Uusi tietosuojakehys EU:n ja Yhdysvaltojen välille – Mitä vaikutuksia henkilötietojen käsittelyyn?

Yhdysvaltain presidentti Joe Biden on viime viikolla allekirjoittanut uutta EU:n ja Yhdysvaltojen välistä tietosuojakehystä koskevan presidentin toimeenpanomääräyksen. Samanaikaisesti Yhdysvaltain oikeusministeriö allekirjoitti myös toimeenpanomääräystä täydentävän asetuksen uuden muutoksenhakutuomioistuimen (Data Protection Review Court, DPRC) perustamisesta.

Toimeenpanomääräyksellä on suoria vaikutuksia yhdysvaltalaisten viranomaisten ja yritysten toimintaan ja sillä luodaan uusia suojatoimenpiteitä, jotka rajoittavat Yhdysvaltojen tiedusteluviranomaisten pääsyä ja käsittelyoikeutta EU:sta siirrettyihin henkilötietoihin.

Toimeenpanomääräyksellä ja siihen liittyvillä asetuksilla pannaan täytäntöön EU:n ja Yhdysvaltojen välinen, alueiden yhteistä tietosuojakehystä koskeva periaatesopimus, josta osapuolet pääsivät yhteisymmärrykseen maalikuussa 2022.

Uudella tietosuojakehyksellä on tarkoitus edistää henkilötietojen siirtoja EU:n ja Yhdysvaltojen välillä ja puuttua ongelmakohtiin, jotka Euroopan unionin tuomioistuin (EUT) nosti esiin Schrems II -tuomiossaan heinäkuussa 2020. EUT totesi Schrems II -tuomiossaan EU:n ja Yhdysvaltojen välillä toimineen Privacy Shield -järjestelyn tarjoaman tietosuojan tason olevan riittämätön eikä järjestelyn hyväksymisen yhteydessä oltu EUT:n mukaan huomioitu riittävällä tasolla Yhdysvaltojen tiedusteluviranomaisten valtuuksia saada EU-kansalaisten henkilötietoja haltuunsa.

Privacy Shield -järjestelyn olennaisena puutteena mainittiin tuomiossa myös se, ettei järjestely taannut vaikuttavia ja täytäntöönpanokelpoisia oikeuksia eikä tehokkaita hallinnollisia ja oikeudellisia muutoksenhakukeinoja rekisteröidyille, joiden henkilötietoja siirretään. Schrems II -tuomiolla Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä annettu päätös todettiin pätemättömäksi.

Toimeenpanomääräyksellä on suoria vaikutuksia yhdysvaltalaisten viranomaisten ja yritysten toimintaan. Toimeenpanomääräyksellä luodaan uusia suojatoimenpiteitä, jotka rajoittavat Yhdysvaltojen tiedusteluviranomaisten pääsyä ja käsittelyoikeutta EU:sta siirrettyihin henkilötietoihin ainoastaan siihen, mikä on välttämätöntä ja oikeasuhtaista kansallisen turvallisuuden suojelemiseksi.

Edellä mainittuja, eurooppalaista suhteellisuusperiaatetta edustavia termejä on käytetty sellaisenaan toimeenpanomääräyksessä, minkä odotetaan yhtenäistävän tietosuojasääntelyn linjaa itsessään. Edellä mainitun rajoituksen lisäksi Yhdysvaltojen tiedustelutoimintaan kohdistetaan muitakin eurooppalaisia tietojenkäsittelyperiaatteita, kuten tietojen minimointi sekä henkilötietojen keräämistä ja säilyttämistä koskevat rajoitukset.

Lisäksi toimeenpanomääräyksellä luodaan uusi kaksitasoinen oikeussuojamekanismi, joka perustaa rekisteröidyille oikeuden kannella Yhdysvaltojen tiedusteluviranomaisten toiminnasta kansalaisvapauksien suojelusta vastaavalle viranomaiselle (Civil Liberties Protection Officer, CLPO) sekä tarjoaa mahdollisuuden valittaa CLPO:n päätöksestä riippumattomaan muutoksenhakutuomioistuimeen DPRC:in.

CLPO:n tehtävänä on selvittää, onko toimeenpanomääräyksen mukaisia suojatoimia tai muita tietosuojaan liittyviä lakeja rikottu. Selvitysten perusteella CLPO voi tehdä tiedusteluyhteisöä sitovia päätöksiä tilanteen oikaisemiseksi. DPRC:n pääasiallisena tehtävänä on itsenäisesti tutkia ja ratkaista CLPO:n päätöksiä koskevat valitukset ja sillä on käytettävissään korjaavia toimivaltuuksia.

Tietosuojakehyksen implementointi presidentin toimeenpanomääräyksellä varsinaisen lainsäädäntömuutoksen sijaan ei ole täysin ongelmatonta. Toimeenpanomääräys ja siihen liittyvä Yhdysvaltain oikeusministeriön muutoksenhakutuomioistuinta koskeva asetus eivät itsessään muuta tiedustelu- ja tietosuojalainsäädäntöä, vaikka niillä onkin lainsäädäntöön rinnastuva vaikutus.

Toimeenpanomääräyksen ongelmaksi muodostuu lopulta sen väliaikainen luonne, sillä toimeenpanomääräys voidaan kumota huomattavasti helpommin kuin säädetty laki. Kestävämpi ratkaisu toimeenpanomääräykselle olisi ollut tietosuojakehyksen ja DPRC:n kodifiointi suoraan lainsäädäntöön. Tätä voitaisiin pitää tarkoituksenmukaisempana Euroopassa, jossa oikeussuojamekanismit ja muutoksenhakuelimet luodaan useimmiten erityisesti parlamentin säädöksillä, ei toimeenpanovallan säädöksillä.

Lisäksi on kyseenalaista, voidaanko muutoksenhakutuomioistuin DPRC:ia pitää tuomioistuimena termin perinteisessä oikeudellisessa merkityksessä tai onko DRPC:ia pidettävä riittävän riippumattomana ja sitovana tuomioistuimena eurooppaoikeudellisten periaatteiden valossa. Oikeusministeriön asetus perustaa DPRC:lle tehokkaat valtuudet tutkia rekisteröityjen valituksia, saada tarvittavia tietoja tiedustelupalveluilta sekä tehdä sitovia tietojenkäsittelyyn liittyviä päätöksiä.

DPRC rinnastuu vahvasti toimeenpanevaan hallintoviranomaiseen, jolla on lainkäyttötehtävä. DRPC kuitenkin eroaa oikeusasiamiehestä, jolle luotiin valvontatehtävä sittemmin pätemättömäksi todetulla Privacy Shield -järjestelyllä. Oikeusasiamiesmekanismia kritisoitiin Schrems II -tuomiossa esimerkiksi siitä, ettei viranomaisella ollut tosiasiallista tutkintavaltuutta eikä mahdollisuutta tehdä tiedustelupalveluita sitovia päätöksiä eikä siten keinoja toimia osana tehokasta oikeussuojajärjestelmää.

Toimeenpanomääräys ei vielä itsessään mahdollista vapaata tiedonsiirtoa EU:n ja Yhdysvaltojen välillä, vaan sen toteuttamiseksi tarvitaan tietosuojan tason riittävyyttä koskeva päätös.

Kun komissio on antanut päätösehdotuksensa, se käy läpi monivaiheisen hyväksymismenettelyn, jossa Euroopan tietosuojaneuvosto antaa päätösehdotuksesta neuvoa antavan lausunnon, EU:n jäsenvaltioiden edustajista koostuva komitea äänestää päätöksen hyväksymisestä ja Euroopan komission jäsenten kollegio hyväksyy päätösehdotuksen virallisesti. Lisäksi Euroopan parlamentilla on oikeus antaa neuvoa antava päätöslauselma missä tahansa vaiheessa menettelyä. Koko prosessin odotetaan kestävän noin puoli vuotta.

Ennen kuin komission valmistelema tietosuojan tason riittävyyttä koskeva päätös hyväksytään, henkilötietojen siirto EU:sta Yhdysvaltoihin edellyttää jonkin muun yleisen tietosuoja-asetuksen mukaisen siirtoperusteen soveltamista. Toimeenpanomääräyksen myötä yritysten tiedonsiirron vaikutustenarvioinnin tekemisen voidaan katsoa helpottuvan, sillä yritykset voivat ottaa arvioinnissaan huomioon toimeenpanomääräyksessä implementoidut suojatoimenpiteet.

Komissio on todennut toimeenpanomääräyksen tuovan merkittäviä parannuksia Yhdysvaltojen tietosuojan tasoon verrattuna aikaisempaan Privacy Shield -järjestelyyn, mutta nähtäväksi jää, katsotaanko toimeenpanomääräyksen olevan riittävän tehokas ja kestävä ratkaisu.

Jos yllä esitetyt näkökulmat herättävät kysymyksiä tai haluat muutoin keskustella asiasta lisää, asiantuntijamme keskustelevat mielellään näistä aiheista kanssanne.