Blogg

Schrems, GDPR, FISA och CLOUD Act – en översikt

Efter den omtalade Schrems II-domen så har många frågetecken uppkommit gällande integritet och personuppgifter på internet. Och just vad som rekommendationerna blir framåt – vad som är tillåtet enligt lag, vilka lagar som är (in)kompatibla och vad det innebär – det återstår fortfarande till viss del att se. Men en del av bakgrunden till situationen som den ser ut i dag beskrivs i den här artikeln.

Schrems I och II

En viktig del, och något som kanske kan anses vara ett startskott, var när Snowden 2013 läckte uppgifter om den omfattande övervakningen i USA. Delvis till följd av den röjda informationen så ifrågasatte juridikstudenten Max Schrems Facebooks personuppgiftshantering och integritetsskydd.

Innan Schrems I

Men innan Schrems I-fallet tog plats, nämligen redan 2011 så började Schrems att undersöka Facebooks integritetspolicy. Han anade att villkoren inte behandlade personuppgifter på varsamt sätt, och att det därmed var inkompatibelt med EU-lagstiftning. Han skickade därför ett klagomål till dataskyddskommissionen (Data Protection Commission, DPC) på Irland. Fallet låg där i princip orört av DPC, där Schrems själv senare spekulerade att det kan ha funnits en ovilja av DPC att behandla frågan på grund av politiska intressen. 2014 tog Schrems tillbaka klagomålet, men då hade Schrems I-processen kommit igång.

År 2013 skickade Max Schrems ett nytt klagomål till irländska DPC där han menade att Facebook inte kan skicka data till USA utan att bryta mot dataskyddsdirektivet i EU. I klagomålet så argumenterade Schrems, med bakgrund i Edward Snowdens avslöjanden om övervakningsprogrammet PRISM, att amerikansk underrättelsetjänst skulle kunna ha åtkomst till hans data. Han menade att det därför skulle strida mot lagstiftningen i EU.

DPC avslog Schrems klagomål, men han överklagade och fallet gick vidare till irländsk domstol. Där sköts fallet upp för att det argumenterades att det irländska lagstadgade personuppgiftsskyddet baserades i EU-lag. Därför behövde även EU-domstol ta ställning till fallet, inte bara irländsk domstol.

Schrems I

EU-domstolens beslut kom i oktober 2015, och beslutade i fall C-362/14 – Schrems I – att upphäva det så kallade Safe Harbor-avtalet. Safe Harbor var överenskommelsen som exempelvis Facebook lutade sig mot, som möjliggjorde dataöverföringar mellan EU och USA. Domstolen menade att Safe Harbor inte var kompatibelt med det lagstadgade intergritetsskyddet i EU när information skickades till land med sämre integritetsskydd, så som USA.

Efter Safe Harbors upphävts efter Schrems I så fanns det omedelbart inget nytt avtal på plats, men samtal mellan EU och USA påbörjades för att nå en lösning. Redan i februari 2016 hade parterna kommit fram till en lösning. I juli samma år så godkände EU-kommissionen den slutgiltiga versionen av det nya avtalet som tog Safe Harbor-avtalets plats. Det nya avtalet hette Privacy Shield, och var utformat för att vidta åtgärder för att skydda personuppgifter i enlighet med EU-lag men samtidigt möjliggöra dataöverföringar från EU till USA. Det hävdades att Privacy Shield-avtalet var en avsevärt förbättrad version av Safe Harbor. Men inte långt efter att avtalet trätt i kraft så varnade experter om att juridiska konflikter på grund av integritet och personuppgifter ändå var att vänta.

Schrems II

I juni 2020 så upphävdes Privacy Shield i EU-domstolens dom C-311/18 – vanligen kallad Schrems II.

I oktober 2017 så hänvisade den irländska domstolen hänvisade Schrems I-fallet till EU-domstolen. Fallet hänvisades vidare för att EU-domstolen själva skulle behandla fallet och inte bara vara en referens i fallet, som när den irländska domstolen hanterade fallet. När domen kom motiverade EU-domstolen om Privacy Shield liknande som för Safe Harbor i Schrems I. Motiveringen gick till stor del ut på ett konstaterande om att Privacy Shield inte var tillräckligt för att läka bristerna i den amerikanska lagstiftningen för att vara kompatibelt med integritetslagarna i EU.

CLOUD Act och SCA

Parallellt med Schrems I och II så pågick även en del aktiviteter i USA som också rörde integritetsfrågor.

Stored Communications Act

Under en brottsutredning i USA så utfärdade domstol i New York i december 2013 en bevisinhämtningsorder. Domstolen krävde då att Microsoft skulle lämna över all e-post och övrig personlig information som fanns kopplad till särskilda användarkonton som associerades med brottet. Microsoft var enligt lag skyldig att följa ordern, och skickade en del av informationen – nämligen den som lagrades på servrar i USA. Men eftersom den större delen information lagrades på Irland så nekade Microsoft till att lämna ut mer. Microsoft menade att inhämtningsordern inte gällde utanför USA, eftersom den relevanta lagen, Stored Communications Act (SCA), inte explicit angav det. Domstolen, i sin tur, menade att Microsoft begick lagtrots.

Den huvudsakliga frågan som diskuterades mellan domstolen och Microsoft var huruvida inhämtningsordern som grundats i SCA kunde anses vara extraterritoriell. Den amerikanska domstolen menade att det var skillnad på inhämtningsordern i det fallet jämfört med den traditionella innebörden. Domstolen argumenterade att den ”warrant” som utfärdats snarare skulle ses som en ”subpoena”, och att det skulle medföra högre juridiskt tryck. Men det var ett påstående som senare togs tillbaka av domstolen.

Microsoft menade att Stored Communications Act inte kunde anges gälla för information som lagras utanför USA. Domstolen, å andra sidan, menade att det inte fanns något extraterritoriellt med den utfärdade inhämtningsordern eftersom lagen gäller för bolag i USA som verkar i USA. Av den anledningen, menade domstolen, var det kontrollen och ägandet av information som var av vikt – inte serverns fysiska placering. Därför hävdade domstolen att Microsoft var tvungna att ge informationen som efterfrågades.

Clarifying Lawful Overseas Use of Data Act

Två försök att göra tillägg till Stored Communications Act gjordes av den amerikanska kongressen. Ett under 2015 och ett under 2017, men båda röstades ned. Men i februari 2018 föreslogs tillägget Clarifying Lawful Overseas Use of Data (CLOUD) Act, vilket godkändes och trädde i kraft i mars 2018. Den tydliggjorde att alla bolag som verkar i USA kontrollerar och äger sin information oavsett lagringsplats, och därmed är skyldiga att följa nationell lagstiftning i USA.

Internationella bolag som verkar i USA menas därmed vara skyldiga att lämna ut information om så efterfrågas i exempelvis bevisinhämtningsordrar, oavsett var informationen faktiskt lagras. Genom att bara vara ett bolag aktivt i USA så omfattar CLOUD Act all information som bolaget hanterar, även om det sker i ett dotterbolag eller utanför USA.

CLOUD Act gäller fortfarande och är en viktig del av vad som skapar inkompatibilitet med EU-lagstiftning.

FISA sektion 702 och dekret 12333

Två andra mycket viktiga delar som påverkar grundutgångspunkten om varför USA har nationell lagstiftning som möjliggör insamlingen av personuppgifter och data är dekret 12333 samt sektion 702 av Foreign Intelligence Surveillance Act (FISA).

Foreign Intelligence Surveillance Act

I sektion 702 av FISA så följer den lagstadgade möjligheten för amerikanska myndigheter att samla personlig information utan någon form av domstolskrav eller informationsinhämtningsorder från personer utanför USA. Sektion 702 är ett tillägg som gjordes 2008 till Foreign Intelligence Surveillance Act, som innan dess gällt från 1978. Lagen behöver förnyas var femte år, och det skedde senast år 2018.

Syftet med FISA menas vara att främja nationella intressen i USA genom att inhämta och kartlägga information och kommunikation. Anledningarna lär vara många, och mycket av informationen som i dag finns är från visselblåsare eller läckor. Av förståeliga skäl så hemlighåller amerikanska myndigheter detaljer och processer. Det spekuleras om att övervakningen genom FISA används för att amerikansk handel ska hållas konkurrenskraftig, för att kunna övervaka trender och utveckling, men även för att kartlägga information om personer som kan vara av intresse från perspektivet om nationell säkerhet.

Delar av FISA och sektion 702 har fått stor kritik från integritetssynvinkeln, eftersom det i teorin låter USA fritt övervaka information utan att behöva medgivande. Det räcker att ett bolag är etablerat i USA för att all information som hanteras av bolaget skulle kunna övervakas samt begäras ut av amerikanska myndigheter.

Upstream och Downstream

Sektion 702 har två huvudsakliga uppdelningar: Upstream och Downstream.

Downstream kallades tidigare för PRISM, och är en del av vad Edward Snowden avslöjade 2013. Downstream är processen när amerikanska myndigheter kontaktar amerikanska bolag och begär informationsregister och loggar. Den kan användas för bred informationsinhämtning eller för att hitta särskilda ord eller personer i e-kommunikation eller internettrafik.

Upstream är den andra delen, som syftar mer till pågående aktiviteter och aktuell trafik. I grova drag så handlar Upstream om att ta del av pågående internettrafik. Det kan bland annat ske genom att ansluta direkt till internetleverantörer för att överblicka pågående aktivitet, även där med möjligheten att ha specifika eller breda nyckelord eller -personer i fokus.

I fallet för både Upstream och Downstream så är det olagligt för bolag att ange om de är anslutna samt om de lämnat ut någon information. Och om insamling av viss information skulle anses vara ett lagbrott så finns det även klausuler i FISA som gör att det inte i USA går att lämna in stämningsansökningar för att olagligt ha hämtat information eller utfört övervakningar.

Dekret 12333

Dekret 12333 (Executive Order 12333) handlar om vilken information som amerikanska myndigheter kan spionera på inom landet.

Dekret 12333 skrevs och trädde i kraft 1981, under dåvarande president Ronald Reagan. Tanken var att dekretet skulle vara en nationell motsvarighet till FISA. Kortfattat så redogör dekret 12333 bland annat att nationella säkerhetsmyndigheten (NSA) kan spionera på medborgare och hämta information, antagligen med liknande tekniker som för FISAs Upstream och Downstream.

Anledningen till att dekret 12333 är av internationellt intresse är för att informationen som dekretet tillåter att inhämta gäller för amerikanska medborgare oavsett var i världen de befinner sig. Alla som av amerikanska myndigheter anses vara en permanent amerikansk medborgare kan övervakas via dekret 12333 även om de flyttat eller av andra anledningar inte befinner sig i USA.

En mycket viktig poäng gällande dekret 12333 är att alla delar av kommunikation kan hämtas, inte bara delar som rör medborgaren. Det innebär att alla sidor av en konversation kan övervakas, och i teorin att all internationell samt nationell kommunikation som sker med amerikanska medborgare kan övervakas med bas i dekret 12333.

GDPR

Bakgrunden till allmänna dataskyddsförordningen, GDPR (General Data Protection Regulation), tog plats redan 1995. Då etablerades det europeiska dataskyddsdirektivet, EDPD (European Data Protection Directive). EDPD lagstadgade ett grundläggande ramverk för hur personuppgiftshantering skulle gå till för att skydda individers integritet. EDPD etablerades 1998 i Sverige som Personuppgiftslagen (PUL).

17 år efter att EDPD införts, i januari 2012, så föreslog EU-kommissionen att omarbeta EDPD för att skapa ett bättre integritetsskydd online. Efter några tillägg till grundförslaget så skedde i mars 2014 omröstningen i Europaparlamentet för det omarbetade dataskyddsdirektivet – som fått det nya namnet dataskyddsförordningen. En överväldigande majoritet röstade för (621 för, 10 emot, 22 avstod) införandet av GDPR i stället för EDPD.

I juli 2015 föreslog den europeiska datatillsynsnämden, EDPS (European Data Protection Supervisor), de slutgiltiga textändringarna för GDPR. I december samma år så enades europaparlamentet, europeiska rådet samt EU-kommissionen om utformningen av GDPR. Den 24 maj 2016 trädde GDPR i kraft, med en övergångsperiod på två år. Mellan 2016 och 2018 föreslogs några tillägg, bland annat förordningen om e-integritet, ePR (ePrivacy Regulation) som under 2021 ännu inte trätt i kraft. Men med ePR så kommer det nuvarande direktivet om integritet och elektronisk kommunikation som etablerades 2002 att upphävas och ersättas av ePR, vilket då kommer att falla under GDPR.

Från 25 maj 2018 så började GDPR gälla i hela EU, och kom då att ersätta PUL. Eftersom det varit snårigt att navigera bland lagar och med att applicera GDPR så kom den Europeiska dataskyddsstyrelsen, EDPB (European Data Protection Board), 20 november med preliminära slutgiltiga rekommendationer för GDPR. Den preliminära versionen ersattes med en sista slutgiltig version den 18 juni 2021. Dokumentet med rekommendationer kan hämtas från den officiella källan här.

Personuppgifter

Ett centralt koncept i GDPR är begreppet personuppgifter. Definitionen och tolkningen av ordet kan få olika följder beroende på vad som innefattas. Enligt EU-kommissionen så är en personuppgift information som refererar till en identifierad eller identifierbar fysisk person.

Exempel på personuppgifter är för- och efternamn, adress, e-post (t.ex. namn.efternamn@företag.se), personnummer, platsdata, ip-adresser, internetkakor, samt övrig information som kan användas för att identifiera en enskild person. Exempel på vad som inte är personuppgifter är vissa e-postadresser (t.ex. info@företag.se) eller information som inte kan hänvisas till en enskild person (t.ex. bolagsregistreringsnummer).

Eftersom en viktig del gäller identifierbarheten av en person så påverkar det vad som kan anses vara en personuppgift. Ett namn kanske inte i varje fall kan anses vara tillräckligt för att identifiera en person, utan det handlar mer om kombinerad information eller information som kan härleda till annan information. Det innebär att det allra mesta som involverar en person skulle kunna vara en personuppgift, men att den isolerade informationen inte nödvändigtvis behöver vara det.

Även om ett bolag krypterar och pseudonymiserar personuppgifter så omfattas informationen fortfarande av GDPR. Det enda fallet då personuppgifter slutar vara personuppgifter är om informationen oåterkalleligt anonymiseras. Då slutar de omfattas av GDPR. I övrigt spelar ingen roll vilket medium som informationen hanteras och lagras i, inte heller om informationen hanteras manuellt eller automatiserat – GDPR gäller oavsett. Läs EU-kommissionens definition av personuppgifter här.

Standardavtalsklausuler

Ett sätt som EU använt för att avtal ska följa rådande lagstiftning är genom så kallade standardavtalsklausuler, förkortat SCC (Standard Contractual Clauses). Det är en samling fördefinierade kontraktsvillkor som kan signeras när ett avtal skapas, för att kontraktet ska innehålla specificerad information om integritet och dataöverföringar. SCC menas vara ett hjälpmedel för att upprätthålla grundläggande mänskliga fri- och rättigheter, baserade i rådande lagstiftning.

Att följa det som anges i SCC innebär för parter inom EU att relevanta lagar följs. Om en avtalspart skulle verka i tredje land så avgränsar SCC vad som behöver upprätthållas för att EU-lagar inte ska brytas. SCC är utformade för att enkelt ska kunna läggas till i ett avtal och de är utformade för att efterlevnad i avtalet också innebär efterlevnad av, till exempel, GDPR. Bland annat då GDPR anger att överföringar av data från EU till tredje land enbart får ske om det mottagande landet har tillräckliga åtgärder för att kunna skydda personuppgifter.

Efter Schrems II-domen så tillkännagavs att EU-kommissionen skulle uppdatera delar av SCC, för att tydliggöra krav och skyldigheter vid överföringar som involverar personuppgifter; till, från och mellan länder inom och utanför EU. De ändrade klausulerna trädde i kraft den 4 juni 2021. Efter det så var det en övergångsperiod när både nya och gamla SCC var tillgängliga, till och med den 26 september 2021. Efter det datumet kan endast uppdaterade SCC användas. Redan etablerade avtal med gamla SCC har till och med den 26 december 2022 att ändra avtalet för att inkludera de nya SCC.

Slutsats

Ett problem som de nya SCC fortfarande inte löser är problematiken kring dataöverföringar till USA och amerikanska bolag.

Med den amerikanska lagstiftningen som möjliggör mer eller mindre fri övervakning kombinerat med integritetslagarna i EU är det svårt att nå en tillfredsställande slutsats. Svenska myndigheter måste följa EU-lagstiftning och kan därför inte välja att bryta mot, exempelvis, GDPR. Det skapar uppenbara svårigheter gällande utbudet av leverantörer av it- och molntjänster, eftersom leverantören inte får omfattas av CLOUD Act eller FISA sektion 702.

Med det sagt så finns det för privatägda svenska bolag en större valfrihet eftersom en avvägning kan göras om vilka lagar som ska följas. Risken för konsekvenser, till exempel böter, ökar genom att inte efterleva lagstiftning, men det är icke desto mindre ett val som privata bolag kan göra för att ändå kunna använda tjänster och produkter från bolag i USA trots de krockande lagarna.

Ta del av vårt inlägg här som fokuserar mer på GDPR och vissa Sverige-specifika frågor.

Magnus Roos

Magnus är marknadsförare och content writer på EdgeGuide. Har du frågor eller kommentarer om något du läst? Skicka gärna ett mejl eller kontakta via LinkedIn.