Yhdysvaltain uusi toimeenpanomääräys ei todennäköisesti vastaa EU:n lainsäädäntöä

Oct 07, 2022

We are now working on an in-depth analysis, which will be published on noyb.eu in the next days.

Ensimmäinen reaktio: Yhdysvaltain valvontaa koskeva toimeenpanomääräys tuskin vastaa EU:n lainsäädäntöä

Yli kuusi kuukautta EU:n ja Yhdysvaltojen välisen "periaatesopimuksen" jälkeen Yhdysvaltain presidentti Joe Biden on allekirjoittanut kauan odotetun toimeenpanomääräyksen, jonka tarkoituksena on kunnioittaa Euroopan yhteisöjen tuomioistuimen (EUT) aiempia tuomioita. Tällä on tarkoitus poistaa EU:n ja Yhdysvaltojen välisissä tiedonsiirroissa esiintyvät rajoitukset. Euroopan unionin tuomioistuin edellytti, että 1) Yhdysvaltojen harjoittama valvonta on perusoikeuskirjan 52 artiklassa tarkoitetulla tavalla oikeasuhteista ja että 2) perusoikeuskirjan 47 artiklassa edellytetty oikeussuojakeinojen käyttö on mahdollista. Bidenin uusi toimeenpanomääräys näyttää epäonnistuvan molemmissa vaatimuksissa. Siinä on jatkuvaa "massavalvontaa" ja "tuomioistuin", joka ei ole varsinainen tuomioistuin.

Täytäntöönpanomääräys. Täytäntöönpanomääräys on Yhdysvaltain presidentin liittovaltion hallituksen sisäinen ohje, mutta se ei ole laki. Aiemmin asiasta säädettiin presidentti Obaman vuonna 2014 antamalla määräyksellä PPD-28. Vaikka on hyvä nähdä, että oikeudenkäyntimme johtaa nyt Yhdysvaltain presidentin reaktioon, tämä presidentin sisäinen määräys ei todennäköisesti ratkaise ongelmaa:

Joukkovalvonta jatkuu kahdenlaisen "suhteellisuusperiaatteen" avulla. Yhdysvallat korostaa, että uudessa täytäntöönpanomääräyksessä käytetään EU:n lainsäädännön sanamuotoa ("tarpeellinen" ja"oikeasuhteinen", kuten CFR:n 52 artiklassa) PPD-28:n 1 jakson d kohdassa käytetyn aiemman termin"niin räätälöity kuin mahdollista " sijasta. Tämä voisi ratkaista ongelman, jos Yhdysvallat noudattaisi samaa näkemystä ja soveltaisi myös EU:n tuomioistuimen suhteellisuustestiä.

Sanojen muuttamisesta huolimatta mikään ei kuitenkaan viittaa siihen, että Yhdysvaltojen massavalvonta muuttuisi käytännössä. Niin sanottu "massavalvonta" jatkuu uuden toimeenpanomääräyksen nojalla (ks. 2 jakson c kohdan ii alakohta), ja kaikki yhdysvaltalaisille palveluntarjoajille lähetetyt tiedot päätyvät edelleen PRISMin tai Upstream-ohjelman kaltaisiin ohjelmiin, vaikka EU:n tuomioistuin on jo kahdesti todennut, etteivät Yhdysvaltojen valvontalait ja -käytännöt ole"oikeasuhteisia"(sanan eurooppalaisen käsityksen mukaan).

Miten tämä on mahdollista? Näyttää siltä, että EU ja Yhdysvallat sopivat, että sanat"tarpeellinen" ja"oikeasuhteinen" kopioidaan Executive Orderiin, mutta eivät sopineet, että niillä on sama oikeudellinen merkitys. Jos niillä olisi sama merkitys, Yhdysvaltojen olisi rajoitettava perusteellisesti massavalvontajärjestelmiään noudattaakseen EU:n käsitystä "oikeasuhteisesta" valvonnasta.

Max Schrems, noyb.eu:n puheenjohtaja:"EU ja Yhdysvallat ovat nyt yhtä mieltä sanan 'oikeasuhteinen' käytöstä, mutta sen merkityksestä ne näyttävät olevan eri mieltä. Loppujen lopuksi EU:n tuomioistuimen määritelmä voittaa - mikä todennäköisesti tappaa jälleen kaikki EU:n päätökset. Euroopan komissio sulkee jälleen silmänsä Yhdysvaltojen lainsäädännöltä, jotta eurooppalaisten vakoilu voi jatkua."

"Tuomioistuin" ei ole oikea tuomioistuin. Täytäntöönpanomääräyksellä on tarkoitus lisätä myös muutoksenhakua. Menettely on nyt kaksivaiheinen: ensimmäisenä vaiheena on kansallisen tiedustelupalvelun johtajan alainen virkamies ja toisena vaiheena "tietosuojaa käsittelevä tuomioistuin". Kyseessä ei kuitenkaan ole "tuomioistuin" perusoikeuskirjan 47 artiklan tai Yhdysvaltojen perustuslain tavanomaisessa oikeudellisessa merkityksessä, vaan Yhdysvaltojen hallituksen toimeenpanovallan alainen elin. Uusi järjestelmä on päivitetty versio aiemmasta "Ombudsperson"-järjestelmästä, jonka EU:n tuomioistuin jo hylkäsi. Vaikuttaa selvältä, että tämä toimeenpaneva elin ei olisi EU:n perusoikeuskirjassa edellytetty "oikeussuojakeino".

"Tuomioistuimen" tuomio on jo määritelty toimeenpanopäätöksessä. Käyttäjien on otettava asia esille EU:n kansallisessa elimessä, joka puolestaan ottaa asian esille Yhdysvaltain hallituksessa. Kuten aiemminkin, Yhdysvaltain hallitus ei vahvista eikä kiellä, että käyttäjää on tarkkailtu, vaan ilmoittaa käyttäjälle vain, että rikkomusta ei ole tapahtunut tai että kyseessä on korjaustoimenpide (ks. talouspoliittisen määräyksen 3(c)(E) kohta). Käyttäjä ei saa tietää enempää. Tämä tekee myös muutoksenhakumahdollisuuden hyödyttömäksi, koska muutoksenhakuun ei yksinkertaisesti ole mitään aihetta, kunhan käyttäjä on saanut tämän kumileimasimella varustetun vastauksen. Pykälän 3(i)(d)(H) kohdassa jopa selostetaan, mitä "tuomioistuin" vastaa - riippumatta siitä, mitä perusteluja tai tapausta on esitetty:"Tarkistuksessa ei joko havaittu yhtään katettua rikkomusta tai tietosuojavalvontatuomioistuin antoi päätöksen, jossa edellytetään asianmukaista korjaamista."

Max Schrems, noyb.eu:n puheenjohtaja: "Meidän on tutkittava ehdotus yksityiskohtaisesti, mutta ensi silmäyksellä on selvää, että tämä 'tuomioistuin' ei yksinkertaisesti ole tuomioistuin. Perusoikeuskirjassa on selkeä vaatimus 'oikeussuojakeinoista' - pelkkä valituselimen nimeäminen uudelleen 'tuomioistuimeksi' ei tee siitä varsinaista tuomioistuinta. Menettelyn yksityiskohdilla on myös merkitystä sen kannalta, voidaanko tämä täyttää EU:n lainsäädännön vaatimukset."

Jatkotutkimus ja mahdollinen haaste. noyb ja sen yhteistyökumppanit analysoivat asiakirjoja tarkemmin lähipäivinä ja julkaisevat yksityiskohtaisen oikeudellisen analyysin lähipäivinä ja -viikkoina. Jos komission päätös ei ole EU:n lainsäädännön ja EU:n tuomioistuimen asiaa koskevien tuomioiden mukainen, noyb todennäköisesti nostaa uuden kanteen EU:n tuomioistuimessa. Sillä välin Yhdysvaltain kongressin on hyväksyttävä FISA 702 -laki uudelleen vuonna 2023, jolloin Yhdysvaltain lainsäätäjä voi mahdollisesti panna täytäntöön mielekkäitä rajoituksia, jotka kunnioittavat muiden kuin yhdysvaltalaisten henkilöiden yksityisyyden suojaa.

Max Schrems: "Analysoimme tätä pakettia yksityiskohtaisesti, mikä vie pari päivää. Ensisilmäyksellä näyttää siltä, että ydinkysymyksiä ei ole ratkaistu, ja asia palaa EU:n tuomioistuimeen ennemmin tai myöhemmin."

Maat, joilla on samanlaiset yksityisyydensuojat, eivät saa aikaan vakaata sopimusta? Ei vaikuta loogiselta, että kaksi demokraattista maata, jotka molemmat ovat samaa mieltä yksityisyyden suojan oikeudellisista perusperiaatteista, todennäköisesti tuottavat kolmannen virheellisen sopimuksen peräkkäin:

Yhdysvaltain perustuslain neljännessä lisäyksessä vahvistetaan oikeus yksityisyyteen ja edellytetään, että salakuunteluun on oltava todennäköinen syy ja tuomioistuimen hyväksyntä. Vastaavasti EU:n tuomioistuin edellyttää, että tarkkailun on oltava kohdennettua ja että siihen on oltava tuomioistuimen hyväksyntä tai että se on tarkistettava EU:n perusoikeuskirjan mukaisesti.

Ainoa ero näyttää olevan se, että EU:n mielestä yksityisyys on ihmisoikeus, joka koskee kaikkia ihmisiä, kun taas neljäs lisäys koskee vain Yhdysvaltojen kansalaisia tai maassa pysyvästi asuvia henkilöitä. Yhdysvaltojen mielestä eurooppalaisilla ei ole oikeuksia yksityisyyteen. FISA 702 -asiakirjassa hyödynnetään tätä Yhdysvaltojen lainsäädännön eroa ja sallitaan neljännen lisäyksen nojalla laiton valvonta, kunhan se ei kohdistu amerikkalaisiin.

Max Schrems:"On hämmästyttävää, että EU ja Yhdysvallat ovat yhtä mieltä siitä, että salakuunteluun tarvitaan todennäköinen syy ja tuomioistuimen hyväksyntä. Yhdysvallat on kuitenkin sitä mieltä, että ulkomaalaisilla ei ole oikeuksia yksityisyyteen. Epäilen, että Yhdysvalloilla ei ole tulevaisuutta maailman pilvipalveluntarjoajana, jos muilla kuin yhdysvaltalaisilla henkilöillä ei ole heidän lakiensa mukaisia oikeuksia. Minusta on ristiriitaista , että Euroopan komissio valmistelee sopimusta, jossa hyväksytään, että eurooppalaiset ovat "toisen luokan" kansalaisia eivätkä ansaitse samoja yksityisyyden suojaa koskevia oikeuksia kuin Yhdysvaltojen kansalaiset."

Yhdysvaltalaisten yritysten ei tarvitse noudattaa GDPR:ää. Huomiota herättävää on se, että Euroopan komissio ei vaatinut, että niin sanotut Privacy Shield -periaatteet yhdenmukaistetaan vuodesta 2018 voimassa olevan GDPR:n kanssa. Periaatteet ovat pitkälti samat kuin aiemmat "Safe Harbor" -periaatteet, jotka laadittiin vuonna 2000 ja joita käytetään edelleen uudessa kehyksessä. Tämä tarkoittaa, että yhdysvaltalaiset yritykset voivat edelleen käsitellä eurooppalaisia tietoja noudattamatta GDPR:ää. Ne eivät esimerkiksi tarvitse käsittelylle edes oikeusperustaa, kuten suostumusta. Privacy Shieldin mukaan yhdysvaltalaisten yritysten on ainoastaan tarjottava käyttäjille mahdollisuus kieltäytyä tietojen käsittelystä. Näin siitä huolimatta, että EU:n tuomioistuin on korostanut, että Yhdysvalloissa on oltava "olennaisilta osin vastaava" suoja.

Seuraavat vaiheet. Nyt kun Yhdysvallat on antanut toimeenpanomääräyksensä, Euroopan komission on laadittava tietosuoja-asetuksen 45 artiklan mukainen niin sanottu "riittävyyspäätös". Kun päätösluonnos on annettu, komission on kuultava Euroopan tietosuojaneuvostoa, mutta sen päätelmät eivät sido sitä. Lisäksi EU:n jäsenvaltioiden on oltava päämiehiä, ja ne voivat estää sopimuksen. Tämä prosessi voi kestää pari kuukautta. Edes Euroopan tietosuojaneuvoston ja jäsenvaltioiden kielteiset lausunnot eivät kuitenkaan sido komissiota. Kun päätös on julkaistu, yritykset voivat vedota siihen lähettäessään tietoja Yhdysvaltoihin, ja käyttäjät voivat riitauttaa sen kansallisissa ja eurooppalaisissa tuomioistuimissa. Tämä ei ole odotettavissa ennen kevättä 2023, vaikka alun perin sen piti tapahtua syksyllä 2022.