Djupdykning: Hur man ignorerar EU-domstolens beslut i tre steg. Facebooks konsekvensbedömning av överföringen förklarad.
För integritetsnördar som vill veta mer än vad vi har sammanfattat i vår 4:e adventsläsning, ger vi på denna sida en djupdykning i de fyra delarna av Facebooks "Transfer Impact Assessment" (TIA).
Vårt förhållningssätt till dessa upplysningar. För att undvika dyra "SLAPP"-stämningar är vissa delar inte tillgängliga i vissa jurisdiktioner och vi har beslutat att sammanfatta dokumenten i en video istället för att publicera dem direkt. I de fall där innehållet i dokumentet är mer relevant förklarar vi det mer ingående och citerar delar av det. Det finns en video per dokument. Du kan läsa detaljerna om varför vi kan använda detta dokument lagligt längst ner på sidan.
Dokument 1: Översiktligt dokument
Outline-dokumentet hänvisar i princip till de tre andra dokumenten, som diskuteras nedan. Det är på 7 sidor och är något intressant, eftersom det verkar vara en "sammanfattning" av de andra dokumenten och ger en översikt. Den viktigaste delen av TIA är helt klart "likvärdighetsbedömningen", där Facebook helt ignorerar EU-domstolens domar och kommer fram till att EU:s och USA:s lagstiftning är "likvärdig". De andra två dokumenten presenteras endast som ytterligare resurser. "Factors Assessment" beskriver främst att uppgifter skickas till USA och vilka uppgifter det rör sig om, samt det faktum att den amerikanska regeringen har tillgång till uppgifterna enligt FISA 702. "Record of Safeguards" innehåller också de påstådda "kompletterande åtgärderna", även om ingen åtgärd tydligt tar upp USA:s övervakningslagar eller EU-domstolens dom. I slutändan är det bara en lista över standardpraxis inom branschen.
Sammanfattningsvis är argumentet att EU:s och USA:s lagstiftning är "likvärdig" ryggraden och den enda pelaren i Facebooks strategi.
Dokument 2: Likvärdighetsbedömning av amerikanska lagar
"Equivalence Assessement" ("EA") är ett 58 sidor långt dokument som uttryckligen har godkänts av Facebooks advokatbyråer Mason Hayes & Curran LLP och Perkins Coie LLP (punkt 1.4 i EA). Dokumentet sammanfattas bäst med Facebooks egna ord (sidan 7 i dokumentet Outline):
För att komma fram till detta resultat hävdar Facebook att EU-domstolen inte hade alla relevanta fakta för att nå sin slutsats, trots att Facebook lämnade in cirka 45 000 sidor i förfarandet. Facebook hävdar vidare att EU-domstolen endast underkände Europeiska kommissionens bedömning i "Privacy Shield", men inte i detalj behandlade Facebooks bedömning. Enligt Facebooks uppfattning skulle EU-domstolen därför aldrig ha beslutat om Facebooks överföringar enligt standardavtalsklausulerna. Detta är faktiskt felaktigt, eftersom EU-domstolen i punkt 168 i domen har angett att den förlitade sig på den irländska High Courts farhågor och kommissionens Privacy Shield. Facebook och den amerikanska regeringen lämnade in omfattande inlagor i dessa frågor till EU-domstolen. EU-domstolen slog dock fast att den amerikanska lagstiftningen inte bara inte är "likvärdig" utan även strider mot artiklarna 7, 8 och 47 i stadgan om de grundläggande rättigheterna.
Facebook nedvärderar EU-rätten ytterligare genom att huvudsakligen blanda ihop domar från Europeiska domstolen för de mänskliga rättigheterna (Europadomstolen) i Strasbourg (en del av Europarådet med 47 medlemsstater, inklusive Turkiet och Ryssland) enligt den låga standarden i artiklarna 6 och 8 i Europakonventionen om de mänskliga rättigheterna (Europakonventionen) med domar från Europeiska unionens domstol (EU-domstolen) och dess mycket högre standard enligt Europeiska unionens stadga om de grundläggande rättigheterna (CFR).
I motsats till förhållningssättet till EU-lagstiftningen "förstorar" Facebook skyddet enligt amerikansk lagstiftning, som Facebook redan har fört fram otaliga gånger inför den irländska högsta domstolen och EG-domstolen i "Schrems II"-tvisten. De har alla avvisats. Ändå förlitar sig Facebook på dessa faktorer ännu en gång för att nå sin slutsats att amerikansk rätt skulle ge skydd till personer utanför USA.
Denna kombination av att helt underkänna EU-domstolens avgörande, bortse från EU-lagstiftningen och förstora den amerikanska lagstiftningen rättfärdigar på något sätt olagliga dataöverföringar mellan EU och USA.
Dokument 3: Bedömning av faktorer
I den 7-sidiga"Factor Assessment" argumenterar Facebook egentligen inte för att vissa faktorer på något sätt begränsar effekterna av dataöverföringar mellan EU och USA.
I stället förklaras i inledningen att Facebook under "likvärdighetsbedömningen" drar slutsatsen att EU-rätten och USA-rätten är likvärdiga (i motsats till EU-domstolens domar). Facebook menar därför att faktorbedömningen snarare är en beskrivning "från fall till fall" av deras överföringar mellan EU och USA, än faktiska faktorer som begränsar övervakningen.
De begränsade faktorer som skulle peka på ett mindre intrång i EU:s grundläggande rättigheter enligt Facebooks uppfattning är t.ex. antalet förfrågningar från den amerikanska regeringen enligt Facebooks egen öppenhetsrapport. De övriga "faktorerna" beskriver helt enkelt fakta som att mottagaren är Facebook Inc. eller att Facebook Inc. faktiskt tar emot FISA-förfrågningar från den amerikanska regeringen (sidan 7 i "Factor Assessment"):
Det är oklart hur dessa "faktorer" kan bidra till att göra en överföring laglig. Faktum är att Facebook egentligen inte verkar förlita sig på dessa "faktorer" för att motivera att överföringen skulle vara laglig, utan snarare utformat dokumentet som en ren faktabeskrivning. Huvudargumentet är fortfarande att EU-domstolen har fel och att EU:s och USA:s lagstiftning i själva verket är likvärdiga.
Dokument 4: Redovisning av skyddsåtgärder, inklusive kompletterande åtgärder
Slutligen genererade Facebook ett dokument på 14 sidor kallat"Record of Safeguards", som huvudsakligen är en lång tabell över "åtgärder", inklusive "organisatoriska åtgärder" samt "tekniska åtgärder". Alla dessa åtgärder är i själva verket grundläggande policyer som krävs enligt artikel 32 i GDPR, t.ex. "hantering av mobila enheter" eller en intern policy om hur man ska reagera på myndigheters förfrågningar.
Intressant nog har Facebook endast 130 personer anställda för att svara på alla myndighetsförfrågningar globalt. Detta skulle innebära att en laglig begäran i genomsnitt kontrolleras i cirka 10-15 minuter. Som en åtgärd för att skydda sig mot falska myndighetsförfrågningar lyfter Facebook främst fram att man kontrollerar om e-postadressen kommer från ett statligt domännamn. Det är oklart om Facebook granskar om en specifik myndighet har rätt att begära ut kontohavares personuppgifter. Ingen av de listade åtgärderna verkar ha någon direkt koppling till amerikanska övervakningslagar.
Det enda element som nämner FISA 702 och EO 12.333 understryker att Facebook använderkrypteringsalgoritmer och protokoll av branschstandard vid överföring, dessa standarder är TLS-kryptering (som vanligt för alla webbplatser) och AES-kryptering (som alla smartphones gör). Facebook medger att inte all data är krypterad, eftersom man nämner att nästan all Facebook-trafik är TLS-krypterad. I själva verket finns det ingen åtgärd som på något sätt skulle skydda mot en order enligt FISA 702 PRISM / DOWNSTREAM (alltså övervakning direkt på Facebook), utan är endast kopplade till "UPSTREAM" (alltså övervakning via Internets ryggrad). Eftersom Facebook innehar alla krypteringsnycklar och kan komma åt all data i klartext, finns det inget sätt att TLS och AES är ett relevant skydd:
Facebook avslutar dokumentet med "proaktiva" åtgärder, som lobbying och bidrag till utvecklingen av amerikansk lagstiftning samt mer information till användarna i FAQ:er.
Vi frågade Alan Butler från epic.org om "Record of Safeguards":
Rättslig grund för publiceringen. Som påpekades i vår första adventsläsning är de fyra noyb-adventsläsningarna i protest mot DPC: s olagliga borttagning av noyb i ett pågående förfarande. Alla dokument tillhandahölls via Schrems klagomålsförfarande, som pågått i 8,5 år hos den irländska DPC.
Enligt ett system som Schrems advokater har skisserat och som DPC har godtagit får Schrems fritt använda handlingar från förfarandet, i de fall där Facebook har en rättslig skyldighet att tillhandahålla dessa handlingar, vilket uppenbarligen är fallet här:
Enligt artikel 5.1 a i GDPR är Facebook skyldigt att vara transparent. Enligt artikel 13.1 f ska Facebook informera användarna om hur de kan få en kopia av de åtgärder som motiverar en internationell överföring och artikel 15.2 i GDPR ger uttryckligen rätt att få en kopia av dem. Faktum är att användarna inte kan bestrida en överföring av uppgifter om de inte informeras om befintliga skyddsåtgärder. Även standardavtalen innehåller liknande bestämmelser, eftersom de ger användarna rätt att genomdriva standardavtalen (klausulerna 3, 8.9 och 14 i standardavtalen). Det verkar som om alla företag som använder Facebook som personuppgiftsbiträde eller gemensamt personuppgiftsansvarig också skulle behöva få tillgång till TIA.
Facebook och den irländska dataskyddsmyndigheten anser dock att GDPR och SCC inte tillåter användare att få en kopia av Facebooks TIA, utan att de endast är tillgängliga för den relevanta tillsynsmyndigheten (i detta fall alltså endast dataskyddsmyndigheten).
Dokumenten innehåller inte ens kommersiellt eller tekniskt känslig information och är inte skyddade enligt någon relevant lag.
