhandlingar om effektivare \u00e5tkomst till e-bevisning. Vad g\u00e4ller underr\u00e4ttelseinh\u00e4mtning, vilket Schrems-domarna handlar om, \u00e4r det emellertid tyst.\"},{\"id\":\"70f5a850-c0a5-4109-bedf-1f239ac19082\",\"content\":\"Beroende p\u00e5 molntj\u00e4nstens art skulle metadata kunna omfatta information om vid vilka tidpunkter en person har anv\u00e4nt en tj\u00e4nst, fr\u00e5n vilka ungef\u00e4rliga platser (genom ip-adressen), med vem kommunikation har skett och hur ofta, etc. Det \u00e4r allts\u00e5 mer \u00e4n bara informationsinneh\u00e5ll, eller <em>content data<\/em> som det ibland kallas p\u00e5 engelska, som kan vara k\u00e4nsligt. EU-domstolen har i ett m\u00e5l om krav p\u00e5 datalagring hos telekomoperat\u00f6rer noterat att <em>\u201ctrafik- och lokaliseringsuppgifter kan avsl\u00f6ja information om ett stort antal aspekter av de ber\u00f6rda personernas privatliv, inbegripet k\u00e4nslig information, s\u00e5som sexuell l\u00e4ggning, politisk \u00e5sk\u00e5dning, religi\u00f6s, filosofisk eller annan \u00f6vertygelse, samh\u00e4lls\u00e5sk\u00e5dning samt h\u00e4lsotillst\u00e5nd, med h\u00e4nsyn till att s\u00e5dana uppgifter dessutom omfattas av ett s\u00e4rskilt skydd enligt unionsr\u00e4tten. Dessa uppgifter kan sammantagna g\u00f6ra det m\u00f6jligt att dra mycket precisa slutsatser om privatlivet f\u00f6r de personer vilkas uppgifter har lagrats, s\u00e5som deras vanor i vardagslivet, deras stadigvarande och tillf\u00e4lliga uppeh\u00e5llsorter, deras dagliga f\u00f6rflyttningar och f\u00f6rflyttningar i \u00f6vrigt, de aktiviteter de ut\u00f6var, deras sociala relationer och de umg\u00e4ngeskretsar de r\u00f6r sig i. <span style=\\\"text-decoration: underline\\\">I synnerhet g\u00f6r dessa uppgifter det m\u00f6jligt att kartl\u00e4gga de ber\u00f6rda personerna p\u00e5 ett s\u00e4tt som \u00e4r lika k\u00e4nsligt med avseende p\u00e5 r\u00e4tten till respekt f\u00f6r privatlivet som sj\u00e4lva inneh\u00e5llet i kommunikationerna<\/span>\u201c<\/em> (F\u00f6renade m\u00e5len C\u2011511\/18, C\u2011512\/18 och C\u2011520\/18 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf;jsessionid=D7C7F6A1BDBB35897124A8D248B6E1CC?text=&amp;docid=232084&amp;pageIndex=0&amp;doclang=SV&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=299060\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">La Quadrature du Net<\/a>, p. 117, Cleuras understrykning).\"},{\"id\":\"d97a9f93-09e5-4785-b9cb-fea4ac2a56b4\",\"content\":\"D\u00e4remot skulle statistik fr\u00e5n ett tredjeland vars lagstiftning faktiskt n\u00e5r upp till unionsr\u00e4ttens skyddsniv\u00e5 kunna bekr\u00e4fta bilden av att lagstiftningen efterlevs i praktiken.\"},{\"id\":\"5b570239-ebb4-4091-a9e7-509dcd1f3e8a\",\"content\":\"C-311\/18 Schrems II p. 126, <em>\u201c\u00c4ven om det s\u00e5ledes finns situationer d\u00e4r mottagaren av en s\u00e5dan \u00f6verf\u00f6ring, beroende p\u00e5 r\u00e4ttsl\u00e4get och g\u00e4llande praxis i det ber\u00f6rda tredjelandet, kan garantera det n\u00f6dv\u00e4ndiga skyddet av uppgifter enbart med st\u00f6d av de standardiserade dataskyddsbest\u00e4mmelserna, finns det andra situationer i vilka best\u00e4mmelserna i dessa klausuler inte kan vara ett tillr\u00e4ckligt medel f\u00f6r att i praktiken s\u00e4kerst\u00e4lla ett effektivt skydd av de personuppgifter som \u00f6verf\u00f6rs till det ber\u00f6rda tredjelandet. S\u00e5 \u00e4r bland annat fallet n\u00e4r <span style=\\\"text-decoration: underline\\\">lagstiftningen<\/span> i det tredjelandet <span style=\\\"text-decoration: underline\\\">till\u00e5ter<\/span> att myndigheterna i detta tredjeland g\u00f6r ingrepp i de registrerade personernas r\u00e4ttigheter avseende dessa uppgifter.\u201c<\/em> (Cleuras understrykning). Jfr \u00e4ven m\u00e5l C-293\/12 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?mode=DOC&amp;pageIndex=0&amp;docid=150642&amp;part=1&amp;doclang=EN&amp;text=&amp;dir=&amp;occ=first&amp;cid=5189325\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Digital Rights Ireland<\/a> d\u00e4r EU-domstolen ogiltigf\u00f6rklarade datalagringsdirektivet i sin helhet trots att det kan f\u00f6rmodas att en mycket liten andel av de lagrade uppgifterna n\u00e5gonsin skulle komma att l\u00e4mnas ut. Det m\u00e5let g\u00e4llde behandling och utl\u00e4mnanden till myndigheter i EU.\"},{\"id\":\"8163cd48-1f91-456d-ac36-b50526458113\",\"content\":\"C-311\/18 Schrems II p. 135, <em>\u201cOm den personuppgiftsansvarige eller personuppgiftsbitr\u00e4det som \u00e4r etablerade i unionen inte kan vidta ytterligare \u00e5tg\u00e4rder som \u00e4r tillr\u00e4ckliga f\u00f6r att s\u00e4kerst\u00e4lla ett s\u00e5dant skydd, \u00e4r dessa eller, i andra hand, den beh\u00f6riga tillsynsmyndigheten, skyldiga att avbryta eller upph\u00f6ra med \u00f6verf\u00f6ringen av personuppgifter till det ber\u00f6rda tredjelandet. S\u00e5 \u00e4r bland annat fallet n\u00e4r <span style=\\\"text-decoration: underline\\\">lagstiftningen<\/span> i det tredjelandet \u00e5l\u00e4gger mottagaren av en \u00f6verf\u00f6ring av personuppgifter fr\u00e5n unionen skyldigheter som strider mot n\u00e4mnda klausuler, vilket f\u00f6ljaktligen <span style=\\\"text-decoration: underline\\\">kan \u00e4ventyra<\/span> den avtalsenliga garantin om adekvat skydd mot att offentliga myndigheter i det ber\u00f6rda tredjelandet f\u00e5r \u00e5tkomst till dessa uppgifter.\u201c<\/em> (Cleuras understrykning).\"},{\"content\":\"I fallet med tredjelands\u00f6verf\u00f6ringen (C-311\/18 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Schrems II<\/a>) var det s\u00e5ledes tillr\u00e4ckligt att de r\u00e4ttsliga skyldigheterna i sig stred mot standardavtalsklausulerna. N\u00e4r personuppgifter behandlas inom EU framst\u00e5r det som rimligt att det r\u00e4cker att de r\u00e4ttsliga skyldigheterna strider mot EU-stadgan eller GDPR, eftersom dessa kommer att g\u00e4lla ist\u00e4llet f\u00f6r standardavtalsklausulerna. Relevanta skyldigheter enligt GDPR diskuteras i avsnittet <a href=\\\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#h-nar-personuppgiftsbitradet-far-avvika-fran-sina-instruktioner\\\">N\u00e4r personuppgiftsbitr\u00e4det f\u00e5r avvika fr\u00e5n sina instruktioner<\/a>.\",\"id\":\"be8166d6-679b-4250-b7fb-17bb17696212\"},{\"id\":\"9ab28efe-b02d-41e5-97bc-c3439dbebc79\",\"content\":\"C-311\/18 Schrems II p. 171. I den svenska spr\u00e5kversionen anges att det har <em>f\u00f6ga <\/em>betydelse om uppgifterna \u00e4r av k\u00e4nslig art eller om personer drabbas av n\u00e5gon ol\u00e4genhet, men i flera andra spr\u00e5kversioner \u00e4r inneb\u00f6rden i st\u00e4llet <em>oavsett<\/em>. Se t.ex. engelska (\u201dirrespective\u201d), tyska (\u201des nicht darauf ankommt\u201d), franska (\u201dind\u00e9pendamment\u201d) och italienska (\u201dindipendentemente\u201d).\"},{\"id\":\"076f371b-dd99-40f3-8a08-218c02808d05\",\"content\":\"F\u00f6renade m\u00e5len C-293\/12 och C-594\/12 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=150642&amp;pageIndex=0&amp;doclang=SV&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=19671\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Digital Rights Ireland<\/a>.\"},{\"id\":\"e694d3e8-1bfd-44f7-99ad-ef19b398b0e4\",\"content\":\"Ibid, p. 37.\"},{\"id\":\"6f7d2cc2-0f31-4c45-8702-5e3b24227864\",\"content\":\"Se exempelvis <a href=\\\"https:\/\/www.justsecurity.org\/83927\/the-biden-administrations-sigint-executive-order-part-ii\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">The Biden Administration\u2019s SIGINT Executive Order, Part I: New Rules Leave Door Open to Bulk Surveillance<\/a> och <a href=\\\"https:\/\/www.justsecurity.org\/83927\/the-biden-administrations-sigint-executive-order-part-ii\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Part II: Redress for Unlawful Surveillance<\/a>.\"},{\"id\":\"2e0ff281-16bf-4fdb-b563-35090355e681\",\"content\":\"<a href=\\\"https:\/\/www.whitehouse.gov\/briefing-room\/presidential-actions\/2022\/10\/07\/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Executive Order 14086 On Enhancing Safeguards For United States Signals Intelligence Activities<\/a>, \u00e4ven tillg\u00e4nglig i strukturerad form p\u00e5 <a href=\\\"https:\/\/noyb.eu\/sites\/default\/files\/2022-10\/Biden%20EO%20on%20Surveillance%2C%20Structured.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">noybs webbplats.<\/a>\"},{\"content\":\"C-311\/18 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Schrems II<\/a> p. 176.\",\"id\":\"dc4810e9-1eb0-426d-a3ed-a6a4ce5e151b\"},{\"content\":\"C-311\/18 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Schrems II<\/a> p. 175-176.\",\"id\":\"edde6a11-1b0d-49a0-8979-15ee32287e9a\"},{\"content\":\"C-311\/18 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Schrems II<\/a> p. 184.\",\"id\":\"637db5c1-4f66-4fa0-80c6-3a0a0c15d741\"},{\"content\":\"\u00a7 201.10 <a href=\\\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">DPRC-best\u00e4mmelserna<\/a>.\",\"id\":\"018a64bc-dfbd-4db6-9b05-f955f19fb667\"},{\"id\":\"b84bf371-8b8f-4d3e-bb98-80e47cbc3361\",\"content\":\"US Department of Justice, <a href=\\\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Data Protection Review Court Final Rule<\/a>.\"},{\"content\":\"C-311\/18 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Schrems II<\/a> p. 197.\",\"id\":\"5caf1d79-4321-43f8-8cac-e99f5626006a\"},{\"id\":\"e468b331-df3d-40c2-b148-16d9e78e7753\",\"content\":\"\u201dThe DPRC will be established within the Department of Justice\u201d, s. 3 <a href=\\\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">DPRC-best\u00e4mmelserna<\/a>.\"},{\"id\":\"c028be1d-78be-43d7-93c3-503b45143e14\",\"content\":\"\u00a7 201.7 (d) <a href=\\\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">DPRC-best\u00e4mmelserna<\/a>.\"},{\"id\":\"32f45a1d-21a1-4ef3-a099-2fe760f45c77\",\"content\":\"C-311\/18 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Schrems II<\/a> p. 195.\"},{\"id\":\"b6bae316-311a-4a1c-90dc-9d93d9901a99\",\"content\":\"\u00a7 201.2 <a href=\\\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">DPRC-best\u00e4mmelserna<\/a>, som pekar p\u00e5 definitionen av \u201dcovered violation\u201d i <a href=\\\"https:\/\/noyb.eu\/sites\/default\/files\/2022-10\/Biden%20EO%20on%20Surveillance%2C%20Structured.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">EO 14086<\/a>, se sektion 4(d).\"},{\"id\":\"f445548d-4724-494f-a286-d7e88aa9118f\",\"content\":\"Vi f\u00f6rmodar att det i s\u00e5 fall redan hade varit k\u00e4nt med tanke p\u00e5 att resursstarka akt\u00f6rer p\u00e5 olika s\u00e4tt har belyst amerikansk r\u00e4tt under de r\u00e4ttsprocesser som ledde fram till Schrems II-domen.\"},{\"id\":\"24d81802-a6d5-4181-af51-67d50f39770b\",\"content\":\"\u00a7 201.10 <a href=\\\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">DPRC-best\u00e4mmelserna<\/a>.\"},{\"id\":\"4039cc77-4d16-4a03-bcf3-3aa8c1e6e039\",\"content\":\"Vi ber\u00f6r <a href=\\\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/amerikansk-vs-europeisk-overvakning-analys-av-skillnader-i-rattighetsskyddet-vid-anvandning-av-molntjanster\/#h-tredjepartsdoktrinen\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">tredjepartsdoktrinen<\/a> och mer i rapporten <a href=\\\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/amerikansk-vs-europeisk-overvakning-analys-av-skillnader-i-rattighetsskyddet-vid-anvandning-av-molntjanster\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Amerikansk vs europeisk \u00f6vervakning: Analys av skillnader i r\u00e4ttighetsskyddet vid anv\u00e4ndning av molntj\u00e4nster<\/a>.\"},{\"id\":\"a99aa73c-d3a4-4ecc-9870-a9decc07537f\",\"content\":\"C-311\/18 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Schrems II<\/a> p. 187.\"},{\"id\":\"e611c7ef-6ef2-49df-b255-3494e28f3e53\",\"content\":\"<a href=\\\"https:\/\/www.foia.gov\/faq.html\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">FOIA.gov FAQ<\/a>, fr\u00e5gan \u201cWhat are exclusions?\u201d\"},{\"id\":\"cdf493cd-f07b-48eb-915b-a7394ea379a3\",\"content\":\"C-311\/18 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Schrems II<\/a> p. 45, i citaten av sk\u00e4l 115-116.\"},{\"id\":\"0ec57de3-b216-4a7b-90b7-9852d8abd39d\",\"content\":\"C-311\/18 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=SV\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Schrems II<\/a> p. 181.\"},{\"id\":\"35b7758e-e1f0-4db7-b1ec-b2cc40b20fa8\",\"content\":\"\u00a7 201.9 (h) <a href=\\\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">DPRC-best\u00e4mmelserna<\/a>, Cleuras \u00f6vers\u00e4ttning.\"},{\"id\":\"34902137-6575-4dac-a607-728b8f9a5bef\",\"content\":\"\u00a7 201.11 (b) <a href=\\\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">DPRC-best\u00e4mmelserna<\/a>, Cleuras \u00f6vers\u00e4ttning.\"},{\"id\":\"7c45e2c1-d681-4a4a-ac2f-50c10e6487ad\",\"content\":\"C-487\/21 <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=273286&amp;pageIndex=0&amp;doclang=SV&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=13292847\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">\u00d6sterreichische Datenschutzbeh\u00f6rde<\/a>, p. 34-35.\"},{\"id\":\"02edd1a1-d416-4d2a-8847-a4b5e332acbf\",\"content\":\"EU-domstolen uttalade i de f\u00f6renade m\u00e5len C-584\/10 P, C-593\/10 P och C-595\/10 P <a href=\\\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=139745&amp;pageIndex=0&amp;doclang=SV&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=1090358\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Kadi<\/a>, p. 102, 125 och 126 att sekretess f\u00f6r information inte kunde g\u00f6ras g\u00e4llande mot unionens domstolar, eftersom en granskning av relevant information beh\u00f6vdes f\u00f6r att kunna s\u00e4kerst\u00e4lla r\u00e4tten till ett effektivt domstolsskydd: <em>\u201dEtt p\u00e5st\u00e5ende om kr\u00e4nkning av r\u00e4tten till f\u00f6rsvar och r\u00e4tten till ett effektivt domstolsskydd m\u00e5ste dessutom pr\u00f6vas mot bakgrund av de specifika omst\u00e4ndigheterna i varje enskilt fall \u2026 Det \u00e4r riktigt att det finns tvingande h\u00e4nsyn som r\u00f6r unionens eller dess medlemsstaters s\u00e4kerhet eller deras internationella relationer som kan utg\u00f6ra hinder f\u00f6r att l\u00e4mna ut vissa uppgifter eller viss bevisning till den ber\u00f6rda personen. I s\u00e5dana fall ankommer det dock p\u00e5 unionsdomstolen, <span style=\\\"text-decoration: underline\\\">mot vilken det inte kan g\u00f6ras g\u00e4llande att uppgifterna eller bevisen \u00e4r sekretessbelagda eller hemliga<\/span>, att inom ramen f\u00f6r sin domstolspr\u00f6vning, anv\u00e4nda sig av metoder som g\u00f6r det m\u00f6jligt att f\u00f6rena ber\u00e4ttigade s\u00e4kerhetsh\u00e4nsyn \u2026 med n\u00f6dv\u00e4ndigheten av att i tillr\u00e4cklig utstr\u00e4ckning s\u00e4kerst\u00e4lla den enskildes processuella r\u00e4ttigheter, s\u00e5som r\u00e4tten att yttra sig och principen om ett kontradiktoriskt f\u00f6rfarande \u2026 Domstolen ska h\u00e4rvid med beaktande av samtliga r\u00e4ttsliga och faktiska omst\u00e4ndigheter som \u00e5beropats av den beh\u00f6riga unionsmyndigheten, pr\u00f6va om det finns st\u00f6d f\u00f6r de sk\u00e4l f\u00f6r att mots\u00e4tta sig en s\u00e5dan utl\u00e4mning som myndigheten har anf\u00f6rt\u201d<\/em> (Cleuras understrykning)\"},{\"content\":\"<a href=\\\"https:\/\/www.supremecourt.gov\/opinions\/21pdf\/20-828_5ie6.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">FBI v Fazaga<\/a>, <em>\u201d<\/em>Reynolds<em>, on the other hand, expressly states that examination of the evidence at issue, \u2018even by the judge alone, in chambers,\u2019 should not be required if the Government shows \u2018a reasonable danger that compulsion of the evidence\u2019 will expose information that \u2018should not be divulged\u2019 in \u2018the interest of national security.\u2019 \u2026 Thus, the state secrets privilege \u2026 may sometimes preclude even <\/em>in camera, ex parte<em> review of the relevant evidence.\u201d<\/em> F\u00f6r ytterlige ett perspektiv p\u00e5 state secrets privilege, se denna debattartikel i Aktuell s\u00e4kerhet, <a href=\\\"https:\/\/www.aktuellsakerhet.se\/state-secrets-privilege-ett-forbisett-hinder-mot-tredjelandsoverforing-av-personuppgifter-till-usa\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">State Secrets Privilege \u2013 Ett f\u00f6rbisett hinder mot tredjelands\u00f6verf\u00f6ring av personuppgifter till USA?<\/a>\",\"id\":\"182a02c7-3ae0-41f8-ae36-d91fb3f0599c\"},{\"id\":\"0c274492-e84b-49bc-bd8e-70a5ff97ef8a\",\"content\":\"\u00a7 201.9 (f) <a href=\\\"https:\/\/www.justice.gov\/d9\/pages\/attachments\/2022\/10\/07\/dprc_final_rule_signed.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">DPRC-best\u00e4mmelserna<\/a>, Cleuras \u00f6vers\u00e4ttning.\"},{\"id\":\"0c5316d3-a5ad-440e-998f-5a9f7a25314d\",\"content\":\"<a href=\\\"https:\/\/www.intelligence.senate.gov\/sites\/default\/files\/94755_II.pdf\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Slutrapport fr\u00e5n Church-kommitt\u00e9n<\/a>, s. 137 (s. 153 i PDF-dokumentet).\"},{\"id\":\"1bd167ef-b30b-4bd1-a5b1-3cf2199d3cca\",\"content\":\"Spiegel, <a href=\\\"https:\/\/www.spiegel.de\/politik\/deutschland\/nsa-selektorenliste-kurt-graulich-spricht-von-klarem-vertragsbruch-a-1060280.html\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Sonderermittler spricht von klarem Vertragsbruch der NSA<\/a>.\"},{\"id\":\"6d7b0468-aedc-4e33-a889-4dfc4f31e400\",\"content\":\"TechCrunch, <a href=\\\"https:\/\/techcrunch.com\/2020\/09\/03\/nsa-bulk-records-appeals-illegal\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">NSA call records collection ruled illegal by US appeals court<\/a>.\"},{\"id\":\"2ac7c164-81e3-47e4-a64c-ca8361676a5b\",\"content\":\"The Washington Post, <a href=\\\"https:\/\/www.washingtonpost.com\/national-security\/dhs-compiled-intelligence-reports-on-journalists-who-published-leaked-documents\/2020\/07\/30\/5be5ec9e-d25b-11ea-9038-af089b63ac21_story.html\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">DHS compiled \u2018intelligence reports\u2019 on journalists who published leaked documents<\/a> och Lawfare, <a href=\\\"https:\/\/www.lawfaremedia.org\/article\/what-if-j-edgar-hoover-had-been-moron\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">What If J. Edgar Hoover Had Been a Moron?<\/a>.\"},{\"id\":\"4c5e97f2-5502-4e6b-8f1a-424744070505\",\"content\":\"The Markup, <a href=\\\"https:\/\/themarkup.org\/newsletter\/hello-world\/fighting-government-secrecy-about-surveillance\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\"><a href=\\\"https:\/\/themarkup.org\/newsletter\/hello-world\/fighting-government-secrecy-about-surveillance\\\">Fighting Government Secrecy About Surveillance<\/a><\/a>.\"},{\"id\":\"238dab25-c184-4589-a19d-e710cebb4c2b\",\"content\":\"The Washington Post, <a href=\\\"https:\/\/www.washingtonpost.com\/opinions\/2021\/06\/13\/microsoft-brad-smith-trump-justice-department-gag-orders\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">The Secret Gag Orders Must Stop<\/a>.\"},{\"id\":\"f5dfc553-a0cd-4dad-b8e5-c294e0cadb5f\",\"content\":\"The Wall Street Journal, <a href=\\\"https:\/\/www.wsj.com\/articles\/fbi-improperly-searched-spy-database-for-information-on-americans-court-says-2f12bcd\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">FBI Searched Jan. 6 Rioters and George Floyd Demonstrators in Spy Database<\/a> och The Register, <a href=\\\"https:\/\/www.theregister.com\/2023\/05\/22\/fbi_fisa_abuse\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">FBI abused spy law but only like 280,000 times in a year<\/a>. The Register <a href=\\\"https:\/\/www.theregister.com\/2023\/07\/22\/us_senator_caught_in_section_702\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">rapporterar vidare<\/a> att det bland de \u00f6vervakade fanns en amerikansk senator, en delstatssenator och en domare p\u00e5 delstatsniv\u00e5.\"},{\"id\":\"2719bc4f-aa21-4de4-aae7-cbee4f8de7e7\",\"content\":\"U.S. Senator Ron Wyden, <a href=\\\"https:\/\/www.wyden.senate.gov\/news\/press-releases\/wyden-calls-for-reforms-to-fisa-surveillance-following-disclosure-of-new-abuses\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Wyden Calls for Reforms to FISA Surveillance Following Disclosure of New Abuses<\/a>.\"},{\"id\":\"2028acb9-8b69-4fb7-939a-bf47cd62d19e\",\"content\":\"Microsoft, <a href=\\\"https:\/\/blogs.microsoft.com\/on-the-issues\/2018\/01\/19\/something-extraordinary-happened-washington-d-c-yesterday\/\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">Something extraordinary happened in Washington, D.C.<\/a>\"},{\"content\":\"<a href=\\\"https:\/\/www.law.cornell.edu\/uscode\/text\/50\/1881a\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">50 U.S.C. \u00a7 1881a<\/a>(i)(1),\u00a0<em>\u201cimmediately provide the Government with all information, facilities, or assistance necessary to accomplish the acquisition in a manner that will protect the secrecy of the acquisition and produce a minimum of interference with the services\u201c<\/em>.\",\"id\":\"2576010f-e491-4463-8653-e2b37e239280\"},{\"content\":\"<a href=\\\"https:\/\/www.law.cornell.edu\/uscode\/text\/50\/1881a\\\" target=\\\"_blank\\\" rel=\\\"noreferrer noopener\\\">50 U.S.C. \u00a7 1881a<\/a>(i)(2),\u00a0<em>\u201cThe Government shall compensate, at the prevailing rate, an electronic communication service provider for providing information, facilities, or assistance in accordance with a directive issued pursuant to paragraph (1).\u201c<\/em>\",\"id\":\"1f2e2205-53ef-4ae0-af8c-b185cc0b5d49\"}]"},"categories":[760],"tags":[649,559,778,776,541,775,660,665],"class_list":["post-15431","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-rapport","tag-adekvansbeslutet","tag-compliance-sv-2","tag-dprc-bestammelserna","tag-eo-14086","tag-gdpr-sv","tag-kryptering","tag-overvakning","tag-tredjelandsoverforingar"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.3 (Yoast SEO v27.3) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Rapport - Det tredje adekvansbeslutet - Cleura<\/title>\n<meta name=\"description\" content=\"M\u00e5nga fr\u00e5gar sig om det tredje adekvansbeslutet till\u00e5ter anv\u00e4ndandet av amerikanska molntj\u00e4nster. Vi bed\u00f6mer att svaret fortsatt \u00e4r nej.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/\" \/>\n<meta property=\"og:locale\" content=\"sv_SE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Vad din verksamhet beh\u00f6ver veta om det tredje adekvansbeslutet\" \/>\n<meta property=\"og:description\" content=\"M\u00e5nga fr\u00e5gar sig om det tredje adekvansbeslutet till\u00e5ter anv\u00e4ndandet av amerikanska molntj\u00e4nster. Vi bed\u00f6mer att svaret fortsatt \u00e4r nej.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/\" \/>\n<meta property=\"og:site_name\" content=\"Cleura\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/CleuraCloud\" \/>\n<meta property=\"article:published_time\" content=\"2023-07-12T18:00:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-10-30T08:26:17+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/cleura.com\/wp-content\/uploads\/2023\/07\/nik-3xNn1zGvBwY-unsplash-scaled.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1714\" \/>\n\t<meta property=\"og:image:height\" content=\"2560\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Arman\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@cleuracloud\" \/>\n<meta name=\"twitter:site\" content=\"@cleuracloud\" \/>\n<meta name=\"twitter:label1\" content=\"Skriven av\" \/>\n\t<meta name=\"twitter:data1\" content=\"Arman\" \/>\n\t<meta name=\"twitter:label2\" content=\"Ber\u00e4knad l\u00e4stid\" \/>\n\t<meta name=\"twitter:data2\" content=\"51 minuter\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"NewsArticle\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/rapport\\\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/rapport\\\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\\\/\"},\"author\":{\"name\":\"Arman\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#\\\/schema\\\/person\\\/8f8dd15233a72d7c7255b4be5dc70ab5\"},\"headline\":\"Vad din verksamhet beh\u00f6ver veta om det tredje adekvansbeslutet\",\"datePublished\":\"2023-07-12T18:00:00+00:00\",\"dateModified\":\"2025-10-30T08:26:17+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/rapport\\\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\\\/\"},\"wordCount\":15124,\"publisher\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/rapport\\\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/cleura.com\\\/wp-content\\\/uploads\\\/2023\\\/07\\\/nik-3xNn1zGvBwY-unsplash-scaled.jpg\",\"keywords\":[\"Adekvansbeslutet\",\"Compliance\",\"DPRC-best\u00e4mmelserna\",\"EO 14086\",\"GDPR\",\"Kryptering\",\"\u00d6vervakning\",\"Tredjelands\u00f6verf\u00f6ringar\"],\"articleSection\":[\"Rapport\"],\"inLanguage\":\"sv-SE\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/rapport\\\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\\\/\",\"url\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/rapport\\\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\\\/\",\"name\":\"Rapport - Det tredje adekvansbeslutet - Cleura\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/rapport\\\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/rapport\\\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/cleura.com\\\/wp-content\\\/uploads\\\/2023\\\/07\\\/nik-3xNn1zGvBwY-unsplash-scaled.jpg\",\"datePublished\":\"2023-07-12T18:00:00+00:00\",\"dateModified\":\"2025-10-30T08:26:17+00:00\",\"description\":\"M\u00e5nga fr\u00e5gar sig om det tredje adekvansbeslutet till\u00e5ter anv\u00e4ndandet av amerikanska molntj\u00e4nster. Vi bed\u00f6mer att svaret fortsatt \u00e4r nej.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/rapport\\\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\\\/#breadcrumb\"},\"inLanguage\":\"sv-SE\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/rapport\\\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"sv-SE\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/rapport\\\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\\\/#primaryimage\",\"url\":\"https:\\\/\\\/cleura.com\\\/wp-content\\\/uploads\\\/2023\\\/07\\\/nik-3xNn1zGvBwY-unsplash-scaled.jpg\",\"contentUrl\":\"https:\\\/\\\/cleura.com\\\/wp-content\\\/uploads\\\/2023\\\/07\\\/nik-3xNn1zGvBwY-unsplash-scaled.jpg\",\"width\":1714,\"height\":2560,\"caption\":\"What your organisation needs to know about th e new adequacy decision\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/molnguiden\\\/rapport\\\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Hem\",\"item\":\"https:\\\/\\\/cleura.com\\\/sv\\\/cleura-det-europeiska-molnet\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Vad din verksamhet beh\u00f6ver veta om det tredje adekvansbeslutet\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#website\",\"url\":\"https:\\\/\\\/cleura.com\\\/sv\\\/\",\"name\":\"Cleura\",\"description\":\"Freedom to innovate\",\"publisher\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/cleura.com\\\/sv\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"sv-SE\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#organization\",\"name\":\"Cleura\",\"url\":\"https:\\\/\\\/cleura.com\\\/sv\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"sv-SE\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/cleura.com\\\/wp-content\\\/uploads\\\/2022\\\/04\\\/Cleura-Logotyp-Svart.png\",\"contentUrl\":\"https:\\\/\\\/cleura.com\\\/wp-content\\\/uploads\\\/2022\\\/04\\\/Cleura-Logotyp-Svart.png\",\"width\":1000,\"height\":237,\"caption\":\"Cleura\"},\"image\":{\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/CleuraCloud\",\"https:\\\/\\\/x.com\\\/cleuracloud\",\"https:\\\/\\\/www.linkedin.com\\\/company\\\/cleura\",\"https:\\\/\\\/www.youtube.com\\\/c\\\/Cleura\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/cleura.com\\\/sv\\\/#\\\/schema\\\/person\\\/8f8dd15233a72d7c7255b4be5dc70ab5\",\"name\":\"Arman\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"sv-SE\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/91fad1e47ea4f9c065d4d3eb955c2c26cce7c53dee69f2f9555c4fbc4a3a97c4?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/91fad1e47ea4f9c065d4d3eb955c2c26cce7c53dee69f2f9555c4fbc4a3a97c4?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/91fad1e47ea4f9c065d4d3eb955c2c26cce7c53dee69f2f9555c4fbc4a3a97c4?s=96&d=mm&r=g\",\"caption\":\"Arman\"}}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Rapport - Det tredje adekvansbeslutet - Cleura","description":"M\u00e5nga fr\u00e5gar sig om det tredje adekvansbeslutet till\u00e5ter anv\u00e4ndandet av amerikanska molntj\u00e4nster. Vi bed\u00f6mer att svaret fortsatt \u00e4r nej.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/","og_locale":"sv_SE","og_type":"article","og_title":"Vad din verksamhet beh\u00f6ver veta om det tredje adekvansbeslutet","og_description":"M\u00e5nga fr\u00e5gar sig om det tredje adekvansbeslutet till\u00e5ter anv\u00e4ndandet av amerikanska molntj\u00e4nster. Vi bed\u00f6mer att svaret fortsatt \u00e4r nej.","og_url":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/","og_site_name":"Cleura","article_publisher":"https:\/\/www.facebook.com\/CleuraCloud","article_published_time":"2023-07-12T18:00:00+00:00","article_modified_time":"2025-10-30T08:26:17+00:00","og_image":[{"width":1714,"height":2560,"url":"https:\/\/cleura.com\/wp-content\/uploads\/2023\/07\/nik-3xNn1zGvBwY-unsplash-scaled.jpg","type":"image\/jpeg"}],"author":"Arman","twitter_card":"summary_large_image","twitter_creator":"@cleuracloud","twitter_site":"@cleuracloud","twitter_misc":{"Skriven av":"Arman","Ber\u00e4knad l\u00e4stid":"51 minuter"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"NewsArticle","@id":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#article","isPartOf":{"@id":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/"},"author":{"name":"Arman","@id":"https:\/\/cleura.com\/sv\/#\/schema\/person\/8f8dd15233a72d7c7255b4be5dc70ab5"},"headline":"Vad din verksamhet beh\u00f6ver veta om det tredje adekvansbeslutet","datePublished":"2023-07-12T18:00:00+00:00","dateModified":"2025-10-30T08:26:17+00:00","mainEntityOfPage":{"@id":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/"},"wordCount":15124,"publisher":{"@id":"https:\/\/cleura.com\/sv\/#organization"},"image":{"@id":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#primaryimage"},"thumbnailUrl":"https:\/\/cleura.com\/wp-content\/uploads\/2023\/07\/nik-3xNn1zGvBwY-unsplash-scaled.jpg","keywords":["Adekvansbeslutet","Compliance","DPRC-best\u00e4mmelserna","EO 14086","GDPR","Kryptering","\u00d6vervakning","Tredjelands\u00f6verf\u00f6ringar"],"articleSection":["Rapport"],"inLanguage":"sv-SE"},{"@type":"WebPage","@id":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/","url":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/","name":"Rapport - Det tredje adekvansbeslutet - Cleura","isPartOf":{"@id":"https:\/\/cleura.com\/sv\/#website"},"primaryImageOfPage":{"@id":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#primaryimage"},"image":{"@id":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#primaryimage"},"thumbnailUrl":"https:\/\/cleura.com\/wp-content\/uploads\/2023\/07\/nik-3xNn1zGvBwY-unsplash-scaled.jpg","datePublished":"2023-07-12T18:00:00+00:00","dateModified":"2025-10-30T08:26:17+00:00","description":"M\u00e5nga fr\u00e5gar sig om det tredje adekvansbeslutet till\u00e5ter anv\u00e4ndandet av amerikanska molntj\u00e4nster. Vi bed\u00f6mer att svaret fortsatt \u00e4r nej.","breadcrumb":{"@id":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#breadcrumb"},"inLanguage":"sv-SE","potentialAction":[{"@type":"ReadAction","target":["https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/"]}]},{"@type":"ImageObject","inLanguage":"sv-SE","@id":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#primaryimage","url":"https:\/\/cleura.com\/wp-content\/uploads\/2023\/07\/nik-3xNn1zGvBwY-unsplash-scaled.jpg","contentUrl":"https:\/\/cleura.com\/wp-content\/uploads\/2023\/07\/nik-3xNn1zGvBwY-unsplash-scaled.jpg","width":1714,"height":2560,"caption":"What your organisation needs to know about th e new adequacy decision"},{"@type":"BreadcrumbList","@id":"https:\/\/cleura.com\/sv\/molnguiden\/rapport\/vad-din-verksamhet-behover-veta-om-det-tredje-adekvansbeslutet\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Hem","item":"https:\/\/cleura.com\/sv\/cleura-det-europeiska-molnet\/"},{"@type":"ListItem","position":2,"name":"Vad din verksamhet beh\u00f6ver veta om det tredje adekvansbeslutet"}]},{"@type":"WebSite","@id":"https:\/\/cleura.com\/sv\/#website","url":"https:\/\/cleura.com\/sv\/","name":"Cleura","description":"Freedom to innovate","publisher":{"@id":"https:\/\/cleura.com\/sv\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/cleura.com\/sv\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"sv-SE"},{"@type":"Organization","@id":"https:\/\/cleura.com\/sv\/#organization","name":"Cleura","url":"https:\/\/cleura.com\/sv\/","logo":{"@type":"ImageObject","inLanguage":"sv-SE","@id":"https:\/\/cleura.com\/sv\/#\/schema\/logo\/image\/","url":"https:\/\/cleura.com\/wp-content\/uploads\/2022\/04\/Cleura-Logotyp-Svart.png","contentUrl":"https:\/\/cleura.com\/wp-content\/uploads\/2022\/04\/Cleura-Logotyp-Svart.png","width":1000,"height":237,"caption":"Cleura"},"image":{"@id":"https:\/\/cleura.com\/sv\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/CleuraCloud","https:\/\/x.com\/cleuracloud","https:\/\/www.linkedin.com\/company\/cleura","https:\/\/www.youtube.com\/c\/Cleura"]},{"@type":"Person","@id":"https:\/\/cleura.com\/sv\/#\/schema\/person\/8f8dd15233a72d7c7255b4be5dc70ab5","name":"Arman","image":{"@type":"ImageObject","inLanguage":"sv-SE","@id":"https:\/\/secure.gravatar.com\/avatar\/91fad1e47ea4f9c065d4d3eb955c2c26cce7c53dee69f2f9555c4fbc4a3a97c4?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/91fad1e47ea4f9c065d4d3eb955c2c26cce7c53dee69f2f9555c4fbc4a3a97c4?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/91fad1e47ea4f9c065d4d3eb955c2c26cce7c53dee69f2f9555c4fbc4a3a97c4?s=96&d=mm&r=g","caption":"Arman"}}]}},"_links":{"self":[{"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/posts\/15431","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/comments?post=15431"}],"version-history":[{"count":177,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/posts\/15431\/revisions"}],"predecessor-version":[{"id":28554,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/posts\/15431\/revisions\/28554"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/media\/13277"}],"wp:attachment":[{"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/media?parent=15431"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/categories?post=15431"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cleura.com\/sv\/wp-json\/wp\/v2\/tags?post=15431"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}