Maanantaina Yhdysvaltain korkein oikeus päätti asiassa Trump v. Slaughter, että Yhdysvaltain liittovaltion kauppakomissio (”FTC”) ei ehkä ole enää riippumaton. Vuodesta 2000 lähtien EU on luottanut ”riippumattomaan” FTC:hen EU:n ja Yhdysvaltain välisten henkilötietosopimusten täytäntöönpanijana. EU:n perussopimusten mukaan tällaisen valvonnan on oltava riippumatonta. Nykyisessä EU:n ja Yhdysvaltojen välisessä sopimuksessa Euroopan komissio viittaa riippumattomaan FTC:hen peräti 259 (!) kertaa. Max Schrems: ”Koska Yhdysvalloissa ei enää ole riippumattomia viranomaisia, kehotamme Euroopan komissiota peruuttamaan asianmukaisesti Yhdysvaltoja koskevan riittävyyspäätöksen.”
- Komission täytäntöönpanopäätös EU 2023/1795 EU:n ja Yhdysvaltojen välisestä tietosuojakehyksestä (EUR-Lex)
- Yhdysvaltain korkeimman oikeuden päätös asiassa Trump v. Slaughter
- noyb Kirje Euroopan komissiolle
EU:n ja Yhdysvaltojen välinen tietosuojakehys. Vuodesta 1995 lähtien EU on yleisesti kieltänyt henkilötietojen siirron kolmansiin maihin varmistaakseen, että EU:n tietosuojasääntöjä ei voida kiertää yksinkertaisesti lähettämällä tietoja ulkomaille. Vaikka välttämättömiä siirtoja varten on poikkeuksia, jotka ulottuvat hotellivarauksista monimutkaisiin liiketoimiin, monet EU-yritykset ovat yksinkertaisesti ulkoistaneet henkilötietojen käsittelyn yhdysvaltalaisille pilvipalveluntarjoajille. Vuodesta 2000 lähtien Euroopan komissio on toistuvasti katsonut, että Yhdysvallat on henkilötietojen suojan kannalta ”riittävä” maa – mikä on mahdollistanut vapaan tietoliikenteen EU:n ja Yhdysvaltojen välillä. Euroopan unionin tuomioistuin (CJEU) kumosi komission kaksi aiempaa päätöstä niin sanotussa ””Schrems I”-päätöksessä (joka kumosi ”Safe Harbour” -sopimuksen) ja ”Schrems II”-päätös (joka kumosi ”Privacy Shield” -järjestelyn), johtuen Yhdysvaltojen valvontalakeista ja oikeussuojakeinojen puutteesta Yhdysvalloissa. Siitä huolimatta Euroopan komissio julkaisi vuonna 2023 kolmannen EU–Yhdysvallat-sopimuksen, nimeltään ”EU:n ja Yhdysvaltojen tietosuojakehys”, joka oli suurelta osin kopio aiemmin mitätöidyistä sopimuksista.
EU:n vaatimus riippumattomasta tietosuojaviranomaisesta. EU:nperussopimuslainsäädäntö (eli EU:n ”perustuslaillinen” kehys), nimittäin SEUT-sopimuksen 16 artiklan 2 kohta ja perusoikeuskirjan 8 artiklan 3 kohta, edellyttävät, että tietosuoja-asioiden valvonta on annettava ”riippumattoman” viranomaisen tehtäväksi. Koska kolmansilla mailla on oltava ”olennaisesti vastaava” suojan taso, on välttämätöntä, että jokainen kolmas maa, joka haluaa hyötyä henkilötietojen vapaasta liikkuvuudesta EU:sta, tarjoaa myös tällaisen suojan. Tähän mennessä Yhdysvallat on nimittänyt ”riippumattoman” FTC:n Yhdysvaltain tietosuojaviranomaiseksi täyttääkseen EU:n vaatimuksen riippumattomasta valvonnasta. EU puolestaan on vedonnut FTC:hen peräti 259 (!) kertaa EU:n ja Yhdysvaltain välistä tietojen siirtoa koskevassa päätöksessään.
Max Schrems: ”Ratkaisevaa on, että EU:n perustuslaillinen kehys edellyttää riippumatonta valvontaa. Ainoa tapa muuttaa tätä olisi kaikkien EU:n jäsenvaltioiden yksimielinen päätös EU:n perussopimusten muuttamisesta.”
Vaatimus riippumattomasta tuomioistuimesta. LisäksiEU:n tuomioistuin korosti, että Yhdysvaltojen olisi tarjottava riippumaton oikeussuojakeino hallituksen suorittaman valvonnan osalta. Koska Yhdysvallat ei kyennyt hyväksymään asiaa koskevaa lainsäädäntöä, Bidenin hallinto perusti ”tietosuojan tarkastuslautakunnan”. Vaikka sitä kutsutaan ”tuomioistuimeksi”, se on itse asiassa Yhdysvaltain oikeusministeriön alainen toimeenpaneva elin. Se on ”riippumaton” ainoastaan entisen presidentin Bidenin antaman (EO) kautta, jota Trump voi muuttaa milloin tahansa ja joka ei sido presidenttiä.
”Slaughter”-päätös: Yhtenäinen (Trumpin) toimeenpanovalta. Tehdessään180 asteen käännöksen aiempaan oikeuskäytäntöön Yhdysvaltain korkeimman oikeuden konservatiivinen enemmistö on nyt päättänyt, että FTC:n riippumattomuus on perustuslain vastaista. Tämä perustuu ”yhtenäisyysteoriaan”, jonka mukaan Yhdysvaltain presidentillä on oltava valta kaikkiin Yhdysvaltain toimeenpanoviranomaisiin ja julisti perustuslain vastaisiksi kaikki Yhdysvaltain lait, jotka antavat eri virastoille itsenäisyyden. Koska EU on lähes kaikissa tapauksissa tukeutunut FTC:n ”itsenäisyyteen” tietosuojan valvojana, koko EU:n ja Yhdysvaltain välisen tietosuojakehyksen rakenne on juuri romahtanut.
Max Schrems: ”Jopa Euroopan komission logiikan mukaan kaiken EU:n ja Yhdysvaltojen välisen tietojen siirron perustana oleva sopimus on menettänyt merkityksensä. Kehotamme komissiota aloittamaan järjestäytyneen irtautumisen Yhdysvaltojen pilvipalveluista – mikä ei ole helppoa, mutta valitettavasti väistämätöntä. Komissio rakensi teollisuuden painostuksesta oikeudellisen korttitalon, ja nyt kun se selvästi romahtaa, sen on otettava vastuu.”
Vaikutus ei ole rajaton. VaikkaEU:n päätöksen koko perusta on kadonnut, Euroopan komission päätös on muodollisesti voimassa, kunnes joko Euroopan komissio kumoaa sen tai unionin tuomioistuin julistaa sen pätemättömäksi. Sillä ei siis ole välitöntä vaikutusta. GDPR säänteli myös vain henkilötietojen siirtoa. Muut kuin henkilötiedot voivat liikkua vapaasti. Lisäksi GDPR:n 49 artikla sallii tarvittavat tietojen siirrot mihin tahansa kolmanteen maahan. Se ei kuitenkaan salli tietojen rakenteellista siirtämistä EU:n ulkopuolelle, ellei se ole ehdottoman välttämätöntä.
Myös vakiolausekkeet (SCC) ja sitovat yrityssäännöt (BCR) ovat vaikutuksen alaisia. Vaikka jotkut yritykset eivät ehkä suoraan nojaudu EU:n ja Yhdysvaltojen väliseen puitesopimukseen vaan käyttävät muodollisesti vakiolausekkeita ja sitovia yrityssääntöjä, ne yleensä nojaavat myös ”vaikutustenarviointiin”, joka puolestaan perustuu aiemmin riippumattomiin yhdysvaltalaisiin toimeenpaneviin elimiin, kuten PCLOB:iin tai tietosuojan tarkastuslautakuntaan. Yhdysvaltain korkeimman oikeuden päätös vaikuttaa siten yleensä myös niihin, vaikka ne eivät tukeutuisi FTC:hen. Toisin kuin rekisterinpitäjät, jotka tukeutuvat komission viralliseen päätökseen, niiden on välittömästi päivitettävä arviointinsa – ja loogisesti tultava siihen johtopäätökseen, että tietojen siirrot eivät ole enää laillisia.
Seuraavat askeleet: Komission on kumottava EU:n ja Yhdysvaltojen välinen sopimus. noyb on lähettänyt virallisen kirjeen Euroopan komissiolle ja pyytänyt komissiota ryhtymään tarvittaviin toimenpiteisiin EU:n ja Yhdysvaltojen välisen tietosuojasopimuksen kumoamiseksi hallitusti. Poliittisesti monet EU:n jäsenvaltiot ovat jo siirtyneet kohti ”digitaalista suvereniteettia” ja ilmoittaneet irtautuvansa yhdysvaltalaisista palveluntarjoajista. Myös jotkut yhdysvaltalaiset palveluntarjoajat ovat siirtymässä erilliseen EU:n sisäiseen tietojenkäsittelyyn. Koska Yhdysvallat kuitenkin edelleen painostaa EU:ta voimakkaasti henkilötietojen siirron jatkamiseksi, noyb aikoo myös nostaa kanteen lähiviikkoina, jotta EU:n tuomioistuin voisi kumota nykyisen sopimuksen. Tällaisen kanteen käsittely kestää kuitenkin yleensä 2–3 vuotta, ennen kuin lopullinen päätös tehdään.
