Amerikansk vs europeisk övervakning: Analys av skillnader i rättighetsskyddet vid användning av molntjänster

Inledning

Både USA och europeiska länder bedriver signalunderrättelseverksamhet. En fråga som då uppkommer är om det blir någon skillnad ur övervaknings- och rättighetssynpunkt att hantera information hos en amerikansk jämfört med europeisk molntjänstleverantör.

För att komma närmare svaret på den frågan ger den här rapporten en översiktlig bild av några skillnader mellan hur övervakning regleras i USA och på europeisk nivå, samt hur rättighetsskyddet ser på grundläggande nivå.

Ämnet är stort och komplext. Rapporten gör inte anspråk på att vara fullständig. Här beaktas exempelvis inte hur grundläggande rättigheter har reglerats i varje europeiskt lands grundlagar. Förhoppningsvis kan rapporten ändå vara till någon nytta.

Övervakning bedrivs till sin natur med ett visst mått av hemlighetsmakeri. Rapportens faktaunderlag kommer i största mån från officiella myndighetskällor och domstolsavgöranden.

Om du vill läsa en sammanfattning, hoppa direkt till avsnittet Sammanfattande slutsatser.

Varför en jämförelse med USA?

Varför en jämförelse med situationen i just USA, och inte länder som Ryssland och Kina?

I EU hanteras inte lejonparten av våra uppgifter i molnet hos ryska eller kinesiska molnbolag, utan hos amerikanska. Amerikanska molntjänstleverantörer lyder i sin tur under lagstiftning som kan tvinga dem att lämna ut information i underrättelsesyfte. Det är en annan form av inhämtning som gentemot en individ potentiellt kan vara mer precis och omfattande än traditionell signalunderrättelseinhämtning, som sker genom att avlyssna internetkablar.

Som berörs längre fram bör dessutom utgångspunkten vara att den amerikanska lagstiftningen används extraterritoriellt. Extraterritoriell lagstiftning innebär att information kan hämtas in även när den hanteras på en amerikansk molntjänstleverantörs servrar i EU och även om det sker genom ett europeiskt dotterbolags verksamhet. Den här rapporten belyser hur det ger ett sämre skydd för våra rättigheter än när information hanteras hos en europeisk molntjänstleverantör.

Vad gäller kinesiska företag kan dessa komma att hantera en större del av våra uppgifter om europeiska konsumenter köper fler kinesiska uppkopplade produkter. Det kan vara alltifrån mobiltelefoner till robotdammsugare och fordon.

På Cleura arbetar vi för en annan utveckling. Vi erbjuder ett alternativ där företag, myndigheter och andra organisationer i Europa kan behandla uppgifter i ett europeiskt moln, där europeisk rättsordning¹ byggd på rättsstatsprincipen och grundläggande rättigheter har företräde.

Övervakningens balansgång

Centralt i övervakningssammanhang är balansgången mellan å ena sidan våra individuella fri- och rättigheter, särskilt rätten till privatliv, skydd av personuppgifter, yttrandefrihet samt domstolsprövning, och å andra sidan gemensamma intressen som att skydda staten, befolkningen och samhället mot allvarliga destabiliserande hot.

Övervakning kan givetvis vara högst motiverad. Samtidigt blir övervakning med digitala medel allt mer närvarande, och ett alltmer långtgående maktmedel, i takt med att en allt större del av våra liv hanteras digitalt. Utan tydliga premisser för när och hur övervakning får bedrivas kan övervakning drabba såväl vår personliga integritet som vår vilja att uttrycka oss fritt.² Dessutom ökar risken att övervakning missbrukas som maktmedel, både med och utan goda föresatser. Det saknas inte exempel på övertramp.³

Amerikansk och europeisk rättsordning slår båda fast en grundläggande rätt till privatliv samt yttrandefrihet. EU har dessutom en särskild grundläggande rätt till skydd för personuppgifter. Den innefattar exempelvis en rätt att ta del av de uppgifter som samlats in om ens person.

En första fråga är vilka personer som omfattas av dessa rättigheter och under vilka förutsättningar övervakning får begränsa rättigheterna. I den här rapporten ägnas särskilt fokus på den grundläggande rätten till privatliv.

En andra fråga är vilka möjligheter det finns för en person att få en oberoende domstolsprövning för att göra gällande sina rättigheter.

En tredje fråga uppstår när vi konstaterar att det finns betydande skillnader i rättighetsskyddet när våra personuppgifter exponeras för amerikansk jämfört med europeisk rättsordning. Vilka slutsatser drar vi av detta? Agerar vi så att europeisk rättsordning, byggd på rättsstatsprincipen och grundläggande rättigheter, ges företräde?

Typer av övervakning

Först berörs i korthet övervakning som brottsbekämpande myndigheter bedriver i syfte att utreda och lagföra brott.

Därefter berörs två olika typer av signalunderrättelseinhämtning som relaterar till nationell säkerhet och att kartlägga utländska förhållanden. Den ena typen av signalunderrättelseinhämtning används genom att övervaka dataflöden i realtid. Den andra typen används genom att ålägga amerikanska molntjänstleverantörer att ge tillgång till information.

Artikel ett i konstitutionen beskriver den lagstiftande makten i form av ett tvåkammarparlament, kongressen. Artikel två beskriver den verkställande makten i form av presidentämbetet och regeringen. Artikel tre beskriver den dömande makten i form av den federala högsta domstolen och övriga federala domstolar, så kallade artikel III-domstolar.

Den amerikanska konstitutionen följdes av ett antal tillägg. Dessa har sedermera tolkats av domstolarna, särskilt högsta domstolen vars avgöranden är bindande för de lägre domstolarna.

Det fjärde tillägget till konstitutionen var en del av rättighetsförklaringen (Bill of Rights) och antogs år 1791.

The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.

Det fjärde tillägget innebär i princip ett krav på vissa rättssäkerhetsgarantier i form av ett skydd mot vissa orimliga intrång i privatlivet samt krav på ett särskilt bemyndigande (warrant) grundat på probable cause för att amerikanska myndigheter ska få göra vissa intrång i privatlivet.

Det fjärde tillägget till konstitutionens rätt till privatliv omfattar inte personer utan amerikanskt medborgarskap som befinner sig utanför USA.²¹

Tredjepartsdoktrinen

Den amerikanska högsta domstolen har i sin rättspraxis etablerat ett betydelsefullt undantag från rätten till privatliv enligt det fjärde tillägget till konstitutionen. Undantaget gäller när en person inte rimligen anses kunna förvänta sig ett skydd för sitt privatliv. Ett exempel på information som inte skyddas av det fjärde tillägget är information som en person själv har förmedlat till en tjänsteleverantör. Information som avsiktligen delats med en utomstående part kan inte längre anses vara privat, enligt domstolens resonemang.

I United States v Miller²² från år 1976 uttalade den amerikanska högsta domstolen att information om en persons banktransaktioner inte omfattas av det fjärde tilläggets skydd när personen använt banktjänster där banken tagit del av och använt informationen som ett led i sin verksamhet. Myndigheterna kunde hämta ut dessa uppgifter från banken utan hänsyn till det fjärde tillägget.

Denna så kallade tredjepartsdoktrin bekräftades sedan i Smith v Maryland²³ från år 1979 och återigen i ACLU v Clapper²⁴ från år 2013:

Smith’s bedrock holding is that an individual has no legitimate expectation of privacy in information provided to third parties … when a person voluntarily conveys information to a third party, he forfeits his right to privacy in the information.

Smith v Maryland och ACLU v Clapper handlade om vilka telefonnummer personer ringt till, vid vilka tidpunkter och hur länge samtalen varat. Domstolen menade att personer som ringer telefonsamtal borde förstå att den här informationen förmedlas till teleoperatörerna, alltså en utomstående part, och personerna kunde därför inte rimligen förvänta sig att informationen skyddades av det fjärde tilläggets rätt till privatliv. Myndigheterna kunde därför samla in informationen från teleoperatörerna, även i stor skala, utan att det fjärde tillägget var tillämpligt.²⁵

I Carpenter v United States²⁶ från år 2018 berördes en annan typ av information som telekomoperatörer registrerade. I målet hade en persons mobiltelefon automatiskt anslutit till basstationer 12 898 gånger under 127 dagar – tidsstämplad platsdata om var personen befunnit sig. Personen hade alltså inte agerat aktivt för att förmedla den här informationen till telekomoperatören, utöver att ha sin mobiltelefon igång och förflytta sig. Domstolen ansåg att situationen omfattades av det fjärde tilläggets skydd, men påtalade att avgörandet endast avsåg den specifika situationen, utan påverkan på tillämpningen i United States v Miller eller Smith v Maryland.

Den amerikanska högsta domstolen har, såvitt vi känner till, inte prövat i vilken utsträckning det fjärde tillägget gäller när en person låter information överföras till en molntjänstleverantör – vare sig genom aktivt handlande eller automatiskt genererad telemetri – och myndigheterna sedan tar del av informationen i underrättelsesyfte.

Att saken inte prövats kan bero på svårigheterna att få talerätt i mål om övervakning i underrättelsesyfte samt svårigheterna att trots talerätt få en prövning i sak.

Talerätt

Den amerikanska konstitutionen slår fast att federala domstolar (dvs. artikel III-domstolar) endast kan pröva fall som gäller vissa “cases“ eller “controversies“, vilket förutsätter att den klagande erkänns talerätt.

I Clapper v Amnesty International²⁷ från år 2013 ville ett antal amerikanska journalister, advokater samt människorättsaktivister få en rättslig prövning av övervakning som bedrevs med stöd av FISA 702. De klagande lade fram flera skäl till att de förväntade sig att deras kommunikation skulle hämtas in. Bland de klagande fanns bl.a. advokater som var i kontakt med personer som var misstänkta för terrorbrott och vars kommunikationer därför kunde förväntas vara föremål för FISA 702-övervakning.

I avgörandet, där fem domare var i majoriteten och fyra var skiljaktiga, slog den amerikanska högsta domstolen fast att de klagande saknade talerätt eftersom de inte hade visat att övervakning som berörde dem var säkert nära förestående (“certainly impending“). Eftersom tröskeln för att få talerätt var för hög blev det därmed ingen prövning i sak av huruvida FISA 702-övervakningen var förenlig med det fjärde tillägget i konstitutionen.

State secrets privilege

I Wikimedia Foundation v NSA kunde Wikimedia Foundation, stiftelsen som driver Wikipedia, peka på offentliggjorda uppgifter som visade att NSA behandlat en del av stiftelsens kommunikation. Wikimedia Foundation ämnade därigenom undvika majoritetens invändning i Clapper v Amnesty International, om att påståendena om övervakning var för spekulativa. Målet gick genom flera instanser, men efter att den amerikanska regeringen åberopat principen om “state secrets privilege“ slog en domstol fast att Wikimedia inte kunde driva målet vidare, med hänvisning till att det skulle avslöja för mycket om NSA:s övervakning.

En skiljaktig domare menade att majoritetens uppfattning var svepande och innebar att regeringen enbart genom att stödja sig på långsökta hypotetiska resonemang, och efter minimal domstolsgranskning, kunde undvika en rättslig prövning i sak.²⁸ Den amerikanska högsta domstolen nekade prövningstillstånd i målet år 2023.²⁹

Ett åberopande av principen om state secrets privilege kan alltså leda till att viss information helt måste undantas från att behandlas i en domstolsprocess. I FBI v Fazaga från år 2022 noterade den amerikanska högsta domstolen att state secrets privilege rentav kan hindra domare från att få värdera bevisning i enrum och därefter avgöra ett mål.³⁰

Executive Order 14086 och Data Protection Review Court

I juli 2023 fattade EU-kommissionen ett beslut om adekvat skyddsnivå, baserat på ramverket Trans-Atlantic Data Privacy Framework (EU-U.S. DPF).

Adekvansbeslutet föregicks av att den amerikanska presidenten beslutat om en exekutiv order för signalunderrättelseverksamheten, EO 14086. Den amerikanska regeringen agerade också för att inrätta en prövningsinstans kallad Data Protection Review Court (DPRC) för klagomål om övervakning.

Cleura har analyserat EO 14086 och DPRC i rapporten Vad din verksamhet behöver veta om det tredje adekvansbeslutet. Där lyfts flera omständigheter som talar för att dessa instrument inte skyddar mot godtycke på ett tillräckligt sätt och inte tillgodoser individers rätt till domstolsprövning. Vi hänvisar till nämnda rapport för vidare läsning om dessa instrument.

Sammanfattande slutsatser

Rätten till privatliv enligt det fjärde tillägget till konstitutionen omfattar i princip inte information som en person frivilligt anses överföra till en tjänsteleverantör. Det kan handla om betydande mängder information, som även kan vara känslig, såsom uppgifter om banktransaktioner eller metadata som rör telefonsamtal.

Den amerikanska högsta domstolen har, såvitt vi känner till, inte prövat i vilken utsträckning information som en person överför till en molntjänstleverantör skyddas av det fjärde tillägget. Det kan ses i ljuset av att uppgifter som rör en allt större del av våra liv hanteras hos molntjänstleverantörer.

För att en klagande ska få talerätt i ett mål om övervakning i amerikansk domstol måste personen kunna visa att övervakning är säkert nära förestående (“certainly impending“). Med tanke på att övervakning i regel sker i hemlighet, oavsett om den är legitim eller otillbörlig, innebär det normalt en oöverstiglig ribba för att erhålla en rättslig prövning i sak.

En klagande som ändå har fått talerätt kan hindras från att driva målet vidare om amerikanska myndigheter med stöd av principen om state secrets privilege gör gällande att information om övervakningen är för känslig för att behandlas i rätten. State secrets privilege kan rentav hindra domare från att i enrum ta del av känslig information för att göra en fullständig och oberoende bedömning av omständigheterna. Det är då inte längre säkert att målet kan prövas i sak. Målet skrivs då av.

Det fjärde tilläggets rätt till privatliv omfattar inte personer utan amerikanskt medborgarskap som befinner sig utanför USA.

Även om det fjärde tillägget till konstitutionen i princip skulle omfatta personuppgifter i molntjänster, och även om det var möjligt att få talerätt inför amerikansk domstol i mål om övervakning, och även om state secrets privilege upphävdes som rättsprincip, så är personer som befinner sig i EU och som saknar anknytning till USA alltså ändå inte skyddade av rätten till privatliv i det fjärde tillägget till konstitutionen.

Europeisk rättsordning

Europeiska unionen

Rättsstatsprincipen och vems rättigheter som skyddas

Myndigheters övervakning synliggör, som vi nämnde inledningsvis, en balansgång mellan å ena sidan legitima säkerhetsbehov samt å andra sidan alltför långtgående intrång i våra grundläggande rättigheter, och riskerna att övervakningen missbrukas.

EU-domstolen har i flera mål om övervakning särskilt betonat dels vikten av att övervakningslagstiftning är tydligt och precist utformad för att minska riskerna för missbruk, dels vikten av rätten till en oberoende domstolsprövning för att avgöra om övervakning har bedrivits på ett korrekt sätt.³¹ Båda delar kan sägas ge uttryck för rättsstatsprincipen. Rättsstatsprincipen syftar till att förhindra eller begränsa godtycklig maktutövning.³²

Respekt för rättsstaten slås fast som ett av EU:s värden i artikel 2 i nu gällande Fördraget om Europeiska unionen (EU-fördraget), även om rättsstatsprincipen nämnts även i tidigare fördrag. Rättsstatsprincipen nämns också tidigt i Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan). Nämnda version av EU-fördraget trädde i kraft samtidigt som EU-stadgan, den 1 december 2009.³³

Några av EU-stadgans rättigheter är specifika för unionsmedborgare, såsom rösträtt till EU-parlamentsvalen. De centrala rättigheter som diskuteras i denna rapport gäller emellertid oavsett unionsmedborgarskap. Dit hör EU-stadgans rätt till respekt för privatlivet, rätt till skydd av personuppgifter, rätt till yttrandefrihet och rätt till domstolsprövning. Dataskyddsförordningen (General Data Protection Regulation, GDPR på engelska) gäller också under angivna förutsättningar inom och utanför EU, oberoende av medborgarskap.³⁴

Rätten till privatliv i EU-stadgan har sin motsvarighet i rätten till privatliv i Europakonventionen (som berörs längre fram). EU-stadgan anger då, enkelt uttryckt, att rättigheterna i EU-stadgan ska tolkas likadant som rättigheterna i Europakonventionen, men att EU-stadgan kan ge ett mer långtgående skydd än Europakonventionen ger.³⁵

EU-domstolen har härvid återgett att Europadomstolen fastställt att ”begreppet privatliv inte skall tolkas restriktivt och att ’det inte finns något principiellt skäl som talar emot att yrkesverksamhet skall kunna omfattas av begreppet privatliv’”.³⁶ Information om vad vi gör i arbetet kan alltså omfattas av rätten till privatliv.

Underrättelsetjänsters verksamhet omfattas inte av unionsrätten

En form av verksamhet som unionsrätten inte omfattar är den verksamhet som medlemsländernas underrättelsetjänster själva bedriver relaterat till nationell säkerhet.³⁷ EU:s medlemsländer har inte lämnat ifrån sig beslutsrätt till EU på det området.

Det betyder att när en signalunderrättelsemyndighet i syfte att skydda nationell säkerhet samlar in uppgifter från de kablar med internettrafik som korsar det egna landets gränser, och bearbetar dessa uppgifter, så reglerar inte unionsrätten signalunderrättelsemyndighetens verksamhet. Detsamma gäller en signalunderrättelsemyndighets verksamhet när den i syfte att skydda nationell säkerhet tagit del av uppgifter som en tjänsteleverantör lämnat ut.

Leverantörers lagring och utlämnanden kan omfattas av unionsrätten

Unionsrätten har däremot gällt när telekomoperatörer ålagts att lagra uppgifter om kommunikationer, i syfte att operatörerna ska kunna åläggas att lämna ut uppgifterna till exempelvis underrättelsetjänster.

EU-domstolen bekräftade detta bl.a. i Digital Rights Ireland från år 2014 och La Quadrature du Net från år 2020.

Digital Rights Ireland gällde EU:s datalagringsdirektiv, som ålade medlemsstaterna att lagstifta bl.a. så att telekomoperatörer skulle lagra metadata om telefonsamtal, för att göra uppgifterna tillgängliga för myndigheterna i respektive medlemsland.

Även om datalagringsdirektivet inte reglerade myndigheternas verksamhet, såsom säkerhets- och underrättelsetjänsternas uppgiftshantering efter att de tagit del av uppgifterna, så reglerade datalagringsdirektivet och ePrivacydirektivet telekomoperatörernas verksamhet, även när de lagrade uppgifterna och gjorde dem tillgängliga för myndigheter på begäran. Unionsrätten var då tillämplig, särskilt EU-stadgans rättighetsskydd. EU-domstolen ogiltigförklarade datalagringsdirektivet eftersom det tvingade telekomoperatörerna till en generell och odifferentierad lagring, i strid med EU-stadgans krav. Lagringen gick längre än vad som enligt unionsrätten ansågs strängt nödvändigt.³⁸

I La Quadrature du Net angav EU-domstolen uttryckligen att medlemsstaterna inte kan undgå att följa unionsrätten genom att hänvisa till nationell säkerhet.

Enligt domstolens fasta praxis kan den omständigheten att en åtgärd har vidtagits för att skydda nationell säkerhet nämligen inte, trots att det ankommer på medlemsstaterna att definiera sina väsentliga säkerhetsintressen och att vidta de åtgärder som är nödvändiga för att säkerställa inre och yttre säkerhet, leda till att unionsrätten inte är tillämplig och befria medlemsstaterna från skyldigheten att iaktta unionsrätten³⁹

Vad gäller dataskyddsförordningen möjliggör artikel 23 att medlemsstaterna lagstiftar om att vissa skyldigheter och rättigheter inte gäller vid viss personuppgiftsbehandling som utförs av personuppgiftsansvariga och personuppgiftsbiträden. Det kan exempelvis handla om skyldigheten att informera om personuppgiftsbehandling. Artikel 23 får emellertid bara användas för vissa angivna syften, såsom att säkerställa den nationella säkerheten, och en begränsning är bara tillåten om den “sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle“. Här kommer alltså unionsrättens högt ställda krav på proportionalitet igen. Artikel 23.2 anger dessutom detaljerade krav på vad en begränsande lagstiftning ska innehålla, såsom skyddsåtgärder för att förhindra missbruk samt olaglig tillgång och överföring. Det är inte alldeles tydligt för oss i vilka situationer artikel 23 måste tillämpas, men i den mån en lagstiftningsåtgärd omfattas av artikeln och riktas mot en molntjänstleverantör, så måste lagstiftningen alltså vara proportionerlig och inte gå längre än vad som är nödvändigt i ett demokratiskt samhälle.

Övervakning och synen på risk

Ibland hävdas att personuppgiftsbehandling i amerikanska molntjänster medför en låg risk för individers rättigheter med hänsyn till amerikansk övervakning.

Inte sällan hänvisas till besked från molntjänstleverantörer som hävdar att de tagit emot ganska få begäranden från amerikanska myndigheter, åtminstone med utgångspunkt i specifika lagrum, kategorier av begäranden, kundsegment, tjänster eller uppgiftstyper (t.ex. antal utlämnanden av ”content data”, vilket inte nödvändigtvis inkluderar metadata som potentiellt kan vara lika känslig⁴⁰). Med det får förmodas att molntjänstleverantörerna vill antyda en så låg sannolikhet för utlämnanden att den i praktiken borde bortses från.

Det hävdas också ibland att konsekvenserna vid ett utlämnande i princip är försumbara, med hänsyn till den information som hanteras.

Här kan särskilt fyra delar av EU-domstolens dom i Schrems II belysas, som vi menar säger något om EU-domstolens syn på risk ur ett rättighetsperspektiv. Vi redogör därefter för våra slutsatser.

Även om det således finns situationer där mottagaren av en sådan överföring, beroende på rättsläget och gällande praxis i det berörda tredjelandet, kan garantera det nödvändiga skyddet av uppgifter enbart med stöd av de standardiserade dataskyddsbestämmelserna, finns det andra situationer i vilka bestämmelserna i dessa klausuler inte kan vara ett tillräckligt medel för att i praktiken säkerställa ett effektivt skydd av de personuppgifter som överförs till det berörda tredjelandet. Så är bland annat fallet när lagstiftningen i det tredjelandet tillåter att myndigheterna i detta tredjeland gör ingrepp i de registrerade personernas rättigheter avseende dessa uppgifter.

C-311/18 Schrems II p. 126, Cleuras understrykning.

Om den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerade i unionen inte kan vidta ytterligare åtgärder som är tillräckliga för att säkerställa ett sådant skydd, är dessa eller, i andra hand, den behöriga tillsynsmyndigheten, skyldiga att avbryta eller upphöra med överföringen av personuppgifter till det berörda tredjelandet. Så är bland annat fallet när lagstiftningen i det tredjelandet ålägger mottagaren av en överföring av personuppgifter från unionen skyldigheter som strider mot nämnda klausuler, vilket följaktligen kan äventyra den avtalsenliga garantin om adekvat skydd mot att offentliga myndigheter i det berörda tredjelandet får åtkomst till dessa uppgifter.

C-311/18 Schrems II p. 135, Cleuras understrykning.

Domstolen har redan slagit fast att utlämnande av personuppgifter till tredjeman, såsom en myndighet, utgör ett ingrepp i de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i [EU-stadgan], oavsett hur de lämnade uppgifterna senare används. Det förhåller sig på samma sätt med lagringen av personuppgifter och åtkomsten till sådana uppgifter i syfte att myndigheter ska använda sig av dem. Det har i detta hänseende föga betydelse huruvida de uppgifter som avser privatlivet är av känslig art eller huruvida de berörda har fått utstå eventuella olägenheter på grund av ingreppet eller inte (se, för ett liknande resonemang, dom av den 20 maj 2003, Österreichischer Rundfunk m.fl., C‑465/00, C‑138/01 och C‑139/01, EU:C:2003:294, punkterna 74 och 75, och dom av den 8 april 2014, Digital Rights Ireland m.fl., C‑293/12 och C‑594/12, EU:C:2014:238, punkterna 33–36, samt yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkterna 124 och 126).

C-311/18 Schrems II p. 171, Cleuras understrykning. Domen i Österreichischer Rundfunk m.fl. hänvisar i sin tur till illustrerande praxis från Europadomstolen.⁴¹

För att uppfylla kravet på proportionalitet, enligt vilket undantag från och inskränkningar i skyddet av personuppgifter ska begränsas till vad som är strikt nödvändigt, måste den aktuella lagstiftning som innebär ett ingrepp innehålla tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden och som fastställer minimikrav, så att de personer vilkas uppgifter har överförts har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk. Lagstiftningen måste i synnerhet precisera under vilka omständigheter och på vilka villkor en åtgärd för behandling av personuppgifter får vidtas, vilket säkerställer att ingreppet begränsas till vad som är strikt nödvändigt. Nödvändigheten av sådana garantier är av än större betydelse när personuppgifterna är föremål för automatisk behandling (se, för ett liknande resonemang, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkterna 140 och 141 och där angiven rättspraxis).

C-311/18 Schrems II p. 176, Cleuras understrykning.

Av dessa delar drar vi följande slutsatser.

En personuppgiftsansvarig i EU måste säkerställa ett visst skydd för personuppgifter vilket är en grundläggande rättighet. I nämnda praxis skulle skyddet upprätthållas genom avtalsklausuler som väsentligen motsvarar unionens rättighetsskydd.

Tredjelands lag kunde emellertid gå före vad som avtalats. EU-domstolen ansåg då att skyddet för personuppgifter undergrävs redan om det finns lagstiftning i tredjeland som tillåter tredjelandets myndigheter att göra ingrepp i personers rättigheter.

Det räcker alltså att det finns lagstiftning som ålägger den som hanterar uppgifterna skyldigheter som strider mot det skydd som ska upprätthållas enligt unionsrätten. EU-domstolen laborerade här inte med sannolikheten att sådan lagstiftning faktiskt ledde till ett utlämnande. Det var tillräckligt att lagstiftningen kunde äventyra det skydd mot utlämnanden som ska upprätthållas.

Amerikanska molntjänstleverantörer är i regel tydliga med att de omfattas av FISA 702 och att de anser sig skyldiga att agera enligt denna lagstiftning.

Vad gäller konsekvenserna om ett utlämnande sker, så kan följande noteras. EU-domstolen har enligt fast rättspraxis angett att ett utlämnande till en tredje part såsom en myndighet utgör ett ingrepp i den grundläggande rätten till privatlivet oavsett hur uppgifterna sedan används och oavsett uppgifternas känslighetsgrad.⁴² Det går alltså inte att hävda att vissa typer av utlämnanden är för oskyldiga för att räknas.

Vid en första anblick kan det tyckas drastiskt att inte ta hänsyn till sannolikheten för utlämnanden enligt tredjelands rätt. Det framstår emellertid som konsekvent med hur EU-stadgan kräver att unionens egen lagstiftning i sig måste uppfylla krav på proportionalitet för att få begränsa grundläggande rättigheter.

I de mål som gällde datalagringsdirektivet tvingades teleoperatörer lagra stora mängder trafik- och lokaliseringsuppgifter i syfte att eventuellt göra dem tillgängliga för behöriga myndigheter. Det får förmodas att endast en mycket liten andel av dessa uppgifter skulle vara intressanta för brottsbekämpande och andra myndigheter. Man bör därför kunna anta att sannolikheten skulle vara låg att en enskild persons uppgifter skulle lämnas ut. Ändå ogiltigförklarade EU-domstolen hela direktivet – det var ett alltför stort hot mot våra grundläggande rättigheter till privatliv och dataskydd. När långt fler uppgifter än nödvändigt ska lagras, när det inte är tillräckligt tydligt under vilka omständigheter uppgifterna kan lämnas ut och när utlämnanden kan ske i hemlighet, så svävar vi i ovisshet. EU-domstolen ansåg att ”den omständigheten att lagringen av uppgifterna och den senare användningen av dem sker utan att abonnenten eller den registrerade användaren är underrättad om detta [kan] ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning.”⁴³

EU-domstolen att själva lagringen i sig utgjorde ett ingrepp i rätten till privatliv och skydd för personuppgifter.⁴⁴ Lagring av en tillräckligt omfattande och detaljerad grad, som dessutom utsätts för automatiserad analys för att sålla fram de uppgifter som ska lämnas ut, kan därtill ha en avhållande inverkan på utövandet av yttrandefriheten hos de som använder elektroniska kommunikationsmedel.⁴⁵

EU-domstolen bedömde att datalagringsdirektivet gick längre än vad som var strikt nödvändigt, och utgjorde ett alltför långtgående ingrepp i rätten till privatlivet och skyddet för personuppgifter.⁴⁶ EU-domstolen hänvisade alltså inte enskilda individer till att klaga vid enskilda fall av missbruk. EU-domstolen ogiltigförklarade datalagringsdirektivet i sig.

Det här kan ställas i relation till en utveckling där en allt större del av våra liv – såväl privat som i arbetet – idag hanteras i digital form hos ett fåtal amerikanska molntjänstleverantörer, som alla lyder under samma underrättelselagstiftning enligt vilken uppgifter kan lämnas ut. Även om vi utgår ifrån att molntjänstleverantörerna inte tvingas lagra all data (inklusive all data som användarna valt att radera), framstår det som att mycket stora uppgiftsmängder av vitt olika slag omfattas av en möjlighet att kunna lämnas ut. Med tanke på användningen av selektorer och inhämtningens omfattning framstår det därtill som en rimlig utgångspunkt att övervakningen sker med digitala och automatiserade medel.

Det framstår inte som en väsensskild situation jämfört med teleoperatörer som tvingas lagra trafik- och lokaliseringsdata och automatiskt analysera vilken data som ska lämnas ut till myndigheterna. FISA 702 synes dessutom möjliggöra inhämtning av innehållet i kommunikationer, vilket ytterligare påverkar rätten till dataskydd, privatliv och yttrandefrihet. EU-domstolen har i vart fall bedömt att FISA 702 inte är tillräckligt tydligt och precist utformad för att vara proportionerlig och möjliggöra ett effektivt skydd mot riskerna för missbruk.⁴⁷

Det tycks alltså inte vara i linje med unionsrätten att hänvisa till en låg sannolikhet att ett utlämnande sker, eller en försumbar konsekvens om ett utlämnande ändå sker, för att rättfärdiga att personuppgifter behandlas i en molntjänst där de kan lämnas ut till tredjeland enligt lagstiftning som inte uppfyller unionsrättens krav på proportionalitet.

Rätten till domstolsprövning och domstolarnas rätt till material

Som tidigare nämnts har EU-domstolen angett att rätten till domstolsprövning är en grundförutsättning för en rättsstat.

EU-domstolen uttalade i Kommissionen m.fl. mot Kadi från år 2013 att sekretess för information inte kunde göras gällande mot unionens domstolar, eftersom en granskning av relevant information behövdes för att kunna säkerställa rätten till ett effektivt domstolsskydd.

Ett påstående om kränkning av rätten till försvar och rätten till ett effektivt domstolsskydd måste dessutom prövas mot bakgrund av de specifika omständigheterna i varje enskilt fall … Det är riktigt att det finns tvingande hänsyn som rör unionens eller dess medlemsstaters säkerhet eller deras internationella relationer som kan utgöra hinder för att lämna ut vissa uppgifter eller viss bevisning till den berörda personen. I sådana fall ankommer det dock på unionsdomstolen, mot vilken det inte kan göras gällande att uppgifterna eller bevisen är sekretessbelagda eller hemliga, att inom ramen för sin domstolsprövning, använda sig av metoder som gör det möjligt att förena berättigade säkerhetshänsyn … med nödvändigheten av att i tillräcklig utsträckning säkerställa den enskildes processuella rättigheter, såsom rätten att yttra sig och principen om ett kontradiktoriskt förfarande … Domstolen ska härvid med beaktande av samtliga rättsliga och faktiska omständigheter som åberopats av den behöriga unionsmyndigheten, pröva om det finns stöd för de skäl för att motsätta sig en sådan utlämning som myndigheten har anfört.⁴⁸

(Cleuras understrykning)

Det kan jämföras med den amerikanska rättsprincipen om state secrets privilege, som kan hindra amerikanska domstolar från att ens i enrum granska och värdera känslig bevisning.

Medlemsländernas grundlagar och domstolar

EU:s byrå för grundläggande rättigheter har på begäran av EU-parlamentet rapporterat om hur medlemsstaternas underrättelseverksamhet påverkar grundläggande rättigheter.⁴⁹ Byrån uppdaterade senast sin rapport år 2023.

I rapporten noteras hur EU-domstolens rättspraxis fått konsekvenser i medlemsstaterna, exempelvis genom ett domstolsavgörande i Frankrike som ledde till ändringar av fransk underrättelselagstiftning.⁵⁰ I rapporten nämns också att Tysklands författningsdomstol slog fast att tysk underrättelselagstiftning, som tillät inhämtning av utländska kommunikationer, inte uppfyllde kraven i den tyska konstitutionen.

EU-domstolen har särskilt noterat att även om (viss) unionsrätt inte omfattar en övervakningsåtgärd så gäller fortfarande skyddet i medlemsstaternas grundlagar samt kraven i Europakonventionen.⁵¹

Sammanfattande slutsatser

Respekt för rättsstaten slås fast som ett av EU:s värden i artikel 2 i EU-fördraget och nämns tidigt i EU-stadgan. Rättsstatsprincipen gör sig påmind eftersom den syftar till att förhindra eller begränsa godtycklig maktutövning, vilket är en särskild risk vid alltför oprecis övervakningslagstiftning.

Verksamhet som medlemsstaternas underrättelsetjänster själva bedriver relaterat till nationell säkerhet är undantagen från unionsrättens tillämpningsområde. Hit räknas verksamhet där underrättelsetjänsterna inhämtar information med egna medel samt bearbetar uppgifter som en tjänsteleverantör lämnat ut.

EU-domstolen har däremot slagit fast att telekomoperatörer, som lyder under EU:s ePrivacydirektiv, omfattas av unionsrätten när de åläggs att lagra uppgifter för att kunna lämna ut dem till underrättelsetjänster, för ändamål som har att göra med nationell säkerhet. EU-domstolen har vid upprepade tillfällen hävdat unionsrättens grundläggande rättigheter och krav på proportionalitet i mål som gäller detta.⁵²

Dataskyddsförordningen ger i artikel 23 en möjlighet för medlemsstaterna att begränsa omfattningen på vissa skyldigheter och rättigheter. Det är inte alldeles tydligt för oss i vilka situationer artikeln måste användas. Om lagstiftning skulle ålägga en leverantör att lämna ut uppgifter och lagstiftningen omfattas av artikeln, så krävs emellertid enligt unionsrätten att lagstiftningen är proportionerlig och inte går längre än vad som är nödvändigt i ett demokratiskt samhälle.

EU-domstolen har i ett mål angett att sekretess för information inte kunde göras gällande mot unionens domstolar, eftersom en granskning av relevant information behövdes för att kunna säkerställa rätten till ett effektivt domstolsskydd.

EU-domstolens avgöranden i övervakningssammanhang har satt avtryck i bl.a. fransk lagstiftning. I Tyskland har författningsdomstolen konstaterat att även utländska kommunikationer omfattas av skyddet i tysk grundlag.

EU-domstolen har noterat att övervakningsåtgärder – oavsett i vilken mån unionsrätten gäller – behöver vara förenliga dels med medlemsstaternas grundlagar, dels med Europakonventionen.

Europakonventionen

Europakonventionen och rättsstatsprincipen

Europarådet, Europeiska konventionen om skydd för de mänskliga rättigheterna (Europakonventionen) och den tillhörande Europadomstolen är åtskilda från EU. Samtliga EU-länder är emellertid medlemmar av Europarådet och har ratificerat Europakonventionen. Europarådets stadgar är från år 1949 och Europakonventionens text togs fram året därpå.

Medlemmar i Europarådet behöver enligt Europarådets stadgar acceptera rättsstatsprincipen.⁵³ Rättsstatsprincipen nämns också i Europakonventionen, som en princip medlemmarna respekterar.

Europakonventionens grundläggande rättigheter

Europakonventionen slår fast att var och en har rätt till skydd för sitt privat- och familjeliv, hem och korrespondens. Europadomstolen har angett att begreppet privatliv inte ska tolkas restriktivt och att det inte finns något principiellt skäl som talar emot att yrkesverksamhet ska kunna omfattas av begreppet privatliv.⁵⁴ Information om vad vi gör i arbetet kan alltså omfattas av rätten till privatliv.

Europakonventionen anger vidare att offentliga myndigheter inte får ingripa i rätten till privatliv annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till ett antal uppräknade värden, däribland nationell säkerhet.

Till skillnad från unionsrätten så omfattar Europakonventionen även den verksamhet som medlemmarnas underrättelsetjänster själva bedriver.

En enskild med ett klagomål som gäller övervakning, och som har uttömt sina möjligheter att klaga enligt nationell rätt, kan vända sig till Europadomstolen för prövning där. Europadomstolens avgöranden är bindande.

Rätt till prövning i sak

Europadomstolen prövade i målet Centrum för rättvisa mot Sverige⁵⁵ från år 2021 vad som krävdes av en klagande för att få ett mål om signalunderrättelseinhämtning prövat i sak.

I målet syntes den klagandes argumentation inte ha grundats på ett påstående om att just klagandens kommunikation var föremål för underrättelseinhämtning.

Den svenska regeringen menade å sin sida att sannolikheten var i det närmaste obefintlig att den klagandes kommunikation skulle sållas ut och göras tillgänglig för signalunderrättelsemyndighetens personal.⁵⁶ Regeringen menade därför att den klagandes talan inte borde tas upp till prövning i sak.⁵⁷ Europadomstolen tillbakavisade det argumentet.

Även om klaganden inte tillhörde en grupp som den svenska signalspaningen riktar in sig mot gjorde lagstiftningen det möjligt att klagandens kommunikationer eller relaterad data var föremål för automatiserad behandling, åtminstone i ett inledande skede. Dessutom var de rättsmedel som fanns tillgängliga omgärdade av begränsningar. Dessa omständigheter var tillräckliga för att Europadomstolen skulle pröva målet i sak. Domstolen noterade att det annars skulle bli nästan omöjligt att få en rättslig prövning rörande grundläggande rättigheter vid hemlig övervakning.

Any other approach risks rendering the access to the Convention complaints’ procedure conditional on proving that one’s communications are of interest for agencies tasked with foreign intelligence – an almost impossible task, having regard to the secrecy inherent in foreign intelligence activities … It follows that it is not necessary to examine whether the applicant, due to its personal situation, is potentially at risk of seeing its communications or related data intercepted and analysed.⁵⁸

Riskerna med övervakning och krav på förutsebarhet

Europadomstolen har uttryckt att lagstiftning som begränsar rätten till privatliv måste vara förenlig med rättsstatsprincipen, som är en inneboende del av syftet med rätten till privatliv. Därtill måste lagstiftningens effekter vara förutsebara.⁵⁹

Det betyder inte att lagstiftningen måste vara så detaljerad att individer kan förutse när myndigheterna sannolikt kommer att inhämta deras kommunikation, varpå individerna kan anpassa sitt beteende. Men, skriver Europadomstolen, det finns en tydlig risk för godtycke i övervakningssammanhang. Individer måste åtminstone kunna bilda sig en uppfattning av under vilka omständigheter och på vilka villkor myndigheter får vidta övervakningsåtgärder.

However, especially where a power vested in the executive is exercised in secret, the risks of arbitrariness are evident. It is therefore essential to have clear, detailed rules on secret surveillance measures, especially as the technology available for use is continually becoming more sophisticated. The domestic law must be sufficiently clear to give citizens an adequate indication as to the circumstances in which and the conditions on which public authorities are empowered to resort to any such measures … Moreover, the law must indicate the scope of any discretion conferred on the competent authorities and the manner of its exercise with sufficient clarity to give the individual adequate protection against arbitrary interference⁶⁰

Europadomstolen har med hänvisning till hoten i omvärlden medgett stater en bred bedömningsmarginal vad gäller vilken typ av insamling som är tillåten, såsom bulkinsamling där internetkablar avlyssnas. Domstolen anger samtidigt att den måste försäkra sig om att rätten till privatliv inte begränsas mer än vad som är nödvändig i ett demokratiskt samhälle. Det finns, enligt Europadomstolen, en risk att hemlig övervakning som inrättats för att skydda nationell säkerhet används som förevändning för att undergräva eller rentav förstöra demokratiska processer. Domstolen behöver därför förvissa sig om att det finns tillräckliga och effektiva garantier mot missbruk.⁶¹ Staternas bedömningsmarginal är därför smalare vad gäller hur bulkinsamling bedrivs, och den behöver åtföljas av ett antal skyddsåtgärder.⁶²

Europakonventionen och svensk övervakning

I målet Centrum för rättvisa mot Sverige kom Europadomstolen fram till att rätten till privatliv hade överträtts. Domstolen identifierade särskilt tre brister i det svenska systemet för signalunderrättelseinhämtning. För att åtgärda bristerna krävdes:

• en tydlig reglering om radering av material som inte utgör personuppgifter,
• att lagstiftningen anger att den personliga integriteten ska beaktas vid beslut om att dela insamlat material med utländska samarbetspartners, och
• en effektiv efterhandskontroll av övervakningen, som kan utföras på begäran av en enskild.

Punkterna är inte en uttömmande kravlista för rättsligt korrekt signalunderrättelseverksamhet. De anger vad Europadomstolen i det här målet ansåg att Sverige behövde göra för att åtgärda konstaterade brister.

Målet avgjordes i Europadomstolens stora kammare med sjutton domare. Femton domare var i majoriteten. Tre av dessa hade velat gå längre, varav en i skarpa ordalag kritiserade den svenska lagstiftningen som otillräcklig. Två domare var skiljaktiga och menade att det inte gick att slå fast någon överträdelse av rätten till privatliv.

Efter domen har den svenska regeringen tagit fram en åtgärdsplan som uppdaterats flera gånger.⁶³

Sammanfattande slutsatser

Både USA och europeiska länder bedriver signalunderrättelseverksamhet. En fråga som då uppkommer är om det blir någon skillnad att hantera information hos en amerikansk jämfört med europeisk molntjänstleverantör, vad gäller våra grundläggande rättigheter. Den här rapporten visar på betydande skillnader i rättighetsskydd när information hanteras hos en amerikansk jämfört med europeisk molntjänstleverantör.

Rapporten gör inte anspråk på att vara heltäckande. Den tar upp några grundläggande delar av regelverken i USA och Europa, både för att bedriva signalunderrättelseverksamhet och de rättigheter som påverkas av signalunderrättelseverksamhet.

Inhämtning vars huvudsyfte är att utreda och lagföra brott, såsom sker med stöd av CLOUD Act, berörs i princip inte. Rapporten fokuserar på underrättelseinhämtning, som omgärdas av ett betydligt vagare regelverk och svagare rättssäkerhet.

Två typer av signalunderrättelseverksamhet berörs. En typ av inhämtning sker genom avlyssning via telekombolag och bedrivs av såväl svenska FRA som amerikanska NSA. Sådan så kallad upstream-inhämtning sker i realtid och kan exempelvis ge upplysningar om varifrån trafik kommer och vart den är på väg. Inhämtningen kan samtidigt vara förenad med betydande utmaningar, och är inte nödvändigtvis lämpad för att söka efter ett specifikt informationsinnehåll i en strid ström av krypterad trafik.

Den andra typen av inhämtning som berörs i rapporten bedrivs genom direktiv som ålägger amerikanska molntjänstleverantörer att ge amerikanska myndigheter åtkomst till information. Sådan så kallad downstream-inhämtning verkar på flera sätt kunna utöka möjligheterna att inhämta information jämfört med upstream-inhämtning. Downstream-inhämtning tycks kunna göras mer precis och omfattande, avse sedan tidigare lagrade uppgifter och normalt sett verkställas utan att kryptering utgör ett oöverstigligt hinder. Den stora majoriteten av all internetkommunikation som NSA inhämtar med stöd av FISA 702 sker med downstream-inhämtning. Vår bild är att svensk lag inte låter FRA bedriva sådan inhämtning. Vi känner inte heller till något annat EU-land som har lagstiftning med motsvarande inriktning och räckvidd som den amerikanska.

Vi menar dessutom att utgångspunkten bör vara att amerikansk övervakningslagstiftning, som FISA 702, är extraterritoriell. Det betyder att lagstiftningen kan användas för att kräva ut information som hanteras hos en amerikansk molntjänstleverantörs europeiska dotterbolag på servrar i EU.

Den amerikanska konstitutionella rätten till privatlivet, i fjärde tillägget, sätts på undantag eller begränsas på flera betydelsefulla sätt i övervakningssammanhang. Det fjärde tilläggets rätt till privatliv omfattar i princip inte information som en person frivilligt överför till en tjänsteleverantör. Myndigheterna har därigenom kunnat samla in uppgifter om alltifrån banktransaktioner till vem som har ringt vem utan att det fjärde tillägget varit tillämpligt. Möjligheten att få talerätt i mål om signalunderrättelseinhämtning är därtill begränsad genom kravet på att visa att övervakning av just den klagande är säkert nära förestående. Även om den klagande skulle få talerätt kan regeringen få målet avskrivet genom att hävda principen om state secrets privilege, som rentav kan hindra domare från att granska känslig bevisning i enrum.

Dessutom bör noteras att även om dessa hinder mot förmodan skulle gå att övervinna så omfattar det fjärde tilläggets rätt till privatliv inte personer utan amerikanskt medborgarskap utanför USA.

Vad gäller EU-kommissionens adekvansbeslut, Executive Order 14086 och den så kallade Data Protection Review Court så har Cleura analyserat dessa i rapporten Vad din verksamhet behöver veta om det tredje adekvansbeslutet. Där lyfts flera omständigheter som talar för att dessa instrument – ur ett EU-rättsligt perspektiv – inte skyddar mot godtycke på ett tillräckligt sätt och inte tillgodoser individers rätt till domstolsprövning. Oavsett det menar vi att amerikansk extraterritoriell lagstiftning i princip hindrar verksamheter i EU från att anlita amerikanska molntjänstleverantörer (och deras dotterbolag) även om dessa uteslutande hanterar personuppgifter på servrar i EU. Skälen för det utvecklas närmare i nyss nämnda rapport.

Den amerikanska situationen kan jämföras med det rättighetsskydd som finns i Europa.

Ett av EU:s värden är rättsstatsprincipen. Rätten till domstolsprövning utgör i unionsrätten en grundförutsättning för en rättsstat. Centrala grundläggande rättigheter som rätten till privatliv, skydd för personuppgifter, domstolsprövning och yttrandefrihet gäller i EU oavsett medborgarskap. EU-domstolen har vidare uttalat att myndigheter inte kan hävda sekretess för uppgifter gentemot EU-domstolen eftersom den kan behöva tillgång till all relevant information för att säkerställa rätten till ett effektivt domstolsskydd. Unionsrätten omfattar visserligen inte den verksamhet som medlemsstaternas signalunderrättelsemyndigheter själva bedriver relaterat till nationell säkerhet. Ändå har unionsrätten spelat en framträdande roll i övervakningssammanhang, även sådan som bedrivits på initiativ av medlemsländerna själva. I flera mål om datalagring av trafikuppgifter hos telekomoperatörer underströk EU-domstolen att EU-lagstiftningen i fråga, som inskränkte grundläggande rättigheter, måste vara tydligt och precist utformad, och inte gå längre än vad som är strikt nödvändigt. EU-domstolen ogiltigförklarade också EU:s datalagringsdirektiv.

Samtliga EU-länder har även ratificerat Europakonventionen, vilket kräver acceptans av rättsstatsprincipen. Europakonventionen omfattar inte bara tjänsteleverantörers verksamhet utan också signalunderrättelsemyndigheternas. Europakonventionen anger att stater inte får begränsa rätten till privatlivet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till ett antal angivna värden, däribland nationell säkerhet. Europadomstolen har avgjort mål om signalunderrättelselagstiftning och rätten till privatlivet utan att den klagande behövt visa – eller till synes ens gjort gällande – att övervakning riktas mot just den klagande.

Det bör sägas att situationen är långtifrån perfekt vad gäller europeisk signalunderrättelseinhämtning. Europadomstolen gav exempelvis Sverige bakläxa på tre områden i målet Centrum för rättvisa mot Sverige. Avgörandets skiljaktiga meningar talar för att det finns ytterligare skäl att förbättra lagstiftningen, både i Sverige och andra europeiska länder. Samtidigt är målet ett av flera exempel på hur europeisk rätt faktiskt är närvarande i övervakningssammanhang.

Amerikansk och europeisk rätt har skapats och utvecklats under vitt skilda omständigheter.

Den amerikanska konstitutionens fjärde tillägg, som införde en slags rätt till privatliv, antogs år 1791. Denna rättighet har sedan tolkats av domstolarna genom historien i ett common law-system.

Det kan jämföras med unionsrätten vars nu gällande huvudfördrag och stadga antogs år 2009, även om förlagorna är äldre än så. Vad gäller Europarådet bildades organisationen år 1949 och Europakonventionen trädde i kraft år 1953.

Både Europarådet och det som skulle bli EU bildades mot bakgrund av arvet från andra världskriget. Unionens fördrag och stadga lyfter fram rättsstatsprincipen, som även uttryckligen nämns i Europakonventionens inledning. Både EU-domstolen och Europadomstolen har i närtid betonat vikten av rättsstatsprincipen i avgöranden som berört signalunderrättelseinhämtning.⁶⁴

Framför allt blir skillnaden mellan amerikansk och europeisk rätt tydlig i en så grundläggande fråga som möjligheten att över huvud taget erhålla en prövning i sak i ett mål om signalunderrättelseinhämtning. I USA krävs att den klagande kan visa att övervakningen är säkert nära förestående – en i de allra flesta fall oöverstiglig ribba eftersom övervakningen är hemlig till sin natur. Europadomstolen har däremot prövat mål om signalunderrättelseinhämtning i sak utan att den klagande visat – eller till synes ens gjort gällande – att den är föremål för övervakning.

I Europa finns således någon form av verklig möjlighet att utmana statsmaktens befogenheter vad gäller signalunderrättelseinhämtning som relaterar till nationell säkerhet. I USA är den möjligheten i praktiken kraftigt beskuren eller rentav obefintlig.

För att undvika att exponera information för amerikansk lagstiftning, som ger individer ett sämre rättighetsskydd än europeisk rätt tillförsäkrar, är således en europeisk molntjänstleverantör att föredra framför en amerikansk.

I rapporten Vad din verksamhet behöver veta om det tredje adekvansbeslutet beskriver vi vilka krav EU-rätten ställer för att skydda personuppgifter i EU från att lämnas ut enligt tredjelands lagstiftning. Vi menar att dessa krav i princip hindrar anlitandet av amerikanska molntjänstleverantörer, till följd av vad amerikansk underrättelselagstiftning kan ålägga amerikanska molntjänstleverantörer att göra.

Källor

1. Med europeisk rättsordning avses här hur grundläggande rättigheter kommer till uttryck i unionsrätten samt Europakonventionen om de mänskliga rättigheterna. ↩︎
2. Jfr EU-domstolens dom i C‑623/17 Privacy International p. 60-62 samt 71. ↩︎
3. Jfr EU-domstolens dom i C-311/18 Schrems II p. 176. Exempel på amerikanska myndigheters övertramp finns i vår rapport Vad din verksamhet behöver veta om det tredje adekvansbeslutet. ↩︎
4. EDPB-EDPS Joint Response to the LIBE Committee on the impact of the US Cloud Act on the European legal framework for personal data protection. ↩︎
5. Ibid, s. 5, “Taking into account the elements above, and considering in particular that US law enforcement authorities request for access would occur in the absence of a framework provided by an international agreement, we consider that data subjects may be deprived from the protection afforded by the provision of Article 47 of the Charter, such as the right to an effective remedy, or that this right could not be exercised in practice.“ ↩︎
6. EU-domstolens dom i C-311/18 Schrems II p. 187. ↩︎
7. Ibid, s. 1, “By choosing to create a legal avenue under US law for US law enforcement authorities to require disclosure of personal data directly from service providers who fall under US jurisdiction, irrespective of where the data is stored, the US Congress enacts into US law a practice of US governmental entities likely to bypass the Mutual legal assistance in criminal matters treaty (MLAT) in force between the European Union and the United States of America.“ (fotnoter utelämnade). ↩︎
8. Beskrivningen i detta stycke bygger på regeringens redogörelse för processen för Försvarets radioanstalts signalspaning, som framgår i regeringens yttrande från den 8 maj 2015 i målet Centrum för rättvisa mot Sverige, punkt 38, s. 11 (s. 13 i pdf-dokumentet). Yttrandet finns tillgängligt på Centrum för rättvisas webbplats. ↩︎
9. 9 kap. 30 § lagen (2022:482) om elektronisk kommunikation. ↩︎
10. 50 U.S.C. § 1881a(i)(1), “immediately provide the Government with all information, facilities, or assistance necessary to accomplish the acquisition in a manner that will protect the secrecy of the acquisition and produce a minimum of interference with the services“. ↩︎
11. 50 U.S.C. § 1881a(i)(2), “The Government shall compensate, at the prevailing rate, an electronic communication service provider for providing information, facilities, or assistance in accordance with a directive issued pursuant to paragraph (1).“ ↩︎
12. Jfr 2 och 12 §§ lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet samt 9 kap. 30 § lagen (2022:482) om elektronisk kommunikation. ↩︎
13. Privacy and Civil Liberties Oversight Board Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (2023). ↩︎
14. Ibid, s. 64. ↩︎
15. Beroende på molntjänstens art skulle metadata kunna omfatta information om vid vilka tidpunkter en person har använt en tjänst, från vilka ungefärliga platser (genom ip-adressen), med vem kommunikation har skett och hur ofta, etc. Det är alltså mer än bara informationsinnehåll, eller content data som det ibland kallas på engelska, som kan vara känsligt. EU-domstolen har i ett mål om krav på datalagring hos telekomoperatörer noterat att “trafik- och lokaliseringsuppgifter kan avslöja information om ett stort antal aspekter av de berörda personernas privatliv, inbegripet känslig information, såsom sexuell läggning, politisk åskådning, religiös, filosofisk eller annan övertygelse, samhällsåskådning samt hälsotillstånd, med hänsyn till att sådana uppgifter dessutom omfattas av ett särskilt skydd enligt unionsrätten. Dessa uppgifter kan sammantagna göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats, såsom deras vanor i vardagslivet, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflyttningar och förflyttningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i. I synnerhet gör dessa uppgifter det möjligt att kartlägga de berörda personerna på ett sätt som är lika känsligt med avseende på rätten till respekt för privatlivet som själva innehållet i kommunikationerna“ (Förenade målen C‑511/18, C‑512/18 och C‑520/18 La Quadrature du Net, p. 117, Cleuras understrykning). ↩︎
16. EDPB:s Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, s. 29. “As an example, U.S. data importers that fall under 50 USC § 1881a (FISA 702) are under a direct obligation to grant access to or turn over imported personal data that are in their possession, custody or control. This may extend to any cryptographic keys necessary to render the data intelligible.“ Slutsatsen framstår som rimlig med tanke på skyldigheten i FISA 702 att tillhandahålla allt bistånd som krävs för att genomföra en inhämtning. Vi ställer oss dock tveksamma till om det i normalfallet blir nödvändigt att molntjänstleverantören lämnar ut några krypteringsnycklar. Man kan istället tänka sig att molntjänstleverantören lämnar ut informationen i klartext efter att själv ha dekrypterat den, eller efter att ha kopierat informationen när kunden dekrypterar den. ↩︎
17. Privacy and Civil Liberties Oversight Board Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (2023), s. 64. ↩︎
18. 50 U.S.C. § 1881a(a) och (b). ↩︎
19. Stephen I. Vladeck Expert Opinion on the Current State of U.S. Surveillance Law and Authorities, s. 10 i pdf-dokumentet. ↩︎
20. American data spies will never care where the servers are, “We looked into all these issues at length when the Schrems II verdict arrived back in 2020. Had a whole team of lawyers in the US investigate whether we, 37signals, as an American company, could construct any constellation of subsidiaries, servers in Europe, or whatever, to prevent something like FISA Section 702 from compelling us to hand over data on European citizens in the event the authorities came no-warrant knocking. The answer was clear: no.“ ↩︎
21. Privacy and Civil Liberties Oversight Board Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (2023), s. 91, med hänvisning i fotnot till rättspraxis från den amerikanska högsta domstolen, “the constitutional interests at stake are not those of the persons targeted for surveillance under Section 702, all of whom lack Fourth Amendment rights because they are foreigners located outside of the United States“. ↩︎
22. SCOTUS avgörande i United States v Miller. ↩︎
23. SCOTUS avgörande i Smith v Maryland. ↩︎
24. SCOTUS avgörande i ACLU v Clapper. ↩︎
25. Ibid. “Because Smith controls, the NSA’s bulk telephony metadata collection program does not violate the Fourth Amendment.“ ↩︎
26. SCOTUS avgörande i Carpenter v United States. ↩︎
27. SCOTUS avgörande i Clapper v Amnesty International. ↩︎
28. “Judge Diana Gribbon Motz, who dissented in the court ruling, warned that the majority opinion ’stands for a sweeping proposition: A suit may be dismissed under the state secrets doctrine, after minimal judicial review, even when the government premises its only defenses on far-fetched hypotheticals.’“ citerad av Reuters, U.S. court upholds dismissal of lawsuit against NSA on ’state secrets’ grounds. ↩︎
29. Ars Technica, NSA’s “state secrets” defense kills lawsuit challenging Internet surveillance. ↩︎
30. SCOTUS avgörande i FBI v Fazaga, ”Reynolds, on the other hand, expressly states that examination of the evidence at issue, ‘even by the judge alone, in chambers,’ should not be required if the Government shows ‘a reasonable danger that compulsion of the evidence’ will expose information that ‘should not be divulged’ in ‘the interest of national security.’ … Thus, the state secrets privilege … may sometimes preclude even in camera, ex parte review of the relevant evidence.” För ytterlige ett perspektiv på state secrets privilege, se denna debattartikel i Aktuell säkerhet, State Secrets Privilege – Ett förbisett hinder mot tredjelandsöverföring av personuppgifter till USA? ↩︎
31. Se exempelvis EU-domstolens dom i C-311/18 Schrems II p. 176 och p. 187 samt i dessa punkter angiven rättspraxis. ↩︎
32. Jonsson Cornell och Sannerholm (red.), Rättsstatens principer s. 15, Iustus Förlag, Uppsala 2023. ↩︎
33. Ibid, s. 98-99. ↩︎
34. Jfr Artikel 3 dataskyddsförordningen. ↩︎
35. Artikel 52.3 EU-stadgan, ”I den mån som denna stadga omfattar rättigheter som motsvarar sådana som garanteras av europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna ska de ha samma innebörd och räckvidd som i konventionen. Denna bestämmelse hindrar inte unionsrätten från att tillförsäkra ett mer långtgående skydd.” ↩︎
36. EU-domstolens dom i C-465/00 Österreichischer Rundfunk p. 73, som i sin tur hänvisar till Europadomstolens dom i Amann mot Schweiz p. 65. ↩︎
37. Vilket följer av artikel 4.2 i EU-fördraget. ↩︎
38. EU-domstolens dom i de förenade målen C-293/12 och 5-594/12 Digital Rights Ireland, p. 65. ↩︎
39. EU-domstolens dom i de förenade målen C‑511/18, C‑512/18 och C‑520/18 La Quadrature du Net, p. 99. ↩︎
40. Se fotnot 15 längre upp. ↩︎
41. EU-domstolen hänvisar där till uttalanden i Europadomstolens dom i Amann mot Schweiz. I målet hade schweiziska myndigheter på tidigt 80-tal upprättat ett registerkort om en schweizisk affärsman. På kortet fanns bland annat anteckningen ”identifierad som en kontakt med den ryska ambassaden” och numreringen (1153 : 0) 614 där siffrorna betydde “kommunistland” (1), “Sovjetunionen” (153), “spionage etablerat” (0) och ”olika kontakter med östblocket” (614). Mannen var föga road av att ha stämplats på detta sätt, vilket skedde efter att en kvinna på den sovjetiska ambassaden i Bern hade ringt honom för att beställa en batteridriven hårborttagningsprodukt (”Perma Tweez”) som han importerade och marknadsförde på den schweiziska marknaden. Schweiziska myndigheter avlyssnade ambassadens telefonsamtal. ↩︎
42. C-311/18 Schrems II p. 171. I den svenska språkversionen anges att det har föga betydelse om uppgifterna är av känslig art eller om personer drabbas av någon olägenhet, men i flera andra språkversioner är innebörden i stället oavsett. Se t.ex. engelska (”irrespective”), tyska (”es nicht darauf ankommt”), franska (”indépendamment”) och italienska (”indipendentemente”). ↩︎
43. EU-domstolens dom i de förenade målen C-293/12 och C-594/12 Digital Rights Ireland, p. 37. ↩︎
44. Ibid, p. 29. ↩︎
45. EU-domstolens dom i de förenade målen C‑511/18, C‑512/18 och C‑520/18 La Quadrature du Net, p. 118, 172 och 173. I punkt 172-173 anges: “Det framgår av artikel L. 851-3 CSI att den automatiserade analys som föreskrivs i den bestämmelsen i princip innebär en filtrering av samtliga trafik- och lokaliseringsuppgifter som lagrats av leverantörer av elektroniska kommunikationstjänster, vilken utförs av nämnda leverantörer på begäran av behöriga nationella myndigheter och med tillämpning av de parametrar som dessa myndigheter har fastställt. Härav följer att samtliga uppgifter om användare av elektroniska kommunikationsmedel kontrolleras om de motsvarar dessa parametrar. En sådan automatiserad analys ska således anses innebära att de berörda leverantörerna av elektroniska kommunikationstjänster, för den behöriga myndighetens räkning, gör en generell och odifferentierad behandling i form av en automatiserad åtgärd i den mening som avses i artikel 4.2 i förordning 2016/679, som omfattar samtliga trafik- och lokaliseringsuppgifter för samtliga användare av elektroniska kommunikationsmedel. Denna behandling är fristående från den efterföljande, med stöd av artikel L. 851-3 IV CSI tillåtna, insamlingen av uppgifter om personer som identifierats efter den automatiserade analysen … Slutligen kan nämnda lagstiftning … ha en avhållande inverkan på utövandet av den yttrandefrihet som är stadfäst i artikel 11 i stadgan.“ ↩︎
46. EU-domstolens dom i de förenade målen C-293/12 och 5-594/12 Digital Rights Ireland p. 65. ↩︎
47. EU-domstolens dom i C-311/18 Schrems II p. 180-181 och 184. ↩︎
48. EU-domstolens dom i de förenade målen C‑584/10 P, C‑593/10 P och C‑595/10 Kommissionen m.fl. mot Kadi, p. 102, 125 och 126. ↩︎
49. EU:s byrå för grundläggande rättigheter: Surveillance by intelligence services: Fundamental rights safeguards and remedies in the EU – 2023 update. ↩︎
50. Ibid, avsnittet Applicability of European Union Law. ↩︎
51. EU-domstolens dom i de förenade målen C‑511/18, C‑512/18 och C‑520/18 La Quadrature du Net, p. 103. ↩︎
52. EU:s byrå för grundläggande rättigheter har listat EU-domstolens rättspraxis sedan år 2017. ↩︎
53. Artikel 3 Europarådets stadgar. För ytterligare läsning om rättsstatsprincipen i en europeisk och internationell kontext rekommenderas boken Rättsstatens principer (2023) som hänvisas till ovan. ↩︎
54. Europadomstolens dom i Amann mot Schweiz p. 65. ↩︎
55. Europadomstolens dom i Centrum för rättvisa mot Sverige. ↩︎
56. Regeringens yttrande om talans giltighet från den 27 april 2012, tillgänglig från Centrum för rättvisas webbsida om målet: “it is thus clear that the risk that the applicant firm’s traffic has been collected at all in the first and second stages of the signals intelligence process is very limited … The likelihood that any part of the applicant firm being sifted out and thus reaching the third stage of the signals intelligence process is virtually non-existent … Consequently, the Government holds that the risk that a secret surveillance measure has been applied to the applicant firm during any of the three periods is virtually non-existent.“ ↩︎
57. Ibid, se även Europadomstolens dom i Centrum för rättvisa mot Sverige p. 159-161. ↩︎
58. Europadomstolens dom i Centrum för rättvisa mot Sverige p. 171 och 176. ↩︎
59. Ibid, p. 246. ↩︎
60. Ibid, p. 247. ↩︎
61. Ibid, p. 252-253. ↩︎
62. Ibid, p. 261. ↩︎
63. Centrum för rättvisa har en webbsida där den svenska regeringens åtgärdsplan och skriftväxlingen under målet finns publicerade. ↩︎
64. EU-domstolens dom i C-311/18 Schrems II p. 187 år 2020 samt Europadomstolens dom i Centrum för rättvisa mot Sverige p. 246 och 373 år 2021. ↩︎

Har du frågor om molntjänster och digitalisering?

Vi kan hjälpa din organisation att genomföra digitaliseringsresan på ett lagligt och hållbart sett.