CLOUD Act och röjande-begreppet enligt OSL
CLOUD Act innebär att brottsbekämpande myndigheter i USA har rätt att kräva tillgång till data som vissa leverantörer av bl.a. molntjänster har tillgång till, oavsett vem som ”äger” datan och utan geografiska begränsningar.
De grundläggande förutsättningarna för CLOUD Acts tillämplighet är att det föreligger sannolika skäl för att ett specifikt brott har begåtts, att uppgifterna har relevans för utredningen av brottet och att molntjänstleverantören ifråga omfattas av amerikansk jurisdiktion. Amerikanskägda bolag omfattas t.ex. av amerikansk jurisdiktion.
eSam och uppståndelsen kring CLOUD Act
Det finns i myndighetssfären en rädsla för att sekretessreglerade uppgifter ska anses automatiskt röjda till amerikanska myndigheter enligt offentlighets- och sekretesslagen (OSL) om de görs tekniskt tillgängliga för en molntjänstleverantör som omfattas av CLOUD Act eller motsvarande utländsk lagstiftning. I centrum av diskussionen står två uttalanden från eSam (ett samarbete mellan statliga myndigheter och Sveriges kommuner och regioner, SKR, i syfte att främja digitalisering) enligt vilka så skulle vara fallet.
2018 skrev eSam att skälet till bedömningen är att det i ett sådant scenario inte längre är osannolikt att de sekretessreglerade uppgifterna kan komma att lämnas till utomstående. Enligt det andra uttalandet (från 2019) blir en sannolikhetsbedömning enligt 2018 års uttalande aldrig aktuell om molntjänstleverantör på grund av regler i en främmande rättsordning kan bli tvungen att lämna ut sekretessreglerade uppgifter. I så fall ska uppgifterna anses röjda.
Varför eSam har fel och rätt
De främsta skälen till att eSams uttalanden fått så stort genomslag är förmodligen att röjande-begreppet inte definierats i OSL och att det i övrigt är tunt med moderna rättskällor som behandlar begreppet. Faktum är dock att det i vart fall finns två rättsfall av direkt relevans – NJA 1991 s. 103 och AD 2019 nr 15. I domarna kan man läsa att det inte krävs att någon faktiskt tagit del av en uppgift för att den ska anses röjd. Det avgörande är om uppgiften har blivit tillgänglig för någon obehörig under sådana omständigheter att man måste räkna med att den obehörige kommer att ta del av den.
Denna tolkning av röjande-begreppet är enligt mig förhållandevis extensiv. Att gå längre än så vore att strunta i den lexikaliska innebörden av att röja något. Hade lagstiftaren t.ex. velat att en sekretessreglerad uppgift ska anses röjd redan när det finns minsta risk för att någon kommer att ta del av den borde det ha uttryckts i lagtexten. Jag menar mot denna bakgrund att eSam sannolikt har fel i 2019 års uttalande om att blotta tillämpligheten av CLOUD Act innebär att sekretessreglerade uppgifter ska anses automatiskt röjda. Jag delar däremot eSams uppfattning i 2018 års uttalande att det är aktuellt att göra en sannolikhetsbedömning för att avgöra om en uppgift ska anses röjd till amerikanska myndigheter p.g.a. CLOUD Act. En annan sak är att utfallet av eSams sannolikhetsbedömningen kan diskuteras. Mer om det nedan.
Görs sekretessreglerade uppgifter tillgängliga för amerikanska myndigheter?
Innan sannolikhetsbedömningen bör man enligt mig fundera på om sekretessreglerade uppgifter ens görs ”tillgängliga” för amerikanska myndigheter genom att de görs tekniskt tillgängliga för en molntjänstleverantör som omfattas av CLOUD Act. Jag ställer mig tveksam till det med tanke på att det faktiskt finns strikta krav som måste vara uppfyllda innan en amerikansk myndighet kan försöka sig på att erhålla den search warrant eller subpoena som krävs för att molntjänstleverantören ska behöva lämna ut några uppgifter enligt CLOUD Act. Det finns även möjligheter för molntjänstleverantören att invända mot en search warrant eller subpoena.
Är det inte längre osannolikt att tillgången till uppgifterna kommer att utnyttjas?
Om man ändå utgår ifrån att sekretessreglerade uppgifter anses tillgängliggjorda för amerikanska myndigheter på grund av CLOUD Act bör man enligt min uppfattning i nästa steg bedöma sannolikheten för att amerikanska myndigheter faktiskt kommer ta del av uppgifterna. Jag menar att följande omständigheter är exempel på saker som talar för att man inte måste räkna med att amerikanska myndigheter kommer att ta del av några sekretessreglerade uppgifter med stöd av CLOUD Act (omständigheterna är egentligen lika relevanta för bedömningen av om uppgifterna över huvud taget ska anses tillgängliggjorda):
- Officiell statistik och information från molntjänstleverantörer. AWS publicerar t.ex. statistik på halvårsbasis om utlämnanden av data till brottsbekämpande myndigheter. Enligt statistiken för sista halvåret 2019 lämnades uppgifter helt eller delvis ut i enlighet med en subpoena eller search warrant i totalt 1 708 fall. Siffran innefattar enligt AWS samtliga fall av utlämnanden inom ramen för allehanda brottsutredningar enligt en subpoena eller search warrant och avser inte heller specifikt sådana som utfärdats med stöd av CLOUD Act.
- Amerikanska justitiedepartementet har som policy att uppgifter ska begäras direkt från den som ”äger” dem och inte molntjänstleverantörer såvida det inte skulle vara till skada för utredningen.
- Molntjänstleverantören har rätt att invända mot en CLOUD Act subpoena eller search warrant. Flera molntjänstleverantörer har en historia av att göra det.
- Det krävs inte ett s.k. ”executive agreement” med USA (vilket Sverige saknar) för att molntjänstleverantören ska kunna invända mot en CLOUD Act-subpoena eller warrant med hänvisning till en kollision med ett annat lands lag. Jag tar upp detta eftersom att det är en vanlig missuppfattning. Att molntjänstleverantören skulle bryta mot t.ex. GDPR vid ett utlämnande är ett tänkbart argument enligt amerikansk rätt.
- Ofta åtar sig molntjänstleverantörer att utnyttja de medel som finns för att invända mot amerikanska myndigheters krav på utlämnande av kunders data. Detta varierar förstås från fall till fall och är något som man som kund bör se över.
- Typen av uppgifter som molntjänstleverantören kommer att behandla bör ha viss betydelse. Finns det ens ett teoretiskt värde för sådana uppgifter i en brottsutredning?
CLOUD Acts betydelse vid användning av molntjänster inom offentlig sektor är för närvarande föremål för en statlig utredning som ska redovisas den 31 augusti i år. Man kan förstås inte utesluta att utredaren kommer fram till en slutsats som ligger i linje med eSams men jag menar som framgått att det finns goda argument för varför det vore fel. En fråga som jag menar är betydligt mer relevant är om det rent allmänt är lämpligt att ge en leverantör som omfattas av CLOUD Act tillgång till vissa typer av sekretessreglerade uppgifter. Något som även lyfts av Försäkringskassan i deras vitbok ”Molntjänster i samhällsbärande verksamhet”.
Relaterat innehåll