back

Irlannin tietosuojaviranomainen katkaisemassa henkilötietojen siirtämisen Yhdysvaltoihin Facebookilta?

The Wall Street Journal (“WSJ”) raportoi myöhään keskiviikkoiltana (9. syyskuuta 2020), että Irlannin tietosuojaviranomainen (“DPC”) olisi lähettänyt alustavan määräyksen Facebookille katkaista henkilötietojen siirtäminen EU:sta Yhdysvaltoihin. Asia on jatkoa EU Tuomioistuimen heinäkuiselle päätökselle, jossa todetaan ettei Yhdysvalloissa voida taata GDPR:n takaamaa tietosuojan tasoa.

 

Koska asia ei rajoitu pelkästään Facebookiin, vaan vaikuttanee lähes jokaiseen suomalaiseen yritykseen, kehotamme kaikkia yrityksiä seuraamaan asian etenemistä tarkasti.

 

Asian taustaa lyhyesti

 

Kun henkilötietoja siirretään EU:n tai Euroopan Talousalueen ulkopuolelle (ns. ‘kolmansiin maihin'), GDPR:n takaama henkilötietojen suojan taso heikkenee. Tästä johtuen, GDPR sisältää erityisiä ehtoja, joilla tällaisia siirtoja voidaan toteuttaa. Henkilötietoja on voitu siirtää esimerkiksi Yhdysvaltoihin hyödyntäen EU:n ja Yhdysvaltojen välillä neuvoteltua EU-US Privacy Shield -järjestelyä tai EU Komission laatimia mallisopimuslausekkeita. Näillä siirtomekanismeilla on pyritty siihen, että GDPR:n takaama korkea henkilötietojen suojan taso säilyisi myös siirron jälkeen.

 

Heinäkuussa antamassaan ratkaisussa (asia C-311/18 ‘Schrems II’) EU Tuomioistuin kuitenkin mitätöi Privacy Shieldin katsoen, että Yhdysvaltojen ‘vakoilulainsäädännöstä’ johtuen Privacy Shield -järjestelyllä ei voida taata GDPR:n edellyttämää tietosuojan tasoa. Ratkaisu jätti myös isoja kysymysmerkkejä EU Komission laatimien mallisopimuslausekkeiden hyödyntämiselle, sillä kahden yrityksen välinen sopimus ei estä Yhdysvaltojen lainsäädännön soveltumista Yhdysvaltalaisiin henkilötietojen vastaanottajiin.

 

Esimerkiksi 702 luku Yhdysvaltain Foreign Intelligence Surveillance Actistä ("FISA 702") sallii ja voi velvoittaa Yhdysvaltalaiset yhtiöt luovuttamaan myös EU alueella säilytettäviä henkilötietoja Yhdysvaltain viranomaisille. Ongelma on siis paljon luultua laajempi, eikä se korjaannu pelkästään sillä, että palveluntarjoaja lupaa säilyttää henkilötietoja EU:n alueella. On syytä huomioida, että Yhdysvaltain perustuslain neljäs lisäys ("Fourth Amendment") suojaa Yhdysvaltain kansalaisia FISA 702 piiriin kuuluvaa valvontaa kohtaan, mutta ei esimerkiksi EU :n kansalaisia.

 

Facebookin vastine asiaan

 

Facebook vahvisti WSJ:n väitteen julkaisemalla asiaa koskevan tiedotteen sivuillaan. Tiedotteessaan Facebook kertoo vastaanottaneensa asiaa koskevan tiedustelun Irlannin tietosuojaviranomaiselta ja että tässä tiedustelussa DPC katsoisi, ettei EU Komission mallisopimuslausekkeita voida enää hyödyntää Yhdysvaltoihin tapahtuvien henkilötietojen siirtojen osalta.

 

Tiedotteessaan Facebook myös varoittaa niistä seurauksista, joihin asia voi pahimmillaan johtaa. Esimerkiksi Irlannin Covid-19 seurantasovellus hyödyntää Yhdysvaltalaista palveluntarjoaa, jolle henkilötietoja siirretään mallisopimuslausekkeita hyödyntäen. Samoin, startupit eivät jatkossa voisi enää välttämättä hyödyntää Yhdysvaltalaisia pilvipalveluntarjoajia. Edelleen, erilaisten videoneuvotteluun käytettyjen työkalujen käyttö jatkossa voi olla ongelmallista.

 

Ainakin yhdessä asiassa olemme Facebookin kanssa samaa mieltä: yritykset kaipaavat nyt kipeästi selkeitä ohjeita ja pelisääntöjä asiaan liittyen.

 

Mitä seuraavaksi tapahtuu?

 

Ei välttämättä mitään, ainakaan moneen vuoteen. Itävaltalainen NOYB, joka on alkuperäisen EU Tuomioistuimen päätökseen johtaneen kantelun taustalla, kirjoittaa sivuillaan, että Irlannin DPC olisi käynnistämässä asiassa uutta tutkintaa. Mikäli tämä pitää paikkansa, on asiassa edessä samanlainen vuosia kestävä prosessi, kuin mitä on ollut Privacy Shieldiin ja sen edeltäjään Safe Harboriin liittyen. NOYB:n taustalla vaikuttava Max Schrems nosti alkuperäisen kanteen jo yli 7 vuotta sitten, eikä kantelun varsinaiselle kohteelle, eli Facebookin toimesta tapahtuvalle henkilötietojen siirrolle Yhdysvaltoihin ole vieläkään tehty mitään.

 

DPC:n käynnistämä uusi tutkinta vaikuttaisi liittyvän siihen, että Facebook näyttää jälleen vaihtaneen käytettyä siirtomekanismia henkilötietojen siirtoon, tällä kertaa Privacy Shieldistä EU Komission mallilausekkeisiin. NOYB kertoo sivuillaan hakevansa Irlantilaiselta tuomioistuimelta kieltotuomiota, jolla DPC:tä kiellettäisiin asian viivyttäminen tällä tavoin.

 

NOYB on myös aiemmin tehnyt 101 valitusta heinäkuiseen EU Tuomioistuimen päätökseen liittyen. Valituksissa yritysten väitetään käyttävän Googlen ja Facebookin teknologiaa verkkosivuillaan ja tällä tavoin siirtävän henkilötietoja Yhdysvaltoihin vastoin GDPR:n säännöksiä. Valitusten kohteena on myös suomalaisia yrityksiä, kuten MTV Internet ja Danske Bank A/S. Euroopan Tietosuojaneuvosto kertoo tiedotteessaan perustaneensa erityisen työryhmän, joka alkaa käsitellä näitä valituksia varmistaen yhdenmukaisen soveltamisen jäsenvaltioissa.

 

Tilanne on yritysten kannalta äärimmäisen hankala

 

Vaikka kukaan ei odottanutkaan, että maailma muuttuisi hetkessä EU Tuomioistuimen antaman ratkaisun jälkeen, on asia kuitenkin saamassa samoja piirteitä kuin EU Tuomioistuimen aiempi ratkaisu Privacy Shieldin edeltäjää Safe Harboria koskien. Kyseisessä ratkaisussa C-362/14 ("Schrems I") EU Tuomioistuin mitätöi Safe Harborin, joka oli Privacy Shieldiä vastaava järjestely henkilötietojen siirtoihin EU:sta Yhdysvaltoihin. Vaikka Schrems II ei tullutkaan yllätyksenä kenellekään tietosuojan parissa työskentelevälle, on epäselvää, voivatko yritykset jatkaa täysin toimettomana, kuten tapahtui Schrems I päätöksen jälkeen. Yhdysvaltain kauppaministeriö julkaisi 10.8.2020 lehdistötiedotteen, jonka perusteella uutta vastaavaa siirtomekanismia neuvoteltaisiin jo Yhdysvaltojen ja EU:n välillä. Olen henkilökohtaisesti ehdottanut sen nimeksi tulevan Privacy Trampoline 3.0, sillä se tuskin muuttaa nykytilannetta mihinkään, ellei Yhdysvallat muuta kansallista lainsäädäntöään, joka on selkeässä ristiriidassa EU lainsäädännön kanssa.

 

Yritysten riskiä nostaa nyt myös se, että valvontaviranomaisten viivästyneisiin käsittelyaikoihin ja toimettomuuteen on turhauduttu. Politico raportoi jo aiemmin elokuussa, kuinka 'amerikkalaistyyliset' joukkokanteet ovat lisääntymässä myös Euroopassa. Nähtäväksi jää, kuinka yritykset voivat puolustautua näitä joukkokanteita vastaan tilanteessa, jossa valvontaviranomaiset nostavat kädet pystyyn.