Det pågår en allvarlig storkonflikt mellan USA och Europa, fast utan konventionella vapen. Kampen utkämpas i domstolar och på den politiska arenan. De amerikanska it-jättarna är hårt ansatta från flera håll.

Från en flank attackerar medieföretagen och annonsörer med stämningar angående otillbörlig konkurrens. Exempelvis har Pricerunner stämt Google på den nätta summan 22 miljarder kronor vid Patent- och marknadsdomstolen i Stockholm.

På en annan front förs en regulatorisk strid mellan EU och USA som gäller vilka personuppgifter som får samlas in, och i vilken omfattning, vid användandet av appar och webbtjänster. Längs ytterligare en anfallslinje drabbar kombattanterna samman om var data får lagras, till exempel i molntjänster som fysiskt eller juridiskt är att betrakta som amerikanska.

Låt oss göra ett försök att reda ut hur vi hamnade här och vad hela härvan har för konsekvenser.

Ökade krav

Startskottet avfyrades i och med införandet av den europeiska dataskyddsförordningen (DSF), mest känt under sin engelska förkortning, GDPR, i maj 2018. Med den då nya förordningen följde väsentligt strängare krav när det gäller hanteringen av personuppgifter. GDPR innebar stora förändringar för organisationer och företag och hur de behandlar information som kan identifiera individer. För användare märktes det exempelvis via alla dessa samtyckes-knappar när det gäller kakfiler på webbplatser, inklusive tjänster som Google eller Bing.

Läs även: Oj, nu blev det svettigt för alla företag som spårar dig på nätet

Schrems https://commons.wikimedia.org/wiki/User:Tsui
Foto: Manfred Werner/CCNätaktivisten Max Schrems stämde Facebook - och vann.

Flera år innan GDPR orsakade vad som kan kallas kalabalik bland alla som på något sätt lagrar personuppgifter på nätet (och i andra kanaler) begärde den österrikiske nätaktivisten och juristen Max Schrems ut all information som Facebook hade samlat in om honom. Det visade sig bli 1 200 sidor med data av allehanda slag. Detta fick Max Schrems att osäkra sina juridiska vapen och inleda en lång kamp i domstol för att skjuta ned Meta (som Facebook numera heter) och koncernens möjligheter att obehindrat behandla personliga data.

Läs även: Dölj dina spår på nätet – tips, appar och inställningar

Avgörande domslut

När GDPR var ett faktum var Max Schrems och hans lilla pluton laddade och gick till offensiv via den irländska dataskyddsmyndigheten (IDPC).

Den 16 juli 2020 beslöt den Europeiska Unionens domstol (CJEU) att ogiltigförklara Europakommissionens överenskommelse från 2016, kallat Privacy Shield, med USA om dataöverföring mellan världsdelarna. Privacy Shield var ett rättsligt ramverk för att reglera transatlantiskt utbyte av personuppgifter för kommersiella ändamål.

Domslutet, som brukar kallas Schrems II, gällde i sak att Facebook överförde, lagrade och behandlade personuppgifter från användare inom EU under amerikansk lag på amerikanska servrar. Men domen innebar även att i princip varenda molntjänst och app från GAFAM (Google, Apple, Facebook (Meta), Amazon och Microsoft) i ett enda slag kunde betraktas som olaglig.

Det är inte svårt att föreställa sig den blandning av ren ilska och affärsmässig oro som Schrems II orsakat de globala it-jättarna. I Sverige har Stockholms stad meddelat att kommunen framgent inte kommer att implementera Microsoft Office 365 för sina tusentals medarbetare.

Omställning utreds

– Staden använder redan Office 365 inom den pedagogiska verksamheten, men har fattat ett inriktningsbeslut att inte gå vidare med ett införande i övriga delar av organisationen. Den främsta anledningen till detta är att amerikanska molntjänstleverantörer på grund av gällande lagstiftning inte kan ge tillräckliga garantier för skydd av personuppgifter, säger Stefan Carlson, CTO på Stadsledningskontoret i Stockholm.

Vad omställningen kommer att kosta, eller spara in, finns det ännu inga beräkningar för och mer detaljer om vilka alternativ som övervägs är under prövning.

– Vi utreder ett flertal olika alternativ och kombinationer av produkter/tjänster, bland annat Zoom, Jitsi, Pexip, Icewarp, Rocket.chat, Mattermost, med flera. Arbetet sker i samverkan och dialog med Offentlig samverkan för ökad digitalisering (eSam). Beslut om vägval kommer troligen att fattas under hösten, Stefan Carlson på Stockholms stad.

Stefan Carlson
Stefan Carlson, CTO på Stadsledningskontoret i Stockholm.

De som kritiserar Schrems II och utvecklingen som domen fört med sig brukar hävda att tillämpningen inte står i proportion till behovet och i synnerhet de stora ekonomiska merkostnaderna det medför för näringsliv och offentlig sektor. Och det kan ligga något korn av sanning i det.

Av Integritetsskyddsmyndighetens årsredovisning framgår att myndigheten under 2021 tagit emot över 2 300 klagomål från enskilda rörande dataskydd. Detta har i sin tur lett till 104 granskningar i form av tillsyn, vilket är dubbelt så många som året innan. IMY beslutade om administrativa sanktionsavgifter i totalt åtta tillsynsärenden om sammanlagt 32,5 miljoner kronor under förra året. Med föränderliga regelverk och knepig praktisk tillämpning av principiella domslut är det ingen avundsam sits att förklara hur det hela hänger ihop.

– Vi gör vårt bästa för att informera om dataskyddsregleringen på ett så pedagogiskt sätt som möjligt. På vår webbplats har vi exempelvis delat upp informationen i olika kategorier med enklare information som riktar sig till enskilda och mer utförlig information riktar sig till dem som bedriver verksamhet där personuppgifter behandlas, säger David Törngren, rättschef på Integritetsskyddsmyndigheten (IMY).

IMY
IMY ar till uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter

Stora summor

Enligt EU:s egna beräkningar är de nuvarande dataflödena och gränshandeln mellan USA och eurozonen värd i häradet av 900 miljarder euro. Mer än 10 000 online-plattformar verksamma i Europas digitala ekonomi och sju av världens tio största företag är digitala marknadsaktörer.

Det ligger med andra ord i mångas ekonomiska intressen att de käppar i hjulen som förhindrar fria informationsflöden mellan EU och USA avlägsnas. Hur detta ska gå till vet få, eller ingen, i dagsläget. EU laddar emellertid om kanonerna med nya och långtgående rättsakter (se slutet av artikeln). Samtidigt pågår det en febril aktivitet för att skapa fred mellan de konflikterande intressena: på ena sidan fullgott skydd för den personliga integriteten och på den andra sidan datadriven innovation och ekonomiskt tillväxt.

Money.
Med 900 miljarder euro i potten är det lätt att det blir strid på kniven när det gäller dataskydd.

Den 22 mars 2022 tillkännagav den amerikanske presidenten Joe Biden och Europakommissionens ordförande Ursula von der Leyen ett nytt ramverk för transatlantiskt dataskydd (Trans-Atlantic Data Privacy Framework). I korthet är ett av syftena med det nya ramverket att det ska följa GDRP och andra EU-direktiv. Detta samtidigt som man på den amerikanska sidan föreslås stärka dataskyddet från insyn från exempelvis USA:s säkerhetstjänster utan prövning i domstol.

Foto: Van der Layen Etienne Ansotte © European Union/ Biden: The White House
EU:s ordförande och USA;s president har skakat tass om en nytt ramverk för transatlantiskt dataskydd.

– När det gäller det nya transatlantiska ramverket är det viktigaste att det når upp till den skyddsnivå som krävs enligt EU:s stadga om de grundläggande rättigheterna och EU-domstolens praxis, menar David Törngren på Integritetsskyddsmyndigheten (IMY).

Ingen förändring

Utspelet om ett nytt avtal mellan partnerna kommer dock inte leda till att de nuvarande europeiska reglerna för dataskydd rivs upp.

– Förhandlingarna om det nya ramverket är en konsekvens av att EU-domstolen ogiltigförklarade kommissionens beslut som tidigare möjliggjorde överföring av personuppgifter till USA. Syftet med förhandlingarna är att de ska leda fram till ett nytt kommissionsbeslut som ersätter Privacy Shield och på nytt möjliggör smidig överföring av personuppgifter till USA. Det handlar således inte om en omprövning av tillämpningen av EU-reglerna utan om åtgärder för att höja skyddsnivån i USA, förklarar David Törngren på IMY.

Processen från en avsiktsförklarande pressrelease till en fungerande lösning är rätt lång och har flera hinder på vägen. På EU-sidan innefattar antagandeprocessen först ett konstaterande av tillräcklighet i ett utkast som ska föreslås av kommissionen. Sedan inhämtas ett yttrande från europeiska dataskyddsstyrelsen (EDPB). Utkastet måste därefter få grönt ljus från en kommitté som består av företrädare för EU:s medlemsstater. Europaparlamentet har också rätt att granska beslutsunderlaget.

Känslig process

När detta förfarande är slutfört kommer kommissionen att kunna anta ett beslut om det nya ramverket.

– Jag har tyvärr ingen information om tidsplanen för när förhandlingarna mellan kommissionen och USA ska vara avslutade. Det kvarstår även en ganska omfattande process även efter att kommissionen och USA avslutat förhandlingarna.

Om processen i någon mån misslyckas kan det innebära att vi kan vara tillbaka på ruta noll och inskränkningar i exempelvis datalagring och molntjänster som har amerikanskt ursprung.

– Ja, om det nya ramverket inte lever upp till de krav som EU-rätten ställer kommer inte systemet att vara hållbart. EU-domstolen har redan underkänt två system för överföring till USA – först Safe Harbour, sedan Privacy Shield. Om det nya ramverket inte ger ett tillräckligt skydd för enskildas rättigheter kommer vi sannolikt att få se ett Schrems III eller liknande där även det nya ramverket underkänns. Då är vi åter i utgångsläget, förklarar David Törngren på IMY.

– Det återstår att se. Den principiella överenskommelsen påverkar inte våra inriktningsbeslut i nuläget. Först när det finns konkreta och formella juridiska överenskommelser på papper, och dessa juridiskt prövats och klarat dessa prövningar så kan vi dra några slutsatser och agera utifrån detta, avslutar Stefan Carlson, CTO i Stadshuset i Stockholm.

Två kommande EU-regelverk du bör känna till!

Digital Markets Act (DMA)

Vad: Reglering av EU:s inre digitala marknad med fokus på ”portvakter” (gatekeepers), företag vars verksamhet är så omfattande att den i sig hindrar fri konkurrens och fritt flöde av information.
Träder i kraft: Senast 15 oktober 2022.
Konsekvenser för privatpersoner, i urval:
• Slutna plattformar kan tvingas öppnas upp för konkurrens
• Regler mot exempelvis förinstallerade appar
• Ökad konkurrens på den inre digitala marknaden, vilket förutspås leda till pressade priser
• Minskad inlåsning i exempelvis operativsystem och nätplattformar

Digital Services Act (DSA)

Vad: Reglering av så kallade mellanhänders skyldigheter och ansvar på den inre digitala marknaden.
Träder i kraft: Senast 1 december 2024.
Konsekvenser för privatpersoner, i urval:
• Bättre skydd av grundläggande rättigheter
• Minskad exponering för olaglig verksamhet
• Större demokratisk kontroll och överblick över systemviktiga plattformar
• Färre systemrisker som manipulation och desinformation