Pentagons signalspaningsenhet NSA finkammar de elektroniska nätverken efter personuppgifter. Det finns skäl att misstänka att Facebooks datacentral i Luleå medverkar. Men åklagare i Sverige och en tillsynsmyndighet i EU säger nej till närmare granskningar av saken. Datainspektionen prioriterar annat. Ett reportage i Aftonbladet 16 oktober 2013.
Pentagons signalspaningsenhet NSA kopierar varje år 250 miljoner adressböcker knutna till användare av amerikanska IT-bolags tjänster.[1] Det avslöjade Washington Post nyligen.
Inhämtningen sker i utlandet, och Sverige är ett av nyckelländerna. Här finns knutpunkter i internettrafiken och gynnsamma förutsättningar för övervakningen.
Statsminister Fredrik Reinfeldt har tidigare uttryckt förståelse för de amerikanska spionorganens framfart: ”… alla demokratier, även den svenska, har säkerhetstjänster som jobbar med underrättelseinhämtning…”
”Dock är det viktigt att den är lagbunden och kontrollerad”, tillägger han.[2]
Reservationen kan tyckas antyda kritik. I själva verket gömmer den en kapitulation för USA:s gränslösa anspråk. Det finns idag, om ansvariga myndigheter tolkar lagar och bestämmelser korrekt, ingen rättslig möjlighet för svenska medborgare att freda sig mot den amerikanska massövervakningen. Statsledningen i Washington har carte blanche att göra vad den vill med våra virtuella liv.
USA investerar 80 miljarder dollar per år i sin underrättelseverksamhet. 854 000 tjänstemän är anställda av de statliga säkerhetsorganen och deras privata kontraktörer.[3] CIA:s teknikchef Ira Hunt talar om en gyllene tidsålder: ”… vi försöker i grund och botten samla på oss allt vi kan och spara det i evighet. Det är faktiskt inte långt ifrån att vi kan databehandla all mänskligt genererad information.”[4]
”Det spioneras inte på amerikaner”, försäkrar president Barack Obama.[5] I realiteten, visar Edward Snowdens avslöjanden, kan spionerna med några knapptryckningar få fram de mest känsliga uppgifter om landets medborgare.
Men allvarligare för omvärlden är att det i USA:s lagstiftning inte finns några begränsningar så länge föremålet för operationerna är en utlänning. Alla svenska medborgare, inklusive statsministern, är i regelverket kring NSA fredlösa. Detsamma gäller flyktingar i Sverige. Underrättelseverksamheten syftar inte bara, som i de officiella förklaringarna, till att bekämpa terrorism och hot från fientliga stater. Allt som överhuvudtaget ”rör … genomförandet av Förenta Staternas utrikespolitik” är enligt paragraf 1801 i lagstiftningen lovligt byte.[6]
Hur värjer vi oss mot USA:s strävan att ner till minsta twitterinlägg registrera allt vi företar oss i de elektroniska kommunikationskanalerna?
Rätten till statligt skydd mot övergrepp från främmande makt är en av de mest grundläggande demokratiska rättigheterna. Vi har lagar som reglerar detta. Vi har också kryphål – och en vana att krypa.
Fredrik Reinfeldt är tydlig: Vår statsledning tänker inte ens tanken att hävda ett mått av suveränitet mot den pågående invasionen av landets digitala infrastruktur. NSA har i stället i FRA en av sina främsta hjälpredor, och i sin nya europeiska servercentral i Luleå kan Facebook utan hinder lagra terabyte efter terabyte av personuppgifter för vidare förmedling till NSA:s databaser i USA.
39 anmälningar om misstänkt olovlig underrättelseverksamhet och brott mot personuppgiftslagen vid Facebook i Luleå har inkommit till Åklagarkammaren för säkerhetsmål sedan min förra artikel om massövervakningen[7]. Men chefsåklagare Tomas Lindstrand inleder ingen förundersökning.[8]
Det finns visserligen ”anledning anta personliga uppgifter från datoranvändare i Sverige kan ha överförts till amerikansk underrättelsemyndighet genom till exempel Facebook”, skriver han. Men något brott har knappast begåtts i Sverige, eftersom företagets verksamhet är ”rent affärsmässig”.
Det är svårt att tro att lika välgrundade misstankar riktade mot Huawei eller något ryskt företag skulle ha lett till samma slutsats.
Av tekniska orsaker, berättar en expert för mig, sker överföringen av data från Facebook till NSA antagligen i eller i direkt anslutning till företagets datacentraler. Redan 2006 avslöjade en källa att telekombolaget AT&T upplåtit ett särskilt rum i sin anläggning i San Francisco åt NSA:s tekniker, och 2012 berättade en tidigare expert vid spionorganet om ytterligare 10 till 20 sådana inrättningar spridda över landet.[9] Hur det ser ut på Facebook är inte klarlagt. Kopior på data från centralen i Sverige kan skickas till företagets servrar i USA och där ställas till NSA:s förfogande. Men det är också möjligt att man för att undgå amerikanska regler tankar ner allt på plats i Luleå. Det är inget som intresserar åklagaren. ”Vilka servrar som använts är inte relevant för att bedöma straffbarheten”, skriver han i ett mejl.[10] Massövervakningen är en biprodukt, ”ett utnyttjande i USA … av en kommersiell verksamhet”[11], och som sådan inte straffbar i Sverige.
Ett annat skäl för beslutet är att den myndighet som ska värna personuppgifterna förhållit sig passiv: ”Att någon brottsanmälan inte gjorts innebär att Datainspektionen inte funnit anledning anta att något brott mot personuppgiftslagen kan ha begåtts. Jag saknar grund för att göra någon annan bedömning …” Inspektionen har, hävdar åklagaren, kommit fram till ”att eftersom Facebook har sitt kontor och säte på Irland, så är det den irländska personuppgiftslagen som gäller och inte den svenska”.
EU-direktiv kan befria företag som etablerar sig i ett land inom unionen från skyldigheten att följa andra länders lagstiftning för dataskydd. Huvudkontoret kan placeras där skatterna är lägst och tillsynen tillmötesgående.
Men Lindstrands referat av Datainspektionens hållning är skruvat. Tillsynsmyndigheten har inte tagit närmare ställning, förklarar dess chefsjurist Hans-Olof Lindblom för mig. Bedömningen att irländsk lag gäller är endast preliminär. Först när frågan blivit ett ärende kommer inspektionen att säga sitt, och ett ärende blir frågan först när inspektionen bestämmer sig för att göra den till ett ärende. Med hänvisning till pågående underhandlingar mellan EU-kommissionen och Vita huset prioriterar myndigheten annat.
Det spelar ingen roll hur många anmälningar som kommer in från allmänheten. Datainspektionen saknar skyldighet att ingripa, och så länge Datainspektionen inte ingriper förutsätter åklagaren att inget brott mot svensk lag har begåtts.
Återstår att vända sig till tillsynsmyndigheten i Irland. Det har jag gjort. Data Protection Commission ger följande besked:
”Vi anser att en dataansvarig baserad i Irland har uppfyllt sina skyldigheter vad gäller överföringen av personuppgifter till USA om enheten i USA är ’Safe Harbor’-registrerad. Vi anser vidare att det avtalade ’Safe Harbor’-programmet förutser och behandlar frågan om tillgång till personuppgifter för brottsbekämpande ändamål.”[12]
Safe Harbor ingår i ett avtal mellan EU och USA om handel med datatjänster. 1998 bestämde EU att data bara får överföras till främmande land om EU:s regler till skydd för personuppgifter respekteras. Det riskerade att komplicera den amerikanska IT-industrins strävan att centralisera all lagring och behandling av data till det så kallade Molnet, det vill säga servrarna hos företag som Google, Microsoft och Facebook. USA föreslog därför en överenskommelse om en enkel procedur som skulle ge bolagen oinskränkt tillgång till EU-marknaden. Kommissionen i Bryssel skrev på.
Datacentraler i USA förutsätts nu upprätthålla ett dataskydd i linje med EU:s bestämmelser så snart de registrerat sig som en Safe Harbor, en säker hamn. Någon rätt att på plats kontrollera efterlevnaden finns inte. Avtalet är dessutom försett med en undantagsklausul som befriar bolagen från alla skyldigheter ”i den utsträckning som är nödvändig för att uppfylla de krav som nationell säkerhet, allmänintresse och brottsbekämpning ställer”. Följaktligen, hävdar den irländska datainspektionen, finns det trots Edward Snowdens avslöjanden ingen anledning att granska Facebooks samarbete med underrättelsetjänsten.
Några studenter från Österrike har gett sig på att pröva denna slutsats. Den unge juristen Max Schrems översände i juni en formell anmälan till Data Protection Commission om misstänkta brott mot den irländska dataskyddslagen och underliggande EU-direktiv.[13] Schrems konstaterar att massöverföringen av personuppgifter från Facebook till NSA uppenbart strider mot de rättigheter som EU utfäst sig att värna. Har Facebook missbrukat de undantag som finns i Safe Harbor-avtalet eller har kommissionen i Bryssel slutit ett avtal som står i strid med bestämmelser i direktiv och grundfördrag? Schrems begär att den irländska myndigheten klarlägger frågan.
Han påpekar vidare att bevisbördan ligger hos det företag som exporterar känsliga data. Data Protection Commission bör därför ålägga Facebook att styrka att personuppgifter hanteras i USA på ett sätt som står i överensstämmelse med fundamentala rättigheter. Facebook kan vägra med hänvisning till att amerikansk lag förbjuder företaget att yppa något om landets underrättelseverksamhet. I så fall ”blir den enda logiska följden att överföringen av personuppgifter till ’Facebook Inc’ /i USA/ måste förbjudas.”
Irländsk dataskyddslag stadgar till skillnad från den svenska att en undersökning ska inledas vid varje anmälan som inte anses vara ”oseriös och anstötlig”. Trots det meddelade Data Protection Commission i juli att den inte ämnar befatta sig med Schrems inlaga. Myndigheten vägrar dessutom envist att precisera den legala grunden för sitt beslut.[14]
De unga österrikarna samlar pengar för att driva fallet vidare i irländsk domstol medan statsminister Fredrik Reinfeldt talar om dialog med Vita huset och vi byte för byte lagras för vidare bearbetning i NSA:s databas i Bluffdale i öknen i Utah.
Edward Snowdens avslöjanden är bara ”en bekräftelse på den värld som vi vet att vi lever i”, säger utrikesminister Carl Bildt.[15]
Det kan uttryckas mer precist: Vi lever i en värld där statsmakten i de ledande kapitalistiska länderna lösgör sig ur demokratiska institutioner och internationell rätt.
”Var och en” är enligt Regeringsformen 2 kap §6 ”skyddad mot … undersökning av brev eller annan förtrolig försändelse och mot hemlig avlyssning eller upptagning av telefonsamtal eller annat förtroligt meddelande”. Det borde stå ”ingen”. För affärernas skull är vi utlämnade åt de 854 000 underrättelseagenterna och deras globala övervakningsmaskineri.
NOTER
[2] Sveriges Radio, P1 Morgon, 130904.
[3] Financial Times 130608.
[4] FT 130610.
[6] Caspar Bowden: The US National Security Agency (NSA) surveillance programmes (PRISM) and Foreign Intelligence Surveillance Act (FISA) activities and their impact on EU citizens’ fundamental rights, European Parliament, 130916, s. 23. Jfr. http://www.law.cornell.edu/uscode/text/50/1801
[8] Beslut 130912, Dnr AM 108658-13.
[9] http://www.wired.com/threatlevel/2012/03/ff_nsadatacenter/all/
[10] Tomas Lindstrand, mejl till Mikael Nyberg 130930.
[11] Beslut 130912, Dnr AM 108658-13.
[12] Mejl från Stewart Fennell, Information Officer, Office of the Data Protection Commissioner, 120925.
[13] Maximilan Schrems, Complaint against Facebook Ireland Ltd – 23 ”PRISM”, 130625.
[14] http://www.europe-v-facebook.org/DPC_PRISM_all.pdf
[15] Svenska Dagbladet 130630.
Mikael Nyberg, Aftonbladet 16 oktober 2013