PCLOB, Schrems I – II, TADPF og FISA 702

Det er igjen debatt rundt lagring av europeiske data i USA. Og selvsagt er det Donald Trump som er årsaken. Men for å forstå hvorfor, handler det om å ha oversikt over PCLOB, Schrems I – II, TADPF og FISA 702. Puh …

Gjennom ulike dommer og politisk behandling i EU har det hersket en slags diplomatisk balanse over Atlanterhavet om hvordan europeisk personvern skal ivaretas i amerikanske datasenter. Det grunnleggende problemet er USAs lovgivning, som uten rettslig kjennelse gir amerikanske sikkerhetsmyndigheter anledning til å overvåke data som lagres på amerikansk jord. For europeiske land utfordrer det selvsagt EUs personverndirektiv GDPR.

Regelverket det er snakk om er FISA 702, det vil si Foreign Intelligence Surveillance Act, section 702 – en lovgivning ektefødt av George W. Bushs krig mot terror etter 11. september 2001.

Schrems og Facebook

Neste punkt på lista er Schrems I-II. Gjennom rettsprosessene mellom EU og den østeriske juristen og aktivisten Maximilliam Schrems ble det slått fast at it-selskaper som lagrer europeiske bruker-/kundedata i USA må tilby et likeverdig personvern som i EU. Den første av disse dommene falt i 2015 og omhandlet Schrems klage på at hans brukerdata fra Facebook ble lagret på servere i USA. Denne dommen blir ofte kalt Schrems I. I 2020 falt en ny dom, kjent som Schrems II. Den fastslo tilleggskriterier for lagring av personopplysninger utenfor EU-land.

Både Schrems I og II ble et dilemma for EU. For det det er jo åpenbart fryktelig upraktisk at europeiske innbyggere, organisasjoner og selskaper ikke skal kunne kjøpe sky-tjenester fra amerikanske selskaper. EU-kommisjonen presset derfor på for å finne en løsning. Svaret ble TADPF, Trans-Atlantic Data Privacy Framework, vedtatt i 2023. Dette er hva det sier det er, altså et rammeverk av kriterier som skal være på plass før datalagring i USA kan karakteriseres som å gi et likeverdig personvern som i Europa.

Og her nærmer vi oss slutten. Den amerikanske motparten som garanterer for at disse kriteriene blir fulgt, er byrået Privacy and Civil Liberties Oversight Board (PCLOB). De fører tilsyn med at FISA 702 ikke blir overtrådt, og er dermed også tilsynet som gir legitimitet til at amerikanske it-selskaper tilbyr sky-tjenester i henhold til TADPF.

Dette er en skjør konstruksjon som dypest sett hviler på diplomatisk velvilje mellom nære allierte. Hvis EU får grunn til å tvile på PCLOBs legitimitet, er det også et solid skudd i baugen for TADPF og lagring av europeiske persondata på amerikansk jord.

Inn kommer Trump 

Denne uken har det kommer rapporter om at PCLOB-medlemmer fra det demokratiske partiet har blitt presset fra den nye administrasjonen i det Hvite hus til å trekke seg. Samtidig har Trump utstedt en presidentordre om at alle avgjørelser om nasjonal sikkerhet tatt av Bidens administrasjon, herunder TADPF, skal gjennomgås og vurderes opphevet i løpet av 45 dager. Rent juridisk kan det dermed ganske raskt bli ulovlig å lagre europeiske persondata i USA.

Nå er det grunn til å tro at de store plattform-selskapene som Meta, Google, Microsoft og Amazon sitter såpass tett på makta i USA at de kan dulte Trump i en retning som ikke setter TADPF på spissen. I en tid hvor Europa utfordres både med hensyn til finansiering av eget forsvar og en mulig handelskrig, er det neppe i USAs interesse å undergrave forholdet til EU enda mer – skulle en tro. På en annen side er det ikke forutsigbarhet som kjennetegner amerikanske politikk om dagen ...