Stöd för GDPR

Den europeiska dataskyddslagen GDPR ställer höga krav på hur data som innehåller personinformation hanteras. E-post innehåller alltid personinformation, både e-postadress och IP-adresser klassifieras som personinformation och dessa går inte att undvika i e-postmeddelanden. Är ni ett företag inom EU då måste ni leva upp till GDRP vilket t.ex. innebär att er e-post måste hanteras så att de lever upp till GDRP. All e-post ni skickar måste i alla led leva upp till GDPR, hur ni själva hanterar er e-postdata, ni ansvarar för hur era underleverantörer hanterar er e-post. Fallerar era underleverantörer är det ni som kommer att stå som ansvarig och eventuella sanktionsavgifter kommer att tilldömmas er.

I korthet går GDPR ut på att personinformation inte får röjas, inte kan röjas, för någon som inte lyder under GDPR. Det går att avtala mellan parter att data får hanteras och att den inte får röjas. Det går till exempel att avtala med ett företag utanför EU att de får hantera era personuppgifter, t.ex. e-post, men att det inte får röja dessa för 3:e part. Men, frågan är om de verkligen kan det, lova att de inte kommer att röja personuppgifter.

USA stiftade efter 9/11 lagen Patriot Act. I ett nötskal ger denna lag rätt för amerikanska myndigheter att avlyssna, ta del av och kräva ut all typ av information, som t.ex. telefonkommunikation och alla typer av datakommunikation, från hela världen, från tjänsteleverantörer som omfattas av USA:s jurisdiktion. Detta är en lag som alla amerikanska företag lyder under, oavsett vart de lagrar data. Amerikanska myndigheter kan t.ex. kräva av Microsoft/Google/Apple/Dropbox, som alla är amerkanska företag, att få ut all information som de har om en person. Gäller det en amerikansk medborgare behöver de ha ett domstolsbeslut för det, gäller det en icke-amerikansk medborgare, typ en svensk, då behövs inga domstolar, då kan de kräva ut det godtyckligt. Och, detta oavsett vart Microsoft/Google/Apple/Dropbox lagrar denna data, det spelar ingen roll om de sparar data på Irland, eller i Tyskland, eller i Sverige, de lyder ändå under amerikansk lag och måste följa den, oavsett.

För att man i europa skulle kunna använda sig av molntjänster av amerikanska företag skapade man något som heter EU–US Privacy Shield. Denna reglerade hur amerikanska företag fick hantera information som lyder under GDRP. Denna tillsammans med “EU:s standardavtalsklausuler” och bindande företagsbestämmelser gjorde att man ansåg att det var legitimt att i europa använda sig av amerikansk molntjänster. Företag och många i offentlig sektor började göra det.

Sommaren 2020 kom dock ett EU domstolsutslag som ställde allt detta på ända, den så kallade Schrems II domen. Denna dom förklarade användandet av “EU–US Privacy Shield” och standardavtalklausulerna som otillräckliga för att använda sig av amerikanska molntjänster. Domen var omedelbar, ingen respitperiod, den började gälla omedelbart sommaren 2020. I praktiken innebär det att företag inom EU inte kan använda amerikanska molntjänster om man vill leva upp till GDPR. Detta visas också av ett domstolsutslag nyligen där ett tyskt företag fälldes för att de använt det amerikanska “Mailchimp” för sina nyhetsbrev, som skickas med e-post. Det är till och med så att det anses att “Google Analytics” anses bryta mot GDPR. Flera svenska bolag har blivit anmälda efter “Schrems II” domen, för att deras webbplatser inte lever upp till GDPR, bland annat cdon.fi, synonymer.se, familjeliv.se, coop.se, di.se och tele2.se.

I eftermälet av “Schems II” domen har EU kommit ut med ett förtydligande, pressrelease 2021-05-20, genom de nya uppförandekoderna EU CLOUD CODE OF CONDUCT, GDPR Art 40,41. I ett nötskal säger denna:

EDPB’s REKOMMENDATIONER KRING SCHREMS II

”EDPB är mycket medveten om effekterna av Schrems II-beslutet för tusentals EU-företag och det viktiga ansvar det lägger på dataexportörerna. EDPB hoppas att dessa rekommendationer kan hjälpa dataexportörer att identifiera och genomföra effektiva kompletterande åtgärder där de behövs.”

EDPB-ordförande, Andrea Jelinek

I praktiken är det omöjligt att genomföra de kompletterande åtgärder som nu anges. Det går t.ex. inte att avtala bort med amerikanska företag att de inte skall följa amerikansk lag. Återstår då tekniska åtgärder såsom kryptering eller anonymisering av data. De kan möjligen utföras för enskilda unika informationssystem som är 100% affärskritiska för ett företag, men att utföra dessa åtgärder på bred front, för t.ex. e-post, är inte (ekonomiskt) görligt. Man kan också skönja en politisk agenda från våra eu-politiker, udden är riktad mot USA och dess dominerande it-företag, och tanken som kan skönjas är att man vill se, och stödja, europeiska alternativ till de amerikanska, som till exempel GAIA X, den EU federerade IT-infrastrukturen vilket också förstärks av vad Frankrikes Macron säger: Europa ska ha 10 techjättar vid 2030.

Så, vad betyder då allt detta? Jo, att använda amerikanska molntjänster är vanskligt ur ett GDPR perspektiv och just den frågan kommer EU knappast att lösa i närtid då politiska incitament för det saknas.

Vad gäller då våra webbhotelltjänster?

Alla våra webbhotelltjänster lagrar data inom EU och data lagras i en infrastruktur som ägs av europeiska företag. De datacenters som vi använder oss av ägs alla av europeiska (svenska och tyska) företag. All data för hemsida och e-post lagras där. Backup av hemsida och e-post lagras på samma sätt, dessutom krypterat. E-post som skickas inom eu transferas aldrig utanför eu, om inte mottagaren har satt upp det så. Vissa tilläggstjänster ägs av amerikanska bolag och vi är då tydliga med det.

Annat

Vi använder inte någon som helst spårning på våra hemsidor. Vi använder bara nödvändiga cookies som behövs för att webbplatsen skall fungera. T.ex. inloggning till kunder.support och alla funktioner som finns där. Det är cookies som bara används för kunder.support och lämnar aldrig heller denna.

På själva hemsidan registrera-doman.se använder vi inga cookies alls. Möjligen kommer vi att behöva det i framtiden om vi implementerar chat-support igen.

All e-post som vi skickar skickas genom europeisk infrastruktur och genom företag som lyder under eu jurisdiktion.

Schrems II, en bra sammanfattning på svenska

Cloud Act for Dummies:

US CLOUD Act (Clarifying Lawful Overseas Use of Data Act eller kort Cloud Act) är en amerikansk lag som antogs 2018 av USA:s kongress. Lagen gör det möjligt för amerikanska myndigheter att begära ut data som lagras utanför USA:s territorium från tjänsteleverantörer som omfattas av USA:s jurisdiktion. Syftet med lagen är att underlätta utredningsarbetet för brottsbekämpande myndigheter.

CLOUD Act ger USA:s brottsbekämpande myndigheter omfattande befogenheter att beordra vissa typer av tjänsteleverantörer (inklusive telekomoperatörer och molntjänstleverantörer) att bland annat lämna ut data om användare. Data som en tjänsteleverantör kan behöva lämna ut omfattar även innehållet i kommunikation som till exempel e-post och chattmeddelanden. Tjänsteleverantören måste lämna ut denna data oavsett om den lagras i eller utanför USA. När denna data avser personuppgifter som omfattas av dataskyddsförordningen (“GDPR”), till exempel för att de tillhör en europeisk användare av en amerikansk molntjänst, hamnar tjänsteleverantören i en konflikt mellan CLOUD Act och GDPR.

För att en amerikansk myndighet ska kunna begära ut uppgifter från en tjänsteleverantör med stöd av CLOUD Act krävs vanligtvis ett beslut av en amerikansk domstol. Domstolen gör då en bedömning om det är sannolikt att ett specifikt brott har ägt rum eller kommer att göra det.

CLOUD Act öppnar även upp för att en myndighet i vissa situationer kan ställa mer ospecifika krav. Därutöver finns det möjligheter för myndigheter att beordra tjänsteleverantörer att lämna ut information utan domstolsbeslut. CLOUD Act gör det vidare möjligt att kringgå rättsliga instrument som har skapats för datautbyte mellan brottsbekämpande myndigheter över atlanten, som till exempel avtalet om ömsesidig rättslig hjälp mellan Europeiska unionen och Amerikas förenta stater.

USA:s syn på CLOUD Act är att lagen underlättar brottsbekämpande myndigheters arbete genom att förtydliga tjänsteleverantörens skyldigheter. EU:s syn på lagen är istället att CLOUD Act innebär ett betydande ingrepp i medlemsstaternas jurisdiktion och maktmonopol.

Tjänsteleverantörer som lämnar ut personuppgifter som omfattas av GDPR till amerikanska myndigheter med stöd av CLOUD Act bryter i de flesta fall mot GDPR och riskerar således höga sanktionsavgifter

FISA för dummies:

och det var just FISA om gjorde att det tyska modeföretaget fälldes för att de använde ett amerikanskt företag för sina nyhetsbrev.

https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV

Och amerikanska myndigheter de använder sig verkligen av FISA och Cloud Act för att begära ut uppgifter. Detta sker rutinmässigt numera.