Euroopan unionin tuomioistuin antoi 16.7.2020 merkittävän ratkaisun linjaten muun muassa, että EU:n ja Yhdysvaltojen välinen Privacy Shield -järjestely on pätemätön. Tämä on erittäin tärkeä ratkaisu EU:n yleisen tietosuoja-asetuksen (GDPR) soveltamisen kannalta ja sillä on välittömiä vaikutuksia henkilötietojen siirtokäytäntöihin yhdysvaltalaisten organisaatioiden kanssa.
Tuomio annettiin Maximillian Schremsin and Facebook Ireland Ltd.:n välisessä kiistassa.
EU:ssa asuvat henkilöt joutuvat Facebookiin liittyessään tekemään sopimuksen Facebook Ireland Ltd:n, Facebook Inc:n tytäryhtiön, kanssa. EU:ssa asuvien Facebookin käyttäjien henkilötiedot siirretään kokonaan tai osittain käsiteltäviksi Facebook Inc:lle kuuluville palvelimille, jotka sijaitsevat Yhdysvaltojen alueella.
Schrems, Itävallan kansalainen ja asukas, teki 25.6.2013 Irlannin tietosuojavaltuutetulle kantelun, jossa hän vaati tätä kieltämään Facebook Irelandia siirtämästä hänen henkilötietojaan Yhdysvaltoihin ja väitti, että kyseisessä maassa voimassa olevat oikeussäännöt ja käytännöt eivät takaa sen alueella säilytetyille henkilötiedoille riittävää suojaa viranomaisten siellä harjoittamaa tarkkailutoimintaa vastaan. Kantelu hylättiin erityisesti sillä perusteella, että komissio oli päätöksessään 2000/520, eli niin sanotussa US Safe Harbour -päätöksessään, todennut, että Yhdysvalloissa taataan riittävä tietosuojan taso.
Schrems nosti kanteen Irlannin ylempään piirituomioistuimeen (High Court), joka pyysi ennakkoratkaisua, jonka perusteella EUT totesi US Safe Harbour -päätöksen pätemättömäksi (C‑362/14, Schrems). Schremsin kantelun hylkäävä päätös kumottiin ja asia palautettiin Irlannin tietosuojavaltuutetulle.
Tietosuojavaltuutetun tutkinnan yhteydessä Facebook Ireland selitti, että suuri osa henkilötiedoista siirrettiin Facebook Inc:lta mallisopimuslausekkeista annetun päätöksen (2010/87) liitteessä olevien tietosuojaa koskevien vakiolausekkeiden perusteella. Näin ollen tietosuojavaltuutettu kehotti Schremsiä muotoilemaan kantelunsa uudelleen. Schrems väitti 1.12.2015 tekemässään uudelleen muotoillussa kantelussaan muun muassa, että Yhdysvaltojen lain mukaan Facebook Inc. velvoitetaan saattamaan sille siirretyt henkilötiedot tiettyjen Yhdysvaltojen viranomaisten saataville. Hän väitti, että koska näitä tietoja käytetään erilaisten tarkkailuohjelmien yhteydessä tavalla, joka on ristiriidassa perusoikeuskirjan 7, 8 ja 47 artiklan kanssa, mallisopimuslausekkeista annettu päätös ei voi olla perusteena näiden tietojen siirrolle Yhdysvaltoihin. Schrems vaati tietosuojavaltuutettua kieltämään henkilötietojensa siirron Facebook Inc:lle tai lykkäämään sitä.
Tietosuojavaltuutettu julkaisi 24.5.2016 päätösluonnoksen, johon sisältyi yhteenveto hänen suorittamansa tutkinnan alustavista päätelmistä. Hän katsoi päätösluonnoksessa alustavasti, että on vaarana, että Yhdysvaltojen viranomaiset käsittelevät unionin kansalaisten Yhdysvaltoihin siirrettyjä henkilötietoja perusoikeuskirjan kanssa yhteensopimattomalla tavalla ja että Yhdysvaltojen oikeudessa ei anneta näille kansalaisille perusoikeuskirjan kanssa yhteensopivia oikeussuojakeinoja. Tietosuojavaltuutettu katsoi, että mallisopimuslausekkeista annetun päätöksen liitteessä olevat tietosuojaa koskevat vakiolausekkeet eivät korjaa tätä puutetta, koska niillä annetaan rekisteröidyille vain sopimukseen perustuvia oikeuksia, jotka eivät sido Yhdysvaltojen viranomaisia.
Irlannin tietosuojavaltuutettu saattoi 31.5.2016 Irlannin ylemmässä piirituomioistuimessa vireille menettelyn, jotta tämä esittäisi ennakkoratkaisupyynnön EUT:lle. Irlannin ylempi piirituomioistuin saattoi 4.5.2018 tekemällään päätöksellä ennakkoratkaisupyynnön EUT:lle käsiteltäväksi.
Ensinnäkin EUT:n ratkaisun mukaan yleisen tietosuoja-asetuksen soveltamisalaan kuuluu henkilötietojen siirto, jonka jäsenvaltioon sijoittautunut talouden toimija toteuttaa kaupallisessa tarkoituksessa siirtämällä tiedot kolmanteen maahan sijoittautuneelle talouden toimijalle, riippumatta siitä, että kyseisen kolmannen maan viranomaiset voivat tämän siirron kuluessa tai sen jälkeen käsitellä näitä tietoja yleistä turvallisuutta, puolustusta ja valtion turvallisuutta varten.
Toisekseen EUT:n mukaan yleisessä tietosuoja-asetuksessa vaadituilla asianmukaisilla suojatoimenpiteillä, täytäntöönpanokelpoisilla oikeuksilla ja tehokkailla oikeussuojakeinoilla on varmistettava, että henkilöiden, joiden henkilötietoja siirretään kolmanteen maahan tietosuojaa koskevien vakiolausekkeiden perusteella, saavat sellaisen suojan tason, joka pääosiltaan vastaa tasoa, joka taataan Euroopan unionissa kyseisen asetuksen, luettuna Euroopan unionin perusoikeuskirjan valossa, nojalla. Tätä varten tällaisen siirron yhteydessä varmistetun suojan tason arvioinnissa on muun muassa otettava huomioon yhtäältä unioniin sijoittautuneen rekisterinpitäjän tai sen henkilötietojen käsittelijän ja asianomaiseen kolmanteen maahan sijoittautuneen siirron vastaanottajan välillä sovitut sopimusmääräykset ja toisaalta, siltä osin kuin kyse on tämän kolmannen maan viranomaisten mahdollisesta pääsystä näin siirrettyihin henkilötietoihin, tämän maan oikeusjärjestelmään liittyvät merkitykselliset tekijät, erityisesti mainitun asetuksen 45 artiklan 2 kohdassa mainitut tekijät.
Kolmanneksi EUT totesi, että mikäli Euroopan komissio ei ole pätevästi tehnyt tietosuojan riittävyyttä koskevaa päätöstä, toimivaltaisen valvontaviranomaisen on keskeytettävä tai kiellettävä komission antamiin tietosuojaa koskeviin vakiolausekkeisiin perustuva henkilötietojen siirto kolmanteen maahan, jos tämä valvontaviranomainen katsoo kaikkien tämän siirron olosuhteiden valossa, että näitä lausekkeita ei noudateta tai voida noudattaa tässä kolmannessa maassa ja että unionin oikeudessa vaadittua siirrettyjen tietojen suojaa ei voida varmistaa muilla keinoilla, siltä osin kuin unioniin sijoittautunut rekisterinpitäjä tai sen henkilötietojen käsittelijä ei itse ole keskeyttänyt tai lopettanut siirtoa.
Lisäksi EUT:n totesi, ettei mallisopimuslausekkeista annetun päätöksen tarkastelussa tullut esiin mitään seikkaa, joka vaikuttaisi tämän päätöksen pätevyyteen.
Lopuksi EUT linjasi, että EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn tarjoaman tietosuojan tason riittävyydestä annettu komission täytäntöönpanopäätös (EU) 2016/1250 on pätemätön.
Ratkaisulla on luonnollisesti merkittäviä vaikutuksia, sillä yritykset joutuvat arvioimaan uudelleen henkilötietojen siirtoa EU:sta yhdysvaltalaisille osapuolille. Lisäksi Privacy Shield -päätöksen mukaista henkilötietojen siirtotapaa käyttäneet yritykset joutuvat valitsemaan siirroille uuden oikeusperustan noudattaakseen EU:n yleistä tietosuoja-asetusta. Olemassa olevat Privacy Shield -sitoumukset pysyvät kuitenkin täytäntöönpanokelpoisina Yhdysvaltain liittovaltion kauppakomissiossa.
Yleinen tietosuoja-asetus tarjoaa seuraavat vaihtoehtoiset oikeusperustat henkilötietojen siirroille:
1. Mallisopimuslausekkeet (ns. Standard Contractual Clauses);
2. Yrityksiä koskevat sitovat säännöt (pitää hyväksyä jokaisen yrityksen osalta erikseen tietosuojaviranomaisten kanssa ja niihin voidaan kohdistaa tiettyjä rajoituksia); ja
3. Mahdollisuus hakea yleisen tietosuoja-asetuksen 49 artiklan mukaista lupaa tai muita poikkeuksia.
Mallisopimuslausekkeisiin turvautuessaan yritysten tulee arvioida henkilötietojen siirrot tapauskohtaisesti määrittääkseen, mikäli Yhdysvaltojen tarjoamat suojamekanismit ovat tiettyä siirtoa koskevien EU:n standardien mukaiset. Sama pätee kaikkiin sellaisiin maihin, joiden osalta komissio ei ole antanut tietosuojan riittävyyttä koskevaa päätöstä. Jos tiettyä siirtoa koskevia EU:n standardeja ei täytetä, ylimääräisiä suojatoimenpiteitä tulee ottaa käyttöön tai siirto tulee keskeyttää.
Koska EUT totesi suojan riittävyyden olevan puutteellinen Yhdysvaltojen hallinnon tietoihin pääsyn osalta, on luonnollinen kysymys, voidaanko mallisopimuslausekkeita käyttää siirtojen oikeudellisena perusteena ja mitkä ovat mahdollisia soveltuvia ylimääräisiä suojatoimenpiteitä. Tehokkaat oikeussuojakeinot, valvontaohjelmat, kontekstikohtaiset suhteelliset rajoitukset ja tapauskohtaisesti valitut mekanismit, kuten tietojen salaaminen, voivat olla pohja hyväksyttäville ratkaisuille. Lähitulevaisuudessa onkin varmasti odotettavissa käytännön kannalta merkittävää ohjeistusta siitä, kuinka yritysten tulee menetellä.