Lataa: Lehdistötiedote
Useiden pyyntöjen johdosta olemme tehneet yhteenvedon keskeisistä tosiseikoista Euroopan unionin tuomioistuimessa (EUT) käsiteltävässä asiassa, joka koskee EU:n ja Yhdysvaltojen välistä tiedonsiirtoa ja Yhdysvaltojen hallituksen harjoittamaa massavalvontaa. Asiaa käsitellään huomenna (tiistaina 9. heinäkuuta klo 9.00) yhteisöjen tuomioistuimen suuressa jaostossa.
Yleisiä väärinkäsityksiä tapauksesta
- Koskeeko tämä tapaus kaikkia EU:n ja Yhdysvaltojen välisiä tiedonsiirtoja? Ei, vaan kyse on vain "massavalvonnan" kohteena olevista siirroista Yhdysvaltoihin. Useimmissa tilanteissa on yksinkertaisia keinoja välttää massavalvonta, ja monet toimialat (esim. pankit, lentoyhtiöt, kauppa ja pankkitoiminta) eivät kuulu minkään massavalvontalain soveltamisalaan. Schremsin valitus kohdistuu ainoastaan Facebookiin, joka Snowdenin asiakirjassa mainitaan NSA:n PRISM-joukkovalvonnan tukijana.
- Koskeeko tämä tapaus kaikkia EU:n kansainvälisiä tiedonsiirtoja? Menettelyn osapuolista vain Irlannin tietosuojavaltuutettu katsoo, että vakiosopimuslausekkeet ovat pätemättömiä. Schrems katsoo, että (jos tietosuojaviranomainen soveltaa ja valvoo oikein) SCC-sopimukset tarjoavat asianmukaisen ratkaisun. Yksikään muu Irlannin menettelyn osapuoli kuin DPC ei ole esittänyt pätevyyskysymyksiä.
- Ovatko kaikki tiedonsiirrot Yhdysvaltoihin ongelmallisia? Ei. FISA 702:n kaltaiset valvontalait koskevat vain "sähköisen viestinnän palveluntarjoajia". EU:n lainsäädännössä tehdään myös ero välttämättömien siirtojen (kuunnelkaa poikkeuksia) ja tarpeettoman käsittelyn "ulkoistamisen" välillä. Yhdistettynä ongelma syntyy lähinnä pilvipalvelu- ja viestintäpalvelujen tarjoajien kohdalla, jotka kuuluvat valvontalakien soveltamisalaan (esim. Facebook, Google, Apple, Amazon Web Services), mutta ei minkään muun toimialan tai "välttämättömien" tiedonsiirtojen kohdalla (esim. sähköpostit, varaukset ja vastaavat).
- Väittääkö Schrems, että SCC-sopimukset on mitätöitävä? Schrems väittää, että SCC-sopimukset antavat Irlannin tietosuojavaltuutetulle mahdollisuuden pysäyttää yksittäisiä tiedonsiirtoja, kuten Facebookin siirto. Koska ongelmaan on olemassa ilmeinen ratkaisu, hänen mielestään pätevyyskysymystä ei ole.
- Onko "Privacy Shield" pöydällä? Kyllä. Facebook on vedonnut Euroopan komission arvioon Yhdysvaltojen lainsäädännöstä Privacy Shield -järjestelmässä ja väittää, että tätä arviota olisi sovellettava myös vakiosopimuslausekkeisiin. Schrems puolestaan väitti, että tämä komission arvio on väärä. Koska Privacy Shield perustuu väärään tulkintaan Yhdysvaltojen lainsäädännöstä, se olisi mitätöitävä.
- Pystytkö edelleen lähettämään sähköpostia Yhdysvaltoihin tai varaamaan lennon? Kyllä. Yleisen tietosuoja-asetuksen 49 artiklassa säädetään "poikkeuksista", jotka sallivat kaikki tiedonsiirrot, jos ne ovat esimerkiksi "välttämättömiä sopimuksen tekemistä varten" tai jos käyttäjä on antanut siihen nimenomaisen suostumuksensa. Esim: Sähköpostin lähettäminen Yhdysvaltoihin on välttämätöntä, jos vastaanottaja on siellä, mutta sähköpostin lähettäminen Yhdysvaltojen kautta ei ole välttämätöntä, jos lähettäjä ja vastaanottaja ovat Euroopassa.
- Minkälaiset siirrot voidaan silloin joutua lopettamaan? Periaatteessa tietojenkäsittelyn "ulkoistaminen", joka voitaisiin tehdä myös Euroopassa tai muissa maissa, joissa on asianmukaiset tietosuojanormit.
Tapauksen historia
Tapauksen taustalla on yksityisyyden suojaa puolustavan asianajajan Max Schremsin vuonna 2013 tekemä valitus Facebookia vastaan(linkki valitukseen). Yli kuusi vuotta sitten Edward Snowden paljasti, että Facebook sallii Yhdysvaltain tiedustelupalveluiden pääsyn eurooppalaisten henkilötietoihin PRISMin kaltaisten valvontaohjelmien puitteissa (ks. Wikipedia). Kanteella pyritään estämään Facebookin tiedonsiirrot EU:n ja Yhdysvaltojen välillä. Toistaiseksi Irlannin tietosuojaneuvosto ei ole ryhtynyt mihinkään konkreettisiin toimiin.
Ensimmäinen hylkäävä päätös ja EU:n tuomioistuimen tuomio Safe Harborista
Irlannin tietosuojavaltuutettu hylkäsi tapauksen ensimmäisen kerran vuonna 2013, minkä jälkeen sitä käsiteltiin oikeudellisessa uudelleentarkastelussa Irlannissa ja Euroopan unionin tuomioistuimessa (CJEU). EU:n tuomioistuin päätti vuonna 2015, että EU:n ja Yhdysvaltojen väliset tiedonsiirrot mahdollistava niin sanottu Safe Harbor -sopimus oli pätemätön(linkki tuomioon C-362/14) ja että Irlannin tietosuojaviranomaisen oli tutkittava tapaus, mistä se aluksi kieltäytyi.
Tietoa "vakiosopimuslausekkeiden" käytöstä
Yllättäen tietosuojaviranomainen ilmoitti Schremsille vuoden 2015 lopussa, että Facebook ei itse asiassa ollut koskaan vedonnut nyt mitätöityyn Safe Harbor -sopimukseen, vaan sen sijaan se oli jo vuonna 2013 vedonnut "vakiosopimuslausekkeisiin" (toinen mekanismi tietojen siirtämiseksi EU:sta Yhdysvaltoihin). DPC ei ollut paljastanut tätä seikkaa, vaan esitti sen sijaan, että Safe Harbor esti heitä jatkamasta asian käsittelyä. Tämä "kiertotie" teki EU:n ensimmäisen tuomion merkityksettömäksi asian kannalta.
Toinen tutkimus ja oikeudenkäynti
Schrems mukautti valitustaan "vakiosopimuslausekkeiden" nojalla tapahtuviin siirtoihin ja vaati myös tietojen siirron lopettamista Facebook USA:lle sillä perusteella, että tiedot ovat NSA:n käytettävissä. DPC:n tutkimus kesti vain pari kuukautta joulukuusta 2015 kevääseen 2016. Sen sijaan, että DPC olisi tehnyt päätöksen valituksesta, se nosti kanteen Facebookia ja Schremsiä (molemmat ovat nyt vastaajina) vastaan Irlannin korkeimmassa oikeudessa vuonna 2016, jotta lisäkysymykset saatettaisiin EU:n tuomioistuimen käsiteltäväksi. Yli kuusi viikkoa kestäneiden, pääasiassa vuonna 2017 pidettyjen kuulemisten jälkeen Irlannin korkein oikeus totesi, että Yhdysvaltain hallitus harjoittaa eurooppalaisten henkilötietojen "massakäsittelyä", ja siirsi yksitoista kysymystä toisen kerran Euroopan unionin tuomioistuimen käsiteltäväksi(linkki tuomioon) vuonna 2018.
Seuraavat vaiheet
EUT on ottanut asian luetteloon numerolla C-311/18 ja käsittelee sitä toisen kerran 9. heinäkuuta 2019 - noin kuusi vuotta alkuperäisen valituksen jättämisestä. Tuomiota odotetaan ennen vuoden loppua. EUT:n tuomion jälkeen kuluttajaviraston olisi lopulta tehtävä päätös valituksesta ensimmäisen kerran. Facebook tai Schrems voivat jälleen valittaa päätöksestä.
Osapuolten keskeiset väitteet
- Irlannin tietosuojavaltuutettu yhtyy Schremsin näkemykseen, jonka mukaan Yhdysvaltojen valvontalait rikkovat yksityisyyttä, tietosuojaa ja oikeussuojaa koskevia perusoikeuksia, jotka perustuvat Euroopan unionin lainsäädäntöön. Tietosuojavaltuutettu toteaa kuitenkin, ettei hänellä ole valtuuksia ratkaista asiaa. Koska Facebookin käyttämässä tiedonsiirtomekanismissa (vakiosopimuslausekkeet) ei ole varauduttu tällaiseen tilanteeseen, lausekkeet itsessään on mitätöitävä. Tämä merkitsisi sitä, että tietojen siirto kaikkiin EU:n ulkopuolisiin maihin tämän välineen nojalla olisi lopetettava.
- Facebook katsoo, että Yhdysvaltojen lainsäädäntö ei ylitä sitä, mikä on EU:n lainsäädännön mukaan laillista. Facebook kyseenalaistaa myös sen, onko EU:lla lainkäyttövaltaa "kansallista turvallisuutta" koskevissa asioissa. Yhteenvetona voidaan todeta, että Facebook ei näe mitään ongelmaa jatkaa tietojen siirtämistä Yhdysvaltoihin FISA:n kaltaisten massavalvontalakien nojalla. Facebook luottaa myös Euroopan komission arvioon Yhdysvaltojen lainsäädännöstä niin sanotussa Privacy Shield -päätöksessä, jonka mukaan Yhdysvaltojen valvontalait ovat EU:n vaatimusten mukaisia.
- Schrems on DPC:n kanssa samaa mieltä ongelmasta, mutta ehdottaa maltillisempaa ratkaisua. Laki (SCC-sopimuksen 4 artikla) antaa tietosuojaneuvostolle mahdollisuuden pysäyttää yksittäiset tiedonsiirrot (kuten Facebookin). Schremsin mukaan Irlannin tietosuojaviranomaisella on velvollisuus toimia sen sijaan, että asia palautetaan EU:n tuomioistuimeen. Mitä tulee Facebookin vetoamiseen "Privacy Shieldiin", Schrems katsoo, että Euroopan komission Privacy Shield -päätös ei kuvaa riittävästi Yhdysvaltojen valvontalakia, se ei pysty edes etäisesti tarjoamaan riittävää yksityisyyden suojaa ja se on siksi mitätöitävä.
- Euroopan komissio: Euroopan komission odotetaan puolustavan molempia päätöksiään: Vakiosopimuslausekkeet ja Privacy Shield. Se todennäköisesti asettuu Yhdysvaltojen ja Facebookin puolelle ja katsoo, että perusoikeuksia ei ole loukattu Yhdysvalloissa, mutta myöntää myös, että tietosuojaneuvostolla on valtuudet ratkaista asia itse, jos EU:n tuomioistuin katsoo, että perusoikeuksia on loukattu Yhdysvalloissa.
Schremsin lausunto
Max Schrems, noyb:n puheenjohtaja: "Ehdotamme harkittua ratkaisua: Irlannin kuluttajansuojaneuvoston on yksinkertaisesti pantava säännöt asianmukaisesti täytäntöön sen sijaan, että se potkii tapauksen takaisin Luxemburgiin kerta toisensa jälkeen. Tämä tapaus on ollut vireillä kuusi vuotta. Näiden kuuden vuoden aikana DPC on tehnyt päätöksen vain 2-3 prosentissa sen käsiteltäväksi saatetuista tapauksista. Meillä ei ole ongelmaa 'vakiosopimuslausekkeiden' kanssa, vaan täytäntöönpanon kanssa."
noyb
noyb on uusi eurooppalainen voittoa tavoittelematon järjestö, joka valvoo oikeutta yksityisyyteen oikeudenkäyntien avulla. Se tukee tätä tapausta, ja sitä itseään tukee yli 3 500 lahjoittajajäsentä.
Avainluvut
Osapuolet, jotka käyvät oikeutta, ovat Irlannin tietosuojavaltuutettu, Facebook Ireland Ltd ja Max Schrems. Irlantilainen tuomioistuin on sallinut myös neljän "amicus curiaen" (tuomioistuimen puolueettomat avustajat) liittyä tapaukseen, nimittäin Yhdysvaltain hallituksen, Electronic Privacy Information Centerin (epic.org) ja kahden alan edunvalvontajärjestön.
Kaikki EU:n jäsenvaltiot, Euroopan komissio, Euroopan parlamentti ja Euroopan tietosuojaneuvosto (EDPB) saivat esittää huomautuksia.