Tiedonsiirrot Euroopan unionista Yhdysvaltoihin – mitä tiedämme juuri nyt?

Toimeenpanomääräyksestä uudeksi Privacy Shieldiksi?

EU:n yleinen tietosuoja-asetus edellyttää, että henkilötietojen siirroille EU:n ulkopuolelle on olemassa oikeusperuste. Tällaisia niin sanottuja siirtomekanismeja ovat esimerkiksi Euroopan komission hyväksymät vakiosopimuslausekkeet ja niin kutsutut vastaavuuspäätökset (adequacy decision), joissa tietyn valtion tietosuojan taso katsotaan EU:n näkökulmasta riittäväksi. Yhdysvaltoja koskien oli aiemmin tehty Privacy Shield -järjestelyyn perustuva vastaavuuspäätös, jonka EU-tuomioistuin kumosi Schrems II -ratkaisussaan. Schrems II -ratkaisussa EU-tuomioistuin muun muassa katsoi, että Yhdysvaltain lainsäädäntöön sisältyvät viranomaisten oikeudet tarkastella ja käyttää henkilötietoja eivät täytä EU:n tietosuojasääntelyn vaatimuksia eivätkä EU:n kansalaisten oikeussuojakeinot puuttua henkilötietojen käsittelyyn Yhdysvalloissa ole riittäviä. Tämän vuoksi edellinen Privacy Shield -järjestely kumottiin.

On tärkeää huomata, että henkilötietojen siirtoina Yhdysvaltoihin pidetään paitsi varsinaisia siirtoja myös tilanteita, joissa henkilötietoihin on pääsy Yhdysvalloista käsin esimerkiksi osana pilvipalvelua, jonka tarjoaja on Yhdysvaltoihin sijoittautunut yritys. Tiedonsiirtoja koskeva sääntely on siis ajankohtainen suuremmalle osalle suomalaisistakin yrityksistä.

Bidenin uusi toimeenpanomääräys sisältää useita kohtia, joilla on tarkoitus vahvistaa tietosuojaa koskevia suojatoimia Yhdysvaltain signaalitiedustelutoiminnassa ja näin vastata EU-tuomioistuimen esille nostamiin huolenaiheisiin.

Toimeenpanomääräyksellä muun muassa luodaan monitasoinen mekanismi, jonka avulla tietyistä vaatimukset täyttävistä valtioista tulevat yksityishenkilöt voivat saada sitovan uudelleentarkastelun ja oikeussuojakeinon, jos he kokevat, että Yhdysvallat on kerännyt tai käsitellyt signaalitiedustelun avulla heidän henkilötietojaan vastoin sovellettavaa lainsäädäntöä. Muutoksenhakujärjestelmässä ensimmäisen tason muodostaa Civil Liberties Protection Officer, joka toimii osana Yhdysvaltain tiedustelupalvelun johtajan toimistoa (Office of the Director of National Intelligence). Toinen taso on niin kutsuttu Data Protection Review Court, joka täytäntöönpanomääräyksen mukaan on riippumaton ja puolueeton tuomioistuin. Tämän instanssin päätökset sitovat Yhdysvaltain tiedustelupalveluja.

Toimeenpanomääräyksessä myös täsmennetään Schrems II -ratkaisun inspiroimana rajoituksia ja suojatoimia, joilla on tarkoitus varmistaa EU:n kansalaisten perusoikeuksien suojelu Yhdysvaltain valvontatoimien jokaisessa vaiheessa tietojen keräämisestä tietojen jatkokäsittelyyn ja säilyttämiseen. Suojatoimien tarkoituksena vaikuttaa olevan EU-tuomioistuimen vaatimusten täyttäminen siitä, että tietoja kerätään vain silloin, kun se on tarpeen tietyn tiedustelutavoitteen edistämiseksi ja vain siinä määrin kuin se on oikeassa suhteessa tavoitteeseen nähden.

Seuraavat askeleet

Seuraavaksi Euroopan komissio käy säädöstekstin läpi ja laatii luonnoksen Yhdysvaltain tietosuojan riittävyyttä koskevaksi päätökseksi eli niin kutsutuksi vastaavuuspäätökseksi (adequacy decision). Kun päätösluonnos on annettu, komission on kuultava tietosuojaneuvostoa ja jäsenvaltioita, joskaan niiden kannanotot eivät ole sitovia. Prosessissa tulee kulumaan kuukausia, eikä lopullista vastaavuuspäätöstä ole odotettavissa ennen kevättä 2023. EU-U.S. Data Privacy Frameworkiin perustuvaa vastaavuuspäätöstä voi käyttää tietosuoja-asetuksen mukaisena oikeusperusteena henkilötietojen siirroille Yhdysvaltoihin siitä lähtien, kun päätös on julkaistu EU:n virallisessa lehdessä.

On myös huomattava, että täytäntöönpanomääräys vahvistaa USA:n tietosuojan tasoa myös ennen vastaavuuspäätöksen julkaisua, sillä siihen sisältyvät määräykset velvoittavat Yhdysvaltain tiedusteluviranomaisia ryhtymään toimiin täytäntöönpanomääräyksen sisältämien suojakeinojen implementoimiseksi jo nyt. Täytäntöönpanomääräyksen sisältämät tietosuojaa koskevat suojatoimet voidaankin ottaa huomioon esimerkiksi silloin, kun arvioidaan Yhdysvaltain tietosuojan tasoa ja siihen liittyviä lisäsuojatoimenpiteitä käytettäessä siirtomekanismina komission hyväksymiä vakiolausekkeita (Standard Contractual Clauses). Vakiolausekkeet pysyvät edelleen keskeisenä siirtomekanismina henkilötietojen siirroissa Euroopan unionin ulkopuolelle.

Pysyvä vai väliaikainen ratkaisu?

Vaikka EU ja Yhdysvallat ovat työstäneet uutta järjestelyä pitkään, on erittäin todennäköistä, että komission odotettu vastaavuuspäätös (adequacy decision) riitautetaan kolmannen kerran EU-tuomioistuimessa. Kahden edellisen henkilötietojen siirtoja Yhdysvaltoihin koskevan puitejärjestelyn (Privacy Shield ja sen edeltäjä Safe Harbor) kumoamisen takana olevat tietosuoja-aktivistit ovat esittäneet, että järjestelyyn suunnitellut uudet suojatoimet eivät täytä EU-tuomioistuimen vaatimuksia.

Aktivistit ovat esimerkiksi esittäneet, että Yhdysvaltain tulkinta tietojen keräämisen oikeasuhteisuuden ja välttämättömyyden käsitteistä eroaa siitä, mitä näillä käsitteillä tarkoitetaan EU-oikeudessa ja EU-tuomioistuimen käytännössä. Aktivistit ovat myös kyseenalaistaneet toimeenpanomääräyksessä säädettyjen oikeussuojakeinojen tehokkuuden: on esitetty, että muutoksenhakujärjestelmän toisella tasolla toimiva Data Protection Review Court ei todellisuudessa ole riippumaton ja puolueeton tuomioistuin, jollaista EU-tuomioistuin ratkaisussaan edellytti. Toimeenpanomääräyksessä ei myöskään kielletty signaalitiedustelun massakeräystä (bulk collection of signals intelligence), jota EU-tuomioistuin kritisoi, joskin määräyksessä asetettiin sille entistä tarkempia vaatimuksia.

On siis epäselvää, onnistuuko kolmas yritys sopia puitejärjestelystä EU:n ja Yhdysvaltojen välisiin tiedonsiirtoihin, vai tuleeko järjestely lopulta kumotuksi EU-tuomioistuimessa. Kun otetaan huomioon, kuinka suuri merkitys tiedonsiirtoja koskevalla oikeusvarmuudella on EU:ssa ja Yhdysvalloissa toimiville yrityksille, sopii vain toivoa, että ratkaisu tulee kestämään.