Datainspektionen konstaterar i ett pressmeddelande i dag att EU-domstolens beslut har stora konsekvenser. EU:s 29 dataskyddsmyndigheter vädjar nu till EU och dess medlemsstater att öppna diskussionen med USA för att finna en politisk, legal och teknisk lösning som möjliggör uppgiftsöverföringar till USA och samtidigt respekterar grundläggande rättigheter.

– Artikel 29-gruppen klargör att överföringar till USA som nu sker med stöd av EU-kommissionens beslut om Safe Harbor är olagliga, säger Datainspektionens chefsjurist Hans-Olof Lindblom.

Amelia Andersdotter, piratpartist och tidigare EU-parlamentariker, välkomnar EU-domstolens beslut:

– För mig känns det väldigt bra att EU-domstolen engagerar sig så starkt för rätten till den egna identiteten, fria åsiktsbildningen, och mer abstrakta förutsättningar för demokrati, nu när det politiska engagemanget för mänskliga rättigheter har gått på sparlåga ett tag.

Utmaning för USA

Förhandlingar om ett nytt dataskyddsavtal, i stället för Safe Harbor, har pågått sedan några år, och enligt Andersdotter stärker nu domen EU-kommissionens position i förhandlingarna, eftersom den slår fast att EU-kommissionen inte får nöja sig med ett avtal som ger europeiska medborgare sämre skydd i USA än de har i Europa. Men de materiella effekterna av domen dröjer:

– Safe Harbor fortsätter gälla i två år efter att avtalen ogiltigförklarats, så först om två år kommer någon kunna stämmas för brott mot lagstiftning som annars skulle ha täckts av Safe Harbor.

Långsiktigt beror konsekvenserna av domen just på hur stor framgång EU-kommissionen får i förhandlingarna om ett nytt datadskyddsavtal. Andersdotter konstaterar att USA och amerikanerna behöver ändra sin egen lag för att EU ska kunna skriva på ett nytt avtal, vilket blir en utmaning. Detta då USA har många och starka rättigheter för medborgare, och dessa rättigheter skiljs av tradition från de som tillfaller icke-medborgare och som i USA är få och svaga.

– I Europa slutade man göra den distinktionen efter andra världskriget. Dels har USA i praktiken också svagare dataskydd än vad EU har, så USA måste också bestämma sig för att förbättra situationen inhemskt, menar Andersdotter.

Stärkt ställning för datainspektioner

Safe Harbor omfattar i stor utsträckning digital infrastruktur som en privatperson ofta inte ser och heller inte är medveten om att hen interagerar med. Det handlar om infrastruktur som används av kreditinstitutioner, mjukvaruplattformar för löneutbetalningar inom företag och koncerner samt i viss mån kunduppgifter. Den databehandlingen som i dagsläget sker på amerikanska servrar kan nu behöva flyttas till servrar inom EU istället.

– En annan osäkerhet för amerikanska företag just nu är att amerikanska staten hävdar att det inte är var servrarna är placerade som spelar roll för om amerikanska staten kan hävda rätt till tillgång, utan var företagets huvudkontor är. Så om din kommun har en molntjänst från Microsoft eller Google, och USA:s åklagare och polis vill ha en datadump från det molnet, så hävdar USA:s åklagare och polis (samt regering) att detta är möjligt eftersom Microsoft och Google har huvudkontor i USA.

– Kanske kommer fler företag i Europa använda europeiska mjukvarulösningar nu istället. Man kan i alla fall tänka sig fler europeiska implementatörer, det vill säga att amerikanska bolag fortfarande tillverkar mjukvaran, men att installation, drift och servrar kommer från europeiska bolag.

Domen ger också datainspektioner en stark ställning enligt Amelia Andersdotter. Varje nationell Datainspektion kan nu överklaga EU-beslut, vilket kommer utgöra en press på lagstiftare på EU-nivå att vara noggranna med att inte försämra och försvaga dataskyddet.

Går det att förlita sig på att skyddet för den personliga integriteten förbättras automatiskt nu, eller finns det anledning att agera med anledning av domen, och i så fall hur?

– Ja och nej. Amerikanska handelskommissionären har precis börjat ge ordentliga böter till företag som inte sköter dataskydd, så det har börjat dyka upp ekonomiska incitament i USA att inte vara dålig på dataskydd. Vi har motsvarande utveckling i Europa – Nederländerna och Storbritannien – men inte i till exempel Sverige.

Och det finns fler skillnader:

– I många EU-länder, dock inte i Sverige, behöver privatpersoner informeras om till exempel polisen fått tag på deras uppgifter. I Sverige hämtar polisen oftast information om enskilda via ”direktåtkomst” från teleoperatörer och andra myndigheter. I Sverige har vi redan bara en rätt att veta när polisen spionerat på oss om de gjort det med vissa sorters hemlig övervakning inom ramen för en förundersökning.

Svårt för privatpersoner att få rätt

Amelia Andersdotter tvivlar på att integritetsskyddet kommer att förbättras när det gäller myndigheter och offentlig sektor i Sverige, av fler skäl, bland annat att det inte finns realistiska möjligheter för privatpersioner att ställa kommuner och myndigheter till svars för dålig molninfrastruktur. Det finns en formell rätt att anmäla olagliga dataöverföringar till Datainspektionen, som dock inte har någon skyldighet att agera.

– Formellt har vi en rätt att anmäla till Datainspektionen – de behöver inte agera. Jag såg en av Sveriges mest inflytelserika jurister säga till IDG.se att Datainspektionen istället för att garantera efterlevnad av lagen, ska utdela särskilda undantag för dataöverföringar trots att det är olagligt. Så Datainspektionen är nog ingen medborgarens vän här, och juridiskt har de alltid rätt att inte agera vilket i praktiken också är vad de oftast låter bli att göra.

Även om det går att stämma den felande parten direkt, är det dyrt, riskabelt och oftast fruktlöst, enligt Andersdotter:

– Eftersom du som privatperson saknar information om it-systemen, som du heller inte har rätt att ta del av, hos dem du stämmer kan du inte framställa egen teknisk bevisning. Men även om du vinner en stämning kommer du gå i back om du haft juridiskt ombud. Skadestånden är låga och täcker inte ombudskostnaderna. Om du förlorar får du betala hela myndighetens ombudskostnader. Kan man välja mellan att gå 15 000 kronor i back, någon miljon kronor i back och knyta händerna i fickan i den gnagande misstanken om att något är fel, kommer de flesta välja att knyta händerna i fickan. Många har dessutom inget annat ekonomiskt val.