Hem
Om oss
Open source Mobilappar Vanliga frågor Migrera från Google Photos Om PixelUnion
Priser Blogg
Hjälpcenter
Konto Immich Migrering Övrigt Kontakta support
Get Started
Privacy

CLOUD Act förklarad: Vad det betyder för dina foton och din integritet

PixelUnion Team
6 min read
#CLOUD Act #Digital Sovereignty #Europe #Big Tech #Privacy #Data Protection #GDPR
CLOUD Act förklarad: Vad det betyder för dina foton och din integritet

Dina foton är i “molnet”. Men i vems moln? Och vilka lagar gäller?

Om du lagrar foton på Google Foton, iCloud, OneDrive eller Dropbox antar du förmodligen att dina data skyddas av integritetslagar i det land där dessa servrar befinner sig. Om dina foton är lagrade i Europa kanske du tror att europeiska integritetsregler - som GDPR - skyddar dig. Men det finns en amerikansk lag som du förmodligen aldrig har hört talas om som kan åsidosätta allt detta. Den kallas CLOUD Act, och den är viktigare än du tror.

Vad är CLOUD Act?

CLOUD Act är en kort, komplex amerikansk lag från 2018. Namnet betyder “Clarifying Lawful Overseas Use of Data” - vilket, för att vara ärlig, låter mer förvirrande än själva lagen. Du kan läsa den faktiska texten här, men vi översätter den till enkel svenska.

Här är huvudidén: Om ett amerikanskt företag lagrar dina data - även om dessa servrar är fysiskt placerade i Europa - kan amerikanska brottsbekämpningsmyndigheter kräva att företaget direkt lämnar dina data till dem, utan att först fråga europeiska myndigheter om tillåtelse.

Tänk på det så här: Du hyr en lägenhet i Paris. Ägaren är amerikansk. Enligt normala regler måste polisen, om de skulle vilja genomsöka din lägenhet, gå genom franska domstolar och få fransk godkännande. Men vad om det finns en regel som säger att amerikanska ägare måste öppna sina dörrar för amerikansk polis varje gång de frågar? Det är i huvudsak det som CLOUD Act gör - det låter amerikanska brottsbekämpningsmyndigheter kringgå europeiska juridiska processer och gå direkt till företaget som lagrar dina data.

CLOUD Act tillåter amerikanska myndigheter att kräva data från amerikanska teknikföretag, även när dessa data lagras på europeiska servrar och tillhör europeiska medborgare - vilket potentiellt kan åsidosätta europeisk integritetsskydd.

Varför detta är viktigt (även om dina data är i Europa)

Du kanske tänker: “Mina foton lagras i ett tyskt datacenter, skyddat av tysk lag”. Det verkar säkert. Men det är inte lagen som skyddar byggnaden som betyder något - det är lagen som skyddar det företag som driver byggnaden.

När du laddar upp foton till Google Foton är Google (ett amerikanskt företag) ansvarigt för dem. Googles huvudkontor är i Kalifornien. Google måste följa amerikanska lagar. Om amerikanska brottsbekämpningsmyndigheter dyker upp med ett juridiskt krav, måste Google följa amerikansk lag - även om dina foton är på servrar i Frankfurt, Amsterdam eller Dublin.

CLOUD Act utformades faktiskt för att lösa ett annat problem: det var avsett att hjälpa amerikanska teknikföretag att undvika motstridiga juridiska krav från flera länder. Men bieffekten var att det skapade en juridisk väg för amerikanska myndigheter att få åtkomst till data lagrad överallt i världen, så länge ett amerikanskt företag håller det.

GDPR skyddar dig inte från CLOUD Act

Det är här det blir viktigt: GDPR (EU:s allmänna dataskyddsförordning) är fantastisk. Den ger dig rättigheter, den begränsar vad företag kan göra med dina data, och den framtvingar transparens. Men GDPR handlar om vad företag kan göra med dina data på egen hand. Det är inte ett skydd mot myndighetskrav.

CLOUD Act handlar om myndigheters åtkomst. GDPR kan inte stoppa amerikanska brottsbekämpningsmyndigheter från att ställa ett juridiskt krav under CLOUD Act-reglerna. Det är två olika saker:

  • GDPR kontrollerar vad företag gör med dina data i normala, dagliga affärer
  • CLOUD Act kontrollerar vad myndigheter kan kräva av dessa företag

Även ett företag som helt följer GDPR måste fortfarande följa ett CLOUD Act-krav från amerikanska myndigheter. Det är som att ha världens strängaste hyresregler - men polisen kan fortfarande komma in om de har ett tillstånd.

Vem påverkas egentligen?

Grundläggande: vem som helst som använder större molnlagrings- eller fototjänster. Detta omfattar:

  • Google Foton och Google Drive
  • Apple iCloud
  • Microsoft OneDrive och Outlook
  • Dropbox
  • Amazon Foton
  • Facebook och Instagram (som också hanterar dina foton)
  • Alla andra amerikanska molnföretag

Om ett amerikanskt företag lagrar dina data kan CLOUD Act gälla. Detta är inte teoretiskt - amerikanska brottsbekämpningsmyndigheter har redan använt CLOUD Act-befogenheter för att kräva data från teknikföretag, och företag följer vanligtvis detta.

Verkliga konsekvenser

Låt oss göra detta konkret. Föreställ dig:

  • En journalist i Polen använder Google Drive för att lagra forskning och dokument. Amerikanska myndigheter som utredning journalistens källor kan kräva att Google lämnar allt - även om data lagras i Europa och journalisten är europé.

  • En fotograf i Tyskland använder Dropbox för att säkerhetskopiera kundfoton och kontrakt. Om han utreds av någon anledning kan amerikanska myndigheter få åtkomst till dessa filer utan att gå genom tyska domstolar.

  • En aktivist i Ungern använder Gmail och Google Foton. Amerikanska myndigheter kunde få åtkomst till hans e-post och foton om de hade juridisk grund för det.

Detta är inte paranoid scenarier. Det är hur lagen faktiskt fungerar.

Hur CLOUD Act skiljer sig från andra regler

Du kanske hör talas om lagar som GDPR, SCHREMS II eller adequacy-beslut. Dessa är viktiga, men fungerar annorlunda:

  • GDPR säger till företag hur de ska hantera dina data. Det stoppar inte myndigheter.
  • Adequacy-beslut (såsom mellan EU och USA) försöker bygga förtroende mellan regioner. Men de åsidosätter inte CLOUD Act.
  • SCHREMS II gjorde det svårare att flytta data mellan kontinenter. Men det förhindrar inte CLOUD Act-krav när data är hos ett amerikanskt företag.

CLOUD Act är ovanför det mesta av detta - det är en direkt juridisk väg för amerikanska myndigheter att få åtkomst till data.

Vad kan du egentligen göra?

Du kan inte avanmäla dig från CLOUD Act. Men du har valmöjligheter:

1. Använd europeiska alternativ. Tjänster som Nextcloud, Proton (baserad i Schweiz) eller mindre europeiska leverantörer är inte föremål för CLOUD Act eftersom de inte är amerikanska företag. Detta ger dig verkligt skydd enligt europeisk lag.

2. Kryptera före uppladdning. Om dina data är krypterade från end-to-end (du håller nycklarna, företaget gör det inte) kan företag inte lämna läsbar data även om myndigheter kräver det. Sök efter tjänster med zero-knowledge-arkitektur.

3. Förstå risken. För tillfälliga familjefoton? Kanske är risken acceptabel. För känsliga dokument, medicinska journaler eller något som du behöver hålla privat? Det är värt att överväga alternativ.

4. Stöd integritetslag. Förespråk starkare europeisk dataskyddslagstiftning och reglering som begränsar hur amerikanska myndigheter kan få åtkomst till data från EU-medborgare.

Varför PixelUnion finns till

Vi byggade PixelUnion just på grund av bekymmer som dessa. PixelUnion är en europeisk, integritetsforuserande hanterad foto- och videolaringtjänst. Dina data förblir i Europa under europeisk juridisk skydd. Vi säljer inte dina data, vi bygger inte profiler om dig, och vi är inte föremål för CLOUD Act eftersom vi inte är ett amerikanskt företag.

Vi tror att du ska kunna lagra dina foton och minnen utan att undra om en utländsk regering kan få åtkomst till dem utan din vetskap eller samtycke.

CLOUD Act är inte en hemlig komplott. Det är en riktig lag med riktiga konsekvenser. Du behöver inte få panik, men du behöver förstå det - särskilt om du bryr dig om din integritet. Dina foton berättar din historia. Du förtjänar att veta vilka lagar som skyddar denna historia.

Upptäck integritetsforuserande fotolagring utan CLOUD Act-bekymmer. Läs mer om PixelUnion.