Snowdenin paljastusten jälkeen tiedämme, että Yhdysvallat harjoittaa EU:n käyttäjien massavalvontaa keräämällä henkilötietoja yhdysvaltalaiselta Big Tech -yritykseltä. Privacy and Civil Liberties Oversight Board (PCLOB) on Yhdysvaltojen tärkein näiden lakien valvontaviranomainen. Yhdysvaltain tiedotusvälineet raportoivat nyt, että PCLOBin demokraattiset jäsenet erotettiin ja heidän sähköpostitilinsä suljettiin. Näin nimitettyjen jäsenten määrä alittaa PCLOBin toiminnan edellyttämän rajan. Se, että Yhdysvaltain presidentti yksinkertaisesti poisti henkilöitä (muka) riippumattomasta viranomaisesta, asettaa kyseenalaiseksi kaikkien muiden Yhdysvaltojen toimeenpanovallan muutoksenhakuelinten riippumattomuuden.
Euroopan unioni on vedonnut näihin yhdysvaltalaisiin lautakuntiin ja tuomioistuimiin todetessaan, että Yhdysvallat tarjoaa "riittävän" henkilötietojen suojan. EU:n komissio sallii PCLOB:iin ja muihin mekanismeihin tukeutuen eurooppalaisten henkilötietojen vapaan siirron Yhdysvaltoihin niin sanotussa transatlanttisessa tietosuojapuitteessa (Transatlantic Data Privacy Framework, TADPF). PCLOB on sopimuksen ainoa merkityksellinen "valvontaelementti". Muut osat toimivat vain muutoksenhakueliminä. Tuhannet EU:n yritykset, valtion virastot ja koulut ovat riippuvaisia näistä määräyksistä. Ilman TADPF-sopimusta niiden olisi lopetettava välittömästi yhdysvaltalaisten pilvipalveluntarjoajien, kuten Applen, Googlen, Microsoftin tai Amazonin, käyttö.
- EU:n ja Yhdysvaltojen välistä tiedonsiirtoa koskevan saagan tausta
- TADPF-tiedot PDF-tiedosto EU:lta
- Yhdysvaltain hallituksen TADPF-ohjelman sivu
- TADPF-päätös (EU) 2023/1795
- EU:N TUOMIOISTUIN: Schrems I ja Schrems II
- Raportti PCLOBin jäsenten erottamisesta
EU:n ja Yhdysvaltojen tiedonsiirtojärjestelmä - EU:n ja Yhdysvaltojen lainsäädännön sekoitus. Yleisesti ottaen EU:n lainsäädännössä kielletään vuodesta 1995 lähtien henkilötietojen vienti EU:n ulkopuolisiin maihin, ellei siihen ole ehdotonta tarvetta (esim. lähetettäessä sähköpostia mihin tahansa EU:n ulkopuoliseen maahan). Tietoja voidaan lähettää ulkomaille, jos EU:n ulkopuolinen maa tarjoaa "olennaisilta osin vastaavaa" suojaa kuin eurooppalaisten henkilötiedot. Yhdysvalloissa taas on erittäin vahvat massavalvontalait (esim. FISA702 tai EO 12.333), joiden nojalla Yhdysvaltain hallitus voi päästä käsiksi kaikkiin Amazonin, Metan, Microsoftin, Googlen ja muiden suurten yhdysvaltalaisten teknologiayritysten tallentamiin tietoihin ilman todennäköisiä syitä tai yksittäisen tuomioistuimen hyväksyntää. Siksi Euroopan yhteisöjen tuomioistuin on todennut kahdesti(Schrems I ja Schrems II), että Yhdysvaltojen lainsäädäntö ei ole "olennaisesti vastaava". Ursula von der Leyen on kuitenkin vaatinut kolmannen EU:n ja Yhdysvaltojen välisen sopimuksen, transatlanttisen tietosuojakehyksen (Transatlantic Data Privacy Framework, TADPF ), hyväksymistä.
TADPF rakennettiin hiekalle. Euroopan komissio antoi 10.7.2023 täytäntöönpanopäätöksen (EU) 2023/1795, jolla TADPF hyväksyttiin virallisesti. Sen ansiosta kaikki EU:n yritykset voivat vapaasti siirtää tietoja yhdysvaltalaisille palveluntarjoajille Yhdysvaltojen valvontalaeista huolimatta. Euroopan komissio tukeutui Yhdysvaltain hallituksen (hyvin kyseenalaisiin) toimeenpanomääräyksiin tai kirjeisiin, mukaan lukien PCLOB, todetakseen, että Yhdysvallat on "olennaisilta osin vastaava". Nämä seikat eivät kuitenkaan näy Yhdysvaltojen säädöksissä ja kodifioidussa lainsäädännössä, koska Yhdysvaltojen kongressissa ei ollut enemmistöä, joka olisi voinut hyväksyä tällaisia lakeja. Pitkään kritisoitiin sitä, että Yhdysvaltain seuraava presidentti voisi tappaa nämä suojatoimenpiteet kynäniskulla. Tämä skenaario on nyt näköpiirissä. Euroopan komissio mainitsi päätöksessään PCLOBin peräti 31 kertaa selittääkseen, miksi Yhdysvalloissa on "olennaisilta osin vastaava" suoja. PCLOB on ainoa yleinen "valvontaelin", joka valvoo, noudattavatko Yhdysvaltojen yksiköt todella lakeja, määräyksiä ja muita lupauksia. Muut Yhdysvaltojen lainsäädännön osat, kuten erilaiset muutoksenhakumekanismit, edellyttävät, että kantaja toimii aktiivisesti. Yhdysvallat on perinteisesti estänyt pääsyn näihin elimiin erilaisten "standing" -sääntöjen avulla, mikä on johtanut siihen, että kanteita ei käytännössä koskaan ole hyväksytty. Tämä tarkoittaa, että PCLOB on ainoa asianmukainen valvontamekanismi, johon TADPF vetosi.
Max Schrems:"Tämä sopimus oli aina rakennettu hiekalle, mutta EU:n yrityslobbaus ja Euroopan komissio halusivat sitä joka tapauksessa. Vakaiden oikeudellisten rajoitusten sijaan EU suostui toimeenpaneviin lupauksiin, jotka voidaan kumota sekunneissa. Nyt kun Trumpin ensimmäiset aallot osuvat tähän sopimukseen, se heittää nopeasti monet EU:n yritykset oikeudelliseen limboon. PCLOB itsessään on vain yksi palapelin palanen, ja niin kauan kuin se ei vain väliaikaisesti toimi, voidaan väittää, että sopimus ei ole huonompi kuin ennen. Suunta, johon tämä on menossa Trumpin puheenjohtajakauden ensimmäisellä viikolla, ei kuitenkaan näytä hyvältä. Seuraamme tiiviisti, onko tämä väliaikainen ongelma vai tapetaanko PCLOB lopullisesti."
Toimeenpanevien elinten riippumattomuus kyseenalaistettu. Toisin kuin EU:n tietosuojaviranomaiset, useimmat Yhdysvaltojen valvontaelimet ovat toimeenpanovallan luomuksia eivätkä siten riippumattomia. Riippumattomuuden myöntää usein vain presidentti, mutta se voidaan kumota tai kumota milloin tahansa. Monet näistä oudoista oikeudellisista käsitteistä ovat seurausta rakenteellisesta kyvyttömyydestä hyväksyä varsinaista lainsäädäntöä Yhdysvalloissa. Sen sijaan kokonaisia oikeudenaloja säännellään pelkästään presidentin määräyksillä. Se, että Yhdysvaltain presidentti yrittää nyt yksinkertaisesti poistaa ihmisiä, asettaa kyseenalaiseksi sen, oliko ajatus (muka) "riippumattomista" toimeenpanevista elimistä edes asiallisesti perusteltavissa alusta alkaen. Monilla muilla TADPF:n osatekijöillä, kuten tietosuojan valvontatuomioistuimella, on vielä heikompi oikeussuoja kuin PCLOB:llä.
Max Schrems:"Näiden valvontamekanismien riippumattomuus herätti monia kysymyksiä. Valitettavasti näyttää siltä, että ne eivät ehkä kestä edes Trumpin puheenjohtajakauden ensimmäisiä päiviä. Tämä on ero vankan laillisen oikeussuojan ja toiveajattelun välillä. Euroopan komissio on luottanut yksinomaan jälkimmäiseen."
45 päivää seuraavaan kriittiseen kohtaan. Yhdessä ensimmäisistä toimeenpanomääräyksistä, jotka Trump allekirjoitti maanantaina, hän määritteli, että kaikki Bidenin kansalliset turvallisuuspäätökset (mukaan lukien asiaankuuluvat päätökset, joihin EU:n ja Yhdysvaltojen väliset siirrot nojaavat) on tarkistettava ja mahdollisesti romutettava 45 päivän kuluessa. Tämä tarkoittaa sitä, että TADPF:n tukeutuvat muut elementit voivat romahtaa päivien kuluessa. Koska koko sopimus perustuu Bidenin toimeenpanopäätöksiin, Trump voisi yhdellä allekirjoituksella romuttaa kaikki sopimuksen keskeiset osat - mikä johtaisi välittömästi laittomiin tiedonsiirtoihin EU:n ja Yhdysvaltojen välillä.
Max Schrems:"Voin tuskin kuvitella, että Bidenin toimeenpanopäätös, jonka EU pakotti Yhdysvaltoihin ja jolla säännellään Yhdysvaltojen vakoilua ulkomailla, voisi selvitä Trumpin "America First" -logiikasta. Ongelma on, että Yhdysvaltojen Big Techin lisäksi erityisesti tavalliset EU:n yritykset luottavat kaikki tähän epävakaiden toimeenpanomääräysten järjestelmään väittäessään, että Yhdysvaltojen pilvipalvelujärjestelmien käyttö on laillista EU:ssa."
Komissio manööveröi EU:n yrityksiä kohti kalliota. Kaikista tosiasioista ja Euroopan parlamentin ja EU:n tietosuojaviranomaisten kritiikistä huolimatta Euroopan komissio on johdonmukaisesti väittänyt, että TADPF on vankka ja järkevä. EU:n yrityslobbaus ajoi(i) sopimusta - olipa se kuinka epävakaa tai sekopäinen tahansa. Samoin Yhdysvaltain suuret teknologiayritykset halusivat pysyä EU:n markkinoilla ilman teknisiä rajoituksia, jotka koskevat Yhdysvaltain hallitusten pääsyä markkinoille. Nyt kaikki suurista pankeista, kokonaisista kansallisista koulujärjestelmistä moniin pieniin yrityksiin voivat herätä oikeudelliseen tilanteeseen, jossa yhdysvaltalaisten pilvituotteiden käyttö on pian laitonta.
EU:n ja Yhdysvaltojen välinen tiedonsiirto toistaiseksi laillista - mutta valmistautukaa. Yhdysvaltojen hallinnon päätös ei tee Yhdysvaltojen tiedonsiirroista välittömästi laittomia. Euroopan komission päätös on yleensä laillinen niin kauan kuin se on voimassa eikä komissio itse tai yhteisöjen tuomioistuin kumoa sitä. Vaikka aineellinen havainto osoittautuisi virheelliseksi, päätös on muodollisesti edelleen voimassa, kunnes se kumotaan. Jos keskeiset osatekijät, joihin EU on luottanut, eivät kuitenkaan toimi, EU:n on kumottava sopimus.
Max Schrems: "Vaikka EU:n ja Yhdysvaltojen välistä sopimusta koskevat perustelut näyttävät romahtavan, yritykset voivat luottaa sopimukseen niin kauan kuin sitä ei ole virallisesti kumottu. Yhdysvalloissa tapahtuneen kehityksen vuoksi on kuitenkin entistäkin tärkeämpää, että yrityksillä ja muilla organisaatioilla on 'isäntä Euroopassa' -varautumissuunnitelma."
Euroopan komissio vaikeassa tilanteessa. Euroopan komissio on joutunut vaikeaan tilanteeseen paitsi uskottavuuden kannalta myös diplomaattisesti. Jos se nyt reagoi nopeasti ja kumoaa TADPF:n, Yhdysvaltain teknologiaoligarkia huutaa, että EU "kusettaa" Yhdysvaltain suurten teknologiayritysten kanssa. Trumpin hallinto saattaa ottaa tämän syynä aloittaa ensimmäinen suuri taistelu EU:n kanssa. Ongelmalliselta vaikuttaa kuitenkin myös se, että ei ryhdytä toimiin eikä varoiteta virallisesti EU:n yrityksiä, julkisia elimiä ja muita organisaatioita, jotka lähettävät tietoja Yhdysvaltoihin. TADPF:n tulevaisuus voi olla hyvin lyhytikäinen.
EU:n versio Yhdysvaltain TikTok-keskustelusta? Yhdysvallat on pitkään vähätellyt eurooppalaisia pelkoja henkilötietojen siirtymisestä Yhdysvaltoihin ja niiden käytöstä massavalvonnassa, mutta yhtäkkiä se on kääntynyt ympäri, kun TikTok on kerännyt sen omia tietoja. Toisaalta kieltäminen tai yhdysvaltalaisen Big Techin pakollinen hankinta Euroopassa olisi oikeudellisesti mahdotonta. Yhdysvaltalaisia yrityksiä suojeltaisiin siltä, että EU säätäisi "TikTok-kieltoa" vastaavan säädöksen. Samaan aikaan EU:n lainsäädännössä on vuodesta 1995 lähtien ollut oletuksena velvollisuus pitää EU:n tiedot Yhdysvaltojen hallituksen ulottumattomissa. Se olisi laki myös sen jälkeen, kun Euroopan komissio kumoaa EU:n ja Yhdysvaltojen välisen sopimuksen. Yhdysvaltojen suurten teknologiayritysten olisi silloin suojattava EU:n tietokeskuksensa yhdysvaltalaisten emoyhtiöiden pääsyltä.
