EU-tuomioistuin totesi Privacy Shield -järjestelmän riittämättömäksi (Schrems II -asiassa)

EU-tuomioistuin on torstaina 16.7.2020 antamallaan päätöksellä todennut, että Yhdysvaltojen kanssa sovittu Privacy Shield -järjestelmä ei täytä EU:n tietosuojalainsäädännön vaatimuksia. Henkilötietojen siirtäminen EU:sta Yhdysvaltoihin Privacy Shield -järjestelmän perusteella on laitonta. Samassa yhteydessä EU-tuomioistuin vahvisti, että tietojen siirto niin sanottujen mallisopimuslausekkeiden perusteella on edelleen sallittua.

EU:n tietosuojalainsäädännön mukaan henkilötietoja ei saa siirtää EU:n ulkopuolelle, jos niiden osalta ei kohdemaassa olennaisilta osin noudateta samaa tietosuojan tasoa kuin EU:ssa. Koska Yhdysvaltain tietosuojasääntely eroaa EU:n sääntelystä, syntyi vuosituhannen vaihteessa tarve mekanismille, jonka turvin yritykset pystyivät siirtämään henkilötietoja EU:sta Yhdysvaltoihin vaarantamatta henkilötietojen suojaa. Tästä tarpeesta syntyi vuonna 2000 niin kutsuttu Safe Harbor -järjestelmä, jonka EU:n komissio katsoi takaavan EU:sta siirrettyjen henkilötietojen riittävän suojan Yhdysvalloissa.

Kun Safe Harbor -järjestelmä myöhemmin kumottiin riittämättömänä, laadittiin sen tilalle vuonna 2016 Privacy Shield -mekanismi. Privacy Shield -mekanismiin sitoutuminen ja siinä asetettujen edellytysten noudattaminen on mahdollistanut kansainvälisesti toimiville yrityksille tietojen siirron EU:n ja Yhdysvaltojen välillä siten, että tietosuoja ei ole vaarantunut. Myös EU-komissio linjasi, että Privacy Shield -mekanismin käyttäminen yritysten toiminnassa takasi riittävän tietosuojan tason tietoa Yhdysvaltoihin siirrettäessä.

EU-tuomioistuimen 16.7.2020 antama ratkaisu kumosi EU-komission tekemän päätöksen Privacy Shieldin riittävyydestä. Tuomioistuin linjasi, että arvioitaessa, saavatko EU:sta siirretyt henkilötiedot kohdemaassa olennaisesti saman tasoista suojaa kuin EU:ssa, on otettava huomioon paitsi sitoumukset, joita tietoa siirtävä taho on tehnyt, myös kohdemaassa vallitseva lainsäädäntö. Ratkaisun mukaan muun muassa Yhdysvaltojen lainsäädäntöön sisältyvät viranomaisten oikeudet tarkastella ja käyttää henkilötietoja, eivät täytä EU:n tietosuojasääntelyn vaatimuksia. Samoin tuomioistuin totesi, että oikeussuojakeinot puuttua henkilötietojen käsittelyyn Yhdysvalloissa eivät olleet EU-sääntelyn valossa riittäviä. Kun Privacy Shield -mekanismi ei poistanut näitä ongelmia, katsoi EU-tuomioistuin, että sen ei voitu katsoa olevan riittävä henkilötietojen suojan tae.

Päätöksen seurauksena yritykset eivät voi enää jatkossa käyttää Privacy Shield -järjestelmää vaan niiden on turvauduttava muihin mekanismeihin, kuten EU-komission antamiin niin kutsuttuihin mallisopimuslausekkeisiin. Mallisopimuslausekkeita käyttämällä yritykset voivat keskinäisissä suhteissaan sitoutua henkilötietojen suojaamiseen EU-lainsäädännön edellyttämällä tasolla. Osalle yrityksistä mallisopimuslausekkeiden käyttö voi olla huomattavasti Privacy Shieldiin sitoutumista työläämpää. Toistaiseksi ei ole tiedossa, miten nopeasti yritykset käytännössä pystyvät päätöksen seurauksena siirtymään muihin mekanismeihin ja kuinka tietosuojaviranomaiset suhtautuvat ennen uusien järjestelyien käyttöönottoa välttämättömiin väliaikaisjärjestelyihin.

Lisätietoa