Den 09.12.2020,¹ Senatens utskott för handel, vetenskap och transport genomförde en utfrågning där man diskuterade behovet av en omfattande federal amerikansk integritetslagstiftning samt framtiden för transatlantiska dataflöden mot bakgrund av att EU:s och USA:s Privacy Shield ogiltigförklarades av Europeiska unionens domstol den 16 juli 2020 (mål C-311/18, Schrems II).² Diskussionerna fokuserade på de politiska överväganden som ledde till att EU-domstolen drog slutsatsen att det dåvarande regelverket inte hade lyckats ge likvärdiga skyddsstandarder som krävs enligt EU-lagstiftningen. Vid utfrågningen presenterades dessutom expertutlåtanden om vilka praktiska åtgärder som bör vidtas för att inrätta en efterföljande ram för dataöverföring.

Mötet bekräftade att det är brådskande att snabbt ersätta lagstiftningen så att den transatlantiska verksamheten kan fortsätta. Man var överens om att en sådan utveckling skulle vara särskilt viktig för småföretag, som utgör mer än 70% av de företag som är certifierade enligt Privacy Shield.³ Även om man erkände behovet av internationellt samförstånd, deltog varken europeiska experter eller företrädare för det civila samhället i utfrågningen. Bland talarna fanns dock företrädare för USA:s federala handelskommission (FTC), USA:s handelsdepartement, programvaruindustrin (Victoria Espinel) samt Neil Richards, professor i juridik vid Koch, och Peter Swire, professor i juridik och etik vid Georgia Tech Scheller College of Business och biträdande direktör för policy vid Georgia Tech Institute for Information Security and Privacy.

I sitt öppningsanförande uttryckte utskottets ordförande Roger Wicker sitt stöd för en "hållbar och varaktig" transatlantisk ram för dataöverföring, och ansåg att det var en "stor men nödvändig order". Han hänvisade till en uppskattning enligt vilken "digitalt möjliggjord handel uppgick till mellan $800 och $1 500 miljarder euro globalt 2019 [samtidigt som] den beräknas öka den globala BNP med över $3 biljoner" 2020 och hänvisade till de betydande ekonomiska fördelar som internationell handel ger både inhemska och internationella företag. Under sitt anförande hävdade Wicker att den tidigare Privacy Shield inrättade en rättslig mekanism som var "avsedd att se till att över 5 000 små och medelstora företag, som spänner över flera ekonomiska sektorer i både USA och EU, kunde fortsätta att bedriva transatlantisk digital handel utan störningar". Genom att lyfta fram några av de viktigaste kraven i Privacy Shield (t.ex. anmälningsplikt för deltagande organisationer, utnämning av ombudsmän för att möjliggöra en ordentlig utredning av klagomål etc.) ansåg han att USA:s befintliga rätt till prövning är tillräcklig och att dess övervakningssystem är jämförbart med det i andra EU-medlemsstater. Genom att erkänna de gemensamma demokratiska värderingarna mellan kontinenterna förstärkte Wicker dock sitt engagemang för att utveckla meningsfulla standarder för skydd av konsumentuppgifter som skulle "stödja det fria flödet av information över Atlanten och uppmuntra ett fortsatt ekonomiskt och strategiskt partnerskap" med Europa.

Ledamoten Maria Cantwell betonade betydelsen av större insyn i de beslut som fattas av Foreign Intelligence Surveillance Court (FISC). Med tanke på att den digitala handeln mellan USA och Europa värderas till mer än 300 miljarder US-dollar per år förespråkade hon en resolution som inte bara skulle främja förtroendet och återupprätta ett större övervakningssamarbete mellan enheterna, utan som också skulle avhålla sig från mer avledande åtgärder "i riktning mot nationell protektionism".

I sitt anförande sade Victoria Espinel,⁴ Ordförande och verkställande direktör för branschorganisationen BSA (Software Industry Trade Group), underströk vikten av att upprätthålla en både säker och tillförlitlig dataöverföringsstruktur för att stödja och säkerställa den fortsatta tillväxten i båda ekonomierna. Trots att det är brådskande att ge konsumenterna ett effektivt integritetsskydd uppmuntrade hon också "alla likasinnade demokratiska samhällen som är intresserade av både säkerhet och medborgerliga fri- och rättigheter att tänka djärvt på långsiktiga strategier för säkerhetsskydd" (s. 3) och menade att "en viss mängd signalspaning är nödvändig i ett demokratiskt samhälle för att garantera säkerhet och trygghet" (s. 10).

James Sullivan, biträdande biträdande sekreterare vid handelsdepartementet, med ansvar för internationella handelsförvaltningen,⁵ förklarade att han hade deltagit i ett antal multilaterala diskussioner med EU-tjänstemän med fokus på att ersätta Privacy Shield. Han ansåg att EU-domstolens beslut hade skapat "enorma osäkerheter för amerikanska företag och den transatlantiska ekonomin" (s. 2) som hade tvingat företagen att stå inför tre olika val, nämligen: "(1) riskera att drabbas av potentiellt enorma böter (på upp till 4 procent av den totala globala omsättningen under föregående år) för att ha brutit mot GDPR, (2) dra sig tillbaka från den europeiska marknaden, eller (3) byta direkt till en annan dyrare mekanism för dataöverföring" (s6). Han tog också upp frågan om myndigheters tillgång till uppgifter och förespråkade "bredare diskussioner mellan likasinnade demokratier" för att "utveckla principer baserade på gemensam praxis för att ta itu med hur man bäst kan förena brottsbekämpning och nationella säkerhetsbehov för uppgifter med skyddet av individens rättigheter" (s. 8). Han menade att ett sådant krav på tillgång dock kan särskiljas från det som efterfrågas av icke-demokratiska samhällen, vars engagemang i insamling av personuppgifter syftar till att "övervaka, manipulera och kontrollera [medborgarna] utan hänsyn till personlig integritet och mänskliga rättigheter" (s. 8). Avslutningsvis betonade han vikten av gemensamma principer som en viktig grund för att "bevara och främja ett fritt och öppet Internet som möjliggör ett sömlöst flöde av uppgifter" (s. 8).

Noah Joshua Phillips, kommissionär för Federal Trade Commission (FTC), anser att interoperabilitet är en prioritet för den kommande administrationen,⁶ uppmanade på samma sätt de liberala demokratierna att enas och inte splittras i sökandet efter en väg framåt efter Schrems II beslut. Han hävdade att det är skadligt för länder att 'utvärdera deras strategi för digital förvaltning [,] dela och främja fördelarna med ett fritt och öppet Internet" och stärka banden med kompatibla system för dataförvaltning genom att dra gränser "mellan allierade med gemensamma värderingar [och] de som erbjuder en helt annan vision" (s. 9).

De två sista bidragen från Swire⁷ och Richards,⁸ erbjöd en akademisk redogörelse för de bevis som lades fram under Schrems II förfaranden. Swire ansåg att den skyddsnivå som Privacy Shield erbjuder i huvudsak motsvarar den som garanteras inom EU, men ansåg att en översyn av USA:s nuvarande övervakningsmetoder var nödvändig. Han föreslog ett ettårigt avtal som skulle göra det möjligt för den "nya administrationen att systematiskt engagera sig [i skapandet av] varaktiga tillvägagångssätt för avtal med EU om uppgifter" samtidigt som det skulle ge ett "användbart incitament för alla berörda att fortsätta att arbeta intensivt mot en mer långsiktig lösning" (s. 10).

Richards däremot uttryckte en känsla av brådska när det gäller USA:s engagemang för en reform av lagstiftningen om integritet och övervakning, som enligt honom hade blivit en "skapelse av misstro" (s18), vilket berodde på avsaknaden av en omfattande federal lagstiftning om integritet och på Snowdens avslöjanden som avslöjade NSA:s övervakningsverksamhet i juni 2013. Genom meningsfull rättslig prövning och genom att åtgärda bristerna i landets omfattande system för insamling av signaler och underrättelser hävdade han att USA skulle kunna uppnå ett adekvat integritets- och dataskydd. I detta avseende föreslog han att Schrems II Beslutet visar på en meningsfull möjlighet att återta ledarskapet inom konsumentskyddet, men också att gå vidare mot ett större internationellt samarbete och ekonomiskt välstånd.: 'Det finns en väg framåt, men den kräver att vi erkänner att starka, tydliga och förtroendeskapande regler inte är fientliga mot företagens intressen, att vi måste gå förbi det misslyckade systemet med "meddelande och valfrihet", att vi måste bevara effektiva konsumenträttsliga åtgärder och innovation i regleringen på delstatsnivå, och att vi på allvar överväger en lojalitetsplikt" (s. 19).

De centrala åsikter som vittnena framförde under utfrågningen i senatskommittén återspeglar mötets övergripande stöd för en heltäckande lagstiftning om konsumentskydd som skulle innebära att företagen åläggs en lojalitetsplikt när de behandlar personuppgifter och att enskilda personer får en privat rätt att väcka talan. Trots det stora antalet olika förslag som lades fram den dagen erkände alla talare gemensamt den allvarliga inverkan som ogiltigförklaringen av Privacy Shield hade medfört och nödvändigheten av att rätta till dess effekter. Ett beslut om adekvat skyddsnivå kan dock endast uppnås om metoderna för underrättelseinhämtning ses över och en reform av övervakningen verkligen genomförs. Dessa ansträngningar kan, enligt vad som hävdades, kräva ett brett samförstånd med andra demokratiska allierade som har starka system för skydd av privatlivet.

Att ta itu med dessa frågor globalt är en viktig utgångspunkt för att övervinna den osäkerhet som hotar att störa det transatlantiska dataflödet, vilket är avgörande för verksamheten i många amerikanska teknikföretag. Men det lovar också att bli särskilt viktigt för att komma fram till meningsfulla alternativ för en reform av övervakningen som skulle främja efterlevnaden av Schrems II beslut och oavsiktligt erbjuder sig att skydda konsumenternas rättigheter utanför landets gränser.

Fotnoter

1 Webbsändning och skriftliga utskrifter finns tillgängliga via: https://www.commerce.senate.gov/2020/12/the-invalidation-of-the-eu-us-privacy-shield-and-the-future-of-transatlantic-data-flows.

2 Tillgänglig via: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first∂=1&cid=5219638.

3 USA:s handelsdepartement, handelsminister Wilbur Ross välkomnar Privacy Shield Milestone-Privacy Shield Has Reached 5 000 Active Company Participants (11 september 2019), https://www.trade.gov/press-release/commerce-secretary-wilbur-ross-welcomes-privacyshield-milestone-privacy-shield-has ; Congressional Research Service, U.S.-EU Privacy Shield (6 augusti 2020), https://fas.org/sgp/crs/row/IF11613.pdf

4 Utskrift tillgänglig via: https://www.commerce.senate.gov/services/files/3B067E7A-26FA-497A-9AC3-4DB37F140C8F.

5 Utskrift tillgänglig via: https://www.commerce.senate.gov/services/files/8F72849E-3625-4687-B8F5-71AFF4640D1F.

6 Utskrift tillgänglig via: https://www.commerce.senate.gov/services/files/34555EB9-4074-4A11-A4E9-A85EA3CAED56.

7 Utskrift tillgänglig via: https://www.commerce.senate.gov/services/files/6E06A2A6-A9D9-4EFA-8390-0A288B7C1DCA.

8 Utskrift tillgänglig via: https://www.commerce.senate.gov/services/files/021C9A15-B562-4818-9BDE-F103512D6ED3.

Innehållet i denna artikel är avsett att ge en allmän vägledning i ämnet. Specialister bör rådfrågas om dina specifika omständigheter.