Valmistellessamme julkisasiamiehen ei-sitovaa neuvoa-antavaa lausuntoa 19. joulukuuta klo 9.45 Luxemburgissa, olemme laatineet seuraavan valmisteluasiakirjan. Asia on vireillä 6,5 vuotta, ja siinä käsitellään monimutkaisia EU: n yksityisyyden suojaa ja Yhdysvaltojen valvontaa koskevia lakeja, ja sitä käsiteltiin neljä kuulemista eri tuomioistuimissa. Siksi se on erittäin monimutkainen.
I. Tapauksen tausta
Yhdysvaltain valvonta. Kuten Edward Snowdenin ilmoitukset vahvistivat, monet suuret yhdysvaltalaiset Internet-yritykset (tässä tapauksessa Facebook) joutuvat antamaan Yhdysvaltain hallitukselle luvan päästä Yhdysvaltojen hallitukseen pääsemään eurooppalaisiin käyttäjätietoihin laajamittaisesti "ulkomaisen tiedustelun" tarkoituksiin (mukaan lukien terrorismin ja vakoilun torjunta) ). Tällainen käyttö eurooppalaisten tieto voi hyvinkin olla vastoin kansallista etua EU: n ja sen jäsenvaltioiden (esimerkiksi valvoessaan Yhdysvaltain pakotteet EU: n yrityksiä tai vakoilee unionin kansalaisten ja hallitusten).
Vuoden 2015 Safe Harbor -tapaus. Näiden tosiseikkojen perusteella herra Schrems jätti valituksen Facebookia vastaan Irlannin tietosuojavaltuutetulle (DPC) vuonna 2013. DPC hylkäsi ensin valituksen " kevytmielisenä ja pahantahtoisena ". Herra Schrems valitti DPC: stä ja voitti lopulta: Tällöin C-362/14 Schrems , Euroopan unionin tuomioistuin ("Euroopan unionin tuomioistuin", EU: n korkein oikeus), vahvisti näkemyksensä ja katsoi, että joukkotarkkailu rikkoo Euroopan perustavanlaatuista valvontaa oikeuksia. Euroopan unionin tuomioistuin kaataa aiemman Safe Harbor -järjestelmän, joka helpotti EU: n ja Yhdysvaltojen välisiä tiedonsiirtoja. Tämä järjestelmä korvattiin kiireellisesti "Privacy Shield" -järjestelmällä vuonna 2016. Schrems: " Privacy Shield on päivitetty versio laittomasta" Safe Harbor "-palvelusta. Mitään Yhdysvaltain valvontalakia ei muutettu tai korjattu . "
Vakiosopimuslausekkeet (”SCC”). Kun ensimmäinen unionin tuomioistuimen päätöstä ”Safe Harbor”, Facebook väitti se ei käytä ”Privacy Shield” mutta niin sanottu ” mallisopimuslausekkeilla ” (SCC).
SCC: t ovat sopimus EU: n yrityksen (täällä Facebook Ireland) ja EU: n ulkopuolisen yrityksen (täällä Facebook Inc, Kaliforniassa) välillä, jossa ulkomainen yritys sitoutuu kunnioittamaan eurooppalaisten yksityisyyttä. Lain mukaan tällaiset sopimukset suojaavat riittävästi eurooppalaisia tietoja ulkomaille siirrettäessä.
Ydinongelma: EU: n tietosuojalainsäädäntö on ristiriidassa Yhdysvaltain valvontalain kanssa. EU: n tietosuojalakien (”GDPR”) ja SCC: n mukaan ” tietojen vienti ” kolmanteen maahan on laillista vain, jos vientiyritys (tässä tapauksessa Facebook Ireland Ltd) voi varmistaa ”riittävän suojan” Yhdysvalloissa. Käytännössä tämä osoittautui mahdottomaksi, koska Yhdysvaltain valvonta lakeja (kuten FISA 702 ja EO 12,333) tuloksena Yhdysvaltain hallituksen ”massa käsittely” henkilötietojen käyttö valvontatarkoituksiin. Schrems: ” Yksinkertaisesti sanottuna: EU: n laki vaatii yksityisyyttä, kun taas Yhdysvaltojen laki vaatii joukkovalvontaa. Kysymys kuuluu, mitä tapahtuu, kun EU-yritys noudattaa Yhdysvaltojen eikä EU: n lakia? ”
Irlannin DPC: n soveltama herra Schrems & Reaction. Ottaen huomioon yllä oleva tilanne ja unionin tuomioistuimen tuomio Safe Harbor -tapauksessa, Schrems pyysi Irlannin DPC: tä vuonna 2015 käyttämään SCC: n 4 artiklaa, jonka mukaan DPC voi määrätä Facebookin "keskeyttämään" tiedonsiirron yksittäistapauksissa. Vaikka DPC oli nyt samaa mieltä herra Schremsin kanssa siitä, että Yhdysvaltain valvontalaki rikkoo EU: n lakia, ne eivät ryhtyneet suoriin toimiin. Schrems: ” Pyysimme kohdennettua ratkaisua vain yrityksille, jotka kuuluvat näiden valvontalakien piiriin. DPC olisi voinut tehdä tällaisen päätöksen päivässä . "
Irlannin DPC haluaa mitätöidä SCC: t. DPC ei kuitenkaan noudattanut herra Schremsin pyyntöä, vaan nosti Facebookia ja herra Schremsiä vastaan oikeudenkäynnin Irlannin korkeimmassa oikeudessa tavoitteenaan viedä asia takaisin unionin tuomioistuimen käsiteltäväksi - tällä kertaa SCC: n pätevyydestä. Irlannin korkein oikeus on täyttänyt DPC: n pyynnön ja lähettänyt yksitoista kysymystä unionin tuomioistuimelle Schremsin ja Facebookin vastustuksesta huolimatta (jotka molemmat vastustivat viittausta eri syistä). Gerard Rudden ( ARQ Solicitorista , edustaja Schrems): " Asiakkaani pyysi kohdennettua ratkaisua yrityksille, jotka kuuluvat Yhdysvaltain joukkovalvontalain alaisuuteen. DPC olisi voinut tehdä tällaisen päätöksen kauan sitten . Sen sijaan seitsemän vuoden ja kahden asian lähettämisen jälkeen Euroopan unionin tuomioistuimeen meillä ei vieläkään ole virallista päätöstä DPC: ltä. ”
noyb.eu & Legal Team Herra Schrems on nostanut tämän tapauksen pro bono -periaatteella, ja häntä tukee joukko asianajajia Irlannista, Yhdysvalloista ja Luxemburgista. Tapausta tukee myös eurooppalainen voittoa tavoittelematon järjestö noyb.eu , jonka kunniapuheenjohtaja hän on myös. Herra Schremsiä edustaa Eoin McCullhan, Ahern Rudden Quigley Solicitorsin ohjeistamana. Professori Herwig Hofmann tuki tapausta, joka koski eurooppalaista oikeutta. Ashley Gorski Yhdysvaltain kansalaisvapausliitosta ( ACLU.org ) on avustanut asiantuntijana Yhdysvaltain valvontalainsäädännössä.
II. Mahdolliset tulokset
AG: n lausunnon ja lopullisen tuomion välinen ero on erittäin todennäköinen. Tapaus nosti esiin yksitoista osittain toisiinsa liittyvää kysymystä, joihin liittyi monia muita kysymyksiä. Toisin kuin monissa muissa tapauksissa, binäärivastausta ei ole odotettavissa. Lausunto ja lopullinen tuomio voivat molempia laajentaa joissakin kysymyksissä ja olla hiljaa muista asioista. Schrems: ” Tässä tapauksessa on yksitoista toisiinsa liittyvää kysymystä. On hyvin epätodennäköistä, että saisimme julkisasiamieheltä yhden selkeän kyllä tai ei vastauksen. Monien vaihtoehtojen vuoksi on vielä vähemmän todennäköistä, että tuomarit lähestyvät näitä yksitoista kysymystä samalla tavalla lopullisessa tuomiossaan. "
Esillä olevan asian monien eri vaihtoehtojen lisäksi asian suullinen käsittely olisi voinut olla osoitus jonkin verran erilaisista näkemyksistä AG: n ja tuomareiden välillä. Schrems: ” Julkisasiamies esitti oikeudenkäynnin aikana kysymyksiä aivan eri suuntaan kuin tuomarit. Tuomarit näyttivät suhtautuvan paljon kriittisemmin Yhdysvaltain lakiin ja Euroopan komission arvioon kuin julkisasiamies. Siksi odotan, että lopullinen tuomio voi tarjota tiukempia yksityisyyden suojaa kuin torstain lausunto. "
Tarvitaan pitkäaikaista ratkaisua. Pitkällä aikavälillä EU: n yksityisyydensuojalakien ja Yhdysvaltain valvontalakien välinen ristiriita ei todennäköisesti ratkaise tässä tapauksessa. Schrems: " Jos Yhdysvallat haluaa käsitellä ulkomaalaisten tietoja, sen on annettava ulkomaalaisille vähintään samat yksityisyyden suojat. Tällä hetkellä Yhdysvallat käyttäytyy vähän ikään kuin Sveitsi sanoisi "varastoi kaikki kultasi kanssamme, mutta sinulla ei ole oikeuksia, kun se on täällä". Jos tämä on tilanne, kuka maailmassa luottaa Yhdysvaltoihinsa? "
III. Osapuolten kanta pääriitaan
Kun tietosuojaviranomainen katsoo, että tietojen vastaanottajalla on oikeudellisia velvoitteita kolmannessa maassa, joka ei noudata EU: n lainsäädäntöä (kuten tässä tapauksessa), herää kysymys tämän ongelman ratkaisemisesta. Menettelyn kolme osapuolta ehdottivat kolmea erilaista vastausta:
Irlannin DPC | Max Schrems | ||
Yhdysvaltain valvonta ei riko EU: n lakia ("Ei ongelmaa ratkaista") | Ei | Ei | Joo |
SCC: n 4 artiklassa sallitaan keskeyttäminen (" kohdennettu ratkaisu " FISA-yrityksille) | Ei | Joo | Kyllä, jos siellä olisi ongelma |
SCC: t ovat virheellisiä maailmanlaajuisesti ("Radikaali ratkaisu") | Joo | Ei | Ei |
- Facebook katsoo, että kysymyksen lähtökohta on väärä, koska Yhdysvaltain valvonta on EU: n lainsäädännön mukaista (useista syistä) ja tapausta ei säännellä EU: n lainsäädännöllä.
- Herra Schrems on sitä mieltä, että SCC: n 4 § sallii DPC: n keskeyttää tietovirrat yksittäistapauksissa, mutta DPC ei käytä lainkaan tätä "kohdennettua ratkaisua".
- DPC näkee "systemaattisen" ongelman, jonka pitäisi johtaa SCC: n mitätöimiseen maailmanlaajuisesti, eikä DPC: n pitäisi olla vastuussa siitä, että se toimii kussakin tapauksessa erikseen.
IV. UKK ja yleiset väärinkäsitykset
- Eikö herra Schrems yrittänyt poistaa vakiosopimuslausekkeita?
Herra Schrems ei ole koskaan väittänyt, että SCC: t voivat olla pätemättömiä. Kaikista osapuolista ja kaikista unionin tuomioistuimen toimenpiteistä vain DPC katsoi, että SCC: t olisi mitätöitävä. Kaikki (EU: n toimielimet, jäsenvaltiot, aularyhmät, Facebook ja herra Schrems) ovat sitä mieltä, että SCC: t eivät ole pätemättömiä.
- Eikö EU vain estä vapaakauppaa?
On olemassa kaksi lakia, jotka johtavat tähän lainkäyttöalueiden yhteenottoon: (1) Yhdysvaltain valvontalaki, joka sallii ulkomaalaisten joukkotarkkailun ja vakoilun ilman erillistä tuomioistuimen hyväksyntää, ja (2) eurooppalainen perusoikeus yksityisyyteen. On erittäin järkevää kieltää tietovirrat ulkomaille, jos näitä tietoja voidaan käyttää väärin. Yhdysvalloissa on samanlaisia huolia sovelluksista, kuten “TikTok” tai Huawei 5G -laitteisto.
- Eikö tämä tarkoita sitä, ettet voi enää lähettää sähköposteja Yhdysvaltoihin?
Yksinkertaisesti sanottuna GDPR puhuu kahden tyyppisiin tietovirtoihin: (1) tarvittavat tietovirrat (kuten sähköpostit tai hotellin varaaminen ulkomaille), joista GDPR: n 49 artiklassa on poikkeuksia ja (2) tietojen "ulkoistaminen" käsittely ei ole ehdottoman välttämätöntä. Vaikka SCC: t mitätöitään, tällä olisi vaikutuksia vain toiseen tapausryhmään, jossa ei sovelleta "poikkeusta".
Sähköpostille tämä tarkoittaisi sitä, että Gmail-postilaatikkoa kokonaisuutena ei ehkä enää ulkoisteta Yhdysvaltoihin, mutta yksittäiset sähköpostit, jotka lähetetään yhdysvaltalaiselle ystävälle tai kollegalle, toimitetaan silti (aivan kuten sähköpostit lähetetään Kiinaan, Venäjälle tai jopa Pohjois-Koreaan) tänään).
- Koskeeko tämä tapaus kaikkia Yhdysvaltoihin suuntautuvia tietovirtoja?
Herra Schremsin väitteiden mukaan ydinkysymys rajoittuu yrityksiin, jotka kuuluvat erityisen valvontalain ”FISA 702” soveltamisalaan. Tätä lakia sovelletaan vain " sähköisen viestinnän palveluntarjoajiin " (kuten Facebook, Google tai Microsoft), mutta sitä ei sovelleta "perinteisiin yrityksiin", kuten lentoyhtiöihin, hotelleihin, kauppaan, talouteen ja vastaaviin.
Valvontaluvan ympärillä on toinen ongelma nimeltä "EO 12.333", jonka avulla Yhdysvallat voi suorittaa valvonnan kaikilla liiketoiminta-alueilla, mukaan lukien transatlanttiset kaapelit Yhdysvaltojen ulkopuolella. Tämä koskee lähinnä Privacy Shield -arviointia.
Kaiken kaikkiaan tiedonsiirron keskeyttäminen vakiokokousten nojalla on välttämätöntä vain yrityksille, jotka kuuluvat vuonna 2007 käyttöön otetun FISA 702 -järjestelmän piiriin. Ongelma voidaan ratkaista korjaamalla tämä laki Yhdysvalloissa.
- Haastoi Schrems Facebookia kahdesti?
Vaikka herra Schrems on jättänyt alkuperäisen kantelun DPC vuonna 2013, DPC on keskeytetty tämän menettelyn ja nosti kanteen Facebook ja herra Schrems. He ovat syytettyjä eivätkä ole aloittaneet tätä (toista) viittausta unionin tuomioistuimeen. Itse asiassa sekä jäsen Schrems että Facebook ovat eri syistä vastustaneet viittausta unionin tuomioistuimeen.
- Mitä tekemistä tällä tapauksella on "Privacy Shield" -sivustolla?
Facebook on nostanut tapauksen "yksityisyyden suojan", koska heidän mielestään Euroopan komissio on hyväksynyt Yhdysvaltojen valvontalain Privacy Shield -sovelluksessa, ja tämän arvion pitäisi olla sitova myös silloin, kun Yhdysvaltain valvontalakeja arvioidaan SCC: n nojalla. Herra Schrems on väittänyt, että tämä arvio on tosiasiallisesti virheellinen ja että Privacy Shield on siten pätemätön.
On epäselvää, käsittelevätkö julkisasiamiehet kumpaakin väitettä, tuomarit ankarasti kysyivät suullisessa kuulemistilaisuudessa intensiivisesti Euroopan komissiolta yksityisyyden suojasta.
- Miksi sanot, että SCC: t ovat kunnossa, mutta Privacy Shield ei?
SCC on yleinen työkalu noin 200 maahan maailmassa. Se ei käsittele Yhdysvaltain valvontalakeja. Jos laki on ristiriidassa, SCC: n 4 § sallii DPC: n lopettaa tiedonsiirron. Siksi SCC: llä on vastaus ongelmaan tuomioistuimessa. Privacy Shield -päätöksessä Euroopan komissio totesi nimenomaisesti, että Yhdysvaltain valvontalaki on EU: n lainsäädännön mukainen, mistä emme periaatteessa ole samaa mieltä.
- Mitä mielestäsi DPC: n olisi pitänyt tehdä?
SCC: n 4 artiklan mukaan kaikki tietosuojaviranomaiset (kuten DPC) voivat lopettaa tiedonsiirron, jos SCC: tä ei tosiasiallisesti noudateta. Facebook Ireland on ollut tietoinen NSA-valvonnasta ainakin vuodesta 2013, mutta se ei ole toteuttanut mitään toimenpiteitä tiedonsiirron lopettamiseksi tai rajoittamiseksi. Tällaisissa tapauksissa sääntelyviranomaisen on ryhdyttävä toimiin.
- Kuinka yritykset voivat noudattaa suotuisaa päätöstä?
Ensinnäkin heidän on tunnistettava, menisikö heidän tietonsa yhdysvaltalaiselle " sähköisen viestinnän palveluntarjoajalle ", joka kuuluu FISA 702: n piiriin. Suurin osa perinteisistä teollisuudenaloista ei kuulu näiden valvontalakien piiriin, mutta suuret teknologiayritykset, joita monet meistä käyttävät (kuten Facebook, Google, Amazon tai Microsoft).
Vaikka data menisikin jollekin näistä palveluntarjoajista, tärkeimmät tiedonsiirrot (esim. Sähköpostiviestien, suorien viestien tai varaustietojen lähettäminen) voidaan silti siirtää GDPR: n ns. ”Poikkeusten” nojalla. Pelkästään ulkoistamisen tapauksessa eurooppalaisten yritysten on ehkä löydettävä vaihtoehtoja Yhdysvaltojen ulkopuolelta.