SCHREMS II, un final attendu et redouté

SCHREMS II, odotettu ja pelätty finaali

SCHREMS II, odotettu ja pelätty finaaliEuroopan unionin tuomioistuin mitätöi 16. heinäkuuta 2020 Privacy Shield -sopimuksen, joka oli keskeinen sopimus ja muodosti oikeusperustan henkilötietojen siirrolle Euroopan ja Yhdysvaltojen välillä.

Yli 5 300 yhdysvaltalaista yritystä käytti Shield-järjestelmää tietojenkäsittelyynsä ja niiden on nyt muutettava siirtojensa oikeusperustaa.

Päätös tehtiin itävaltalaisen Max Schremsin valituksen jälkeen. Schrem oli jo aloittanut Shield-sopimusta edeltäneen sopimuksen, niin sanottujen Safe Harbor -periaatteiden, peruuttamisen.

Valittaja kiisti ehdot, joilla Facebookin käsittelemät hänen tietonsa siirrettiin Yhdysvaltoihin.

Tämän kiistan pohjalta tuomioistuin on juuri analysoinut "Schrems II" -tuomiossaan kahden Euroopan unionin ulkopuolelle siirron sallivan oikeudellisen välineen pätevyyttä:

  • Vakiosopimuslausekkeet, joita voidaan periaatteessa käyttää minkä tahansa kolmannen maan kanssa, ja
  • Euroopan komission päätös 2016/1250 Privacy Shield -järjestelystä, joka on räätälöity Yhdysvaltoihin tehtäviä siirtoja varten.

Oikeus ei mitätöinyt mallisopimuslausekkeita – skenaario, joka sai monet yritykset ja lakimiehet kylmät hiet koville.

Niiden käyttö edellyttää kuitenkin edelleen tietojen viejän konkreettista arviota siitä, miten lausekkeita tosiasiallisesti sovelletaan kolmannessa maassa, ottaen huomioon erityisesti viranomaisten, kuten tiedustelupalvelujen, mahdollisuudet päästä käsiksi tietoihin.

Jos tietoihin pääsy on lausekkeiden periaatteiden vastaista, viejän vastuulla on tai, jos se ei tee niin, valvontaviranomaisen (vastaa CNIL:ää) vastuulla on keskeyttää siirto.

 

Privacy Shieldin tapauksessatuomioistuin totesi, että vaikka sopimuksen periaatteet periaatteessa tarjoisivatkin olennaisesti Euroopan unionin tasoa vastaavan suojan tason, kansalliseen turvallisuuteen, yleiseen etuun ja Yhdysvaltain lainsäädännön noudattamiseen liittyvät konkreettiset vaatimukset tekisivät näistä periaatteista tehottomia.

Se totesi, että Yhdysvaltain viranomaisten valvontavaltuudet olivat liialliset Euroopan lainsäädännön nojalla ja että muiden kuin Yhdysvaltain kansalaisten oikeutta valittaa riippumattomista tuomioistuimista ei ollut taattu.

Näiden havaintojen perusteella tuomioistuin katsoi päätöksen pätemättömäksi.

Ja nyt?

Siirtoja Yhdysvaltoihin ei voi enää tehdä Shieldin perusteella.

Vaikka jotkut ovatkin siirtymässä mallisopimuslausekkeisiin, tämä ratkaisu herättää epäilyksiä: nämä lausekkeet ovat periaatteessa edelleen päteviä, mutta niitä kohtaa sama ongelma kuin Shield-järjestelmää, kun niitä käytetään siirtoon Yhdysvaltoihin: valvontatoimenpiteiden laajuus Amerikan maaperällä ja asianomaisten henkilöiden riittämättömät oikeussuojakeinot.

Jotkut puhuvat mahdollisuudesta salata tiedot ennen siirtoa, jotta Yhdysvaltain viranomaiset eivät voisi käyttää niitä, mutta tämä ei ota huomioon viranomaisten mahdollisuutta vaatia laillisesti niiden salauksen purkamista.

Euroopan tietosuojaneuvosto (EDPB) julkaisi 17. heinäkuuta lehdistötiedotteen, jossa se tiivistää alustavat havaintonsa ja julkistaa lisäohjeistuksen.

Seuraavat havainnot voidaan tehdä:

– Tuomioistuimen päätös vaikuttaa suoraan Yhdysvaltoihin tehtäviin siirtoihin, mutta se vaikuttaa myös kaikkiin kansainvälisiin siirtoihin;

– Vakiosopimuslausekkeiden käyttö siirtoon mihin tahansa kolmanteen maahan on edelleen mahdollista, mutta viejän on tehtävä erityisiä tarkistuksia lausekkeiden sisällöstä, siirron asiayhteydestä ja kolmannessa maassa sovellettavasta oikeudellisesta järjestelystä (erityisesti kansallisen turvallisuuden osalta).

– Jos tilanne aiheuttaa erityisiä riskejä, on toteutettava lisätoimenpiteitä: Euroopan tietosuojaneuvosto työskentelee parhaillaan näiden toimenpiteiden täsmentämiseksi.

– Muistutetaan, että maahantuojan velvollisuus on ilmoittaa viejälle kaikista lainsäädännön muutoksista, jotka vaikuttaisivat lausekkeiden soveltamiseen ja jotka voisivat siten johtaa niiden keskeyttämiseen.

Euroopan komissio on ilmoittanut aloittaneensa vuoropuhelun amerikkalaisten vastineidensa kanssa päästäkseen sopimukseen, joka takaa korkeamman tietosuojan tason.

 

Samaan aikaan Max Schremsin yhdistys NOYB ("None Of Your Business") on nostanut 101 kannetta Euroopan unionin alueella toimivia tai Googlea, Facebookia ja Microsoftia käyttäviä yrityksiä vastaan, mutta ei ole ryhtynyt toimiin tuomioistuimen päätöksen johdosta.

Tietojen siirtoon on muitakin mahdollisuuksia kuin vakiosopimuslausekkeet.

Ne selitettiin tämän uutiskirjeen maaliskuun pääkirjoituksessa.

Vaihtoehto on hallita tietoja Euroopan maaperällä sen sijaan, että niitä siirrettäisiin.

Toivottavasti tämä päätös edistää paikallisten palvelujen kehittymistä.

Ja myös

Ranska:

  • Ranskan tietosuojaviranomainen CNIL käynnistää TikTok-sovelluksen tutkinnan: kiinalaisyrityksen ja Yhdysvaltojen välisen pattitilanteen lisäksi Euroopassa on käynnissä tutkimuksia sovelluksen GDPR-yhteensopivuudesta. CNIL koordinoi työtään muiden valvontaviranomaisten kanssa Euroopan tietosuojaneuvoston puitteissa.
  • Yhä yhteistyössä eurooppalaisten vastinviranomaistensa kanssa CNIL määräsi 5. elokuuta verkkokauppayritys Spartoolle 250 000 euron sakon GDPR:n mukaisten tietojen minimoinnin, säilyttämisen, tiedonsaannin ja turvallisuuden periaatteiden noudattamatta jättämisestä.

Eurooppa:

  • Parlamentin jäsenet ovat arvostelleet Britannian valvontaviranomaista ICO:ta riittämättömistä toimista GDPR-rikkomusten valossa, erityisesti COVID-19-pandemian yhteydessä.
  • Myös Isossa-Britanniassa muutoksenhakutuomioistuin päätti 11. elokuuta, että Etelä-Walesin poliisin käyttämä kasvojentunnistusteknologia loukkaa perusoikeuksia, mukaan lukien oikeutta tietosuojaan.
  • Euroopan komissio työstää parhaillaan digitaalisten palvelujen asetusta vahvistaakseen näitä palveluja sisämarkkinoilla ja selkeyttääkseen pienten yritysten oikeudellista kehystä. Euroopan parlamentti valmistelee tässä yhteydessä suositusta, jonka odotetaan käsittelevän useita tietosuojaan liittyviä huolenaiheita, kuten tietojen salausta, algoritmien auditoitavuutta ja biometristen tietojen suojaa.
  • Euroopan komissio ilmoitti 4. elokuuta aloittavansa tutkinnan Googlen ehdottamasta Fitbit-yrityskaupasta. Sen huolenaiheet liittyvät pääasiassa datan, erityisesti terveystietojen, keskittymiseen hallitsevan toimijan käsiin.

Kansainvälinen:

  • Yhdysvallat: Heinäkuun 30. päivänä päivätyssä vaikutusanalyysissä kotimaan turvallisuusministeriö kertoo käytännöistä, joita on vuosien ajan havaittu maan ulkorajoilla. Näiden käytäntöjen avulla virkamiehet voivat kopioida Yhdysvaltoihin saapuvien ihmisten puhelimien ja tietokoneiden sisältöä ja säilyttää niitä 75 vuoden ajan.
  • Twitter vahvisti elokuun alussa, että Yhdysvaltain liittovaltion kauppakomissio tutkii sitä koskien asiakastietojen käyttöä mainostarkoituksiin.
  • Brasilia: Henkilötietojen suojaa koskeva laki tulee voimaan 27. elokuuta. Myös valvontaviranomainen on juuri perustettu.
  • Myös Latinalaisessa Amerikassa Chile on nykyaikaistamassa tietosuojalainsäädäntöään, ja sääntelyhankkeita on käynnissä Paraguayssa ja Ecuadorissa.
  • Egypti hyväksyi henkilötietojen suojaa koskevan lain 17. kesäkuuta.

 

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI