Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.
När en utomstående leverantör sköter vår informationshantering innebär detta troligen informationen kommer att vara tillgänglig (det vill säga anses utlämnad eller röjd) till denne. Detta kan strida mot GDPR, men även mot sekretessregler hos våra myndigheter och olika bestämmelser om tystnadsplikt hos andra aktörer. Principen om State Secrets Privilege utgör alltså ytterligare en problematik som kan hindra överföring av personuppgifter till USA. Även denna fråga förtjänar vår uppmärksamhet tillsammans med alla diskussioner om GDPR, sekretess och molntjänster.
Enligt EU-domstolens dom den 16 juli 2020 (C-311/18), den så kallade Schrems II-domen, ogiltigförklarades avtalet mellan EU och USA om Privacy Shield för möjliggörande av tredjelandsöverföring av personuppgifter till USA. Skälet är att detta avtal inte anses ge tillräckligt skydd för EU-medborgare mot övervakning och kontroll i USA, särskilt när det inte fanns några begränsningar avseende USA:s övervakning i avtalet och därmed inte heller ett adekvat skydd enligt GDPR för de personuppgifter som överförs. Det nya ramverket för överföring av personuppgifter till USA kommer sannolikt också att prövas i EU-domstolen, eftersom None Of Your Business (NOYB) med Max Schrems i spetsen har uttalat sig kritiskt, det vill säga vi kan nog räkna med en kommande ”Schrems III-dom”.
Principen om State Secrets Privilege är en oskriven rättsregel som utvecklats i amerikansk rättspraxis och som första gången fastställdes i rättsfallet United States v. Reynolds, 345 U.S. 1 (1953). State Secrets Privilege innebär att USA:s regering kan inge en skriftlig begäran om till exempel att viss information inte får användas när detta kan innebära risker för USA:s nationella säkerhet. Detta kan förhindra möjligheten att kontrollera om och hur information hanteras, till exempel personuppgifter från EU. Då skulle det inte heller kunna kontrolleras om USA uppfyller det avtalade ramverket med EU. Om en fråga skulle uppkomma huruvida en behandling av personuppgifter skulle vara förenlig med ramverket, skulle prövningen kunna stoppas med hänvisning till State Secrets Privilege.
Frågan om företräde enligt State Secrets Privilege prövades bland annat i ett avgörande från USA:s högsta domstol (Supreme Court of the United States) från oktober 2021, FBI v. Fazaga. Domstolen kom fram till att USA:s regering kan åberopa State Secrets Privilege för att få målet avskrivet så att målet undantas från prövning. Frågan om förhållandet mellan State Secrets Privilege och det amerikanska regelverket FISA om möjligheten att få en rättslig prövning av lagligheten i underrättelseverksamhet prövades även i ett annat avgörande från USA:s högsta domstol, den 13 juni 2022, Jewel v. NSA. Med hänvisning till State Secrets Privilege avvisades målsägandens överklagande och därmed blev det inte möjligt att få en prövning av lagligheten i NSA:s massövervakning.
”Om USA skulle garantera EU-medborgare skydd mot övervakning i enlighet med ramverket mellan USA och EU, skulle detta även innebära att USA ger EU-medborgare ett starkare skydd än sina egna”
State Secrets Privilege och de amerikanska rättsfallen kan alltså medföra att förenligheten mellan GDPR och ramverket kan undandras prövning med hänvisning till State Secrets Privilege. De amerikanska domstolarna ska i och för sig göra en prövning av en begäran enligt State Secrets Privilege, men det är knappast troligt att det kan bli fråga om någon egentlig granskning av om begäran är laglig eller befogad. De olika rättsfallen tyder tvärtom på att ett åberopande av State Secrets Privilege okritiskt accepteras rakt av. Detta ökar i sin tur risken för att State Secrets Privilege åberopas även för andra ändamål och syften än att skydda USA:s nationella säkerhet, till exempel att dölja oegentligheter eller att stoppa utredningar eller rättegångar. Om State Secrets Privilege åberopas kommer ramverket att vara helt verkningslöst och rättsfallen visar att risken för detta inte endast är obetydlig.
Ett ytterligare problem är att State Secret Pivilege inte endast gäller information som rör utländska subjekt, utan även amerikanska. Om USA skulle garantera EU-medborgare skydd mot övervakning i enlighet med ramverket mellan USA och EU, skulle detta även innebära att USA ger EU-medborgare ett starkare skydd än sina egna. Detta talar ytterligare för att USA skulle ge State Secrets Privilege företräde framför ramverket.
Möjligheten att hänvisa till State Secret Privilege kan rimligtvis inte betyda annat än att USA inte kan lämna sådana garantier om adekvat skydd för personuppgifter som krävs enligt GDPR. Därför torde inte heller ramverket för skydd för personuppgifter vid överföring till USA vara tillräckligt. Därför kommer problematiken med molntjänster och annan överföring av personuppgifter till USA att kvarstå.
Foto: Petter Karlberg
Dessutom kan man fråga sig om ett samhälle som med hänvisning till sekretess för nationell säkerhet (State Secrets Privilege) tillåter staten att undanröja en rättslig prövning av lagligheten i statens åtgärder verkligen kan kalla sig en rättsstat.
