Euroopan Unionin komissio julkaisi EU:n ja Yhdysvaltojen välille neuvotellun henkilötietojen siirtokehyksen luonnoksen (Data Privacy Framework) 13.12.2022. Prosessi on nyt edennyt vaiheeseen, jossa Euroopan Unionin parlamentti sekä Euroopan Tietosuojaneuvosto ovat antaneet omat mielipiteensä luonnoksen sisällöstä.
Miten EU-parlamentti ja tietosuojaneuvosto suhtautuvat uuteen tiedonsiirtokehykseen?
EU-parlamentti ja tietosuojaneuvosto suhtautuvat uuteen EU-USA-tiedonsiirtokehykseen kaksijakoisesti. Vaikka luonnoksessa nähdään merkittäviä parannuksia aiempaan Privacy Shield -sopimukseen verrattuna, se herättää yhä huolta. Erityisesti oikeusturvakeinojen riittävyys ja Yhdysvaltojen tiedustelulakien joustavuus puhuttavat asiantuntijoita ennen lopullista päätöksentekoa.
Toisaalta molemmat toimielimet tuovat esille, että luonnoksessa on merkittäviä parannuksia aiempaan Privacy Shieldiin verrattuna. Luonnos sisältää kuitenkin edelleen lukuisia huolenaiheita molempien tahojen näkökulmasta.
Huomionarvoista on, että tietosuojaneuvoston edeltäjän WP29:n vuonna 2016 antamat kommentit Privacy Shieldistä olivat hyvin samanlaisia. Myös Privacy Shield toi aikoinaan merkittäviä parannuksia sitä edeltäneeseen Safe Harbor -järjestelmään.
Parannuksia Privacy Shieldiin nähden
Yhdysvaltojen tiedusteluviranomaisten tulee päätösluonnoksen mukaan toimia suhteellisuus- ja oikeasuhteisuusperiaatteiden mukaisesti. Henkilötietojen siirtokehyksen luonnos takaakin rekisteröidyille paremmat oikeussuojakeinot kuin Privacy Shield.
Komission päätösluonnos keskittyy pääosin vain Schrems II -ratkaisun esille tuomiin haasteisiin eli suhteellisuusperiaatteisiin tiedustelutoiminnassa sekä rekisteröityjen oikeuksien toteutumiseen.
Haasteet ja keskeiset ongelmakohdat
Päätösluonnoksen epäselvyyttä ja tärkeiden määritelmien puuttumista kritisoitiin voimakkaasti. Seuraavat tekijät muodostavat keskeisimmät haasteet:
- Oikeudellinen epävarmuus: Executive Order (EO) ei tarjoa pysyvää lakisääteistä suojaa, sillä Yhdysvaltain presidentti voi muuttaa sitä yksipuolisesti milloin tahansa.
- Tiedustelun laajentaminen: EO:ssa määriteltyä signaalitiedustelun käyttötarkoitusten listaa voidaan laajentaa ilman julkista ilmoitusta.
- Oikeussuojamekanismien riittävyys: Uusi Data Protection Review Court ei ole täysin itsenäinen tuomioistuin, ja sen toimivaltaa tullaan todennäköisesti puimaan uudelleen EU-tuomioistuimessa.
- Laajamittainen tiedonkeruu: Väliaikainen laajamittainen tietojen keruu ei edellytä riippumattoman viranomaisen lupaa, ja jatkoluovutussäännöt ovat puutteellisia.
Mitä seuraavaksi tapahtuu?
Uusi tiedonsiirtosopimus on kriittinen tekijä oikeusvarmuuden palauttamiseksi EU:n ja Yhdysvaltojen väliseen dataliikenteeseen. Komissiolla on tässä vaiheessa kaksi pääasiallista toimintavaihtoehtoa:
- Paluu neuvottelupöytään: Komissio voisi todeta, että päätösluonnos ei takaa riittävää tietosuojan tasoa, mitä pidetään kuitenkin epätodennäköisenä.
- Päätösluonnoksen hyväksyminen sellaisenaan: Luonnos hyväksytään, mikä johtaa lähes varmasti uuteen oikeuskäsittelyyn EU:n tuomioistuimessa (Schrems III).
Tietosuojaneuvoston ja EU-parlamentin lausunnot eivät sido komissiota suoraan. Seuraavaksi päätösluonnos etenee EU:n jäsenvaltioiden edustajien hyväksyttäväksi.
Asiantuntijat: Steve Hadaya, Anniina Hakala & Jesse Tenko
Heräsikö ajatus? Kirjoita kommentti!