Tämän tapauksen ytimessä on lainvalvontalakien välinen ristiriita Yhdysvaltojen valvontalakien, jotka edellyttävät valvontaa, ja EU:n tietosuojalakien, jotka edellyttävät yksityisyyden suojaa, välillä.
Vuodesta 2013 lähtien tämä Yhdysvaltojen massavalvontaa ja siihen osallistuvia EU:n yrityksiä koskeva tapaus on ollut vireillä. Se on ollut kaksi kertaa Irlannin korkeimmassa oikeudessa ja Euroopan unionin tuomioistuimessa (CJEU), ja se on jopa käynyt lyhyesti Irlannin korkeimmassa oikeudessa. Tämän tapauksen historia on monilta osin ainutlaatuinen.
Taustaa
Pohjimmiltaan tässä tapauksessa on kyse lainvalvontalainsäädännön ristiriidasta Yhdysvaltojen valvontalainsäädännön, joka edellyttää valvontaa, ja EU:n tietosuojalainsäädännön, joka edellyttää yksityisyyden suojaa, välillä.
Ongelma: Yhdysvaltojen valvontalait
Vuonna 2013 Edward Snowden paljasti julkisesti, että Yhdysvaltain tiedustelupalveluilla on pääsy eurooppalaisten käyttäjien henkilötietoihin PRISMin kaltaisten valvontaohjelmien avulla. Tätä pääsyä helpotti Yhdysvaltain laki, jota ei tunnetusti käytetä näin laaja-alaiseen valvontaan, nimeltä 50 U.S.C. §1881a (tai FISA 702). FISA 702 -laki hyväksyttiin vuonna 2008, ja se laajensi merkittävästi Yhdysvaltojen viranomaisten mahdollisuuksia tarkkailuun ja tietoihin pääsyyn. Samaan aikaan kun tämä laajennus toteutettiin, yhdysvaltalaiset sähköisen viestinnän palveluntarjoajat (kuten Apple, Microsoft, Facebook, Google ja Yahoo) keräsivät yhä enemmän henkilötietoja. Yhdessä tämä johti siihen, että eurooppalaisten käyttäjien yksityisyydensuojaan kohdistui yhä enemmän haittaa.
FISA 702:n mukaan yhdysvaltalaiset "sähköisen viestinnän palveluntarjoajat" (sellaisina kuin ne on määritelty 50 U.S.C. §1881(4):ssä) voidaan pakottaa antamaan Yhdysvaltojen turvallisuusviranomaisille pääsy "muiden kuin Yhdysvaltojen kansalaisten" henkilötietoihin. Tämän lain mukaisten valvontamääräysten ei tarvitse koskea yksittäistä kohdetta, vaan ne mahdollistavat koko PRISM- tai Upstream-ohjelman kaltaisen yleisen valvontaohjelman. Muille kuin yhdysvaltalaisille henkilöille ei anneta yksilöityä oikeudellista hyväksyntää. FISA 702 -laki sallii myös valvonnan melko laajoihin tarkoituksiin, kuten "tiedot, jotka ... liittyvät ... Yhdysvaltojen ulkopoliittisiin asioihin"(ks. 50 U.S.C. §1801(e)).
Yhdysvalloilla on myös valtuuksia tarkkailuun, jotka perustuvat "presidentin luontaiseen toimivaltaan" ja jotka on määritelty tarkemmin toimeenpanomääräyksessä(EO 12.333), kun taas muita osia on kuvattu presidentin poliittisessa direktiivissä 28(PPD-28). Molemmat ovat toimeenpanovallan sisäisiä määräyksiä, jotka eivät luo mitään velvollisuuksia tai oikeuksia yksityisille tahoille, mutta mahdollistavat muiden kuin Yhdysvaltojen kansalaisten valvonnan.
Edward Snowdenin paljastamissa asiakirjoissa lueteltiin useita yhdysvaltalaisia yrityksiä, jotka toimittavat tietoja Yhdysvaltain hallitukselle PRISMin ja Upstream-ohjelman kaltaisia valvontaohjelmia varten näiden määräysten nojalla, kuten Apple, Microsoft, Facebook, Google ja Yahoo.
Reagointi: GDPR rajoittaa tiedonsiirtoja
EU:n yksityisyydensuojaa koskevat lait (aiemmin direktiivi 95/46/EY ja nyt yleinen tietosuoja-asetus) perustuvat henkilötietojen vapaan liikkuvuuden käsitteeseen, mutta vain käyttäjien yksityisyyttä suojaavalla alueella . Jos henkilötietoja suojattaisiin vain Euroopan unionissa, mutta niitä voitaisiin siirtää EU:n lainkäyttöalueen ulkopuolelle ilman rajoituksia, EU:ssa tarvittava henkilötietojen korkeatasoinen suoja voisi helposti heikentyä.
EU:n lainsäädännössä on kuitenkin aina samalla säädetty poikkeuksista tähän siirtojen rajoittamisperiaatteeseen, esimerkiksi silloin, kun henkilötiedot on välttämättä siirrettävä (esim. varattaessa palvelua ulkomaille tai lähetettäessä sähköpostia) tai kun käyttäjä antaa vapaaehtoisesti suostumuksensa siirtoon. Nämä muita kuin rakenteellisia siirtoja koskevat poikkeukset on tällä hetkellä kodifioitu yleisen tietosuoja-asetuksen 49 artiklaan.
Lisäksi EU:n lainsäädännössä tunnustetaan, että voi olla tilanteita, joissa EU:n ulkopuoliset yritykset tarjoavat henkilötiedoille vastaavantasoisen suojan. Joissakin maissa kansallinen lainsäädäntö vastaa EU:n lainsäädäntöä (esimerkiksi Sveitsissä, Israelissa, Kanadassa tai Japanissa), ja muissa maissa yritykset voivat vapaaehtoisesti sitoutua EU:n periaatteisiin allekirjoittamalla siviilioikeudellisia järjestelyjä, kuten vakiosopimuslausekkeita, sitovia yrityssääntöjä tai EU:n ja Yhdysvaltojen välistä Privacy Shield -järjestelyä. Viimeksi mainitut oikeusperustat löytyvät yleisen tietosuoja-asetuksen 46-48 artiklasta, ja niitä käytetään suurelta osin tilanteissa, joita voidaan parhaiten kuvata yritysten suorittamaksi henkilötietojen käsittelyn "ulkoistamiseksi" EU:n ulkopuolisiin maihin.
Koska Yhdysvalloissa ei ole omnibus- tai liittovaltion tietosuojalakia, yhdysvaltalaisten yritysten on turvauduttava johonkin näistä GDPR:n 46-48 artiklan sopimusvaihtoehdoista ulkoistamista varten. Yhdysvaltain valvontalainsäädännön piiriin kuuluville yrityksille näiden sopimusvaihtoehtojen käyttäminen on kuitenkin käytännössä mahdotonta, koska Yhdysvaltain lainsäädäntö edellyttää, että ne rikkovat EU-lainsäädännön mukaisia velvoitteitaan. Tämä ongelma on kaikkien Schremsin, Irlannin tietosuojavaltuutetun ja Facebookin välisten tapausten ytimessä, sillä Facebook kuuluu selvästi Yhdysvaltojen valvontalainsäädännön piiriin ja osallistui PRISMin kaltaisiin ohjelmiin, vaikka se allekirjoitti ristiriitaisesti SCC-sopimukset, Safe Harborin ja nyt Privacy Shieldin (päätös EU:n ja Yhdysvaltojen välisistä tiedonsiirroista, joka korvaa Safe Harborin).
Ensimmäinen viittaus EU:n tuomioistuimeen vuosina 2013-2015 ("Safe Harbor")
Menettely Irlannin tietosuojavaltuutetussa (DPC)
Snowdenin paljastusten jälkeen Schrems (tuolloin itävaltalainen oikeustieteen opiskelija) teki valituksen Facebook Ireland Ltd:stä Irlannin tietosuojavaltuutetulle (DPC). Kantelussa väitettiin, että EU:n ja Yhdysvaltojen Safe Harbor -päätöstä 2000/520/EY (Euroopan komission vuonna 2000 tekemä toimeenpanopäätös) mukaan Schremsin henkilötietoja ei saisi lähettää Facebook Ireland Ltd:stä (joka palvelee Facebookin käyttäjiä Yhdysvaltojen ja Kanadan ulkopuolella) Facebook Inc:iin (yhdysvaltalainen emoyhtiö), koska Facebookin on myönnettävä Yhdysvaltojen kansalliselle turvallisuusvirastolle pääsy näihin tietoihin.
Irlannin tietosuojaneuvosto hylkäsi Schremsin valituksen "kevytmielisenä ja ärsyttävänä" ja väitti, että Facebook nojautui Safe Harbor -päätökselle tehdessään tiedonsiirtoja Yhdysvaltoihin. DPC:n mielestä Euroopan komissio oli hyväksynyt, että Yhdysvaltain lainsäädäntö on riittävä vuonna 2000 tehdyssä päätöksessä (8 vuotta ennen kuin 50 U.S.C. § 1881a hyväksyttiin) ja että komission päätös sitoi DPC:tä ehdottomasti.
DPC:n oikeudellinen uudelleentarkastelu
Lokakuussa 2013 Schrems haki DPC:n päätöksestä oikeudellista uudelleentarkastelua väittäen, että DPC saattoi käyttää Safe Harbor -päätöksessä olevaa "hätälauseketta" keskeyttääkseen tiedonsiirron ja että joka tapauksessa Safe Harbor -päätös oli pätemätön. Tuomiossaan 18. 6. 2014 [2014] IEHC 310 Irlannin korkein oikeus keskeytti menettelyn ja siirsi asian Euroopan unionin tuomioistuimen (EUT) käsiteltäväksi. Irlannin korkein oikeus oli pitkälti samaa mieltä siitä, että Yhdysvaltojen lainsäädännön mukaan on kyse "massavalvonnasta", mutta katsoi, että se ei voinut tehdä lopullista päätöstä Schremsin tapauksesta määrittelemättä ensin Safe Harbor -päätöksen pätevyyttä. EU:n lainsäädännön mukaan vain EU:n tuomioistuin voi tehdä päätöksiä EU:n säädösten, kuten Safe Harbor -päätöksen, pätevyydestä, mikä tarkoitti sitä, että Irlannin korkeimman oikeuden oli siirrettävä asia EU:n tuomioistuimeen.
EUT:n tuomio 6. lokakuuta 2015 (C-362/14)
Asiassa uraauurtavassa tuomiossa (C-362/14 Schrems) eUT totesi Safe Harbor -päätöksen pätemättömäksi pitkälti Schremsin perustelujen mukaisesti. Tuomioistuin katsoi, että Yhdysvaltojen kaltaisen kolmannen maan on tarjottava"olennaisilta osin vastaava" suojan taso kuin EU:n lainsäädännössä, ja että"lainsäädäntö, joka sallii viranomaisille pääsyn yleisellä tasolla", loukkasi EU:n perusoikeuskirjan 7 artiklan mukaisen EU:n perusoikeuden yksityisyyden suojaan ydintä. Samoin se, että Yhdysvaltojen ulkopuoliset henkilöt eivät voi hakea oikeussuojaa Yhdysvalloissa, loukkaa perusoikeuskirjan 47 artiklan mukaista perusoikeutta oikeussuojakeinoihin.
EU:n tuomioistuimen antaman tuomion jälkeen Irlannin korkein oikeus lopetti menettelyn Irlannin tuomioistuimissa, koska DPC lupasi panna EU:n päätöksen nopeasti täytäntöön.
Toinen EU:n tuomioistuimessa käsiteltävä asia vuosina 2015-20 (SCC ja Privacy Shield)
Tieto siitä, että Facebook tosiasiassa vetosi SCC:hen
Schremsin suureksi yllätykseksi DPC ilmoitti hänelle marraskuussa 2015, että EU:n tuomioistuimen Safe Harbor -päätöstä koskevalla tuomiolla ei ollut merkitystä hänen alkuperäisen valituksensa kannalta, koska Facebook oli itse asiassa aina tukeutunut niin sanottuihin vakiosopimuslausekkeisiin tehdessään tiedonsiirtoja. Tietosuojaviranomainen ei ollut ilmoittanut tätä tietoa Schremsille, minkä vuoksi hän luuli, että Facebook oli vedonnut Safe Harboriin, vaikka hän oli saanut tämän tiedon Facebookilta jo vuonna 2013 sähköpostitse lähettämässään vastauksessa valitukseen.
Schrems muotoili kantelunsa uudelleen siten, että se sisälsi nyt myös SCC:t ja kaikki muut tiedonsiirtojen oikeusperustat, joihin Facebook saattoi vedota, ja toimitti tietosuojaneuvostolle päivitetyn kantelun 1. joulukuuta 2015. Schrems väitti, että tietosuojaviranomaisen olisi käytettävä SCC-päätöksen 4 artiklaa siirtojen keskeyttämiseen, koska 4 artiklan mukaan tietosuojaviranomainen voi keskeyttää tietojen siirrot, jos käyttäjien perusoikeuksia loukataan.
DPC:n kanne Facebookia ja Schremsiä vastaan
Sen sijaan, että DPC olisi tehnyt asiassa nopean päätöksen, se nosti yllättäen kanteen Facebook Ireland Ltd:tä ja Schremsiä vastaan pian sen jälkeen, kun se oli aloittanut "tutkimuksensa" uudelleen muotoillusta kantelusta, jossa nämä kaksi osapuolta olivat mukana. DPC:n mielestä nämä kaksi osapuolta olivat "luonnollisia vastaajia" tässä tapauksessa, ja DPC joutui pyytämään High Courtia antamaan uuden ennakkoratkaisupyynnön EU:n tuomioistuimelle. Schrems on riitauttanut asian ja väittää, että DPC voi saattaa asian toisen kerran EU:n tuomioistuimen käsiteltäväksi vasta, kun kaikki tosiseikat ja kysymykset on tutkittu.
Useat osapuolet ovat hakeneet liittymistä amicus-tuomioistuimen puolueettomiksi avustajiksi; Yhdysvaltain hallitus, EPIC.org ja kaksi teollisuuden edunvalvontaryhmää ovat liittyneet tapaukseen.
DPC väitti kanteessa, että se ei ainoastaan yhdy Schremsin näkemyksiin, jotka koskevat hänen huoliaan Yhdysvaltain valvontalainsäädännöstä, vaan sillä on myös vakavia huolenaiheita Facebookin käyttämien SCC-koodien pätevyydestä. DPC katsoi, että SCC-sopimukset eivät tarjoa laillista mekanismia tietojen siirtämiseen, jos kolmas maa, kuten Yhdysvallat, on antanut SCC-sopimusten kanssa ristiriidassa olevia lakeja. Facebook ja Schrems eivät vastustaneet itse SCC-sopimuksia ja olivat yhtä mieltä siitä, että tällaisessa tapauksessa SCC-päätöksen (EU) 2010/87 4 artikla mahdollistaisi ratkaisun.
Toisin kuin Schrems ja kuluttajansuojaneuvosto, Facebook ei pitänyt Yhdysvaltain valvontalakia ongelmallisena ja katsoi, että EU:lla ei ole toimivaltaa "kansalliseen turvallisuuteen" liittyvissä kysymyksissä. Facebook vetosi myös Euroopan komission Privacy Shield -päätökseen (EU) 2016/1250, joka korvasi mitätöidyn Safe Harbor -päätöksen. Tässä päätöksessä Euroopan komissio totesi, että Yhdysvaltojen valvontalainsäädännön ja EU:n perusoikeuksien välillä ei ole ristiriitaa. Facebookin mukaan tätä Privacy Shield -päätöksessä tehtyä havaintoa on sovellettava myös SCC-sopimusten mukaisiin siirtoihin. Schrems katsoi, että Privacy Shield -päätös itsessään on pätemätön, koska siinä annetaan perusteellisesti väärä kuva Yhdysvaltojen valvontalaeista, eikä se näin ollen ole toimivaltainen tulkitsemaan SCC-sopimuksia.
Useiden menettelyvaiheiden ja yli viisi viikkoa kestäneiden kuulemistilaisuuksien jälkeen, joihin osallistui useita Yhdysvaltojen valvontalakia käsitteleviä asiantuntijatodistajia, Irlannin korkein oikeus tunnusti Yhdysvaltojen hallituksen massavalvontaohjelmien olemassaolon. Irlannin korkein oikeus teki 3. lokakuuta 2017 antamassaan tuomiossa [2017] IEHC 545 yhteenvedon kaikista tosiseikkoja koskevista havainnoista ja korosti, että Yhdysvallat harjoittaa henkilötietojen "massakäsittelyä", kun se esimerkiksi suodattaa koko internet-liikenteen, joka kulkee internetin runkoverkon osien kautta. Se esitti 13. huhtikuuta 2018 yksitoista tulkintakysymystä EU:n tuomioistuimen ratkaistavaksi. Kysymykset olivat suurelta osin DPC:n laatimia.
Ennakkoratkaisupyynnön jälkeen Facebook haki Irlannin korkeimmalta oikeudelta muutosta korkeimman oikeuden ennakkoratkaisupyyntöön, mutta valitus hylättiin lopulta 31. toukokuuta 2019.
Menettely Euroopan unionin tuomioistuimessa (C-311/18)
Osapuolten oli toimitettava kirjalliset huomautuksensa 30. elokuuta 2018.
Euroopan unionin tuomioistuin käsitteli asiaa 19. heinäkuuta 2019 suuressa jaostossa (tuomioistuimen laajin kokoonpano, jossa on 15 tuomaria), jossa kuultiin kolmea asianosaista, neljää amicusta, Euroopan komissiota, Euroopan parlamenttia, Euroopan tietosuojaneuvostoa ja lukuisia EU:n jäsenvaltioiden hallituksia. Tuomareiden kysymykset keskittyivät erityisesti Yhdysvaltojen valvontalakiin liittyviin kysymyksiin ja Privacy Shield -ratkaisun pätevyyteen.
Unionin tuomioistuimen julkisasiamies antoi 19. joulukuuta 2019 ei-sitovan neuvoa-antavan lausumansa asiassa ja yhtyi pitkälti Schremsin kantaan. Lausunnon mukaan Yhdysvaltojen valvontalait ovat ristiriidassa EU:n perusoikeuksien kanssa, mutta ratkaisu yhteensopimattomuuteen on se, että tietosuojaneuvosto määrää tietojen siirrot keskeytettäviksi SCC:n päätöksen 4 artiklan nojalla. Vaikka yleinen syyttäjä arvosteli nimenomaisesti Privacy Shield -päätöstä, hän katsoi, että kysymys sen pätevyydestä ei ole olennainen osa tapausta.
Tuomioistuin antoi 16. heinäkuuta 2020 Schrems II -päätöksensä, jossa se yhtyi täysin kantelijan kantaan, kumosi Privacy Shield -päätöksen, vaati tietosuojaneuvostoa keskeyttämään tiedonsiirrot ja katsoi, että Yhdysvaltojen valvontalait rikkovat Euroopan unionin perusoikeuskirjan 7 artiklaa (oikeus yksityisyyteen), 8 artiklaa (oikeus tietosuojaan) ja 47 artiklaa (oikeus oikeussuojakeinoihin).