Useimmat EU:n ja Yhdysvaltojen väliset tiedonsiirrot perustuvat transatlanttiseen tietosuojapuitteeseen (TAFPF) tai niin sanottuihin vakiosopimuslausekkeisiin (SCC). Molemmat välineet nojautuvat Yhdysvaltojen hauraaseen lainsäädäntöön, ei-sitoviin asetuksiin ja oikeuskäytäntöön, joita vastaan hyökätään - ja jotka todennäköisesti räjähtävät käsiin lähikuukausina. Kun Yhdysvaltojen oikeusjärjestelmän epävakaus käy kiistattomaksi ja Yhdysvallat osoittaa avoimia merkkejä vihamielisyydestä EU:ta kohtaan, on aika miettiä uudelleen, minne tietomme kulkevat - ja kuinka kauan EU:n rakentama oikeudellinen "korttitalo" kestää.
Max Schremsin blogikirjoitus
Yhdysvaltain ja EU:n lainsäädännön kerrokset. Euroopan komission ja Yhdysvaltojen aiempien demokraattisten hallitusten rakentama "silta", jonka avulla EU:n henkilötietoja voidaan käsitellä Yhdysvalloissa, ei perustu yksinkertaiseen ja vakaaseen Yhdysvaltojen yksityisyydensuojaa koskevaan lainsäädäntöön. Sen sijaan EU ja Yhdysvallat tukeutuivat villiin tilkkutäkkiin, joka koostui tonneittain sisäisistä ohjeista ja asetuksista, korkeimman oikeuden oikeuskäytännöstä, Yhdysvaltojen tosiasiallisesta "käytännöt" tai toimeenpanomääräyksiin.
Nämä kerrokset eivät tue toisiaan, vaan ne on rivissä, jotta EU:n ja Yhdysvaltojen lainsäädännön välille syntyisi mahdollisimman ohut yhteys yhden monista oikeudellisista tekijöistä tekisi todennäköisesti useimmista EU:n ja Yhdysvaltojen välisistä tiedonsiirroista välittömästi laittomia. Aivan kuten korttitalossa, minkä tahansa yksittäisen kortin epävakaus saa talon romahtamaan.
Kun otetaan huomioon Trumpin hallinnon valtavan tuhoisa lähestymistapa, monet EU:n ja Yhdysvaltojen välisten tiedonsiirtojen osatekijät ovat hyökkäyksen kohteena - useinkaan ei suoranaisen aikomuksen vuoksi. Sen sijaan Yhdysvaltain nykyinen hallinto vain hyökkää laajalti Yhdysvaltain oikeusjärjestelmää ja perustuslaillista rakennetta vastaan (erittäin politisoituneen korkeimman oikeuden avustuksella) - millä on monia mahdollisia seurauksia EU:n ja Yhdysvaltain välisiin tietovirtoihin.
1. Todennäköinen epäonnistumiskohta: FTC:n riippumattomuus. Viime maanantaina Yhdysvaltain korkein oikeus käsitteli tapausta, joka koski Federal Trade Commissionin (FTC) riippumattomuutta. Vuonna 1935 käsitellystä tapauksesta lähtien (Humphrey's Executor) jälkeen Yhdysvaltain korkeimman oikeuden oikeuskäytännön mukaan Yhdysvaltain lainsäätäjä voi luoda "riippumattomia" elimiä toimeenpanovallan piiriin, joka on jossain määrin eristyksissä Yhdysvaltain presidentistä.
Yhdysvaltain konservatiivisten lakimiesten keskuudessa on nyt saanut jalansijaa aiemmin marginaalinen teoria, jonka mukaan Yhdysvaltain perustuslain mukaan kaikki toimeenpanovalta kuuluu vain yhdelle henkilölle (presidentille). Tämä niin sanottu "yhtenäisen toimeenpanovallan teoria" tekisi kaikista itsenäisistä viranomaisista, kuten FTC:stä, tyypillisesti perustuslain vastaisia. Kaikki valta olisi keskitettävä presidentille.
Osoitteessa Trump v. Slaughteryhdysvaltain korkein oikeus kuuli nyt perusteluja FTC:n komissaarista, jonka Trump poisti kaikista riippumattomuustakeista huolimatta vuonna 15 U.S.C. § 41. Tuomareiden kommenttien ja kysymysten perusteella uskotaan yleisesti (ks. esim. The Guardian, CNN tai SCOTUS-blogi), että Yhdysvaltain korkeimman oikeuden konservatiivinen enemmistö asettuu Trumpin puolelle ja noudattaa (jossain määrin) "unitary executive -teoriaa" ja kumoaa FTC:n riippumattomuuden.
Yhdessä Yhdysvaltain korkeimman oikeuden päätösten kanssa, jotka koskevat seuraavia asioita presidentin ehdoton koskemattomuus, Yhdysvallat siirtyisi siten yhä enemmän kohti järjestelmää, jossa presidentti on ehdoton "kuningas" - ainakin neljän vuoden ajan.
Euroopan näkökulmasta FTC:n riippumattomuus on ratkaisevan tärkeä tekijä, koska EU:n perusoikeuskirjan 8 artiklan 3 kohdassa edellytetään, että henkilötietojen käsittelyä valvoo ja valvoo "..."riippumaton" elin. EU ja Yhdysvallat ovat sopineet TADPF:ssä (ja aiemmin Safe Harbor- ja Privacy Shield -järjestelmissä), että nämä valtuudet annetaan Yhdysvaltojen FTC:lle, joka on tällainen "riippumaton" elin. TADF:n 2.3.4 kohta Euroopan komission TADPF-päätös korostetaan, että FTC:llä on täytäntöönpanotehtävä. Johdanto-osan 61 kappaleessa ja alaviitteessä 92 viitataan nimenomaisesti seuraaviin seikkoihin 15 U.S.C. § 41 perusteella, jonka perusteella Yhdysvalloissa taataan tarvittava riippumattomuus.
Millään muulla TADPF:n osalla ei ole tarvittavia tutkintavaltuuksia ja riippumattomuutta. Myös yksityisiä välimiesmenettelyjä on olemassa, mutta niiltä puuttuvat tutkintavaltuudet tai täytäntöönpanovaltuudet. Näin ollen kaikkien TADPF:n osallistujien on kuuluttava joko riippumattoman FTC:n tai DoT:n (liikenneorganisaatioiden osalta) valvontaan.
Trump v. Slaughter on tarkoitus ratkaista viimeistään kesä- tai heinäkuussa 2026, mutta päätös voidaan tehdä myös aikaisemmin. On siis aika "vyötää vyöt kiinni" tässä asiassa ja valmistautua.
Yksi keino voisi olla siirtyminen SCC- tai BCR-sopimuksiin, sillä niiden noudattamisen valvonta ei edellytä riippumatonta yhdysvaltalaista elintä, mutta ne mahdollistavat myös sopimuksen saattamisen EU:n tietosuojaviranomaisen alaiseksi. On kuitenkin myös valtavia kysymyksiä siitä, miten jo siirretyt tiedot voidaan "palauttaa" mihin tahansa EU:n hyväksymään järjestelmään tai edes "palauttaa" EU:hun yleensä. Lisäksi SCC- ja BRC-sopimuksiin voivat vaikuttaa myös Yhdysvaltojen lainsäädännössä tapahtuvat massiiviset muutokset (ks. jäljempänä).
2. Todennäköinen ongelmakohta: Tietosuojan valvontatuomioistuin. Liittyy suoraan Trump v. Slaughter, joka käsittelee yksityisen sektorin valvontaa, herää rinnakkainen kysymys siitä, miten niin kutsuttuun tietosuojaa käsittelevään tuomioistuimeen (Data Protection Review Court, DPRC) voidaan edelleen luottaa minkäänlaisena realistisena oikeussuojakeinona Yhdysvaltojen hallituksen valvontaa vastaan.
DPRC:hen liittyy monia oikeudellisia ongelmia (näistä ongelmista voisi helposti tehdä väitöskirjan), mutta ratkaisevaa on, että DPRC on ei todellinen yhdysvaltalainen tuomioistuin - myös siksi, että sitä ei ole perustettu lailla. Se on itse asiassa toimeenpanovallan sisällä toimiva ryhmä, joka on perustettu ainoastaan Bidenin antamalla toimeenpanomääräyksellä (EO 14.086, ks. yksityiskohdat jäljempänä). Tätä henkilöryhmää voidaan parhaimmillaan kutsua "tuomioistuimeksi" Euroopan ihmisoikeussopimuksen 6 artiklan näkökulmasta, mutta tämäkin väite on luultavasti liioittelua.
Olennaista on, että suhteessa Trump v. Slaughter, tämän niin sanotun "tuomioistuimen" "riippumattomuutta" ei ole edes vahvistettu lailla (kuten 15 USC § 41 FTC:n osalta), vaan EO 14.086, eli pelkkä presidentin sisäinen määräys, jota voidaan muuttaa milloin tahansa.
Loogisesti ajateltuna, jos korkein oikeus Trump v. Slaughter katsoo, että riippumattomat toimeenpanevat elimet ovat perustuslain vastaisia, voi hyvinkin olla, että kaikki EO 14.086:ssa esitetyt riippumattomuusvaatimukset ovat (loogisesti) myös perustuslain vastaisia. Tämä riippuu paljolti siitä, millaisia perusteluja korkein oikeus käyttää asiassa Trump vastaan Slaughter, mutta tämä voi hyvin todennäköisesti olla suora seuraus laajemmasta tuomiosta.
Ongelma ulottuisi paljon TADPF:ää laajemmalle, koska muut siirtojärjestelmät (SCC tai BCR) perustuvat niin sanottuihin siirtovaikutusten arviointeihin, jotka puolestaan yleensä viittaavat EO 14.086 ja DPRC:hen perusteluna sille, miksi EU:n rekisterinpitäjät ovat tulleet siihen tulokseen, että Yhdysvaltojen lainsäädäntö ei voi kumota SCC- tai BCR-sopimuksia sen lisäksi, mikä on sallittua perusoikeuskirjan 7, 8 ja 47 artiklan nojalla.
Jos nämä elementit poistetaan, "välttämättömien" siirtojen osalta (esim. sähköpostin lähettäminen Yhdysvaltoihin, tilauksen tekeminen tai hotelli- tai lentovarauksen tekeminen) jäämme yleisen tietosuoja-asetuksen 49 artiklan piiriin, mutta "ulkoistamisella" yhdysvaltalaisille pilvipalveluntarjoajille tai SaaS-palveluntarjoajille ei tyypillisesti olisi enää mitään toteuttamiskelpoista oikeusperustaa.
3. Todennäköinen vikapiste: EO 14.086. Yhdysvaltain perustuslaissa tapahtuvien muutosten lisäksi myös Trump itse on merkittävä riskitekijä. Kuten edellä on selitetty, periaatteessa kaikki EU:n ja Yhdysvaltojen välisen tiedonsiirron muodot perustuvat Bidenin toimeenpanomääräykseen (EO 14.086). Trump on toistuvasti uhannut kumota tämän määräyksen. Jo virkaanastujaispäivänä tiedotusvälineiden mukaan hän aikoo sokeasti kumota kaikki Bidenin määräykset. Lopulta hän allekirjoitti EO 14.148, jolla kumottiin vain 68 Bidenin antamaa määräystä ja 11 Bidenin presidentin muistiota - mutta ei määräystä 14.086.
EO 14.148 vaaditaan, että kansallisen turvallisuuden neuvonantajan olisi pitänyt tarkistaa kaikki "kansallisen turvallisuuden" määräykset 45 päivän kuluessa - tämän olisi pitänyt tapahtua 06.03.2025 mennessä. Tästä johtuvista muutoksista ei ole raportoitu. Tämä ei kuitenkaan tarkoita, etteikö EO 14.086 olisi (osittain) kumottu sillä välin, sillä Yhdysvaltain presidentti voi antaa "salainen" EO:t, jotka muuttavat julkaistua EO 14.086:ta. Kun otetaan huomioon Trumpin epäsäännölliset toimet, tämä ei ole epätodennäköinen skenaario.
Äskettäisessä purkauksessaan Bidenin niin sanotun Autopenin käytöstä Trump on julistanut kaikki Bidenin Autopenilla allekirjoitetut EO:t mitättömiksi Truth Social -julkaisun. On täysin epäselvää, onko EO 14.086 tällainen "autopen" EO ja merkitsevätkö Trumpin sosiaalisessa mediassa tekemät postaukset näiden EO:iden virallista kumoamista. Samaan aikaan on ihmeteltävä, tunteeko yksikään NSA:n virkamies, että ne sitovat häntä enää liikaa. Ei ole myöskään epätodennäköistä, että Truth Social -postitusta seuraa virallinen EO, jolla kumotaan nämä Bidenin EO:t.
Toinen osoitus siitä, että EO 14.086 saattaa olla tulossa, on "Project 2025" -ohjelma, joka koskee Yhdysvaltain hallituksen konservatiivista valtausta. Osoitteessa sivu 225kirjoittaja haukkuu EO 14.086:ta, EU:ta ja Yhdysvaltojen epäoikeudenmukaista kohtelua, joten EO 14.086 on selvästi esityslistalla. Vielä absurdimmaksi asian tekee se, että kirjoittaja (Dustin Carmack) on nyt uusi "republikaanien" lobbaaja Metassa - yritys, joka vetoaa EO 14.086:een perustellakseen EU:n ja Yhdysvaltojen välisiä tiedonsiirtojaan, jotka kyseenalaistettiin tuomioistuimessa Schrems I ja Schrems II:ssa.
Kaiken kaikkiaan EO 14.086 voi kaatua koska tahansa - ja sen myötä TADPF ja lähes kaikki TIAS-järjestelmät ja useimmat SCC- ja BCR-järjestelmät.
Monia muita vaihtoehtoja. Vaikka tämä menee tämän blogikirjoituksen ulkopuolelle, on monia lisäkysymyksiä monista muista TADPF:ssä käytetyistä elementeistä.
On tietenkin edelleen periaatteellisia kysymyksiä siitä, onko TADPF:n avulla koskaan saavutettu "olennainen vastaavuus". Esimerkiksi:
- EO 14.086:n suojat olivat suurelta osin 1:1-kopio Obaman EO:sta nimeltä PPD-28, jonka EU:n tuomioistuin hylkäsi asiassa Schrems II.
- Oikeussuojakeinojen erittäin suuri rasite tai todellisen oikeuden puuttuminen tulla kuulluksi DPRC:ssä ovat kilometrien päässä perusoikeuskirjan 47 artiklasta.
- TADPF:n kaupallisen tietosuojan periaatteet eivät edes edellytä oikeusperustaa (kuten perusoikeuskirjan 8 artiklan 2 kohdassa ja yleisen tietosuoja-asetuksen 6 artiklan 1 kohdassa edellytetään), vaan ne edellyttävät ainoastaan opt-out-mahdollisuutta.
Lisäksi PCLOB:n riippumattomuus tai EU:n suuri riippuvuus (kirjoittamattomasta) "(kirjallisesta)" tietosuojalausekkeesta herätti kysymyksiäYhdysvaltojen käytäntöihin" - kun Trump on osoittanut, että hän ja hänen hallintonsa eivät edes kunnioita lakeja, saati aiempia "käytäntöjä".
Mitä me voimme tehdä? Mielestäni EU:n hallitusten ja rekisterinpitäjien on (enemmän kuin koskaan) valmistauduttava kiireellisesti EU:n ja Yhdysvaltojen välisiin tiedonsiirtoihin kohdistuviin erittäin todennäköisiin iskuihin seuraavien kuukausien aikana. Yhdysvaltain kansallinen turvallisuusstrategia on tehnyt selväksi, että Trumpin hallinto pitää Eurooppaa pikemminkin vihollisena kuin kumppanina ja että Euroopan digitaalilainsäädäntö on Yhdysvaltojen todennäköisen hyökkäyksen keskeinen painopistealue.
Ainoa pitkän aikavälin ratkaisu on (valitettavasti) rajoittaa kaikkia tiedonsiirtoja yhdysvaltalaisille palveluntarjoajille, sikäli kuin niillä on "hallussa, huollossa tai valvonnassa" eurooppalaisia henkilötietoja. Saattaa olla, että tulee lisää tarjouksia, joissa kaikki tosiasiallinen pääsy Yhdysvalloista käsin on teknisesti mahdotonta - toistaiseksi ainoa realistinen suoja markkinoilla on kuitenkin siirtyminen seuraaviin palveluihin Eurooppalaisiin palveluntarjoajiin.
