Er det på tide å bløffe om personvern i USA?

Juryen er ute på om den utøvende ordren som ble signert av president Biden 7. oktober kan løse de juridiske bekymringene som ble fremhevet i Schrems II-saken og gjenopprette "tillit og stabilitet" til transatlantiske datastrømmer, skriver Dick Roche, tidligere irsk minister for europeiske anliggender som spilte en sentral rolle i den irske folkeavstemningen som ratifiserte Lisboa-traktaten som anerkjente beskyttelse av personopplysninger som en grunnleggende rettighet.

EUs databeskyttelseslover er anerkjent som gullstandarden for dataregulering og for beskyttelse av personvernrettighetene til individuelle borgere.

Da internett var i sin spede begynnelse, brøt EU ny mark i 1995 og fastsatte regler for bevegelse og behandling av personopplysninger i det europeiske databeskyttelsesdirektivet.

Under Lisboa-traktaten fra 2007 ble beskyttelse av personopplysninger en grunnleggende rettighet. Traktaten om Den europeiske unions funksjon og EUs charter om grunnleggende rettigheter som trådte i kraft i 2009, beskytter denne retten.

I 2012 foreslo EU-kommisjonen den generelle databeskyttelsesforordningen (GDPR) som fastsetter et omfattende sett med reformer som tar sikte på å øke Europas digitale økonomi og styrke innbyggernes nettsikkerhet.

I mars 2014 registrerte Europaparlamentet overveldende støtte for GDPR da 621 MEP-medlemmer fra hele det politiske spekteret stemte for forslagene. Bare 10 MEP-medlemmer stemte mot og 22 avsto. 

GDPR har blitt den globale modellen for personvernlovgivning.  

Annonse

Lovgivere i USA har ikke fulgt samme vei som Europa. I USA er databeskyttelsesrettighetene i rettshåndhevelsessektoren begrenset: tendensen er å privilegere rettshåndhevelse og nasjonale sikkerhetsinteresser.

To forsøk på å bygge bro mellom EUs og USAs tilnærminger og skape en mekanisme for dataflyt mislyktes da de ganske fantasifullt navngitte Safe Harbor- og Privacy Shield-ordningene ble funnet mangelfulle av EU-domstolen.  

Spørsmålet oppstår om nye EU-US Data Privacy Framework-ordninger fastsatt i Executive Order "Enhancing Safeguards for United States Signals Intelligence Activities" signert av president Biden 7.^th Oktober vil lykkes der Safe Harbor og Privacy Shield mislyktes. Det er mange grunner til å tvile på at de vil.

Schrems II satte en høy standard

I juli 2020 i Schrems II-saken avgjorde EU-domstolen at amerikansk lov ikke tilfredsstilte kravene til tilgang til og bruk av personopplysninger fastsatt i EU-retten.

Domstolen markerte en vedvarende bekymring for at bruk av og tilgang til EU-data fra amerikanske byråer ikke var begrenset av proporsjonalitetsprinsippet. Den mente at det var "umulig å konkludere" at avtalen EU-US Privacy Shield var tilstrekkelig til å sikre et beskyttelsesnivå for EU-borgere tilsvarende det som er garantert av GDPR, og slo fast at ombudsmannsmekanismen opprettet under Privacy Shield var utilstrekkelig og at dens uavhengighet ikke kunne garanteres.  

President Bidens forslag og EU-kommisjonens tilslutning

På 7^th Oktober President Biden signerte en Executive Order (EO) "Enhancing Safeguards for United States Signals Intelligence Activities".

I tillegg til å oppdatere en Executive Order fra Obama-tiden om måten databeskyttelse fungerer på i USA, fastsetter ordren et nytt EU-US Data Privacy Framework.

Briefing fra Det hvite hus om EO karakteriserer Framework som å gjenopprette "tillit og stabilitet" til transatlantiske datastrømmer, som det beskriver som "kritisk for å muliggjøre det økonomiske forholdet mellom EU og USA på 7.1 billioner dollar" - en ganske overdreven påstand.

Briefingen beskriver de nye ordningene som en styrking av det "allerede strenge utvalget av personvern og sivile friheter for amerikansk signaletterretningsvirksomhet".

Den hevder at de nye ordningene vil sikre at amerikansk etterretningsvirksomhet kun vil bli utført i forfølgelsen av definerte amerikanske nasjonale sikkerhetsmål og begrenses til det som er "nødvendig og proporsjonalt" - en omlegging av Schrems II-dommen.  

Orienteringen beskriver også "en flerlagsmekanisme" som vil tillate de som er fornærmet av amerikansk etterretningsvirksomhet "å få (en) uavhengig og bindende gjennomgang og oppreisning av krav".

EU-kommisjonen har støttet president Bidens ordre som entusiastisk fremstiller den som å gi europeere hvis personopplysninger overføres til USA «bindende sikkerhetstiltak som begrenser tilgang til data fra amerikanske etterretningsmyndigheter til det som er nødvendig og forholdsmessig for å beskytte nasjonal sikkerhet». Uten støttende analyse karakteriserer den ordenens oppreisningsbestemmelser og domstolen som en "uavhengig og upartisk" mekanisme "for å undersøke og løse klager angående tilgang til (europeernes) data fra amerikanske nasjonale sikkerhetsmyndigheter".

Noen alvorlige spørsmål

Det er mye å stille spørsmål ved i presentasjonene fra Det hvite hus og kommisjonen.

Mange vil stille spørsmål ved ideen om at amerikanske etterretningsbyråer er underlagt et "strengt utvalg av personvern og sivile friheter". 

Et stort problem oppstår angående det juridiske instrumentet som brukes av USA for å innføre endringene. Executive Orders er fleksible utøvende instrumenter som kan endres når som helst av en sittende amerikansk president. En endring i Det hvite hus kan føre til at ordningene som er avtalt ble sendt til søppelbøtten, slik som skjedde da president Trump gikk bort fra den møysommelig forhandlede avtalen om å begrense Irans atomprogram i bytte mot sanksjoner.

Det oppstår også spørsmål om hvordan ordene "nødvendig" og «proporsjonale” som vises i Det hvite hus og kommisjonens uttalelser skal defineres. Tolkningen av disse nøkkelordene kan variere betydelig på hver side av Atlanteren. 

European Center for Digital Rights organisasjonen grunnlagt av Max Schrems gjør poenget mens den amerikanske administrasjonen og EU-kommisjonen har kopiert ordene "nødvendig"Og"proporsjonal" fra Schrems II-dommen er de ikke ad idem med hensyn til deres juridiske betydning. For at begge sider skal være på samme side, må USA fundamentalt begrense sine masseovervåkingssystemer for å samsvare med EUs forståelse av "proporsjonal" overvåking og at kommer ikke til å skje: bulkovervåking fra amerikanske etterretningsbyråer vil fortsette under de nye ordningene.

Spesielt alvorlige bekymringer oppstår over oppreisningsmekanismen. Mekanismen skapt av president Bidens EO er kompleks, begrenset og langt fra uavhengig.

Oppreisningsordningene krever at klager først sendes inn til borgerlige frihetsbeskyttelsesoffiserer utnevnt av amerikanske etterretningsbyråer for å sikre byråets overholdelse av personvernet og grunnleggende rettigheter – en krypskytter som ble rovviltholderordning.  

Avgjørelser fra disse tjenestemennene kan ankes til en nyopprettet Data Protection Review Court (DPRC). Denne 'domstolen' vil være "sammensatt av medlemmer valgt utenfor den amerikanske regjeringen".

Bruken av ordet "domstol" for å beskrive dette organet er tvilsomt. Det europeiske senteret for digitale rettigheter avviser ideen om at organet er innenfor den normale betydningen av artikkel 47 i EUs charter om grunnleggende rettigheter.

Dens "dommere", som må ha "nødvendig (amerikansk) sikkerhetsklarering" vil bli utnevnt av den amerikanske justisministeren i samråd med den amerikanske handelsministeren.

Langt fra å være "utenfor den amerikanske regjeringen" en gang utnevnt, blir domstolens medlemmer en del av det amerikanske regjeringsapparatet.

Når en anke er anket til domstolen av enten en klager eller av "en del av etterretningsfellesskapet", vil et panel med tre dommere møtes for å vurdere søknaden. Dette panelet velger igjen en spesiell advokat med amerikansk "nødvendig sikkerhetsklarering" for å representere "klagerens interesser i saken".

Når det gjelder innsyn, må klagere fra EU ta saken sin til et relevant byrå i EU. Dette byrået overfører klagen til USA. Etter at saken er gjennomgått, blir klageren informert "gjennom det aktuelle organet i den kvalifiserte staten" om utfallet "uten å bekrefte eller avkrefte at klageren var underlagt USAs signalaktiviteter". Klager vil bare bli fortalt at "gjennomgangen enten ikke identifiserte noen dekkede brudd" eller at "en beslutning som krever passende utbedring" var utstedt. Det er vanskelig å se hvordan disse ordningene tilfredsstiller uavhengighetstesten som ombudsmannens forslag i Privacy Shield feilet. 

Samlet sett har ordningene for databeskyttelsesdomstolen mer enn en eim av den mye utskjelte amerikanske FISA-domstolen, som generelt blir sett på som lite mer enn et gummistempel for de amerikanske etterretningstjenestene.

Hva Neste?

Med den amerikanske eksekutivordren vedtatt flyttes handlingen tilbake til EU-kommisjonen som vil foreslå et utkast til tilstrekkelighetsbeslutning og lansere adopsjonsprosedyrer.

Adopsjonsprosedyren krever at kommisjonen innhenter en uttalelse, som er ikke-bindende, fra European Data Protection. Kommisjonen må også få godkjenning fra en komité som består av representanter for EUs medlemsland.

Europaparlamentet og rådet har rett til å be EU-kommisjonen om å endre eller trekke tilbake tilstrekkelighetsbeslutningen med den begrunnelse at innholdet overstiger gjennomføringsmakter fastsatt i GDPR-forordningen fra 2016.

Som organet som direkte representerer Europas folk og organet som så overveldende støttet prinsippene fastsatt i GDPR, har Europaparlamentet et ansvar for å ta en lang og grundig titt på det som ligger på bordet og ha et klart syn på i hvilken grad forslagene er forenlige med prinsippene fastsatt i GDPR med forventningene til europeere om at deres personvernrettigheter respekteres.

Det er svært usannsynlig at de grunnleggende forskjellene mellom EU og USA når det gjelder beskyttelse av personvernrettighetene til individuelle borgere vil bli stoppet av president Bidens Executive Order: kontroversen har fortsatt et stykke igjen.

Del denne artikkelen: