Af Johnny Lüchau og Birgitte Kofod Olsen
Baggrund. I 2013 lækkede en whistlebloweren Edvard Snowden interne dokumenter fra en amerikansk efterretningstjeneste. Af dokumenterne fremgik det, at efterretningstjenesten systematisk tapper data fra de store amerikanske virksomheder, uanset hvor i verden de befinder sig.
Det fremgik også, at de største amerikanske tech-virksomheder (Microsoft, Google, Apple, Amazon m.fl.) deltog frivilligt i at give adgang til data. Kun Apple protesterede imod den amerikanske efterretningstjenestes påstand om frivillig deltagelse.
Amerikansk lovgivning har siden 1981 indeholdt adgang for den amerikanske regering og efterretningstjenester til persondata, der behandles af amerikanske virksomheder. Det gælder uanset om oplysningerne vedrører amerikanere eller udlændinge. Det har bl.a. ført til introduktion af overvågningsprogrammer som PRISM. Den vide adgang til at overvåge personer og få adgang til personoplysninger er især reguleret i US Foreign Intelligence Act (FISA 702) og i en præsidentiel ordre, Executive Order 12333 (EO 12333).
Amerikansk lovgivning
FISA 702
Paragraf 702 i FISA-loven fra 2008 giver den amerikanske regering adgang til at foretage målrettet overvågning af udenlandske personer uden for USA. Elektroniske tjenesteudbydere kan tvinges til at yde bistand til at erhverve sådanne udenlandske efterretningsoplysninger.
Det betyder, at amerikanske nationale sikkerhedsmyndigheder kan anmode moderselskaber om udlevere persondata, som deres europæiske datterselskaber behandler. Adgangen kræver, at en domstol har godkendt indgrebet i en retskendelse.
EO 12333
EO 12333 er udstedt af præsident Reagan i 1981. Den pålægger NSA at yde administrativ og teknisk støtte og indsatser i og uden for USA som er nødvendige for at udføre funktioner i tilknytning til udvikling og gennemførelse af udenrigs-, forsvars-og økonomiske politikker, og til beskyttelse af USA’s nationale interesser fra udenlandske sikkerhedstrusler.
Alle myndigheder har pligt til for at forberede og levere efterretninger på en måde, der muliggør fuld og fri udveksling af oplysninger
Den præsidentielle ordre betyder, at enhver overførsel af personoplysninger fra Europa til USA er omfattet.
EU-retten
I EU skal al overvågning fra statens side opfylde en række grundlæggende krav til databeskyttelse og retssikkerhed. EU Traktatens Charter om grundlæggende rettigheder indeholder tre bestemmelser, der er relevante i forhold til overvågning: Retten til respekt for privatliv, retten til beskyttelse af personoplysninger samt en række krav, der skal være opfyldt, når der foretages indgreb i disse rettigheder.
EU Charter for grundlæggende rettigheder
Artikel 7 Respekt for privatliv og familieliv. Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation.
Artikel 8 Beskyttelse af personoplysninger
1. Enhver har ret til beskyttelse af personoplysninger, der vedrører ham/hende.
2. Disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag. Enhver har ret til adgang til indsamlede oplysninger, der vedrører ham/hende, og til berigtigelse heraf.
3. Overholdelsen af disse regler er underlagt en uafhængig myndigheds kontrol.
Artikel 52, stk. 1: krav om lovhjemmel, proportionalitet og lovligt formål
1. Enhver begrænsning i udøvelsen af de rettigheder og friheder, der anerkendes ved dette charter, skal være fastlagt i lovgivningen og skal respektere disse rettigheders og friheders væsentligste indhold. Under iagttagelse af proportionalitetsprincippet kan der kun indføres begrænsninger, såfremt disse er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.
Persondataforordningen, GDPR
Retten til persondatabeskyttelse i Charteret er operationaliseret med EU’s persondataforordning, GDPR, som opstiller specifikke regler til behandling og overførsel af persondata til tredjelande, det vil sige lande udenfor EU.
EU-dommens praktiske betydning
EU-domstolen har i to sager haft lejlighed til at vurdere, om Charterets grundrettigheder og GDPRs krav til overførsel af persondata til USA er opfyldt.
Den 17. juli 2020 traf EU Domstolen således afgørelse i en sag anlagt af Østrigske Maximilian Schrems mod Facebook. Schrems II-sagen angik lovligheden af Privacy Shield som grundlag for overførsel af persondata mellem EU og USA. Den fulgte op på en sag, anlagt af Schrems i 2015 om den tidligere Safe Harbour-aftale mellem USA og EU om sikre dataoverførsler. Den aftale erklærede Domstolen for ugyldig.
Domstolen slog også i 2020 fast, at overførsel af persondata til amerikanske virksomheder på baggrund af Privacy Shield-aftalen var i strid med EU Charter for Grundlæggende Rettigheder og GDPR. Begrundelsen var, at amerikansk lovgivning ikke kan tilbyde den databeskyttelse, som de essentielle europæiske garantier for databeskyttelse kræver.
Med afgørelsen fra 2020 slog EU Domstolen også fast, at man som dataansvarlig er forpligtet til at sikre, at databeskyttelsen i det tredjeland, man overfører til er ”essentially equivalent to EU”, altså at data i det væsentligste er beskyttet i samme omfang som i EU.
Den praktiske betydning af dommen er, at man som dataeksportør:
- Ikke lovligt kan overføre persondata til USA på baggrund af modtagers Privacy Shield-certificering
- Proaktivt skal sikre, at overførsel til USA sker på et tilstrækkeligt beskyttelsesniveau. En sådan vurdering skal udføres inden overførelsen foretages og skal være dokumenteret. Det kan gøres ved at gennemføre en TIA.
I princippet betyder det, at rammerne for at overføre data til USA – og dermed benytte cloud-selskaber med hovedsæde i USA, er blevet meget snævre eller nærmest er forsvundne.
EU’s databeskyttelsesgarantier
Den konkrete vurdering af, om de essentielle databeskyttelsesgarantier er effektive, omfatter typisk følgende spørgsmål:
Er retsreglerne, der giver myndigheder adgang til persondata, klare, præcise og tilgængelige? Reglerne bør være offentligt tilgængelige, og det bør kunne forudses, når de anvendes.
B. Giver reglerne mulighed for adgang til eller videregivelse af overførte data til offentlige myndigheder? Fx som led i retshåndhævelse, tilsyn med lovgivningen og nationale sikkerhedsformål. Reglerne bør definere de kategorier af personer, der kan være genstand for myndighedernes indsigt.
C. Er sådanne indgreb begrænset til, hvad der er nødvendigt i forhold til de demokratiske samfund? Jf. artikel 52 i EU’s charter om grundlæggende rettigheder.
D. Er der etableret en uafhængig databeskyttelsesmyndighed eller en lignende oversigtsmekanisme i det tredjeland, data overføres til?
E. Er der effektive retsmidler til rådighed for datasubjekterne til at opfylde deres ret til adgang til deres oplysninger, til at få dem rettet eller slettet og til prøvelse ved en domstol.