Foreign Intelligence Surveillance Act (“FISA”) är en amerikansk lag som introducerades 1978 och som har uppdaterats flera gånger sedan 11 september-attackerna. FISA reglerar insamling av ”foreign intelligence information” för ändamål som är relaterade till nationell säkerhet. Metoderna som får användas av amerikanska myndigheter i detta syfte är bland annat avlyssning av kommunikation och tillgång till data som lagras i molntjänster.
FISA är inte samma lag som US CLOUD Act. Åtgärder som vidtas med stöd av FISA är begränsade till USA:s territorium medan CLOUD Act gör det möjligt för amerikanska myndigheter att begära ut data som lagras utanför USA:s territorium.
FISA skiljer mellan amerikanska och utländska medborgare. Medan amerikanska medborgares rätt till privatliv skyddas av USA:s konstitution gäller detta skydd inte för utländska medborgare. Utländska medborgare har således inga bindande rättigheter som kan göras gällande mot amerikanska myndigheter, vilket innebär att enskilda inte har någon rätt till effektiva rättsmedel i USA.
Avsaknaden av effektiva rättsmedel är en av huvudanledningarna till varför EU-domstolen ogiltigförklarade Privacy Shield i Schrems-II domen. På grund av samma anledning är det också osannolikt att EU-kommissionens standardavtalsklausuler (“SCC”) för tredjelandsöverföringar utgör en giltig laglig grund för överföring av personuppgifter till USA i enlighet med dataskyddsförordningen (“GDPR”).
Foreign Intelligence Surveillance Court
Foreign Intelligence Surveillance Court (“FISC”) är en specialdomstol som skapades i samband med att FISA introducerades. FISC:s uppgift är att övervaka åtgärderna som vidtas med stöd av FISA. Enligt sektion 702 i FISA godkänner FISC dock inte individuella övervakningsåtgärder, utan snarare övervakningsprogram som till exempel Prism och Upstream. Detta godkännande sker utifrån årliga certifieringar som tas fram av justitieministern (Attorney General) och chefen för nationella underrättelsetjänsten (Director of National Intelligence).
Certifieringarna som ska godkännas av FISC avser inte enskilda personer utan gäller kategorier av uppgifter som ska samlas in av underrättelsemyndigheterna. Därutöver bedömer FISC inte huruvida det är lämpligt att övervaka enskilda individer på ett visst sätt i det enskilda fallet. FISC bedömer endast om övervakningen kan klassas som övervakningsåtgärd.
Rättsmedel för EU-medborgare i detalj
FISA föreskriver ett antal rättsmedel för att bestrida olaglig elektronisk övervakning från de amerikanska underrättelsemyndigheterna. Dessa rättsmedel kan i teorin även användas av utländska medborgare som till exempel EU-medborgare. Ett sådant rättsmedel är att enskilda kan kräva skadestånd från USA när personlig information har använts eller lämnats ut på ett olagligt och medvetet sätt. Därutöver har de rätt att stämma de amerikanska regeringens tjänstemän och begära skadestånd. Enskilda kan också bestrida lagenligheten i övervakningen och begära att informationen hemlighålls.
Enskilda har därför ett antal möjligheter till rättslig prövning när de har varit föremål för olaglig (elektronisk) övervakning av amerikanska underrättelsemyndigheter. Även om det i princip finns möjligheter för utländska medborgare att söka rättslig prövning är de praktiska möjligheterna för att öppna och föra en sådan talan begränsade. Därutöver kan en talan som väcks av enskilda personer komma att förklaras som oacceptabel när de saknar grund, vilket begränsar enskildas möjligheter att väcka en sådan talan vid allmänna domstolar. Utländska medborgare omfattas dock inte av samma grundlagsskydd för rätten till privatliv som amerikanska medborgare.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.