Euroopan Unionin komissio julkaisi EU:n ja Yhdysvaltojen välille neuvotellun henkilötietojen siirtokehyksen luonnoksen (Data Privacy Framework) 13.12.2022. Prosessi on nyt edennyt vaiheeseen, jossa Euroopan Unionin parlamentti sekä Euroopan Tietosuojaneuvosto ovat antaneet omat mielipiteensä luonnoksen sisällöstä.

Kaksijakoinen vastaanotto

EU-parlamentin ja tietosuojaneuvoston vastaanotto on ollut kaksijakoinen. Toisaalta tuodaan esille se, että päätösluonnoksessa on merkittäviä parannuksia verrattuna aikaisempaan Privacy Shieldiin. Luonnos sisältää kuitenkin edelleen lukuisia huolenaiheita sekä EU-parlamentin että Tietosuojaneuvoston näkökulmasta. 

Huomionarvoista on se, että tietosuojaneuvoston edeltäjä WP29:n vuonna 2016 antamat kommentit liittyen aikaisempaan Privacy Shieldin päätösluonnokseen olivat hyvin samanlaiset aikanaan. Myös Privacy Shield toi merkittävät parannukset verrattuna tätä edeltäneeseen Safe Harboriin.

Parannuksia Privacy Shieldiin nähden

Yhdysvaltojen tiedusteluviranomaisten tulee päätösluonnoksen mukaan toimia suhteellisuus- ja oikeasuhteisuusperiaatteiden mukaisesti. Henkilötietojen siirtokehyksen luonnos takaakin rekisteröidyillä paremmat oikeussuojakeinot verrattuna Privacy Shieldin takaamiin. 

Komission päätösluonnos keskittyy pääosin vain Schrems II:n esille tuomiin haasteisiin eli suhteellisuus- ja oikeasuhteisuusperiaatteisiin tiedusteluviranomaisten toiminnassa sekä rekisteröityjen oikeuksien toteutumiseen.

Haasteita riittää

Päätösluonnoksen epäselvyyttä ja tärkeiden määritelmien puuttumista kritisoitiin EU-parlamentin ja tietosuojaneuvoston mielipiteissä. Executive Order (EO) instrumenttina ei tarjoa oikeusvarmuutta, kuten tavanomaisesti säädetty laki, koska Yhdysvaltain presidentillä on mahdollisuus muuttaa sitä käytännössä milloin vain. EO:ssa määritellään lista tarkoituksista, joihin signaalitiedustelua voidaan käyttää. Tätä listaa on kuitenkin mahdollista laajentaa yksipuolisesti, eikä tästä ole välttämätöntä ilmoittaa julkisesti vedoten kansalliseen turvallisuuteen.

Yhdysvaltojen Civil Liberties Protection Officer on jatkossa se toimielin, joka kuulee ja arvioi rekisteröityjen valitukset. Rekisteröidyllä on mahdollisuus valittaa vastaavan viranomaisen päätöksestä vasta perustetulle Data Protection Review Courtille. Tämä oikeussuojamekanismi nähdään parempana kuin Privacy Shieldin aikainen Ombudsman. Data Protection Review Court ei kuitenkaan ole itsenäinen tuomioistuin, joten sen riittävyyttä tullaan todennäköisesti arvioimaan EU-tuomioistuimessa.

Tietojensiirtoa koskeva päätösluonnos ei edellytä itsenäisen tuomioistuimen lupaa tilapäisen laajamittaiseen tietojen keruun suorittamiseen, ja tähän liittyvät oikeussuojamekanismit eivät ole tietosuojaneuvoston mukaan riittävät. Lisäksi, tietojen edelleen siirtäminen nostettiin esille haasteena sekä poikkeukset rekisteröidyn oikeuksiin saada pääsy omiin tietoihin nähtiin liian laajoina.

Mitä on odotettavissa?

Uusi tiedonsiirtosopimus nähdään erityisen tärkeänä tuomaan oikeusvarmuutta tietojen siirtoon EU:n ja Yhdysvaltojen välillä. Päätösluonnos tuo parannuksia eri osa-alueisiin, mutta sisältää edelleen ratkaisemattomia haasteita, jotka on tuotu esille sekä tietosuojaneuvoston että EU-parlamentin mielipiteissä ja debateissa. 

Komissiolla on lopulta kaksi vaihtoehtoa. Ensimmäinen olisi todeta, että päätösluonnos ei takaa riittävää tietosuojan tasoa, ja palata neuvotteluihin Yhdysvaltojen edustajien kanssa. On kuitenkin epätodennäköistä, että koko prosessi keskeytetään. 

Toinen vaihtoehto olisi hyväksyä päätösluonnos tällaisenaan. Päätös tultaisiin varmasti haastamaan ja EU:n tuomioistuin arvioisi, tarjoaako sopimus ja sen pohjalta tehty päätös tietosuojan riittävyydestä EU:n standardeja vastaavan tietosuojan tason.

Tietosuojaneuvoston ja EU-parlamentin mielipiteet eivät suoraan sido EU-komissiota. Seuraavaksi päätösluonnos täytyy hyväksyttää EU:n jäsenvaltioiden edustajilla. 

Steve Hadaya, Anniina Hakala & Jesse Tenko

 

Heräsikö ajatus? Kirjoita kommentti!

Sinua saattavat kiinnostaa myös nämä postaukset:

Päätös Yhdysvaltojen tietosuojan tason riittävyydestä
Päätös Yhdysvaltojen tietosuojan tason riittävyydestä
14 heinäkuuta, 2023

EU:n komissio on hyväksynyt EU:n ja Yhdysvaltojen välisen tietosuojakehyksen ja päätös on astunut voimaan 10. heinäkuuta...

Tekoälyä luokkahuoneeseen - tule mukaan pilottiin!
Tekoälyä luokkahuoneeseen - tule mukaan pilottiin!
25 huhtikuuta, 2023

Cloudpoint esitteli ITK-messuilla Tekoälyä luokkahuoneeseen -tapahtumassaan Merlyn Mind -nimisen ratkaisun opettajan avu...