Euroopan unionin tuomioistuimen Safe Harbor -ratkaisu edellyttää käytännön toimenpiteitä yrityksiltä

22 lokakuuta 2015

Elli Laine

Euroopan unionin tuomioistuin julisti 6.10.2015 antamassaan tuomiossa pätemättömäksi komission päätöksen, jolla Yhdysvaltojen käyttämän Safe Harbor -järjestelyn katsottiin takaavan riittävän henkilötietojen suojan tason siirrettäessä henkilötietoja Yhdysvaltoihin. Tuomioistuimen mukaan kansalliset viranomaiset voivat keskeyttää Facebookin eurooppalaisia käyttäjiä koskevien tietojen siirtämisen Yhdysvalloissa sijaitseville palvelimille. Päätös edellyttää yrityksiä ja muita henkilötietoja Yhdysvaltoihin siirtäviä tahoja arvioimaan uudelleen sopimuksiaan ja tietojen siirrossa hyödynnettyjä käytäntöjä. Jäsenvaltioiden tietosuojaviranomaisten muodostama 29 artiklan mukainen tietosuojatyöryhmä on ilmoittanut antavansa Yhdysvaltoihin henkilötietoja siirtäville eurooppalaisille yrityksille kolme kuukautta aikaa siirtyä Safe Harbor -järjestelystä vaihtoehtoiseen toimintamalliin.

1.      Taustaa

Euroopan komissio on päätöksellään (2000/52/EY) aiemmin todennut, että Yhdysvaltojen ylläpitämä Safe Harbor -järjestely takaa EU:n henkilötietodirektiivin (95/46/EY) edellyttämän riittävän henkilötietojen suojan tason siirrettäessä henkilötietoja Yhdysvaltoihin.  Safe Harbor -järjestelyyn voi vapaaehtoisesti liittyä yhdysvaltalainen organisaatio, joka sitoutuu noudattamaan Yhdysvaltojen kauppaministeriön (US Department of Commerce) ja komission yhdessä hyväksymiä periaatteita sekä usein kysyttyjen kysymysten (Frequently Asked Questions, FAQs) ohjeistusta periaatteiden täytäntöönpanemiseksi. Safe Harbor -järjestelyssä rekisteröidyille on taattu vähintään henkilötietodirektiivin mukaiset oikeudet liittyen esimerkiksi rekisteröidyn oikeuteen tarkastaa häntä koskevat tiedot ja pyytää näitä tietoja poistettaviksi.

Esimerkiksi Facebook Ireland on käyttänyt Safe Harbor -järjestelyä siirtäessään palvelunsa käyttäjien tietoja Yhdysvaltoihin. EU:n alueella asuvat Facebookin käyttäjät tekevät sopimuksen Facebook Irelandin kanssa, joka on yhdysvaltalaisen Facebook Inc:n tytäryhtiö. EU:n alueella asuvien Facebook Irelandin käyttäjien tiedot siirretään kokonaan tai osittain emoyhtiön palvelimille Yhdysvaltoihin.

Facebook Inc on liittynyt Safe Harbor -järjestelyyn. Itävallan kansalainen Maximillian Schrems teki vuonna 2013 Irlannin tietosuojaviranomaiselle kantelun vedoten siihen, että Yhdysvaltojen oikeus ja käytänteet eivät takaa tosiasiallista suojaa Yhdysvaltojen alueella säilytetyille tiedoille valtion harjoittamaa tarkkailua vastaan. Schrems vetosi Edward Snowdenin toukokuusta 2013 lähtien tekemiin paljastuksiin Yhdysvaltojen tiedustelupalvelun ja kansallisen turvallisuusviranomaisen (National Security Agency, NSA) toiminnasta.

Irlannin tietosuojaviranomainen hylkäsi Schremsin kantelun muun muassa sillä perusteella, että komissio on Safe Harbor -päätöksessään todennut Yhdysvaltojen takaavan riittävän henkilötietojen suojan tason Safe Harbor -järjestelyn yhteydessä. High Court of Ireland, jonka käsiteltäväksi asia saatettiin, tiedusteli unionin tuomioistuimelle esittämässään ennakkoratkaisupyynnössä, onko komission vuonna 2000 tekemä päätös esteenä sille, että kansallinen tietosuojaviranomainen tutkii kantelun, jonka mukaan jokin kolmas maa ei takaa tietosuojan riittävää tasoa, ja tarvittaessa keskeyttää riidanalaisen tietojen siirron.

2.     Komissio ei voi rajoittaa kansallisten tietosuojaviranomaisten toimivaltaa

Unionin tuomioistuimen mukaan komission päätös henkilötietojen suojan riittävästä tasosta ei voi heikentää kansallisten tietosuojaviranomaisten toimivaltaa henkilötietodirektiivin nojalla. Tuomioistuin toteaa päätöksessään, että komissiolla ei ole toimivaltaa rajoittaa kansallisten tietosuojaviranomaisten toimivaltaa, joka valvontaviranomaisilla on Euroopan unionin perusoikeuskirjan ja henkilötietodirektiivin nojalla. Tietosuojaviranomaisten tulee voida tutkia itsenäisesti hakemuksesta komission päätökset ja arvioida noudatetaanko tietojen siirrossa kolmanteen maahan henkilötietodirektiivissä säädettyjä vaatimuksia.

Tuomioistuin painottaa tuomioissaan toimivaltaansa päättää viime kädessä komission päätösten pätevyydestä. Mikäli kansallinen viranomainen pitää komission päätöstä pätemättömänä, se voi saattaa asian käsiteltäväksi kansalliseen tuomioistuimeen. Jos kansallinen tuomioistuin epäilee päätöksen pätevyyttä, se voi esittää ennakkoratkaisupyynnön unionin tuomioistuimelle.

3.     Safe Harbor -päätöksen nojalla tehty tietojen siirto on Euroopan unionin perusoikeuskirjan vastainen

Tuomion mukaan komissio on velvollinen toteamaan, että Yhdysvallat takaa riittävän henkilötietojen suojan tason lainsäädännön ja kansainvälisten sopimusten johdosta. Tämän tietosuojan tason tulisi vastata Euroopan unionin perusoikeuskirjan valossa arvioitua henkilötietodirektiivin takaamaa tasoa. Tuomioistuin huomauttaa, että komissio ei ole tehnyt tällaista toteamusta, vaan on ainoastaan tutkinut Safe Harbor -järjestelyä.

Tuomioistuin ei ota tuomiossaan kantaa siihen, taataanko Safe Harbor -järjestelyssä unionin tietosuojan tasoa vastaava taso. Tuomioistuin kuitenkin toteaa, että Safe Harbor -järjestelyyn kuuluvat siihen vapaaehtoisesti liittyneet yhdysvaltalaiset yritykset, mutta Yhdysvaltojen viranomaisten ei tarvitse noudattaa sen vaatimuksia. Silloin kun Safe Harbor -järjestelyn rajoitukset ovat ristiriidassa Yhdysvaltojen kansalliseen turvallisuuteen, yleiseen etuun ja lakien noudattamiseen liittyvien vaatimusten kanssa, yhdysvaltalaiset yritykset ovat velvollisia asettamaan vaatimukset Safe Harbor -päätöksen asettamien rajoitusten edelle.  Siten Yhdysvaltojen viranomaisilla on mahdollisuus unionin kansalaisten henkilötietojen laajamittaiseen keräämiseen.

Unionin tuomioistuimen mukaan Yhdysvaltojen viranomaisten yleinen ja erottelematon pääsy siirrettyihin tietoihin merkitsee perusoikeuskirjassa taattuihin oikeuksiin puuttumista suhteellisuusperiaatteen vastaisesti. Lisäksi unionin tuomioistuimen mukaan sellainen lainsäädäntö, joka sallii viranomaisten pääsyn luottamuksellisia viestejä sisältävään viestiliikenteeseen, on katsottava perusoikeuskirjassa turvattuja oikeuksia loukkaavaksi.

4.     Komission Safe Harbor -päätös on pätemätön

Unionin tuomioistuin toteaa tuomiossaan, että komission Safe Harbor -päätös kieltää kansallisilta tietosuojaviranomaisilta heille henkilötietodirektiivin 28 artiklan perusteella kuuluvan toimivallan, kun henkilö kyseenalaistaa sen, onko komission päätös ristiriitainen yksityiselämän suojan ja perusoikeuksien kanssa. Lisäksi tuomioistuimen mukaan Safe Harbor -päätös ei anna mitään mahdollisuutta yksityishenkilöille käyttää oikeussuojakeinoja, joiden avulla rekisteröidyt voisivat tarkastaa heitä koskevat tiedot tai saada tiedot oikaistuksi taikka poistetuiksi. Järjestely rikkoo tehokasta oikeussuojaa koskevan perusoikeuden keskeistä sisältöä.

Tuomioistuin toteaa tuomion lopuksi, että komission Safe Harbor -päätös on pätemätön. Tuomioistuin velvoittaa Irlannin tietosuojaviranomaisen tutkimaan Schremsin kantelun asianmukaista huolellisuutta noudattaen. Tietosuojaviranomaisen tulee päättää, onko Facebookin eurooppalaisten käyttäjien tietojen siirto Yhdysvaltoihin keskeytettävä henkilötietodirektiivin nojalla siksi, että Yhdysvallat ei tarjoa riittävää tietosuojan tasoa.

5.     Mitä tuomiosta seuraa?

Euroopan unionin tuomioistuimen tuomio on lopullinen eikä siitä voida valittaa. Tuomio tulee voimaan välittömästi. Jäsenvaltioiden tuomioistuimet voivat kuitenkin esittää unionin tuomioistuimelle uusia ennakkoratkaisupyyntöjä asiaan liittyen, jolloin tuomioistuin voi tarkistaa kantaansa. On kuitenkin selvää, että tuomion valossa henkilötietojen siirto Yhdysvaltoihin Safe Harbor -järjestelyn puitteissa ei ole sallittua.

Tuomioistuimen tuomion ajankohta on mielenkiintoinen erityisesti siksi, että Safe Harbor -järjestelystä neuvotellaan parhaillaan komission ja yhdysvaltalaisten viranomaisten välillä. On mahdollista, että vanha Safe Harbor -päätös olisi joka tapauksessa korvattu uudella järjestelyllä.

Toisaalta Euroopan parlamentti, neuvosto ja komissio neuvottelevat parhaillaan uuden tietosuoja-asetuksen sisällöstä. Asetustekstin odotetaan valmistuvan vuoden 2015 lopussa. Uusi tietosuoja-asetus voi muuttaa henkilötietojen siirrolle asetettuja vaatimuksia ja luoda niitä varten uusiakin käytäntöjä. Asetus tulee voimaan kahden vuoden siirtymäajan jälkeen laskettuna sen hyväksymisestä.

6.     Kansallisten tietosuojaviranomaisten reaktiot

Tuomioistuimen ratkaisu antaa kansallisille tietosuojaviranomaisille laajat valtuudet tutkia itsenäisesti sitä, noudatetaanko henkilötietojen siirrossa henkilötietodirektiivissä säädettyjä vaatimuksia. Lisäksi kansalliset tietosuojaviranomaiset voivat keskeyttää eurooppalaisia rekisteröityjä koskevien tietojen siirtämisen Yhdysvalloissa sijaitseville palvelimille. Tämä voi johtaa jäsenvaltioiden tietosuojaviranomaisten toisistaan eroaviin kannanottoihin ja päätöksiin siitä huolimatta, että tietosuojaviranomaisten välinen yhteistyö on tiivistynyt enenevissä määrin.

Artikla 29:n mukainen tietosuojatyöryhmä piti ylimääräisen kokouksen Safe Harboria koskevaan tuomioon liittyen 15.10.2015. Työryhmään kuuluvat jäsenvaltioiden tietosuojaviranomaiset. Tietosuojatyöryhmä ilmoitti pitävänsä tärkeänä sitä, että tietosuojaviranomaiset noudattavat yhtenäistä linjaa tuomion jälkeisissä toimenpiteissä. Tietosuojaviranomaiset pitivät selvänä sitä, että yritykset eivät voi siirtää henkilötietoja Yhdysvaltoihin Safe Harbor -järjestelyn nojalla. Tietosuojaviranomaiset pitivät erityisen merkittävänä tuomioistuimen analyysiä Yhdysvaltojen viranomaisten laajasta ja erottelemattomasta valvonnasta, joka kohdistuu myös eurooppalaisiin rekisteröityihin. Tietosuojatyöryhmä painotti, että se on jatkuvasti todennut tällaisen valvonnan olevan ristiriidassa EU-oikeuden kanssa. 

Tietosuojatyöryhmä totesi, että se antaa komissiolle ja Yhdysvaltojen viranomaisille tammikuun 2016 loppuun asti aikaa löytää ratkaisu tietojen siirron oikeutukselle. Tänä aikana tietosuojatyöryhmä aikoo myös tutkia muita henkilötietojen siirrossa käytettyjä perusteita. Tammikuun jälkeen tietosuojatyöryhmä ryhtyy tuomion antamien toimivaltuuksien mukaisiin toimenpiteisiin, jos ratkaisua ei ole löytynyt. Tietosuojaviranomaisten mukaan parhaillaan meneillään olevat neuvottelut Safe Harbor -järjestelyn uudistamiseksi voisivat tuoda ratkaisun tilanteeseen.

Tietosuojaviranomaiset aikovat arvioida tuomioistuimen ratkaisun vaikutukset muihin tietojen siirrossa käytettyihin perusteisiin. Tämän arvioinnin aikana komission julkaisemat mallisopimuslausekkeet ja konsernin sisäiset tietosuojasäännöt ovat tietosuojatyöryhmän mukaan käyttökelpoisia välineitä henkilötietojen siirrossa Yhdysvaltoihin. Tämä ei kuitenkaan estä tietosuojaviranomaisia tutkimasta yksittäisiä tapauksia esimerkiksi valitusten perusteella. Esimerkiksi saksalaiset tietosuojaviranomaiset ovat esittäneet toisistaan poikkeavia näkökantoja mallisopimuslausekkeiden ja suostumuksen soveltumisesta Yhdysvaltoihin tapahtuvan tietojen siirron perusteena. Suomen tietosuojavaltuutettu on todennut, että esimerkiksi mallilausekkeita voidaan lähtökohtaisesti käyttää tietojen siirron perusteena.

7.      Askelmerkit yrityksille jotka siirtävät henkilötietoja Yhdysvaltoihin

Tuomioistuimen ratkaisu aiheuttaa toimenpidevelvoitteita yrityksille, jotka siirtävät itse, ulkoistuskumppaneiden tai muiden alihankkijoiden välityksellä henkilötietoja Euroopan unionin alueelta Yhdysvaltoihin ja ovat tukeutuneet Safe Harbor -järjestelyyn. Näiden yritysten on nyt etsittävä vaihtoehtoisia ratkaisuja henkilötietojen lainmukaiseen siirtämiseen, mikä tarkoittaa muun muassa tietojensiirtoa koskevien sopimusten uudelleen arviointia:

  • Yritykset voivat selvittää mahdollisuudet säilyttää henkilötietoja Euroopan unionin tai ETA-alueen valtioissa sekä mahdollisuudet tarjota palveluita näillä alueilla sijaitsevista palvelukeskuksista.
  • Yritykset voivat tehdä yhdysvaltalaisten yhteistyökumppanien kanssa erilliset tietosuojasopimukset, joissa sopimuskumppani sitoutuu noudattamaan henkilötietodirektiivin edellyttämää tietosuojan tasoa. Nämä sopimukset tulee laatia huolellisesti, jotta tietosuojan taso voidaan todella taata niiden perusteella ja ne tulee hyväksyttää toimivaltaisella tietosuojaviranomaisella.
  • Yritykset voivat ottaa käyttöön EU:n komission mallisopimuslausekkeet, joiden tavoitteena on helpottaa henkilötietojen siirtoa kolmanteen maahan sekä samalla taata tietosuojan riittävä taso. Mallisopimuslausekkeissa henkilötietojen siirron saaja sitoutuu noudattamaan tiettyjä tietosuojavelvoitteita ja -periaatteita.
  • Rekisteröidyiltä voidaan pyytää suostumusta henkilötietojen siirtoon. Suostumuksen tulee olla vapaaehtoinen, yksilöity ja tietoinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn. Tämän osalta tulee kuitenkin ottaa huomioon, että suostumuksen voi aina perua. Suostumuksen pyytäminen voi myös olla raskas ja hankala toteuttaa. Koska työntekijän työnantajalle antamaa suostumusta ei aina pidetä vapaaehtoisena, työntekijöiden tietojen siirtoa ei voida välttämättä suorittaa tällä perusteella.
  • Konsernit voivat hyödyntää konsernin sisäisiä tietosuojasääntöjä (BCR, Binding Corporate Rules). Tässä järjestelyssä konserni sitoutuu noudattamaan henkilötietodirektiivin vaatimuksia, jotka takaavat riittävän tietosuojan tason konsernissa.

Yritysten on tärkeää tiedostaa muuttunut tilanne ja harkita niille käytännöllisimpiä vaihtoehtoja henkilötietojen siirron järjestämisen osalta. Toimenpiteitä on syytä harkita ennen kuin tuomioistuimen uutta tulkintaa aletaan panna laajemmin täytäntöön. Vaihtoehtojen toteuttamisessa on syytä huomioida kansallisten tietosuojaviranomaisten antama ohjeistus. Tietosuojatyöryhmän kokouksessa tietosuojaviranomaiset päättivät aloittaa tiedotuskampanjan tuomioistuimen ratkaisun vaikutuksista kansallisella tasolla. Kampanjaan voi liittyä sekä yleisiä tiedotteita viranomaisten verkkosivuilla että suoria yhteydenottoja yrityksiin jotka siirtävät henkilötietoja Yhdysvaltoihin Safe Harbor -järjestelyn perusteella.