Uusi toimeenpanomääräys – ja sen vaikutukset henkilötietojen siirtoon Euroopasta Yhdysvaltoihin

Privacy Shieldin kumoamisen jälkeen heinäkuussa 2020 Euroopan yhteisöjen tuomioistuimen (EUT) päätöksellä ("Schrems II -tapaus"), Yhdysvaltoihin suuntautuvat henkilötietojen siirrot ovat perustuneet tietosuoja-asetuksen 46 artiklan mukaisiin siirtoperusteisiin, erityisesti vakiosopimuslausekkeisiin. Toukokuussa presidentti von der Leyen ja presidentti Biden ilmoittivat päässeensä periaatesopimukseen uudesta EU:n ja Yhdysvaltojen välisestä tietosuojakehyksestä (EU-US DPF). Ensimmäisenä merkittävänä virallisena askeleena Presidentti Biden allekirjoitti 7. lokakuuta EU:n ja Yhdysvaltojen tietosuojakehyksen toteuttamiseksi toimeenpanomääräyksen "Enhancing Safeguards for United States Signals Intelligence Activities".

Tämä uusi toimeenpanomääräys on laadittu Schrems II -tapauksen valossa, ja sen ilmeisenä tavoitteena on vastata EU:n tuomioistuimen esille tuomiin tietosuojaa koskeviin huolenaiheisiin: EU:ssa sijaitsevien henkilöiden tietosuoja on Yhdysvalloissa ollut heikompi tai sitä ei ole ollut lainkaan.

Täytäntöönpanomääräyksen implementoinnin myötä näyttää siltä, että olemme pääsemässä lähemmäksi Euroopan komission tekemää riittävyyspäätöstä, kuten Yhdistyneen Kuningaskunnan tapauksessa.

Periaatteet

Täytäntöönpanomääräyksessä vahvistetaan pari periaatetta, jotka ovat hyvin samankaltaisia kuin yleisen tietosuoja-asetuksen 5 artiklassa säädetyt henkilötietojen käsittelyä koskevat periaatteet: tietojen minimointi, säilyttäminen, tietoturva ja pääsy tietoihin, tietojen laatu ja dokumentointi. Kaikkien signaalitiedustelun avulla kerättyjä henkilötietoja käsittelevien Yhdysvaltojen tiedustelupalvelujen on noudatettava näitä periaatteita, ja periaatteita on monissa tapauksissa sovellettava nimenomaisesti muiden kuin yhdysvaltalaisten henkilöiden henkilötietoihin samalla tavalla kuin yhdysvaltalaisiin henkilöihin.

Turvatoimet

Uuden toimeenpanomääräyksen myötä Yhdysvaltojen signaalitiedustelutoimintaa valvotaan entistä paremmin. Näillä suojatoimilla rajoitetaan Yhdysvaltojen tiedusteluviranomaisten pääsy tietoihin siihen, mikä on välttämätöntä ja oikeasuhteista kansallisen turvallisuuden suojelemiseksi. Signaalitiedustelutietojen keruutoimia saa toteuttaa vain tiettyjen uudessa täytäntöönpanomääräyksessä määriteltyjen oikeutettujen tavoitteiden saavuttamiseksi (kuten vieraan hallituksen, armeijan tai organisaation voimavarojen, aikomusten tai toiminnan ymmärtämiseksi tai arvioimiseksi sekä terrorismilta, vakoilulta, kyberturvallisuusuhilta ja kansainvälisiltä rikollisilta uhkilta suojautumiseksi) kansalaisuudesta tai asuinmaasta riippumatta.

Näiden uusien suojatoimien toteuttamiseksi toimeenpanomääräys edellyttää, että Yhdysvaltain tiedustelupalvelut tarkistavat ja päivittävät toimintatapojaan ja menettelyjään. Tätä työtä arvioivat kansalaisvapauksien suojelusta vastaava virkamies (Civil Liberties Protection Officer, CLPO) ja yksityisyyden ja kansalaisvapauksien valvontalautakunta (Privacy and Civil Liberties Oversight Board). Nähtäväksi jää, ovatko EU:n ja Yhdysvaltojen määritelmät välttämättömyydestä ja oikeasuhteisuudesta samat ja katsooko EUT tätä riittäväksi.

Tietojen kerääminen

Kohdennettu tietojen keruu on asetettava etusijalle. Signaalitiedustelun massakeruuta ei tule tehdä, ellei ole todettu, ettei tietoja voida kohtuudella saada kohdennetulla keruulla. Tällöin on sovellettava kohtuullisia menetelmiä ja teknisiä toimenpiteitä kerättyjen tietojen rajoittamiseksi välttämättömään. Lisäksi massakeruuta saa käyttää ainoastaan uudessa täytäntöönpanomääräyksessä lueteltujen erityistavoitteiden saavuttamiseksi.

Oikeussuojakeinot

Yksityishenkilöille on luotu uusi monitasoinen mekanismi, jonka avulla he voivat hakea oikeussuojaa tapauksissa, joissa he haluavat nostaa kanteen ja tehdä valituksen. Ensimmäinen muutoksenhakutaso on CLPO. EU:n kansalaiset voivat tehdä valituksen CLPO:lle, jonka tehtävänä on varmistaa, että Yhdysvaltojen tiedustelupalvelut noudattavat yksityisyyden suojaa ja perusoikeuksia. Yksityishenkilöillä on mahdollisuus valittaa CLPO:n päätöksestä toiselle tasolle eli tietosuojaa käsittelevään muutoksenhakutuomioistuimeen (DPRC). Tuomioistuimen muodostavat muut kuin yhdysvaltalaiset tietosuoja- ja kansallisen turvallisuuden asiantuntijat. DPRC:n päätös on sitova.

Yksityishenkilöiden valitukset on tehtävä toimivaltaisen valtion asianmukaisen viranomaisen välityksellä. Arvion siitä, onko kyseessä vaatimukset täyttävä valtio vai ei, tekee Yhdysvaltain oikeusministeri, ja se perustuu Yhdysvaltain lakeihin, joiden mukaan yhdysvaltalaisten henkilötietoja on käsiteltävä asianmukaisesti. Oikeusministeri voi peruuttaa nimityksen, jos kriteerit eivät enää täyty.

Euroopan komissio on ilmoittanut valmistelevansa luonnoksen tietosuoja-asetuksen 45 artiklan mukaiseksi tietosuojan riittävyyttä koskevaksi päätökseksi uuden täytäntöönpanomääräyksen perusteella ja käynnistävänsä hyväksymismenettelyn, joka voi kestää jopa kuusi kuukautta. Euroopan tietosuojaneuvostoa (EDPB) kuullaan luonnoksesta, mutta sen lausunto ei sido komissiota. Sen jälkeen EU:n jäsenvaltiot äänestävät päätöksestä. Viimeisenä ja lopullisena vaiheena komissio hyväksyy virallisesti tietosuojan riittävyyttä koskevan päätöksen. Tämä prosessi kestää yleensä neljästä viiteen kuukautta sen jälkeen, kun komissio on viimeistellyt luonnoksensa.

Yhteenvetona voidaan todeta, että tämä täytäntöönpanomääräys on vasta ensimmäinen askel kohti sujuvampaa henkilötietojen siirtoa Atlantin yli. Odotamme mielenkiinnolla arviointia siitä, ovatko täytäntöönpanomääräyksen määritelmät linjassa yleisen tietosuoja-asetuksen määritelmien kanssa ja katsotaanko suojatoimet riittäviksi komission riittävyyspäätöksen yhteydessä. Kun riittävyyttä koskeva päätös on tehty, saattaa kuitenkin olla, että lopulta asia käsitellään EU:n tuomioistuimessa.