Öppet brev om framtiden för dataöverföringar mellan EU och USA

Öppet brev om framtiden för dataöverföringar mellan EU och USA

Även om många detaljer fortfarande är oklara har allt fler detaljer om det planerade avtalet om dataöverföring mellan EU och USA framkommit. Dessa detaljer verkar väcka fler frågor om stabiliteten i ett eventuellt nytt avtal om adekvat skyddsnivå från Europeiska kommissionen. Mot bakgrund av denna oroande utveckling har den ledande käranden i målen "Schrems I" och "Schrems II" skickat följande öppna brev (PDF) till berörda intressenter:

Kära kommissionär Didier Reynders,
Kära sekreterare Gina Raimondo,
Kära Pauline Dubarry,
Kära EDPB-ordförande Andrea Jelinek,
Kära LIBE:s ordförande Juan Fernando López Aguilar,

Vi noterar tillkännagivandet av en principöverenskommelse om ett nytt transatlantiskt ramverk för datasekretess. Vi förstår att den framtida "principöverenskommelsen" huvudsakligen bygger på en politisk överenskommelse mellan kommissionens ordförande Ursula von der Leyen och USA:s president Joe Biden, men inte är ett resultat av väsentliga ändringar i USA:s lagstiftning till följd av EU-domstolens dom. Detta tillvägagångssätt verkar vara en upprepning av "Privacy Shield"-avtalet och är djupt oroande.

Vi är medvetna om att tillkännagivandet endast innehåller grova idéer och rubriker, men att den slutliga texten fortfarande måste förhandlas fram. Följande preliminära iakttagelser baseras därför på det begränsade politiska tillkännagivandet och ytterligare detaljer som informellt delades med intressenter i olika offentliga eller halvoffentliga format av EU och USA.

Baserat på dessa uttalanden förstår vi att USA har avvisat alla väsentliga skydd för personer som inte är medborgare i USA och fortsätter att diskriminera personer som inte är medborgare i USA genom att vägra grundläggande skydd, såsom rättsligt godkännande av individuella övervakningsåtgärder.

Vi förstår att den tänkta överenskommelsen till stor del kommer att förlita sig på amerikanska exekutiva order. Efter att ha arbetat med denna fråga tillsammans med amerikanska övervakningsexperter och jurister verkar sådana exekutiva order vara strukturellt otillräckliga för att uppfylla EU-domstolens krav.

Baserat på de kända hörnstenarna varnar vi förhandlarna på båda sidor av Atlanten, EU:s ministerråd, Europeiska dataskyddsstyrelsen och Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor för att det aviserade ramverket riskerar att gå samma öde till mötes som sina två föregångare i EU-domstolen om inte betydande (lagstiftnings)reformer genomförs i USA.

Vi uppmanar förhandlarna att fortsätta arbeta för en långsiktig, integritetsbevarande lösning för transatlantiska flöden för att undvika ett "Schrems III"-beslut. Det nuvarande tillvägagångssättet kan leda till ytterligare rättslig osäkerhet för medborgare och företag under många år framöver - en rädsla som också uttrycktes av branschföreträdare som en reaktion på "principöverenskommelsen".

Vi är fullt medvetna om att detta är allt annat än en lätt uppgift, men investeringen i att göra rätt skulle inte bara säkerställa att denna fråga löses på lång sikt, utan också gynna medborgarna och ekonomin på båda sidor.

För att nå detta mål lägger vi fram följande mer detaljerade iakttagelser och rekommendationer:

(1) Tillämpa ett korrekt proportionalitetstest på amerikansk övervakningslagstiftning enligt artikel 8 i CFR

Vi har förstått att de amerikanska förhandlarna inte planerar att försöka få till stånd ändringar i den amerikanska lagstiftningen om materiell övervakning, utan i huvudsak planerar att ersätta Presidential Policy Directive 28 (PPD-28) om signalspaningsverksamhet med en ny exekutiv order som skulle innehålla orden "nödvändig och proportionerlig".

Det verkar som om EU-kommissionen vill komma fram till att dessa ord i en amerikansk exekutiv order ska ses som likvärdiga med EU:s proportionalitetstest i artikel 52 i Charter om de grundläggande rättigheterna (CFR).

Det är dock svårt att se hur befintlig amerikansk övervakning kan vara "nödvändig och proportionerlig" enligt EU-rätten om EU-domstolen uttryckligen har funnit motsatsen i två domar.

Detta synsätt förefaller vara otillräckligt av åtminstone följande skäl:

• IEU-domstolens båda domar ("Schrems I" och "Schrems II") har domstolen tydligt slagit fast att USA:s lagar och praxis på övervakningsområdet strider mot artiklarna 7, 8 och 47 i stadgan om de grundläggande rättigheterna. EU-domstolen har till och med uttryckligen funnit att dessa lagar och metoder inte är "nödvändiga och proportionerliga".
• I "Schrems II"-avgörandet beaktades PPD28 (som var det relevanta verkställande direktivet vid den tidpunkten). Som EU-kommissionen och USA:s regering har hävdat inför EU-domstolen innehåller PPD-28 redan formuleringen "så skräddarsyddsommöjligt", vilket kommissionen har tolkat som likvärdigt med proportionalitet enligt artikel 52 CFR. EU-domstolen har avvisat denna idé. Vi kan inte se hur lagar och praxis som EU-domstolen uttryckligen har funnit inte vara "nödvändiga och proportionerliga" plötsligt skulle kunna övertyga EU-domstolen om de ometiketteras till "nödvändiga och proportionerliga" istället för "så skräddarsyddasommöjligt".
• Vi förstår att även om USA kan komma att använda dessa ord har landet inte gått med på att begränsa övervakningen av registrerade som inte är amerikanska medborgare på något väsentligt sätt. USA har särskilt inte meddelat någon avsikt att begränsa eller revidera den övervakning som bedrivs enligt de lagar och program (FISA 702, EO 12 333, "PRISM" och "Upstream") som EU-domstolen särskilt nämner i sitt avgörande. USA har inte heller indikerat att man kommer att genomföra några förändringar för att få slut på sin bulkövervakning . Övervakningsprogrammen verkar fortsätta som de gör. EU-domstolen har gjort en proportionalitetsbedömning enligt artikel 52 i CFR och kommit fram till att USA:s övervakningspraxis inte klarade denna bedömning. Om USA skulle integrera begreppet"nödvändighet och proportionalitet" skulle det innebära att man stoppar eller kraftigt begränsar dessa övervakningsmetoder. Förhandlarna är tydliga med att detta inte är avsikten.
• Förhandlarna verkar därför bara kopiera orden i CFR och EU-domstolens rättspraxis till en amerikansk exekutiv order, men kommer sannolikt att tillämpa en annan innebörd än EU-domstolen, eftersom detta annars skulle behöva leda till ett stopp för Upstream- och Downstream-programmen (tidigare "PRISM") enligt avsnitt 702 i Foreign Intelligence Surveillance Act (FISA) och ett slut på bulkövervakning enligt Executive Order 12 333.
• Vi är vidare oroade över att exekutiva order normalt inte ger tredje part rättigheter. Det verkar som att även om ett "nödvändigt och proportionerligt" test i linje med artikel 52 CFR skulle genomföras i en exekutiv order, kan det hända att en registrerad inte kan genomdriva sådana begränsningar i domstol.

Sammanfattningsvis verkar detta tillvägagångssätt endast uppfylla båda sidors politiska, diplomatiska och PR-krav, men verkar bortse från det faktum att EU-domstolen redan har konstaterat att USA:s övervakning inte är "nödvändig och proportionerlig" och att USA kommer att fortsätta med dessa metoder.

(2) Skapa meningsfull rättslig prövning enligt artikel 47 CFR

Vi förstår att de amerikanska förhandlarna inte planerar att ändra amerikansk lag för att skapa möjligheter till rättslig prövning för registrerade i EU.

I stället bör den amerikanska regeringen inrätta ett nytt "organ" inom den verkställande makten (liknande den tidigare "ombudsmannen", men under generaladvokatens överinseende) som ska hantera potentiella överträdelser av amerikansk lagstiftning och verkställande order. Detta organ, som kallas "Data Protection Review Court", kommer - i motsats till vad namnet antyder - inte att vara en "domstol" utan ett verkställande organ. Det kommer att vara en del av den verkställande makten, med begränsad självständighet.

Vi förstår att registrerade personer i EU inte kommer att kunna få tillgång till information om eventuella övervakningsoperationer som rör dem under förfarandet och att de inte kommer att kunna överklaga beslut från denna "domstol" till ett helt oberoende rättsligt organ som inrättats enligt artikel 3 i USA:s konstitution.

Detta tillvägagångssätt förefaller strida mot EU-domstolens rättspraxis i åtminstone följande avseenden:

• Den föreslagna lösningen ger inte möjlighet till rättslig prövning , utan till ett prövningsorgan inom den verkställande makten - liknande ombudsmannen, som EU-domstolen inte bara fann vara oproportionerlig, utan även ett brott mot själva kärnan i artikel 47 CFR. Att bara kalla ett verkställande organ för "domstol" innebär inte att det skapas en möjlighet till rättslig prövning. Tillvägagångssättet verkar vara bättre beskrivet som en "ombudsman plus".
• Det är svårt att se hur detta nya organ skulle kunna uppfylla de formella kraven på en domstol enligt artikel 47 CFR, särskilt i jämförelse med pågående mål och standarder som tillämpas inom EU (t.ex. i Polen och Ungern). EU-domstolen skulle ombes att tillämpa en "hög" standard enligt artikel 47 CFR inom EU, men en "låg" standard enligt artikel 47 CFR för en amerikansk "Data Protection Review Court". Det skulle vara Europeiska kommissionen som skulle behöva övertyga EU-domstolen om dessa olika standarder enligt artikel 47 CFR.
• Vi förstår att dennya " domstolen" kommer att fortsätta att fungera som den nuvarande "ombudsmannen" och varken bekräfta eller dementera om en person har varit föremål för övervakning och om det har skett ett brott mot amerikansk lag. Vi har förstått att den registrerade inte kommer att ha någon direkt eller indirekt möjlighet att ta del av bevis, begära att få ut handlingar, ställa frågor till motparten eller få en motiverad dom. Detta kommer att göra det till en "gummistämpel"-institution utan praktisk relevans.
• Denna "gummistämpel" kommer också att begränsa möjligheterna till ett eventuellt överklagande till någon sekundär instans: Om "Data Protection Review Court" är bunden att skicka ett föreskrivet standardsvar, kan vi inte se att det finns utrymme för något informerat, meningsfullt materiellt överklagande. Om det bara finns ett möjligt fördefinierat resultat i varje fall, verkar det knappast finnas något fall där en medborgare kan göra ett fel, eftersom det bara verkar finnas ett möjligt svar.
• Det finns grundläggande frågor om amerikanska doktriner som " statshemligheter" kommer att gälla för dessa organ och ytterligare begränsa möjligheten till en rättvis prövning. Vi förstår att den amerikanska regeringen kommer att fortsätta att förlita sig på dessa doktriner.

Sammanfattningsvis kan vi inte se hur denna nya "domstol" skulle vara förenlig med artikel 47 i CFR, särskilt mot bakgrund av EU-domstolens senaste rättspraxis om amerikansk övervakning, men också mot bakgrund av EU-domstolens rättspraxis om rättslig prövning och rättsstatsprincipen i EU:s medlemsstater. Det verkar som om EU-domstolen skulle behöva utveckla ett separat artikel 47 CFR-test för USA, för att finna att ett verkställande organ som producerar gummistämpelsvar verkligen är en form av rättslig prövning. Vi har svårt att se hur en sådan utveckling av EU-domstolens rättspraxis skulle vara realistisk eller ens önskvärd.

(3) Behovet av att uppdatera det kommersiella integritetsskyddet

Utöver bristerna i den aviserade principöverenskommelsen kopplade till avsaknaden av reformer av amerikansk övervakning och lagarvarnar vi också EU:s förhandlare för behovet av att uppdatera de kommersiella dataskyddsskyldigheterna i ett eventuellt framtida avtal.

Vi är oroade över att EU:s och USA:s förhandlare inte verkar planera några uppdateringar av själva principerna för skölden för skydd av privatlivet. Vi har förstått att Privacy Shields principer och certifieringar inte kommer att röras eller ens byta namn. Detta är mycket problematiskt, eftersom principerna till stor del bygger på "Safe Harbor"-principerna från 2000, med endast mindre uppdateringar under 2016. De är inte i linje med kraven i GDPR, som började tillämpas 2018. Faktum är att Privacy Shield-principerna till och med hänvisar till direktiv 95/46/EG, som inte längre är tillämpligt, och inte till GDPR.

Vi belyser här några exempel på några av de många bristerna i Privacy Shield-principerna och på vilka punkter de avviker från dataskyddsförordningen:

• Privacy Shield-principerna innehåller inte något allmänt krav på rättslig grund, vilket krävs enligt artikel 6.1 i GDPR och artikel 8.2 i Chartom de grundläggande rättigheterna. I själva verket finns det bara en så kallad "notice & choice"-strategi med en rätt att avvisa (opt-out). Särskilt eftersom principerna vanligtvis gäller för underbiträden, utan direktkontakt med den registrerade, verkar det knappast finnas något realistiskt scenario där en registrerad ens skulle underrättas om problematisk behandling.
• Privacy Shield-principerna kräver inte att uppgiftsbehandlingen ska vara "nödvändig", vilket krävs enligt artikel 5.1 c i GDPR och artikel 52.1 i CFR, utan endast "relevant".
• De flesta delarna av rätten till tillgång enligt artikel 15 i GDPR och artikel 8.2 i Chart de grundläggande rättigheterna återspeglas inte i Privacy Shield-principerna.
• Den mekanism för gottgörelseenligt principerna bygger på privat skiljeförfarande, ett system som är förbjudet för konsumenter i EU sedan direktiv 93/13/EEG. De privata skiljedomstjänsterna betalas av det amerikanska företaget och har inte de nödvändiga mekanismerna för "övervakning och upptäckt" eller befogenheter som ens avlägset liknar de befogenheter som EU:s tillsynsmyndigheter har enligt artikel 58 i GDPR. Det krävs flera steg för att en skiljedom ska vara verkställbar enligt amerikansk lag.

Det finns otaliga ytterligare exempel där Privacy Shield-principerna inte är "väsentligen likvärdiga" med GDPR och därför tillåter amerikanska konkurrenter att verka på den europeiska marknaden utan att följa EU-lagstiftningen. Även om frågorna om amerikansk övervakning skulle lösas kan alla nya avtal ogiltigförklaras av EU-domstolen på grundval av att Privacy Shield-principerna inte alls är "i allt väsentligt likvärdiga" med GDPR.

Framtiden för internationella dataöverföringar

Vi beklagar att förhandlarna inte har tagit tillfället i akt att säkerställa att de mänskliga rättigheterna till integritet och dataskydd skyddas på båda sidor av Atlanten och oberoende av geografisk plats eller medborgarskap. Vi är djupt övertygade om att ett globalt internet och ett fritt flöde av personuppgifter endast är möjligt om skyddet inte baseras på historiska och nationalistiska begrepp, som t.ex. medborgarskap. Medan GDPR och artiklarna 7, 8 och 47 CFR är mänskliga rättigheter och gäller för alla användare, oberoende av nationella band, fortsätter FISA 702 och de relevanta verkställande förordningarna i USA att följa en ålderdomlig idé om "amerikanska personer" och "icke-amerikanska personer".

Detta leder inte bara till kränkningar av de mänskliga rättigheterna, utan verkar också underminera de påstådda syftena med dessa övervakningslagar: Vi vet att de flesta aktuella faror (såsom inhemsk terrorism, spionage och liknande) inte baseras på målets medborgarskap.

Vi uppmanar förhandlarna och andra relevanta intressenter, inklusive den amerikanska teknikindustrin, att ifrågasätta traditionella nationalistiska begrepp. Om internet inte ska känna några nationsgränser måste våra integritetsrättigheter och övervakningslagar också övervinna nationalistiska koncept. Ett alternativ skulle kunna vara internationella avtal mellan demokratiska nationer.

Kapitel 5 i GDPR tillåter redan ett fritt dataflöde - om skyddet är "väsentligen likvärdigt". Vi beklagar att nationella övervakningslagar i USA och EU fortfarande håller fast vid begrepp som medborgarskap och än så länge saknar moderna interoperabilitetsklausuler.

Denna konflikt mellan (interoperabla) integritetsskydd och (nationalistiska) övervakningslagar hindrar internationella dataflöden, handel och konvergens.

Reaktioner på nya beslut om adekvat skyddsnivå

Eftersom våra rättstvister alltid syftar till att säkerställa en hållbar lösning som både skyddar användardata och möjliggör fria dataflöden, skulle vi vara de första att applådera ett sådant resultat. Vi är fortfarande hoppfulla om att en slutlig text kan övervinna de brister som lyfts fram i detta brev och vi uppmuntrar förhandlare på båda sidor av Atlanten att främja välbehövliga reformer av amerikansk lag.

I avsaknad av dessa lagändringar är vi oroliga för att ett framtida avtal (återigen) kommer att baseras på politiska förhoppningar i stället för juridiska realiteter. Vi är särskilt oroade över att Europeiska kommissionen medvetet kan komma att anta ytterligare ett olagligt beslut om adekvat skyddsnivå i syfte att undergräva EU-domstolens domar. Detta kallas ofta för att "köpa ytterligare ett par år". Detta kan inte bara leda till en ändlös pingpong mellan Bryssel och Luxemburg, utan hotar också förtroendet för rättsstatsprincipen och CFR på europeisk nivå.

Mot bakgrund av ovanstående är noyb berett att utmana varje slutligt beslut om adekvat skyddsnivå som inte skulle ge den nödvändiga rättssäkerheten. Om en sådan process verkligen är nödvändig kommer vi särskilt att fokusera på en snabb och effektiv väg till EU-domstolen för att nå ett snabbt beslut. Vi hoppas att detta kommer att leda till en kortare period av rättsosäkerhet i händelse av en illa genomtänkt politisk överenskommelse.

En sådan utmaning kan innefatta en begäran om att EU-domstolen ska skjuta upp tillämpningen av en tredje version av ett amerikanskt beslut om adekvat skyddsnivå. Ett sådant alternativ föreskrivs i artikel 278 i EUF-fördraget och skulle kunna säkerställa att Europeiska kommissionen inte undergräver EU-domstolen genom att anta ytterligare olagliga beslut om adekvat skyddsnivå i ett försök att hinna före EU-domstolens granskning av dessa.

Vi hoppas att dessa preliminära iakttagelser är till nytta för er. Vi är tillgängliga för er om ni har några frågor eller vill ge oss ytterligare förtydliganden om den nya överenskommelsen.

Med vänliga hälsningar,

Max Schrems

Hedersordförande, noyb