Euroopan unionin tuomioistuin vastaanotti yksitoista Irlannin korkeimman oikeuden esittämää kysymystä. Euroopan unionin tuomioistuin muotoili kysymykset vapaasti ja käsitteli vain joitain niistä. Tämä UKK antaa yksinkertaisen yleiskuvan tuomiosta ja vastauksista. Siinä käsitellään olennaisimpia kysymyksiä, joita ihmisillä ja yrityksillä voi olla unionin tuomioistuimen tuomiosta.
(I) Tapauksen laajuus
Mihin EU: n ja Yhdysvaltojen tiedonsiirtoihin tämä tapaus ei vaikuta?
Yksinkertaisesti sanottuna: Tämä ei vaikuta henkilötietojen tarpeellisiin siirtoihin.
Tämä tapaus koskee lähinnä henkilötietojen käsittelyn vapaaehtoista "ulkoistamista" Yhdysvaltoihin.
Tapaus ei koske (1) tietoja, jotka eivät ole ”henkilötietoja”; ja (2) "välttämättömät" tiedonsiirrot Yhdysvaltoihin (esim. sähköpostit Yhdysvaltoihin, varaukset Yhdysvalloissa jne.) - useimmissa tapauksissa nämä siirrot hyötyvät GDPR: n 49 artiklassa tarkoitetusta "luopumisesta".
Siksi tämä tapaus ei tarkoita sitä, ettei voi lähettää sähköposteja tai viestejä EU: sta Yhdysvaltoihin. Kaikki väitteet, jotka viittaavat tähän, ovat yksinkertaisesti virheellisiä.
Tästä huolimatta monien EU: n yritysten on edelleen tarkistettava ulkoistamiskäytäntönsä, jos heillä on yhdysvaltalaisten palveluntarjoajien käsittelemiä henkilötietoja. Näiden tietojen vastaanottajien on myös suoritettava samanlainen tarkistus Yhdysvalloissa, jos heihin sovelletaan Yhdysvaltojen asiaankuuluvien valvontalakien, kuten FISA 702: n, velvoitteita.
Mitä eroa on käsittelyn "ulkoistamisella" ja ehdottoman välttämättömillä tiedonsiirroilla Yhdysvaltoihin, mukaan lukien sähköpostiviestien lähettäminen, hotellivaraukset tai liiketapahtumat?
" Tarvittavat " tiedonsiirrot : Useimmissa tapauksissa, joissa tietoja on siirrettävä Yhdysvaltoihin (esim. Hotellin varaus, sähköpostin lähettäminen jollekin Yhdysvalloissa, tavanomaiset liiketoimet EU: n ja Yhdysvaltojen välillä jne.), Poikkeukset (poikkeukset) sovelletaan GDPR: ää. Tällaiset tiedonsiirrot ovat sallittuja riippumatta muiden tiedonsiirtoon käytettyjen oikeudellisten välineiden, kuten vakiosopimuslausekkeiden (SCC), yksityisyyden suojan tai sitovien yrityssääntöjen (BCR), pätevyydestä.
Ulkoistaminen : ulkoistaminen tarkoittaa, että henkilötietoja säilytetään vain Yhdysvalloissa, koska niiden tallentaminen yhdysvaltalaisen palveluntarjoajan kanssa on helpompaa, halvempaa tai käytännöllisempää kuin Euroopassa, vaikka tietoja voitaisiin teknisesti tallentaa EU: n / ETA: n sisällä. Tässä ei yleensä ole yleistä poikkeusta (”poikkeusta”) GDPR: n 49 artiklan nojalla tietojen siirtämisestä Yhdysvaltoihin. Sen sijaan on käytettävä SCC: n, Privacy Shieldin tai BCR: n kaltaista oikeudellista välinettä, mutta unionin tuomioistuin voi julistaa nämä instrumentit kelpaamattomiksi tai olla käyttökelvottomia tietyissä tilanteissa. Tänään Privacy Shield julistettiin mitättömäksi. Lisäksi Facebook ja muut Yhdysvaltain valvonnassa olevat yhdysvaltalaiset yritykset eivät voi käyttää SCC: itä.
Koskeeko tämä tapaus tiedonsiirtoa muihin maihin kuin Yhdysvaltoihin?
Tapaus ei koske suoraan tällaisia siirtoja.
Tapaus aiheuttaa kuitenkin välillisiä seurauksia. Yritysten on tarkasteltava EU: n ulkopuolisissa maissa todellista suojaustasoa paljon tarkemmin kuin aikaisemmin. Esimerkiksi valvontalakien kanssa ristiriidalla valvontalakien kanssa on yhtä suuri merkitys Kiinan tai Venäjän kaltaisten maiden lakien suhteen.
(II) Seuraukset kuluttajille
Voivatko EU: n / ETA: n kuluttajat edelleen käyttää Yhdysvaltain (tai muun kolmannen maan) palveluja suoraan?
Käytännössä käyttäjät voivat vapaasti lähettää omia henkilötietojaan tietoisesti suoraan kolmanteen maahan, esimerkiksi käyttäessään kiinalaista verkkosivustoa.
Ei ole kuitenkaan mahdollista jakaa suoraan muiden ihmisten (esim. Ystävien, työtovereiden) tietoja yhdysvaltalaisen palveluntarjoajan kanssa, ellet ole saanut heidän vapaasti antamaansa, tarkkaa, tietoista ja yksiselitteistä suostumustaan tekemään niin.
Voivatko EU: n / ETA: n kuluttajat edelleen käyttää USA: n (tai muun kolmannen maan) palveluja epäsuorasti (EU: n tytäryhtiön kautta)?
Monissa tapauksissa EU / ETA-käyttäjillä on sopimus yhdysvaltalaisen yrityksen EU: n tytäryhtiön kanssa. Esimerkkejä ovat Google Ireland, Facebook Ireland, Microsoft Luxembourg tai Amazon Luxembourg.
Näissä tapauksissa EU: n yritykset ovat vastuussa siitä, että "yrityksen sisäiset" henkilötietovirrat Yhdysvaltoihin ovat GDPR-yhteensopivia. Yritysten on nyt tarkasteltava tarkasti kaikkia tällaisia tietovirtoja ja sitä, tarvitseeko ne isännöidä tietoja Euroopassa vai missä tahansa muussa maassa, joka tarjoaa paremman yksityisyyden suojan, sen sijaan, että ne siirrettäisiin Yhdysvaltoihin yritykselle, joka seuraa Yhdysvaltain valvonnassa.
(III) Seuraukset yrityksille
Voivatko EU: n / ETA: n yritykset edelleen siirtää "tarpeellisia" henkilötietoja Yhdysvaltoihin?
Useimmissa tapauksissa: Kyllä.
GDPR: n 49 artiklassa on luettelo poikkeuksista, jotka sallivat tällaisen tiedonsiirron. Tämä kattaa yleensä tilausten tekemisen Yhdysvalloissa sijaitsevilta yrityksiltä, varausten tekemisen Yhdysvaltain hotelleista, sähköpostiviestien lähettämisen Yhdysvaltoihin ja yleensä kaiken palvelun tarjoamisen, joka loogisesti tarvitsee EU: n ja Yhdysvaltojen välisen tiedonsiirron. Tällaiset siirrot eivät ole osa tapausta, eikä tuomio vaikuta niihin.
Voivatko EU / ETA-yritykset jatkaa "ulkoistamista" henkilötietojen käsittelylle Yhdysvaltoihin?
Useimmissa tapauksissa: Luultavasti ei.
Yleisimmin käytetyt yhdysvaltalaiset tietojenkäsittelijät kuuluvat myös Yhdysvaltain valvontalakeihin, kuten FISA 702, joka vaatii heitä luovuttamaan henkilötietoja Yhdysvaltain hallitukselle ilman riittävää suojaa. Tietojen siirtäminen käsittelijöille tällaisten velvoitteiden mukaisesti rikkoo GDPR: ää, jonka unionin tuomioistuin on määritellyt.
Voivatko EU / ETA-yritykset jatkaa henkilötietojen ulkoistamista muissa maissa kuin Yhdysvalloissa?
Kyllä, jos maassa ei ole ristiriitaisia lakeja.
Tapaus ei muuta tiedonsiirron GDPR-sääntöjä. Kuten aikaisemmin, jokaisen EU-yrityksen on tarkistettava, onko kolmannessa maassa lakeja, jotka saattavat syrjäyttää EU: n tietosuojalainsäädännön. Tällaisissa tapauksissa henkilötietoja ei voida ulkoistaa kyseiseen kolmanteen maahan.
Esimerkiksi, jos henkilötietojen käsittely ulkoistetaan maahan A, EU: n rekisterinpitäjän on varmistettava, että vastaanottajalla on tarvittavat järjestelyt, mutta myös, että maassa A ei ole ristiriitaista lakia, joka ohittaa nämä järjestelyt.
Ovatko kaikki tiedonsiirrot EU: sta / ETA: sta Yhdysvaltoihin nyt kiellettyjä?
Ei, ei lainkaan - kahdesta syystä:
- Suurin osa tiedonsiirroista ei sisällä ”henkilötietoja”, vaan jonkin muun tyyppisiä tietoja. Tällaista tiedonsiirtoa ei edes säännellä GDPR: ssä.
- Suurin osa henkilötietojen ”välttämättömistä” tiedonsiirroista (esim. Sähköpostin, viestin tai hotellivarauksen lähettäminen) kuuluu edelleen 49 artiklan mukaisen vapautuksen piiriin. Nämä siirrot voivat jatkua tuomion jälkeen, eivätkä ne vaikuta niihin.
Koskeeko tapaus kaikkia Yhdysvaltoja vastaanottajia EU: ssa?
Ei. Sillä on merkitystä vain yrityksille, joihin sovelletaan Yhdysvaltain valvontalakeja, tai yrityksille, jotka käyttävät palveluntarjoajia, jotka kuuluvat Yhdysvaltain valvontalakien piiriin.
Esimerkiksi FISA 702 koskee vain ”sähköisten viestintäpalvelujen tarjoajia”. Teollisuuden, kuten pankkien, lentoyhtiöiden, hotellien, varustamojen, tavaroiden myynnin ja vastaavien, ei yleensä katsota kuuluvan näihin lakeihin. Näistä ehdoista ja Yhdysvaltain laista on kuitenkin jonkin verran epäselvyyttä. Yhdysvaltojen hallituksen selvitys näyttää tarpeelliselta.
Käytännössä pankki (jota FISA ei kata) voi kuitenkin itse käyttää ”sähköisen viestinnän palveluntarjoajaa” (jota FISA kattaa). Tämä tarkoittaa, että pankin tietoihin pääsee ”sähköisen viestinnän palveluntarjoajan” kautta. Tai se voi siirtää väärin salattuja tietoja, mikä esimerkiksi sallisi tietojen "napauttamisen" samalla kun ne lähetetään vedenalaisten kaapeleiden yli (kuten EO 12.333 sallii). Sellaisenaan koko tietovirta on arvioitava.
Kuinka unionin tuomioistuimen päätös voidaan panna täytäntöön käytännössä?
Tuomion jälkeen yritysten on tarkasteltava erikseen, jos heidän on muutettava käytäntöjään. Heillä on velvollisuus lopettaa laiton tiedonsiirto. Tämä ei ole mitään uutta. "Safe Harbor" -tuomion jälkeen monet EU: n yritykset siirtyivät Yhdysvaltain palveluntarjoajista.
Yritysten, jotka nyt siirtävät tietoja laittomasti yhdysvaltalaisille vastaanottajille, on lopetettava kaikki tällaiset siirrot mahdollisimman nopeasti, jotta vältetään jopa 20 miljoonan euron tai 4 prosentin sakot GDPR: n mukaisten sakkojen perusteella. Kansallisilla tietosuojaviranomaisilla on vastuu näiden seuraamusten täytäntöönpanosta.
EU: n yritysten käyttäjät voivat pyytää näitä yrityksiä lopettamaan henkilötietojensa siirtämisen Yhdysvaltoihin. Jos yritykset eivät noudata näitä pyyntöjä, käyttäjät voivat tehdä valituksen tietosuojaviranomaiselle tai nostaa kanteen paikallisessa tuomioistuimessa. Tämä voi johtaa alustaviin kieltokanteisiin ja / tai henkisiin vaurioihin. Monissa EU-maissa kuluttajaryhmät, työvoimaneuvostot ja muut elimet voivat myös tehdä ryhmäkanteita tai ryhmäkanteita, jos yritys jatkaa henkilötietojen siirtämistä ilman laillista perustaa.
Mitä EU / ETA-yritykset voivat tehdä?
Yritysten on arvioitava, onko heidän henkilötietojenkäsittelynsä ulkoistettava yhdysvaltalaisille käsittelijöille. Jos näin tapahtuu, heidän on yksilöitävä tiedonsiirron oikeusperusta (esim. Poikkeukset yleisen tietosuoja-asetuksen 49 artiklaan, vakiomuotoisiin tietosuojasopimuksiin, Privacy Shield tai BCR).
Suurin osa Yhdysvaltain pilvipalvelujen tarjoajista luokitellaan "sähköisen viestinnän palveluntarjoajiksi", ja siksi ne kuuluvat Yhdysvaltojen asiaankuuluvien valvontalakien, kuten FISA 702, alaisuuteen.
Vaikka useimmat muut teollisuudenalat eivät kuulu näiden lakien soveltamisalaan, ne voivat käyttää "sähköisten viestintäpalvelujen tarjoajia", jotka tosiasiassa antavat epäsuoran pääsyn tietoihin. Myös muut valvontavälineet, kuten EO 12.333, on otettava huomioon. EO 12.333 sallii "valvonnan kuljetuksen aikana", kuten pääsyn tietoihin, joita ei ole asianmukaisesti salattu, kun ne kulkevat transatlanttisten kaapeleiden yli.
Jos yritykset eivät pysty käyttämään mitään siirron sallivista oikeudellisista välineistä, kuten GDPR: n 44–50 artiklassa säädetään, yritysten on siirrettävä kaikki asiaankuuluvat henkilötiedot takaisin EU / ETA-alueelle ja löydettävä henkilötietojen käsittelijä EU: sta / ETA: sta tai mistä tahansa muusta muu maa, jossa taataan riittävä henkilötietojen suoja.
Mitä yhdysvaltalaiset yritykset voivat tehdä?
Yhdysvaltain yritysten on tarkistettava, ovatko heihin tai heidän alihankkijoihinsa sovellettavia Yhdysvaltain valvontalakeja ja onko niiden tiedonsiirto salattu tasolle, joka varmistaa, ettei "napauttaminen" siirron aikana ole mahdollista. Tarkastelun jälkeen heidän on ilmoitettava EU / ETA-asiakkailleen, jos tuomio vaikuttaa heidän henkilötietojensa käsittelyyn.
Pitkällä aikavälillä voi olla suositeltavaa siirtää tietty käsittely Yhdysvalloista tai puhua vaaleilla valittujen edustajien kanssa siitä, mitä Yhdysvaltain valvontalakeilla on USA: n yritysten mahdollisuuksista harjoittaa liiketoimintaa ulkomaisten asiakkaiden kanssa. Toivomme myös, että yhdysvaltalaiset yritykset keskustelevat Yhdysvaltain lainsäätäjän kanssa heidän kansainvälisille asiakkailleen tarjotun suojan puutteesta.
(IV) POLIITTISET VAIKUTUKSET
Kuinka Yhdysvaltain valvontalakien ja EU: n tietosuojalakien välinen ristiriita voidaan ratkaista pitkällä aikavälillä?
Jos Yhdysvallat haluaa säilyttää asemansa tärkeimpänä IT-palvelujen tarjoajana maailmassa, Yhdysvaltain valvontalakeja on uudistettava pikaisesti. Yhdysvaltojen on otettava käyttöön perustason yksityisyyden suoja, joka on vähintään vastaava kuin Yhdysvaltain kansalaisille jo myönnetty. Muuten on hyvin epätodennäköistä, että ulkomaiset asiakkaat jatkavat Yhdysvaltain palveluntarjoajien käyttöä.
Heti kun Yhdysvaltain valvontalakeja uudistetaan tällä tavoin, EU: n yritykset voivat jatkaa tietojen siirtämistä uudelleen EU: n ja Yhdysvaltojen välillä ja Euroopan komissio voi antaa uusia vakaita välineitä tämän mahdollistamiseksi.
Kuinka EU: n ja Yhdysvaltojen tiedonsiirto voisi jatkua tulevaisuudessa?
Ytimessä kohtaamme ristiriitaa EU: n yksityisyyden suojaa ja Yhdysvaltain valvontalakia koskevissa asioissa: EU: n lait edellyttävät henkilötietojen suojaa, kun taas Yhdysvaltojen lait vaativat valvontaa.
Oikeus yksityisyyteen ja tietosuojaan ovat perusoikeuksia Euroopassa, kuten EU: n perusoikeuskirjan 7 ja 8 artiklassa vahvistetaan. Kaikkien 27 jäsenvaltion olisi sovittava yksimielisesti kaikista perusoikeuksien muutoksista. Euroopan komissio on yrittänyt hyväksyä poikkeuksia, kuten "Safe Harbor" ja "Privacy Shield", mutta ilman Yhdysvaltojen valvontalakien tarvittavaa uudistusta, nämä eivät jatkuvasti täytä EU: n perusoikeuksia. Tuloksena ovat tämän kaltaiset päätökset, mikä tekee poikkeuksista pätemättömät.
Yhdysvallat otti vuonna 2008 käyttöön kauaskantoisia valvontalakeja muille kuin yhdysvaltalaisille henkilöille. Jos Yhdysvallat kumoaisi nämä valvontalainsäädännöt tai takaisi muille kuin yhdysvaltalaisille samat suojelut kuin yhdysvaltalaisille henkilöille, olisi erittäin tärkeää. todennäköisesti Yhdysvaltoja pidetään maana, joka varmistaa henkilötietojen "riittävän suojan" EU: n lainsäädännön mukaisesti, jos asianmukainen oikeussuoja on käytettävissä.
Voiko EU yksinkertaisesti tehdä toisen päätöksen, jos Privacy Shield mitätöidään?
Teoriassa Euroopan komissio voisi (tietoisesti) tehdä toisen pätemättömän päätöksen, jos unionin tuomioistuin mitätöi "Privacy Shieldin". Ottaen huomioon, että ongelma on Yhdysvaltojen lainsäädännössä, tämä johtaisi todennäköisesti oikeudelliseen haasteeseen, joka johtaisi siihen, että myös Euroopan unionin tuomioistuin mitätöisi uuden päätöksen. On hyvin epätodennäköistä, että tämä olisi poliittisesti hyväksyttävää. Yritykset tarvitsevat myös oikeudellisesti vakaan ratkaisun.
Tämä tuomio ja edellinen "turvallista satamaa" koskeva tuomio perustuvat molemmat perusoikeuskirjaan. Kaikkien 27 EU: n jäsenvaltion yksimielinen sopimus edellyttäisi EU: n perussopimusten muuttamista, jotta Euroopan komissio voisi antaa laillisesti perustellun tiedonsiirtopäätöksen EU: n ja Yhdysvaltojen välisistä siirroista.
Ratkaisu on siis Yhdysvaltain lainsäätäjän käsissä, jonka on mukautettava tai palautettava nykyisiä Yhdysvaltain valvontalakeja.
Eikö tämä ole vain EU: n protektionismi?
Ei . Tämä asia on tosiasiassa nostettu Euroopan komissiota vastaan. EU: n lainsäädäntö sallii monia vaihtoehtoja kansainväliselle tiedonsiirrolle - kunhan yksityisyyden suojaa noudatetaan perustasolla.
Todellisuudessa EU: n poliittinen osasto (Euroopan komissio ja jäsenvaltiot) tukee EU: n ja Yhdysvaltojen välisiä tiedonsiirtoja, mutta Euroopan unionin tuomioistuin on aiemmin herättänyt epäilyjä näiden Yhdysvaltojen kanssa tehtyjen sopimusten laillisuudesta, kun otetaan huomioon EU: n perusoikeuksien mahdollinen loukkaaminen. Myös Euroopan parlamentti on herättänyt epäilyjä näistä sopimuksista.
Vertaamalla Yhdysvaltojen yrityksiin sovellettavaa yksityisyyden suojaa EU: n sisäiseen GDPR: ään on selvää, että yhdysvaltalaiset yritykset pääsevät EU: n suurille markkinoille noudattamalla paljon heikompia sääntöjä kuin EU: n yritysten on noudatettava. Tämä antaa yhdysvaltalaisille yrityksille kilpailuedun.
