Över hela världen: Amerikanska senatorer reagerar på EU-domstolens Schrems II - Behovet av en integritetsreform

Den 09.12.2020^[1] genomförde senatens utskott för handel, vetenskap och transport en utfrågning där man diskuterade behovet av en omfattande federal amerikansk integritetslagstiftning samt framtiden för transatlantiska dataflöden mot bakgrund av att EU:s och USA:s integritetssköld ogiltigförklarades av Europeiska unionens domstol (EU-domstolen) den 16.07.2020 (mål C-311/18, Schrems II)[2].07.2020 (mål C-311/18, Schrems II)^[2] Diskussionerna kretsade kring de politiska överväganden som ledde till att EU-domstolen drog slutsatsen att det då befintliga ramverket inte hade lyckats tillhandahålla likvärdiga skyddsstandarder som krävs enligt EU-rätten. Dessutom presenterades expertutlåtanden om de praktiska åtgärder som ska vidtas för att upprätta ett efterföljande ramverk för överföring av uppgifter.

Mötet förstärkte behovet av en snabb ersättning av lagstiftningen som skulle göra det möjligt att fortsätta den transatlantiska verksamheten. Det rådde allmän enighet om att en sådan utveckling skulle vara särskilt avgörande för småföretag, som utgör över 70 % av de företag som är certifierade enligt Privacy Shield^[3]. Även om behovet av internationellt samförstånd erkändes, ingick inga europeiska experter eller företrädare för det civila samhället i utfrågningen. Bland talarna fanns dock företrädare för U.S. Federal Trade Commission (FTC), U.S. Department of Commerce (DoC), Software Industry (Victoria Espinel) samt Koch Distinguished Professor in Law, Neil Richards och Peter Swire, professor i juridik och etik vid Georgia Tech Scheller College of Business, och Associate Director for Policy vid Georgia Tech Institute for Information Security and Privacy.

I sitt öppningsanförande uttryckte utskottets ordförande Roger Wicker sitt stöd för ett "hållbart och varaktigt" transatlantiskt ramverk för dataöverföring, och ansåg att det var en "hög men nödvändig order". Han hänvisade till en uppskattning enligt vilken "den digitalt möjliggjorda handeln uppgick till mellan 800 och 1 500 miljarder dollar globalt 2019 [samtidigt som] den beräknas öka den globala BNP med över 3 biljoner dollar" 2020, och pekade på de betydande ekonomiska fördelar som internationell handel innebär för både inhemska och internationella företag. Under sitt anförande hävdade Wicker att den tidigare Privacy Shield etablerade en rättslig mekanism som var "avsedd att säkerställa att över 5 000 små och medelstora företag, som spänner över flera ekonomiska sektorer i både USA och EU, kan fortsätta att bedriva transatlantisk digital handel utan störningar". Genom att lyfta fram några av de viktigaste kraven enligt Privacy Shield (t.ex. anmälningsskyldigheter för deltagande organisationer, utnämning av ombudsmän för att möjliggöra en korrekt utredning av klagomål etc.) ansåg han att USA:s befintliga rätt till prövning var tillräcklig och att dess övervakningssystem var jämförbart med andra EU-medlemsstaters. Genom att erkänna de gemensamma demokratiska värdena mellan kontinenterna stärkte Wicker dock sitt engagemang för att utveckla meningsfulla standarder för konsumentdataskydd som skulle "upprätthålla det fria informationsflödet över Atlanten och uppmuntra till fortsatt ekonomiskt och strategiskt partnerskap" med Europa.

Ledamoten Maria Cantwell betonade vikten av ökad insyn i de beslut som fattas av Foreign Intelligence Surveillance Court (FISC). Eftersom den digitala handeln mellan USA och Europa värderas till mer än 300 miljarder USD per år förespråkade hon en resolution som inte bara skulle främja förtroendet och återupprätta ett större övervakningssamarbete mellan enheterna, utan som också skulle förhindra att den avleds "mot nationell protektionism".

I sitt anförande underströk Victoria Espinel,^[4] VD och koncernchef för mjukvaruindustrins branschorganisation BSA, vikten av att upprätthålla en både säker och tillförlitlig struktur för dataöverföring för att upprätthålla och säkerställa fortsatt tillväxt i båda ekonomierna. Trots att det är bråttom att ge konsumenterna ett effektivt integritetsskydd, uppmuntrade hon också "alla likasinnade demokratiska samhällen som är intresserade av både säkerhet och medborgerliga friheter att tänka djärvt kring långsiktiga strategier för säkerhetsgarantier" (s. 3) och hävdade att "en viss mängd signalspaning är nödvändig i ett demokratiskt samhälle för att garantera trygghet och säkerhet" (s. 10).

James Sullivan, Deputy Assistant Secretary for Services of International Trade Administration vid handelsdepartementet^[5], förklarade att han hade deltagit i ett antal multilaterala diskussioner med EU-tjänstemän, med fokus på en ersättning för Privacy Shield. Han ansåg att EU-domstolens beslut hade skapat "enorma osäkerheter för amerikanska företag och den transatlantiska ekonomin" (s. 2) som hade tvingat företagen att stå inför tre olika val, nämligen "(1) riskera potentiellt enorma böter (på upp till 4 procent av den totala globala omsättningen under föregående år) för brott mot GDPR, (2) dra sig tillbaka från den europeiska marknaden, eller (3) omedelbart byta till en annan dyrare mekanism för dataöverföring" (s. 6). Han lyfte också fram frågan om myndigheternas tillgång till uppgifter och förespråkade "bredare diskussioner mellan likasinnade demokratier" för att "utveckla principer baserade på gemensam praxis för hur man bäst kan förena brottsbekämpningens och den nationella säkerhetens behov av uppgifter med skyddet av individens rättigheter" (s. 8). Han menade att ett sådant krav på tillgång dock kan skiljas från det som efterfrågas av icke-demokratiska samhällen, vars engagemang i insamling av personuppgifter syftar till att "övervaka, manipulera och kontrollera [medborgarna] utan hänsyn till den personliga integriteten och de mänskliga rättigheterna" (s. 8). Avslutningsvis betonade han vikten av gemensamma principer som en nödvändig grund för att "bevara och främja ett fritt och öppet internet som möjliggörs av ett sömlöst dataflöde" (s. 8).

Noah Joshua Phillips, kommissionär vid Federal Trade Commission (FTC),^[6] ansåg att interoperabilitet är en prioritet för den tillträdande administrationen och uppmanade på liknande sätt de liberala demokratierna att enas och inte splittras i sökandet efter en väg framåt efter Schrems II-domen. Han hävdade att det är skadligt för länder att "utvärdera sin inställning till digital styrning [,] att dela och främja fördelarna med ett fritt och öppet internet" och att stärka banden med kompatibla datastyrningsregimer genom att dra linjer "mellan allierade med gemensamma värderingar [och] dem som erbjuder en helt annan vision" (s. 9).

I de två sista bidragen av Swire^[7] och Richards^[8] gavs en akademisk redogörelse för den bevisning som lagts fram under Schrems II-förfarandet. Samtidigt som Swire ansåg att den skyddsnivå som Privacy Shield erbjuder i allt väsentligt motsvarar den som garanteras inom EU, ansåg han att en översyn av USA:s nuvarande övervakningspraxis var nödvändig. Han föreslog ett ettårigt avtal som skulle göra det möjligt för "den nya administrationen att systematiskt engagera sig [i skapandet av] hållbara strategier för avtal med EU om data" samtidigt som det skulle utgöra "ett användbart incitament för alla berörda parter att fortsätta att arbeta intensivt för en långsiktig lösning" (s. 10).

Richards uttryckte däremot en känsla av att det var bråttom att få till stånd ett amerikanskt engagemang för en reform av integritets- och övervakningslagstiftningen, som enligt honom hade blivit en "skapelse av misstro" (s. 18), vilket berodde på avsaknaden av en heltäckande federal integritetslagstiftning och Snowdens avslöjanden om NSA:s övervakningsverksamhet i juni 2013. Genom meningsfull rättslig prövning och genom att åtgärda bristerna i landets omfattande system för insamling av signaler och underrättelser, menade han att USA skulle kunna uppnå ett adekvat integritets- och dataskydd. I detta avseende menade han att Schrems II-beslutet visar på en meningsfull möjlighet att återta ledarskapet inom konsumentskyddet, men också att gå vidare mot ett större internationellt samarbete och ekonomiskt välstånd: "Det finns en väg framåt, men det kräver att vi inser att starka, tydliga och förtroendeskapande regler inte är fientliga mot affärsintressen, att vi måste gå vidare från det misslyckade systemet med "notice and choice", att vi måste bevara effektiva konsumentklagomål och innovation på delstatsnivå samt allvarligt överväga en lojalitetsplikt" (s. 19).

De centrala synpunkter som framfördes av vittnena under utfrågningen i senatskommittén återspeglar mötets övergripande stöd för en heltäckande lagstiftning om konsumenters integritet som skulle innebära en lojalitetsplikt för företag i deras behandling av personuppgifter och ge enskilda personer en privat rätt att väcka talan. Trots det stora antalet olika förslag som lades fram denna dag var alla talare eniga om att ogiltigförklaringen av Privacy Shield hade fått allvarliga konsekvenser och att det var nödvändigt att rätta till detta. Ett beslut om adekvat skyddsnivå skulle dock endast kunna fattas med framgång om metoderna för underrättelseinhämtning sågs över och en reform av övervakningen verkligen genomfördes. Dessa strävanden, hävdades det, kan kräva ett brett samförstånd med andra demokratiska allierade med starka integritetsskyddssystem.

Att ta itu med dessa frågor globalt är en viktig utgångspunkt för att komma till rätta med den osäkerhet som hotar att störa de transatlantiska dataflöden som är avgörande för många USA-baserade teknikföretags verksamhet. Men det kan också bli särskilt avgörande för att komma fram till meningsfulla alternativ för en övervakningsreform som skulle främja efterlevnaden av Schrems II-beslutet och oavsiktligt skydda konsumenternas rättigheter utanför landets gränser.

Resurser

1. Webbsändning och skriftliga utskrifter tillgängliga via: https: //www.commerce.senate.gov/2020/12/the-invalidation-of-the-eu-us-privacy-shield-and-the-future-of-transatlantic-data-flows.
2. Tillgänglig via: http: //curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first∂=1&cid=5219638.
3. USA:s handelsdepartement, Commerce Secretary Wilbur Ross Welcomes Privacy Shield Milestone-Privacy Shield Has Reached 5,000 Active Company Participants (11 september 2019), https://www.trade.gov/press-release/commerce-secretary-wilbur-ross-welcomes-privacyshield-milestone-privacy-shield-has; Congressional Research Service, U.S.-EU Privacy Shield (6 augusti 2020), https://fas.org/sgp/crs/row/IF11613.pdf
4. Transkript tillgängligt via: https: //www.commerce.senate.gov/services/files/3B067E7A-26FA-497A-9AC3-4DB37F140C8F.
5. Transkript tillgängligt via: https: //www.commerce.senate.gov/services/files/8F72849E-3625-4687-B8F5-71AFF4640D1F.
6. Transkript tillgängligt via: https: //www.commerce.senate.gov/services/files/34555EB9-4074-4A11-A4E9-A85EA3CAED56.
7. Utskrift tillgänglig via: https: //www.commerce.senate.gov/services/files/6E06A2A6-A9D9-4EFA-8390-0A288B7C1DCA.
8. Transkript tillgängligt via: https: //www.commerce.senate.gov/services/files/021C9A15-B562-4818-9BDE-F103512D6ED3.

Innehållet i denna artikel är avsett att ge en allmän vägledning i ämnet. Specialistrådgivning bör sökas om dina specifika omständigheter.