EU: n ja Yhdysvaltojen väliset tiedonsiirrot
Vuodesta 2013 lähtien asia Yhdysvaltojen joukkovalvonnasta ja siihen osallistuvista EU: n yrityksistä on vireillä. Se on ollut kahdesti Irlannin korkeimmassa tuomioistuimessa ja Euroopan unionin tuomioistuimessa ja käynyt jopa lyhyen vierailun Irlannin korkeimmassa oikeudessa. Tämän tapauksen historia on toukokuussa ainutlaatuinen.
Tausta
Pohjimmiltaan tässä tapauksessa on kyse lainvalinnasta Yhdysvaltain valvontalain, joka vaatii valvontaa, ja EU: n tietosuojalain välillä, joka vaatii yksityisyyttä.
Ongelma: Yhdysvaltain valvontalait
Edward Snowden ilmoitti vuonna 2013 julkisesti, että Yhdysvaltain tiedustelupalvelut saavat pääsyn eurooppalaisten käyttäjien henkilötietoihin valvontaohjelmien, kuten PRISM: n, avulla. Tätä pääsyä helpotti Yhdysvaltain laki, jota ei tiedetä käyttävän tällaisen laajamittaisen valvonnan sallimiseksi, nimeltään 50 USC §1881a (tai FISA 702). FISA 702 hyväksyttiin vuonna 2008, ja se laajensi pohjimmiltaan Yhdysvaltain viranomaisten valvonnan ja tietojen saatavuuden vaihtoehtoja. Yhdysvaltain sähköisen viestinnän palveluntarjoajat (kuten Apple, Microsoft, Facebook, Google ja Yahoo) keräsivät yhä enemmän henkilötietoja tämän laajennuksen kanssa. Yhdessä tämä johtaa yhä haitallisempaan vaikutukseen eurooppalaisten käyttäjien yksityisyyteen.
FISA 702: n mukaan Yhdysvaltojen "sähköisen viestinnän palveluntarjoajat" (määritelty 50 USC §1881 (4) ) voidaan pakottaa antamaan Yhdysvaltain turvallisuusviranomaisille pääsy "muiden kuin Yhdysvaltojen henkilöiden" henkilötietoihin. ei ole Yhdysvaltain kansalainen tai pysyvä asukas Yhdysvalloissa. Tämän lain mukaisten valvontamääräysten ei tarvitse olla erityisiä yksittäiselle kohteelle, vaan pikemminkin mahdollistamaan koko kattava valvontaohjelma, kuten PRISM tai Upstream. Muille kuin yhdysvaltalaisille henkilöille ei ole yksilöllistä oikeudellista hyväksyntää. FISA 702 sallii myös valvonnan melko laajoissa tarkoituksissa, kuten "tiedot, jotka ... liittyvät ... Yhdysvaltojen ulkoasiain hoitamiseen" ( ks. 50 USC § 1801 (e) ).
Yhdysvalloissa on myös "Yhdysvaltain presidentin luontaiseen valtaan" perustuvia valvontavaltuuksia, jotka määritellään tarkemmin toimeenpanomääräyksessä ( EO 12.333 ), kun taas muita elementtejä kuvataan presidentin politiikkadirektiivissä 28 ( PPD-28 ). Molemmat ovat sisäisiä tilaukset toimeenpanovallan jotka eivät aiheuta velvollisuuksia tai oikeuksia yksityisille tahoille, mutta mahdollistavat valvonnan kuin yhdysvaltalaisten henkilöä.
Edward Snowdenin julkaisemissa asiakirjoissa lueteltiin joukko yhdysvaltalaisia yrityksiä, jotka toimittavat tietoja Yhdysvaltojen hallitukselle näiden valvontajärjestelmien kaltaisista valvontaohjelmista, kuten PRISM tai Upstream, mukaan lukien Apple, Microsoft, Facebook, Google ja Yahoo.
Reagointi: GDPR rajoittaa tiedonsiirtoa
Euroopan tietosuojalaeista (aiemmin direktiivi 95/46, ja nyt GDPR) perustuvat käsitteeseen vapaan henkilötietojen virran, mutta vain pallo, joka suojaa käyttäjän yksityisyyttä. Jos henkilötietoja suojeltaisiin vain Euroopan unionissa, mutta ne voitaisiin siirtää EU: n lainkäyttöalueen ulkopuolelle ilman rajoituksia, EU: ssa tarvittavan henkilötietojen korkeatasoinen suoja voisi helposti heikentyä.
EU: n lainsäädännössä on kuitenkin aina säädetty poikkeuksista tälle siirron rajoittamisen periaatteelle esimerkiksi silloin, kun henkilötietoja on välttämättä siirrettävä (esim. Varattaessa palvelua ulkomaille tai kun lähetät sähköpostia) tai kun käyttäjä suostuu vapaasti siirtoon. Nämä ei-rakenteellisia siirtoja koskevat poikkeukset on tällä hetkellä kodifioitu GDPR: n 49 artiklassa .
Lisäksi EU: n lainsäädännössä tunnustetaan, että saattaa olla tilanteita, joissa EU: n ulkopuoliset yritykset tarjoavat vastaavan suojan henkilötiedoille. Joissakin maissa kansallinen lainsäädäntö on samanlainen kuin EU: n lainsäädäntö (esim. Sveitsi, Israel, Kanada tai Japani), ja toisissa maissa yritykset voivat vapaaehtoisesti sitoutua EU: n periaatteisiin allekirjoittamalla siviililainsäädännön järjestelyt, kuten vakiosopimuslausekkeet, sitovat yrityssäännöt tai EU: n ja Yhdysvaltojen tietosuojakilpi. Viimeksi mainitut oikeusperustat löytyvät yleisen tietosuoja-asetuksen 46–48 artiklasta, ja niitä käytetään suurelta osin tilanteissa, joita parhaiten kuvaillaan henkilötietojen käsittelyn ulkoistamiseksi yrityksissä EU: n ulkopuolisiin maihin.
Koska Yhdysvalloilla ei ole omnibus- tai liittovaltion yksityisyyden suojaa koskevaa lakia, yhdysvaltalaisten yritysten on ulkoistamisen yhteydessä luotettava johonkin näistä sopimusehdoista GDPR 46-48 artiklassa. Yrityksille, jotka kuuluvat Yhdysvaltain valvontalain alaisuuteen, näiden sopimusvaihtoehtojen käyttö on mahdotonta käytännössä, koska Yhdysvaltojen laki vaatii heitä rikkomaan EU: n lainsäädännön mukaisia velvoitteitaan. Tämä ongelma on keskeinen asia Irlannin tietosuojavaltuutetun Schremsin ja Facebookin välillä, koska Facebook kuuluu selvästi Yhdysvaltain valvontalakien piiriin ja osallistui PRISM: n kaltaisiin ohjelmiin samalla kun se on ristiriitaisesti allekirjoittanut SCC: t, Safe Harbor ja nyt Privacy Shield (EU: n ja Yhdysvaltojen välinen tiedonsiirto, joka korvaa Safe Harbor -palvelun).
Ensimmäinen viittaus Euroopan unionin tuomioistuimeen vuosina 2013--2015 ("Safe Harbor")
Menettely Irlannin tietosuojavaltuutetulla (DPC)
Snowdenin paljastamisen jälkeen herra Schrems (silloinen itävaltalainen oikeustieteen opiskelija) teki valituksen Facebook Ireland Ltd: stä Irlannin tietosuojavaltuutetulle (DPC). Valituksessa väitettiin, että EU: n ja Yhdysvaltojen Safe Harbor -päätöksen 2000/520 / EY (Euroopan komission vuonna 2000 tekemä toimeenpanopäätös) nojalla Schremsin henkilötietoja ei pitäisi lähettää Facebook Ireland Ltd: ltä (joka palvelee Facebookin käyttäjiä Yhdysvaltojen ulkopuolella). ja Kanada) Facebook Inc: lle (yhdysvaltalainen emoyhtiö), koska Facebookin on myönnettävä Yhdysvaltain kansalliselle turvallisuusvirastolle pääsy tällaisiin tietoihin.
Irlannin DPC hylkäsi herra Schremsin valituksen "kevytmielisenä ja pahantahtoisena" väittäen, että Facebook luotti Safe Harbor -päätökseen suorittaessaan tiedonsiirtoaan Yhdysvaltoihin. DPC: n mielestä Euroopan komissio oli myöntänyt, että Yhdysvaltain laki on riittävä vuonna 2000 tehdyssä päätöksessä (kahdeksan vuotta ennen 50 Yhdysvaltain yleissopimuksen 50 §: n 1881a hyväksymistä) ja että komission päätös oli ehdottomasti sidottu DPC: hen.
Oikeudellinen tarkastelu DPC: tä vastaan
Lokakuussa 2013 Schrems haki DPC: n päätöksen oikeudellista uudelleentarkastelua väittäen, että DPC voisi käyttää "hätälauseketta" Safe Harbor -päätöksessä tietojen siirron keskeyttämiseksi ja että joka tapauksessa Safe Harbor -päätös oli pätemätön. Irlannin korkein oikeus keskeytti 18.6.2014 [2014] IEHC 310 antamassaan tuomiossa menettelyn ja siirsi asian Euroopan unionin tuomioistuimen (EUT) käsiteltäväksi. Irlannin korkein oikeus oli suurelta osin samaa mieltä siitä, että Yhdysvaltojen lainsäädännön mukaan on olemassa "joukkovalvonta", mutta katsoi, ettei se voinut tehdä lopullista päätöstä herra Schremsin tapauksesta määrittelemättä ensin Safe Harbor -päätöksen pätevyyttä. EU: n lainsäädännön mukaan vain unionin tuomioistuin voi tehdä päätöksiä EU: n säädösten, kuten Safe Harbor -päätöksen, pätevyydestä, mikä tarkoitti sitä, että Irlannin korkeimman oikeuden oli saatettava asia unionin tuomioistuimen käsiteltäväksi.
Euroopan unionin tuomioistuimen tuomio 6. lokakuuta 2015 (C-362/14)
Uraauurtavassa tuomiossa (C-362/14 Schrems ) Euroopan unionin tuomioistuin julisti Safe Harbor -päätöksen pätemättömäksi suurelta osin Schremsin perustelujen mukaisesti. Tuomioistuin katsoi, että Yhdysvaltojen kaltaisen kolmannen maan on tarjottava " olennaisilta osin vastaava " suojataso kuin EU: n lainsäädännöllä, ja että " lainsäädäntö, joka antaa viranomaisille pääsyn yleisesti, loukkasi EU: n perusoikeuksien olemusta oikeus yksityisyyteen EU: n perusoikeuskirjan 7 artiklan mukaisesti. Vastaavasti se, että Yhdysvalloissa ei ole oikeussuojakeinoja muille kuin yhdysvaltalaisille, loukkaa CFR: n 47 artiklan mukaista oikeutta muutoksenhakuun.
Euroopan unionin tuomioistuimen tuomion jälkeen Irlannin korkein oikeus päätti menettelyn Irlannin tuomioistuimissa, koska DPC lupasi panna nopeasti täytäntöön unionin tuomioistuimen päätöksen.
Toinen viittaus Euroopan unionin tuomioistuimeen vuosina 2015--2020 (SCCs & Privacy Shield)
Tiedot, joihin Facebook todella luotti SCC: hin
Schremsin suureksi yllätykseksi, marraskuussa 2015 DPC ilmoitti hänelle, että unionin tuomioistuimen tuomio Safe Harbour -päätöksestä oli merkityksetön hänen alkuperäisen kantelunsa kannalta, koska Facebook oli itse asiassa aina vedonnut niin kutsuttuihin vakiosopimuslausekkeisiin (SCC) tekemään tiedonsiirron. DPC ei ollut paljastanut näitä tietoja herra Schremsille, mikä sai hänet uskomaan, että Facebook oli luottanut Safe Harboriin, vaikka se oli saanut Facebookilta kyseiset tiedot jo sähköpostivastauksessa valitukseen vuonna 2013.
Schrems muotoili valituksensa uudelleen siten, että se sisälsi nyt SCC: t ja kaikki muut tiedonsiirron oikeusperustat, joihin Facebook voi vedota, ja toimitti DPC: lle päivitetyn valituksen 1. joulukuuta 2015 . Schrems väitti, että DPC: n olisi käytettävä SCC-päätöksen 4 artiklaa siirtojen keskeyttämiseen, koska 4 artiklassa annetaan DPC: lle mahdollisuus keskeyttää tiedonsiirto, jos käyttäjien perusoikeuksia loukataan.
DPC: n oikeusjuttu Facebookia ja herra Schremsiä vastaan
Sen sijaan, että DPC olisi nopeasti päättänyt tapauksesta, se yllättäen nosti kanteen Facebook Ireland Ltd: tä ja herra Schremsiä vastaan pian aloitettuaan "tutkimuksen" uudelleen muotoiltuun valitukseen, johon molemmat osapuolet osallistuivat. DPC: n mielestä kaksi osapuolta olivat "luonnollisia vastaajia" tässä tapauksessa, ja DPC joutui pyytämään High Courtia antamaan uuden viitteen EU: n tuomioistuimeen. Schrems on kiistänyt asian väittäen, että DPC voi viitata unionin tuomioistuimeen vasta toisen kerran, kun kaikki tosiasiat ja kysymykset on tutkittu.
Useat osapuolet ovat hakeneet liitettävien puolueettomina (neutraali auttajia tuomioistuimen) koteloon; Yhdysvaltain hallitus, EPIC.org ja kaksi teollisuuden aularyhmää yhdistettiin siihen.
Oikeudenkäynnissä DPC väitti, että se liittyisi paitsi Schremsin näkemyksiin hänen huolestuneisuudestaan Yhdysvaltain valvontalainsäädännöstä, mutta sen lisäksi sillä oli myös vakavia huolenaiheita Facebookin käyttämien SCC: n pätevyydestä. DPC katsoi, että SCC: t eivät säätä laillisesta mekanismista tietojen siirtämiseen, jos Yhdysvaltojen kaltainen kolmas maa on antanut SCC: n kanssa ristiriitaisia lakeja. Facebook ja herra Schrems eivät ottaneet ongelmaa itse SCC: n kanssa ja olivat yhtä mieltä siitä, että tällöin SCC-päätöksen (EU) 2010/87 4 artikla antaisi ratkaisun.
Päinvastoin kuin Schrems ja DPC, Facebook ei nähnyt mitään ongelmia Yhdysvaltain valvontalakien kanssa ja katsoi, että EU: lla ei ole toimivaltaa "kansallisen turvallisuuden" kysymyksissä. Facebook luotti myös Euroopan komission Privacy Shield -päätökseen (EU) 2016/1250 , joka korvasi mitätöidyn Safe Harbor -päätöksen. Tässä päätöksessä Euroopan komissio totesi, että Yhdysvaltain valvontalakien ja EU: n perusoikeuksien välillä ei ole ristiriitaa. Facebookin mukaan tätä Privacy Shield -päätöksen havaintoa on sovellettava myös SCC-sopimusten mukaisiin siirtoihin. Herra Schrems katsoi, että Privacy Shield -päätös itsessään on pätemätön, koska se edustaa perusteettomasti Yhdysvaltain valvontalakeja, eikä hänellä siten ole toimivaltaa tulkita SCC-sopimuksia.
Irlannin korkein oikeus tunnusti usean menettelyvaiheen ja yli viiden viikon kuulustelut, joissa useat Yhdysvaltain valvontalakia käsittelevät asiantuntijatodistajat osallistuivat Yhdysvaltain hallituksen joukkovalvontaohjelmiin. Irlannin korkein oikeus tiivisti 3. lokakuuta 2017 [2017] IEHC 545 antamassaan tuomiossa kaikki tosiseikat ja korosti, että Yhdysvallat suorittaa henkilötietojen "joukkokäsittelyä" suodatettaessa esimerkiksi koko Internet-osien läpi kulkevaa Internet-liikennettä. selkäranka. Se lähetti 13. huhtikuuta 2018 yksitoista tulkitsevaa kysymystä unionin tuomioistuimen ratkaistavaksi. Kysymykset laati suurelta osin DPC.
Viittauksen jälkeen Facebook pyysi Irlannin korkeinta oikeutta tarjouksessaan lopettaa High Courtin viite, mutta valitus hylättiin lopulta 31. toukokuuta 2019 .
Menettely unionin tuomioistuimessa (C-311/18)
Osapuolten oli toimitettava kirjalliset huomautuksensa 30. elokuuta 2018.
Unionin tuomioistuin käsitteli asiaa 19. heinäkuuta 2019 suuressa jaostossa (tuomioistuimen suurin kokoonpano, jossa on 15 tuomaria) kuulemalla kolme osapuolta, neljä amicusta , Euroopan komissiota, Euroopan parlamenttia, Euroopan tietosuojaneuvostoa ( EDPB) ja suuri määrä EU: n jäsenvaltioiden hallituksia. Tuomareiden kysymykset keskittyivät erityisesti Yhdysvaltain valvontalakeihin ja Privacy Shield -päätöksen pätevyyteen.
Unionin tuomioistuimen julkisasiamies (AG) antoi 19. joulukuuta 2019 ei-sitovan neuvoa-antavan lausuntonsa asiassa, joka yhtyi suurelta osin Schremsin kantaan. Lausunnon mukaan Yhdysvaltain valvontalaki on ristiriidassa EU: n perusoikeuksien kanssa, mutta ratkaisu yhteensopimattomuuteen on siinä, että DPC määrää tiedonsiirron keskeyttämisen SCC-päätöksen 4 artiklan nojalla. Vaikka AG kritisoi nimenomaisesti Privacy Shield -päätöstä, hän katsoi, että kysymys sen pätevyydestä ei ole olennainen osa tapausta.
Euroopan unionin tuomioistuin antaa lopullisen päätöksen näistä asioista 16. heinäkuuta 2020 noin klo 9.30 Keski-Euroopan aikaa.