Euroopan komissio antaa EU:n ja Yhdysvaltojen välisille tiedonsiirroille kolmannen kierroksen EU:n tuomioistuimessa

New Trans-Atlantic Data Privacy Framework pitkälti kopio "Privacy Shieldistä". noyb aikoo haastaa päätöksen.

Euroopan komission kolmas yritys saada aikaan vakaa sopimus EU:n ja Yhdysvaltojen välisistä tiedonsiirroista päätyy todennäköisesti takaisin Euroopan yhteisöjen tuomioistuimeen (CJEU) muutaman kuukauden sisällä. Väitetty "uusi" transatlanttinen tietosuojakehys on pitkälti kopio epäonnistuneesta "Privacy Shieldistä". Euroopan komission PR-ponnisteluista huolimatta Yhdysvaltojen lainsäädäntö tai EU:n lähestymistapa ei juuri muutu. Yhdysvallat ei ole puuttunut FISA 702 -direktiivin perusongelmaan, koska se katsoo edelleen, että vain yhdysvaltalaisilla henkilöillä on perustuslailliset oikeudet.

• Vertailu Yhdysvaltojen lainsäädännön muutoksesta vuodesta 2014 lähtien:
  • "Vanha" PPD-28 (2014)
  • "Uusi" EO 14086, joka korvaa PPD-28:n (2022)
• Vertailu aiempiin PR-toimiin:
  • "Luottamuksen palauttaminen EU:n ja Yhdysvaltojen välisiin tietovirtoihin" ja "sateenvarjo" vuodelta 2013
  • Lehdistötiedote "Privacy Shieldistä" vuodelta 2016
  • Tiedotusvälineiden usein kysytyt kysymykset yksityisyydensuojasta vuodelta 2016
  • Bidenin ja von der Leyenin yksisivuinen periaatesopimus vuodelta 2022
• Euroopan komission luonnos riittävyyspäätökseksi (joulukuu 2022)

Taustaa. Vuonna 2013 Edward Snowden paljasti, että Yhdysvaltain hallitus käytti "suuria teknologiayrityksiä" ja ohjelmia, kuten"PRISM" tai"Upstream", FISA 702: n ja EO 12.333:n nojalla vakoillakseen muuta maailmaa ilman todennäköisiä syitä tai tuomioistuimen hyväksyntää. Tämä ei rajoittunut pelkästään rikollisuuteen tai terrorismiin, vaan siihen kuului myös Yhdysvaltojen "kumppaneihin" kohdistuva vakoilu. Vuonna 1995 annetun EU:n lain mukaan henkilötietoja ei yleensä saa lähettää EU:n ulkopuolelle, ellei kohdemaassa ole "olennaisesti vastaavaa" suojaa. Yhdysvaltojen teollisuus tukeutui voimakkaasti Euroopan komission Safe Harbor -päätökselle, jossa Yhdysvaltojen todettiin vuonna 2000 olevan "olennaisesti vastaava". EU:n tuomioistuin kumosi komission päätöksen asiassa C-362/14 ("Schrems I" ) vuonna 2015, kun otetaan huomioon Yhdysvaltojen valvontalait. Vuonna 2016 Euroopan komissio teki EU:n ja Yhdysvaltojen välisiä tiedonsiirtoja koskevan pitkälti saman päätöksen uudelleen uudella nimellä "Privacy Shield", jonka EUT kumosi vuonna 2020 asiassa C-311/18 ("Schrems II ") pitkälti samoin perustein.

Ursulan ja Joen "taikatemput". Privacy Shieldin kumoamisen jälkeen EU:n ja Yhdysvaltojen välisissä neuvotteluissa ei juuri edistytty. Yhdysvallat vaati, että EU:n tiedot pysyvät Yhdysvaltojen massavalvonnan kohteena ja että "ei-amerikkalaisilla" henkilöillä ei ole samaa suojaa kuin yhdysvaltalaisilla henkilöillä. Yli 1,5 vuotta kestäneen vähäisen liikehdinnän jälkeen Yhdysvallat on tiettävästi käyttänyt Ukrainan sotaa painostaakseen EU:ta henkilötietojen jakamiseen. Pian tämän jälkeen Joe Biden ja Ursula von der Leyen tapasivat 25. maaliskuuta 2022. Samana päivänä nämä kaksi ovat yhtäkkiä "ratkaisseet" sen, mitä lakimiehet eivät kyenneet ratkaisemaan, ja esittivät"periaatesopimuksen", yhden sivun mittaisen asiakirjan, joka sisälsi pohjimmiltaan kaksi "temppua", joiden pitäisi rauhoittaa yleisöä:

• Ensinnäkin EU:n tuomioistuin katsoi, että FISA 702 -sopimuksen mukainen massavalvonta ei ole EU:n perusoikeuskirjan 52 artiklassa tarkoitetulla tavalla "oikeasuhteista". Yhdysvaltain "uudessa" toimeenpanomääräyksessä 14086 (joka vastaa pitkälti vuoden 2014 PPD-28:aa) olisi nyt sana "oikeasuhteinen". "Juju" tässä on se, että Yhdysvallat antaa sanalle "oikeasuhteinen" toisenlaisen merkityksen kuin EU:n tuomioistuin. EO 14086 julistaa FISA 702:n mukaisen massavalvonnan olevan "oikeasuhteista" sanan "Yhdysvaltain" julkistamattoman "käsityksen" mukaan ja vastoin EU:n tuomioistuimen kahta havaintoa. Näin EU ja Yhdysvallat pystyivät väittämään, että ne olivat sopineet samasta sanasta ("oikeasuhteinen"), vaikka sanan merkityksestä ei ole sopimusta.
• Toiseksi EUT totesi, että yksityisyyden suojakilven "Ombudspersonin" kautta tapahtuva muutoksenhaku ei ollut edes etäisesti CFR 47 artiklan mukainen - vaikka komission PR-osasto kehui Ombudspersonia vuonna 2016 "riippumattomaksi" "kansallisen turvallisuuden alan muutoksenhakumuodoksi". Oikeussuojakeinoja koskeva "temppu": oikeusasiamiehen mekanismi nimettiin uudelleen ja jaettiin kansalaisvapauksien suojeluvaltuutetuksi (CLPO) ja niin sanotuksi "tuomioistuimeksi" (joka ei ole tuomioistuin, vaan osittain riippumaton toimeenpaneva elin). Vaikka oikeusasiamieheen verrattuna on joitakin pieniä parannuksia, yksilöllä ei ole suoraa vuorovaikutusta uusien elinten kanssa (hänen on lähetettävä valitus EU:n tietosuojaviranomaiselle eikä häntä kuulla Yhdysvalloissa), ja ne antavat täsmälleen saman vastauksen kuin aiempi "oikeusasiamies". EO 14086:n mukaan CLPO:n ja tuomioistuimen on joka tapauksessa vastattava seuraavasti:"Vahvistamatta tai kiistämättä sitä, että kantelija oli Yhdysvaltojen signaalitiedustelutoiminnan kohteena, tarkastuksessa ei joko havaittu mitään katettuja rikkomuksia tai tietosuojavalvontatuomioistuin antoi päätöksen, jossa edellytetään asianmukaista korjaamista" (ks. tästä). Tämän "tuomioistuimen" "tuomio" on siis tiedossa jo ennen kuin asia on pantu vireille. Mekanismiin liittyy monia muita ongelmia, jotka varmistavat suurelta osin sen, että valituksia ei edes hyväksytä. Tuntuu mahdottomalta, että yhteisöjen tuomioistuin hyväksyisi tämän yhteisön perusoikeuskirjan 47 artiklan mukaiseksi "oikeussuojakeinoksi".
• Lopuksi Yhdysvallat on kieltäytynyt uudistamasta FISA 702 -direktiiviä siten, että se antaisi muille kuin yhdysvaltalaisille henkilöille kohtuullisen yksityisyyden suojan. Atlantin molemmin puolin ollaan yhtä mieltä siitä, että FISA 702 ja EO 12.333 rikkovat perusoikeuksia, jotka perustuvat Yhdysvaltojen neljänteen lisäykseen ja EU:n perusoikeuskirjan 7, 8 ja 47 artiklaan, mutta Yhdysvallat väittää edelleen, että muilla kuin yhdysvaltalaisilla henkilöillä ei ole perustuslaillisia oikeuksia Yhdysvalloissa, joten heidän yksityisyyden suojan loukkaaminen ei kuulu neljännen lisäyksen piiriin.
• FISA 702 -direktiivin voimassaoloa on jatkettava vuoden 2023 loppuun mennessä, koska Yhdysvaltain lainsäädännössä on "sunset clause". Tämä olisi ollut täydellinen tilaisuus parantaa Yhdysvaltojen lainsäädäntöä, mutta EU:n kanssa tehdyn uuden sopimuksen vuoksi Yhdysvalloilla ei ole juurikaan syytä uudistaa FISA 702 -lakia.

Kaiken kaikkiaan uusi "transatlanttinen tietosuojakehys" on kopio Privacy Shield -sopimuksesta (vuodelta 2016), joka puolestaan oli kopio Safe Harbor -sopimuksesta (vuodelta 2000). Koska tämä lähestymistapa on epäonnistunut kahdesti aiemmin, muutokselle ei ollut mitään oikeudellista perustetta - ainoa looginen syy sopimuksen tekemiseen oli poliittinen.

Max Schrems, noybin puheenjohtaja: "Sanotaan, että hulluuden määritelmä on tehdä sama asia yhä uudelleen ja uudelleen ja odottaa erilaista tulosta. Aivan kuten 'Privacy Shield' -suojakilpi, uusin sopimus ei perustu olennaisiin muutoksiin vaan poliittisiin intresseihin. Jälleen kerran nykyinen komissio näyttää ajattelevan, että sotku on seuraavan komission ongelma. Yhdysvaltojen on jatkettava FISA 702 -direktiivin voimassaoloaikaa tänä vuonna, mutta uuden sopimuksen julkistamisen myötä EU on menettänyt kaikki valtuudet saada FISA 702 -direktiivin uudistus toteutettua."

Huijaa minua kolmesti? Jo Snowdenin paljastusten jälkeen vuonna 2013 Euroopan komissio ilmoitti, että se "rakentaa" luottamuksen uudelleen ja"tekee Safe Harborista turvallisemman" sekä laatii"sateenvarjosopimuksen". Vuonna 2016 toimittajille kerrottiin, että "Privacy Shield" merkitsisi sitä, että "ensimmäistä kertaa Yhdysvallat on antanut EU:lle kirjallisen vakuutuksen", että olisi "selkeitä rajoituksia, suojatoimia ja valvontamekanismeja" ja että edes "ei mitään summittaista massavalvontaa". Mikään näistä väitteistä ja järjestelmistä ei ole osoittautunut kestäväksi, kun niitä on käsitelty EU:n tuomioistuimessa. Komission suhdetoiminnan nykyisessä versiossa käytetään samoja (jatkuvasti toistuvia) väitteitä.

Max Schrems: "Nyt meillä on ollut "satamia", "sateenvarjoja", "suojia" ja "kehyksiä" - mutta Yhdysvaltojen valvontalainsäädäntöön ei ole tullut merkittäviä muutoksia. Tämän päivän lehdistötiedotteet ovat lähes kirjaimellinen kopio siitä, mitä ne ovat olleet viimeisten 23 vuoden aikana. Pelkkä ilmoitus siitä, että jokin on "uutta", "vankkaa" tai "tehokasta", ei riitä yhteisöjen tuomioistuimessa. Jotta tämä toimisi, tarvitsisimme muutoksia Yhdysvaltojen valvontalakiin - ja niitä ei yksinkertaisesti ole."

EUT:n haaste on valmis jätettäväksi. Kaikki, joiden henkilötietoja siirretään uuden sopimuksen nojalla, voivat haastaa tietosuojaviranomaiset tai tuomioistuimet. noyb on valmistellut erilaisia menettelyvaihtoehtoja, joilla uusi sopimus voidaan viedä takaisin EU:n tuomioistuimeen. Odotamme, että ensimmäiset yritykset ottavat uuden järjestelmän käyttöön lähikuukausien aikana, mikä avaa tien muutoksenhaulle henkilöltä, jonka tietoja siirretään uuden välineen nojalla. Ei ole epätodennäköistä, että haaste saapuu EU:n tuomioistuimeen vuoden 2023 loppuun tai vuoden 2024 alkuun mennessä. Tuomioistuimella olisi tällöin jopa mahdollisuus keskeyttää "puitteet" menettelyn ajaksi. EUT:n lopullinen päätös tehtäisiin todennäköisesti vuonna 2024 tai 2025. Riippumatta siitä, onnistuuko haaste, tämä selkeyttää transatlanttista tietosuojakehystä noin kahden vuoden kuluessa.

Max Schrems: "Meillä on jo laatikossa erilaisia vaihtoehtoja muutoksenhakua varten, vaikka olemme kyllästyneet tähän oikeudelliseen ping-pongiin. Tällä hetkellä odotamme, että asia on jälleen yhteisöjen tuomioistuimen käsiteltävänä ensi vuoden alussa. Tuomioistuin voisi silloin jopa keskeyttää uuden sopimuksen soveltamisen, kun se tutkii sen sisältöä. Oikeusvarmuuden ja oikeusvaltioperiaatteen vuoksi saamme silloin vastauksen siihen, riittivätkö komission pienet parannukset vai eivät. Viimeisten 23 vuoden aikana kaikki EU:n ja Yhdysvaltojen väliset sopimukset on julistettu taannehtivasti pätemättömiksi, mikä on tehnyt kaikista aiemmista yritysten tekemistä tiedonsiirroista laittomia - nyt näyttää siltä, että tämä pingispeli jatkuu vielä kaksi vuotta."

EU:n komissio osoittaa piittaamattomuutta oikeusvaltioperiaatteesta ja kansalaisten yksityisyydestä. Tämä kolmas yritys tehdä pitkälti sama lainvastainen päätös herättää myös kysymyksiä Euroopan komission laajemmasta roolista EU:n perussopimusten vartijana. "Oikeusvaltioperiaatteen" puolustamisen sijaan komissio yksinkertaisesti tekee yhä uudelleen pätemättömän päätöksen, vaikka EU:n tuomioistuin on antanut selkeät tuomiot. Huolimatta Snowdenin paljastusten aiheuttamasta laajasta paheksunnasta EU:ssa ja Euroopan parlamentin toistuvista kehotuksista ryhtyä toimiin, komissio näyttää pitävän diplomaattisia suhteita Yhdysvaltoihin ja liike-elämän painostusta Atlantin molemmin puolin etusijalla eurooppalaisten oikeuksiin ja EU:n lainsäädännön vaatimuksiin nähden.

Max Schrems:"Komission on tarkoitus olla 'perussopimusten vartija' ja 'oikeusvaltioperiaatteen' puolustaja. Se rakastaa tätä roolia, kun on kyse EU:n lainsäädäntöä rikkovista jäsenvaltioista. Nyt komissio itse yksinkertaisesti sivuuttaa yhteisöjen tuomioistuimen jo kolmannen kerran."