Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor

EUROPAPARLAMENTET 2009 - 2014

Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor

10.9.2010

ARBETSDOKUMENT 2

Framtida internationellt avtal mellan Europeiska unionen (EU) och Amerikas förenta stater (Förenta staterna) om skydd av personuppgifter som överförs och behandlas för att förebygga, utreda, avslöja eller lagföra brott, inkluderande terrorism, inom ramen för polissamarbete och straffrättsligt samarbete

Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor Föredragande: Xxx Xxxxxxx Xxxxxxxx

DT\830120SV.doc PE448.805v01-00

SV Förenade i mångfalden SV

Förenta staternas hållning på området

Konstitutionell nivå

I Förenta staternas konstitution talas det inte uttryckligen om någon grundläggande rätt till integritet. Det anses dock att åtminstone första, tredje, fjärde och femte tillägget skyddar och ger stöd åt rätten till integritet. I första tillägget skyddas integriteten genom friheten att yttra sig anonymt och rätten att inte avslöja sin grupptillhörighet.1 Genom fjärde tillägget skyddas den personliga integriteten och värdigheten mot obefogat intrång av staten.2 I

målet Griswold mot Connecticut3 fastställde dessutom Förenta staternas högsta domstol att den enskilde har en konstitutionell rätt till integritet (integritet som ”självständigt beslutsfattande”).4

Högsta domstolens tolkning av kriteriet ”rimligt skydd av integriteten” när det gäller

fjärde tillägget är dock problematisk. Till skillnad från praxis i Europeiska domstolen för de mänskliga rättigheterna tycks i de flesta fall konstitutionellt skydd nekas.5

Lagen om skydd av privatlivet (Privacy Act)

Förenta staterna har ingen allmän integritetsskyddslag. Genom lagen om skydd av privatlivet (Privacy Act) från 19746 regleras insamlingen, lagringen, användningen och spridningen av personuppgifter av den federala verkställande maktens organ.

Lagen gäller uppgifter i ett ”registreringssystem” som innehåller uppgifter som kan identifieras med avseende på enskilda personer. Federala organ som inte faller under den verkställande makten (federala domstolar, åtalsjuryer, frivården), statliga och lokala myndighetsorgan samt privata enheter berörs inte av lagen. Ett undantag från denna regel är dock begränsningarna för användningen av personnummer, som gäller federala, statliga och lokala myndighetsorgan.7

I lagen fastställs fyra processuella och materiella rättigheter när det gäller personuppgifter:

− Myndighetsorgan måste ge enskilda personer tillgång till registeruppgifter som rör dem.

− Organen måste följa vissa ”rimliga informationsmetoder” vid insamling och hantering av personuppgifter.

− Begränsningar införs för organens utlämnande av enskilda personers uppgifter till andra personer eller organ.

− Enskilda personer kan stämma staten för överträdelse av bestämmelserna.

1 P. De Hert och R. Bellanova, ”Data Protection from a Transatlantic Perspective: the EU and US Move towards an International Data Protection Agreement?”, studie, GD Intern politik, Utredningsavdelning C, Europaparlamentet 2008, s. 13.

2 Schmerber mot Kalifornien, 384 US 757 (1966).

3 318 US 479 (1965).

4 Ytterligare synpunkter återfinns i Rouvroy och Y. Poullet, ”The right to informational self-determination and the value of self-development – Reassessing the importance of privacy for democracy”, s. 20.

5 Se fotnot 1, s. 14–15; det konstruktiva tillvägagångssättet i målen Katz och Kyllo står i motsats till Pen Register-målet.

6 Kodifierad i 5 U.S.C. § 552a (2000). Se även den senaste översikten (2010) av Privacy Act med detaljerad rättspraxis för varje bestämmelse i lagen på Internet: xxxx://xxx.xxxxxxx.xxx/xxxx/0000xxxxxxxxxx-xxxxxxxx.xxx 7 Se fotnot 6, s. 5–9. Se även synpunkter om användningen av personnummer, fotnot 6, s. 232–235.

Genom lagen ges enskilda personer rätt till tillgång och rättelse. Endast enskilda ges dock rätt att få tillgång till registeruppgifterna om de finns i ett ”registreringssystem”, det vill säga hämtas med hjälp av den enskilde sökandens namn eller personnummer.8

Även om ett organ enligt Privacy Act endast bör registrera de uppgifter som är ”relevanta och nödvändiga” för att uppnå dess syften finns det inget villkor för proportionaliteten i insamlingen av uppgifter, som det finns i EU. Om uppgifterna kan få negativa följder för den enskilde (genom minskade rättigheter, förmåner eller privilegier) måste organet samla in så många uppgifter som möjligt direkt från personen och delge den rättsliga grunden, inom vilka områden uppgifterna rutinmässigt kan användas och de möjliga följderna av att personen inte tillhandahåller uppgifterna.

Med ”enskilda personer” med rätt till uppgiftsskydd enligt Privacy Act avses amerikanska medborgare eller utlänningar med permanent uppehållstillstånd, vilket utesluter besökare eller utlänningar utan uppehållstillstånd.9 I januari 2009 ändrades policyn för dataskyddskontoret (Privacy Office) vid Department of Homeland Security (DHS): alla uppgifter som kan identifieras med avseende på enskilda personer och som samlas in, används, lagras och/eller sprids genom ett blandat system av DHS, ska behandlas som ett registreringssystem som omfattas av Privacy Act oavsett om uppgifterna rör amerikanska medborgare, personer med permanent uppehållstillstånd, besökare eller utlänningar.10 Dessutom fastställs att enheter inom DHS enligt denna policy ska hantera sådana uppgifter om utländska medborgare i blandade system enligt de rimliga informationsmetoder som beskrivs i Privacy Act. Utländska medborgare har rätt att få tillgång till sina personuppgifter och får rätta de registrerade uppgifterna, i frånvaro av undantag enligt Privacy Act. Genom denna policy utvidgas eller uppstår inte någon rätt till domstolsprövning för utländska medborgare.11 Det är en administrativ policy som inte kan ge upphov till rättigheter enligt rättsordningen och som kan ändras när som helst. Dessutom skyddas eller omfattas personuppgifter för utländska medborgare som inte lagras i ”blandade system” (det vill säga system som innehåller personuppgifter för både amerikanska och utländska medborgare), utan i registreringssystem som endast avser utlänningar (som US-ESTA), inte av denna policy.

I underavsnitt b av Privacy Act begränsas ett myndighetsorgans möjligheter att lämna ut uppgifter (villkor för utlämnande av uppgifter). Organet får lämna ut sådana uppgifter om det kan uppfylla ett av de tolv villkoren i lagen, bland annat vid utlämnande till ett organ i en statlig jurisdiktion inom eller utanför Förenta staternas kontroll för civilrättslig eller straffrättslig verksamhet.12

I Privacy Act anges dessutom tio undantag, exempelvis för organ som ägnar sig åt brottsbekämpning, inklusive polisinsatser för att förebygga, kontrollera eller minska

8 Se fotnot 6, s. 92.

9 Däremot görs det i Freedom of Information Act (FOIA) ingen sådan åtskillnad, utan där hänvisas endast till ”personer”.

10 På Internet: xxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxx/xxxxxxx/xxxxxxx_xxxxxxxxxxx_0000-0.xxx

11 Se fotnot 10.

12 Detta undantag gör det möjligt för organ att förutom att lämna ut uppgifter till den federala polisen även på grundval av en skriftlig förfrågan lämna ut registrerade uppgifter till ett annat organ eller enhet inom den statliga eller lokala förvaltningen för civilrättslig eller straffrättslig verksamhet.

brottsligheten eller gripa brottslingar, samt för åklagare, domstolar, kriminalvården, frivården och myndigheter för benådning eller villkorlig frigivning.13 Sådana myndigheter ska dock fortfarande följa reglerna om utlämnande av uppgifter i underavsnitt b och rimliga informationsmetoder.14

Organen har även kringgått begränsningarna för utlämnande av uppgifter genom att utnyttja ett undantag om ”rutinmässig användning”.15 Det innebär användning av registrerade uppgifter i ett syfte som är förenligt med syftet för vilket de samlades in. Det krävs att varje rutinmässig användning av registrerade uppgifter i systemet, inklusive användarkategorier och syftet med sådan användning, offentliggörs i det federala registret.16 Detta undantag skulle kunna vara problematiskt när det bedöms i förhållande till principen om begränsning och bestämning av syftet.

Övrig federal lagstiftning

Andra rättsakter som berör uppgiftsskydd:

− Foreign Intelligence Surveillance Act (FISA) (50 U.S.C. §§ 1801–1811, 1978), samt Electronic Communication Privacy Act (18 U.S.C. §§ 2510–2522, 2701–2709, 1986). I båda anges standarder och förfaranden för elektronisk övervakning.

− Genom Freedom of Information Act (FOIA) (5 U.S.C. § 552, senast ändrad 2002) ges varje person möjlighet att få tillgång till uppgifter som är registrerade hos amerikanska myndigheter. I FOIA finns liknande undantag för brottsbekämpningsändamål som i Privacy Act.

− USA-PATRIOT Act (107-56), genom vilken bland annat ”National Security Letters” infördes. Detta är en administrativ föreläggandemekanism genom vilken en privat enhet kan åläggas att lämna ut register och uppgifter om enskilda personer utan rimlig grund eller rättslig tillsyn. De kan även omfatta yttrandeförbud som hindrar mottagaren från att gå ut offentligt med att de lämnades ut.

− Homeland Security Act (6 U.S.C. § 222, 2002). Genom denna lag konsolideras och sammanförs 22 federala organ i Department of Homeland Security. Bland annat läggs här grunden till centrum för datafusion på statlig och lokal nivå, som är utformade för att utbyta information och underrättelser.

Tillsyn

Förenta staterna har inrättat flera strukturer och mekanismer för tillsyn, men inte någon central tillsynsmyndighet för uppgiftsskydd. Bland dessa strukturer återfinns Office of

13 Tröskelkravet i underavsnitt j 2 är att registreringssystemet ska drivas av ett organ eller en enhet inom ett organ som har brottsbekämpning som huvudverksamhet. Ytterligare upplysningar om detta undantag: se fotnot 6, sidan 213 och följande sidor.

14 Se Privacy Act från 1974: ”Implementation of Exemptions; Department of Homeland Security/U.S. Customs and Border Protection—006 Automated Targeting System of Records”, på Internet: xxxx://xxx.xxx.xxx/xxxxx/xxx/XX-0000-00-00/xxx/0000-0000.xxx

15 EPIC: The Privacy Act of 1974 på webbplatsen xxxx://xxxx.xxx/xxxxxxx/0000xxx/.

16 Se fotnot 6, sidan 68 och följande sidor.

Management and Budget (OMB)17, Government Accountability Office (GAO), tillsynsmyndigheten Office of Inspector General vid varje federalt departement, dataskyddsansvariga inom federala organ, ett skyddsombud för medborgerliga fri- och rättigheter (Civil Liberties Protection Officer) vid underrättelsemyndigheten Office of the Director of National Intelligence, tillsynsnämnden Privacy and Civil Liberties Oversight Board med fem ledamöter (vakant sedan 200818), samt parlamentariska utskott. Som exempel har överinspektörerna på kabinettsnivå (t.ex. DHS, DOJ, Treasury och Defense) laglig rätt att genomföra oberoende undersökningar, revisioner, inspektioner och särskilda granskningar av enskilda åtgärder och program för att avslöja och hindra misshushållning, bedrägeri, missbruk och dålig förvaltning. XXX undersöker revisioner och utvärderar den verkställande maktens organ samt den federala regeringen. Dess ställning gör det möjligt för den att genomföra granskningar och undersökningar samt utfärda rättsutlåtanden.19 Vissa forskare har hävdat att EU:s dataskyddsmyndigheter är mer strukturellt oberoende än Förenta staternas organ för integritetsskydd20 och att de senare generellt saknar befogenheter att undersöka och bestraffa kränkningar av integriteten.21

Prövning

För att kunna väcka talan i ett civilmål mot ett organ måste enligt Privacy Act organets agerande ha haft en negativ inverkan på den enskilde (g) (1) (D). Denna ”negativa inverkan” kan naturligtvis vara svår att bevisa och utgör inget allmänt hinder för insamling och utlämnande av uppgifter i stor skala. Man har även pekat på att domstolen bör slå fast att organet agerade på ett avsiktligt eller överlagt sätt (g) (4). En sådan komplex ram, särskilt utan oberoende tillsyn, riskerar att på förhand begränsa möjligheten till rättslig prövning.22 Ett åtal som åberopar bestämmelsen om straffrättslig påföljd i Privacy Act skulle i vederbörlig ordning riktas mot en enskild person. FOIA ger möjlighet till begränsad rättslig prövning för den som söker uppgifter om sig själv. Även i andra lagar som Computer Fraud and Abuse Act, Wire and Electronic Communications Interception and Interception of Oral Communications ges kränkta personer möjlighet att väcka civilrättslig talan vid en amerikansk federal domstol för att få skadestånd.

En olöst fråga som är kopplad till (icke-)tillämpningsområdet för Privacy Act är att utländska medborgare eller personer med uppehållstillstånd inte har rätt till rättslig prövning, det vill säga att få lagligheten i behandlingen av sina personuppgifter bedömd av en oberoende, rättslig myndighet. Däremot säkerställs i EU-lagstiftningen att alla i EU har rätt till prövning vid en opartisk och oavhängig domstol, oavsett nationalitet eller bostadsort (artikel 47 i stadgan om de grundläggande rättigheterna).

17 I underavsnitt v i Privacy Act anges att OMB ska utarbeta samt, efter tillkännagivande och möjlighet för allmänheten att lämna synpunkter, föreskriva riktlinjer och bestämmelser som organen ska använda vid genomförandet av lagen. OMB ska även ge löpande stöd till och utöva tillsyn över organens genomförande av lagen. 5 U.S.C. § 552 a (v). Den har dock inga skyldigheter gentemot enskilda personer.

18 De senaste uppgifterna hämtade från Internet: xxxx://xxx.xxxxxxxxxxxxxx.xxx/xx- dyn/content/article/2010/04/08/AR2010040805470.html

19 J. Korpf, Networked and Layered: Understanding the US Framework for Protecting Personally Identifiable Information, World Data Protection Report, juni 2007, s. 5–6.

20 F. Bignami, ”The US Privacy Act in Comparative Perspective”, på Internet: xxxx://xxx.xxxxxxxx.xxxxxx.xx/xxxxxxxx/00000000/xxxx/xxxxxxx_xx.xxx

21Se fotnot 1, s. 20.

22 Se fotnot 1, s. 18.

Diskussionspunkter

När det gäller arbetsdokumenten 1 och 2 i detta skede av förfarandet anser föredraganden att särskild uppmärksamhet bör ägnas ett antal frågor, bland annat

− det allmänna problemet med ”lapptäcken” av uppgiftsskydd på båda sidorna om Xxxxxxxx,

− den aktuella översynen av EU:s ram för uppgiftsskydd, inkluderande integrering av lagstiftningen om uppgiftsskydd för den privata och offentliga sektorn,

− den skiljaktiga inställningen till begreppet ”oberoende tillsyn”,

− principerna om proportionalitet, uppgiftsminimering, minimal lagringstid och syftesbegränsning, inkluderande pågående diskussioner om profilering och datautvinning,23

− avgränsningen av området för nationell säkerhet,

− tillämpningen av reglerna om uppgiftsskydd och rätten till rättslig prövning för alla, oavsett nationalitet eller bostadsort.

23 På Internet: xxxx://xxx.xxx.xxx/x/x/xxxxx_xxxxxxx/xxxxx_xx- operation/steering_committees/cdcj/documents/2010/87th%20CDCJ-BU%20meeting/T-PD- BUR_2009_02rev6_en_Fin%20_2_.pdf