Euroopan unionin tuomioistuin käsittelee EU: n ja Yhdysvaltojen välisiä tiedonsiirtoja (vakiosopimuslausekkeet ja yksityisyyden suoja)

Jul 08, 2019

Lataa: lehdistötiedote

Useiden pyyntöjen vuoksi olemme tiivistäneet Euroopan unionin tuomioistuimessa käydyn tapauksen avainkysymykset EU: n ja Yhdysvaltojen välisestä tiedonsiirrosta ja Yhdysvaltojen hallituksen suorittamasta joukkovalvonnasta. Asia käsitellään huomenna (tiistaina 9. heinäkuuta klo 9.00) yhteisöjen tuomioistuimen suuressa jaostossa.

Tapauksen yleiset väärinkäsitykset

  • Koskeeko tämä tapausta kaikkia EU: n ja Yhdysvaltojen välisiä tiedonsiirtoja? Ei, se koskee vain siirtoja Yhdysvaltoihin, joihin sovelletaan "joukkovalvontaa". Useimmissa tilanteissa on yksinkertaisia tapoja välttää joukkovalvonta, ja monet teollisuudenalat (esim. Pankit, lentoyhtiöt, kauppa ja pankkitoiminta) eivät kuulu minkään tällaisen joukkovalvontalain soveltamisalaan. Herra Schremsin valitus kohdistuu vain Facebookiin, jonka Snowden-asiakirjassa mainitaan auttavan NSA: ta massavalvonnassa ”PRISM” -ohjelmassa.
  • Onko tässä tapauksessa kyse kaikista kansainvälisistä EU: n tiedonsiirroista? Menettelyn osapuolista vain Irlannin tietosuojavaltuutettu katsoo, että vakiosopimuslausekkeet ovat pätemättömiä. Herra Schrems katsoo, että (jos DPC soveltaa ja panee sen täytäntöön) SCC: t tarjoavat oikean ratkaisun. Kukaan muu Irlannin menettelyn osapuoli kuin DPC ei esittänyt pätevyyskysymyksiä.
  • Ovatko kaikki tiedonsiirrot Yhdysvaltoihin ongelmallisia? Ei. FISA 702: n kaltaisia valvontalakeja sovelletaan vain ”sähköisten viestintäpalvelujen tarjoajiin”. EU: n lainsäädännössä erotetaan toisistaan myös tarvittavat siirrot (kuuntele poikkeuksia) ja käsittelyn tarpeeton "ulkoistaminen". Yhdessä ongelma ilmenee pääasiassa pilvipalvelujen ja viestinnän tarjoajien kanssa, jotka kuuluvat valvontalakien piiriin (esim. Facebook, Google, Apple, Amazon Web Services), mutta ei minkään muun teollisuudenalan tai "välttämättömän" tiedonsiirron (esim. Sähköpostit, varaus ja samankaltaisia).
  • Aikooko herra Schrems mitätöidä SCC: t? Ei. Schrems väittää, että tietosuojavaltuutetut antavat Irlannin tietosuojavaltuutetulle mahdollisuuden lopettaa yksittäiset tiedonsiirrot, kuten Facebook. Koska ongelmaan on selvä ratkaisu, hänen mielestään ei ole pätevyyskysymystä.
  • Onko "Privacy Shield" pöydällä? Joo. Facebook on tukeutunut Euroopan komission arvioon Yhdysvaltain lainsäädännöstä yksityisyyden suojasta ja väittää, että tämän arvioinnin tulisi koskea myös vakiosopimuslausekkeita. Jäsen Schrems puolestaan väitti, että tämä komission arviointi on väärä. Koska Privacy Shield perustuu Yhdysvaltain lain väärään tulkintaan, se on mitätöitävä.
  • Pystytkö edelleen lähettämään sähköposteja Yhdysvaltoihin tai varaamaan lennon? Joo. GDPR: n 49 artiklassa säädetään "poikkeuksista", jotka sallivat kaiken tiedonsiirron, jos ne ovat esimerkiksi "tarpeen sopimuksen tekemiseksi" tai jos käyttäjä on nimenomaisesti antanut siihen suostumuksensa. Esimerkiksi: Sähköpostin lähettäminen Yhdysvaltoihin on välttämätöntä, jos vastaanottaja on siellä, mutta sähköposteja ei tarvitse lähettää Yhdysvaltojen kautta, jos lähettäjä ja vastaanottaja ovat Euroopassa.
  • Minkä tyyppisiä siirtoja on ehkä lopetettava? Periaatteessa tietojenkäsittelyn "ulkoistaminen", joka voidaan tehdä myös Euroopassa tai muissa maissa, jotka tarjoavat asianmukaiset tietosuojastandardit.

Tapaushistoria

Tapaus keskittyy yksityisoikeusasianajajan Max Schremsin Facebookiin vuonna 2013 tekemään valitukseen (linkki valitukseen). Yli kuusi vuotta sitten Edward Snowden ilmoitti, että Facebook antaa Yhdysvaltain tiedustelupalveluille pääsyn eurooppalaisten henkilötietoihin valvontaohjelmien, kuten "PRISM", alla (katso Wikipedia ). Valituksen tarkoituksena on lopettaa EU: n ja Yhdysvaltojen välinen Facebook-tiedonsiirto. Irlannin DPC ei ole toistaiseksi ryhtynyt konkreettisiin toimiin.

Ensimmäinen hylkääminen ja unionin tuomioistuimen tuomio Safe Harbourista

Irlannin tietosuojavaltuutettu (DPC) hylkäsi tapauksen ensin vuonna 2013, minkä jälkeen se saatettiin Irlannissa tuomioistuimen tutkittavaksi ja asia saatettiin Euroopan unionin tuomioistuimen käsiteltäväksi. Unionin tuomioistuin katsoi vuonna 2015, että niin kutsuttu Safe Harbor -sopimus, joka sallii EU: n ja Yhdysvaltojen välisen tiedonsiirron, oli pätemätön ( linkki tuomioon C-362/14 ) ja että Irlannin DPC: n oli tutkittava tapaus, jonka alun perin he kieltäytyi tekemästä.

Tietoja vakiosopimuslausekkeiden käytöstä

Yllättäen DPC ilmoitti vuoden 2015 lopussa herra Schremsille, että Facebook ei itse asiassa ollut koskaan vedonnut nyt mitätöityyn Safe Harbor -sopimukseen, vaan luotti sen sijaan jo vuonna 2013 vakiosopimuslausekkeisiin (toiseen mekanismiin tietojen siirtämiseksi EU: sta Yhdysvaltoihin). DPC ei ollut paljastanut tätä tosiasiaa ja ehdotti sen sijaan, että Safe Harbor estäisi heidät tapauksen jatkamiseksi. Tämä "kiertotie" teki Euroopan unionin tuomioistuimen ensimmäisestä päätöksestä merkityksetöntä tapauksen kannalta.

Toinen tutkimus ja oikeusjuttu

Herra Schrems mukautti valituksensa vakiosopimuslausekkeiden nojalla suoritettaviin siirtoihin ja vaati yhtä lailla tiedonsiirron lopettamista Facebook USA: lle sen perusteella, että ne asettavat tiedot NSA: n saataville. DPC: n tutkimus kesti vain muutaman kuukauden joulukuusta 2015 kevääseen 2016. Valituksen ratkaisemisen sijaan DPC nosti Facebookissa ja herra Schremsissä (molemmat ovat nyt syytettyjä) oikeudenkäynnin Irlannin korkeimmassa oikeudessa vuonna 2016. lähettää lisää kysymyksiä unionin tuomioistuimelle. Irlannin korkein oikeus totesi yli kuuden viikon pääosin vuonna 2017 pidetyn kuulemistilaisuuden jälkeen, että Yhdysvaltojen hallitus harjoittaa eurooppalaisten henkilötietojen "joukkokäsittelyä", ja lähetti yksitoista kysymystä unionin tuomioistuimelle toisen kerran ( linkki tuomioon ) vuonna 2018. .

Seuraavat vaiheet

Unionin tuomioistuin on luetteloinut asian C-311/18 alla ja käsittelee asian toisen kerran 9. heinäkuuta 2019 - noin kuusi vuotta alkuperäisen valituksen tekemisestä. Tuomion odotetaan olevan ennen vuoden loppua. Euroopan unionin tuomioistuimen tuomion jälkeen DPC: n olisi vihdoin päätettävä valituksesta ensimmäistä kertaa. Facebook tai herra Schrems voivat taas valittaa päätöksestä.

Osapuolten perustelut

  • Irlannin tietosuojavaltuutettu yhtyy herra Schremsiin näkemyksensä mukaan, että Yhdysvaltain valvontalaki rikkoo yksityisyyteen, tietosuojaan ja oikeussuojaan liittyviä perusoikeuksia Euroopan lainsäädännön mukaan. DPC sanoo kuitenkin, ettei hänellä ole valtuuksia ratkaista ongelmaa. Koska Facebookin käyttämä tiedonsiirtomekanismi (vakiosopimuslausekkeet) ei ennakoi tällaista tilannetta, itse lausekkeet on mitätöitävä. Tämä tarkoittaisi, että tiedonsiirrot mihin tahansa EU: n ulkopuoliseen maahan tämän välineen avulla olisi lopetettava.
  • Facebook on sitä mieltä, että Yhdysvaltain laki ei ylitä sitä, mikä on laillista EU: n lainsäädännön mukaan. Facebook kysyy myös, onko EU: lla toimivaltaa "kansallisen turvallisuuden" asioissa. Yhteenvetona Facebook ei näe mitään ongelmaa jatkaa tietojen siirtämistä Yhdysvaltoihin FISA: n kaltaisten joukkovalvontalakien nojalla. Facebook nojautuu myös Euroopan komission arvioon Yhdysvaltojen lainsäädännöstä niin sanotussa "Privacy Shield" -päätöksessä, jonka mukaan Yhdysvaltain valvontalaki noudattaa EU: n vaatimuksia.
  • Schrems on samaa mieltä DPC: n kanssa ongelmasta, mutta ehdottaa mitattavampaa ratkaisua. Laki (SCC: n 4 artikla) sallii DPC: n lopettaa yksittäiset tiedonsiirrot (kuten Facebook). Schrems sanoo, että Irlannin DPC: llä on velvollisuus toimia, sen sijaan että potkaisi asiaa takaisin Euroopan unionin tuomioistuimeen. Facebookin luottamus yksityisyyden suojaan herra Schrems katsoo, että Euroopan komission yksityisyyden suojaa koskeva päätös ei kuvaa riittävästi Yhdysvaltain valvontalakeja, ei edes pysty tarjoamaan riittävästi yksityisyyden suojaa, ja siksi se on mitätöitävä.
  • Euroopan komissio: Euroopan komission odotetaan puolustavan molempia päätöksiä: vakiosopimuslausekkeet ja yksityisyyden suoja. Se tulee todennäköisesti Yhdysvaltojen ja Facebookin puolelle katsomaan, että Yhdysvalloissa ei loukata perusoikeuksia, mutta tunnustaa myös, että DPC: llä on valta ratkaista asia itse, jos Euroopan unionin tuomioistuin näkee perusoikeuksien rikkomisen Yhdysvallat.

Herra Schremsin lausunto

Max Schrems, noyb : n puheenjohtaja: "Ehdotamme mitattua ratkaisua: Irlannin DPC: n on yksinkertaisesti pantava säännöt täytäntöön asianmukaisesti sen sijaan, että potkaisi tapausta takaisin Luxemburgiin uudestaan ja uudestaan. Tämä tapaus on ollut vireillä kuusi vuotta. Näiden kuuden vuoden aikana DPC on itse asiassa päättänyt vain 2-3 prosentissa sen käsiteltäväksi saatetuista tapauksista. Meillä ei ole ongelmia vakiosopimuslausekkeiden kanssa, meillä on ongelmia täytäntöönpanon kanssa. "

noyb

noyb on uusi eurooppalainen voittoa tavoittelematon organisaatio, joka panee täytäntöön oikeuden yksityisyyteen oikeudenkäyntien avulla. Se tukee tätä tapausta ja itse tukee yli 3 500 lahjoittajajäsentä.

Avainluvut

Oikeudenkäynnin osapuolia ovat Irlannin tietosuojavaltuutettu, Facebook Ireland Ltd ja Max Schrems. Irlannin tuomioistuin on myös sallinut neljän "amicus curiaen" (tuomioistuimen puolueettomat avustajat) liittymisen tapaukseen, nimittäin Yhdysvaltain hallitus, Electronic Privacy Information Center (epic.org) ja kaksi alan edunvalvontaorganisaatiota.

Kaikki EU: n jäsenvaltiot, Euroopan komissio, Euroopan parlamentti ja Euroopan tietosuojaneuvosto (EDPB) pystyivät tekemään huomautuksia.

Uploads

MakePrivacyReal

Työmme tekee mahdolliseksi yli 3 100 kannatusjäsentä - kukaan ehkä sinä?