Vi arbetar nu med en fördjupad analys som kommer att publiceras på noyb.eu inom de närmaste dagarna.
Första reaktionen: Exekutiv order om amerikansk övervakning kommer sannolikt inte att uppfylla EU:s lagstiftning
Mer än sex månader efter en "principöverenskommelse" mellan EU och USA har USA:s president Joe Biden undertecknat den efterlängtade exekutiva ordern som är tänkt att respektera EU-domstolens tidigare domar. Detta är tänkt att övervinna begränsningar i dataöverföringar mellan EU och USA. EU-domstolen krävde (1) att USA:s övervakning är proportionerlig i den mening som avses i artikel 52 i stadgan om de grundläggande rättigheterna (CFR) och (2) att det finns tillgång till rättslig prövning, i enlighet med artikel 47 i CFR. Bidens nya exekutiva order verkar misslyckas med båda kraven. Det förekommer kontinuerlig "bulkövervakning" och en "domstol" som inte är en verklig domstol.
Verkställande order. En Executive Order är ett internt direktiv från USA:s president inom den federala regeringen, men inte en lag. Tidigare reglerades frågan av en order från president Obama från 2014, kallad PPD-28. Även om det är bra att se att vår rättstvist nu leder till en reaktion från USA:s president, kommer denna interna presidentorder sannolikt inte att lösa problemet:
Bulkövervakningen fortsätter genom två typer av "proportionalitet". USA framhåller att den nya exekutiva ordern använder EU-rättens ordalydelse ("nödvändig" och"proportionerlig" enligt artikel 52 i CFR) i stället för den tidigare termen"så skräddarsydd som möjligt" som används i avsnitt 1(d) i PPD-28. Detta skulle kunna lösa problemet om USA skulle följa samma tolkning och även tillämpa EU-domstolens proportionalitetstest.
Trots att dessa ord har ändrats finns det dock inget som tyder på att USA:s massövervakning kommer att förändras i praktiken. Så kallad "bulkövervakning" kommer att fortsätta enligt den nya exekutiva ordern (se avsnitt 2 (c)(ii)) och alla uppgifter som skickas till amerikanska leverantörer kommer fortfarande att hamna i program som PRISM eller Upstream, trots att EU-domstolen två gånger har förklarat att USA:s övervakningslagar och praxis inte är"proportionerliga" (enligt den europeiska tolkningen av ordet).
Hur är detta möjligt? Det verkar som om EU och USA enades om att kopiera orden"nödvändig" och"proportionerlig" till den verkställande ordern, men inte om att de skulle ha samma juridiska innebörd. Om de skulle ha samma innebörd skulle USA i grunden behöva begränsa sina massövervakningssystem för att uppfylla EU:s syn på "proportionerlig" övervakning.
Max Schrems, ordförande för noyb.eu:"EU och USA är nu överens om användningen av ordet "proportionerlig", men verkar inte vara överens om innebörden av det. I slutändan kommer EU-domstolens definition att gälla - vilket sannolikt kommer att omintetgöra alla EU-beslut igen. EU-kommissionen blundar återigen för USA:s lagstiftning och tillåter fortsatt övervakning av européer."
"Domstolen" är inte en riktig domstol. Den verkställande ordern är avsedd att också ge möjlighet till prövning. Det kommer nu att finnas ett förfarande i två steg, där det första steget är en tjänsteman under chefen för National Intelligence och det andra steget är en "Data Protection Review Court". Detta kommer dock inte att vara en "domstol" i den normala juridiska betydelsen enligt artikel 47 i stadgan eller den amerikanska konstitutionen, utan ett organ inom den amerikanska regeringens verkställande gren. Det nya systemet är en uppgraderad version av det tidigare "Ombudsperson"-systemet, som redan har underkänts av EU-domstolen. Det förefaller uppenbart att detta verkställande organ inte skulle utgöra en "rättslig prövning" i enlighet med EU-stadgan.
Dom av "domstol" anges redan i den verkställande förordningen. Användarna kommer att behöva ta upp frågor med ett nationellt organ i EU, som i sin tur kommer att ta upp frågan med den amerikanska regeringen. Den amerikanska regeringen kommer varken att bekräfta eller förneka att användaren har övervakats och kommer endast att informera användaren om att det antingen inte har skett någon överträdelse eller att den har åtgärdats (se avsnitt 3(c)(E) i dekretet). Detta gör också möjligheten till överklagande värdelös, eftersom det helt enkelt inte finns något att överklaga, så länge som användaren fick detta gummistämpelsvar. Avsnitt 3(i)(d)(H) går till och med så långt att det anges vad "domstolen" kommer att svara - oavsett dina argument eller ditt fall:"Granskningen har antingen inte identifierat några överträdelser eller så har domstolen för granskning av dataskydd utfärdat ett beslut som kräver lämpliga åtgärder."
Max Schrems, ordförande för noyb.eu:"Vi måste studera förslaget i detalj, men vid första anblicken är det tydligt att denna 'domstol' helt enkelt inte är en domstol. Stadgan har ett tydligt krav på "rättslig prövning" - att bara döpa om ett klagomålsorgan till en "domstol" gör det inte till en verklig domstol. Detaljerna i förfarandet kommer också att vara relevanta för att se om detta kan uppfylla EU-lagstiftningen."
Ytterligare forskning och eventuell utmaning. noyb och dess partners kommer att analysera dokumenten mer detaljerat de kommande dagarna och kommer att utfärda en detaljerad juridisk analys inom de närmaste dagarna och veckorna. Om kommissionens beslut inte är i linje med EU-lagstiftningen och relevanta domar från EU-domstolen kommer noyb sannolikt att väcka ytterligare talan vid EU-domstolen. Under tiden kommer den amerikanska kongressen att behöva godkänna FISA 702 på nytt 2023, vilket kan göra det möjligt för den amerikanska lagstiftaren att genomföra meningsfulla begränsningar som respekterar integritetsrättigheterna för personer utanför USA.
Max Schrems:"Vi kommer att analysera det här paketet i detalj, vilket kommer att ta ett par dagar. Vid en första anblick verkar det som om kärnfrågorna inte har lösts och det kommer att bli en återförvisning till EU-domstolen förr eller senare."
Länder med liknande integritetsskydd kan inte få till ett stabilt avtal? Det verkar inte logiskt att två demokratiska länder som båda är överens om grundläggande rättsprinciper för integritetsskydd sannolikt kommer fram till det tredje bristfälliga avtalet i rad:
Det fjärde tillägget i USA:s konstitution slår fast rätten till privatliv och kräver att det finns sannolika skäl och rättsligt godkännande för all avlyssning. På samma sätt kräver EU-domstolen att övervakningen måste vara riktad och att det måste finnas ett rättsligt godkännande eller en rättslig prövning enligt EU:s stadga om de grundläggande rättigheterna.
Den enda skillnaden verkar vara att medan EU ser integritet som en mänsklig rättighet som gäller för alla människor, gäller det fjärde tillägget endast amerikanska medborgare eller permanent bosatta. Enligt USA:s synsätt har européer ingen rätt till privatliv. FISA 702 utnyttjar denna skillnad i amerikansk lagstiftning och tillåter övervakning som är olaglig enligt det fjärde tillägget - så länge inga amerikaner är måltavlor.
Max Schrems:"Det är fantastiskt att EU och USA faktiskt är överens om att avlyssning kräver sannolika skäl och rättsligt godkännande. USA anser dock att utlänningar inte har rätt till privatliv. Jag tvivlar på att USA har en framtid som världens molnleverantör om personer utanför USA inte har några rättigheter enligt deras lagar. För mig är det motsägelsefullt att Europeiska kommissionen arbetar på ett avtal som accepterar att européer är "andra klassens" medborgare och inte förtjänar samma integritetsrättigheter som amerikanska medborgare."
Amerikanska företag behöver inte följa GDPR. Det som är slående är att EU-kommissionen inte har begärt att de så kallade "Privacy Shield Principles" ska anpassas till GDPR, som gäller sedan 2018. Principerna är i stort sett desamma som de tidigare "Safe Harbor"-principerna, som utarbetades år 2000 och som kommer att fortsätta att användas i det nya ramverket. Detta innebär att amerikanska företag kan fortsätta att behandla europeiska uppgifter utan att följa GDPR. De behöver t.ex. inte ens någon rättslig grund för behandlingen, såsom samtycke. Enligt Privacy Shield behöver amerikanska företag bara erbjuda användarna en möjlighet att välja bort behandlingen. Detta trots att EU-domstolen har betonat att det måste finnas "väsentligen likvärdiga" skyddsåtgärder i USA.
Nästa steg. Nu när USA har utfärdat sin exekutiva order måste Europeiska kommissionen utarbeta ett så kallat "beslut om adekvat skyddsnivå" enligt artikel 45 i GDPR. När utkastet till beslut har utfärdats måste kommissionen höra Europeiska dataskyddsstyrelsen (EDPB), men är inte bunden av dess slutsatser. Dessutom måste EU:s medlemsstater höras och de kan blockera avtalet. Denna process kan ta ett par månader. Även negativa uttalanden från EDPB och medlemsstaterna är dock inte bindande för kommissionen. När beslutet väl har offentliggjorts kan företag förlita sig på det när de skickar uppgifter till USA och användare kan överklaga det via nationella och europeiska domstolar. Detta väntas inte ske förrän våren 2023, även om det ursprungligen var tänkt att ske hösten 2022.
