Sök Sök Premium
Meny
Sök Sök Premium
Översikt
Hittar du inte vad du letar efter? Klicka här för att söka.
Annons
Annons

”Problemet med USA:s massövervakning – staten har tillgång till fler personuppgifter än i EU”

Debatt
Publicerad: 2015-10-29 10:50

DEBATT/REPLIK – av advokaten Johan Engdahl och biträdande juristen Elin Elvgren, MAQS Advokatbyrå

 

I en replik på vår senaste artikel (Dagens Juridik 2015-10-23 respektive 2015-10-22) anges att USA:s möjlighet att kräva utlämning av EU-medborgares personuppgifter från amerikanska företag inte är en säkerhetsbrist, utan endast ett uttryck för brist på adekvat skyddsnivå. Vi bemöter detta här.

Brist på lämplig säkerhetsnivå eller adekvat skyddsnivå – är det någon skillnad? Som utgångspunkt finns det, som replikanderna har påpekat, en skillnad mellan vad som utgör en adekvat skyddsnivå respektive en lämplig säkerhetsnivå och vilka faktorer som påverkar dessa två bedömningar.

En av skillnaderna är att det, som huvudregel, endast är vid bedömningen av adekvat skyddsnivå som hänsyn tas till lagstiftningen i det landet som personuppgifterna överförs till. För att avgöra vad som är en lämplig säkerhetsnivå för personuppgifter och vilka åtgärder som ska vidtas för att åtgärda en eventuell säkerhetsbrist, beaktas istället bland annat de särskilda risker som finns med behandlingen av personuppgifterna.

Vid bedömningen av vad som utgör en lämplig säkerhetsnivå, med hänsyn till de särskilda risker som finns med en viss personuppgiftsbehandling, ska den personuppgiftsansvarige kartlägga den specifika hotbilden. Kartläggningen ska göras genom att bedöma

  1. vilken hotbild som finns,
  2. hur stor risken är för att hotbilden realiseras
  3. vilka konsekvenserna i så fall blir samt
  4. vilka resurser en obehörig behöver för att realisera ett hot.

Ett exempel på möjliga hot, eller – som Datainspektionen uttrycker det – störningar, som en aktör ska ta hänsyn till är risken för obehörigas åtkomst till personuppgifterna. Risken för och skadorna av ett angrepp ökar när det är en stor mängd personuppgifter som behandlas.

Vi menar att det efter EU-domstolens dom är möjligt att bedömningarna av adekvat skyddsnivå respektive lämplig säkerhetsnivå kommer att närma sig varandra, på så sätt att USA:s lagstiftning även kommer att påverka bedömningen av lämplig säkerhetsnivå.

Syftet med att ålägga den personuppgiftsansvarige ett ansvar för säkerheten för personuppgifterna är nämligen att se till att personuppgifterna faktiskt skyddas mot de risker som finns, vilket bland annat alltså omfattar risken för obehörigas åtkomst till personuppgifterna.

Det följer av personuppgiftslagen att både ansvaret eller säkerhetsnivån ska vara minst desamma när en personuppgiftsansvarige väljer att anlita ett personuppgiftsbiträde istället för att själv utföra behandlingen.

Sedan Edward Snowdens avslöjanden vet vi att det förekommer massövervakning från amerikanska myndigheter samt att konsekvensen av en sådan massövervakning är att den enskildes integritet och därmed den enskildes grundläggande rättigheter, enligt artikel 7 och 8 i EU:s stadga om de grundläggande rättigheterna, riskerar att bli kränkt.

Risken för – hot om – massövervakning medför att personuppgifter inte är lika skyddade i USA som i EU. En logisk följd är därför att en personuppgiftsansvarig framöver kan komma att behöva beakta de praktiska konsekvenserna av USA:s lagstiftning – det vill säga risken för massövervakning – som en särskild risk vid sin kartläggning av hotbilden och därmed vid bedömningen av vad som är en lämplig säkerhetsnivå för personuppgifterna.

Detta kan i sin tur medföra att personuppgifter, i de fall där en hög säkerhetsnivå krävs, inte får överföras till USA.

Den amerikanska lagstiftningen får alltså direkt betydelse för bedömningen av en adekvat skyddsnivå och kan också få indirekt betydelse för bedömningen av en lämplig säkerhetsnivå.

Problemet med USA:s massövervakning är att personuppgifter kommer att lämnas ut till rättsvårdande myndigheter i USA i större utsträckning än i EU. Undantag från och begränsningar av skyddet för personuppgifter är inom EU endast tillåtna när det är ”strängt nödvändigt”.

Som EU-domstolen konstaterat är inte USA:s lagstiftning, som generellt tillåter lagring av samtliga personuppgifter har överförts från EU till USA, begränsad till vad som är ”strängt nödvändigt”. USA:s massövervakning är därför inte nödvändig i ett demokratiskt samhälle, varför den inte får begränsa skyddet för den personliga integriteten.

Att säkerhetsnivån nu är ett problem är även något som Datainspektionens chefsjurist Hans-Olof Lindblom lyfter fram.

Den särskilda risken, i form av risken för massövervakning, uppstår i praktiken när personuppgifterna blir åtkomliga för den amerikanska underrättelsetjänsten och personuppgifterna således har överförts till och lagras i USA. Därmed kan en pedagogisk uppdelning göras i överföring respektive lagring – för att tydliggöra och åskådliggöra den nu beskrivna problematiken och den särskilda risk som har uppstått för personuppgifter som överförs från EU till USA.

Vi rekommenderar försiktighet. Konsekvenserna av EU-domstolens dom och det ändrade rättsläget är många. Artikel 29-gruppen har beslutat om en så kallad ”grace period” till slutet av januari 2016. Fram till dess ger tillsynsmyndigheten företag och myndigheter en möjlighet att se över sina rutiner.

Som vi har belyst i våra artiklar, bedömer vi dock att EU-domstolens dom kan medföra konsekvenser även för de kvarvarande undantagen från överföringsförbudet.

För att överföring till och behandling av personuppgifter i USA ska vara tillåten framöver – efter januari 2016 – krävs förmodligen att USA:s lagstiftning ändras för att säkerställa ett tillräckligt skydd mot att personuppgifter som överförs dit blir föremål för myndighetsövervakning – en slutsats som också Datainspektionens chefsjurist Hans-Olof Lindblom har dragit.

Precis som advokatbyrån MAQS tidigare har rekommenderat, rekommenderar nu också Hans-Olof Lindblom i sin kommentar till EU-domstolens dom att svenska aktörer bör fundera över

  1. riskerna med en överföring
  2. om det överhuvudtaget finns några lösningar för att minska dessa risker samt
  3. att – så långt det är möjligt – fundera över att istället behandla personuppgifterna inom EU:

”Gruppen rekommenderar att alla bolag som överför personuppgifter utanför EU funderar på om överföringarna är helt nödvändiga, om det går att lösa behovet på ett annat sätt än att överföra personuppgifter och vilka risker som är förknippade med överföringarna och om det finns legala och tekniska lösningar som kan minska riskerna.” (Hans-Olof Lindblom, ”Safe harbor-domen får stora konsekvenser” (publicerad den 22 oktober 2015).                 

Med USA:s nuvarande lagstiftning menar vi att det inte finns några legala och tekniska lösningar som den personuppgiftsansvarige kan vidta för att minska risken för massövervakning av personuppgifter i USA. Detta eftersom de amerikanska lagarna går före eventuella överenskommelser.

Därmed kan inte personuppgiftsansvariga i alla situationer säkerställa den lämpliga säkerhetsnivå som krävs, särskilt för personuppgifter som är mer integritetskränkande och/eller omfattande och som därmed kräver en högre säkerhetsnivå. Det ska tilläggas att kravet på den personuppgiftsansvarige att vidta tillräckliga säkerhetsåtgärder för att uppnå en lämplig säkerhetsnivå är ovillkorligt och kan inte efterges av exempelvis den person som personuppgifterna avser.

En överföring som grundar sig på ett samtycke från den person som personuppgifterna berör, säkerställer alltså inte att överföringen faktiskt får ske, även om samtycke är ett av de befintliga undantagen från överföringsförbudet.

Mot bakgrund av den rådande situationen i USA rekommenderar vi därför tills vidare restriktivitet och försiktighet vid överföring till och behandling av personuppgifter i USA. Vår rekommendation är därför att svenska aktörer även fortsättningsvis – i vart fall fram till januari 2016 – ska:

  1. Kartlägga vilken typ av personuppgifter som överförs till USA och – om möjligt – se till att mer känsliga personuppgifter istället behandlas inom EU.
  2. Begränsa sina överföringar av personuppgifter till USA till de situationer då överföringarna är absolut nödvändiga.
  3. Se till att eventuella överföringar till USA inte grundar sig på Safe Harbor-undantaget, utan att de istället bygger på något eller några av de andra undantagen från överföringsförbudet.

Hur situationen ska hanteras efter januari 2016 kommer det att finnas all anledning att återkomma till.

Stefan Wahlberg
stefan.wahlberg@blendow.se
Dela sidan:
Skriv ut:
Taggar:
Relaterade Läs mer inom Debatt

”Legal Operations – ett verktyg för att skapa en effektiv och motståndskraftig juristfunktion”

DEBATT - av Linn Alfredsson, principal corporate counsel, Microsoft western Europe och Sara Edlund, general counsel på Dustin.

Nämndemännen: ”Eniga med Domstolverkets generaldirektör”

DEBATT - av Stefan Blomquist, Förbundsordförande Nämndemännens Riksförbund

Thomas Rolén – ”Jag förstår att snippadomen väcker känslor”

KRÖNIKA - av Thomas Rolén, Generaldirektör Domstolsverket
Annons

Annons
Annons

Gabriel Barsoum till HD: Aldrig haft uppsåt att vilseleda domstolarna

Ber Högsta domstolen beakta tiden som förflutit

Blåljussabotage när 20-åring försökte hindra gripande av kompis

Försvårat avlägsnandet

Riksrevisionen: Myndigheternas digitala tjänster behöver bli bättre

Kvalitetsbrister som får privatpersoner svårt att använda tjänsterna

Affärsman frias från åtal om grovt svindleri på halv miljard kronor

Enligt åtal lurades investerare att investera 590 miljoner kronor i värdelösa obligationer

Luleåadvokat ska få ersättning för resor till Gävle – ”hunnit bli väl insatt”

Trots att mycket talar emot detta

Dagens Juridik Logotyp

Tipsa oss!Om du har ett nyhetstips eller om du vill medverka med en krönika eller debattartikel – kontakta redaktionen på e-post: tips@dagensjuridik.se

Kontakta oss

Växel: 08-579 366 00
E-post: red@dagensjuridik.se
Chefredaktör: Eric Tagesson
VD och ansvarig utgivare: Marcus Bouvin

Dagens Juridik
Blendow Publishing AB
Humlegårdsgatan 14
114 46 Stockholm

Till kontaktsidan

Till toppen av sidan