I måndags fastslog USA:s högsta domstol i målet Trump mot Slaughter att den amerikanska federala handelskommissionen (”FTC”) kanske inte längre är oberoende. Sedan år 2000 har EU förlitat sig på den ”oberoende” FTC som tillsynsmyndighet för avtalen mellan EU och USA om personuppgifter. Enligt EU:s fördragsrätt måste sådan tillsyn vara oberoende. I det nuvarande avtalet mellan EU och USA hänvisar Europeiska kommissionen till den oberoende FTC 259 (!) gånger. Max Schrems: ”Eftersom det inte längre finns några oberoende myndigheter i USA uppmanar vi Europeiska kommissionen att på ett ordnat sätt återkalla beslutet om adekvat skyddsnivå avseende USA.”
- Kommissionens genomförandebeslut EU 2023/1795 om ramverket för dataskydd mellan EU och USA (EUR-Lex)
- Beslut av USA:s högsta domstol i målet Trump mot Slaughter
- noyb Brev till Europeiska kommissionen
Dataskyddsramverket mellan EU och USA. Sedan 1995 förbjuder EU generellt export av personuppgifter till tredjeländer för att säkerställa att EU:s integritetsregler inte kan kringgås genom att helt enkelt skicka data utomlands. Även om det finns undantag för nödvändiga överföringar – allt från att boka ett hotell till komplexa transaktioner – har många EU-företag helt enkelt lagt ut behandlingen av personuppgifter på amerikanska molntjänstleverantörer. Sedan år 2000 har Europeiska kommissionen upprepade gånger godkänt att USA är ett ”adekvat” land när det gäller skyddet av personuppgifter – vilket möjliggör fritt dataflöde mellan EU och USA. Europeiska unionens domstol (EU-domstolen) ogiltigförklarade kommissionens två tidigare beslut i det så kallade ”Schrems I” (vilket innebar slutet för ”Safe Harbour”) och ”Schrems II” (som upphävde ”Privacy Shield”), på grund av USA:s övervakningslagar och bristen på rättsliga prövningsmöjligheter i USA. Trots detta utfärdade Europeiska kommissionen 2023 ett tredje avtal mellan EU och USA kallat ”EU–USA-ramverket för dataskydd”, som i stort sett var en kopia av de tidigare ogiltigförklarade avtalen.
EU:s krav på en oberoende dataskyddsmyndighet. EU:sfördragsrätt (dvs. EU:s ”konstitutionella” ramverk), nämligen artikel 16.2 i EUF-fördraget och artikel 8.3 i stadgan om de grundläggande rättigheterna, kräver att tillsynen över dataskyddsfrågor måste utföras av en ”oberoende” myndighet. Eftersom tredjeländer måste ha ”i huvudsak likvärdiga” skyddsnivåer är det nödvändigt att varje tredjeland som vill åtnjuta fritt flöde av personuppgifter från EU också erbjuder sådana skyddsnivåer. Hittills har USA utsett den ”oberoende” FTC till sin dataskyddsmyndighet för att uppfylla EU:s krav på oberoende tillsyn. EU har i sin tur förlitat sig på FTC hela 259 (!) gånger i sitt beslut om dataflödet mellan EU och USA.
Max Schrems: ”Avgörande är att EU:s konstitutionella ramverk kräver oberoende tillsyn. Det enda sättet att ändra detta skulle vara ett enhälligt beslut av alla EU-medlemsstater om att ändra EU-fördragen.”
Kravet på en oberoende domstol. Dessutombetonade EU-domstolen att USA skulle behöva tillhandahålla en oberoende rättslig prövningsmekanism i frågor som rör statlig övervakning. Eftersom USA inte kunde anta relevant lagstiftning inrättade Biden-administrationen en ”Data Protection Review Court”. Även om den kallas en ”domstol” är den i själva verket ett verkställande organ inom det amerikanska justitiedepartementet. Den är endast ”oberoende” genom ett presidentdekret (EO) från före detta president Biden, som kan ändras av Trump när som helst och inte är bindande för presidenten.
”Slaughter”-domen: Enhetlig (Trump) verkställande makt. Ien helomvändning jämfört med tidigare rättspraxis har den konservativa majoriteten i USA:s högsta domstol nu beslutat att FTC:s oberoende är grundlagsstridigt. Detta följer en ”enhetlig” teori, enligt vilken USA:s president måste ha makt över alla amerikanska verkställande organ och förklarat alla amerikanska lagar som ger olika myndigheter oberoende som grundlagsstridiga. Eftersom EU i nästan alla fall förlitat sig på FTC:s ”oberoende” som tillsynsmyndighet för integritetsskydd har hela strukturen för ramverket för dataskydd mellan EU och USA just kollapsat.
Max Schrems: ”Även enligt Europeiska kommissionens egen logik är grunden för alla avtal om dataöverföring mellan EU och USA borta. Vi uppmanar kommissionen att inleda en ordnad utträde ur det amerikanska molnet – vilket inte är lätt, men tyvärr oundvikligt. Kommissionen byggde ett juridiskt korthus under påtryckningar från branschen, och nu när det uppenbarligen rasar samman måste den ta sitt ansvar.”
Konsekvenserna är inte obegränsade. Ävenom alla underliggande grunder för EU-beslutet har försvunnit, gäller Europeiska kommissionens beslut formellt tills antingen kommissionen upphäver det eller EU-domstolen ogiltigförklarar det. Det finns alltså ingen omedelbar verkan. GDPR reglerade dessutom endast överföringen av personuppgifter. Icke-personliga uppgifter kan flöda fritt. Vidare artikel 49 i GDPR tillåter nödvändiga dataöverföringar till vilket tredjeland som helst. Den tillåter dock inte att data strukturellt flyttas ut ur EU, om detta inte är strikt nödvändigt.
Standardavtalsklausuler (SCC) och bindande företagsregler (BCR) påverkas också. Även om vissa företag kanske inte direkt förlitar sig på ramavtalet mellan EU och USA utan istället formellt använder SCC och BCR, förlitar de sig vanligtvis också på en ”konsekvensbedömning” som i sin tur bygger på tidigare oberoende amerikanska verkställande organ, såsom PCLOB eller Data Protection Review Court. Högsta domstolens beslut påverkar därför vanligtvis även dem, även om de inte förlitar sig på FTC. Till skillnad från personuppgiftsansvariga som förlitar sig på ett formellt kommissionsbeslut måste de omedelbart uppdatera sin bedömning – och logiskt sett komma fram till slutsatsen att dataöverföringarna inte längre är lagliga.
Nästa steg: Kommissionen måste upphäva avtalet mellan EU och USA. noyb har skickat ett formellt brev till Europeiska kommissionen idag, där man uppmanar kommissionen att vidta lämpliga åtgärder för att upphäva avtalet mellan EU och USA om dataöverföring på ett ordnat sätt. Politiskt sett har många EU-medlemsstater redan gått i riktning mot en strategi för ”digital suveränitet” och förklarat att de kommer att bryta kopplingen till amerikanska tjänsteleverantörer. Vissa amerikanska tjänsteleverantörer går också mot en separat databehandling inom EU. Men med tanke på att USA fortfarande utövar massivt tryck på EU för att upprätthålla flödet av personuppgifter, kommer noyb kommer också att väcka talan inom de närmaste veckorna, i syfte att låta EU-domstolen ogiltigförklara det nuvarande avtalet. En sådan rättsprocess tar dock vanligtvis 2–3 år innan ett slutgiltigt beslut fattas.
