Euroopan unionin tuomioistuimen tuomio - ensimmäinen julkilausuma

Jul 16, 2020

Euroopan unionin tuomioistuin mitätöi "Privacy Shieldin" Yhdysvaltain valvontatapauksessa. SCC: t eivät voi käyttää Facebookia tai vastaavia yrityksiä.

Facebook ja vastaavat yritykset eivät myöskään saa käyttää "SCC: itä" tietojen siirtämiseen, koska DPC: n on lopetettava siirrot tämän välineen nojalla. Schrems: "Tarvitsemme Yhdysvaltain valvontareformin. Tuomioistuin on täsmentänyt, että tietoja ei voida siirtää EU: n lainsäädännön vastaisesti . "

Max Schrems ( noyb.eu: n puheenjohtaja ja asian osapuoli) ensimmäinen reaktio tuomioon:

Schrems: ” Olen erittäin iloinen tuomiosta. Vaikuttaa siltä, että tuomioistuin on seurannut meitä kaikilta osin. Tämä on täydellinen isku Irlannin DPC: lle ja Facebookille. On selvää, että Yhdysvaltojen on muutettava vakavasti valvontalakejaan, jos yhdysvaltalaiset yritykset haluavat jatkaa merkittävää roolia EU: n markkinoilla.

Yhdysvaltain valvontauudistus on väistämätön - Euroopan unionin tuomioistuin vain sanoo sen ääneen

Tuomioistuin oli selvä, että Yhdysvaltojen kauaskantoinen valvontalaki on ristiriidassa EU: n perusoikeuksien kanssa. Yhdysvallat rajoittaa suurimman osan suojauksista "yhdysvaltalaisille henkilöille", mutta ei suojaa yhdysvaltalaisten yritysten ulkomaisten asiakkaiden tietoja NSA: lta. Koska ei ole mitään keinoa selvittää, onko sinua tai yritystäsi valvonnassa, ihmisillä ei myöskään ole mahdollisuutta mennä oikeuteen. Euroopan unionin tuomioistuin katsoi, että tämä rikkoo tiettyjen EU: n perusoikeuksien "olemusta".

Schrems: " Tuomioistuin selvitti nyt toisen kerran, että EU: n yksityisyydensuojalain ja Yhdysvaltain valvontalain välillä on ristiriita. Koska EU ei muuta perusoikeuksiaan NSA: n miellyttämiseksi, ainoa tapa voittaa tämä yhteenotto on Yhdysvaltojen ottaa käyttöön vankat yksityisyyden suojaoikeudet kaikille ihmisille - myös ulkomaalaisille. Valvontauudistuksesta tulee siten ratkaiseva Silicon Valley -yrityksen etujen kannalta. "

" Tämä tuomio ei ole syy tiedonsiirron rajoitukselle, vaan Yhdysvaltain valvontalakien seurauksille . Et voi syyttää tuomioistuinta väitetyn väittämisestä - kun paska osuu tuulettimeen, et voi syyttää tuuletinta."

Euroopan komissio kumartui Yhdysvaltojen painostukseen

Tuomiosta käy myös selväksi, että Euroopan komissio ei ole suorittanut perusteellista ja tarkkaa arviointia Yhdysvaltain valvontalainsäädännöstä Privacy Shield -aloitteen nojalla. Sen sijaan se kumarsi Yhdysvaltojen painostusta ohittaessaan Privacy Shield -sovelluksen.

Herwig Hofmann, Luxemburgin yliopiston oikeustieteen professori ja yksi asianajajista, jotka väittävät Schrems-tapauksia Euroopan unionin tuomioistuimessa: ” Unionin tuomioistuin on mitätöinyt komission toisen päätöksen, joka rikkoo EU: n tietosuojaa koskevia perusoikeuksia. Tietoja ei voida siirtää maahan, jossa käytetään joukkovalvontaa. Niin kauan kuin Yhdysvaltojen laki antaa hallitukselle valtuudet tyhjentää Yhdysvaltoihin siirtyviä EU-tietoja, tällaiset välineet mitätöidään uudestaan ja uudestaan. Komission hyväksyntä Yhdysvaltain valvontalakeille Privacy Shield -päätöksessä jätti heidät ilman puolustusta . "

Tietosuojaviranomaisilla on ”velvollisuus toimia” - tärkeä vahvistus GDPR: lle

Tuomioistuin on myös selventänyt, että EU: n tietosuojaviranomaisilla on velvollisuus toimia. Tuomioistuin korosti, että tietosuojaviranomaisten on "suoritettava vastuunsa sen varmistamisesta, että GDPR pannaan täysimääräisesti täytäntöön kaikin perustein". Toistaiseksi monet tietosuojaviranomaiset ovat katsoneet, että heillä on rajoittamaton harkintavalta katsomaan toista tietä. Tuomioistuin on nyt lopettanut tämän käytännön.

Schrems: " Tuomioistuin ei ainoastaan käske Irlannin DPC: tä tekemään työnsä seitsemän vuoden toimettomuuden jälkeen, vaan myös kertoo kaikille eurooppalaisille tietosuojaviranomaisille, että heillä on velvollisuus ryhtyä toimiin eivätkä voi vain katsoa toisinpäin. Tämä on perustavanlaatuinen muutos, joka ulottuu paljon EU: n ja Yhdysvaltojen välisen tiedonsiirron ulkopuolelle. Irlannin DPC: n kaltaiset viranomaiset ovat toistaiseksi heikentäneet GDPR: n menestystä yksinkertaisesti käsittelemättä valituksia. Tuomioistuin on selvästi käskenyt tietosuojaviranomaisia ryhtymään toimiin ja panemaan lain täytäntöön. "

SCC: itä eivät voi enää käyttää Yhdysvaltain valvonnassa olevat Facebook ja yhdysvaltalaiset yritykset

Tuomioistuin on myös yhtynyt herra Schremsin näkemykseen, jonka mukaan EU: n yritysten ja EU: n ulkopuolisten tietojen vastaanottajien on ensin tarkistettava kyseisen kolmannen maan lakia. Vain silloin, kun ei ole ristiriitaista lakia, he voivat käyttää SCC: itä. Toisena suojakerroksena asianomaisen tietosuojaviranomaisen on käytettävä tietoturvakeskuksiin sisäänrakennettua "hätälauseketta" (vakiosopimuslausekkeita koskevan päätöksen 4 artikla). Yritykset eivät ryhtyneet toimiin tapauksissa, joissa Yhdysvaltain valvontalaki rikkoo EU: n tietosuojaperiaatteita. DPC on taistellut tätä ajatusta vastaan vuodesta 2016 lähtien väärällä väitteellä, jolla sillä oli harkintavalta tehdä mitään ulkomaisten joukkojen suorittaman joukkovalvonnan edessä . Yhteenvetona tämä tarkoittaa sitä, että Facebook ei välttämättä enää käytä SCC: tä EU: n ja Yhdysvaltojen välisessä tiedonsiirrossa, ja jos ne rikkovat edelleen lakia, DPC: n on ryhdyttävä kiireellisiin toimiin - toisin kuin tuomiossa ensimmäisissä vastauksissa esitettiin.

Schrems: " Tuomiosta käy selvästi ilmi, että yritykset eivät voi vain allekirjoittaa vakiomääräisiä sopimuksia, vaan niiden on myös tarkistettava, voidaanko niitä noudattaa käytännössä. Facebookin kaltaisissa tapauksissa, joissa he eivät ryhdy toimiin, DPC: llä oli ratkaisu tähän tapaukseen koko ajan omissa käsissään. Hän olisi voinut tilata Facebookin lopettamaan siirrot vuosia sitten. Valituksessamme vaadimme, että hän antaa kieltoilmoituksen, jossa on kohtuullinen toteutusaika, jotta Facebook voi toteuttaa kaikki tarvittavat toimenpiteet. Sen sijaan hän kääntyi Euroopan unionin tuomioistuimen puoleen mitätöimään pätevät SCC: t. Se on kuin huutaa eurooppalaiselle palokunnalle, koska et halua itse puhaltaa kynttilää.

Käyttäjien on yhdistettävä ja erittäin korkeat kustannukset

Se, että tapaus on ollut käynnissä seitsemän vuotta ja että DPC yksin on käyttänyt melkein 3 miljoonaa euroa taistelemaan herra Schremsin valituksen sijasta ryhtymällä päättäväisiin toimiin eurooppalaisten oikeuksien suojelemiseksi, osoittaa myös joitain perusvirheitä GDPR: n järjestelmässä. täytäntöönpano. Normaalin ihmisen on tällä hetkellä mahdotonta varmistaa, että GDPR-oikeudet eivät ole vain tyhjiä lupauksia, vaan että niistä tulee normaalin osa digitaalista elämäämme.

Schrems: " DPC on sijoittanut 2,9 miljoonaa euroa meitä vastaan - ja hävinnyt. En edes halua tietää, kuinka monta miljoonaa Facebook heitti tähän tapaukseen. Irlannin tuomioistuimet päättävät nyt tapauksen taloudellisen laskun. EU: n lainsäädännön mukaan kansalaisten valitukset on käsiteltävä ilmaiseksi ja nopeasti. Tässä tapauksessa olemme kuitenkin olleet tuomioistuimissa seitsemän vuotta, kun yli 45 000 sivua asiakirjoja on toimitettu. Myytti siitä, että oikeustieteen opiskelija voi tehdä tämän yksin, on valitettavasti väärä . "

"Tarpeelliset" tietovirrat Yhdysvaltoihin voivat jatkua

Tuomiossa tehdyistä mitätöinnistä huolimatta ehdottomasti "välttämättömiä" tietovirtoja voi jatkua yleisen tietosuoja-asetuksen 49 artiklan nojalla. Kaikki tilanteet, joissa käyttäjät haluavat tietojensa siirtyvän ulkomaille, on edelleen laillista, koska se voi perustua käyttäjän tietoiseen suostumukseen, joka voidaan peruuttaa milloin tahansa. Vastaavasti laki sallii tiedonsiirron siitä, mikä on "välttämätöntä" sopimuksen täyttämiseksi. Tämä on vankka perusta useimmille laillisille liiketoimille Yhdysvaltojen kanssa. Yksinkertaisesti sanottuna: Yhdysvallat on nyt palautettu "normaaliin" tilanteeseen, joka EU: lla on useimpien muiden kolmansien maiden kanssa, mutta se menetti erityisen pääsynsä EU: n markkinoille Yhdysvaltain valvonnan vuoksi.

Schrems: " Tuomioistuin korosti nimenomaisesti, että Privacy Shieldin mitätöinti ei luo" oikeudellista tyhjiötä ", koska välttämättömät tietovirrat voidaan silti toteuttaa. Yhdysvallat on nyt yksinkertaisesti palautettu keskimääräiseen maahan, jolla ei ole erityistä pääsyä EU: n tietoihin "

v1