Dataöverföringsavtal
Dataöverföringsbeslut, eller lämplighetsbeslut, är en sorts mekanism som tillåts i den europeiska dataskyddsrätten, där EU-kommissionen beslutar att ett visst tredjeland (alltså ett land utanför EU) är tillräckligt bra eller säkert för att skicka europeiska personuppgifter till. De mest uppmärksammade dataöverföringsbesluten som kommissionen fattat är sådana där EU-kommissionen anser att USA är en tillräckligt rättssäker destination för europeiska personuppgifter. Anledningen till att det är kontroversiellt att anse USA som tillräckligt rättssäkert för europeiska medborgare är att USA inte utsträcker många av sina rättsliga koncept för grundläggande rättigheter till privatpersoner som inte är amerikanska medborgare.
I den här texten kan du läsa mer om Safe Harbor-beslutet, som EU-domstolen upphävde i det kontroversiella Schrems-målet 2015, samt om det uppföljande Privacy Shield-beslutet, som förhandlades klart våren 2016 men ännu inte prövats av EU-domstolen.
Privacy Shield-beslutet
Privacy Shield är EU-kommissionens och USA:s nya avtal för dataöverföringar mellan1 EU och USA. Förhandlingarna för det nya avtalet äger i skrivande stund (9 februari 2016) fortfarande rum, och vad det nya avtalet kommer att innebära är inte känt.2
Privacy Shield-förhandlingarna kom till stånd för att EU-domstolen upphävde det tidigare så kallade Safe Harbor-avtalet i oktober 2015. EU-domstolen dömde att det tidigare avtalet inte skyddade europeiska medborgare från godtycklig övervakning från myndigheter, och inte innehöll några mekanismer för att överklaga godtycklig övervakning. Vidare hade Safe Harbor-avtalet bristen att det effektivt förhindrade nationella dataskyddsmyndigheter från att granska dataöverföringar, eftersom avtalet var skrivet på ett sådant sätt att myndigheternas tvingades acceptera att dataöverföringarna var okej.
Efter EU-domstolens hävning av Safe Harbor-avtalet fick EU-kommissionen en tidsfrist på tre månader av EU:s Artikel 29-grupp, en samarbetsorganisation för europeiska dataskyddsmyndigheter, innan gruppens medlemmar började upprätthålla dataskyddslagstiftningen gentemot amerikanska företag. EU-kommissionen annonserade 2 februari 2016 att de nått en överenskommelse med sina amerikanska motsvarigheter. Artikel 29-gruppen har sagt3 att de kommer vänta ytterligare en månad med att upprätthålla dataskyddslagstiftningen så att EU-kommissionen kan räta ut de sista frågetecknande, men till exempel franska dataskyddsmyndigheter (CNIL) har lämnat in klagomål mot företaget Facebook för att de inte följer fransk lagstiftning.4
Den österrikiske juriststudenten Max Schrems har menat att förhandlingarna har få utsikter att nå ett tillfredsställande resultat, eftersom EU-domstolen specifikt klagat på hur USA hanterar nationell säkerhet. Den amerikanska förhandlingsparten FCC, som hanterar marknads- och konsumentfrågor i USA, har inga möjligheter att begränsa den amerikanska säkerhetspolitiken. Bryssel-baserade heltidsaktivisten Joe McNamee på European Digital Rights har skrivit att EU-kommissionen, genom att annonsera ett avtal som ännu inte är avslutat, har försatt sig själva i sämsta möjliga förhandlingsposition inför avtalets fullbordande.
Safe Harbor-beslutet
Safe Harbor-beslutet för dataöverföringar var ramavtal om dataöverföringar från EU till USA som slutits mellan EU-kommissionen och amerikanska regeringen. EU-domstolen förklarade den 6 oktober 20155 att avtalen var oförenliga med EU:s stadga för mänskliga rättigheter och EU:s lagstiftning i övrigt. Bland annat ansåg domstolen att EU-kommissionen inte sett till att det fanns tillräckliga rättsmedel för europeiska medborgare att tillgripa när myndigheter i landet datan överförs till missbrukar sitt förtroende. Det finns i dagsläget ytterligare 11 safe harbor-avtal som EU-kommissionen förhandlat med länder och regioner utanför USA, men statusen och giltigheten för dessa avtal är mot bakgrund av EU-domstolens beslut sannolikt osäker.
Det mest kontroversiella safe harbour-avtalet6 var avtalet med USA som var på plats mellan 2000-2015. De sa att företag med huvudkontor i USA får uppskatta huruvida de tycker att de uppfyller kriterierna på dataskydd i Europeiska unionen. Det var den amerikanska myndigheten för handel, FTC, som hade till uppgift att kontrollera att företagen har rätt i sin självuppskattning.
Även SWIFT7 - och PNR8 -avtalen är dataöverföringsavtal, där vissa typer av uppgifter om europeiska medborgare anses nödvändiga att överföra mellan EU och USA. Hösten 2015 har EU-kommissionen presenterat ett nytt förslag på ett mer omfattande dataöverföringsavtal för samarbete mellan polismyndigheter9. Det nya avtalet täcker inte bara bankuppgifter och passageraruppgifter, utan alla sorters personuppgifter.
Efter Snowden-avslöjandena har det i ännu större utsträckning än tidigare ifrågasatts om “safe harbour” verkligen är “safe”. Det är uppenbart att europeiska privatpersoner inte åtnjuter något skydd under amerikanska lagar, eftersom USA:s konstitution bara skyddar amerikanska medborgare. Det gör att USA kan övervaka alla europeiska medborgare när de vill, utan någon misstanke om brott. Det europeiska rättssystemet, å andra sidan, försöker ge alla samma rättigheter hela tiden, oavsett var de är medborgare.
Safe Harbor innan oktober 2015
Europaparlamentet krävde efter Snowden-avslöjandena att safe harbour-avtalen rivs upp och förhandlas om. EU-kommissionen var inte villiga att gå så långt, och försökte istället förhandla fram nya avtal med USA. Hösten 2015 har de förhandlingarna inte rört sig nämnvärt. Den österrikiske juridikstudenten Max Schrems lyckades dock 2014 få safe harbour-avtalen vidareskickade till EU-domstolen av en irländsk domstol10.
Max Schrems rättsfall rör att han, när han gick med på Facebook, inte fick information eller hade möjlighet att värja sig emot att hans personuppgifter delades med amerikansk underrättelsetjänst och polismyndigheter trots att han inte är misstänkt för något. Den irländska dataskyddsmyndigheten ville inte utreda fallet. När Max Schrems överklagade dataskyddsmyndighetens vägran att inleda vidare undersökningar till domstol svarade den irländska domstolen att den här sortens dataöverföringar är olagliga under irländsk rätt, men att domstolen var osäker på om safe harbour-avtalen från EU överträffar den irländska lagen och därför undantar dataskyddsmyndigheten från utredningsplikt, trots överföringarnas olaglighet.
EU-domstolen har bedömt att den irlänska datainspektionen hade en skyldighet att utreda Max Schrems misstankar, och att den irländska datainspektionen inte kan hänvisa till ett avtal som EU-kommissionen slutit för att undvika den skyldigheten. EU-domstolen bedömde också att Safe Harbour-avtalen som sådana inte var tillräckliga för att ge europeiska medborgare ett tillräckligt skydd mot kränkning av deras privatliv och rätt till dataskydd.
- Washington Post, Here’s why the activist who started the Safe Harbor fight thinks that negotiations won’t work ↩
- EDRi, What’s behind the shield? Unspinning the “privacy shield” spin ↩
- http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160203_statement_consequences_schrems_judgement_en.pdf ↩
- CNIL, The French data protection authority publicly issues formal notice to FACEBOOK to comply with the French Data Protection Act within three months ↩
- EU-domstolens domslut i mål C-362/14, Maximilian Schrems mot Data Protection Commissioner ↩
- En uppmärksammad studie från Galexia 2008 kom fram till att bara 54 av fler än 1500 företag som anmält sig som “självcertifierade” enligt safe harbour-avtalet faktiskt uppfyllde minimikraven för samtliga datakategorier. ↩
- SWIFT-avtalet är ett avtal om överföring av bankuppgifter (kontoinnehavare, transaktionsdata) mellan polismyndigheter. ↩
- PNR står för “Passenger Name Records”. ↩
- Se EU-kommissionens pressrelease om det nya “Paraplyavtalet”. ↩
- Man kan följa Max Schrems samtliga försök att få Facebook att följa privatlivslagar i EU på hemsidan Europe-v-Facebook: http://www.europe-v-facebook.org/EN/en.html ↩