1. Inledning och bakgrund

Överföringar av personuppgifter till ett tredjeland är endast tillåtet enligt GDPR under särskilt angivna förutsättningar, bland annat om EU-kommissionen har beslutat att det tredjelandet i fråga säkerställer en adekvat skyddsnivå.^{(1)Artiklarna 44 och 45 i GDPR.}EU-kommissionen har tidigare fattat två sådana beslut för USA.^{(2)Kommissionens beslut 2000/520 av den 26 juli 2000 enligt Europarlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbour Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat (EUT L 215, 25.8.2000, s. 7-47), och Kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet och Förenta staterna (EUT L 207, 1.8.2016, s. 1-112).}Dessa beslut har senare kommit att ogiltigförklaras av EU-domstolen i SchremsI och Schrems II. Anledningen var i båda fallen att de amerikanska underrättelsemyndigheternas tillgång till och användning av EU-medborgares personuppgifter inte var begränsad till vad som var proportionerligt, och att EU-medborgare vars personuppgifter behandlats inte hade tillgång till ett effektivt rättsmedel för att kunna utmana underrättelsemyndigheternas övervakningsåtgärder.

Den 10 juli 2023 fattade EU-kommissionen, för tredje gången, beslut om adekvat skyddsnivå för USA. Det innebär att personuppgifter nu återigen kan föras över fritt från EU till USA, under förutsättning att det mottagande företaget eller organisationen i USA är certifierat under det nya EU-US Data Privacy Framework (EU-US DPF).^{(3)Kommissionens genomförandebeslut (EU) 2023/1795 av den 10 juli 2023 i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 om adekvat skydd av personuppgifter enligt ramen för dataskydd mellan EU och Förenta staterna (EUT L 231/118, 20.9.2023, s. 118-229).} Till grund för EU-kommissionens beslut ligger i stora delar Executive Order 14086 (E.O. 14086) som inför nya säkerhetsåtgärder för att åtgärda de problem EU-domstolen tidigare har identifierat.

När EU-kommissionen lät annonsera det nya adekvansbeslutet för USA lät kritiken inte vänta på sig utan röster höjdes snabbt om att många av de brister som EU-domstolen ansåg finnas i Privacy Shield kvarstår i det nya EU-US DPF. Frågan som här ska undersökas är därför om de förändringar som E.O. 14086 har gett upphov till förändrar rättsläget efter Schrems II på så vis att USA nu säkerställer en adekvat skyddsnivå eller om EU-US DPF riskerar att gå samma öde som sina föregångare till mötes.

När EU-kommissionen lät annonsera det nya adekvansbeslutet för USA lät kritiken inte vänta på sig utan röster höjdes snabbt om att många av de brister som EU-domstolen ansåg finnas i Privacy Shield kvarstår i det nya EU-US DPF.

2. Rätten till respekt för privatlivet och skydd av personuppgifter

Rätten till respekt för privatlivet och skydd av personuppgifter är två grundläggande rättigheter som föreskrivs i artiklarna 7 och 8 i EU-stadgan. Ingen av dessa rättigheter är dock absoluta utan får begränsas i enlighet med de krav som ställs upp i artikel 52.1 i EU-stadgan.^{(4)Schrems II, p. 172.} För att vara tillåten ska enbegränsning vara föreskriven i lag, tjäna ett legitimt syfte, vara proportionerlig i förhållande till syftet, samt vara förenlig med bevarandet av den grundläggande rättighetens väsentliga innehåll. Fokus för prövningen i Schrems I och Schrems II var kravet på proportionalitet. EU-domstolen framhöll att detta krav innebär att ingrepp i grundläggande rättigheter ska begränsas till vad som är strikt nödvändigt.^{(5)Schrems I, p. 92, och Schrems II, p. 176.}Det innebär i sin tur att den rättsliga grund som möjliggör ingreppet i rättigheterna i sig måste uppfylla kravet på proportionalitet.^{(6)Schrems II, p. 175.}För att uppfylla detta krav måste den rättsliga grundendefiniera räckvidden av begränsningen i utövandet av den aktuella rättigheten.^{(7)Schrems II, p. 175.}Den rättsliga grunden måste därför innehålla tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden, och som fastställer skyddsåtgärder.^{(8)Schrems II, p. 176.}

EU-domstolens krav på att den rättsliga grund som möjliggör ingrepp i grundläggande rättigheter ska innehålla tydliga och precisa bestämmelser korresponderar med kravet i artikel 52.1 i EU-stadgan på att varje begränsning i utövandet av en rättighet ska vara föreskriven i lag. För att en lag ska uppfylla detta krav måste den ha en rättslig grund i nationell lag men även vara kompatibel med rättsstatsprincipen.^{(9)Gillion och Quinton mot Förenade kungariket, p. 76.}Det senare innebär att lagen i fråga måste vara tillgänglig och förutsebar.^{(10)Gillion och Quinton mot Förenade kungariket, p. 76.}

Det går att ifrågasätta om EU-US DPF uppfyller kravet på förutsebarhet. Att en lag är förutsebar innebär att den är så tydligt formulerad att det är möjligt för en enskild person att anpassa sitt beteende efter den.^{(11)Gillion och Quinton mot Förenade kungariket, p. 76.} Den enskilde måste, med andra ord, kunna förutse de konsekvenser som en viss handling kan medföra.^{(12)Sunday Times mot Förenade kungariket, p. 49, och Silver m.fl. mot Förenade kungariket, p. 88.} Förutsebarhet när det gäller hemliga övervakningsåtgärder kan dock inte vara densamma som inom många andra områden. I dessa sammanhang kan förutsebarhet inte betyda att en enskild person ska kunna förutse när offentliga myndigheter kan komma att avlyssna dennes kommunikation och anpassa sig därefter,^{(13)Sacharov mot Ryssland, p. 229.} eftersom syftet med övervakningen då skulle gå förlorat. Likväl måste dock den nationella lagen vara tillräckligt tydlig så att enskilda förstår under vilka omständigheter och på vilka villkor offentliga myndigheter har rätt att tillgripa sådana åtgärder.^{(14)Sacharov mot Ryssland, p. 229.}

Det går att ifrågasätta om EU-US DPF uppfyller kravet på förutsebarhet.

EU-domstolen har i Schrems II slagit fast att varken Section 702 FISA eller E.O. 12333 (som är de rättsliga grunder som möjliggör ingrepp i artiklarna 7 och 8 i EU-stadgan) innehåller tillräckligt tydliga och precisa bestämmelser,^{(15)Schrems II, p. 180 och 183.}och dessa har i sig inte förändrats sedan tiden för Schrems II. Vad som däremot har förändrats är att PPD-28 har ersatts av E.O. 14086, varigenom nya regler har införts för att stärka skyddsåtgärderna för amerikansk signalspaningsverksamhet. Frågan är därmed om E.O. 14086 kan anses bemöta de brister som tidigare har identifierats av EU-domstolen.

En positiv aspekt är att E.O. 14086 innehåller en förteckning över legitima respektive förbjudna ändamål.^{(16)Section 2(b)(ii)(A) i E.O. 14086.} Att E.O. 14086 på detta sätt anger för vilka ändamål som insamling av personuppgifter får och inte får ske är positivt eftersom det ökar förutsebarheten för individer. Ett problem är dock att vissa av ändamålen är allmänt hållna och möjliggör en vid tolkning. Till exempel får insamling av personuppgifter ske för att förstå och bedöma transnationella hot som påverkar den globala säkerheten, utan att det närmre specificeras vad som menas med global säkerhet. För bulkinsamling är antalet legitima ändamål färre till antalet än för riktad insamling (det vill säga sex i stället för tolv).^{(17)Section 2(c)(ii)(A) i E.O. 14086.} EDPB har framhållit att dessa ändamål visserligen är mer detaljerade än de ändamål som angavs i PPD-28, men att omfattningen av den insamling som får göras fortfarande är bred och kan omfatta stora volymer av personuppgifter.^{(18)EDPB:s yttrande 5/2023, p. 140.} Ytterligare ett problem är att USA:s president ges möjlighet att, mot bakgrund av nya tvingande krav avseende den nationella säkerheten, lägga till fler legitima ändamål.^{(19)Section 2(b)(i)(B) och 2(c)(ii)(A) i E.O. 14086.} Presidenten ges även möjlighet att besluta att dessa nya ändamål inte ska offentliggöras om presidenten anser att ett offentliggörande skulle utgöra en nationell säkerhetsrisk för USA.^{(20)Section 2(b)(i)(B) och 2(c)(ii)(A) i E.O. 14086.}

Att E.O. 14086 på detta sätt anger för vilka ändamål som insamling av person­uppgifter får och inte får ske är positivt eftersom det ökar förutsebarheten för individer.

Att E.O. 14086 listar ändamål för vilka övervakning får ske och inte innebär förbättringar i förhållande till Privacy Shield, men dessa förbättringar urholkas i samma utsträckning av möjligheten till vida tolkningar av existerande ändamål liksom möjligheterna för USA:s president att lägga till nya (inte nödvändigtvis offentliga) ändamål. Det skulle tala för att bestämmelserna i E.O. 14086 inte uppfyller kravet på tydlighet och precision. Samtidigt måste detta krav ses mot bakgrund av två domar som meddelades av EU-domstolen år 2022. EU-domstolen vidhåller i dessa domar det krav som den tidigare har ställt upp i Schrems II, det vill säga att den rättsliga grund som möjliggör ingrepp i en grundläggande rättighet själv måste definiera räckvidden av begränsningen i utövandet av den aktuella rättigheten.^{(21)Ligue des droits humains, p. 114, och Polen mot parlamentet och rådet, p. 64.} Till skillnad från i Schrems II lägger dock EU-domstolen till att detta krav inte hindrar att den lagstiftning genom vilken begränsningen införs har en lydelse som är tillräckligt öppen för att möjliggöra en anpassning till olika situationer och förändrade omständigheter.^{(22)Ligue des droits humains, p. 114, och Polen mot parlamentet och rådet, p. 74.} Det verkar därmed som att EU-domstolen har öppnat upp för en viss flexibilitet som sänker det krav som den tidigare har ställt upp i Schrems II. Det är olyckligt eftersom det sänker graden av förutsebarhet och det skydd som rättsstatsprincipen medför.^{(23)Musco Eklund & Brewczyńska (2023).} I motsvarande mån ökar dock chanserna för att bestämmelserna i E.O. 14086 ska passera som tydliga och precisa.

3. Rätten till ett effektivt rättsmedel

Där det finns rättigheter måste det finnas rättsmedel eftersom rättigheter annars inte kan upprätthållas och deras skyddande funktion försvinner.^{(24)Lebeck (2016), s. 350.} Artikel 47 i EU-stadgan föreskriver därför att var och en vars unionsrättsligt garanterade fri- och rättigheter har kränkts har rätt till ett effektivt rättsmedel inför en domstol. EU-domstolen framhöll i Schrems II att det följer av artikel 47 i EU-stadgan att enskilda ska ha möjlighet att utöva sin rätt till rättslig prövning inför en oavhängig och opartisk domstol för att erhålla tillgång till, rätta eller radera personuppgifter som rör dem.^{(25)Schrems II, p. 194.} EU-domstolen ansåg dock inte att Privacy Shields ombudsmannamekanism kunde leva upp till dessa krav, bland annat på grund av dess brist på oavhängighet i förhållande till den verkställande makten.^{(26)Schrems II, p. 195 och 197.}

Att E.O. 14086 listar ändamål för vilka övervakning får ske och inte innebär förbättringar i förhållande till Privacy Shield, men dessa förbättringar urholkas i samma utsträckning av möjligheten till vida tolkningar av existerande ändamål liksom möjligheterna för USA:s president att lägga till nya (inte nödvändigtvis offentliga) ändamål.

Genom EU-US DPF inrättas en särskild prövningsmekanism bestående i två nivåer för att hantera och lösa klagomål från utländska medborgare i fråga om amerikanska övervakningsåtgärder. På den första nivån kan enskilda lämna in klagomål till ”Civil Liberties Protection Officer” (CLPO). På den andra nivån har enskilda sedan möjlighet att överklaga CLPO:s beslut till den nybildade ”Data Protection Review Court” (DPRC). Nedan undersöks om DPRC kan anses uppfylla de krav på ett effektivt rättsmedel som EU-domstolen ställde upp i Schrems II. Att endast DPRC, och inte CLPO, undersöks beror på att Europeiska dataskyddsstyrelsen (EDPB) har slagit fast att CLPO inte är tillräckligt oberoende från den verkställande makten för att kunna anses uppfylla kraven i artikel 47 i EU-stadgan.^{(27)EDPB:s yttrande 5/2023, p. 216.}

EU-domstolens första krav är att enskilda ska ha möjlighet att utöva sin rätt till rättslig prövning inför en oavhängig och opartisk domstol. DPRC rapporterar inte till justitieministern och är inte heller föremål för löpande tillsyn från justitieministerns sida.^{(28)28 C.F.R §201.7(d).}Vidare innehåller EU-US DPF vissa garantier vad gäller domarna i DPRC:s avsättning. Enligt bestämmelserna i E.O. 14086 är det endast möjligt att avsätta en domare innan dennes ämbetsperiod löper ut under snävt definierade omständigheter, som exempelvis vid tjänstefel.^{(29)Section (d)(iv) i E.O. 14086, och 28 C.F.R §201.7(d).}Det innebär sammantaget förbättringar jämfört med Privacy Shields ombudsmannamekanism. Trots det finns det omständigheter som gör att det går att ifrågasätta DPRC:s verkliga oberoende i förhållande till den verkställande makten. DPRC inrättas genom ett dekret utfärdat av justitieministern, domarna i DPRC utses av justitieministern(även om det sker i samråd med handelsministern, direktören för den nationella underrättelse­tjänsten och ”Privacy and Civil Liberties Oversight Board” (PCLOB)),^{(30)Section 3(d)(i)(A) i E.O. 14086.}och även om inte justitieministern kan avsätta domare i DPRC såfinns det inget som hindrar USA:s president från att göra det. Enligt Europaparlamentet medför dessa omständigheter att DPRC inte kan anses uppfylla de krav på oavhängighet och opartiskhet som föreskrivs i artikel 47 i EU-stadgan.^{(31)Europaparlamentets resolution 2023/2501 (RSP), p. 9.}

EU-domstolens andra krav är att enskilda ska ha möjlighet att använda domstolen i fråga för att erhålla tillgång till, rätta, eller radera personuppgifter som rör dem. EU-domstolen ansåg i Schrems II att detta krav inte var uppfyllt eftersom ombudsmannen inte var behörig att fatta bindande beslut i förhållande till underrättelsemyndigheterna.^{(32)Schrems II, p. 196.} Samma problem finns inte i EU-US DPF eftersom de beslut som fattas av DPRC har bindande verkan.^{(33)Section 3(d)(ii) i E.O. 14086.} Trots det är det tveksamt om DPRC kan anses uppfylla EU-domstolens krav. I detta fall är det inte domstolens avsaknad av tvingande korrigerande befogenheter som är problemet utan myndigheternas avsaknad av information till den enskilde, vilket många gånger är en förutsättning för att en enskild ska ha möjlighet att tillvarata sina rättigheter.

EU-domstolen har flera gånger betonat vikten av att enskilda informeras. I Yttrande 1/15 framhöll EU-domstolen att det var nödvändigt att flygpassagerare informerades om överföringen av deras uppgifter till Kanada och om användningen av dessa uppgifter för att de i enlighet med artikel 47 i EU-stadgan skulle kunna utnyttja ett effektivt rättsmedel inför domstol.^{(34)Yttrande 1/15, p. 220.}Likaså i Tele2/Watson uttryckte EU-domstolen att det var nödvändigt att en enskild informerades för att denne skulle kunna utöva sin rätt till rättslig prövning vid kränkning av dennes rättigheter.^{(35)Tele2/Watson, p. 121.}I såväl Yttrande 1/15 som Tele2/Watson framhöll dock EU-domstolen att information till de enskilda endast behövde lämnas i den omfattning och så snart denna information inte längre äventyrade den verksamhet som myndigheten var ansvarig för.^{(36)Yttrande 1/15, p. 220, och Tele2/Watson, p. 121.}I övervakningssammanhang innebär det rimligen att en myndighet inte behöver informera en enskild om en övervakningsåtgärd förrän denna åtgärd har avslutats.

I detta fall är det inte domstolens avsaknad av tvingande korrigerande befogenheter som är problemet utan myndigheternas avsaknad av information till den enskilde, vilket många gånger är en förutsättning för att en enskild ska ha möjlighet att tillvarata sina rättigheter.

Justitiedepartementet åläggs ett visst informationskrav ifall departementet avser att använda information inhämtad genom Section 702 FISA mot en svarande i en rättslig eller administrativ process, men det inte är inte fråga om någon generell informationsskyldighet.^{(37)Wen (2016), s. 1211.}Vad gäller E.O. 12333 finns det ingen bestämmelse som kräver att en underrättelsemyndighet lämnar information till en person vars personuppgifter har samlats in.^{(38)Wen (2016), s. 1135.}Detsamma gäller för E.O. 14086. Att den enskilde i de flesta fall inte informeras gör det svårt för denne att utöva sina rättigheter enligt artikel 47 i EU-stadgan.

Även Europadomstolen är av uppfattningen att det är nödvändigt att en enskild informeras för att denne ska kunna utöva sin rätt till rättslig prövning vid kränkning av dennes rättigheter. Europadomstolen har dock framhållit att denna rättighet kan tillgodoses på ett annat sätt, nämligen genom att göra det möjligt för individer som misstänker att de är föremål för övervakning att vända sig till en domstol vars jurisdiktion inte är beroende av att individen i fråga har informerats.^{(39)Sacharov mot Ryssland, p. 286-288.}

I USA begränsas en enskilds möjligheter att väcka talan mot amerikanska övervakningsåtgärder vid federala domstolar av kravet i artikel III i USA:s konstitution på att den enskilde måste visa att han eller hon har talerätt.^{(40)Förslag till avgörande, Schrems II, p. 67.}Talerätt förutsätter i sin tur att den enskilde kan visa på konkret, specifik och faktisk skada eller överhängande risk för sådan skada.^{(41)Förslag till avgörande, Schrems II, p. 67.}Detta krav är svårt att uppfylla i övervakningsmål eftersom enskilda personer i sådana mål i regel inte informeras om de övervakningsåtgärder som vidtas mot dem ens när dessa åtgärder har avslutats. Inom den nya prövningsmekanismen, däremot, är talerättskravet inte tillämpligt. DPRC:s jurisdiktion är, med andra ord, inte beroende av att en individ har informerats om att han eller hon är eller har varit föremål för övervakning. DPRC skulle därmed kunna vara en sådan domstol som Europadomstolen menar kan utgöra ett alternativ till en domstol vars behörighet är beroende av att en individ har informerats. Problemet är dock att Europadomstolen har framhållit att en sådan domstol måste uppfylla vissa krav, bland annat i fråga om oberoende.^{(42)Kennedy mot Förenade kungariket, p. 167.}Det är ett problem eftersom DPRC:s oberoende i förhållande till den verkställande makten, som redogjorts för ovan, kan ifrågasättas.

4. Rätten till ett rättvist förfarande

Ett rättsmedel kan inte bedömas som effektivt om förfarandet inte är rättvist. Ytterligare en aspekt av artikel 47 (som inte behandlades av EU-domstolen inom ramen för Schrems I eller Schrems II men som kan vara ett problem under EU-US DPF) är den sekretess som omger domstolsprocessen i DPRC och hur denna påverkar enskildas möjligheter till ett rättvist förfarande, såsom den föreskrivs i artikel 47 i EU-stadgan. Det finns flera grundläggande aspekter av denna rätt, bland annat rätten till ett motiverat beslut som medför en rätt för den enskilde att ta del av skälen för ett beslut.

Under EU-US DPF har klaganden inte möjlighet att få tillgång till de beslut som meddelas av DPRC. När DPRC har avslutat sin granskning av klagandens ansökan ska DPRC inte röja om klaganden har varit föremål för övervakningsåtgärder eller inte. I stället meddelas klaganden endast att några överträdelser som omfattas av regelverket inte har upptäckts eller att DPRC har utfärdat ett beslut med krav på lämpliga korrigerande åtgärder.^{(43)Section 3(d)(i)(H) i E.O. 14086.} Det syfte som DPRC:s standardsvar tjänar (det vill säga att skydda känsliga uppgifter om amerikansk underrättelseverksamhet) är generellt sett legitimt, men dess generella tillämpning och avsaknad av undantag kan innebära problem.^{(44)EDPB:s yttrande 5/2023, p. 241.}

När DPRC har avslutat sin granskning av klagandens ansökan ska DPRC inte röja om klaganden har varit föremål för övervakningsåtgärder eller inte.

Liknande situationer har tidigare varit föremål för EU-domstolens bedömning. I Kadi II framhöll EU-domstolen att artikel 47 i EU-stadgan innebär att en person måste ha möjlighet att få kännedom om de skäl som ligger till grund för de beslut som fattas rörande honom eller henne, men att artikel 52.1 i EU-stadgan under vissa förutsättningar tillåter begränsningar i denna rättighet.^{(45)Kadi II, p. 100-101.} I fall där tvingande hänsyn rörande den nationella säkerheten utgör hinder för att lämna ut uppgifter eller bevisning till en person ankommer det på en domstol att i varje enskilt fall avgöra om det finns stöd för de skäl som en myndighet anför för att motsätta sig en utlämning av uppgifter.^{(46)Kadi II, p. 125-126.} Om det visar sig att dessa skäl utgör hinder för att personen informeras krävs det ändå att domstolen gör en lämplig avvägning mellan rätten till ett effektivt domstolsskydd å ena sidan och den nationella säkerheten å andra sidan.^{(47)Kadi II, p. 128.} Vid en sådan intresseavvägning kan det vara tillåtet att välja sådana alternativ som att lämna ut en sammanfattning av de uppgifter och den bevisning som är i fråga.^{(48)Kadi II, p. 129.} Rätten till ett motiverat beslut är med andra ord inte en absolut rättighet men en begränsning av denna måste vara resultatet av en lämplig intresseavvägning som har gjorts av en domstol.

Under EU-US DPF kan det komma att finnas en försenad rätt till ett motiverat beslut. Handelsdepartementet ska nämligen vart femte år kontakta relevanta delar av underrättelsetjänsten för att se om sekretessen har hävts för uppgifter som har att göra med den granskning som domstolen har genomfört.^{(49)Section 3(d)(v)(B) i E.O. 14086.} Om så är fallet ska klaganden informeras om detta av lämplig offentlig myndighet.^{(50)Section 3(d)(v)(C) i E.O. 14086.} Även om detta skulle anses kunna vara resultatet av en lämplig intresseavvägning så har intresseavvägningen inte gjorts av rätt organ, det vill säga en domstol. I stället är det under EU-US DPF relevanta delar av underrättelsetjänsten som bedömer om sekretessen kan hävas.

Rätten till ett motiverat beslut är med andra ord inte en absolut rättighet men en begränsning av denna måste vara resultatet av en lämplig intresseavvägning som har gjorts av en domstol.

5. Slutord

En förutsättning för att USA ska anses kunna säkerställa en adekvat skyddsnivå för personuppgifter som överförs från EU till USA är att de brister som EU-domstolen identifierade i Privacy Shield har åtgärdats. Även om EU-US DPF i många delar innebär en förbättring i förhållande till Privacy Shield (som i sin tur innebar en förbättring i förhållande till Safe Harbour) är det tveksamt om så är fallet. I enlighet med vad som har angetts ovan innebär EU-US DPF sannolikt inte att oproportionerliga ingrepp i grundläggande rättigheter förhindras, eller att ett effektivt rättsmedel för att kunna utmana dessa ingrepp tillhandahålls. Två gånger tidigare har EU-domstolen ogiltigförklarat de adekvansbeslut som EU-kommissionen har utfärdat för USA, och sannolikt väntar ett tredje.

Även om detta skulle anses kunna vara resultatet av en lämplig intresseavvägning så har intresseavvägningen inte gjorts av rätt organ, det vill säga en domstol.