Den amerikanske kongressen har antagit en lag om förlängning och ändring av den kritiserade sektionen 702 i Foreign Intelligence Surveillance Act (FISA). Lagen H.R. 7888, Reforming Intelligence and Securing America Act, har redan signerats av president Joe Biden och har därmed trätt ikraft. Sektion 702 FISA gör det möjligt för amerikanska brottsbekämpande myndigheter att samla in och använda data från olika källor som operatörer och molntjänstleverantörer för att bekämpa brott.
Lagens förlängning och ändring följer flera vändningar i lagstiftningsprocessen. Lagen stoppades i representanthuset för två veckor sedan efter att före detta president Trump lagt upp ett inlägg på sociala medier där han skrev ”KILL FISA, IT WAS ILLEGALLY USED AGAINST ME!”
I samband med förlängningen har det gjorts omfattande ändringar i lagtexten. En av dessa är att lagens tillämpningsområde har utvidgats genom att inkludera flera aktörer i definitionen av begreppet ”electronic communication service provider”. Begreppet omfattar numera även ”any other service provider who has access to equipment that is being or may be used to transmit or store wire or electronic communications”. Detta är en betydande utvidgning av tillämpningsområdet som tidigare var begränsat till traditionella operatörer, leverantörer av kommunikationstjänster och molntjänstleverantörer.
Samtidigt innehåller ändringarna skarpare begränsningar av brottsbekämpande myndigheters möjligheter att samla in och använda data om amerikaner (United States Persons). Vidare införs åtgärder för ökad granskning av myndigheters insamling och användning av uppgifter om amerikaner. Därutöver förkortas lagens löptid till två år från tidigare fem år.
Sektion 702 FISA har kritiserats från flera håll i och utanför USA under de senaste åren. Lagen ska ha missbrukats av brottsbekämpande myndigheter för att avlyssna och kartlägga amerikaner på ett otillåtet sätt och har blivit föremål för ett flertal rättsfall inför amerikanska domstolar.
I Europa konstaterade EU-domstolen i Schrems II-målet att vissa överföringar av personuppgifter till mottagare i USA som omfattades av sektion 702 FISA inte var förenliga med dataskyddsförordningen (GDPR). Som motivering anförde EU-domstolen bland annat att lagen inte var proportionerlig och att den inte säkerställde en skyddsnivå för personuppgifter som var likvärdig med EU-lagstiftning. EU-domstolen var även kritisk mot att amerikaners personuppgifter omfattades av en högre skyddsnivå än icke-amerikaners personuppgifter.
Som följd av domen i Schrems II-målet stoppade europeiska dataskyddsmyndigheter ett flertal olagliga tredjelandsöverföringar till USA och utfärdade även administrativa sanktionsavgifter. Till exempel ålade Integritetsskyddsmyndigheten (IMY) Tele 2 med 12 000 000 kr för otillåten överföring av personuppgifter till USA i samband med bolagets användning av verktyget Google Analytics. Den irländska Data Protection Commission (DPC) utfärdade Meta med 1,2 miljarder euro för olagliga överföringar av personuppgifter till USA.
Kort efter böterna mot Meta hade utfärdats beslutade EU-kommissionen om EU-US Data Privacy Framework DPF) för att återigen, under vissa förutsättningar, möjliggöra överföringar av personuppgifter till USA. DPF har emellertid underkänts av EU-parlamentet och människorättsorganisationer, däribland organisationen NOYB under ledningen av Max Schrems som utmanar DPF på rättslig väg. Vidare kommer EU-kommissionen att granska implementeringen av DPF under juli 2024 i samband med kommissionens planerade översyn.
Ändringarna i sektion 702 FISA som antagits i samband med lagens förlängning kan potentiellt komma att påverka såväl rättsprocesserna som EU-kommissionens översyn av ramverket.