Unionin tuomioistuin on tiistaina antamassaan merkittävässä ratkaisussa julistanut pätemättömäksi komission nk. Safe Harbor -päätöksen, jossa Yhdysvaltojen todetaan takaavan siirrettyjen henkilötietojen suojan riittävän tason (1). Sellaisten eurooppalaisten yritysten, jotka siirtävät eurooppalaisten henkilötietoja Yhdysvaltoihin, kannalta tämä tarkoittaa sitä, että yhdysvaltalaisen yrityksen sitoutuminen Safe Harbor -järjestelmään ei enää välttämättä riitä täyttämään henkilötietojen käsittelyä koskevan direktiivin vaatimusta tietosuojan riittävästä tasosta eikä henkilötietojen siirto Yhdysvaltoihin ole enää sallittua Safe Harbor -järjestelmän perusteella. Tuomioistuimen mukaan kansalliset viranomaiset voivat jopa keskeyttää eurooppalaisten henkilötietojen luovutuksen Yhdysvaltoihin, mikäli ne katsovat, että kyseisessä maassa ei ole taattu tietosuojan riittävää tasoa. Tuomioistuin ei ilmoittanut päätöksen pätemättömäksi katsomiselle siirtymäaikaa, joten päätös on pätemätön saman tien.

Ns. henkilötietodirektiivissä (95/46/EY) säädetään, että henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle vain, jos kyseisessä maassa taataan tietosuojan riittävä taso. Henkilötietoja voidaan siirtää tällaiseen maahan siltä osin kuin Euroopan yhteisöjen komissio on päätöksellään todennut, että kyseisessä maassa taataan sen sisäisen lainsäädännön tai sen kansainvälisten sitoumusten johdosta tietosuojan riittävä taso. Suomessa vastaavat säännökset on implementoitu henkilötietolain 22 ja 22a §:iin.

Tähän saakka yritykset ovat voineet siirtää EU:n ja ETA-maiden alueen henkilötietoja Yhdysvaltoihin komission vuonna 2000 antaman päätöksen nojalla, jossa todetaan, että USA:n ja EU:n välisten neuvottelujen tuloksena syntynyttä Safe Harbor -järjestelyä soveltavat yritykset takaavat riittävän tietosuojan tason. Komission päätös ei siis koske Yhdysvaltojen lainsäädäntöä sellaisenaan, vaan ainoastaan Safe Harbor -järjestelmään sitoutuneita yrityksiä. Osasyynä tähän on se, että Euroopan unionista poiketen Yhdysvalloissa ei ole yleistä tietosuojalainsäädäntöä, vaan käytössä on alakohtainen lähestymistapa, jossa yhdistyvät lainsäädäntö, sääntely ja itsesääntely.

Tuomioistuin totesi ratkaisussaan, että Safe Harbor -järjestelmää sovelletaan vain siihen vapaaehtoisesti sitoutuneissa yhdysvaltalaisissa yrityksissä, eikä järjestelmä sido esimerkiksi Yhdysvaltojen viranomaisia. Lisäksi Safe Harbor -järjestelmä on toissijainen Yhdysvaltojen kansalliseen turvallisuuteen, yleiseen etuun ja lakien noudattamiseen liittyviin vaatimuksiin nähden, minkä takia järjestelmää noudattavatkin yhdysvaltalaiset yritykset ovat velvollisia syrjäyttämään järjestelmän mukaiset suojasäännöt rajoituksetta silloin, kun ne ovat ristiriidassa näiden vaatimusten kanssa. Tämän lisäksi yksilön oikeussuojakeinot, kuten muun muassa tarkastusoikeus, katsottiin olemattomiksi. Tuomioistuin huomautti myös siitä, ettei komission Safe Harbor -päätöksessä edes todeta direktiivin vaatimusten mukaisesti, että Yhdysvallat olisi taannut sen sisäisen lainsäädännön tai sen kansainvälisten sitoumusten johdosta tietosuojan riittävän tason. Huomionarvoista on myös, että tuomioistuimen mukaan kansallisten valvontaviranomaisten on voitava komission päätöksestä huolimatta tutkia hakemuksesta täysin itsenäisesti, noudatetaanko henkilötietojen siirrossa kolmanteen maahan direktiivin asettamia vaatimuksia.

Unionin tuomioistuimen ratkaisun taustalla on kantelu, jonka Itävaltalainen Maximillian Schrems teki Irlannin valvontaviranomaiselle ja jossa hän katsoi, että Edward Snowdenin tekemien, NSA:n toimintaa koskevien paljastusten valossa Yhdysvaltojen oikeus ja käytännöt eivät tarjoa riittävää suojaa viranomaisten harjoittamalta Yhdysvaltoihin siirrettyjen tietojen tarkkailulta. Schremsin kantelun kohteena oli Facebookin irlantilaisesta tytäryhtiöstä Yhdysvalloissa sijaitseviin palvelimiin siirrettävien unionin kansalaisten tietojen tietoturvan taso. Irlannin viranomainen hylkäsi kantelun, jolloin asia saatettiin käsiteltäväksi High Court of Irelandiin, joka pyysi ennakkoratkaisua Euroopan unionin tuomioistuimelta. Ratkaisun seurauksena Irlannin valvontaviranomaisen on tutkittava Schremsin kantelu kaikkea asianmukaista huolellisuutta noudattaen ja arvioitava, onko Facebookin eurooppalaisten käyttäjien tietojen siirto Yhdysvaltoihin keskeytettävä direktiivin nojalla sen takia, että Yhdysvallat ei tarjoa henkilötietojen suojan riittävää tasoa.

Eurooppalaiset yritykset, jotka tahtovat siirtää eurooppalaisten henkilötietoja Yhdysvaltoihin, eivät siten jatkossa voi enää tehdä sitä Safe Harbor -järjestelmän perusteella. Yhtenä vaihtoehtona yrityksille on henkilötietojen käsittelyn siirto pois Yhdysvalloista, mutta mikäli tämä ei ole mahdollista, voidaan tietoturvan riittävä taso varmistaa muilla keinoin. Komissio on tiedotteessaan tuoreeltaan muistuttanut, että yritykset voivat edelleen varmistaa tietojen siirtämisen laillisuuden muiden EU:n tietosuojasääntelyn tarjoamien mekanismien avulla. Komission mukaan yritysten välisissä sopimuksissa voidaan käyttää EU:n mallisopimuslausekkeita ja konsernin sisäisissä siirroissa sitovia konsernin sisäisiä tietosuojasääntöjä (”Binding Corporate Rules”). Tämän lisäksi henkilötietoja voidaan luovuttaa yksilön vapaaehtoisen, yksilöidyn ja tietoisen suostumuksen perusteella (2). Euroopan tietosuojaryhmä (Working Party 29) on ryhtynyt toimenpiteisiin tilanteen selvittämiseksi.

(1): Tuomio asiassa C-362/14 Maximillian Schrems v. Data Protection Commissioner (englanninkielinen versio)

(2): Komission tiedote