För ett par veckor sedan slog EU-domstolen fast att dataöverföringar mellan EU och USA kan stoppas av nationella myndigheter i Europa. Det innebär att det så kallade Safe Harbor-avtalet som it-företag som Facebook, Google med flera använder sig av ogiltigförklaras. Feministiskt perspektiv ställde några frågor till Amelia Andersdotter om domens konsekvenser.
Datainspektionen konstaterar i ett pressmeddelande i dag att EU-domstolens beslut har stora konsekvenser. EU:s 29 dataskyddsmyndigheter vädjar nu till EU och dess medlemsstater att öppna diskussionen med USA för att finna en politisk, legal och teknisk lösning som möjliggör uppgiftsöverföringar till USA och samtidigt respekterar grundläggande rättigheter.
– Artikel 29-gruppen klargör att överföringar till USA som nu sker med stöd av EU-kommissionens beslut om Safe Harbor är olagliga, säger Datainspektionens chefsjurist Hans-Olof Lindblom.
Amelia Andersdotter, piratpartist och tidigare EU-parlamentariker, välkomnar EU-domstolens beslut:
– För mig känns det väldigt bra att EU-domstolen engagerar sig så starkt
för rätten till den egna identiteten, fria åsiktsbildningen, och mer
abstrakta förutsättningar för demokrati, nu när det politiska
engagemanget för mänskliga rättigheter har gått på sparlåga ett tag.
Utmaning för USA
Förhandlingar om ett nytt dataskyddsavtal, i stället för Safe Harbor, har pågått sedan några år, och enligt Andersdotter stärker nu domen EU-kommissionens position i förhandlingarna, eftersom den slår fast att EU-kommissionen inte får nöja sig med ett avtal som ger europeiska medborgare sämre
skydd i USA än de har i Europa. Men de materiella effekterna av domen dröjer:
– Safe Harbor fortsätter gälla i två år efter att avtalen
ogiltigförklarats, så först om två år kommer någon kunna stämmas för
brott mot lagstiftning som annars skulle ha täckts av Safe Harbor.
Långsiktigt beror konsekvenserna av domen just på hur stor framgång EU-kommissionen får i förhandlingarna om ett nytt datadskyddsavtal. Andersdotter konstaterar att USA och amerikanerna behöver ändra sin egen lag för att EU ska kunna skriva på ett nytt
avtal, vilket blir en utmaning. Detta då USA har många och starka rättigheter för medborgare, och dessa rättigheter skiljs av tradition från de som tillfaller icke-medborgare och som i USA är få och svaga.
– I Europa slutade man göra den distinktionen efter andra världskriget. Dels har USA i praktiken också svagare dataskydd än vad EU har, så USA
måste också bestämma sig för att förbättra situationen inhemskt, menar Andersdotter.
Stärkt ställning för datainspektioner
Safe Harbor omfattar i stor utsträckning digital infrastruktur som en privatperson ofta inte ser och heller inte är medveten om att hen interagerar med. Det handlar om infrastruktur som används av kreditinstitutioner, mjukvaruplattformar för löneutbetalningar inom företag och koncerner samt i viss mån kunduppgifter. Den databehandlingen som i dagsläget sker på
amerikanska servrar kan nu behöva flyttas till servrar inom EU
istället.
– En annan osäkerhet för amerikanska företag just nu är att amerikanska
staten hävdar att det inte är var servrarna är placerade som spelar roll
för om amerikanska staten kan hävda rätt till tillgång, utan var
företagets huvudkontor är. Så om din kommun har en molntjänst från
Microsoft eller Google, och USA:s åklagare och polis vill ha en datadump
från det molnet, så hävdar USA:s åklagare och polis (samt regering) att
detta är möjligt eftersom Microsoft och Google har huvudkontor i USA.
– Kanske kommer fler företag i Europa använda europeiska mjukvarulösningar
nu istället. Man kan i alla fall tänka sig fler europeiska
implementatörer, det vill säga att amerikanska bolag fortfarande tillverkar
mjukvaran, men att installation, drift och servrar kommer från
europeiska bolag.
Domen ger också datainspektioner en stark ställning enligt Amelia Andersdotter. Varje nationell
Datainspektion kan nu överklaga
EU-beslut, vilket kommer utgöra en press på lagstiftare på EU-nivå att vara
noggranna med att inte försämra och försvaga dataskyddet.
Går det att förlita sig på att skyddet för den personliga integriteten förbättras automatiskt nu, eller finns det anledning att agera med anledning av domen, och i så fall hur?
– Ja och nej. Amerikanska handelskommissionären har precis börjat ge
ordentliga böter till företag som inte sköter dataskydd, så det har
börjat dyka upp ekonomiska incitament i USA att inte vara dålig på
dataskydd. Vi har motsvarande utveckling i Europa – Nederländerna och
Storbritannien – men inte i till exempel Sverige.
Och det finns fler skillnader:
– I många
EU-länder, dock inte i Sverige, behöver privatpersoner informeras om till
exempel polisen fått tag på deras uppgifter. I Sverige hämtar polisen oftast
information om enskilda via ”direktåtkomst” från teleoperatörer och
andra myndigheter. I Sverige har vi redan bara en rätt att veta när
polisen spionerat på oss om de gjort det med vissa sorters
hemlig övervakning inom ramen för en förundersökning.
Svårt för privatpersoner att få rätt
Amelia Andersdotter tvivlar på att integritetsskyddet kommer att förbättras när det gäller myndigheter och offentlig sektor i Sverige, av fler skäl, bland annat att det inte finns realistiska möjligheter för privatpersioner att ställa kommuner och myndigheter till svars för dålig molninfrastruktur. Det finns en formell rätt att anmäla olagliga dataöverföringar till Datainspektionen, som dock inte har någon skyldighet att agera.
– Formellt har vi en rätt att anmäla till
Datainspektionen – de behöver inte agera. Jag såg en av Sveriges
mest inflytelserika jurister säga till IDG.se att Datainspektionen
istället för att garantera efterlevnad av lagen, ska utdela särskilda
undantag för dataöverföringar trots att det är olagligt. Så
Datainspektionen är nog ingen medborgarens vän här, och juridiskt har de
alltid rätt att inte agera vilket i praktiken också är vad de oftast
låter bli att göra.
Även om det går att stämma den felande parten direkt, är det dyrt, riskabelt och
oftast fruktlöst, enligt Andersdotter:
– Eftersom du som privatperson saknar information om
it-systemen, som du heller inte har rätt att ta del av, hos dem du
stämmer kan du inte framställa egen teknisk bevisning. Men även om du
vinner en stämning kommer du gå i back om du haft juridiskt ombud.
Skadestånden är låga och täcker inte ombudskostnaderna. Om du förlorar
får du betala hela myndighetens ombudskostnader. Kan man välja mellan
att gå 15 000 kronor i back, någon miljon kronor i back och knyta
händerna i fickan i den gnagande misstanken om att något är fel, kommer
de flesta välja att knyta händerna i fickan. Många har dessutom inget
annat ekonomiskt val.
