Vad din verksamhet behöver veta om det tredje adekvansbeslutet

Publicerad: 12 juli 2023   /   Uppdaterad: 2 november 2024
Kategori: Rapport

What your organisation needs to know about th e new adequacy decision

I spåren av EU-kommissionens beslut om adekvat skyddsnivå i juli 2023, som förlitar sig på Data Privacy Framework, så är det naturligt att verksamheter i EU frågar sig om de har fått grönt ljus att använda amerikanska molntjänster.

I denna rapport analyserar vi vad adekvansbeslutet egentligen innebär och inte innebär.

Vi fokuserar särskilt på situationen där en verksamhet överväger att låta en molntjänstleverantör hantera personuppgifter inom EU, alltså utan tredjelandsöverföringar till USA. Då används inte adekvansbeslutet och Data Privacy Framework, samtidigt som GDPR ställer upp särskilda krav för att hindra åtkomst från tredjelands myndigheter till personuppgifter i EU.

Vi granskar dessutom några av de förändringar på den amerikanska sidan som föranledde adekvansbeslutet. Vi belyser särskilt delar av presidentdekretet Executive Order 14086 (EO 14086) och bestämmelserna för den nya prövningsinstans som kallas Data Protection Review Court (DPRC).

Vår förhoppning är att rapporten ska stötta verksamheter att avgöra vilka molntjänstleverantörer de kan förlita sig på. Det är relevant dels när en verksamhet köper molninfrastruktur (IaaS), dels när en verksamhet överväger att använda en SaaS- eller PaaS-leverantör som i sin tur nyttjar underliggande molninfrastruktur.

Det finns givetvis en rad rättsliga och lämplighetsmässiga faktorer att beakta vid användning av molntjänster, utöver vad som berörs i denna rapport.

Arman Borghem, jurist och Regulatory and Compliance Advisor på Cleura

Note: this report is also available in English.

Introduktion och sammanfattning

I juli 2023 fattade EU-kommissionen ett beslut om adekvat skyddsnivå, baserat på ramverket Data Privacy Framework. Många verksamheter i EU frågar sig därför om de har grönt ljus att använda amerikanska molntjänstleverantörer.

Vi bedömer att svaret fortsatt är nej.

Till att börja med förväntar vi oss att EU-domstolen ogiltigförklarar det nya adekvansbeslutet inom 2-3 år. Några skäl för det berörs i avsnittet Executive Order 14086 och Data Protection Review Court. Redan på grund av detta menar vi att det vore ett strategiskt felsteg att förlita sig på adekvansbeslutet för digitala satsningar av någon betydelse.

Den här rapporten fokuserar emellertid på en viktigare fråga än adekvansbeslutets öde.

Rapporten analyserar vad adekvansbeslutet kan – och i synnerhet inte kan – användas till.

Särskilt fokus ägnas åt vad som gäller när en personuppgiftsansvarig ska behandla personuppgifter på en molntjänstleverantörs servrar helt och hållet inom EU. Då aktualiseras inte adekvansbeslutet, eftersom det inte används för att genomföra några tredjelandsöverföringar. Samtidigt kan amerikanska övervakningslagar göra det möjligt för amerikanska myndigheter att komma åt uppgifterna i EU, om de hanteras hos en amerikansk molntjänstleverantör. Vi belyser de krav som ställs i GDPR för att skydda personuppgifter från sådan åtkomst.

Med rapporten hoppas vi reda ut frågetecken och förebygga missförstånd.

EU-kommissionens adekvansbeslut innebär inget generellt godkännande att använda amerikanska molntjänstleverantörer. Adekvansbeslutet möjliggör endast överföringar av personuppgifter från EU till mottagare i USA som har självcertifierat att de följer principerna i Data Privacy Framework och har tagits upp på det amerikanska handelsdepartementet lista.

En verksamhet i EU kan alltså använda adekvansbeslutet för att överföra personuppgifter från EU till en godkänd mottagare i USA. Adekvansbeslutet ger emellertid inte verksamheter grönt ljus att använda amerikanska molntjänstleverantörer för att hantera personuppgifter i EU.

De flesta verksamheter i EU kommer också fortsättningsvis hantera personuppgifter i EU. Skälen kan exempelvis vara rättsliga eller lämplighetsmässiga. Fördröjningen till datacenter i EU kan också vara kortare än till datacenter på andra sidan Atlanten. Det finns rentav en trend där amerikanska molntjänstleverantörer åtminstone delvis erbjuder datalokalisering inom EU. Vid personuppgiftsbehandling endast inom EU blir alltså adekvansbeslutet inte aktuellt.

Oavsett det kvarstår emellertid amerikanska myndigheters tillgång till uppgifter som behandlas av amerikanska molntjänstleverantörer i EU. Vad säger EU-rätten om hur personuppgifter måste skyddas mot sådan åtkomst från tredje land? Vilka molntjänstleverantörer kan en organisation förlita sig på?

Verksamheter måste säkerställa den skyddsnivå för personuppgifter som EU:s rättighetsstadga och GDPR kräver. Av betydelse är då vilka skyldigheter amerikanska molntjänstleverantörer lyder under enligt amerikansk lag, och om dessa skyldigheter är i konflikt med EU-rätten.

Som vi beskriver i rapporten Amerikansk vs europeisk övervakning: Analys av skillnader i rättighetsskyddet vid användning av molntjänster, så menar vi att en rimlig utgångspunkt är att amerikanska lagar för underrättelseinhämtning, särskilt FISA 702, tillåter amerikanska myndigheter att tvinga amerikanska molntjänstleverantörer att lämna ut uppgifter oavsett om molntjänstleverantören hanterar uppgifterna på servrar i EU. Det kallas extraterritoriell lagstiftning, det vill säga lagstiftning i tredjeland (t.ex. USA) som gör anspråk på att reglera personuppgiftsbehandling på EU:s territorium.

GDPR föreskriver tydliga skyddsmekanismer mot sådan extraterritoriell lagstiftning.

När en verksamhet i EU avser att låta en molntjänstleverantör behandla personuppgifter å verksamhetens vägnar ska parterna ingå ett personuppgiftsbiträdesavtal. Personuppgiftsbiträdesavtalet ska ange att molntjänstleverantören endast får behandla personuppgifter enligt den personuppgiftsansvarige verksamhetens instruktioner. Det finns bara ett undantag där molntjänstleverantören får agera vid sidan av dessa instruktioner, exempelvis i syfte att lämna ut personuppgifter till en myndighet. Undantaget gäller endast om unionsrätten eller en medlemsstats nationella rätt kräver det av leverantören. Det framgår av artikel 28.3 a i GDPR.

Kraven på säkerhet innebär på motsvarande sätt att personuppgiftsbiträden ska vidta åtgärder för att säkerställa att deras personal inte avviker från den personuppgiftsansvariges instruktioner (exempelvis för att lämna ut uppgifter till en myndighet) såvida inte unionsrätten eller en medlemsstats nationella rätt ålägger dem att göra det. Det framgår av artikel 32.4 i GDPR.

Amerikanska underrättelselagar som FISA 702 är varken unionsrätt eller en medlemsstats nationella rätt. Samtidigt kan underrättelselagarna tvinga amerikanska molntjänstleverantörer att lämna ut uppgifter i EU vid sidan av den personuppgiftsansvariges instruktioner. Dessa molntjänstleverantörer uppger också att de har tydliga processer för hur de verkställer utlämnanden som är korrekta enligt amerikansk lag. Därmed säkerställer dessa molntjänstleverantörer att de kommer att avvika från den personuppgiftsansvariges instruktioner för att genomföra sådana utlämnanden.

Vi menar att detta visar att amerikanska molntjänstleverantörer i princip inte kan uppfylla de krav som följer av artikel 28.3 a samt 32.4 i GDPR.

Adekvansbeslutet kan inte heller användas som grund för överföringar från EU till amerikanska underrättelsemyndigheter i USA. Adekvansbeslutet kan endast användas för överföringar till mottagare i USA som har självcertifierat sig enligt Data Privacy Framework. Det har amerikanska underrättelsemyndigheter inte gjort, och de förväntas inte heller göra det.

Om en molntjänstleverantör lämnar ut personuppgifter när en myndighet krävt det så agerar molntjänstleverantören inte längre enligt sin kunds instruktioner, utan blir i stället själv personuppgiftsansvarig för utlämnandet. All personuppgiftsbehandling måste ha en rättslig grund i GDPR och frågan blir då vilken rättslig grund en molntjänstleverantör kan använda.

Vi menar att den enda möjliga rättsliga grunden för en molntjänstleverantörs utlämnande till en myndighet finns i artikel 6.1 c i GDPR, eftersom utlämnandet är nödvändigt för att molntjänstleverantören ska uppfylla en rättslig förpliktelse. Molntjänstleverantörens rättsliga förpliktelse är då skyldigheten att verkställa myndighetens beslut om att uppgifterna ska lämnas ut.

Problemet för amerikanska molntjänstleverantörer är att en sådan rättslig förpliktelse måste vara fastställd i unionsrätten eller en medlemsstats nationella rätt. Det framgår av artikel 6.3 i GDPR. Som noterats är amerikanska underrättelselagar som FISA 702 varken unionsrätt eller en medlemsstats nationella rätt. Adekvansbeslutet kan inte heller användas; amerikanska underrättelsemyndigheter omfattas inte av Data Privacy Framework och är inte godkända mottagare. Sådana utlämnanden kan alltså inte genomföras i enlighet med GDPR – en rättslig grund saknas.

GDPR anger dock en rättslig möjlighet för molntjänstleverantörer att lämna ut personuppgifter i EU till tredjelands (exempelvis amerikanska) myndigheter. En möjlig grund i unionsrätten tydliggörs i artikel 48 i GDPR. Lösningen är en internationell överenskommelse mellan EU och tredjelandet i fråga. Ett adekvansbeslut är dock ingen internationell överenskommelse. Det är ett ensidigt beslut från EU-kommissionen, som inte tar sikte på att reglera extraterritoriell åtkomst från myndigheter i USA till uppgifter i EU. Artikel 48 kan alltså inte användas.

Eftersom amerikanska molntjänstleverantörer säkerställer att de kan verkställa utlämnanden som är korrekta enligt amerikansk lag men strider mot EU:s rättsordning, snarare än att förhindra sådana utlämnanden, menar vi att de inte ger de garantier som krävs av personuppgiftsbiträden enligt artikel 28.1 i GDPR. Vi berör detta i avsnittet GDPR-garantier vid anlitande av molntjänstleverantörer. I avsnittet EU-domstolspraxis och synen på risk beskriver vi hur EU-domstolspraxis kan anses stödja den slutsatsen.

De regler i GDPR som vi har berört påverkas inte av adekvansbeslutet och i huvudsak inte heller av en bedömning av rättssäkerheten i amerikansk lagstiftning.

I avsnittet Executive Order 14086 och Data Protection Review Court går vi in på varför Executive Order 14086 och prövningsinstansen Data Protection Review Court är otillräckliga för att tillgodose EU-rättens krav på tredjelandsöverföringar. Avsnittet är främst relevant för verksamheter som överväger om de kan förlita sig på adekvansbeslutet framöver och som vill få en bättre förståelse för sannolikheten att adekvansbeslutet överlever en prövning av EU-domstolen.

I avsnittet Exempel från verkligheten vid amerikansk övervakning ger vi såväl historiska som moderna exempel på amerikanska myndigheters övertramp och bristande rättssäkerhet vid övervakning.

I avsnittet Kryptering och liknande åtgärder berör vi varför kryptering i molnet, och liknande åtgärder, sällan ger det skydd mot utlämnanden till tredjelands myndigheter som många verksamheter hoppas på.

Slutsatsen är att molntjänster med verklig datasuveränitet, utan exponering mot amerikansk lagstiftning, fortsatt är det mest attraktiva alternativet.

Adekvansbeslutet möjliggör inte tredjelandsöverföringar till amerikanska underrättelsemyndigheter

EU-kommissionens adekvansbeslut från juli 2023 möjliggör endast överföringar av personuppgifter från EU till mottagare i USA som har självcertifierat att de följer principerna i Data Privacy Framework, anmält detta till det amerikanska handelsdepartementet och tagits upp på en särskild lista.1 Adekvansbeslutet möjliggör inte överföringar till USA generellt.2

NSA och andra amerikanska underrättelsemyndigheter är inte självcertifierade mottagare. De finns således inte med på listan över godkända organisationer och förväntas inte heller adderas.

Ett beslut om adekvat skyddsnivå innebär dessutom inte i sig något krav på överföring av personuppgifter. Som vi utvecklar senare ger adekvansbeslutet därför inte i sig någon giltig rättslig grund för att lämna ut personuppgifter i EU till myndigheter i tredje land.

Det sagda innebär att adekvansbeslutet inte kan användas för att överföra personuppgifter från EU till amerikanska underrättelsemyndigheter i USA.

Samtidigt vill de flesta verksamheter i EU hantera personuppgifter i EU. Det kan vara för att fördröjningen är kortare till datacenter i EU än till andra sidan Atlanten, av regulatoriska skäl eller för att alternativen inte vore lämpliga. Amerikanska molntjänstleverantörer erbjuder också i ökande omfattning datalokalisering inom EU.

Frågan är då vad som gäller när en verksamhet avser att hantera personuppgifter i datacenter som är belägna i EU. Vilka molntjänstleverantörer går egentligen att anlita?

Här behöver verksamheter ha i åtanke att amerikanska molntjänstleverantörer omfattas av regler som kan tvinga dem att ge amerikanska myndigheter tillgång till uppgifter i EU. Samtidigt har EU-lagstiftningen regler som i princip förbjuder sådana överföringar från EU till tredjelands myndigheter.

Adekvansbeslutet gör varken från eller till i dessa situationer.

Skyddsnivån inom EU gäller oavsett adekvansbeslutet

Inledning

En personuppgiftsansvarig i EU måste säkerställa att dess personuppgiftsbehandling uppfyller den skyddsnivå som EU-stadgan och GDPR kräver. EU-regler som EU-stadgan och GDPR kallas gemensamt unionsrätten.

Unionsrätten gäller vid personuppgiftsbehandling som sker helt och hållet på servrar inom EU, det vill säga när adekvansbeslutet inte används för någon överföring av personuppgifter till USA. Unionsrätten reglerar då bland annat hur personuppgifter i EU ska skyddas mot åtkomst från tredjelands myndigheter.

För att en personuppgiftsansvarigs verksamhet ska kunna avgöra om den kan hantera personuppgifter hos en molntjänstleverantör i EU behöver verksamheten därför först förstå innebörden av unionsrättens skyddsnivå. Vilka krav innebär skyddsnivån när verksamheten ska anlita en molntjänstleverantör, särskilt i relation till tredjelands lagstiftning?

EU-stadgans skydd

Unionsrättens skyddsnivå innebär att personuppgifter ska behandlas lagenligt för bestämda ändamål och med en legitim och lagenlig grund (EU-stadgan, artikel 8).

Dessutom gäller:

  • rätten att få tillgång till insamlade personuppgifter,
  • rätten att rätta (korrigera) felaktiga personuppgifter,
  • att en oberoende myndighet kontrollerar att reglerna efterlevs, och
  • rätten till en oavhängig och opartisk domstolsprövning för de vars rättigheter har kränkts.

Dessa punkter har ett slags grundlagsstatus eftersom de föreskrivs i Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan, artikel 8 och 47). GDPR konkretiserar dessa och andra rättigheter och ska läsas i ljuset av EU-stadgan.

Rätten till domstolsprövning (eller effektiva rättsmedel som det också kallas) är särskilt viktig. Den rätten är avgörande för att en person ska kunna få en oberoende prövning av om personens andra rättigheter har kränkts. EU-domstolen har flera gånger framhållit det som en grundförutsättning för en rättsstat:

Enligt fast rättspraxis är själva möjligheten till en effektiv domstolsprövning i syfte att säkerställa iakttagandet av unionsrätten en grundförutsättning för en rättsstat. En lagstiftning i vilken det inte föreskrivs någon möjlighet för enskilda att använda rättsmedel för att erhålla tillgång till, rätta eller radera personuppgifter som rör dem, respekterar inte det väsentliga innehållet i den grundläggande rätten till effektivt domstolsskydd, vilken är stadfäst i artikel 47 i [EU-stadgan]

C-311/18 Schrems II p. 187

Det är därför särskilt viktigt att en personuppgiftsansvarigs verksamhet säkerställer denna rättighet, så att den inte undergrävs till följd av valet av molntjänstleverantör.

EU-stadgans grundläggande rättigheter är inte absoluta, de får alltså begränsas. Under en pågående, legitim underrättelseinhämtning kan det exempelvis vara rimligt att inte bevilja tillgång till insamlade personuppgifter.

Varje sådan begränsning av en grundläggande rättighet måste emellertid uppfylla vissa krav i EU-stadgan. Bland annat måste begränsningens omfattning tydligt framgå i lag. EU-domstolen har i flera rättsfall klargjort var gränsen går för godtagbara begränsningar. Den lagstiftning där rättighetsbegränsningen framgår måste uppfylla krav på tydlighet och precision. Ett syfte är att lagstiftningen ska kunna ge ett effektivt skydd mot riskerna för missbruk.

En rättighetsbegränsning får inte gå längre än vad som är strikt nödvändigt för att tillgodose begränsningens syfte. Lagstiftning som innebär ett ingrepp i rättigheter måste i sig innehålla tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av ingreppet och som fastställer minimikrav, så att de personer vilkas uppgifter överförs har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk. Lagstiftningen måste i synnerhet precisera under vilka omständigheter och på vilka villkor en åtgärd för behandling av personuppgifter får vidtas, vilket säkerställer att ingreppet begränsas till vad som är strikt nödvändigt.3

Ibland hävdas att amerikansk lagstiftning visserligen möjliggör omfattande underrättelseinhämtning, i strid med EU-stadgans krav, men att lagstiftningen inte används på ett så omfattande sätt i praktiken. Det talar emellertid inte till lagstiftningens fördel – tvärt om.

Amerikansk lagstiftning som Foreign Intelligence Surveillance Act (FISA) möjliggör en mer omfattande inhämtning än vad som är motiverat, och EU-domstolen har bedömt att lagstiftningen inte möjliggör ett effektivt skydd mot riskerna för missbruk.4

Facit visar dessutom att amerikanska myndigheters verksamhet är kantad av övertramp och bristande rättssäkerhet såväl historiskt som i närtid, vilket vi återkommer till i avsnittet Exempel från verkligheten vid amerikansk övervakning.

Vår bedömning är också att eventuella begränsningar som införs genom presidentdekret eller myndighetsinterna regelverk inte är kapabla att åtgärda dessa brister, eftersom EU-domstolen anger att det är den lagstiftning som innebär en rättighetsbegränsning som också måste slå fast de minimikrav som möjliggör ett effektivt skydd mot riskerna för missbruk.5

Bristerna i amerikansk lagstiftning och skälen till att förändringarna i USA är otillräckliga utvecklas i avsnittet Executive Order 14086 och Data Protection Review Court. För vidare läsning, se även rapporten Amerikansk vs europeisk övervakning: Analys av skillnader i rättighetsskyddet vid användning av molntjänster.

Vi har här översiktligt förklarat några aspekter av det skydd för grundläggande rättigheter som EU-stadgan kräver. En verksamhet som inte kan säkerställa detta rättighetsskydd kan inte heller uppfylla unionsrättens krav.

Vi menar att flera av de rättigheter som EU-stadgan slår fast undermineras om en verksamhet låter personuppgifter i EU exponeras mot amerikansk lagstiftning som ges företräde framför EU:s lagstiftning. Så är i regel fallet när en amerikansk molntjänstleverantör tillåts hantera personuppgifterna i EU.

Förutsättningarna för utlämnanden av personuppgifter till myndigheter regleras mer detaljerat i GDPR. Där är det tydligt att ett utlämnande endast godtas om utlämnandet har stöd i unionsrätten eller en medlemsstats nationella rätt. Tredjelands lagstiftning gör sig alltså icke besvär. Detta behandlas i nästa avsnitt.

GDPR:s skydd mot åtkomst från tredjeland

När personuppgiftsbiträdet får avvika från sina instruktioner

När en verksamhet i EU ska låta en molntjänstleverantör behandla personuppgifter å verksamhetens vägnar måste parterna ingå ett personuppgiftsbiträdesavtal. Genom personuppgiftsbiträdesavtalet ger den personuppgiftsansvarige instruktioner till molntjänstleverantören om hur personuppgifterna ska behandlas för att den personuppgiftsansvarige ska uppnå sina ändamål med behandlingen.

Personuppgiftsbiträdesavtalet måste ange att biträdet endast får behandla personuppgifter enligt den personuppgiftsansvariges instruktioner, även när det gäller tredjelandsöverföringar. Utan instruktioner från sin kund får personuppgiftsbiträdet (molntjänstleverantören) alltså inte behandla personuppgifterna för sina egna eller andras ändamål, inklusive för att genomföra tredjelandsöverföringar. Det enda undantaget, där molntjänstleverantören t.ex. får lämna ut personuppgifterna vid sidan av instruktionerna från den personuppgiftsansvarige, är om unionsrätten eller en medlemsstats nationella rätt kräver att biträdet gör det. Det framgår av artikel 28.3 a i GDPR.

Kraven på säkerhet för personuppgifter innebär på motsvarande sätt att personuppgiftsbiträden ska vidta åtgärder för att säkerställa att deras personal inte avviker från den personuppgiftsansvariges instruktioner såvida inte unionsrätten eller en medlemsstats nationella rätt ålägger dem att göra det. Det framgår av artikel 32.4 i GDPR.

Amerikanska underrättelselagar som FISA 702 utgör varken unionsrätt eller en medlemsstats nationella rätt. Samtidigt kan underrättelselagarna tvinga amerikanska molntjänstleverantörer att lämna ut uppgifter de hanterar i EU vid sidan av den personuppgiftsansvariges instruktioner. Det kan också noteras att artikel 28.3 a och 32.4 inte medger undantag för tredjeländer med rättssäkra lagar. När avvikelser från den personuppgiftsansvariges instruktioner kräver en grund i unionsrätten eller en medlemsstats nationella rätt så ges alltså inte undantag för tredjeländer vars lagar som uppnår en viss kvalitet.

Som vi noterade i avsnittet Adekvansbeslutet möjliggör inte tredjelandsöverföringar till amerikanska underrättelsemyndigheter kan inte heller adekvansbeslutet användas som grund för dessa utlämnanden. Adekvansbeslutet kan endast användas för överföringar till självcertifierade mottagare i USA, och amerikanska underrättelsemyndigheter är inte självcertifierade. Ett beslut om adekvat skyddsnivå innebär dessutom inte i sig ett krav på att personuppgifter ska överföras till tredje land. I artikel 28.3 a och 32.4 görs endast undantag för utlämnanden som krävs enligt unionsrätten eller en medlemsstats nationella rätt.

Rättslig grund för utlämnanden till myndigheter

När en molntjänstleverantör lämnar ut personuppgifter på begäran av en myndighet så agerar molntjänstleverantören inte längre enligt sin kunds instruktioner, utan blir själv personuppgiftsansvarig för utlämnandet. All personuppgiftsbehandling måste ha en rättslig grund i GDPR och frågan blir då vilken rättslig grund som en molntjänstleverantör kan använda. Utan en giltig rättslig grund uppfyller utlämnandet inte GDPR.

EU-domstolen har slagit fast att en privat aktörs utlämnanden till brottsbekämpande myndigheter i princip inte får ske med stöd av den rättsliga grunden intresseavvägning enligt artikel 6.1 f i GDPR. EU-domstolen pekar istället på den rättsliga grunden rättslig förpliktelse som åvilar den personuppgiftsansvarige enligt artikel 6.1 c i GDPR.6 Utifrån EU-domstolens skäl bedömer vi att samma rättsliga grund blir relevant vid utlämnanden till underrättelsemyndigheter.

Den rättsliga förpliktelse som åvilar den personuppgiftsansvarige enligt artikel 6.1 c i GDPR måste i sin tur vara fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Det framgår av artikel 6.3 i GDPR.

Amerikanska underrättelselagar som FISA 702 utgör inte unionsrätt eller en medlemsstats nationella rätt. Amerikanska molntjänstleverantörer synes därför inte kunna förlita sig på någon rättslig grund i GDPR för utlämnanden till amerikanska myndigheter enligt dessa övervakningslagar. Som vi noterade i avsnittet Adekvansbeslutet möjliggör inte tredjelandsöverföringar till amerikanska underrättelsemyndigheter kan inte heller adekvansbeslutet användas.

Utlämnanden till tredjelands myndigheter kräver en internationell överenskommelse

Artikel 48 i GDPR erbjuder en grund för molntjänstleverantörer att verkställa beslut enligt tredjelands lagstiftning, men endast om beslutet grundar sig på en internationell överenskommelse mellan tredjelandet och EU eller en medlemsstat.

Adekvansbeslutet är inte en sådan internationell överenskommelse, vilket vi går in på i nästa avsnitt.

Artikel 48 anger i sin helhet:

Överföringar och utlämnanden som inte är tillåtna enligt unionsrätten

Domstolsbeslut eller beslut från myndigheter i tredjeland där det krävs att en personuppgiftsansvarig eller ett personuppgiftsbiträde överför eller lämnar ut personuppgifter får erkännas eller genomföras på något som helst sätt endast om det grundar sig på en internationell överenskommelse, såsom ett avtal om ömsesidig rättslig hjälp, som gäller mellan det begärande tredjelandet och unionen eller en medlemsstat, utan att detta påverkar andra grunder för överföring enligt detta kapitel.

(Cleuras understrykning)

Om en personuppgiftsansvarig eller ett personuppgiftsbiträde tar emot ett beslut som kräver att personuppgifter överförs eller lämnas ut till tredjelands myndigheter, så får beslutet med stöd av artikel 48 alltså:

  • endast
  • erkännas eller genomföras (eller rentav bli verkställbart, det vill säga möjligt att genomföra.7)
  • på något som helst sätt
  • om det grundar sig på en internationell överenskommelse.

Här noterar vi hur strängt formulerad artikel 48 är, vilket bekräftas av hur beaktandesats 115 i GDPR tydliggör EU-lagstiftarens aversion mot extraterritoriell lagstiftning.

Artikel 48 föregriper inte andra grunder för tredjelandsöverföringar, men vi menar att förutsättningar saknas även enligt övriga grunder. Adekvansbeslutet som stödjer sig på artikel 45 kan inte användas eftersom NSA och andra amerikanska underrättelsemyndigheter inte är självcertifierade mottagare. Vi förväntar oss inte heller att amerikanska underrättelsemyndigheter ingår standardavtalsklausuler med amerikanska molntjänstleverantörer eller medverkar till att använda andra verktyg i artikel 46. Slutligen menar vi att det i princip inte går att förlita sig på artikel 49 i denna kontext8, bland annat eftersom en molntjänstleverantör normalt inte informeras om omständigheterna bakom varje utlämnande den måste verkställa med stöd av exempelvis FISA 702.

Utan en tillämplig internationell överenskommelse som grund så är alltså amerikanska molntjänstleverantörer förhindrade att överföra personuppgifter till tredjeland baserat på beslut från tredjelands myndigheter.

Microsofts President Brad Smith är en av de som påtalat behovet av internationella överenskommelser mellan USA och EU, som lösning på problemet med ensidig extraterritoriell åtkomst till uppgifter i EU.9

Adekvansbeslutet är inte en grund i unionsrätten, en medlemsstats nationella rätt eller en internationell överenskommelse – för utlämnanden till tredjelands myndigheter

Som vi noterade i avsnittet Adekvansbeslutet möjliggör inte tredjelandsöverföringar till amerikanska underrättelsemyndigheter möjliggör adekvansbeslutet endast tredjelandsöverföringar till självcertifierade mottagare i USA som tagits upp på det amerikanska handelsdepartementets lista. Amerikanska underrättelsemyndigheter som NSA självcertifierades aldrig enligt de två tidigare ramverken Safe Harbour och Privacy Shield. De förväntas inte heller självcertifieras enligt Data Privacy Framework.

Adekvansbeslutet varken kräver eller möjliggör tredjelandsöverföringar från en verksamhet i EU till amerikanska underrättelsemyndigheter. Adekvansbeslutet är alltså inte en grund i unionsrätten eller en medlemsstats nationella rätt som kan användas för utlämnanden vid sidan av den personuppgiftsansvariges instruktioner enligt artikel 28.3 a eller 32.4, eller som rättslig förpliktelse enligt artikel 6.1 c och 6.3.

Även om det ibland talas om ett ”dataöverföringsavtal” eller ”datapakt” så är adekvansbeslutet i sig inte heller en internationell överenskommelse. Det är ett ensidigt beslut från EU-kommissionen, som inte tar sikte på att reglera åtkomst från underrättelsetjänster i USA till uppgifter i EU. Även FISA 702, den amerikanska presidentens EO 14086 och DPRC-bestämmelserna är ensidiga och utgör inte internationella överenskommelser. Inget av dessa instrument är således en internationell överenskommelse som kan användas för tredjelandsöverföringar enligt artikel 48.

GDPR-garantier vid anlitande av molntjänstleverantörer

Vi har hittills konstaterat att amerikanska molntjänstleverantörer av flera skäl saknar rättsliga förutsättningar i GDPR för att lämna ut personuppgifter som de hanterar i EU, till amerikanska myndigheter. Amerikanska molntjänstleverantörer uppger samtidigt att de med stor omsorg säkerställer uppfyllelsen av sin skyldighet att lämna ut uppgifter till amerikanska myndigheter. Som vi tidigare noterat är detta motsatsen till vad de är skyldiga till att säkerställa enligt GDPR. Vad får det för konsekvenser för en verksamhet som överväger att anlita en sådan molntjänstleverantör?

Artikel 24 i dataskyddsförordningen beskriver den personuppgiftsansvarigas ansvar – oavsett om ett biträde anlitas. Artikeln kräver lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att personuppgiftsbehandling utförs i enlighet med GDPR.

Ansvaret fortlöper när en personuppgiftsansvarig ska anlita ett personuppgiftsbiträde, såsom en molntjänstleverantör. Den personuppgiftsansvariga ska enligt artikel 28.1 GDPR endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i GDPR och säkerställer att personers rättigheter skyddas.

En molntjänstleverantörs garantier ska alltså avse åtgärder som genomförs på ett sådant sätt att personuppgiftsbehandlingen kommer att uppnå två resultat: uppfyller kraven i GDPR och säkerställer skyddet för personers rättigheter.

GDPR:s krav och personers rättigheter omfattar exempelvis:

  • kraven på skydd mot tredjelands lagstiftning som kommer till uttryck i artikel 28.3 a och 32.4 GDPR (vilket behandlats ovan),
  • de principer som kommer till uttryck i artikel 5 GDPR, såsom kraven på laglighet, korrekthet och öppenhet, och
  • de rättigheter som kommer till uttryck i kapitel III GDPR, lästa i ljuset av de grundläggande rättigheter som vi nämnde i avsnittet EU-stadgans skydd.

Frågan är då vilka garantier, om några, som amerikanska molntjänstleverantörer ger till personuppgiftsansvariga verksamheter i detta sammanhang så att de personuppgiftsansvariga kan möta kraven i artikel 28.1 GDPR.

I samtliga fall som vi känner till anger amerikanska molntjänstleverantörer att de lämnar ut personuppgifter enligt tvingande myndighetsbeslut. Eftersom molntjänstleverantörerna omfattas av amerikansk lag, även när de är verksamma i EU, kommer de därmed att följa beslut om att göra personuppgifter i EU tillgängliga för amerikanska myndigheter.

En del molntjänstleverantörer hävdar samtidigt att de har tagit emot få begäranden från amerikanska myndigheter, åtminstone med grund i vissa rättsregler, kategorier av begäranden, kundsegment, tjänster eller uppgiftstyper. Sådana påståenden kan exempelvis nämna antalet utlämnanden av ”customer data” eller content data för ett visst kundsegment. Dessa påståenden omfattar emellertid inte nödvändigtvis utlämnanden av metadata, som potentiellt kan vara lika känslig som innehållet i ett dokument eller meddelande.10

Genom att använda sig av påståenden av detta slag får ändå förmodas att molntjänstleverantörerna försöker antyda en så låg sannolikhet för utlämnanden att risken i praktiken borde bortses från.

Trots det innebär alla villkor från amerikanska molntjänstleverantörer som vi har tagit del av att den amerikanska rättsordningen ges företräde framför EU:s rättsordning. Amerikanska molntjänstleverantörer framställer detta som en självklarhet, att de som amerikanska bolag givetvis måste verkställa beslut enligt amerikansk jurisdiktion. De förväntar sig därmed med samma självklarhet att deras kunder i EU ska ge upp sin egen rättsordnings suveränitet till förmån för amerikansk.

Om sannolikheten för utlämnanden är så obetydlig frågar vi oss varför ingen amerikansk molntjänstleverantör är beredd att lova att den kommer att neka varje begäran om utlämnande, åtminstone för vissa kundsegment eller tjänstetyper. Av samma skäl frågar vi oss varför amerikansk underrättelselagstiftning inte kan begränsas för att utesluta möjligheten till sådana utlämnanden som ändå inte påstås ske i verkligheten.

Som vi noterade i avsnittet EU-stadgans skydd finns det ingenting tilltalande med lagstiftning som kan användas för omfattande inhämtning men som normalt sett inte används så brett i praktiken. Genom att lagstiftning som FISA 702 möjliggör en mer omfattande inhämtning än vad som är motiverad menar vi att lagstiftningen inte möjliggör ett effektivt skydd mot riskerna för missbruk i enlighet med unionsrättens krav. Vi har i avsnittet Exempel från verkligheten vid amerikansk övervakning inkluderat ett axplock av övertramp och bristande rättssäkerhet vid amerikansk övervakning.

En molntjänstleverantör kan ha svårt att råda över antalet begäran om utlämnande som den tar emot, oavsett vad antalet varit historiskt. Vi ifrågasätter därför också om statistiken över utlämnanden till amerikanska myndigheter ens kan anses vara en del av ett personuppgiftsbiträdes garantier.11

Mot ovan bakgrund, särskilt vad gäller oförmågan att uppfylla de krav som följer av artikel 28.3 a och 32.4 i GDPR, konstaterar vi att amerikanska molntjänstleverantörer inte ger personuppgiftsansvariga i EU de garantier som personuppgiftsansvariga måste ha enligt artikel 28.1 i GDPR.

EU-domstolspraxis och synen på risk

Vi har dessutom noterat EU-domstolens syn på vad som krävs för att säkerställa unionsrättens skyddsnivå – och vad som är tillräckligt för att undergräva den. Vi menar att EU-domstolen inte tycks ge något egentligt utrymme att bedöma sannolikheten för utlämnanden till tredjelands myndigheter eller att beakta vilka typer av personuppgifter som kan komma att lämnas ut.

I ett mål om tredjelandsöverföringar angav EU-domstolen att ett effektivt skydd för personuppgifter inte kan säkerställas när lagstiftningen i tredjeland tillåter tredjelandets myndigheter att göra ingrepp i personers rättigheter.12

EU-domstolen angav likaså att en tredjelandsöverföring måste avbrytas redan när lagstiftningen i tredjelandet ålägger skyldigheter för mottagaren av personuppgifterna, om skyldigheterna kan äventyra det unionsrättsliga skydd som ska säkerställas.13 Oavsett vad det i praktiken innebär att uppnå ett adekvat skydd enligt unionsrätten, så är den avgörande frågan därmed om tredjelands lagstiftning omfattar mottagaren (t.ex. en molntjänstleverantör), och därigenom medför skyldigheter som kan äventyra unionsrättens skyddsnivå.14

EU-domstolen har angett att utlämnande av personuppgifter till en myndighet utgör ett ingrepp i grundläggande rättigheter oavsett hur uppgifterna används. Det förhåller sig på samma sätt med personuppgifter som lagras i syfte att myndigheter ska använda sig av dem. EU-domstolen har vidare angett att det i sammanhanget saknar betydelse om uppgifterna som avser privatlivet är av känslig art eller om berörda personer har fått utstå eventuella olägenheter.15

EU-domstolen har inte angett att äventyrandet av skyddsnivån förutsätter att det har skett ett faktiskt utlämnande till amerikanska myndigheter eller ens att det är sannolikt. De avgörande faktorerna är vad tredjelands lagstiftning tillåter och kan användas för. EU-domstolen tycks här inte göra någon sannolikhetsbedömning, tar inte hänsyn till om uppgifter som rör privatlivet är känsliga och väger inte in om personer på något sätt får utstå någon olägenhet på grund av att uppgifter lämnas ut.

Detta framstår också som konsekvent med EU-domstolens dom från år 2014 som ogiltigförklarade EU:s datalagringsdirektiv.16 Direktivet tvingade telekombolag att lagra trafikdata om telefonsamtal och internetanvändning, men inte innehållet i kommunikationerna. Det får förmodas att endast en mycket liten andel av dessa uppgifter skulle vara intressanta för brottsbekämpande och andra myndigheter. Man bör därför kunna anta att sannolikheten skulle vara låg att en enskild persons uppgifter skulle lämnas ut. Ändå ogiltigförklarade EU-domstolen hela direktivet – det var ett alltför stort hot mot våra grundläggande rättigheter till privatliv och dataskydd. När långt fler uppgifter än nödvändigt ska lagras, när det inte är tillräckligt tydligt under vilka omständigheter uppgifterna kan lämnas ut och när utlämnanden kan ske i hemlighet, så svävar vi i ovisshet. EU-domstolen ansåg att ”den omständigheten att lagringen av uppgifterna och den senare användningen av dem sker utan att abonnenten eller den registrerade användaren är underrättad om detta [kan] ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning.”17

Idag behandlas lejonparten av våra kommunikationer, digitala förehavanden och stora mängder metadata, inklusive platsdata, av tre molntjänstleverantörer som alla omfattas av samma tvingande amerikanska övervakningslagstiftning, FISA 702.

Vi bedömer att EU-domstolens syn i nämnda rättsfall understryker vad som krävs för att säkerställa unionsrättens skyddsnivå vid personuppgiftsbehandling inom EU – och framför allt, vad som är tillräckligt för att undergräva den.

En bedömning av en tredjelandsöverförings skyddsnivå görs nämligen genom en jämförelse med skyddsnivån inom EU. Det är skyddsnivån inom EU som en tredjelandsöverföring ska vara minst väsentligen likvärdig med. Som framgår av artikel 44: ”Alla bestämmelser i [kapitel V] ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs” (Cleuras understrykning). Det är vad det innebär att skyddet för personuppgifterna följer uppgifterna från EU till tredjeland.

Skyddsnivån vid en tredjelandsöverföring behöver endast vara väsentligen likvärdig den inom EU. Det talar om något för ett utrymme för en något lägre skyddsnivå vid en tredjelandsöverföring än vid personuppgiftsbehandling inom EU. Det betyder att motsatt förhållande inte kan vara möjligt. Personuppgiftsbehandling i EU kan inte omgärdas av en lägre skyddsnivå än vid en tredjelandsöverföring.

Det skulle dessutom framstå som oproportionerligt att kräva en ännu högre skyddsnivå vid tredjelandsöverföringar än den redan höga skyddsnivå som gäller inom EU. Det skulle också motverka syftet med att underlätta internationell handel och samarbete, som anges i skäl 101 i GDPR.

Det innebär att skyddsnivån som krävs enligt artikel 24, 28, 32 och så vidare, vid personuppgiftsbehandling inom EU, måste tolkas som minst lika hög som den skyddsnivå som krävs vid en tredjelandsöverföring.

När EU-domstolen bedömer att en tredjelandsöverföring inte är tillåten redan när lagstiftningen i tredjeland tillåter tredjelandets myndigheter att göra ingrepp i personers unionsrättsliga rättigheter, samt att en tredjelandsöverföring måste avbrytas redan när lagstiftningen i tredjelandet föreskriver skyldigheter som kan äventyra det unionsrättsliga skyddet, blir följden att ribban för att säkerställa unionsrättens skydd vid personuppgiftsbehandling inom EU måste vara i vart fall minst lika hög.

Slutsatsen av detta blir att unionsrättens skyddsnivå vid personuppgiftsbehandling inom EU, inbegripet enligt artikel 24, 28 och 32 i GDPR, inte kan säkerställas när amerikansk lagstiftning föreskriver skyldigheter gentemot en molntjänstleverantör som tillåter amerikanska myndigheter att göra ingrepp i personers rättigheter eller som kan äventyra unionsrättens skydd. Så är fortfarande fallet, oavsett adekvansbeslutet, när FISA 702 omfattar amerikanska molntjänstleverantörer och amerikanska myndigheter därmed kan tvinga en sådan molntjänstleverantör att ge tillgång till personuppgifter som molntjänstleverantören behandlar i EU.

Sammanfattande slutsatser

Mot ovan bakgrund ser vi inte hur en amerikansk molntjänstleverantör kan anses ha vidtagit åtgärder som är tillräckliga för att uppfylla kraven i GDPR och säkerställa att individers rättigheter skyddas, när molntjänstleverantörens besked innebär att:

  • Molntjänstleverantören omfattas av amerikansk övervakningslagstiftning, samt har klargjort att den tillåter sig att lämna ut personuppgifter i EU till amerikanska myndigheter enligt sådan lagstiftning.
  • Molntjänstleverantören tillåter sig att i strid med kraven på personuppgiftsbiträdesavtal enligt artikel 28.3 a GDPR åsidosätta den personuppgiftsansvariges instruktioner samt i strid med kraven på säkerhet enligt artikel 32.4 i GDPR låta sin personal göra detsamma, för att lämna ut personuppgifter i EU till amerikanska myndigheter utan stöd i unionsrätten eller en medlemsstats nationella rätt.
  • Molntjänstleverantören tillåter sig att i strid med artikel 6.1 c och 6.3 i GDPR lämna ut personuppgifter i EU till amerikanska myndigheter utan en korrekt rättslig grund i form av en rättslig förpliktelse i unionsrätten eller en medlemsstats nationella rätt.
  • Molntjänstleverantören tillåter sig att i strid med artikel 48 i GDPR lämna ut personuppgifter i EU till amerikanska myndigheter utan stöd i en internationell överenskommelse och utan att kunna använda ett undantag för särskilda situationer.

Vad amerikanska molntjänstleverantörer faktiskt garanterar är därmed att de vidtar åtgärder som säkerställer att de inte uppfyller kraven i GDPR. Vi bedömer att sådana molntjänstleverantörer inte ger de garantier som krävs för att anlitas som personuppgiftsbiträden enligt artikel 28.1 i GDPR.

Executive Order 14086 och Data Protection Review Court

När Data Privacy Framework och adekvansbeslutet spelar roll – och när de inte gör det

Som vi tidigare noterat förbjuder GDPR amerikanska molntjänstleverantörer att överföra personuppgifter från EU till amerikanska underrättelsemyndigheter utan en grund i unionsrätten eller en EU-medlemsstats nationella rätt. Faktum är att amerikanska molntjänstleverantörer är skyldiga att vidta åtgärder för att säkerställa att sådana överföringar inte sker. Det följer av artikel 28.3 a och 32.4 GDPR.

Dessa regler i GDPR gäller oavsett om mottagarlandets lagar uppfyller krav på rättssäkerhet. För att lagligen överföra personuppgifter från EU till amerikanska underrättelsemyndigheter skulle molntjänstleverantörerna behöva förlita sig på en grund i unionsrätten eller en EU-medlemsstats nationella rätt. Adekvansbeslutet som grundar sig på Data Privacy Framework är inte en sådan grund som möjliggör tredjelandsöverföringar från EU till amerikanska underrättelsemyndigheter.

Trots det uppger amerikanska molntjänstleverantörer att de ändå kommer att lämna ut personuppgifter till amerikanska underrättelsemyndigheter när de är tvungna till det enligt amerikansk rätt. Vi menar därför att dessa leverantörer inte ger personuppgiftsansvariga de garantier som krävs för att anlitas som personuppgiftsbiträden enligt GDPR. Skälen för den slutsatsen utvecklas i avsnittet GDPR:s skydd mot åtkomst från tredjeland.

Situationen är en annan när en personuppgiftsansvarig i EU avsiktligen vill överföra personuppgifter till ett tredjeland såsom USA. Det kan exempelvis ske när en personuppgiftsansvarig i EU vill överföra personuppgifter till en molntjänstleverantör i USA för vidare behandling på molntjänstleverantörens servrar där. Ett annat exempel kan vara när en personuppgiftsansvarig verksamhet i EU ger en molntjänstleverantörs supportpersonal i USA tillgång till personuppgifter som lagras i EU.

Sådana överföringar kan förlita sig på adekvansbeslutet, givet att molntjänstleverantören är självcertifierad enligt Data Privacy Framework. I det scenariot kvarstår emellertid frågan om adekvansbeslutet går att räkna med i framtiden eller om det riskerar att ogiltigförklaras, likt de tidigare två adekvansbesluten som skulle möjliggöra överföringar till självcertifierade mottagare i USA.

Vi ska därför gå igenom några av förändringarna på den amerikanska sidan som det tredje adekvansbeslutet förlitar sig på. Syftet är att ge en bättre bild av sannolikheten att EU-domstolen ogiltigförklarar adekvansbeslutet samt en förståelse för de delar av amerikansk rätt som ännu brister i förhållande till unionsrätten.

Den här bedömningen adekvansbeslutets överlevnad är främst relevant för verksamheter som överväger tredjelandsöverföringar från EU till självcertifierade mottagare i USA, inklusive genom att ge supportpersonal i USA tillgång till personuppgifter som lagras i EU. Bedömningen av adekvansbeslutet är mindre relevant för verksamheter som endast ska behandla personuppgifter i EU – för sådana verksamheter är däremot denna rapports tidigare kapitel högst relevanta.

Vad som har förändrats sedan Schrems II

För att värdera amerikansk rätt börjar vi med EU-domstolens bedömning i Schrems II och jämför sedan med några förändringar som skett sedan dess.

I Schrems II angav EU-domstolen att amerikanska övervakningsprogram som grundar sig på FISA 702, Executive Order 12333 och Presidential Policy Directive 28 inte motsvarar de minimikrav som unionsrätten kräver enligt proportionalitetsprincipen som stadfästs i EU-stadgan om de grundläggande rättigheterna. Det innebär att övervakningsprogrammen som grundas på dessa bestämmelser inte kan anses vara begränsade till vad som är strikt nödvändigt.

EU-domstolen konstaterade dessutom att övervakningsprogrammen inte ger personer rättigheter som kan göras gällande mot amerikanska myndigheter i domstol, vilket innebär att personerna inte har rätt till ett effektivt rättsmedel. Det är också ett krav enligt EU:s stadga med grundläggande rättigheter.

USA har därefter i huvudsak gjort två förändringar som EU-kommissionen hänvisat till för att fatta adekvansbeslutet från juli 2023. Vi ska därför titta närmare på några relevanta delar av dessa förändringar för att se om de gör någon betydelsefull skillnad.

För det första utfärdade USA:s president Executive Order 14086 med regler för signalspaning (EO 14086), vilka har implementerats av underrättelsetjänsterna. För det andra anger EO 14086 att USA:s justitieminister ska utfärda bestämmelser som inrättar en prövningsinstans kallad Data Protection Review Court (DPRC-bestämmelserna).

Frågan är då om EO 14086 och DPRC-bestämmelserna åtgärdar de brister som EU-domstolen identifierade i Schrems II. Andra aktörer har gjort djupgående analyser av detta.18 I korthet bedömer vi att EO 14086 och DPRC-bestämmelserna är problematiska i förhållande till unionsrätten. I följande avsnitt går vi närmare in på skälen för den slutsatsen. Redogörelsen gör inte anspråk på att vara fullständig.

För en översiktlig bild av några skillnader mellan hur övervakning och grundläggande rättigheter regleras i USA och på europeisk nivå, se rapporten Amerikansk vs europeisk övervakning: Analys av skillnader i rättighetsskyddet vid användning av molntjänster.

Executive Order 14086

Den första förändringen som EU-kommissionen förlitar sig på i sitt adekvansbeslut är Executive Order 14086 (EO 14086).19 Det är ett presidentdekret med regler för signalspaning som ska ha implementerats av amerikanska underrättelsetjänster.

För det första ifrågasätter vi av två skäl om EO 14086 kan uppfylla EU-stadgans krav på att rättighetsbegränsningar ska framgå i lag.

Dels koncentrerar en exekutiv order makten till en person, presidenten, som när som helst kan ändra eller upphäva en exekutiv order. Presidenten kan dessutom uppdatera delar av EO 14086 i hemlighet utifrån en bedömning presidenten själv råder över, se sektion 2(b)(i)(B) och sektion 2(c)(ii)(C). Ett sådant upplägg kännetecknar enligt vår mening inte ”lag”. Utöver detta är en exekutiv order i vart fall inte lagstiftning, samtidigt som EU-domstolen talar i termer av krav som ställs på just lagstiftning (”legislation”).20

Övervakning innebär en inskränking av grundläggande rättigheter. EU-domstolen slagit fast att ”den rättsliga grund som gör ingreppet i rättigheterna möjligt i sig ska definiera räckvidden av begränsningen i utövandet av den aktuella rättigheten” (Cleuras understrykning). EU-domstolen anger att detta är en förutsättning för att uppfylla EU-stadgans krav på proportionalitet.21 Som vi förstår det är FISA 702 lagstiftning som möjliggör övervakning även om EO 14086 inte hade existerat. Övervakning med stöd av FISA 702 innebär ett ingrepp i personers rätt till privatliv och skydd för personuppgifter, vilket är grundläggande rättigheter. EU-domstolen har slagit fast att FISA 702 inte uppfyller EU-stadgans krav på proportionalitet.22 För att åtgärda detta synes det därför behövas någon form av ändring av FISA 702 så att FISA 702 i sig definierar räckvidd och omfattning på de rättighetsbegränsningar av grundläggande rättigheter. Någon sådan ändring har emellertid inte skett. Istället har EO 14086 införts med förhållningsregler för signalspaningen. Vi menar att EO 14086 inte ens tycks vara kapabel att kompensera för bristen på proportionalitet i FISA 702 eftersom EO 14086 inte är den rättsliga grund som FISA 702 är.

För det andra ifrågasätter vi – oavsett bedömning i den första frågan – om skrivningarna i EO 14086 materiellt uppfyller kraven på tydlighet och precision utifrån EU-stadgans krav på proportionalitet (se avsnittet EU-stadgans skydd). Begreppen nödvändig och proportionerlig (”necessary” och ”proportionate”) nämns i EO 14086, men det är sparsamt med förklaringar av vad begreppen innebär konkret. Skrivningarna är också vaga om när alternativ till signalspaning ska prioriteras. Så ska ske när alternativen är ”tillgängliga, görliga, och lämpliga” (”available, feasible, and appropriate”).

Begreppen ”necessary” och ”proportionate” i EO 14086 kan vid en första anblick se ut att anknyta till unionsrättsliga koncept, i synnerhet eftersom begreppen är centrala i EU-domstolens tolkning av EU-stadgan i Schrems II. Dessutom anger EO 14086 flera förhållningsregler avseende ”personal information”, som är ett annat begrepp än unionsrättens personal data. Avsikten verkar vara att inget av dessa begrepp ska tolkas i linje med unionsrätten. DPRC, som ska pröva om övervakning har gått rätt till enligt EO 14086, ska nämligen tolka EO 14086 och dess begrepp uteslutande i ljuset av amerikansk rätt och rättstradition, inte någon annan rättskälla.23

Mot ovan bakgrund betvivlar vi att EO 14086 uppfyller unionsrättens krav på tydliga bestämmelser som preciserar under vilka omständigheter och på vilka villkor underrättelseinhämtning får ske. Vi har svårt att se hur EO 14086 på ett tillräckligt tydligt sätt, i enlighet med unionsrättens krav, reglerar räckvidden och tillämpningen av underrättelseinhämtningen och fastställer minimikrav som ger personer tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk (se avsnittet EU-stadgans skydd för mer om dessa krav). Saken blir inte bättre av att DPRC är förbjuden att tolka begreppen nödvändighet och proportionalitet utifrån unionsrätten, att ”personal information” inte tycks motsvara GDPR:s definition av personuppgifter samt att DPRC inte får beakta rättsutvecklingen inom EU när den tolkar hur EO 14086 tillämpas i praktiken.

Data Protection Review Court

Den andra förändringen som EU-kommissionen förlitar sig på i sitt adekvansbeslut är bestämmelserna om Data Protection Review Court (DPRC-bestämmelserna).24 DPRC-bestämmelserna utfärdades av det amerikanska justitiedepartementet utifrån presidentens uppdrag i EO 14086. DPRC-bestämmelserna inrättar en prövningsinstans kallad Data Protection Review Court (DPRC). Syftet får förstås som att DPRC ska tillgodose EU-stadgans krav på ett effektivt rättsmedel efter att EU-domstolen bedömde25 att Privacy Shield-ombudsmannen inte var tillräcklig.

För det första ifrågasätter vi om DPRC uppfyller EU-stadgans krav på rätten till en rättvis och offentlig rättegång ”inför en oavhängig och opartisk domstol som har inrättats enligt lag.”

Vad gäller kravet på att inrättas enligt lag är frågetecknen desamma som för EO 14086, vilket behandlas i första delen av avsnittet om EO 14086 ovan.

Vad gäller kravet på oavhängighet och opartiskhet noterar vi att USA:s styrelseskick präglas av maktdelningsläran. Makt fördelas då mellan lagstiftaren (kongressen), den verkställande makten (presidenten) samt den dömande makten (federala domstolar). DPRC är inte en federal domstol som tillhör den dömande makten utifrån amerikansk maktdelning. DPRC inrättades av justitiedepartementet men är dessutom i sig en del av justitiedepartementet26 och därmed den verkställande makten.

DPRC:s ledamöter tillsätts av USA:s justitieminister. Ledamöterna tycks också endast erhålla ett skydd för sitt förordnande och mot repressalier i förhållande till justitieministern, inte presidenten.27 EU-domstolen har anmärkt att Privacy Shield-ombudsmannen inte tycktes omfattas av garantier i förhållande till den verkställande makten vad gällde sitt förordnade.28 Presidenten är den person som ytterst utövar den verkställande makten i USA.

För det andra omfattar DPRC:s behörighet endast vissa typer av överträdelser, så kallade ”covered violations”, vilket tycks lämna överträdelser av viktiga unionsrättsliga rättigheter utanför DPRC:s behörighet.

I korthet tycks definitionen av en ”covered violation” kräva att en överträdelse dels negativt påverkar en persons integritet (”privacy”) samt medborgerliga fri- och rättigheter (”civil liberties interests”), dels är en överträdelse av den amerikanska konstitutionen, delar av FISA eller FISC-förfaranden, EO 12333 eller relaterade förfaranden, EO 14086 eller relaterade policyer och förfaranden, en efterföljande lag, order, policy eller förfarande, eller andra lagar, order, policyer eller förfaranden med liknande omfattning som EO 14086.29

Såvitt vi känner till innehåller ingen av nämnda lagar eller bestämmelser en tillämplig rätt till tillgång till personuppgifter eller rätt till rättelse av felaktiga personuppgifter, åtminstone inte i en utsträckning som liknar unionsrätten där de är en del av den grundläggande rätten till skydd för personuppgifter enligt Artikel 8 i EU-stadgan, med tillhörande proportionalitetskrav vid begränsningar.30

Vi ifrågasätter också om det tillräckligt tydligt går att läsa in dessa dataskyddsrättigheter i begreppen ”privacy” och ”civil liberties interests”. EU:s rättighetsstadga erkänner rätten till respekt för privatlivet (som ofta beskrivs som en rätt till personlig integritet) i artikel 7, liksom rätten till dataskydd i artikel 8. Som jämförelse kan nämnas att Europeiska konventionen om skydd för de mänskliga rättigheterna erkänner rätten till privatliv, men saknar en uttrycklig rätt till dataskydd. Medan det kan vara en bedömningsfråga hur integritetskänslig en personuppgiftsbehandling får vara, gäller dataskyddsrättigheter som rätten till tillgång och rättelse oavsett integritetsintrånget. Dessutom innebär DPRC-bestämmelserna att när EO 14086 nämner begrepp som ”personal information”, ”privacy” och ”civil liberties interests” ska de inte tolkas med unionsrätten i åtanke, utan enbart i ljuset av amerikansk lag och rättstradition.31

Det förefaller därför tveksamt att amerikansk rätt skulle erkänna dataskyddsrättigheter med hänvisning till en persons ”privacy” eller ”civil liberties interests”. Tittar vi särskilt på rätten till ”privacy”, såsom den tolkats enligt den amerikanska konstitutionen, är den rätten kraftigt begränsad på grund av den så kallade tredjepartsdoktrinen. Denna doktrin innebär att en person förlorar sin rätt till integritet vad gäller information som personen frivilligt anses ha överfört till en tjänsteleverantör.32

När det som är grundläggande rättigheter i unionsrätten inte uttryckligen erkänns eller preciseras i det amerikanska regelverket, synes det inte heller vara möjligt att rättigheterna kan kränkas i form av en överträdelse som omfattas (”covered violation”) från första början. DPRC verkar därför inte heller kunna besluta om korrigerande åtgärder i alla de fall där dessa unionsrättsliga rättigheter har kränkts.

För det tredje, och som vi nämnde ovan, ger DPRC-bestämmelserna inte den klagande någon rätt till tillgång till en domstolsprövning för att erhålla tillgång till sina personuppgifter. En klagande synes därför inte heller vara tillförsäkrad sin rätt till rättelse eller radering. Som en konsekvens av det synes DPRC inte heller ha tillräckliga förutsättningar för att bedöma en övervakningsåtgärds proportionalitet och laglighet.

EU-domstolen har angett att:

Enligt fast rättspraxis är själva möjligheten till en effektiv domstolsprövning i syfte att säkerställa iakttagandet av unionsrätten en grundförutsättning för en rättsstat. En lagstiftning i vilken det inte föreskrivs någon möjlighet för enskilda att använda rättsmedel för att erhålla tillgång till, rätta eller radera personuppgifter som rör dem, respekterar inte det väsentliga innehållet i den grundläggande rätten till effektivt domstolsskydd, vilken är stadfäst i artikel 47 i [EU-stadgan]33

Rätten till domstolsprövning inbegriper alltså att få sin rätt till tillgång eller rättelse av personuppgifter prövad av en domstol. Rätten till tillgång och rätten till rättelse är inte absoluta, men varje begränsning ska vara proportionerlig utifrån EU-stadgans krav. Ett viktigt syfte med en oberoende och oavhängig domstolsprövning blir då att slå fast om det verkligen är motiverat att undanhålla uppgifter från en person (och i så fall under vilka förutsättningar såsom under hur lång tid). Det är en sådan domstolsprövning som EU-domstolen upprepade gånger har angett är en grundförutsättning för en rättsstat.

I EU-kommissionens adekvansbeslut från juli 2023 hänvisas bland annat till möjligheten att begära ut uppgifter med stöd av den amerikanska Freedom of Information Act (FOIA), med reservation för olika undantag såsom när information är sekretessbelagd med hänsyn till nationell säkerhet. Utländska underrättelseuppgifter vars existens är hemligstämplad hos FBI är dessutom helt undantagna FOIA:s tillämpningsområde.34 Vi förutsätter att EU-domstolen vid domen i Schrems II kände till befintliga vägar för att begära åtkomst till sina personuppgifter, såsom FOIA. Vad gäller tillgången till rättslig prövning rörande FISA-övervakning noterade EU-domstolen hur EU-kommissionen uppmärksammat att den möjligheten är begränsad för icke-amerikaner, bland annat på grund av kravet på att visa talerätt, vilket synes ha varit ett skäl till att Privacy Shield-ombudsmannen infördes.35

EU-domstolen har även bedömt att det av FISA 702 inte kan utläsas några garantier för icke-amerikaner som eventuellt omfattas av övervakning samt att även om övervakningen måste följa reglerna i PPD-28 så ger PPD-28 inte individer rättigheter som de kan göra gällande i domstol mot amerikanska myndigheter.36 Vår slutsats är därmed att amerikansk rätt inte har räckt till för att ge icke-amerikaner effektiva rättsmedel, och att så förblir fallet såvida inte DPRC-bestämmelserna åtgärdar det som var otillräckligt med Privacy Shield-ombudsmannen.

DPRC-bestämmelserna anger att klagandeprocessen avslutas med ett slutligt besked ”utan att bekräfta eller förneka om den klagande var föremål för signalspaningsverksamhet”. Beskedet ska i samtliga fall att lyda ”Granskningen visade antingen inte på några överträdelser som omfattades eller så utfärdade Data Protection Review Court ett beslut som krävde lämpliga åtgärder”.37 Även om DPRC måste tilldela den klagande en särskild ombudsperson (”Special Advocate”), får denne inte avslöja huruvida den klagande varit föremål för USA:s signalspaningsverksamhet.38

Eftersom DPRC inte ger de klagande någon rätt att veta om de varit föremål för signalspaning kan DPRC inte heller ge de klagande någon domstolsprövning av rätten att få tillgång till, rätta eller radera personuppgifter som rör dem. Även om DPRC på pappret kan besluta om exempelvis rättelse eller radering menar vi att det är närmast oundvikligt att DPRC får ett otillräckligt underlag för sina granskningar och åtgärder, och att DPRC därför i praktiken inte kan tillförsäkra att sådana åtgärder vidtas när det behövs.

En person kan nämligen svårligen beskriva för DPRC hur en uppgift borde rättas, eller förklara varför den är irrelevant och borde raderas, om personen inte först får tillgång till uppgiften för att värdera den. Utan att ta del av uppgiften kan personen inte heller påtala omständigheter som är relevanta för att DPRC ska kunna bedöma om själva insamlingen av uppgiften varit proportionerlig och lagenlig. Rätten till tillgång till uppgifter är alltså en förutsättning för att utöva andra grundläggande rättigheter. EU-domstolen har angett:

Den rätt till tillgång som föreskrivs i artikel 15 i dataskyddsförordningen måste således göra det möjligt för den registrerade att försäkra sig om att de personuppgifter som rör honom eller henne är korrekta och att de behandlas på ett lagenligt sätt … I synnerhet är denna rätt till tillgång nödvändig för att möjliggöra för den registrerade att, i förekommande fall, kunna utöva sin rätt till rättelse, sin rätt till radering (”rätten att bli bortglömd”) och sin rätt till begränsning av behandling … liksom sin … rätt att göra invändningar mot behandlingen av hans eller hennes personuppgifter, och sin rätt att föra talan till följd av skada39

Vår slutsats är därför att DPRC inte ger personer någon rätt till en domstolsprövning av rätten till tillgång eller rättelse av personuppgifter. Som en konsekvens saknar DPRC även en effektiv möjlighet att pröva övervakningens laglighet samt personers rätt till begränsning av behandlingen och rätt att föra talan till följd av skada.

DPRC åtgärdar alltså inte det som EU-domstolen identifierade som otillräckligt med Privacy Shield-ombudsmannen, och amerikansk rätt når därför fortfarande inte upp till unionsrättens krav på effektiva rättsmedel.

Även om vi skulle bortse från DPRC, och en person i EU på något sätt skulle erhålla talerätt (”standing”) inför en amerikansk domstol, ifrågasätter vi dessutom om amerikanska domstolar är fullt ut behöriga att pröva relevanta omständigheter vid en fråga om rätten till tillgång till personuppgifter.

För en närmare titt på det amerikanska rättssystemet jämfört med det europeiska när det kommer till övervakning, se vår rapport Amerikansk vs europeisk övervakning: Analys av skillnader i rättighetsskyddet vid användning av molntjänster.

Vi förstår nämligen EU-domstolens praxis som att en begränsning av en persons rätt till tillgång till personuppgifter inte kan leda till att unionsdomstolen kan hindras från att ta del av uppgifterna för att pröva personens rätt till tillgång enligt artikel 47 i EU-stadgan.40 Vi noterar härvid att den amerikanska rättsprincipen om State Secrets Privilege ger den verkställande makten (regeringen) i USA en möjlighet att helt undanta information från att behandlas i en domstolsprocess. En domare kan rentav behöva besluta att information ska undantas från ett mål utan att domaren själv fått ta del av informationen som regeringen hävdar omfattas av State Secrets Privilege.41 Som ett resultat kan domaren sedan behöva skriva av målet.

Denna begränsning av domstolarnas möjlighet att ta del av information synes inte vara förenlig med EU-domstolens tolkning av rätten till ett effektivt rättsmedel enligt artikel 47 i EU-stadgan.

För det fjärde begränsas DPRC vad gäller de åtgärder DPRC kan besluta om vid en konstaterad överträdelse:

Innan en DPRC-panel fastställer en lämplig åtgärd … ska den genom ODNI CLPO inhämta synpunkter från berörda delar av underrättelsegemenskapen om den lämpliga åtgärden, inbegripet en bedömning av effekterna på underrättelsegemenskapens verksamhet och USA:s nationella säkerhet. Panelen ska ta vederbörlig hänsyn till dessa synpunkter (”due account of these views”) samt till sedvanliga sätt (”customary ways”) för att hantera den typ av överträdelse som identifierats.42

Detta begränsar DPRC:s handlingsfrihet i val av åtgärd, eftersom DPRC är skyldig att ta hänsyn till synpunkter och sedvanliga arbetssätt som inte nödvändigtvis grundar sig på vad som är rättsligt påkallat.

Sammanfattande slutsatser om EO 14086 och DPRC

Vi ifrågasätter huruvida EO 14086 och DPRC-bestämmelserna når upp till unionsrättens skyddsnivå på flera punkter, i synnerhet:

  • Huruvida EO 14086 kan anses utgöra lag i den mening som EU-stadgan kräver, särskilt till följd av maktkoncentrationen hos presidenten som när som helst kan ändra eller upphäva EO 14086 och i hemlighet kan ändra i delar av EO 14086.
  • Huruvida EO 14086 uppfyller kraven på proportionalitet, på grund av dess vaga skrivningar om nödvändighet och proportionalitet samt när alternativ till signalspaning ska prioriteras (när det är ”tillgängligt, görligt och lämpligt”). Dessutom ska begrepp som till synes relaterar till unionsrätten inte tolkas i enlighet med unionsrätten, utan endast i ljuset av amerikansk rätt.
  • Huruvida DPRC uppfyller EU-stadgans krav på rätten till en ”rättvis och offentlig rättegång … inför en oavhängig och opartisk domstol som har inrättats enligt lag”. Detta med tanke på att DPRC i sig självt är en del av justitiedepartementet och därmed den verkställande makten.
  • Huruvida DPRC:s ledamöter får ett tillräckligt skydd för sitt förordnande och mot repressalier. DPRC-bestämmelserna tycks endast ge ett skydd i förhållande till USA:s justitieminister men inte mot presidenten, som ytterst utövar den verkställande makten.
  • Att DPRC:s behörighet inte tycks omfatta alla kränkningar av grundläggande unionsrättsliga rättigheter, eftersom dessa inte alltid verkar anses utgöra s.k. ”covered violations”.
  • Att DPRC-bestämmelserna inte tillförsäkrar individer någon rätt till tillgång till sina personuppgifter, och därmed inte heller möjligheten att utöva rätten till rättelse eller radering på ett effektivt sätt, samt att påtala omständigheter som är nödvändiga för att DPRC ska kunna bedöma en övervakningsåtgärds proportionalitet och laglighet.
  • Att DPRC:s handlingsutrymme vid beslut om åtgärder är kringskuret genom att DPRC måste ta hänsyn till underrättelsetjänsternas synpunkter och arbetssätt, som inte nödvändigtvis grundar sig i vad som är rättsligt påkallat.

Exempel från verkligheten vid amerikansk övervakning

Amerikansk övervakning är kantad av övertramp och bristande rättssäkerhet, såväl historiskt som i närtid.

Här följer ett axplock där några exempel gäller olagligt agerande medan andra exempel visar på vad som helt lagligt fått äga rum.

  • Redan 1975 slog den s.k. Church-kommittén fast att USA:s federala statsmakt under många årtionden ”avsiktligt åsidosatt” rättsliga begränsningar av sin övervakningsverksamhet och ”kränkt amerikanska medborgares konstitutionella rättigheter”.43
  • I oktober 2015 framkom att NSA brutit mot ett övervakningsavtal med sin tyska motsvarighet. Nästan 70 % av de selektorer som Tyskland undersökte, och som NSA ville bedriva övervakning mot, avsåg regeringsorgan i EU-länder. Även europeiska företag var måltavlor.44
  • I februari 2020 förklarade en amerikansk domstol att ett övervakningsprogram som NSA använt för att samla in miljarder uppgifter med samtalstrafik var olagligt. Domstolen kritiserade dessutom amerikanska myndigheters uttalanden om övervakningsprogrammets nytta och effektivitet, uttalanden som domstolen menade inte var förenliga med hemlig dokumentation som domstolen tagit del av. När NSA tillfrågades om de fortfarande stod för sina tidigare uttalanden avböjde NSA att kommentera.45
  • I juli 2020 avslöjades att en amerikansk säkerhetstjänst upprättat underrättelserapporter om journalister.46
  • I en intervju från maj 2021 berättade en tidigare federal domare som tjänstgjorde i Houston mellan år 2004-2018, om hur bemyndiganden för inhemsk övervakning rutinmässigt hölls hemligstämplade. Inte bara under pågående utredningar utan långt efter att fallen avslutats. I hans domstol fanns över 15 år gamla begäran om bemyndiganden som fortfarande var hemligstämplade. Han undersökte saken vidare och fann att om ett fall någon gång hemligstämplats behölls hemligstämpeln i 99 % av fallen för alltid.47
  • I juni 2021 publicerade Microsofts President Brad Smith en debattartikel i Washington Post där han beskrev hur missbruket av hemlig övervakning fortgått under såväl Trump som tidigare presidentadministrationer.48
  • I maj 2023 avslöjades att FBI gjort fler än 278 000 otillbörliga sökningar i en underrättelsedatabas med FISA 702-information.49 En senator som varit ledamot i senatens underrättelsekommitté sedan 2001 krävde förändringar i amerikansk lagstiftning, inte bara uppdateringar av FBI:s interna riktlinjer. Senatorn uttalade därtill att ”Det finns viktig, hemlig information om hur regeringen har tolkat FISA 702 som kongressen och det amerikanska folket måste få ta del av innan lagen förnyas.”50

Exemplen gäller förstås bara sådant som framkommit i offentlighetens ljus. Vi vill understryka att amerikansk underrättelseinhämtning givetvis kan tillföra ett värde när den bedrivs mot verkliga hot. Det vi vänder oss mot är lagstiftningens alltför lösa tyglar, den politiska inblandningen samt bristen på uppriktighet och effektiv tillsyn. Microsofts President Brad Smith satte ord på problematiken i samband med ett mål gällande en brottsutredning för ett antal år sedan:

(…) the U.S. Department of Justice’s attempt to seize foreign customers’ emails from other countries ignores borders, treaties and international law, as well as the laws those countries have in place to protect the privacy of their own citizens. As the French government stated on Monday, it’s a path that creates “a significant risk of conflict of laws.” And as the tech sector appreciates all too well, that’s a conflict that will leave tech companies and consumers caught in the middle.

It’s also a path that will lead to the doorsteps of American homes by putting the privacy of U.S. citizens’ emails at risk. If the U.S. government obtains the power to search and seize foreign citizens’ private communications physically stored in other countries, it will invite other governments to do the same thing. If we ignore other countries’ laws, how can we demand that they respect our laws? That’s part of why public interest groups, such as the Brennan Center for Justice and the Reporters Committee for Freedom of the Press, are watching this case so closely.

The [Department of Justice’s] position also bodes ill for the U.S. economy and American jobs. Right now, U.S. companies are world leaders in providing cloud services. That leadership position is based on trust. But if the U.S. government can assert this type of unilateral power to reach into datacenters that are operated by U.S. companies in other countries, foreign countries and foreign customers will question their ability to trust American companies.51

Som reaktion genomförde den amerikanska kongressen åtgärder som gav uttryckligt lagstöd till den extraterritoriella åtkomst som Microsoft varnade för så kraftigt. Sedan dess har farhågorna om eroderad tillit besannats. Adekvansbeslutet från juli 2023 löser inte problemet med denna extraterritoriella åtkomst. Det betyder att kränkningen av EU:s rättsliga suveränitet består.

Kryptering och liknande åtgärder

Kryptering, pseudonymisering eller s.k. microsharding föreslås ibland som lösning för att hindra amerikanska myndigheter från att komma åt personuppgifter. Vi bedömer emellertid att sådana åtgärder, för att vara tillräckliga, i praktiken måste göra det omöjligt för amerikanska molntjänstleverantörer att lämna ut personuppgifterna.

Den amerikanska underrättelselagstiftningen FISA 702 möjliggör för den amerikanska staten att utfärda direktiv om inhämtning till amerikanska molntjänstleverantörer. En molntjänstleverantör som får ett sådant direktiv ska då omedelbart ge staten all information, utrustning eller bistånd som krävs för att inhämtningen ska kunna genomföras, i hemlighet, och med ett minimum av störningar i molntjänstleverantörens tjänster.52 Molntjänstleverantören ska då också kompenseras för sitt bistånd.53

Hur påverkar detta kryptering som metod för att skydda uppgifter mot åtkomst från amerikanska underrättelsemyndigheter? Vi bedömer att en förutsättning måste vara att molntjänstleverantören inte får ha teknisk möjlighet att kringgå krypteringen eller på annat sätt få åtkomst till uppgifter i klartext. Molntjänstleverantören skulle nämligen kunna tvingas utnyttja en sådan möjlighet, även om det krävde att molntjänstleverantören vidtog betydande åtgärder som att anpassa sin programvara eller tjänsteleverans. Molntjänstleverantörens åtagande enligt FISA 702 är ju mycket omfattande, eller till synes rentav obegränsat; att ge allt bistånd som krävs för att genomföra en inhämtning.

Det bör bland annat innebära att molntjänstleverantören inte får ha teknisk möjlighet att använda sitt eget eller kundens behörighetssystem för att ge sig själv eller tredjelands myndigheter tillgång till personuppgifter, krypteringsfunktioner eller nycklar som kan dekryptera personuppgifter. Det är ofta här som krypteringsupplägg visar sig otillräckliga i denna kontext, när det visar sig att molntjänstleverantören vid något tillfälle:

  • Hanterar data i klartext i molnet.
  • Kan påverka hur krypteringsnycklar skapas eller används.
  • Hanterar kundens krypteringsnyckel i klartext i molnet.
  • Har en egen krypteringsnyckel som hanteras i klartext i molnet.
  • Har tillgång till nyckelhanteringssystemet eller behörighetssystemet som kontrollerar åtkomsten till nyckelhanteringssystemet.

Att uppgifter vid något tillfälle hanteras i klartext i molnet är en vanlig förutsättning för att molntjänster såsom SaaS-lösningar över huvud taget ska fungera. Även om uppgifter är krypterade vid vila (”at rest”) och under transport (”in transit”) kan de alltså behöva dekrypteras när de används (”in use”). Så är normalt sett fallet när uppgifterna ska ändras, används i en beräkning eller visas för en slutanvändare i en webbläsare.

Om all kryptering och dekryptering av uppgifter sker lokalt, och endast krypterade uppgifter hanteras i molnet, blir molnet inte mycket mer än en passiv lagringsyta. Verksamheter förlorar då tillgång till molntjänstleverantörens skalbara beräkningskraft för att bearbeta uppgifterna.

Vi vill vara tydliga med att kryptering är en viktig åtgärd generellt. När en molntjänstleverantör utför molnkryptering vid vila och under transport kan det exempelvis skydda uppgifterna vid cyberattacker eller mot obehöriga insiders. Sådan kryptering innebär emellertid inte att amerikanska molntjänstleverantörer har hindrats från att lämna ut uppgifterna enligt begäranden från amerikanska underrättelsemyndigheter.

Vi har inte sett något fall där en amerikansk molntjänstleverantör visat hur de krypterar uppgifter på ett sätt där kunden är i full kontroll, och där molntjänstleverantören inte har teknisk möjlighet att dekryptera uppgifterna, utan att kunden också berörs av en eller flera av följande:

  • Krypteringen omfattar endast en delmängd av de uppgifter som behöver hanteras i molnet.
  • Reducerad prestanda och funktionalitet eftersom det blir svårt eller omöjligt att bearbeta information i molnet samt söka efter, dela och samarbeta kring information.
  • Högre licenskostnader.
  • Administrativ börda för att hantera krypteringen, samt tillhörande säkerhetsrisker där en nyckel måste skyddas mot obehörig åtkomst samt att all krypterad information går förlorad om nyckeln går förlorad. Hanteras nyckeln hos en tredje part krävs tillit till att denne skyddar nyckeln tillräckligt väl mot obehörig åtkomst samt inte förlorar nyckeln. Det gör att mycket står på spel.
  • Ökade krav på medarbetare gällande i vilka system och digitala verktyg de får hantera information, krav som är svåra att upprätthålla fullt ut.

Inte ens en stor molntjänstleverantörs lösning för dubbelnyckelkryptering (DKE) visade sig ge BSI, den tyska federala myndigheten för informationssäkerhet, tillräckliga garantier. Genom att använda två nycklar, varav den ena alltid finns kvar hos kunden, är DKE avsett att förhindra dataläckage i särskilt säkrade miljöer. Men efter en särskilt allvarlig incident hos molntjänstleverantören fick BSI så otydliga besked att BSI inte kunde bedöma om hotaktören ändå hade kommit åt data i klartext. ”Inte ens efter upprepade förfrågningar och hot om rättsliga åtgärder lämnade Microsoft den begärda informationen. Därför använder BSI nu de rättsliga instrument som står till dess förfogande, förklarar en talesperson för BSI”, rapporterar Heise Security.

Därtill behöver beaktas att nuvarande krypteringsalgoritmer och deras implementering kan visa sig sårbara i framtiden, exempelvis med hänsyn till forskning inom kryptering, att processorkraft blir billigare samt nya teknologiska paradigm såsom kvantteknik.

Utmaningarna med pseudonymisering, eller att dela upp data i mindre delar (s.k. microsharding), är i stort sett de samma som vid kryptering.

Vi hävdar inte att kryptering, pseudonymisering eller andra tekniker omöjligen kan hindra åtkomst från amerikanska underrättelsetjänster. Vi frågar oss emellertid varför en verksamhet skulle vilja ta risken att dessa åtgärder inte räcker till rättsligt eller i realiteten samtidigt som verksamheten måste dras med högre kostnader och praktiska begränsningar.

Vi tror att rättsligt hållbara samt lämpliga molntjänster, där uppgifter krypteras men också hanteras i klartext när och där det behövs, ger störst värde för pengarna och mest innovation. Vi menar därför att molntjänster med verklig datasuveränitet, utan exponering mot amerikansk lagstiftning, fortsatt är det mest attraktiva alternativet.

Källor

  1. Det amerikanska handelsdepartementet publicerar listan på en särskild webbplats. ↩︎
  2. EU-kommissionens adekvansbeslut anger i skäl 8 att ”This Decision has the effect that personal data transfers from controllers and processors in the Union to certified organisations in the United States may take place without the need to obtain any further authorisation.” (Cleuras understrykning, fotnot utelämnad). På Integritetsskyddsmyndighetens webbplats framgår också att mottagaren måste omfattas av ”EU-US Data Privacy Framework”. ↩︎
  3. Artikel 52.1 EU-stadgan, C-311/18 Schrems II p. 175-176. ↩︎
  4. C-311/18 Schrems II p. 176-180. ↩︎
  5. Ibid., p. 175-176. ↩︎
  6. C-252/21 Meta Platforms mot Bundeskartellamt p. 124. ↩︎
  7. I flera andra språkversioner av GDPR används begrepp med en annan betydelse än ”genomföras”. Innebörden är snarare att besluten inte ens får bli verkställbara. Se t.ex. följande språkversioner: engelska (”enforceable”), tyska (”vollstreckbar werden”), franska (”rendue exécutoire”) och italienska (”assumere qualsivoglia carattere esecutivo”). ↩︎
  8. Vad gäller artikel 49, se även EDPB-EDPS Joint Response to the LIBE Committee on the impact of the US Cloud Act on the European legal framework for personal data protection, s. 6 f. ↩︎
  9. ”We also need a new generation of international agreements that define when and how governments will seek data stored within other countries’ borders, starting with our European allies.”, från hans debattartikel i Washington Post, The Secret Gag Orders Must Stop. EU och USA har exempelvis inlett förhandlingar om effektivare åtkomst till e-bevisning. Vad gäller underrättelseinhämtning, vilket Schrems-domarna handlar om, är det emellertid tyst. ↩︎
  10. Beroende på molntjänstens art skulle metadata kunna omfatta information om vid vilka tidpunkter en person har använt en tjänst, från vilka ungefärliga platser (genom ip-adressen), med vem kommunikation har skett och hur ofta, etc. Det är alltså mer än bara informationsinnehåll, eller content data som det ibland kallas på engelska, som kan vara känsligt. EU-domstolen har i ett mål om krav på datalagring hos telekomoperatörer noterat att “trafik- och lokaliseringsuppgifter kan avslöja information om ett stort antal aspekter av de berörda personernas privatliv, inbegripet känslig information, såsom sexuell läggning, politisk åskådning, religiös, filosofisk eller annan övertygelse, samhällsåskådning samt hälsotillstånd, med hänsyn till att sådana uppgifter dessutom omfattas av ett särskilt skydd enligt unionsrätten. Dessa uppgifter kan sammantagna göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats, såsom deras vanor i vardagslivet, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflyttningar och förflyttningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i. I synnerhet gör dessa uppgifter det möjligt att kartlägga de berörda personerna på ett sätt som är lika känsligt med avseende på rätten till respekt för privatlivet som själva innehållet i kommunikationerna (Förenade målen C‑511/18, C‑512/18 och C‑520/18 La Quadrature du Net, p. 117, Cleuras understrykning). ↩︎
  11. Däremot skulle statistik från ett tredjeland vars lagstiftning faktiskt når upp till unionsrättens skyddsnivå kunna bekräfta bilden av att lagstiftningen efterlevs i praktiken. ↩︎
  12. C-311/18 Schrems II p. 126, “Även om det således finns situationer där mottagaren av en sådan överföring, beroende på rättsläget och gällande praxis i det berörda tredjelandet, kan garantera det nödvändiga skyddet av uppgifter enbart med stöd av de standardiserade dataskyddsbestämmelserna, finns det andra situationer i vilka bestämmelserna i dessa klausuler inte kan vara ett tillräckligt medel för att i praktiken säkerställa ett effektivt skydd av de personuppgifter som överförs till det berörda tredjelandet. Så är bland annat fallet när lagstiftningen i det tredjelandet tillåter att myndigheterna i detta tredjeland gör ingrepp i de registrerade personernas rättigheter avseende dessa uppgifter.“ (Cleuras understrykning). Jfr även mål C-293/12 Digital Rights Ireland där EU-domstolen ogiltigförklarade datalagringsdirektivet i sin helhet trots att det kan förmodas att en mycket liten andel av de lagrade uppgifterna någonsin skulle komma att lämnas ut. Det målet gällde behandling och utlämnanden till myndigheter i EU. ↩︎
  13. C-311/18 Schrems II p. 135, “Om den personuppgiftsansvarige eller personuppgiftsbiträdet som är etablerade i unionen inte kan vidta ytterligare åtgärder som är tillräckliga för att säkerställa ett sådant skydd, är dessa eller, i andra hand, den behöriga tillsynsmyndigheten, skyldiga att avbryta eller upphöra med överföringen av personuppgifter till det berörda tredjelandet. Så är bland annat fallet när lagstiftningen i det tredjelandet ålägger mottagaren av en överföring av personuppgifter från unionen skyldigheter som strider mot nämnda klausuler, vilket följaktligen kan äventyra den avtalsenliga garantin om adekvat skydd mot att offentliga myndigheter i det berörda tredjelandet får åtkomst till dessa uppgifter.“ (Cleuras understrykning). ↩︎
  14. I fallet med tredjelandsöverföringen (C-311/18 Schrems II) var det således tillräckligt att de rättsliga skyldigheterna i sig stred mot standardavtalsklausulerna. När personuppgifter behandlas inom EU framstår det som rimligt att det räcker att de rättsliga skyldigheterna strider mot EU-stadgan eller GDPR, eftersom dessa kommer att gälla istället för standardavtalsklausulerna. Relevanta skyldigheter enligt GDPR diskuteras i avsnittet När personuppgiftsbiträdet får avvika från sina instruktioner. ↩︎
  15. C-311/18 Schrems II p. 171. I den svenska språkversionen anges att det har föga betydelse om uppgifterna är av känslig art eller om personer drabbas av någon olägenhet, men i flera andra språkversioner är innebörden i stället oavsett. Se t.ex. engelska (”irrespective”), tyska (”es nicht darauf ankommt”), franska (”indépendamment”) och italienska (”indipendentemente”). ↩︎
  16. Förenade målen C-293/12 och C-594/12 Digital Rights Ireland. ↩︎
  17. Ibid, p. 37. ↩︎
  18. Se exempelvis The Biden Administration’s SIGINT Executive Order, Part I: New Rules Leave Door Open to Bulk Surveillance och Part II: Redress for Unlawful Surveillance. ↩︎
  19. Executive Order 14086 On Enhancing Safeguards For United States Signals Intelligence Activities, även tillgänglig i strukturerad form på noybs webbplats. ↩︎
  20. C-311/18 Schrems II p. 176. ↩︎
  21. C-311/18 Schrems II p. 175-176. ↩︎
  22. C-311/18 Schrems II p. 184. ↩︎
  23. § 201.10 DPRC-bestämmelserna. ↩︎
  24. US Department of Justice, Data Protection Review Court Final Rule. ↩︎
  25. C-311/18 Schrems II p. 197. ↩︎
  26. ”The DPRC will be established within the Department of Justice”, s. 3 DPRC-bestämmelserna. ↩︎
  27. § 201.7 (d) DPRC-bestämmelserna. ↩︎
  28. C-311/18 Schrems II p. 195. ↩︎
  29. § 201.2 DPRC-bestämmelserna, som pekar på definitionen av ”covered violation” i EO 14086, se sektion 4(d). ↩︎
  30. Vi förmodar att det i så fall redan hade varit känt med tanke på att resursstarka aktörer på olika sätt har belyst amerikansk rätt under de rättsprocesser som ledde fram till Schrems II-domen. ↩︎
  31. § 201.10 DPRC-bestämmelserna. ↩︎
  32. Vi berör tredjepartsdoktrinen och mer i rapporten Amerikansk vs europeisk övervakning: Analys av skillnader i rättighetsskyddet vid användning av molntjänster. ↩︎
  33. C-311/18 Schrems II p. 187. ↩︎
  34. FOIA.gov FAQ, frågan “What are exclusions?” ↩︎
  35. C-311/18 Schrems II p. 45, i citaten av skäl 115-116. ↩︎
  36. C-311/18 Schrems II p. 181. ↩︎
  37. § 201.9 (h) DPRC-bestämmelserna, Cleuras översättning. ↩︎
  38. § 201.11 (b) DPRC-bestämmelserna, Cleuras översättning. ↩︎
  39. C-487/21 Österreichische Datenschutzbehörde, p. 34-35. ↩︎
  40. EU-domstolen uttalade i de förenade målen C-584/10 P, C-593/10 P och C-595/10 P Kadi, p. 102, 125 och 126 att sekretess för information inte kunde göras gällande mot unionens domstolar, eftersom en granskning av relevant information behövdes för att kunna säkerställa rätten till ett effektivt domstolsskydd: ”Ett påstående om kränkning av rätten till försvar och rätten till ett effektivt domstolsskydd måste dessutom prövas mot bakgrund av de specifika omständigheterna i varje enskilt fall … Det är riktigt att det finns tvingande hänsyn som rör unionens eller dess medlemsstaters säkerhet eller deras internationella relationer som kan utgöra hinder för att lämna ut vissa uppgifter eller viss bevisning till den berörda personen. I sådana fall ankommer det dock på unionsdomstolen, mot vilken det inte kan göras gällande att uppgifterna eller bevisen är sekretessbelagda eller hemliga, att inom ramen för sin domstolsprövning, använda sig av metoder som gör det möjligt att förena berättigade säkerhetshänsyn … med nödvändigheten av att i tillräcklig utsträckning säkerställa den enskildes processuella rättigheter, såsom rätten att yttra sig och principen om ett kontradiktoriskt förfarande … Domstolen ska härvid med beaktande av samtliga rättsliga och faktiska omständigheter som åberopats av den behöriga unionsmyndigheten, pröva om det finns stöd för de skäl för att motsätta sig en sådan utlämning som myndigheten har anfört” (Cleuras understrykning) ↩︎
  41. FBI v Fazaga, Reynolds, on the other hand, expressly states that examination of the evidence at issue, ‘even by the judge alone, in chambers,’ should not be required if the Government shows ‘a reasonable danger that compulsion of the evidence’ will expose information that ‘should not be divulged’ in ‘the interest of national security.’ … Thus, the state secrets privilege … may sometimes preclude even in camera, ex parte review of the relevant evidence.” För ytterlige ett perspektiv på state secrets privilege, se denna debattartikel i Aktuell säkerhet, State Secrets Privilege – Ett förbisett hinder mot tredjelandsöverföring av personuppgifter till USA? ↩︎
  42. § 201.9 (f) DPRC-bestämmelserna, Cleuras översättning. ↩︎
  43. Slutrapport från Church-kommittén, s. 137 (s. 153 i PDF-dokumentet). ↩︎
  44. Spiegel, Sonderermittler spricht von klarem Vertragsbruch der NSA. ↩︎
  45. TechCrunch, NSA call records collection ruled illegal by US appeals court. ↩︎
  46. The Washington Post, DHS compiled ‘intelligence reports’ on journalists who published leaked documents och Lawfare, What If J. Edgar Hoover Had Been a Moron?. ↩︎
  47. The Markup, Fighting Government Secrecy About Surveillance. ↩︎
  48. The Washington Post, The Secret Gag Orders Must Stop. ↩︎
  49. The Wall Street Journal, FBI Searched Jan. 6 Rioters and George Floyd Demonstrators in Spy Database och The Register, FBI abused spy law but only like 280,000 times in a year. The Register rapporterar vidare att det bland de övervakade fanns en amerikansk senator, en delstatssenator och en domare på delstatsnivå. ↩︎
  50. U.S. Senator Ron Wyden, Wyden Calls for Reforms to FISA Surveillance Following Disclosure of New Abuses. ↩︎
  51. Microsoft, Something extraordinary happened in Washington, D.C. ↩︎
  52. 50 U.S.C. § 1881a(i)(1), “immediately provide the Government with all information, facilities, or assistance necessary to accomplish the acquisition in a manner that will protect the secrecy of the acquisition and produce a minimum of interference with the services“. ↩︎
  53. 50 U.S.C. § 1881a(i)(2), “The Government shall compensate, at the prevailing rate, an electronic communication service provider for providing information, facilities, or assistance in accordance with a directive issued pursuant to paragraph (1).“ ↩︎

Har du frågor om molntjänster och digitalisering?

Vi kan hjälpa din organisation att genomföra digitaliseringsresan på ett lagligt och hållbart sett.

Vi behandlar dina personuppgifter i enlighet med vårt integritetsmeddelande.