I detta kapitel introduceras EU-domstolens domar i Schrems I och II. Bakgrunden till målens uppkomst förklaras, och det klargörs vilka frågor domstolen hade att besvara i respektive mål. Dessutom redogörs för EU-domstolens bedömningar i de båda målen. Med hänsyn till uppsatsens syfte och de frågeställningar som uppsatsen ämnar besvara behandlas Schrems I och II redan i detta kapitel, innan dataskyddsförordningens regler introduceras närmare. Tanken är att denna ordning ska möjliggöra för läsaren att bekanta sig med domarna och att läsa förordningens och stadgans regler i ljuset av Schrems I och II, samt att säkerställa att domarna genomsyrar uppsatsens innehåll från början till slut.
2.2 Schrems I
2.2.1 Bakgrund
Alla med hemvist inom EU måste i samband med att de registrerar sig på Facebook ingå ett avtal med Facebook Ireland, ett dotterbolag till Facebook Inc., som har sitt säte i USA. Personuppgifter om Facebook-användare med hemvist inom EU överförs helt eller delvis till servrar tillhörande Facebook Inc., som har sitt säte i USA, där uppgifterna också behandlas.37
Maximilian Schrems gjorde den 25 juni 2013 en anmälan till den irländska tillsynsmyndigheten, eftersom han ansåg att Facebook Ireland borde förbjudas att överföra personuppgifter till USA. Han gjorde i sin anmälan gällande att amerikansk rätt inte garanterade ett tillräckligt skydd för personuppgifter som lagras i USA mot övervakningsverksamhet från amerikanska myndigheters sida. Schrems hänvisade i den delen till Edward Snowdens avslöjanden om framför allt NSA:s verksamhet.38 Den nationella tillsynsmyndigheten ansåg sig inte skyldig att utreda dessa omständigheter och avslog därför Schrems anmälan. Den menade även att det inte fanns någon bevisning till stöd för att NSA faktiskt hade fått åtkomst till Schrems uppgifter.39
37 Schrems I, p. 27.
38 Schrems I, p. 28.
11
2.2.2 EU-domstolens bedömning
Frågan i målet rörde ett kommissionsbeslut om adekvat skyddsnivå enligt artikel 25 i det då gällande dataskyddsdirektivet. Domstolen hade att svara på om ett sådant beslut utgjorde hinder för en medlemsstats tillsynsmyndighet att utreda en persons begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter som överförts till tredjeland.40
Domstolen uttalade att medlemsstater och deras organ inte får vidta åtgärder som strider mot ett beslut om adekvat skyddsnivå, så länge beslutet inte har ogiltigförklarats.41 Det finns dock inte något hinder mot att personer vars personuppgifter överförts till tredjeland vänder sig till nationella tillsynsmyndigheter med en begäran om skydd för sina fri- och rättigheter i fråga om personuppgiftsbehandling i en sådan situation.42 Domstolen ansåg därmed att det, även när ett kommissionsbeslut finns, måste vara möjligt för en tillsynsmyndighet att genomföra en utredning av huruvida överföringen skett i enlighet med direktivets krav.43
Domstolen övergick sedan till att pröva om artikel 1 i det beslut om adekvat skyddsnivå som kommissionen hade fattat avseende USA, det s.k. Safe Harbor-beslutet, kunde anses tillförsäkra en adekvat skyddsnivå enligt artikel 25 i dataskyddsdirektivet och därmed var giltig.44 Artikel 1 innehöll en lista över dokument som utfärdats av det amerikanska handelsministeriet och villkor som uppställts genom överenskommelse mellan kommissionen och USA. För att Safe Harbor-certifierade verksamheter skulle anses tillförsäkra en adekvat skyddsnivå behövde de agera i enlighet med dessa dokument och uppfylla dessa villkor.45 Inledningsvis konstaterade domstolen att det inte kan krävas att ett tredjeland säkerställer en skyddsnivå som är identisk med den som garanteras enligt EU-rätten. Istället ska adekvat skyddsnivå förstås så att det krävs att tredjelandet genom sin rättsordning de facto säkerställer en skyddsnivå för grundläggande fri- och rättigheter som är väsentligen likvärdig den skyddsnivå som garanteras enligt EU-rätten.46
Efter dessa inledande anmärkningar gjorde domstolen en bedömning av Safe Harbor-principerna, som hade godkänts genom kommissionsbeslutet. Amerikanska företags anslutning
40 Schrems I, p. 37.
41 Schrems I, p. 52.
42 Schrems I, p. 53.
43 Schrems I, p. 57.
44 Kommissionens beslut 2000/520 av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat.
45 Se Schrems I, p. 7 för artikelns ordalydelse.
12
till Safe Harbor skedde genom självcertifiering. Enligt domstolen stred inte det i sig mot direktivets krav, men den konstaterade samtidigt att ett sådant systems tillförlitlighet bygger på att det finns effektiva spårnings- och kontrollmekanismer som gör det möjligt att upptäcka och beivra eventuella överträdelser.47 Domstolen framhöll även att Safe Harbor-principerna inte var tillämpliga på amerikanska myndigheter. Det fanns därmed inte tillräckliga ställningstaganden kring vilka åtgärder amerikanska myndigheter vidtog för att säkerställa en adekvat skyddsnivå.48 Kommissionens beslut angav överhuvudtaget inte om det fanns något effektivt rättsligt skydd mot ingrepp från amerikanska statliga organs sida.49 Vidare kunde Safe Harbor-principernas tillämplighet begränsas till exempelvis vad som är nödvändigt för att uppfylla krav
i fråga om nationell säkerhet, allmänintresset och rättsefterlevnaden.50 Det innebar att principerna skulle frångås utan inskränkningar när de stod i konflikt med sådana krav.51
Vid bedömningen av Safe Harbor-beslutet beaktade domstolen artiklarna 7 och 8 i EU:s rättighetsstadga. Domstolen menade att lagstiftning som innebär ett ingrepp i dessa grundläggande rättigheter måste föreskriva tydliga och precisa bestämmelser som reglerar räckvidden och tillämpligheten av lagstiftningen i fråga. Sådan lagstiftning måste även slå fast minimikrav så att de personer vars uppgifter berörs har garantier som möjliggör ett effektivt skydd av uppgifterna.52 Undantag från och begränsningar av skyddet för personuppgifter ska därmed inskränkas till vad som är strängt nödvändigt.53 Domstolen ansåg att en lagstiftning inte kan anses begränsad till vad som är strängt nödvändigt när den generellt tillåter lagring av samtliga personuppgifter om alla personer vars uppgifter överförs från EU till USA. Det gäller åtminstone vid sådan lagring när den sker utan åtskillnad, begränsning eller undantag och utan att det finns något objektivt kriterium som gör det möjligt att avgränsa myndigheters åtkomst till uppgifterna och användning av dem.54 Domstolen slog fast att en lagstiftning som tillåter myndigheter generell åtkomst till innehållet i elektroniska kommunikationer måste anses kränka det väsentliga innehållet i artikel 7 i stadgan.55 Den menade även att en lagstiftning där
47 Schrems I, p. 80-81. 48 Schrems I, p. 82-83 samt 88. 49 Schrems I, p. 88-89. 50 Schrems I, p. 84. 51 Schrems I, p. 86. 52 Schrems I, p. 91. 53 Schrems I, p. 92. 54 Schrems I, p. 93. 55 Schrems I, p. 94.
13
det inte föreskrivs någon möjlighet för enskilda att använda rättsmedel för att få tillgång till, rätta eller radera uppgifter om dem inte respekterar det väsentliga innehållet i artikel 47 i stadgan.56
Domstolen noterade vidare att kommissionen överhuvudtaget inte hade angett att USA de facto säkerställde en adekvat skyddsnivå i Safe Harbor-beslutet. Artikel 1 i beslutet förklarades därmed ogiltig av domstolen, utan att innehållet i Safe Harbor-principerna prövades.57 Även artikel 3 i beslutet, som uteslöt möjligheten för nationella tillsynsmyndigheter att vidta åtgärder för att säkerställa efterlevnaden av artikel 25 i dataskyddsdirektivet, förklarades ogiltig.58
Eftersom det inte ansågs möjligt att skilja artikel 1 och 3 från artiklarna 2 och 4 eller bilagorna till beslutet, förklarades Safe Harbor-beslutet ogiltigt i sin helhet.59
2.3 Schrems II
2.3.1 Bakgrund
Med anledning av domen i Schrems I upphävde den hänskjutande nationella domstolen den irländska tillsynsmyndighetens beslut att avslå Schrems ursprungliga klagomål. Klagomålet återförvisades därmed till tillsynsmyndigheten för ny prövning. Inom ramen för myndighetens nya utredning av ärendet förklarade Facebook Ireland att en stor del av de aktuella personuppgifterna hade överförts till Facebook Inc. med ett kommissionsbeslut om standardavtalsklausuler som grund. Myndigheten uppmanade till följd av detta Schrems att omformulera sitt klagomål.60
Något annat som skedde i kölvattnet av Schrems I var att Safe Harbor-beslutet ersattes av ett nytt beslut om adekvat skyddsnivå rörande USA. En ny grund för överföring, Privacy Shield, utarbetades mellan EU och USA med beaktande av EU-domstolens synpunkter på Safe Harbor och kommissionen fattade sedan ett beslut om adekvat skyddsnivå.
I ett nytt klagomål gjorde Schrems gällande att Facebook Inc. enligt amerikansk rätt är skyldigt att ställa överförda personuppgifter till amerikanska myndigheters förfogande. Eftersom dessa uppgifter används inom ramen för olika övervakningsprogram av bland andra NSA på ett sätt som är oförenligt med artiklarna 7, 8 och 47 i stadgan kunde beslutet om
56 Schrems I, p. 95.
57 Schrems I, p. 97-98.
58 Schrems I, p. 101-104.
59 Schrems I, p. 106.
14
standardavtalsklausuler och Privacy Shield-beslutet enligt Schrems mening inte ligga till grund för överföring till USA. Han begärde därför att tillsynsmyndigheten skulle förbjuda eller avbryta överföringen av hans personuppgifter till Facebook Inc.61
I ett utkast till beslut fann tillsynsmyndigheten att EU-medborgares personuppgifter som överförts till USA riskerade att utnyttjas och behandlas av amerikanska myndigheter på ett sätt som strider mot artiklarna 7 och 8 i stadgan. Amerikansk rätt erbjuder, enligt utkastet, inte heller EU-medborgare rättsmedel av det slag som föreskrivs i artikel 47 i stadgan.62 De standardavtalsklausuler som hade beslutats kunde enligt tillsynsmyndigheten inte avhjälpa den bristen, eftersom de inte var bindande för amerikanska myndigheter.63 Den nationella myndigheten ansåg att Schrems klagomål gav upphov till en fråga om giltigheten av beslutet om standardavtalsklausuler och vände sig därför till nationell domstol.64 Den vände sig i sin tur till EU-domstolen med en begäran om förhandsavgörande. I sin begäran lade den nationella domstolen fram domen där resultatet av bevisprövningen från det nationella förfarandet redovisades.65
Av bevisningen i det nationella målet framgick följande. De amerikanska myndigheternas underrättelseverksamhet grundar sig bland annat på section 702 FISA och på E.O 12333, när det gäller personuppgifter som överförts till USA.66 Section 702 FISA gör det möjligt för den amerikanska riksåklagaren och direktören för den nationella underrättelsetjänsten att gemensamt ge tillstånd till övervakning av icke-amerikanska medborgare utanför USA i syfte att inhämta uppgifter från utländsk underrättelseinformation. Regeln i FISA utgör bland annat grund för övervakningsprogrammen Prism och Upstream. Inom ramen för Prism är leverantörer av internettjänster skyldiga att tillhandahålla NSA all kommunikation som skickats och mottagits av en s.k. väljare. En del av dessa meddelanden överförs även till FBI och CIA.67
Upstream innebär att de telekommunikationsföretag som driver internets ”stamnät” är skyldiga att låta NSA kopiera och filtrera trafikflödena på internet. Detta görs i syfte att samla in kommunikation som skickas eller mottas av eller rör en icke-amerikansk medborgare som uppmärksammats av en väljare. NSA har inom ramen för programmet åtkomst till både
61 Schrems II, p. 55. 62 Schrems II, p. 56. 63 Schrems II, p. 56. 64 Schrems II, p. 57. 65 Schrems II, p. 58. 66 Schrems II, p. 60. 67 Schrems II, p. 61.
15
metadata och innehållet i kommunikationer.68 E.O 12333 gör det möjligt för NSA att få åtkomst till uppgifter som befinner sig i transit på väg till USA genom undervattenskablar på Atlantens botten. På det sättet kan NSA samla in och lagra uppgifter innan de anländer till USA, där de omfattas av reglerna i FISA. Verksamhet som grundar sig på E.O 12333 regleras inte i lag.69
Icke-amerikaner omfattas dock av PPD 28, vilket innebär att underrättelseverksamheten ska vara så riktad som möjligt.70
Den nationella domstolen ansåg att USA behandlar massuppgifter utan att säkerställa ett skydd som är väsentligen likvärdigt det som garanteras genom artiklarna 7 och 8 i stadgan.71
Vidare har icke-amerikanska medborgare inte tillgång till samma rättsmedel som amerikanska medborgare mot amerikanska myndigheters behandling av personuppgifter. Det beror på att det fjärde tillägget till den amerikanska konstitutionen, som utgör det starkaste skyddet mot olaglig överföring inom amerikansk rätt, inte är tillämpligt på personer som inte är amerikanska medborgare.72 De rättsmedel som återstår omgärdas av betydande hinder, framför allt på grund av svårigheter att styrka talerätt. NSA:s verksamhet som utförs med stöd av E.O 12333 omfattas inte heller av domstolarnas tillsyn och kan inte bli föremål för rättsmedel vid domstol.73
Ombudsmannen som inrättats för Privacy Shield-mekanismen, som ersatte Safe Harbor, ansåg den nationella domstolen inte kunde jämföras med en domstol i den mening som avses i artikel 47 i stadgan. Den nationella domstolen menade därför att amerikansk rätt inte heller säkerställer en väsentligen likvärdig skyddsnivå enligt artikel 47 i stadgan.74
Parterna var i det nationella målet oense om bland annat huruvida EU-rätten skulle anses tillämplig på överföringar till tredjeland av personuppgifter som myndigheter i det landet kan komma att behandla med hänsyn till exempelvis nationell säkerhet. Det var även stridigt vilka faktorer som ska beaktas vid bedömningen av om ett tredjeland säkerställer en adekvat skyddsnivå.75 Facebook Ireland gjorde dessutom gällande att kommissionens beslut om att
68 Schrems II, p. 62. 69 Schrems II, p. 63. 70 Schrems II, p. 64. 71 Schrems II, p. 64. 72 Schrems II, p. 65. 73 Schrems II, p. 65. 74 Schrems II, p. 65. 75 Schrems II, p. 66.
16
Privacy Shield ansågs säkerställa en adekvat skyddsnivå skulle uppfattas som bindande för tillsynsmyndigheterna.76
2.3.2 EU-domstolens bedömning
EU-domstolen konstaterade inledningsvis att frågorna i målet skulle besvaras mot bakgrund av dataskyddsförordningen, trots att de hänförde sig till dataskyddsdirektivet. Den bedömningen gjordes mot bakgrund av att den nationella tillsynsmyndigheten ännu inte hade fattat ett slutgiltigt beslut i Schrems ärende när direktivet upphävdes och ersattes av förordningen.77
Den första tolkningsfrågan domstolen hade att ta ställning till var om överföringen i målet omfattades av dataskyddsförordningens materiella tillämpningsområde. Domstolen menade att överföringen av personuppgifter från en medlemsstat till ett tredjeland i sig utgör en behandling av personuppgifter.78 Att uppgifterna under eller efter överföringen kunde komma att behandlas av myndigheter i tredjelandet för ändamål som allmän säkerhet, försvar och nationell säkerhet förändrade inte den bedömningen.79
Domstolen besvarade sedan frågan om vilken skyddsnivå som krävs enligt artikel 46.1 och 46.2 c) vid överföring av personuppgifter till ett tredjeland med stöd av standardavtalsklausuler som antagits av kommissionen. Den tog även ställning till vilka omständigheter som ska beaktas vid bedömningen av huruvida skyddsnivån säkerställs vid en sådan överföring. I denna del menade domstolen att tredjelandet måste säkerställa en adekvat skyddsnivå. Det innebär att tredjelandet de facto ska säkerställa en nivå av skydd för grundläggande fri- och rättigheter som är väsentligen likvärdig den skyddsnivå som gäller enligt EU-rätten.80 Omständigheter som ska beaktas vid bedömningen av skyddsnivån är till exempel de avtalsvillkor som överenskommits mellan den part som är etablerad i EU och mottagaren i tredjelandet, samt hur gällande rätt i tredjelandet ser ut.81
Efter detta bedömde domstolen om en nationell tillsynsmyndighet är skyldig att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland när den anser att klausulerna som ligger till grund för överföringen inte iakttas eller inte kan iakttas i tredjeland samt att det skydd som krävs enligt EU-rätten inte kan säkerställas. Domstolen menade att en tillsynsmyndighet
76 Schrems II, p. 66.
77 Schrems II, p. 77 och 79.
78 Schrems II, p. 83.
79 Schrems II, p. 89.
80 Schrems II, p. 94.
17
som nått slutsatsen att en registrerad vars personuppgifter har överförts inte åtnjuter en adekvat skyddsnivå är skyldig att reagera för att avhjälpa den bristen.82 Tillsynsmyndigheten måste därmed avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland om den anser att standardavtalsklausuler inte iakttas eller inte kan iakttas i det landet. Detsamma gäller om myndigheten anser att det skydd för personuppgifter som krävs enligt EU-rätten inte kan säkerställas med andra medel.83 Domstolen framhöll dock även att så länge ett beslut om adekvat skyddsnivå inte har ogiltigförklarats av domstolen kan inte medlemsstaterna eller deras organ vidta åtgärder som strider mot beslutet.84 Däremot kan ett sådant beslut inte hindra personer vars personuppgifter har överförts eller kan komma att överföras till ett tredjeland från att vända sig till den nationella tillsynsmyndigheten med klagomål.85 I en sådan situation ska tillsynsmyndigheten kunna göra en fullständig och oberoende prövning av huruvida överföringen uppfyller de krav som ställs i förordningen.86
Domstolen gick sedan vidare till att besvara frågan om huruvida beslutet om standardavtalsklausuler i det här fallet var giltigt mot bakgrund av artiklarna 7, 8 och 47 i stadgan. Inledningsvis menade domstolen att det av beslutet framgick att standardavtalsklausulerna skulle anses ge tillräckliga garantier för skydd av den personliga integriteten och grundläggande fri- och rättigheter.87 Standardavtalsklausuler är dock bara bindande för den part som är etablerad i EU och mottagaren i tredjeland. Klausulerna kan inte binda myndigheter i tredjeland eftersom de inte är parter i avtalet.88 Vidare uttalade domstolen att det finns situationer då klausulerna inte är tillräckliga för att säkerställa ett effektivt skydd av personuppgifterna som överförs, exempelvis när lagstiftning i tredjelandet tillåter att myndigheterna där gör ingrepp i de registrerades rättigheter rörande uppgifterna.89 För att den skyddsnivå för fysiska personer som säkerställs genom förordningen inte ska undergrävas kan det därför vara nödvändigt att komplettera skyddsåtgärderna i standardavtalsklausulerna med ytterligare skyddsåtgärder.90 Vidare ansåg domstolen att giltigheten i ett beslut om
82 Schrems II, p. 111. 83 Schrems II, p. 113. 84 Schrems II, p. 118. 85 Schrems II, p. 119. 86 Schrems II, p. 120. 87 Schrems II, p. 124. 88 Schrems II, p. 125. 89 Schrems II, p. 126.
18
standardavtalsklausuler ytterst är beroende av om beslutet innehåller effektiva mekanismer som i praktiken gör det möjligt att säkerställa att skyddsnivån som krävs enligt EU-rätten iakttas.91
Den personuppgiftsansvarige som är etablerad i EU och mottagaren av överföringen måste i förväg kontrollera att den skyddsnivån iakttas i tredjelandet. Mottagaren är skyldig att informera den personuppgiftsansvarige om det inte är möjligt för denne att iaktta klausulerna. Den personuppgiftsansvarige måste då avbryta överföringen av uppgifter eller häva avtalet.92
Avslutningsvis menade domstolen att beslutet om standardavtalsklausuler i det här fallet innehöll effektiva mekanismer som i praktiken gjorde det möjligt att säkerställa att överföringen av personuppgifter till ett tredjeland skulle avbrytas eller förbjudas om mottagaren inte iakttog klausulerna.93 Det hade därmed inte framkommit någon omständighet som påverkade giltigheten av beslutet om standardavtalsklausuler i det här fallet.94
Slutligen besvarade domstolen frågan om huruvida överföringen av personuppgifter till USA med stöd av kommissionens beslut om Privacy Shield stred mot artiklarna 7, 8 och 47 i stadgan. Beslutet om Privacy Shield var, liksom beslutet om Safe Harbor-principerna, ett kommissionsbeslut om att USA uppfyllde kravet på adekvat skyddsnivå enligt artikel 45 i dataskyddsförordningen. Privacy Shield-beslutet ersatte beslutet om Safe Harbor-principerna sedan det sistnämnda ogiltigförklarats av domstolen i Schrems I.
Domstolen anmärkte i denna del inledningsvis på att det i kommissionens beslut om Privacy Shield angavs att efterlevnaden av principerna i beslutets bilaga kunde begränsas med hänsyn till krav i fråga om nationell säkerhet, allmänintresset och rättsefterlevnaden. De kraven hade därmed företräde framför Privacy Shield-principerna.95 Den skrivningen var av generell karaktär och möjliggjorde därför ingrepp i grundläggande rättigheter för personer vars uppgifter överförs eller kunde komma att överföras från EU till USA. Ingrepp kunde enligt domstolen särskilt följa av åtkomsten till personuppgifterna och av amerikanska myndigheters användning av uppgifterna inom ramen för Prism och Upstream.96 Domstolen menade vidare att ett utlämnande av personuppgifter till en tredje part i sig utgör ett ingrepp i de grundläggande rättigheterna i artikel 7 och 8, oavsett hur uppgifterna senare används.97
91 Schrems II, p. 137. 92 Schrems II, p. 142. 93 Schrems II, p. 148. 94 Schrems II, p. 149. 95 Schrems II, p. 164. 96 Schrems II, p. 165. 97 Schrems II, p. 171.
19
Efter dessa konstateranden gjorde domstolen en närmare bedömning av de amerikanska rättsakter som låg till grund för övervakningsprogrammen. Domstolen ansåg att det av section 702 FISA inte går att utläsa några begränsningar av behörigheten att genomföra övervakningsprogram för att inhämta utländska underrättelseuppgifter. Det framgår inte heller att det finns några garantier för icke-amerikaner som eventuellt omfattas av dessa program. Den regeln kunde därmed inte anses säkerställa en skyddsnivå som är väsentligen likvärdig den som garanteras i stadgan.98 Inte heller PPD 28 ger, enligt domstolen, registrerade personer bindande