EU-domstolen prövar mål om dataöverföring mellan EU och USA (standardavtalsklausuler och Privacy Shield)

This page has been translated automatically. Read the original or leave us a message if something is not right.
Tue, 09/17/2019 - 09:40
Thumbnail

Ladda ner: Pressmeddelande

På grund av ett antal förfrågningar har vi sammanfattat de viktigaste fakta i målet vid Europeiska unionens domstol (EU-domstolen) om dataöverföringar mellan EU och USA och den amerikanska regeringens massövervakning. Målet kommer att tas upp i morgon (tisdagen den 9 juli kl. 9.00) i domstolens stora kammare.

Vanliga missuppfattningar av målet

  • Handlar målet om alla dataöverföringar mellan EU och USA? Nej, det handlar bara om överföringar till USA som är föremål för "massövervakning". I de flesta situationer finns det enkla sätt att undvika massövervakning och många industrisektorer (t.ex. banker, flygbolag, handel och bankverksamhet) omfattas inte av någon sådan massövervakningslag. Schrems klagomål riktar sig enbart mot Facebook, som i Snowden-dokumentet pekas ut som en aktör som bistår NSA med massövervakning under "PRISM".
  • Gäller det här fallet alla internationella dataöverföringar inom EU? Av parterna i förfarandet är det endast den irländska dataskyddsmyndigheten som anser att "standardavtalsklausulerna" är ogiltiga. Schrems anser att standardavtalsklausulerna (om de tillämpas och verkställs på ett korrekt sätt av dataskyddsmyndigheten) utgör en lämplig lösning. Ingen annan part i det irländska förfarandet än DPC tog upp några frågor om giltigheten.
  • Är alla dataöverföringar till USA problematiska? Nej. Övervakningslagar som FISA 702 gäller endast "leverantörer av elektroniska kommunikationstjänster". I EU-lagstiftningen görs också åtskillnad mellan nödvändiga överföringar (vilket framgår av undantagen) och onödig "outsourcing" av behandlingen. I kombination uppstår problemet främst med molntjänst- och kommunikationsleverantörer som omfattas av övervakningslagar (t.ex. Facebook, Google, Apple, Amazon Web Services), men inte med någon annan industrisektor eller "nödvändiga" dataöverföringar (t.ex. e-post, bokning och liknande).
  • Argumenterar Schrems för att ogiltigförklara standardavtalen? Nej. Schrems hävdar att standardavtalen gör det möjligt för den irländska dataskyddsmyndigheten att stoppa enskilda dataöverföringar, såsom den som Facebook har gjort. Eftersom det finns en uppenbar lösning på problemet finns det enligt hans uppfattning ingen fråga om giltighet.
  • Är "Privacy Shield" på tapeten? Ja, det är det. Facebook har förlitat sig på Europeiska kommissionens bedömning av amerikansk lag i "Privacy Shield" och hävdar att denna bedömning även bör gälla för "Standard Contractual Clauses". Schrems har i sin tur hävdat att kommissionens bedömning är felaktig. Eftersom Privacy Shield bygger på en felaktig tolkning av amerikansk lag bör den ogiltigförklaras.
  • Kommer du fortfarande att kunna skicka e-post till USA eller boka en flygbiljett? Ja, det kommer man. Artikel 49 i GDPR innehåller "undantag" som tillåter alla dataöverföringar om de t.ex. är "nödvändiga för att tillhandahålla ett avtal" eller om användaren uttryckligen har samtyckt till det. Ett exempel: Det är nödvändigt att skicka ett e-postmeddelande till USA om mottagaren befinner sig där, men det är inte nödvändigt att skicka e-postmeddelanden via USA om avsändaren och mottagaren befinner sig i Europa.
  • Vilken typ av överföringar kan då behöva stoppas? I princip "outsourcing" av databehandling som också skulle kunna göras i Europa eller andra länder som tillhandahåller lämpliga dataskyddsstandarder.

Ärendets bakgrund

Fallet har sin grund i ett klagomål från integritetsadvokaten Max Schrems mot Facebook 2013(länk till klagomålet). För mer än sex år sedan avslöjade Edward Snowden att Facebook ger USA:s underrättelsetjänst tillgång till européers personuppgifter inom ramen för övervakningsprogram som "PRISM" (se Wikipedia). Klagomålet syftar till att stoppa Facebooks dataöverföringar mellan EU och USA. Hittills har den irländska dataskyddsmyndigheten inte vidtagit några konkreta åtgärder för att göra detta.

Första avslaget och EU-domstolens dom om Safe Harbor

Ärendet avvisades först av den irländska dataskyddsmyndigheten 2013 och blev sedan föremål för rättslig prövning i Irland och en hänvisning till Europeiska unionens domstol (EU-domstolen). EU-domstolen beslutade 2015 att det s.k. Safe Harbor-avtalet som tillät dataöverföringar mellan EU och USA var ogiltigt(länk till domen i C-362/14) och att den irländska dataskyddsmyndigheten var skyldig att utreda ärendet, vilket den inledningsvis vägrade att göra.

Information om användning av "standardavtalsklausuler"

Överraskande nog informerade DPC Schrems i slutet av 2015 att Facebook i själva verket aldrig hade förlitat sig på det nu ogiltigförklarade "Safe Harbor"-avtalet, utan istället redan 2013 förlitat sig på "Standard Contractual Clauses" (en annan mekanism för att överföra uppgifter från EU till USA). DPC hade underlåtit att upplysa om detta faktum och istället antytt att Safe Harbor hindrade dem från att gå vidare med ärendet. Denna "omväg" gjorde att EU-domstolens första avgörande blev irrelevant för målet.

Andra utredningen och stämningsansökan

Schrems anpassade sitt klagomål till de överföringar som gjordes enligt "standardavtalsklausuler" och krävde även att dataöverföringarna till Facebook USA skulle upphöra, med argumentet att de gör uppgifterna tillgängliga för NSA. Datainspektionens utredning varade bara ett par månader, från december 2015 till våren 2016. Istället för att fatta beslut om klagomålet lämnade DPC in en stämningsansökan mot Facebook och Schrems (båda är nu svarande) till Irish High Court 2016, för att hänskjuta ytterligare frågor till EU-domstolen. Efter mer än sex veckors förhandlingar, som huvudsakligen ägde rum under 2017, fann Irish High Court att den amerikanska regeringen ägnar sig åt "massbehandling" av europeiska personuppgifter och hänsköt elva frågor till EU-domstolen för andra gången(länk till domen) 2018.

Nästa steg

EU-domstolen har listat målet under C-311/18 och kommer att pröva det för andra gången den 9 juli 2019 - cirka sex år efter det att det ursprungliga klagomålet lämnades in. En dom väntas före årets slut. Efter EU-domstolens dom kommer DPC slutligen att behöva ta ställning till klagomålet för första gången. Beslutet kan återigen bli föremål för överklaganden av Facebook eller Schrems.

Parternas huvudargument

  • Den irländska dataskyddskommissionären anser i likhet med Schrems att USA:s övervakningslagar strider mot de grundläggande rättigheterna till privatliv, dataskydd och gottgörelse enligt europeisk rätt. Dataskyddskommissionären säger dock att hon inte har några befogenheter att lösa problemet. Eftersom den mekanism för dataöverföring som Facebook använder (standardavtalsklausuler) inte förutser en sådan situation, måste klausulerna i sig ogiltigförklaras. Detta skulle innebära att dataöverföringar till alla länder utanför EU enligt detta instrument måste stoppas.
  • Facebook anser att amerikansk lagstiftning inte går utöver vad som är lagligt enligt EU-lagstiftningen. Facebook ifrågasätter också om EU har någon jurisdiktion i fall som rör "nationell säkerhet". Sammanfattningsvis ser Facebook inga problem med att fortsätta att överföra uppgifter till USA enligt massövervakningslagar som FISA. Facebook förlitar sig också på EU-kommissionens bedömning av USA:s lagstiftning i det så kallade "Privacy Shield"-beslutet, som säger att USA:s övervakningslagar uppfyller EU:s krav.
  • Schrems håller med DPC om problemet, men föreslår en mer genomtänkt lösning. Lagen (artikel 4 i SCC) tillåter DPC att stoppa enskilda dataöverföringar (som Facebooks). Schrems menar att den irländska dataskyddsmyndigheten har en skyldighet att agera, istället för att skicka tillbaka ärendet till EU-domstolen. När det gäller Facebooks åberopande av "Privacy Shield" anser Schrems att Europeiska kommissionens beslut om Privacy Shield inte på ett adekvat sätt beskriver USA:s övervakningslagar, inte ens på långt när kan ge ett adekvat integritetsskydd och därför måste ogiltigförklaras.
  • Europeiska kommissionen: EU-kommissionen förväntas försvara båda sina beslut: Standardavtalsklausulerna och Privacy Shield. Kommissionen kommer sannolikt att ställa sig på USA:s och Facebooks sida när det gäller uppfattningen att det inte föreligger någon kränkning av grundläggande rättigheter i USA, men också erkänna att DPC har befogenhet att lösa frågan själv om EU-domstolen anser att det föreligger en kränkning av grundläggande rättigheter i USA.

Uttalande av Max Schrems

Max Schrems, ordförande för noyb: "Vi föreslår en väl avvägd lösning: Den irländska DPC måste helt enkelt tillämpa reglerna korrekt, istället för att sparka tillbaka ärendet till Luxemburg om och om igen. Detta ärende har varit anhängigt i sex år. Under dessa sex år har DPC faktiskt fattat beslut i endast 2-3 procent av de ärenden som har tagits upp. Vi har inte problem med "standardavtalsklausuler", vi har problem med verkställigheten."

noyb

noyb är en ny europeisk ideell organisation som driver rätten till privatliv genom rättstvister. Den stöder detta fall och stöds själv av mer än 3 500 donerande medlemmar.

Nyckeltal

Parterna i målet är den irländska dataskyddsmyndigheten, Facebook Ireland Ltd och Max Schrems. Den irländska domstolen har också tillåtit fyra "amicus curiae" (neutrala hjälpare till domstolen) att ansluta sig till målet, nämligen den amerikanska regeringen, Electronic Privacy Information Center (epic.org) och två lobbyorganisationer inom industrin.

Alla EU:s medlemsstater, EU-kommissionen, Europaparlamentet och Europeiska dataskyddsstyrelsen (EDPB) hade möjlighet att lämna in inlagor.

Uploads

Gör integriteten verklig

#Become a member
Vårt arbete möjliggörs av mer än 3.100 stödjande medlemmar - kanske du?

Share