Da avisene Washington Post og The Guardian i 2013 publiserte dokumentene de hadde fått av Edward Snowden, ble verdens oppmerksomhet rettet mot overvåkningsprogrammene til etterretningsmyndighetene i Vesten.
Dokumentene avslørte at etterretningsmyndighetene hadde tatt i bruk mer vidtrekkende og inngripende virkemidler enn de fleste hadde kunnet forestille seg, og at programmene var verdensomspennende. Glenn Greenwald, tidligere advokat, en av Snowdens betrodde medhjelpere og nå journalist i Washington Post, skriver:
«Det dokumentarkivet som Edward Snowden hadde samlet, var forbløffende både i størrelse og i rekkevidde. Selv om jeg hadde skrevet om farene ved USAs hemmelige overvåkning i årevis, opplevde jeg de rene og skjære dimensjonene til overvåkningssystemet som genuint rystende, ikke minst fordi det åpenbart var blitt innført så å si uten demokratisk kontroll, åpenhet eller begrensninger».
Fra «Overvåket – Edward Snowden, NSA og overvåkningsstaten», Cappelen Damm 2014
Avsløringene fikk også rettslige konsekvenser. En av de viktigste kom i fjor, med EU-domstolens avgjørelse i Safe Harbour-saken. Saken gjaldt Facebooks behandling av personopplysninger om tjenestens brukere i Europa. Alle Facebook-brukere som bor i Europa har nemlig på papiret inngått en brukeravtale med Facebook Irland. Til tross for dette, viste det seg at all informasjon generert av europeiske Facebook-brukere har blitt overført til Facebook Inc.s servere i USA. Overføring av personopplysninger til land utenfor EU og EØS er bare tillatt under gitte, strenge vilkår, fordi det rettsvernet som personopplysningene våre nyter godt av i Europa, forsvinner når dataene havner et annet sted.
Ikke bare kom EU-domstolen til at disse dataoverføringene var ulovlige, men den underkjente likegodt hele den rettslige beslutningen som i sin tid innførte Safe Harbour-prinsippene. Dermed forsvant det viktigste rettslige grunnlaget for overføring av personopplysninger til USA, og med ett ble en mengde dataoverføringer ulovlige over natten.
Det var personvernaktivisten Maximillian Schrems som initierte saken. Han ville ha en slutt på at Facebook Irland sendte hans personopplysninger til USA, hvor han mente at verken lovgivning eller eksisterende praksis ga noe tilfredsstillende vern om hans personlige informasjon. Schrems henviste i den forbindelse til Snowdens avsløringer om de amerikanske etterretningstjenesters aktiviteter, og det samme gjør generaladvokat Yves Bot i sin innstilling til domstolen.
EU-domstolens konklusjoner var med andre ord en direkte konsekvens av Snowdens avsløringer, og Schrems’ initiativer via europeiske rettslige kanaler. Avgjørelsen er svært viktig, fordi Safe Harbour-beslutningen hadde vært det mest brukte rettslige grunnlaget for overføring av personlige opplysninger fra Europa til USA i over femten år. Nå er både private virksomheter og offentlige myndigheter i villrede med tanke på hva som vil skje videre. En delegasjon av EU-byråkrater er for tiden i USA for å forhandle videre om Privacy Shield, som skal være Safe Harbour-beslutningens arvtager, etter at EUs ekspertorgan i personvernspørsmål, Artikkel 29-gruppen, tidligere i vår ga en klar anbefaling til EU-kommisjonen om at det avtaleutkastet som det hadde fått til vurdering, ikke holdt mål i lys av våre grunnleggende individuelle rettigheter.
Men dommen er også svært viktig fordi den slår fast at grunnleggende individuelle rettigheter i europeisk rettstradisjon står i veien for masseovervåkning av europeiske borgere. Artikkel 29-arbeidsgruppen har analysert denne rettsavgjørelsen, og andre europeiske rettsavgjørelser om individets fundamentale rettigheter, og utledet fire garantier:
- Garanti A: et hvert inngrep i personvernet må baseres på klare, presise og tilgjengelige lovregler
- Garanti B: det er nødvendig å påvise at databehandlingen er nødvendig og proporsjonal
- Garanti C: det må finnes en uavhengig kontrollmekanisme
- Garanti D: individet skal kunne prøve lovligheten av inngrepet i sine rettigheter rettslig
At opplysninger om oss skal vernes, regnes som en grunnleggende menneskerettighet i EU. Artikkel 29-gruppen fremhever at disse garantiene må være oppfylt for at inngrep i vårt personvern skal kunne betraktes som legitime. Dette gjelder uansett hva formålet med inngrepet er. Før vi kan gjenvinne tilliten til at våre personopplysninger blir behandlet på en forsvarlig måte i USA, er det nødvendig at amerikanske myndigheter sørger for å ivareta disse garantiene, mener arbeidsgruppen.
Disse garantiene er imidlertid ikke bare myntet på myndighetene i andre stater. Dette er allmenne prinsipper, og alle europeiske myndigheter som vurderer å innføre overvåkningstiltak mot befolkningen, må vurdere tiltakene opp mot disse garantiene. Den 8. juni skal Stortinget behandle et lovforslag fra Regjeringen om å innføre nye, skjulte tvangsmidler til kriminalitetsbekjempelsesformål (Prop. 68 L). Her finner man blant annet et forslag om å innføre dataavlesing som virkemiddel for politiet og PST. Vi forventer at Stortinget tar alle disse fire garantiene med i betraktningen når det nå skal stemme over dette lovforslaget.