Författare: Kave Noori

Forum för Dataskydd har genom en serie artiklar rapporterat om hur skyddet för den personliga integriteten utmanas på flera fronter. För det första har EU-kommissionen föreslagit att man ska bekämpa spridningen av material om sexuella övergrepp mot barn genom generell scanning med artificiell intelligens (AI) av alla elektroniska meddelanden och filer som laddas upp till molntjänster (Läs mer i artikel 1 och 2).

För det andra har Region Dalarna beslutat att använda smarta insulinpumpar som gör patientuppgifter tillgängliga för personal i USA. För det tredje visar en granskning av webbplatser att 54 procent av Sveriges regioner och kommuner använder molnbaserade hjälpmedel för personer med funktionsnedsättning som potentiellt exponerar personuppgifter till USA.

Det finns en mängd olika hjälpmedel för personer med funktionsnedsättning som inte sällan är molnbaserade. Förra veckans artikel fokuserade på smarta hjälpmedel för diabetiker. Den här veckans artikel tar upp text till tal (skärmläsare). Samma juridiska bekymmer uppstår dock även med tal-till-text-teknik som ibland kan användas för att automatiskt texta ett möte för personer med hörselnedsättning (när en tolk inte är tillgänglig).

Webperf.se är ett hobbyprojekt av Marcus Österberg, webbutvecklare och analytiker. I hobbyprojektet studerar han hur webbplatser fungerar, särskilt inom den offentliga sektorn. Denna sommar har projektet granskat hur kommuner och regioner använder skärmläsare. Skärmläsare är ett viktigt verktyg för att göra webbplatser tillgängliga, exempelvis för personer med synnedsättning eller dyslexi. I en detaljerad bloggrapport på Webperf.se påstår Österberg att 54 procent av alla svenska regioner och kommuner använder antingen Readspeaker eller Talandewebb. Österberg drar slutsatsen att det inte kan uteslutas att personuppgifter överförs utanför EU när dessa två verktyg används.

Rätten till privatliv och inkludering av personer med funktionsnedsättning är grundläggande rättigheter
Rätten till dataskydd är en mänsklig rättighet som fastställs i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Andra rättigheter som kan vara relevanta i detta sammanhang är artikel 21 om icke-diskriminering, artikel 26 om inkludering av personer med funktionsnedsättning samt artikel 35 om hälsoskydd (vård). En viktig fråga är dock om dessa rättigheter kan anses stå i konflikt med varandra, med tanke på att de flesta leverantörer av hjälpmedel som varit föremål för den senaste tidens debatt är beroende av att personuppgifter görs tillgängliga för någon i USA. Det korta svaret är nej. Dessa rättigheter skulle i teorin kunna stå i konflikt med varandra om EU:s dataskyddsregler generellt förbjöd användningen av dessa hjälpmedel. Dataskyddsreglerna begränsar dock endast överföringen av personuppgifter till länder där nivån på dataskyddet inte är tillfredsställande. Förenta staterna är ett land som ligger kulturellt, ekonomiskt, politiskt och militärt nära Europa. Varför finns det då ett problem enligt EU-domstolen? Låt oss ta reda på det tillsammans.

Varför kolliderar EU-rätten och USA:s lagar?
Både EU och USA har lagar som skyddar rätten till privatliv. I EU garanteras denna rätt i artikel 8 i EU:s stadga om de grundläggande rättigheterna. Enligt artikel 52 i stadgan får denna rättighet begränsas endast om det är proportionerligt och nödvändigt för att skydda ett allmänt intresse eller för att skydda andras rättigheter. Rätten till privatliv kan aldrig reduceras till 0 % ens för de bästa anledningarna i världen.  Enligt EU-rätten är dessa rättigheter universella, dvs. de gäller för alla, oavsett medborgarskap.

Proportionalitetsprincipen
Proportionalitetsprincipen är central för att förstå EU-rätten. Enligt denna princip får en myndighet inte vidta mer kraftfulla åtgärder än vad som är nödvändigt för det aktuella syftet. Om Anders kastar godispapper i en park har han begått ett brott som kallas nedskräpning. Om polisen gör en husrannsakan, spränger ytterdörren och riktar en pistol mot hans huvud, skulle agerandet vara oproportionerligt och utgöra överdriven våldsanvändning mot en medborgare.

Ett annat exempel som kan förklara proportionalitetsprincipen är följande: Om Anders hugger någon med en kniv och denne dör har han begått ett mord. Polisen genomsöker hans hus och spränger dörren för att arrestera honom. Polisens beslut är proportionerligt, även om de skadar hans lägenhet eller oavsiktligt skadar hans hund. Åtgärden och risken för skador är sannolikt godtagbar med tanke på det hot Anders utgör mot andra människor.

Proportionalitetsprincipen, som finns inskriven i Europakonventionen om de mänskliga rättigheterna, EU:s stadga om de grundläggande rättigheterna och i svensk lag, gäller för polisens användning av fysiskt våld samt för skyddet av privatlivet och villkoren för att bedriva elektronisk övervakning. Detta innebär att polisen inte kan avlyssna någon bara för att denne har skräpat ner, men de kan göra det vid allvarligare brott.

Det fjärde tillägget till USA:s konstitution skyddar de amerikanska medborgarna från att regeringen gör oskäliga intrång i deras privatliv. Skyddet är dock inte absolut, och amerikanska myndigheter kan rättfärdiga en husrannsakan eller ett beslag om det finns goda skäl till det.

Presentationen nedan av amerikansk lag avser inte att täcka alla relevanta lagar eller aspekter av elektronisk övervakning i USA. Vi studerar bara en utvald bestämmelse för att illustrera lagkonflikten.

Det fjärde tillägget till USA:s konstitution har följande lydelse:

“The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.”

Gäller det fjärde tillägget för européer?
En viktig fråga är om européer som inte bor i USA skyddas av det fjärde tillägget. Svaret är nej. Detta konstateras som bakgrundsfakta i Schrems II-målet (se punkt 65). Vi kan också hitta denna information genom att ta del av amerikansk rättspraxis.

UNITED STATES v. VERDUGO-URQUIDEZ
Den 28 februari 1990 meddelade Högsta domstolen i USA sin dom i målet UNITED STATES v. VERDUGO-URQUIDEZ. Högsta domstolen uttalade sig om den extraterritoriella tillämpningen av det fjärde tillägget.Bakgrund: År 1989 reste den amerikanska narkotikapolisen, Drug Enforcement Agency (DEA) till Mexiko för att fånga en misstänkt knarkkung och föra honom tillbaka till USA för åtal. Den misstänkte var mexikansk medborgare och DEA fick hjälp av mexikanska polismyndigheter. Den misstänkte klagade över att gripandet var olagligt eftersom DEA hade gripit honom utan en husrannsakningsorder och fört honom ut ur Mexiko, vilket kränkte hans rättigheter enligt fjärde tillägget.

Resultat: USA:s högsta domstol ansåg att det fjärde tillägget inte är tillämpligt på husrannsakan och beslag av egendom som tillhör utlänningar som inte är bosatta i USA. Domstolen resonerade att ett sådant skydd för utlänningar utomlands skulle hindra regeringen från att reagera effektivt på hot mot amerikanska intressen och inte bara skulle hindra polisen utan även militärens effektivitet. Domstolen betonade att tillägget till konstitutionen endast gäller ”folket”, vilket avser en ”klass av personer som ingår i den nationella gemenskapen eller som på annat sätt har utvecklat en tillräcklig koppling till Förenta staterna”.

En särskild lag som skyddar icke amerikaners integritet behövs
I avsaknad av skydd för utlänningar enligt fjärde tillägget är det sannolikt endast kongressen som genom lag kan besluta att de ska få ett skydd som liknar det fjärde tillägget. De nuvarande amerikanska lagarna anses dock oförenliga med europeisk lagstiftning. I Schrems II slog EU-domstolen (se punkterna 178-185 i Schrems II) fast att USA:s underrättelsedomstol (Foreign Intelligence Surveillance Court, FISC) inte har befogenhet att godkänna enskilda övervakningsåtgärder, utan endast kan godkänna övervakningsprogram på årlig basis. EU-domstolen drog slutsatsen att USA kan genomföra övervakningsprogram utan skyddsåtgärder för icke-amerikanska personer, vilket är oförenligt med det skydd för enskilda personer som garanteras i EU-stadgan.

EU-domstolen konstaterade därför att de amerikanska underrättelsetjänsternas massinsamling av personuppgifter inom ramen för program enligt Foreign Intelligence Surveillance Act (FISA) eller Executive Order 12333, i kombination med Presidential Policy Directive 28, inte är förenlig med Europeiska unionens proportionalitetsprincip. Detta innebär att USA:s datainsamling enligt EU-rätten inte kan anses vara begränsad till vad som är absolut nödvändigt i en demokrati.

Problemet kan sammanfattas på följande sätt: I EU-lag betraktas rätten till privatliv som en universell och individuell mänsklig rättighet som gäller för alla, oavsett medborgarskap eller bosättningsland. I EU-rätten är privatlivet en relativ rättighet, där ibland statens intresse av övervakning tillåts väga tyngre än intrånget i medborgarens privatliv, så länge staten respekterar proportionalitetsprincipen. I USA:s lagstiftning definieras också skyddet för privatlivet som en individuell mänsklig rättighet som är relativ, och ett intrång i privatlivet måste vara proportionerligt när det riktas mot amerikanska personer.

Rätt till ett effektivt rättsligt skydd (effektiva rättsmedel)
Artikel 47 i EU-stadgan om de grundläggande rättigheterna handlar om rätten till effektiva rättsmedel. Denna rätt kan också kallas ”rätten till ett effektivt skydd för de mänskliga rättigheterna”. Tillgången till effektiva rättsmedel är en hörnsten i det juridiska skyddet. Det räcker inte om lagen innehåller fina formuleringar om att du har rätt att inte bli diskriminerad eller att din yttrandefrihet är skyddad. Om någon av dina mänskliga rättigheter kränks måste du ha tillgång till ett effektivt rättsmedel, vilket innebär att du måste kunna ta ditt fall till domstol och få det prövat. Domstolen måste också ha mandat att rätta till orättvisor. Detta är ett viktigt skydd mot kränkningar av de mänskliga rättigheterna.

EU-domstolen har slagit fast (se punkterna 185-197 i Schrems II) att en utländsk lagstiftning som förvägrar en registrerad tillgång till juridiska verktyg för att utöva sina rättigheter, inte respekterar kärnan i den grundläggande rätten till effektiva rättsmedel. För att uppfylla villkoren i artikel 47 i stadgan anser domstolen att det tredjelandet måste säkerställa en effektiv oberoende tillsyn av de som behandlar personuppgifter, effektiva och verkställbara rättigheter för de registrerade samt ett effektivt administrativt och rättsligt förfarande. EU-domstolen har slagit fast att de registrerade inte har rätt till ett effektivt rättsmedel mot amerikanska myndigheter på det sätt som krävs enligt artikel 47 i EU-stadgan.

Analys
Även nära allierade länder kan ha olika åsikter om vad som bör vara straffbart. I Sverige och större delen av Europa är vi till exempel övertygade om att kvinnor har rätt till kroppslig autonomi. I augusti avslöjades dock att Facebook hade delat privata chattar mellan en mor och hennes dotter med brottsbekämpande myndigheter i Nebraska, USA. Dessa uppgifter användes för att åtala tonåringen för att ha gjort en olaglig abort och mamman för medhjälp. I det här fallet hade polisen inte informerat Facebook om att de utredde en olaglig abort. Fallet visar att även nära allierade länder kan ha en syn på vad som utgör ett brott som skiljer sig från den i Sverige. Det visar också att insamlingen av information som inte anses vara ett problem i dag kan bli ett problem i framtiden.

Problemet är inte att amerikanska myndigheter vill ha tillgång till information för att utreda brott eller hot. Svensk lag och GDPR innehåller redan bestämmelser som gör det möjligt för amerikanska myndigheter att be svenska myndigheter om information. Problemet är snarare att interna amerikanska lagar kräver att USA-baserade företag ska tillhandahålla information var som helst i världen uteslutande på basis av intern amerikansk rätt. Detta kan leda till att uppgifter delas med amerikanska myndigheter trots att det skulle strida mot det andra landets lagar att dela informationen med amerikanska myndigheter. Det kan beskrivas som en situation där Sveriges eller EU:s suveränitet och våra demokratiska processer för att stifta våra egna lagar inte respekteras.

Det finns tre tänkbara sätt att komma vidare från denna låsta situation. Det första är att EU mjukar upp sina integritetsregler, det andra är att USA ändrar sina övervakningslagar och det tredje är att molnleverantörerna isolerar sin infrastruktur i Europa.

Om någon vill ändra skyddet av personuppgifter i EU skulle det sannolikt kräva ändringar av EU-fördragen. Det skulle också troligen kräva att kriterierna för att avgöra om ett land ger ett adekvat skydd ändras. Enligt artikel 45 i GDPR ska Europeiska kommissionen under gällande regler bedöma om ett tredjelands dataskyddsregler är adekvata på grundval av faktorer som rättsstatsprincipen, respekten för de mänskliga rättigheterna, relevant lagstiftning, förekomsten av oberoende tillsynsmyndigheter och landets engagemang för internationell rätt eller internationella konventioner.

Det är väl känt att Förenta staterna är ett land där rättsstatsprincipen och respekten för de mänskliga rättigheterna gäller. Du måste dock vara amerikansk medborgare eller lagligt bosatt i USA för att omfattas av dessa rättigheter. Som det nederländska nationella centret för cybersäkerhet rapporterar är USA inte det enda landet vars lagar sträcker sig utanför dess gränser. Andra länder med liknande lagar är Australien, Sydafrika, Indien och Kina. En viktig fråga att besvara är därför hur kriterierna ska ändras (om det är en önskad lösning) för att göra det möjligt för USA att uppfylla dessa kriterier utan att öppna dörren för ett fritt flöde av uppgifter till länder som Kina och Ryssland.

Integritetsskyddsmyndigheten (IMY) har publicerat ett blogginlägg som betonar att rätten till personlig integritet skyddas av GDPR, EU-stadgan, Europakonventionen om mänskliga rättigheter och den svenska grundlagen. I blogginlägget betonas vikten av att vårdinrättningar följer hälso- och sjukvårdslagarna för att upprätthålla patienternas förtroende och för att säkerställa att informationen inte missbrukas av underrättelsetjänster eller för identitetskapning.

Slutligen kan det nämnas att även den mellanstatliga organisationen Europarådet som övervakar efterlevnaden av Europakonventionen, påpekat att dataskyddet är en hörnsten i en ny tidsålder med artificiell intelligens.

Läs mer

Forum för Dataskydds artikel 1 om EU-kommissionens förslag mot barnporr (5 augusti 2022)

Forum för Dataskydds artikel 2 om EU-kommissionens förslag mot barnporr (12 augusti 2022)

Forum för Dataskydds artikel ”Skyddet för den personliga integriteten ställs mot diabetesvård” (26 augusti 2022)

Blogginlägg från Webperf.se om svenska kommuner och regioners användning av molnbaserade skärmläsare (29 juli 2022)

Fjärde tillägget till USAs konstitution

Schrems II målet

Library of congress: UNITED STATES v. VERDUGO-URQUIDEZ

Ljudupptagning av domstolsförhandlingen i målet UNITED STATES v. VERDUGO-URQUIDEZ 

Artikel i The Guardian om att Facebook överlämnade privata meddelanden mellan en mor och dotter som åtalats av polisen i Nebraska, USA för en olaglig abort (10 aug 2022)

Det nederländska nationella centret för cybersäkerhets blogginlägg om Cloud Act (16 augusti 2022)

Integritetsskyddsmyndighetens blogginlägg om att GDPR varken är en valbar fråga eller fråga om prioriteringar (1 september 2022)

Forum för Dataskydds intervju med Jan Kleijssen från Europarådet (7 juli 2022). Europarådet anser att dataskyddet är en hörnsten för en ny tidsålder med Artificiell Intelligens

Artikel i Harvard International Law Journal – “American Surveillance of Non-U.S. Persons: Why New Privacy Protections Offer Only Cosmetic Change” (År 2015)