Euroopan Unionin komissio julkaisi EU:n ja Yhdysvaltojen välille neuvotellun henkilötietojen siirtokehyksen luonnoksen (Data Privacy Framework) 13.12.2022. Prosessi on nyt edennyt vaiheeseen, jossa Euroopan Unionin parlamentti sekä Euroopan Tietosuojaneuvosto ovat antaneet omat mielipiteensä luonnoksen sisällöstä.
EU-parlamentin ja tietosuojaneuvoston vastaanotto on ollut kaksijakoinen. Toisaalta tuodaan esille se, että päätösluonnoksessa on merkittäviä parannuksia verrattuna aikaisempaan Privacy Shieldiin. Luonnos sisältää kuitenkin edelleen lukuisia huolenaiheita sekä EU-parlamentin että Tietosuojaneuvoston näkökulmasta.
Huomionarvoista on se, että tietosuojaneuvoston edeltäjä WP29:n vuonna 2016 antamat kommentit liittyen aikaisempaan Privacy Shieldin päätösluonnokseen olivat hyvin samanlaiset aikanaan. Myös Privacy Shield toi merkittävät parannukset verrattuna tätä edeltäneeseen Safe Harboriin.
Yhdysvaltojen tiedusteluviranomaisten tulee päätösluonnoksen mukaan toimia suhteellisuus- ja oikeasuhteisuusperiaatteiden mukaisesti. Henkilötietojen siirtokehyksen luonnos takaakin rekisteröidyillä paremmat oikeussuojakeinot verrattuna Privacy Shieldin takaamiin.
Komission päätösluonnos keskittyy pääosin vain Schrems II:n esille tuomiin haasteisiin eli suhteellisuus- ja oikeasuhteisuusperiaatteisiin tiedusteluviranomaisten toiminnassa sekä rekisteröityjen oikeuksien toteutumiseen.
Päätösluonnoksen epäselvyyttä ja tärkeiden määritelmien puuttumista kritisoitiin EU-parlamentin ja tietosuojaneuvoston mielipiteissä. Executive Order (EO) instrumenttina ei tarjoa oikeusvarmuutta, kuten tavanomaisesti säädetty laki, koska Yhdysvaltain presidentillä on mahdollisuus muuttaa sitä käytännössä milloin vain. EO:ssa määritellään lista tarkoituksista, joihin signaalitiedustelua voidaan käyttää. Tätä listaa on kuitenkin mahdollista laajentaa yksipuolisesti, eikä tästä ole välttämätöntä ilmoittaa julkisesti vedoten kansalliseen turvallisuuteen.
Yhdysvaltojen Civil Liberties Protection Officer on jatkossa se toimielin, joka kuulee ja arvioi rekisteröityjen valitukset. Rekisteröidyllä on mahdollisuus valittaa vastaavan viranomaisen päätöksestä vasta perustetulle Data Protection Review Courtille. Tämä oikeussuojamekanismi nähdään parempana kuin Privacy Shieldin aikainen Ombudsman. Data Protection Review Court ei kuitenkaan ole itsenäinen tuomioistuin, joten sen riittävyyttä tullaan todennäköisesti arvioimaan EU-tuomioistuimessa.
Tietojensiirtoa koskeva päätösluonnos ei edellytä itsenäisen tuomioistuimen lupaa tilapäisen laajamittaiseen tietojen keruun suorittamiseen, ja tähän liittyvät oikeussuojamekanismit eivät ole tietosuojaneuvoston mukaan riittävät. Lisäksi, tietojen edelleen siirtäminen nostettiin esille haasteena sekä poikkeukset rekisteröidyn oikeuksiin saada pääsy omiin tietoihin nähtiin liian laajoina.
Uusi tiedonsiirtosopimus nähdään erityisen tärkeänä tuomaan oikeusvarmuutta tietojen siirtoon EU:n ja Yhdysvaltojen välillä. Päätösluonnos tuo parannuksia eri osa-alueisiin, mutta sisältää edelleen ratkaisemattomia haasteita, jotka on tuotu esille sekä tietosuojaneuvoston että EU-parlamentin mielipiteissä ja debateissa.
Komissiolla on lopulta kaksi vaihtoehtoa. Ensimmäinen olisi todeta, että päätösluonnos ei takaa riittävää tietosuojan tasoa, ja palata neuvotteluihin Yhdysvaltojen edustajien kanssa. On kuitenkin epätodennäköistä, että koko prosessi keskeytetään.
Toinen vaihtoehto olisi hyväksyä päätösluonnos tällaisenaan. Päätös tultaisiin varmasti haastamaan ja EU:n tuomioistuin arvioisi, tarjoaako sopimus ja sen pohjalta tehty päätös tietosuojan riittävyydestä EU:n standardeja vastaavan tietosuojan tason.
Tietosuojaneuvoston ja EU-parlamentin mielipiteet eivät suoraan sido EU-komissiota. Seuraavaksi päätösluonnos täytyy hyväksyttää EU:n jäsenvaltioiden edustajilla.
Steve Hadaya, Anniina Hakala & Jesse Tenko