4. adventin lukeminen: Facebookin "siirtovaikutusten arviointi" jättää täysin huomiotta Euroopan yhteisöjen tuomioistuimen päätökset
Viimeisessä "adventtilukemisessa" vastalauseena sille, että Irlannin tietosuojaneuvosto poisti noybin menettelystä, keskustelemme siitä, miten Facebook on jättänyt huomiotta Euroopan yhteisöjen tuomioistuimen (EUT) päätökset EU:n ja Yhdysvaltojen välisistä tiedonsiirroista 86-sivuisessa "siirtovaikutusten arvioinnissa", joka on muka "luottamuksellinen". Vuodesta 2013 lähtien kysymys Facebookin yhteistyöstä Yhdysvaltain valtion virastojen kanssa massavalvonnassa on ollut vireillä Irlannin tietosuojakomissiossa ("DPC"). Irlannin tietosuojaviranomaisen ensimmäistä päätöstä ei ole edes näköpiirissä - 8,5 vuotta alkuperäisen valituksen tekemisen jälkeen ja 1,5 vuotta EU:n tuomioistuimen toisen selvennyksen jälkeen. Schrems:"Facebook sivuuttaa yhteisöjen tuomioistuimen täysin kahdesta nimenomaisesta päätöksestä huolimatta."
- Asiakirjasta kertoi POLITICO: "Euroopan ylin tuomioistuin sanoo, että Washington leikkii nopeasti ja löysästi eurooppalaisilla tiedoilla". Facebook on eri mieltä"
- Deep Dive: Yksityiskohtainen kuvaus ja adventtilukeminen neljästä asiakirjasta (45 minuuttia)
"TIA": Facebookin tietämättömyys EUT:sta kolmessa vaiheessa. Sen jälkeen, kun selkeät tuomiot asiassa "Schrems I" ja "Schrems II", Facebookin olisi pitänyt välittömästi lopettaa tiedonsiirrot EU:sta Yhdysvaltoihin, koska ne oli julistettu laittomiksi kahdesti. Nyt (1,5 vuotta myöhemmin) Facebook ei ole ryhtynyt mihinkään toimiin rajoittaakseen tiedonsiirtojaan. Sen sijaan se on laatinut 86-sivuisen "siirtovaikutusten arvioinnin" (Transfer Impact Assessment, TIA) hiljattain käyttöön otettujen vakiosopimuslausekkeiden 14 lausekkeen mukaisesti ja päätynyt yllättävään tulokseen, jonka mukaan EU:n tuomioistuimen tuomiota ei sovellettaisi Facebookiin ja siirrot voisivat jatkua nykyisellään. Saamiemme asiakirjojen mukaan Facebook ei toteuttanut mitään uusia tai merkityksellisiä toimenpiteitä EU:n tuomioistuimen 16.6.2020 antaman tuomion johdosta.
Max Schrems, noyb.eu:n puheenjohtaja: "Facebook on sivuuttanut EU-lainsäädäntöä jo 8,5 vuoden ajan. Äskettäin julkaistut asiakirjat osoittavat, että ne ovat yksinkertaisesti sitä mieltä, että tuomioistuin on väärässä - ja Facebook on oikeassa. Kyse on uskomattomasta tietämättömyydestä oikeusvaltion periaatteita kohtaan, jota tukee Irlannin kuluttajansuojaviranomaisen täytäntöönpanotoimien puuttuminen. Ei ihme, että Facebook haluaa pitää tämän asiakirjan luottamuksellisena. Se osoittaa kuitenkin myös, että Facebookilla ei ole mitään vakavasti otettavaa oikeussuojakeinoa, kun se jatkaa eurooppalaisten tietojen toimittamista Yhdysvaltoihin."
Neljä asiakirjaa. noyb tekee neljän asiaankuuluvan asiakirjan sisällön avoimeksi. "Yleisasiakirja" selventää, että Facebook on ottanut kolme askelta päätyäkseen siihen, että se voi jatkaa tietojen siirtämistä Yhdysvaltoihin kahdesta EUT:n tuomiosta huolimatta: Ensinnäkin se on suoraan ristiriidassa kahden yhteisöjen tuomioistuimen tuomion kanssa, joissa todettiin, että Yhdysvaltojen valvontalait rikkovat EU:n perusoikeuksia. Sen sijaan Facebookin "vastaavuusarvioinnissa" katsotaan, että EU:n ja Yhdysvaltojen lait ovat itse asiassa samanarvoisia. Toiseksi Facebookin "tekijöiden arvioinnissa" todetaan, että käyttäjille aiheutuva riski on minimaalinen, mikä on jälleen suorassa ristiriidassa tuomioistuimen tuomion kanssa. Kolmannessa vaiheessa Facebookin "Record of Safeguards" -asiakirjassa mainitaan erilaisia käytössä olevia toimenpiteitä, jotka tasapainottaisivat EU:n lainsäädännön rikkomisen. Itse asiassa mikään näistä toimenpiteistä ei liity 702 §:n mukaiseen FISA-valvontaan. Kyseessä on luettelo toimialan turvallisuutta koskevista vähimmäisvaatimuksista (yleisen tietosuoja-asetuksen 32 artiklan mukaisesti), jotka ovat voimassa Yhdysvaltojen valvontalaeista riippumatta.
Vaikka 86 sivun laajuisessa asiakirjassa yritetään antaa vaikutelma hienostuneesta analyysistä, Facebookin arvioinnin ydin on tiivistetty Facebookin TIA:n päätelmiin:
Toisin sanoen: Facebook sanoo yksinkertaisesti, että Yhdysvaltain laki "vastaa" EU:n lakia, vaikka yhteisöjen tuomioistuin on tehnyt kaksi päinvastaista päätöstä.
Syväsukellus:noyb teki neljä videota, joissa luetaan yhteenvedot kaikista neljästä asiakirjasta osana "syväsukellusta" näihin asiakirjoihin, joissa myös selitetään tarkemmin näiden asiakirjojen sisältöä. Klikkaa tästä syväsukellukseen. Ottaen huomioon riskin siitä, että Facebook ja Irlannin DPC käyttävät kevytmielisiä oikeudenkäyntejä kostoksi noybia vastaan "SLAPP-kanteen" avulla, olemme päättäneet lukea ja kuvata asiakirjat yksityiskohtaisesti, mikä antaa kaikille mahdollisuuden saada hyvä käsitys asiakirjoista ja minimoi samalla riskin Facebookin tai DPC:n kevytmielisistä oikeudenkäynneistä.
Irlantilainen DPC ei ole tehnyt päätöstä lakisääteisestä velvollisuudesta huolimatta. Perusteena oleva valitus on ollut vireillä vuodesta 2013 lähtien, ja sitä on käsitelty viidessä irlantilaisessa menettelyssä ja kahdessa yhteisöjen tuomioistuimen menettelyssä, jotka ovat maksaneet yli 10 miljoonaa euroa. Alla olevasta grafiikasta löydät karkean yleiskatsauksen tapauksesta. Vuonna 2020 EUT on jälleen kerran nimenomaisesti todennut, että tietosuojaviranomaisen "on keskeytettävä tai kiellettävä tietojen siirto" (121 kohta). Vastaavasti viimeisimmässä DPC:n ja Schremsin välisessä sovintoratkaisussa luvattiin nopea päätös 12.1.2021. 8,5 vuotta alkuperäisen valituksen jälkeen päätöstä ei ole vieläkään näköpiirissä - huolimatta siitä, että kuluttajansuojaviranomainen on toistuvasti "toivottanut tervetulleeksi" selvennyksen, jonka kukin tappio on antanut tuomioistuimissa. Vaikka DPC:n ensimmäinen päätös annettaisiinkin, se olisi Irlannissa valitusten kohteena useilla eri tasoilla. Asiakirjat osoittavat kuitenkin, että Facebookilla ei itse asiassa ole mitään uskottavaa oikeusperustaa siirtää eurooppalaisten tietoja Yhdysvaltoihin - vaarana ovat valtavat sakot ja koko liiketoiminnan uudelleenjärjestely.
Euroopan komission SCC-päivitys Facebookin väärinkäytössä? Facebookin "siirtovaikutusten arvioinnin" perustana on Euroopan komission hyväksymien uusien vakiosopimuslausekkeiden 14 lauseke. Näitä uusia sääntöjä alettiin soveltaa, koska kuluttajansuojaneuvosto ei ole tehnyt päätöstä asiassa kohtuullisessa ajassa. Tähän päivään asti Facebook on jatkuvasti vaihtanut tiedonsiirtojen oikeusperustasta toiseen (ensin Safe Harbor, sitten Privacy Shield, vanhat SCC-sopimukset ja nyt uudet SCC-sopimukset). Näiden useiden siirtoperusteiden lisäksi Facebook on hiljattain ottanut esiin myös "sopimustarpeen" ja "suostumuksen" kaikissa tietosuoja-asetuksen 49 artiklan 1 kohdan mukaisissa tiedonsiirroissa. Toistaiseksi ei näytä siltä, että tietosuojaneuvosto olisi tutkinut näitä uusia perusteita lainkaan.
Schrems:" Irlannin tietosuojaviranomainen on erittäin hidas eikä hallitse näitä menettelyjä. Facebook siirtyy jatkuvasti toiseen argumenttiin, kun taas DPC ei ole edes päättänyt vuoden 2013 päätöksestä. Facebook hallitsee tätä menettelyä - DPC:n sijaan."
DPC:n ja Facebookin mahdollinen "SLAPP-kanne". Ottaen huomioon lukuisat uhkaukset huolimatta julkaisujen selkeästä oikeusperustasta, noyb odottaa nyt perusteettomia "SLAPP-kanteita" (katso John Oliverin loistava yhteenveto, valitettavasti vain YouTubessa) DPC:ltä ja/tai Facebook Ireland Limitediltä. Ei ole epätodennäköistä, että Facebook tai DPC yrittäisi nostaa kanteen Irlannissa tai Yhdistyneessä kuningaskunnassa, koska nämä oikeusjärjestelmät ovat erittäin kalliita ja täydellisiä oikeuspaikkoja kansalaisjärjestön tuhoamiseen. Siksi olemme geoblokanneet asiaankuuluvat asiakirjat näillä lainkäyttöalueilla.