Max Schremsin lausunto vuosi Euroopan unionin tuomioistuimen "Schrems II" -päätöksen jälkeen
Vuosi sitten niin sanottua Schrems II -päätöstä kutsuttiin uraauurtavaksi, vaikka se oli toinen kerta, kun EU:n tuomioistuin on todennut EU:n ja Yhdysvaltojen väliset tiedonsiirrot laittomiksi - ja se perustui EU:n lainsäädäntöön, joka on ollut voimassa jo vuodesta 1995. Viimeisen vuoden aikana vaikuttaa siltä, että asianomaiset sidosryhmät ovat lähinnä harhauttaneet ja osoittaneet sormella ja siirtäneet vastuuta toiselle.
Vain murto-osa eurooppalaisista yrityksistä on ymmärtänyt, että EU:n tietosuojan ja Yhdysvaltojen selviytymislainsäädännön välinen ristiriita ei ratkea lyhyellä aikavälillä, ja ne ovat siirtyneet säilyttämään henkilötietoja Euroopassa tai muilla turvallisilla alueilla sen sijaan, että joutuisivat loputtomaan painajaiseen Yhdysvaltojen lainsäädännön noudattamisesta. Muut eurooppalaiset yritykset valittavat säännöllisesti "ohjeiden" puutteesta kahdesta selkeästä tuomiosta huolimatta. Kun ohjeita annetaan, kuten äskettäin annetut EDPB:n suuntaviivat, monet väittävät, että lain vaatimusten noudattaminen on "epärealistista".
Alan lakimiesten ja yhdysvaltalaisten pilvipalveluntarjoajien joukko on yrittänyt täyttää tämän aukon "pysy rauhallisena ja jatka" -ohjeistuksella ja kehittänyt viime vuoden aikana yhä karkeampia oikeudellisia teorioita. Ne vaihtelevat "riskiperusteisesta lähestymistavasta" (jota ei ole tietosuoja-asetuksen asianomaisessa osassa) aina ehdotuksiin ei-toimivista "täydentävistä toimenpiteistä" (kuten aidoista tietokeskusten ympärillä). Sen sijaan, että nämä yksityisen sektorin sidosryhmät investoisivat turvallisiin tietotekniikkajärjestelmiin, ne investoivat PR-toimiin, jotka teeskentelevät vaatimustenmukaisuutta. On mielenkiintoista nähdä, vaativatko EU:n yritykset ja asiakkaat korvauksia, jos nämä lupaukset osoittautuvat pelkäksi ilmiselväksi.
Tietosuojaviranomaiset ovat suurelta osin odottaneet ja odottaneet. Muutamaa poikkeusta lukuun ottamatta tietosuojaviranomaiset eivät ole toistaiseksi tehneet tutkimuksia tai päätöksiä. Noybin tuomion jälkeen tekemistä 101 valitusmallista ei ole tehty yhtään päätöstä, vaikka tietosuojaviranomaiset ovat perustaneet työryhmän. Alkuperäistä, vuonna 2013 jätettyä Facebookia koskevaa kantelua viivästytti Irlannin tietosuojakomission tarpeeton toinen tutkinta, jonka vuoksi noyb joutui nostamaan toisen kanteen tietosuojaviranomaista vastaan, jonka se ratkaisi tammikuussa 2021. Odotamme juuri nyt päätöksiä pian.
Euroopan komissio sotkee vesiä antamalla uusia siirtovälineitä, kuten"vakiosopimuslausekkeita", jotka kiertävät huolellisesti selkeän sananvapauden EU:n ja Yhdysvaltojen välisistä siirroista ja antavat alan lakimiehille mahdollisuuden jatkaa uusien vaatimustenmukaisuusteorioiden keksimistä ja välttää pitkän aikavälin ratkaisuja. Samaan aikaan komissio ei näytä uskovan oikea-aikaiseen ratkaisuun Yhdysvaltojen kanssa.
Toisin kuin eurooppalainen kollegansa, Yhdysvaltain hallitus ilmoittaa mielellään säännöllisesti väitetystä "edistymisestä" uutta sopimusta koskevissa neuvotteluissa. Ongelman perimmäistä syytä, eli Yhdysvaltojen ylisuuria valvontasäädöksiä, ei kuitenkaan tunnu juurikaan haluttavan muuttaa. Ellei Yhdysvaltojen teollisuus painosta Washingtonia voimakkaasti parantamaan ulkomaisten asiakkaiden suojaa, on epätodennäköistä, että Yhdysvaltojen valvontalait muuttuvat. Käymissäni keskusteluissa Yhdysvaltojen teollisuus oli varsin selväsanainen: ilman EU:ssa tapahtuvan vakavan lainvalvonnan uhkaa tai EU:n asiakkaiden joukkopakoa Yhdysvaltojen teollisuus ei aio käyttää poliittista pääomaa Washingtonissa taistellakseen ulkomaalaisten yksityisyyden suojan puolesta.
Tilanne on kiistatta ympyrä toimijoita, jotka pysyvät pitkälti paikoillaan. Positiivisena puolena on se, että jos joku näistä toimijoista lähtee liikkeelle, se voi nopeasti aiheuttaa dominovaikutuksen kohti pitkän aikavälin ratkaisua.
Henkilökohtaisen näkemykseni mukaan pitkän aikavälin ratkaisu voi olla vain jonkinlainen demokraattisten valtioiden välinen vakoilukieltosopimus, jolla suojellaan käyttäjien ihmisoikeutta yksityisyyteen sijainnista ja kansalaisuudesta riippumatta. Tähän ei ehkä päästä muutamassa kuukaudessa, mutta mahdollisesti vuosikymmenessä, sillä maailmanlaajuinen internet tarvitsee maailmanlaajuista suojaa toimiakseen käyttäjien ja yritysten toivomalla tavalla.
Noyb-tiimi ja monet muut jatkavat työskentelyä tällaisen pitkän aikavälin ratkaisun parissa.
Max Schrems
