Innebörden av adekvat skyddsnivå

6.2.1 Formell eller materiell bedömning?

I Schrems I ogiltigförklarade EU-domstolen som bekant EU-kommissionens Safe Harbor-beslut. I doktrinen har det diskuterats om ogiltigförklaringen var resultatet av en materiell prövning av amerikansk rätt eller om den istället var ett resultat av en formell prövning av kommissionens beslut utifrån dess befogenheter.371

Scheinin menar att det snarare var en fråga om jurisdiktion, och att domstolen därför gjorde en formell bedömning av kommissionens beslut. EU-domstolen är en domstol som agerar på EU-rättens område, och den har särskilt till uppgift att se till att EU:s institutioner inte överskrider sina befogenheter. När kommissionen beslutade om Safe Harbor hade den i flera avseenden överträtt EU-rättsliga regler som säkerställer rätten till privatliv. Därför förklarades kommissionens agerande olagligt av domstolen.372 Det hade därmed ingen betydelse i sammanhanget vilka ändringar som eventuellt hade genomförts i amerikansk rätt efter det att Schrems I hade nått den nationella domstolen, som sedan begärde förhandsavgörande från EU-domstolen.373 Tzanou menar istället att valet att angripa kommissionens beslut snarare var en försiktighetsåtgärd och ett sätt att undvika att utmana amerikansk lagstiftning.374

371 Se t.ex. Bender, Having mishandled Safe Harbor, will the CJEU do better with Privacy Shield? A US perspective, International Data Privacy Law 2016, vol. 6, no. 2, s. 120. Bender tycks utgå från att EU-domstolen har gjort en materiell (och felaktig) bedömning av innehållet i amerikansk rätt vad gäller dataskydd.

372 Scheinin, s. 344.

373 A. st.

59

Det finns flera omständigheter som talar för att bedömningen av huruvida adekvat skyddsnivå föreligger framför allt är att se som en formell bedömning av huruvida kommissionen i sina beslut upprätthåller den nivån. I Schrems I resonerade domstolen exempelvis kring vad kommissionen har att beakta när den fattar ett beslut om adekvat skyddsnivå, och domstolen uttalade dessutom uttryckligen att Safe Harbor-principernas innehåll inte skulle bedömas.375

Domen i Schrems II innehåller rubriken ”Innehållet i beslutet om skölden för skydd av privatliv”, vilket kan anses tala för att en bedömning gjordes av innehållet i beslutet snarare än innehållet i amerikansk rätt. Dessutom visar det sig i den del av domen som följer den rubriken att bedömningen utgår från bestämmelser i beslutet om adekvat skyddsnivå, som alltså är det beslut som EU-kommissionen fattat.376 Enligt min uppfattning är det därmed förhållandevis tydligt att domstolen gjorde en formell bedömning av huruvida adekvat skyddsnivå förelåg i Schrems II. Längre fram i domen konstaterade domstolen att dess slutsats var att kommissionen hade åsidosatt de krav som följer av artikel 45.1 dataskyddsförordningen jämförd med artiklarna 7, 8 och 47 i stadgan.377 Sammantaget är min slutsats att det mesta tycks tala för att domstolen gjorde, och enligt dataskyddsförordningen också ska göra, en formell bedömning av hur kommissionen har fattat sitt beslut om adekvat skyddsnivå.378 Domarna i Schrems I och II kanske därmed kan sägas rikta sig främst till kommissionen. Det framstår som logiskt och rimligt att EU-domstolen inte gör detaljerade uttalanden kring amerikansk rätt eftersom den amerikanska staten inte är bunden av dess domar. Trots detta har Schrems I och II inneburit omfattande konsekvenser för amerikanska företag som använt sig av Safe Harbor eller Privacy Shield som grund för överföring. Detta berörs vidare i avsnitt 6.2.5.

6.2.2 ”Väsentligt innehåll” och proportionalitetsbedömning

Något som har uppmärksammats i debatten som följt Schrems I är att någon proportionalitetsbedömning i enlighet med artikel 52.1 i stadgan inte gjordes eller nämndes överhuvudtaget i målet.379 I Digital Rights Ireland, ett annat centralt avgörande rörande det EU-rättsliga skyddet för personuppgifter, gjordes däremot en utförlig

375 Schrems I, p. 75–78 och p. 98.

376 Schrems II, p. 163-167.

377 Schrems II, p. 198.

378 Jfr. förslag till yttrande av generaladvokat Paolo Mengozzi, föredraget 8 september 2016, Begäran om yttrande framställd av Europaparlamentet, yttrande 1/15, ECLI:EU:C:2017:592, p. 163. Generaladvokaten konstaterar att EU-domstolen inte kan uttala sig om ett tredjelands lagstiftning eller praxis.

60

proportionalitetsbedömning.380 Även i Schrems II valde domstolen, i samband med bedömningen av Privacy Shield-beslutet, att göra en proportionalitetsprövning av begränsningen av artiklarna 7 och 8 i stadgan.381 Den naturliga följdfrågan är därmed varför så inte skedde i Schrems I.

Digital Rights Ireland rörde nationell lagstiftning som införlivade datalagringsdirektivet, och direktivet ogiltigförklarades genom domen.382 En del av den lagstiftning som granskades föreskrev att leverantörer av telefonitjänster var skyldiga att lagra uppgifter angående trafik och lokalisering för sådana tjänster under en i lag föreskriven tid. Syftet med lagringen var att förebygga, avslöja och utreda brott för lagföring och för statens säkerhet.383 Den huvudsakliga frågan i målet var om datalagringsdirektivet var förenligt med stadgan.384

I Digital Rights Ireland menade domstolen att generell tillgång till innehåll i kommunikationer skulle anses kränka det väsentliga innehållet enligt artikel 52.1 första meningen, medan övervakning i och för sig också utgjorde allvarlig överträdelse av grundläggande rättigheter men inte av det väsentliga innehållet i rättigheterna enligt stadgan.385

En proportionalitetsbedömning skulle därför göras enligt artikel 52.1 i det senare fallet. Bristen på proportionalitetsbedömning i Schrems I skulle alltså kunna förklaras med att den distinktion mellan innehåll och övervakning domstolen redan flaggat för i Digital Rights Ireland upprätthölls.386 I Schrems I ansågs överträdelsen av artikel 7 och 47 avse det väsentliga

innehållet i rätten till privatliv.387 Eftersom Safe Harbor resulterade i generell tillgång till innehållsmässiga uppgifter om individer aktualiserades det väsentliga innehållet i rätten till privatliv, och överträdelsen var därmed otillåten.388 Tzanou menar att det finns två huvudsakliga förklaringar till varför amerikansk massövervakning under program som Prism anses kränka grundläggande rättigheter inom EU-rätten. För det första är övervakningsprogrammen

380 Bender, s. 126 f.

381 Schrems II, p. 174–176 samt p. 178.

382 Se Bernitz och Kjellgren, Europarättens grunder, s. 148 f.

383 Domstolens dom av den 8 april 2014, Digital Rights Ireland Ltd. mot Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Irland, The Attorney General samt Kärntner Landesregierung, Michael Seitlinger, Christof Tschohl m.fl., C-293/12 och C-594/12, ECLI:EU:C:2014:238, p. 17 (hädanefter Digital Rights Ireland).

384 Digital Rights Ireland, p. 18 och 21.

385 Scheinin, s. 342 f.

386 Brkan, The Concept of Essence of Fundamental Rights in the EU Legal Order: Peeling the Onion to its Core, European Constitutional Law Review 2018, vol. 14, no. 2, s. 353.

387 Jfr. ordalydelsen i artikel 52.1 första meningen i stadgan. Se även Brkan s. 337.

61

omfattande och ger generell tillgång till både metadata och innehållet i elektroniska kommunikationer, vilket är problematiskt i relation till artikel 7 i stadgan. För det andra tilldelar amerikansk rätt, som exempelvis section 702 FISA, inte EU-medborgare tillräckliga garantier och effektiva rättsmedel för att utöva de rättigheter som är kopplade till dataskydd, vilket utgör en kränkning av artikel 47 i stadgan.389

Förklaringen till varför någon proportionalitetsbedömning enligt artikel 52.1 andra meningen inte gjordes i Schrems I kan alltså ligga i att rättighetens väsentliga innehåll svävade i fara. Överträdelserna av artikel 7 och 47 var därmed så pass allvarliga att en sådan bedömning var överflödig.390 Bara om de andra kraven i artikel 52.1 för en tillåten begränsning hade varit uppfyllda hade en proportionalitetsbedömning blivit aktuell.391 Ojanen menar att det var den här synen på det väsentliga innehållet i artikel 7 och 47 i Schrems I som avgjorde målets utgång.392 EU-domstolen uttalade nämligen uttryckligen i domen, sedan den konstaterat att det väsentliga innehållet i rättigheterna kränkts, att det inte var nödvändigt att undersöka innehållet i Safe Harbor-principerna.393 Detta kanske kan förstås så att det finns en inre kärna i EU-stadgans grundläggande rättigheter som aldrig får utsättas för en proportionalitetsbedömning.394

Vad exakt denna kärna består av kan dock bara bestämmas genom konkret tillämpning.395 I Digital Rights Ireland ansågs datalagringsdirektivet inte påverka det väsentliga innehållet i artikel 7 och 8 i stadgan eftersom ”det inte (var) tillåtet att skaffa sig kännedom om själva innehållet i de elektroniska kommunikationerna”.396 Proportionalitetsbedömningen blev då helt avgörande för utgången i målet.397

Domstolens resonemang i Schrems I och Digital Rights Ireland kan också jämföras med dess resonemang i Tele2-domen.398 I det målet prövades direktivet om integritet och elektronisk

389 Tzanou, s. 555.

390Scheinin, s. 343. Se även Tzanou s. 557 f. och Ojanen, Making the Essence of Fundamental Rights Real: The Court of Justice of the European Union Clarifies the Structure of Fundamental Rights under the Charter: ECJ 6 October 2015, Case C-362/14, European Constitutional Law Review 2016, vol. 12, no. 2, s. 322. 391 Scheinin, s. 346. 392 Ojanen, s. 325. 393 Schrems I, p. 98. 394 Ojanen, s. 325. 395 Brkan, s. 350.

396 Digital Rights Ireland, p. 39.

397 Scheinin, s. 343 och 345. Se även Tzanou s. 554 f. och Ojanen s. 326.

398 Domstolens dom av den 21 december 2016, Tele2 Sverige AB mot Post- och telestyrelsen, samt Secretary of State for the Home Department mot Tom Watson, Peter Brice, Geoffrey Lewis, C-203/15 och C-698/15, ECLI:EU:C:2016:970 (hädanefter Tele2).

62

kommunikation i relation till rättigheterna i stadgan.399 Domstolen menade att de uppgifter som leverantörer av elektroniska kommunikationstjänster var skyldiga att lagra enligt svensk lagstiftning kunde göra det möjligt att få kännedom om med vilken person en abonnent eller användare kommunicerat och på vilket sätt, hur länge kommunikationen varat och från vilken plats kommunikationen skett. Uppgifterna kunde också göra det möjligt att få kännedom om hur ofta abonnenten eller användaren kommunicerat med vissa personer under viss tid.400 Den här typen av uppgifter menade domstolen gjorde det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter lagrats, såsom deras vanor i vardagslivet, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflyttningar och förflyttningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i. Sammantagna gjorde uppgifterna det möjligt att kartlägga de berörda personerna på ett sätt som domstolen ansåg vara lika känsligt ur integritetssynpunkt som innehållet i kommunikationerna.401 Domstolen konstaterade att det här ingreppet i artiklarna 7 och 8 i stadgan var långtgående och skulle betraktas som synnerligen allvarligt, och att det faktum att lagring och användning av uppgifterna skedde utan abonnentens eller användarens vetskap kunde ge de berörda personerna en känsla av att deras privatliv stod under ständig övervakning.402 Trots detta menade dock domstolen att det inte kunde vara fråga om en kränkning av det väsentliga innehållet i dessa rättigheter, på grund av att lagstiftningen inte medgav lagring av innehållet i en kommunikation.403 Detta ställningstagande ligger därmed i linje med domstolens resonemang i Digital Rights Ireland kring betydelsen av tillgång till innehållet i kommunikationer.404 Däremot är det enligt min mening något förvånande att domstolen först uttryckligen konstaterar att kartläggande åtgärder den anser vara lika integritetskänsliga som lagring av innehållet i kommunikationer inte kränker det väsentliga innehållet i artikel 7 och 8. Det tycks vara en något formalistisk hållning att inte låta åtgärdernas likvärdiga konsekvenser få någon praktisk betydelse, och att istället upprätthålla en uppdelning mellan tillgång till innehåll i kommunikationer och annan typ av behandling eller kartläggning

399 Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation. Se även Tele2, p. 91.

400 Tele2, p. 98.

401 Tele2, p. 99.

402 Tele2, p. 100.

403 Tele2, p. 101.

63

rörande kommunikationerna. Med anledning av att det väsentliga innehållet i rättigheterna i fråga inte ansågs ha kränkts övergick domstolen i Tele2, liksom i Digital Rights Ireland, till att göra en proportionalitetsbedömning.405

I Schrems II, liksom i Digital Rights Ireland och Tele2, gjorde domstolen en proportionalitetsbedömning istället för att konstatera att det väsentliga innehållet i rättigheterna enligt artikel 7 och 8 hade kränkts. I Schrems II konstaterade domstolen att redan ett utlämnande av personuppgifter till tredje part, som exempelvis en myndighet, utgör ett ingrepp i de grundläggande rättigheterna enligt artikel 7 och 8 i stadgan. Detta tycks i sig tala för att det väsentliga innehållet i rättigheterna kränks vid ett utlämnande till tredje part. Domstolen framhöll dock även att de rättigheterna inte är absoluta.406 Dessa konstateranden åtföljdes inte av någon bedömning av rättigheternas väsentliga innehåll.407 Domstolen övergick istället till att bedöma om Privacy Shield uppfyllde kravet på en adekvat skyddsnivå enligt artikel 45 i dataskyddsförordningen. Den uttalade att kommissionens beslut om adekvat skyddsnivå hade ifrågasatts, bland annat på grund av att övervakningsprogrammens ingrepp inte omfattades av krav som säkerställer en adekvat skyddsnivå på det sätt som garanteras enligt artikel 52.1 andra meningen i stadgan.408 Domstolen menade att det därför behövde prövas om kraven i artikel 52.1 andra meningen uppfylls enligt amerikansk rätt, och att det då inte var nödvändigt att först pröva de krav som framgår av artikel 52.1 första meningen.409 Eftersom artikelns första mening inte beaktades gjordes alltså ingen bedömning av det väsentliga innehållet i artikel 7 och 8, utan domstolen påbörjade direkt en bedömning av huruvida adekvat skyddsnivå kunde anses föreligga.410

Enligt min uppfattning är det svårt att förstå varför domstolen inte gjorde någon bedömning av det väsentliga innehållet i artikel 7 och 8 i stadgan i Schrems II. Det kan vara så att domstolen ansåg att den redan hade klargjort det väsentliga innehållet i de rättigheterna genom Digital Rights Ireland och Schrems I. Det kan också finnas effektivitetsskäl som talar för att det är rimligt att börja med en bedömning av skyddsnivån i relation till artikel 52.1 andra meningen

405 Tele2, p. 102-111.

406 Schrems II, p. 171-172.

407 Detsamma gäller artikel 47. I p. 187 i domen hänvisade domstolen till rättspraxis om det väsentliga innehållet i artikel 47, men det gjordes inte någon efterföljande bedömning av om det väsentliga innehållet hade kränkts. I fråga om artikel 47 gjordes inte någon proportionalitetsbedömning enligt artikel 52.

408 Schrems II, p. 178.

409 A. st.

64

om det är i relation till den artikeln som skyddsnivån har ifrågasatts. Samtidigt är det något som skaver med att domstolen inte överhuvudtaget gjorde några uttalanden kring det väsentliga innehållet i artiklarna 7 och 8. Kanske innebär det att den ansåg att det väsentliga innehållet i de artiklarna inte hade åsidosatts alls i Schrems II. Om domstolen hade varit av den uppfattningen hade den dock sannolikt gjort ett uttalande liknande i det i Schrems I om att amerikansk lagstiftning inte behövde bedömas överhuvudtaget eftersom det väsentliga innehållet åsidosatts. Det väsentliga innehållet i de rättigheter som behandlades i Schrems II borde dessutom anses ha kränkts om det resonemang som domstolen förde i Digital Rights Ireland hade tillämpats. Domstolen konstaterade nämligen i Digital Rights Ireland att övervakning i sig utgör en så pass allvarlig överträdelse av grundläggande rättigheter att artikel 52.1 i en sådan situation inte aktualiseras överhuvudtaget.

I fråga om artikel 47 i stadgan, som också prövades i Schrems II, uttalades inte heller något om det väsentliga innehållet i rättigheten, trots att det i den delen inte var aktuellt med någon proportionalitetsbedömning. Domstolen hänvisade visserligen i domen till rättspraxis rörande det väsentliga innehållet i rättigheten enligt artikel 47.411 Den hänvisningen efterföljdes dock inte av någon bedömning av om det väsentliga innehållet i artikel 47 hade kränkts i det här aktuella fallet. Möjligen ska detta, liksom bedömningen av artikel 7 och 8, förstås så att domstolen ansåg att den redan hade klargjort vad det väsentliga innehållet i artiklarna är genom Digital Rights Ireland och Schrems I. Det skulle kunna förklara varför bedömningen istället rörde proportionaliteten av de begränsningar av artikel 7 och 8 som underrättelseverksamheten medförde, och huruvida en väsentligen likvärdig skyddsnivå fanns rörande artiklarna 7, 8 och 47. I Digital Rights Ireland prövades dock inte artikel 47. Det framstår därför som svårare att hävda att det väsentliga innehållet av artikel 47 i situationer som rör dataskydd redan klargjorts av domstolen, än att hävda att det väsentliga innehållet av artikel 7 och 8 klargjorts. I Schrems I uttalades dock att en lagstiftning där det inte föreskrivs någon möjlighet för enskilda att använda rättsmedel för att få tillgång till, rätta eller radera uppgifter som rör dem inte respekterar det väsentliga innehållet i artikel 47.412

Ett annat mål som är av intresse i det här sammanhanget är Privacy International. Målet avgjordes i oktober 2020, och kan därför belysa hur rättsläget ska uppfattas efter Schrems II.

411 Schrems II, p. 187.

65

EU-domstolen prövade i det målet, liksom i Tele2, ett införlivande av direktivet om integritet och elektronisk kommunikation.413 En av frågorna i målet var om direktivet, artikel 4.2 FEU och artiklarna 7, 8 och 11 i stadgan hindrar nationell lagstiftning som gör det möjligt för en myndighet att kräva att leverantörer av elektroniska kommunikationstjänster genomför generell överföring av trafik- och platsdata till myndigheter som ansvarar för säkerhet och underrättelse i syfte att skydda den nationella säkerheten.414 En skillnad mellan Tele2 och Privacy International var att den nationella lagstiftningen i det första fallet tog sikte på brottslighet, medan lagstiftningen i det senare fallet alltså tog sikte på hot mot den nationella säkerheten.

I Privacy International uttalade domstolen att redan överföringen av trafik- och platsdata till en tredje part utgör ett ingrepp i rättigheterna i artikel 7 och 8 i stadgan. Det spelar enligt domstolens mening ingen roll hur uppgifterna senare används, om uppgifterna innehåller känslig information, eller om den enskilde på något sätt har blivit besvärad av ingreppet.415 Domstolen menade dessutom att den här typen av överföring till myndigheter inom säkerhet- och underrättelseverksamhet är att betrakta som ett särskilt allvarligt ingrepp eftersom deras åtkomst till uppgifterna gör det möjligt att skapa en profil med de överförda uppgifterna som grund. Det ansåg domstolen var lika känsligt som det faktiska innehållet i kommunikationerna, vilket alltså speglar resonemanget i Tele2.416 Domstolen förde inte några resonemang kring det väsentliga innehållet i artikel 7 och 8, och det är inte helt klart hur det ska förstås. Å ena sidan kan det tänkas vara så att eftersom domstolen konstaterade att redan överföringen av uppgifterna till en tredje part i sig utgör ett ingrepp i artikel 7 och 8 i stadgan så är det inte nödvändigt att diskutera det väsentliga innehållet närmare. Å andra sidan kan det tänkas vara så att domstolen inte menade att det väsentliga innehållet i rättigheterna kränkts, eftersom lagstiftningen framför allt möjliggjorde kartläggning på ett liknande sätt som i Tele2 snarare än tillgång till innehåll i kommunikationer. Återigen blir det dock enligt min mening märkligt att upprätthålla den här typen av uppdelning mellan överföring av uppgifter som möjliggör omfattande kartläggning av individer och överföring av uppgifter som ger tillgång till innehållet

413 Domstolens dom av den 6 oktober 2020, Privacy International mot Secretary of State for Foreign and Commonwealth Affairs, Secretary of State for the Home Department, Government Communications Headquarters, Security Service, Secret Intelligence Service, C-623-17, ECLI:EU:C:2020:790 (hädanefter Privacy International).

414 Privacy International, p. 50.

415 Privacy International, p. 70.

66

i kommunikationerna. Det är särskilt märkligt eftersom domstolen uttryckligen konstaterar att de två olika typerna av överföring är lika integritetskänsliga. Det bör dock noteras att en åtgärd kan vara otillåten även om den inte inskränker det väsentliga innehållet i en rättighet, om den är att anse som oproportionerlig.417

Ett tredje möjligt skäl till att domstolen inte förde några resonemang kring det väsentliga innehållet i artikel 7 och 8 i stadgan, i detta mål liksom i Schrems II, kan tänkas vara att den ansåg att den redan klargjort innebörden av det väsentliga innehållet. I domen hänvisar domstolen genomgående till exempelvis Digital Rights Ireland och Tele2, vilket tyder på att den anser att det redan finns omfattande praxis på just det området. Enligt min mening kan bristen på en diskussion kring det väsentliga innehållet i artikel 7 och 8 i Privacy International sannolikt förklaras med både att domstolen ansåg att den redan klargjort innebörden av det väsentliga innehållet i de artiklarna och att den önskade upprätthålla en uppdelning mellan