EUROOPAN KOMISSIO
Bryssel 6.11.2015
COM(2015) 566 final
KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE
direktiiviin 95/46/EY perustuvasta henkilötietojen siirtämisestä EU:sta Yhdysvaltoihin unionin tuomioistuimen asiassa C-362/14 (Schrems) antaman tuomion johdosta
KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE
direktiiviin 95/46/EY perustuvasta henkilötietojen siirtämisestä EU:sta Yhdysvaltoihin unionin tuomioistuimen asiassa C-362/14 (Schrems) antaman tuomion johdosta
1. Johdanto: safe harbor -päätöksen kumoaminen
Unionin tuomioistuin on vahvistanut 6. lokakuuta 2015 asiassa C-362/14 (Schrems) antamassaan tuomiossa Euroopan unionin perusoikeuskirjaan kirjatun henkilötietojen suojaa koskevan perusoikeuden merkityksen, myös silloin kun henkilötietoja siirretään EU:n ulkopuolelle.
Henkilötietojen siirrot ovat olennainen osa EU:n ja Yhdysvaltojen välisiä suhteita. EU ja Yhdysvallat ovat toistensa tärkeimmät kauppakumppanit, ja tietojen siirrot ovat olennainen osa niiden keskinäistä kauppaa.
Tietojen siirron helpottamiseksi sekä henkilötietojen korkeatasoisen suojan varmistamiseksi komissio totesi 20. heinäkuuta 2000 tekemässään päätöksessä 2000/520/EY, jäljempänä ’safe harbor -päätös’, safe harbor -periaatteiden antaman suojan riittävyyden. Kyseisessä direktiivin 95/46/EY 25 artiklan 6 kohtaan perustuvassa päätöksessä komissio katsoi, että yksityisyyden suojaa koskevat safe harbor -periaatteet ja niihin liittyvät Yhdysvaltojen kauppaministeriön julkaisemat tavallisimmat kysymykset tarjoavat riittävän suojan henkilötietojen siirrolle EU:sta. Näin ollen henkilötietoja voitiin vapaasti siirtää EU:n jäsenvaltioista Yhdysvalloissa sijaitseville yrityksille, jotka olivat sitoutuneet safe harbor -periaatteisiin, vaikka Yhdysvalloissa ei ole yleistä tietosuojalakia. Safe harbor -järjestelyn toiminta on perustunut siihen osallistuvien yritysten antamiin sitoumuksiin ja omaan varmennukseen. Vaikka safe harbor -periaatteisiin ja tavallisimpiin kysymyksiin sitoutuminen on vapaaehtoista, säännöt sitovat Yhdysvaltojen lainsäädännön mukaisesti niihin sitoutuneita yhteisöjä, ja liittovaltion kauppakomissio (Federal Trade Commission) valvoo niiden noudattamista.
Unionin tuomioistuin totesi 6. lokakuuta 2015 antamassaan tuomiossa safe harbor -päätöksen pätemättömäksi. Sen vuoksi tässä tiedonannossa tarkastellaan vaihtoehtoisia välineitä siirtää henkilötietoja EU:sta Yhdysvaltoihin direktiivin 95/46/EY mukaisesti silloin, kun ei ole olemassa päätöstä tietosuojan tason riittävyydestä. Tiedonannossa kuvaillaan myös lyhyesti tuomion vaikutuksia muihin komission päätöksiin, jotka koskevat tietosuojan tason riittävyyttä. Unionin tuomioistuin totesi tuomiossaan, että direktiivin 95/46/EY 25 artiklan 6 kohdassa tarkoitettu tietosuojan tason riittävyyttä koskeva päätös edellyttää komission toteamusta siitä, että asianomainen kolmas maa tarjoaa sellaisen henkilösuojan tason, joka ei välttämättä ole täysin samanlainen kuin EU:ssa direktiivin ja EU:n perusoikeuskirjan nojalla tarjottu tietosuojan taso, mutta vastaa sitä ”olennaisilta osin”. Safe harbor -päätöksen osalta unionin tuomioistuin katsoi, ettei se sisältänyt riittäviä komission toteamuksia siitä, että Yhdysvaltojen viranomaisten pääsyä päätöksen nojalla siirrettyihin tietoihin olisi rajoitettu ja että olisi olemassa tehokkaat oikeussuojakeinot tietoihin pääsyn estämiseksi. Unionin tuomioistuin totesi erityisesti, että sellaisen lainsäädännön, joka yleisesti sallii viranomaisille pääsyn sähköisen viestinnän sisältöön, on katsottava vaarantavan yksityiselämän kunnioittamista koskevan perusoikeuden olennaisen ajatuksen. Lisäksi unionin tuomioistuin vahvisti, että vaikka tietosuojan tason riittävyydestä olisi tehty päätös direktiivin 95/46/EY 25 artiklan 6 kohdan mukaisesti, jäsenvaltioiden tietosuojaviranomaisilla on toimivalta ja velvollisuus täysin riippumattomasti selvittää, noudatetaanko tietojen siirtämisessä kolmanteen maahan direktiivissä 95/46/EY vahvistettuja vaatimuksia tulkittuna yhdessä perusoikeuskirjan 7, 8 ja 47 artiklan kanssa. Lisäksi unionin tuomioistuin vahvisti, että ainoastaan unionin tuomioistuin voi todeta EU:n säädöksen, esimerkiksi tietosuojan tason riittävyyttä koskevan komission päätöksen, pätemättömäksi.
Unionin tuomioistuimen tuomiossa viitataan komission vuonna 2013 antamaan tiedonantoon safe harbor järjestelmän toiminnasta EU:n kansalaisten ja EU:hun sijoittautuneiden yritysten näkökulmasta, jossa komissio luetteli useita puutteita sekä antoi 13 suositusta. Komissio on näiden suositusten pohjalta käynyt tammikuusta 2014 lähtien keskusteluja Yhdysvaltojen viranomaisten kanssa pyrkimyksenään luoda uudistettu ja entistä vahvempi järjestely EU:n ja Yhdysvaltojen väliselle tietojen siirrolle.
Komissio on tuomion jälkeen entistä sitoutuneempi luomaan uudistetut ja asianmukaiset puitteet henkilötietojen siirrolle EU:n ja Yhdysvaltojen välillä. Se käynnisti välittömästi entistä tehokkaammat neuvottelut Yhdysvaltojen hallinnon kanssa varmistaakseen, että henkilötietojen siirtoa koskevassa uudessa järjestelyssä noudatetaan kaikilta osin unionin tuomioistuimen vahvistamia normeja. Tiedonsiirtoa koskevissa puitteissa on sen vuoksi huolehdittava riittävistä rajoituksista, takeista ja oikeudellisista valvontamekanismeista, jotta voidaan varmistaa EU:n kansalaisten henkilötietojen jatkuva suojelu, myös silloin kun on kyse viranomaisten mahdollisesta pääsystä tietoihin lainvalvontaan ja kansalliseen turvallisuuteen liittyvistä syistä. Toimiala on jo ehtinyt ilmaista huolensa tietojen siirron jatkuvuudesta. Sen vuoksi on tarpeen selventää, millaisin edellytyksin henkilötietoja voidaan jatkossa siirtää. Myös yksilöiden suojelua henkilötietojen käsittelyssä koskeva työryhmä, jäljempänä ’tietosuojatyöryhmä’, joka on kaikkien jäsenvaltioiden tietosuojaviranomaisten edustajista ja Euroopan tietosuojavaltuutetusta koostuva riippumaton neuvoa-antava elin, antoi 16. lokakuuta lausunnon tuomioon perustuvista alustavista päätelmistä. Lausunnossa annettiin muun muassa seuraavia ohjeita tietojen siirroista:
tietojen siirtäminen ei voi enää perustua komission safe harbor -päätökseen, jonka unionin tuomioistuin on todennut pätemättömäksi;
mallisopimuslausekkeita sekä yrityksiä sitovia sääntöjä voidaan toistaiseksi käyttää tietojen siirron perusteena, vaikka tietosuojatyöryhmä ilmoitti aikovansa analysoida tuomion vaikutusta myös näihin vaihtoehtoisiin välineisiin.
Lausunnossa kehotettiin lisäksi jäsenvaltioita ja EU:n toimielimiä käynnistämään Yhdysvaltojen viranomaisten kanssa keskustelut oikeudellisten ja teknisten ratkaisujen löytämiseksi tietojen siirtoihin. Neuvottelut uudesta safe harbor -järjestelystä voitaisiin tietosuojatyöryhmän mukaan sisällyttää näihin keskusteluihin.
Tietosuojatyöryhmä ilmoitti, että ellei Yhdysvaltojen viranomaisten kanssa löydettäisi asianmukaista ratkaisua tammikuun 2016 loppuun mennessä, tietosuojaviranomaiset toteuttavat kaikki tarvittavat ja asianmukaiset toimet, mukaan lukien koordinoidut täytäntöönpanotoimet, ottaen huomioon vaihtoehtoisia tiedonsiirtovälineitä koskevan arvioinnin.
Lopuksi tietosuojatyöryhmä korosti tietosuojaviranomaisten, EU:n toimielinten, jäsenvaltioiden ja yritysten yhteistä vastuuta kestävien ratkaisujen löytämisestä unionin tuomioistuimen tuomion täytäntöönpanoon. Tietosuojatyöryhmä kehotti erityisesti yrityksiä harkitsemaan sellaisten oikeudellisten ja teknisten ratkaisujen käyttöönottoa, joilla voidaan lieventää tietojen siirtoon mahdollisesti liittyviä riskejä.
Tämä tiedonanto ei vaikuta tietosuojaviranomaisten valtuuksiin ja velvollisuuteen tarkastella täysin riippumattomasti tällaisten tiedonsiirtojen laillisuutta. Tiedonannossa ei vahvisteta sitovia sääntöjä, ja siinä kunnioitetaan kaikilta osin kansallisten tuomioistuinten valtuuksia tulkita sovellettavaa lainsäädäntöä ja tarvittaessa pyytää unionin tuomioistuimelta ennakkoratkaisua. Tiedonantoon ei voida myöskään vedota yksittäisten tai kollektiivisten laillisten oikeuksien tai oikeudellisten vaatimusten osalta.
2. Vaihtoehtoiset perusteet henkilötietojen siirtämiselle Yhdysvaltoihin
Direktiivissä 95/46/EY vahvistetut, kansainvälisiä tietojen siirtoja koskevat säännöt perustuvat siihen, että erotetaan selkeästi toisistaan toisaalta siirrot sellaisiin kolmansiin maihin, joissa taataan tietosuojan riittävä taso (direktiivin 25 artikla), ja toisaalta siirrot sellaisiin kolmansiin maihin, joissa ei taata tietosuojan riittävää tasoa (direktiivin 26 artikla).
Asiassa Schrems annetussa tuomiossa vahvistetaan edellytykset, joiden mukaisesti komissio voi direktiivin 95/46/EY 25 artiklan 6 kohdan mukaisesti todeta, että kolmannessa maassa taataan tietosuojan riittävä taso.
Jos todetaan, että kolmannessa maassa, johon henkilötietoja on tarkoitus EU:sta siirtää, ei taata tietosuojan riittävää tasoa, direktiivin 95/46/EY 26 artiklassa esitetään useita vaihtoehtoisia perusteita tietojen siirrolle. Tietoja voidaan siirtää erityisesti silloin, kun henkilötietojen käsittelyn tarkoituksen ja keinojen määrittelystä vastaava taho eli rekisterinpitäjä
antaa direktiivin 95/46/EY 26 artiklan 2 kohdassa tarkoitetut riittävät takeet henkilöiden yksityisyyden suojasta ja perusoikeuksien ja -vapauksien suojasta sekä niihin liittyvien oikeuksien kunnioittamisesta. Tällaiset takeet voidaan antaa erityisesti sopimuslausekkeiden muodossa, jotka sitovat tietojen viejää ja tuojaa (ks. 2.1 ja 2.2 kohta). Näihin kuuluvat komission käyttöön ottamat sopimuslausekkeet sekä tietosuojaviranomaisten hyväksymät, yrityksiä sitovat säännöt, jotka koskevat tietojen siirtoja monikansallisen yritysryhmän yritysten välillä; tai
soveltaa jotakin direktiivin 95/46/EY 26 artiklan 1 kohdan a–f alakohdassa luetelluista poikkeuksista (ks. 2.3 kohta).
Verrattuna tietosuojan tason riittävyyttä koskeviin päätöksiin, jotka perustuvat tietyn kolmannen maan järjestelmää koskevaan kokonaisarviointiin ja voivat periaatteessa kattaa kaikki siirrot kyseiseen järjestelmään, vaihtoehtoiset tietojen siirron perusteet ovat sekä soveltamisalaltaan rajoitetumpia (niitä sovelletaan vain tiettyihin siirtoihin) että maantieteelliseltä alaltaan laajempia (ne eivät välttämättä koske vain yhtä maata). Niitä sovelletaan sellaisten erikseen nimettyjen tahojen suorittamiin tietojen siirtoihin, jotka ovat päättäneet hyödyntää jotakin direktiivin 95/46/EY 26 artiklassa tarkoitetuista mahdollisuuksista. Silloin kun tietojen viejät ja tuojat siirtävät tietoja tällaisten perusteiden mukaisesti, niiden on lisäksi varmistettava, että siirroissa noudatetaan direktiivin vaatimuksia, koska kyseisen kolmannen maan tietosuojan tasoa ei ole todettu riittäväksi komission päätöksessä.
2.1. Sopimukseen perustuvat ratkaisut
Kuten tietosuojaryhmä toteaa, jotta sopimuslausekkeiden voidaan katsoa tarjoavan direktiivin 95/46/EY 26 artiklan 2 kohdassa tarkoitetut riittävät takeet, sopimuslausekkeen ”on korvattava riittävän yleissuojan puuttuminen siten, että siihen sisältyvät kaikki kyseisessä tilanteessa puuttuvat suojan olennaiset osat”. Helpottaakseen tällaisten välineiden käyttöä kansainvälisissä tietojen siirroissa komissio on hyväksynyt direktiivin 95/46/EY 26 artiklan 4 kohdan mukaisesti neljä sopimuslausekkeiden sarjaa, joiden katsotaan täyttävän direktiivin 26 artiklan 2 kohdassa asetetut vaatimukset. Kaksi sopimuslausekkeiden sarjoista koskee rekisterinpitäjien välisiä siirtoja, ja kaksi muuta sarjaa koskevat siirtoja rekisterinpitäjän ja sen ohjeiden mukaisesti toimivan henkilötietojen käsittelijän välillä. Kussakin näistä sopimuslausekkeiden sarjoista vahvistetaan tietojen viejiä ja tuojia koskevat velvollisuudet. Nämä velvollisuudet koskevat muun muassa turvatoimenpiteitä, rekisteröidylle ilmoittamista silloin kun on kyse arkaluonteisten tietojen siirrosta, tietojen viejälle annettavaa ilmoitusta kolmansien maiden lainvalvontaviranomaisten pyynnöistä saada tutustua tietoihin tai ilmoitusta kaikista tahattomista tai luvattomista tietoihin pääsyistä, rekisteröidyn oikeuksia tutustua henkilötietoihinsa ja korjata ja poistaa niitä, sekä sääntöjä, joiden mukaisesti rekisteröidylle maksetaan korvausta, jos tälle on aiheutunut vahinkoa siitä, että jompikumpi sopimuslausekkeisiin sitoutunut osapuoli on rikkonut sääntöjä. Mallilausekkeissa todetaan myös, että EU:n rekisteröidyillä on oltava mahdollisuus vedota sopimuslausekkeisiin perustuviin oikeuksiinsa edunsaajana olevana kolmantena osapuolena joko tietosuojaviranomaisten kautta ja/tai sen jäsenvaltion tuomioistuimessa, johon tietojen viejä on sijoittautunut. Nämä oikeudet ja velvollisuudet ovat välttämättömiä sopimuslausekkeissa, koska ei voida olettaa, että kolmannessa maassa olevaan tietojen tuojaan sovelletaan riittävää tietosuojasääntöjen valvonta- ja täytäntöönpanojärjestelmää, toisin kuin silloin, kun komissio on todennut kyseisen maan takaavan riittävän tietosuojan tason.
Koska komission päätökset sitovat kokonaisuudessaan kaikkia jäsenvaltioita, sopimuslausekkeiden sisällyttäminen sopimukseen merkitsee sitä, että kansallisten viranomaisten on periaatteessa pakko hyväksyä kyseiset lausekkeet. Näin ollen viranomaiset eivät voi kieltäytyä tietojen siirrosta kolmanteen maahan pelkästään sen perusteella, että kyseiset sopimuslausekkeet eivät tarjoa riittäviä takeita. Tämä ei kuitenkaan vaikuta viranomaisten toimivaltaan tarkastella lausekkeita unionin tuomioistuimen asiassa Schrems antamassa tuomiossa vahvistamia vaatimuksia vasten. Jos viranomaisilla on epäilyksiä, asia olisi vietävä kansalliseen tuomioistuimeen, joka voi puolestaan pyytää unionin tuomioistuimelta ennakkoratkaisua. Vaikka useimpien jäsenvaltioiden kansallisessa lainsäädännössä, jolla direktiivi 95/46/EY on pantu täytäntöön, ei vaadita, että tietojen siirrolle on saatava ennalta kansallinen hyväksyntä, eräissä jäsenvaltioissa on käytössä järjestelmä, jonka mukaisesti sopimuslausekkeiden käytöstä on ilmoitettava ja/tai siihen on saatava ennalta hyväksyntä. Tällöin kansallisen tietosuojaviranomaisen on verrattava sopimukseen sisältyviä lausekkeita mallisopimuslausekkeisiin ja varmistettava, ettei mallilausekkeisiin ole tehty muutoksia. Jos sopimuslausekkeita on käytetty sellaisenaan ilman muutoksia, hyväksyntä myönnetään periaatteessa automaattisesti. Kuten jäljempänä todetaan (ks. 2.4 kohta), tämä ei vaikuta muihin toimenpiteisiin, jotka tietojen viejän on mahdollisesti pakko toteuttaa, erityisesti sellaisten tietojen tuojalta saatujen tietojen pohjalta, jotka koskevat kolmannen maan oikeusjärjestelmään tehtyjä muutoksia, jotka saattavat estää tietojen tuojaa täyttämästä sopimusvelvoitteitaan. Sopimuslausekkeita sovellettaessa tietosuojaviranomaiset valvovat sekä tietojen viejiä että tietojen tuojia, joita sopimus sitoo.
Sopimuslausekkeiden hyväksyminen ei estä yrityksiä käyttämästä myös muita välineitä, kuten tapauskohtaisia sopimusjärjestelyjä, osoittaakseen, että ne tarjoavat tietojen siirroille direktiivin 95/46/EY 26 artiklan 2 kohdassa tarkoitetut riittävät takeet. Direktiivin 26 artiklan 2 kohdan mukaisesti kansallisten viranomaisten on tapauskohtaisesti hyväksyttävä kyseiset järjestelyt. Eräät tietosuojaviranomaiset ovat antaneet tätä varten ohjeistusta, mukaan lukien vakiosopimuksia tai yksityiskohtaisia sääntöjä, joita on noudatettava tietojen siirtoa koskevia lausekkeita laadittaessa. Useimmat sopimukset, joita yritykset tällä hetkellä käyttävät suorittaakseen kansainvälisiä tietojen siirtoja, perustuvat kuitenkin komission hyväksymiin sopimuslausekkeisiin.
2.2. Ryhmittymän sisäiset siirrot
Jotta monikansallinen yritys voi siirtää henkilötietoja EU:sta unionin ulkopuolella sijaitseville sidosyrityksille noudattaen direktiivin 95/46/EY 26 artiklan 2 kohdassa vahvistettuja vaatimuksia, se voi hyväksyä yrityksiä sitovat säännöt. Tämäntyyppiset käytännesäännöt muodostavat perustan pelkästään ryhmittymän sisäisille tietojen siirroille.
Yrityksiä sitovien sääntöjen käyttö antaa mahdollisuuden siirtää henkilötietoja vapaasti ryhmittymään kuuluvien yritysten välillä maailmanlaajuisesti, jolloin ei tarvita erillisiä sopimusjärjestelyjä kunkin ryhmittymään kuuluvan yrityksen välillä. Samalla varmistetaan, että henkilötietojen suojan taso on yhtä korkea koko ryhmittymän sisällä, noudattamalla samoja sitovia ja täytäntöönpanokelpoisia sääntöjä. Yhtenäisten sääntöjen avulla saadaan aikaan yksinkertaisempi ja tehokkaampi järjestelmä, joka henkilöstön on helpompi toteuttaa ja jota rekisteröityjen on helpompi ymmärtää. Tietosuojaryhmä on pyrkinyt helpottamaan yrityksiä sitovien sääntöjen laadintaa ja vahvistanut sen vuoksi sääntöjä koskevat aineelliset (esim. käyttötarkoituksen rajoittaminen, käsittelyn turvallisuus, rekisteröidyille annettavat avoimet tiedot, tietojen edelleen siirtämistä yritysryhmän ulkopuolelle koskevat rajoitukset, yksilöiden oikeus tietojen saantiin, oikaisuun ja poistamiseen) ja menettelylliset (esim. tarkastukset, sääntöjen noudattamisen valvonta, kantelujen käsittely, yhteistyö tietosuojaviranomaisten kanssa, vastuu ja lainkäyttövalta) vaatimukset, jotka perustuvat EU:n tietosuojanormeihin. Paitsi että nämä säännöt sitovat ryhmittymään kuuluvia yrityksiä, ne ovat sopimuslausekkeiden tavoin täytäntöönpanokelpoisia EU:ssa. Yksilöt, joita koskevia tietoja jokin ryhmittymään kuuluva yritys käsittelee, voivat edunsaajana olevana kolmantena osapuolena vaatia yrityksiä sitovien sääntöjen noudattamista tekemällä kantelun tietosuojaviranomaiselle ja viemällä asian jäsenvaltion tuomioistuimeen. Lisäksi yrityksiä sitovissa säännöissä on nimettävä taho, joka on EU:n sisällä vastuussa siinä tapauksessa, että EU:n ulkopuolella sijaitseva, ryhmittymään kuuluva yritys rikkoo sitä sitovia sääntöjä.
Useimpien jäsenvaltioiden laeissa, joilla direktiivi on saatettu osaksi kansallista lainsäädäntöä, yrityksiä sitoviin sääntöihin perustuville tietojen siirroille on saatava tietosuojaviranomaisen hyväksyntä kussakin niistä jäsenvaltioista, joista monikansallinen yritys aikoo siirtää tietoja. Helpottaakseen ja nopeuttaakseen menettelyä sekä vähentääkseen hakijoille aiheutuvaa taakkaa tietosuojatyöryhmä on laatinut vakiolomakkeen sekä luonut tietosuojaviranomaisten välistä yhteistyötä varten erityisen menettelyn, jonka puitteissa on nimettävä hyväksymismenettelystä vastuussa oleva johtava viranomainen.
2.3. Poikkeukset
Vaikka direktiivin 95/46/EY 25 artiklan 6 kohdan mukaista tietosuojan tason riittävyyttä koskevaa päätöstä ei olisi tehty ja riippumatta sopimuslausekkeiden ja/tai yrityksiä sitovien sääntöjen käytöstä, henkilötietoja voidaan edelleen siirtää johonkin kolmanteen maahan sijoittautuneille yhteisöille siltä osin kuin ainakin yhtä direktiivin 26 artiklan 1 kohdassa vahvistetuista vaihtoehtoisista poikkeuksista voidaan soveltaa:
rekisteröity on antanut yksiselitteisesti suostumuksensa ehdotettuun tietojen siirtoon;
siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
siirto on tarpeen rekisterinpitäjän ja kolmannen osapuolen välisen sopimuksen tekemiseksi tai täytäntöön panemiseksi rekisteröidyn edun mukaisesti;
siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi;
siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi;
siirto tehdään rekisteristä, joka on lakien ja asetusten mukaisesti yleisön tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, siltä osin kuin rekisterin käytön lailliset edellytykset täyttyvät kussakin yksittäisessä tapauksessa.
Edellä esitetyt syyt muodostavat poikkeuksen yleiseen kieltoon olla siirtämättä henkilötietoja sellaiseen kolmanteen maahan sijoittautuneille yhteisöille, joka ei takaa riittävää tietosuojan tasoa. Tietojen viejän ei itse asiassa tarvitse varmistua sitä, että tietojen tuoja tarjoaa riittävän tietosuojan tason, eikä viejän myöskään yleensä tarvitse saada ennakkohyväksyntää siirrolle asianomaisilta kansallisilta viranomaisilta. Siitä huolimatta tietosuojatyöryhmä katsoo, että kyseisiä poikkeuksia on niiden luonteen vuoksi tulkittava tiukasti.
Tietosuojatyöryhmä on antanut useita ohjeita, jotka koskevat direktiivin 95/46/EY 26 artiklan 1 kohdan soveltamista, mutta jotka eivät ole sitovia. Niihin sisältyy muun muassa sääntöjä, jotka koskevat parhaita käytänteitä ja joilla on tarkoitus ohjailla tietosuojaviranomaisten täytäntöönpanotoimia. Tietosuojatyöryhmä suosittaa erityisesti, että henkilötietojen siirrot, jotka voitaisiin luokitella toistuviksi, suurimittaisiksi tai rakenteellisiksi, olisi suojattava riittävin takein ja suoritettava mahdollisuuksien mukaan tietyissä oikeudellisissa puitteissa, kuten sopimuslausekkeiden tai yrityksiä sitovien sääntöjen perusteella.
Komissio käsittelee tässä tiedonannossa vain niitä poikkeuksia, joilla vaikuttaa olevan erityisesti merkitystä kaupankäynnin yhteydessä suoritettaville tietojen siirroille sen jälkeen, kun safe harbor -päätös todettiin pätemättömäksi.
2.3.1. Siirrot, jotka ovat tarpeen sopimuksen täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (26 artiklan 1 kohdan b alakohta)
Tätä poikkeusta voitaisiin soveltaa esimerkiksi hotellivarauksen yhteydessä tai kun maksutietoja siirretään kolmanteen maahan tilisiirron suorittamiseksi. Tietosuojatyöryhmä kuitenkin katsoo kussakin kyseisistä tapauksista, että rekisteröidyn sekä sopimuksen tai sopimusta edeltävän toimenpiteen tarkoituksen välillä on oltava läheinen aineellinen yhteys sekä suora ja objektiivinen yhteys (tarvetesti). Poikkeusta ei myöskään voida soveltaa sellaisten muiden tietojen siirtoon, jotka eivät ole välttämättömiä siirron tarkoituksen kannalta, tai siirtoihin, joilla on jokin muu tarkoitus kuin sopimuksen täytäntöönpano (esim. jälkimarkkinointi). Sopimusta edeltävien toimenpiteiden osalta tietosuojatyöryhmä katsoi, että poikkeuksen alaan kuuluisivat ainoastaan siirrot, jotka rekisteröity itse on pannut alulle (kuten tiettyä palvelua koskevat tietopyynnöt), mutta eivät siirrot, jotka saavat alkunsa rekisterinpitäjän markkinointipyrkimyksistä.
2.3.2. Siirrot, jotka ovat tarpeen rekisterinpitäjän ja kolmannen osapuolen välisen sopimuksen tekemiseksi tai täytäntöön panemiseksi rekisteröidyn edun mukaisesti (26 artiklan 1 kohdan c alakohta)
Tätä poikkeusta voidaan soveltaa esimerkiksi silloin, kun rekisteröity on kansainvälisen tilisiirron saaja tai kun matkatoimisto välittää lentoa koskevat varaustiedot lentoyhtiölle. Tässäkin sovelletaan tarvetestiä ja edellytetään rekisteröidyn edun ja sopimuksen tarkoituksen välistä läheistä aineellista yhteyttä.
2.3.3. Siirrot, jotka ovat tarpeen tai lain vaatimat oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi (26 artiklan 1 kohdan d alakohta)
Tätä poikkeusta voidaan soveltaa esimerkiksi silloin, kun yrityksen on siirrettävä tietoja puolustautuakseen oikeudellista vaadetta vastaan tai esittääkseen tällaisen vaateen tuomioistuimessa tai viranomaisen edessä. Kahden edellä mainitun poikkeuksen tapaan tähänkin sovelletaan tarvetestiä: asialla on oltava läheinen yhteys riita-asiaan tai oikeudelliseen menettelyyn (hallinnolliset menettelyt mukaan lukien).
Tietosuojatyöryhmän mukaan poikkeusta on mahdollista soveltaa vain, jos asiassa on noudatettu kyseisen tyyppiseen tietojen siirtoon sovellettavia, rikos- tai riita-asioiden oikeudenkäynneissä tehtävää yhteistyötä koskevia kansainvälisiä sääntöjä, sellaisina kuin ne vahvistetaan 18. maaliskuuta 1970 tehdyssä Haagin yleissopimuksessa (todisteiden vastaanottamista ulkomailla siviili- tai kauppaoikeudellisissa asioissa koskeva yleissopimus).
2.3.4. Rekisteröidyn yksiselitteisesti ennalta antama suostumus suunniteltuun siirtoon (26 artiklan 1 kohdan a alakohta)
Rekisteröidyn suostumusta voidaan käyttää tietojen siirron perusteena, mutta tällöin on otettava huomioon useita seikkoja. Koska suostumus on annettava ”suunniteltuun” siirtoon, tarvitaan ennalta annettu suostumus tiettyyn siirtoon (tai tiettyyn siirtojen ryhmään). Jos suostumusta pyydetään verkossa, tietosuojatyöryhmä suosittaa, että käytetään ruutua, jonka rekisteröity rastittaa itse (eikä ennalta rastitettua ruutua). Koska suostumus on annettava yksiselitteisesti, pienikin epäilys siitä, onko rekisteröity todella antanut suostumuksensa, estäisi poikkeuksen soveltamisen. Tämä merkitsee todennäköisesti sitä, että monet tilanteet, joissa suostumus on ilmaistu korkeintaan epäsuorasti (esim. rekisteröidylle on ilmoitettu siirrosta eikä hän ole vastustanut sitä), eivät täyttäisi poikkeuksen ehtoja. Toisaalta poikkeusta voitaisiin käyttää tapauksissa, joissa tiedot siirtävä taho on välittömässä yhteydessä rekisteröityyn ja tarvittavat tiedot ja yksiselitteinen suostumus voidaan hankkia helposti.
Lisäksi suostumus on direktiivin 95/46/EY 2 artiklan h alakohdan mukaisesti annettava vapaaehtoisesti, yksilöidysti ja tietoisesti. Tietosuojatyöryhmän mukaan ensimmäinen vaatimus tarkoittaa sitä, että kaikenlainen painostus saattaa mitätöidä suostumuksen. Tämä koskee erityisesti työsuhteita, joissa työntekijän alisteinen suhde työnantajaan ja työntekijän olennainen riippuvuus yleensä kyseenalaistavat suostumuksen. Yleisesti ottaen rekisteröidyn antamaa suostumusta ei voida pitää pätevänä, jos hänelle ei ole annettu aitoa valinnan mahdollisuutta tai hänet on asetettu tapahtuneen tosiseikan eteen.
On erityisen tärkeää, että rekisteröidyille kerrotaan asianmukaisesti etukäteen, että heidän tietojaan voidaan siirtää EU:n ulkopuolelle, ja mainitaan, mistä kolmannesta maasta on kyse ja millaisin edellytyksin tietoja siirretään (siirron tarkoitus, vastaanottajan/vastaanottajien henkilöllisyys ja muut tiedot jne.). Näissä tiedoissa olisi otettava huomioon erityinen riski siitä, että rekisteröidyn tietoja voidaan siirtää sellaiseen kolmanteen maahan, joka ei takaa tietosuojan riittävää tasoa. Kuten tietosuojatyöryhmä huomauttaa, jos rekisteröity peruuttaa suostumuksensa, peruutus ei vaikuta takautuvasti, mutta sen pitäisi periaatteessa estää henkilötietojen käsittely tulevaisuudessa. Nämä rajoitukset huomioon ottaen tietosuojatyöryhmä katsoo, että suostumus tuskin antaa riittävät pitkäaikaiset puitteet rekisterinpitäjille rakenteellisia siirtoja varten.
2.4. Tiivistelmä henkilötietojen siirron vaihtoehtoisista perustoista
Edellä esitetyn mukaisesti yritykset voivat käyttää monia vaihtoehtoisia välineitä kansainvälisiin tietojen siirtoihin kolmansiin maihin, joiden ei katsota tarjoavan direktiivin 95/46/EY 25 artiklan 2 kohdassa tarkoitettua tietosuojan riittävää tasoa. Asiassa Schrems annetun tuomion johdosta tietosuojatyöryhmä on selventänyt, että sopimuslausekkeita ja yrityksiä sitovia sääntöjä voidaan käyttää siirrettäessä tietoja Yhdysvaltoihin sillä aikaa kun tietosuojatyöryhmä jatkaa arviointiaan. Nämä seikat eivät vaikuta tietosuojaviranomaisten valtuuksiin tutkia yksittäisiä tapauksia.
Toimiala on reagoinut tuomioon eri tavoin, esimerkiksi ottamalla nämä vaihtoehtoiset välineet tietojen siirron perustaksi.
Tässä on kuitenkin otettava huomioon kaksi tärkeää seikkaa. Ensiksi on muistettava, että oikeusperustasta riippumatta tietojen siirrot kolmanteen maahan ovat laillisia vain, jos tiedot on alun perin kerännyt ja niitä on käsitellyt rekisterinpitäjä, joka on sijoittautunut EU:hun direktiivin 95/46/EY kansallisten täytäntöönpanosäännösten mukaisesti. Direktiivissä täsmennetään, että ennen siirtoa tapahtuvassa tietojen käsittelyssä ja itse siirrossa on noudatettava kaikilta osin sääntöjä, jotka jäsenvaltiot ovat antaneet direktiivin muiden säännösten mukaisesti.
Toiseksi, jos komissio ei ole tehnyt päätöstä tietosuojan riittävästä tasosta, on rekisterinpitäjien vastuulla varmistaa, että tietojen siirrossa noudatetaan riittäviä takeita direktiivin 26 artiklan 2 kohdan mukaisesti. Arvioinnissa on otettava huomioon kaikki kyseiseen siirtoon liittyvät seikat. Sopimuslausekkeissa ja yrityksiä sitovissa säännöissä todetaan erityisesti, että jos tietojen tuojalla on syytä uskoa, että se ei voi vastaanottajamaassa sovellettavan lainsäädännön takia ehkä noudattaa velvoitteitaan, sen on välittömästi ilmoitettava asiasta tietojen viejälle EU:ssa. Tällaisessa tilanteessa tietojen viejän on harkittava asianmukaisia toimenpiteitä, jotka ovat tarpeen henkilötietojen suojan varmistamiseksi. Ne voivat olla teknisiä, organisatorisia tai oikeudellisia toimenpiteitä tai liittyä yrityksen liiketoimintatapaan tai mahdollisuuteen keskeyttää tietojen siirto tai päättää sopimus. Tietojen viejien on otettava huomioon kaikki siirtoon liittyvät seikat ja mahdollisesti otettava käyttöön lisätakeita, joilla täydennetään siirtoon sovellettavassa oikeusperustassa vahvistettuja takeita, jotta siirto täyttäisi direktiivin 26 artiklan 2 kohdassa asetetut vaatimukset.
Vaatimusten noudattamista arvioivat viime kädessä tapauskohtaisesti tietosuojaviranomaiset osana valvonta- ja täytäntöönpanotehtäviään. Arviointia toteutetaan esimerkiksi sopimusjärjestelyjen ja yrityksiä sitovien sääntöjen hyväksymisen yhteydessä tai yksittäisten kantelujen pohjalta. Vaikka eräät tietosuojaviranomaiset ovat ilmoittaneet epäilevänsä sopimuslausekkeiden ja yrityksiä sitovien sääntöjen kaltaisten välineiden käyttöä tietojen siirroissa EU:sta Yhdysvaltoihin, tietosuojatyöryhmä totesi asiassa Schrems annetun tuomion johdosta antamassaan lausunnossa jatkavansa analyysiaan tuomion vaikutuksista muihin siirtovälineisiin. Tämä ei vaikuta tietosuojaviranomaisten valtuuksiin tutkia yksittäisiä tapauksia ja käyttää valtaansa yksilöiden suojelemiseksi.
3. Asiassa Schrems annetun tuomion vaikutukset tietosuojan tason riittävyyttä koskeviin päätöksiin
Unionin tuomioistuin ei tuomiossaan kyseenalaista direktiivin 95/46/EY 25 artiklan 6 kohtaan perustuvia komission valtuuksia todeta, että tietty kolmas maa tarjoaa riittävän tietosuojan tason, kunhan tuomioistuimen asettamia vaatimuksia noudatetaan. Kyseisten vaatimusten mukaisesti vuonna 2012 annetussa ehdotuksessa yleiseksi tietosuoja-asetukseksi, jolla korvataan direktiivi 95/46/EY, selvennetään ja tarkennetaan edellytyksiä, joiden mukaisesti tietosuojan tason riittävyyttä koskevia päätöksiä voidaan hyväksyä. Lisäksi unionin tuomioistuin totesi asiassa Schrems antamassaan tuomiossa, että komission päätös tietosuojan tason riittävyydestä sitoo kaikkia jäsenvaltioita ja niiden elimiä, mukaan lukien tietosuojaviranomaisia, kunnes unionin tuomioistuin peruuttaa tai kumoaa päätöksen tai toteaa sen pätemättömäksi, sillä unionin tuomioistuimella on yksinomainen tuomiovalta asiassa. Tietosuojaviranomaisilla on edelleen toimivalta tutkia direktiivin 95/46/EY 28 artiklan 4 kohdassa tarkoitetut vaateet sen varmistamiseksi, että tietojen siirrossa noudatetaan direktiivissä (sellaisena kuin unionin tuomioistuin on sitä tulkinnut) asetettuja vaatimuksia, mutta viranomaiset eivät voi tehdä lopullista päätöstä. Jäsenvaltioiden on annettava mahdollisuus viedä asia kansalliseen tuomioistuimeen, joka puolestaan voi pyytää unionin tuomioistuimelta ennakkoratkaisua Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT-sopimus) 267 artiklan mukaisesti.
Unionin tuomioistuin on myös erikseen vahvistanut, että kolmannen maan noudattama omavarmennusjärjestelmä (yksityisyyden suojaa koskevien safe harbor -periaatteiden mukaisesti) ei poista mahdollisuutta todeta direktiivin 95/46/EY 25 artiklan 6 kohdan mukaisesti tietosuojan taso riittäväksi, kunhan käytössä on tehokkaat havainnointi- ja valvontakeinot, joiden avulla voidaan käytännössä todeta mahdollinen tietosuojasääntöjen rikkominen ja määrätä seuraamuksia.
Koska safe harbor -päätöksessä ei tehty tältä osin riittävää toteamusta, unionin tuomioistuin julisti päätöksen pätemättömäksi. Näin ollen on selvää, että tietojen siirtoja EU:n ja Yhdysvaltojen välillä ei voida jatkossa toteuttaa samalta perustalta eli pelkästään ilmoittamalla, että osapuolet noudattavat yksityisyyden suojaa koskevia safe harbor periaatteita. Koska henkilötietojen siirto sellaiseen kolmanteen maahan, joka ei tarjoa riittävää tietosuojan tasoa (tai ainakaan jonka osalta komissio ei ole sitä todennut direktiivin 95/46/EY 25 artiklan 6 kohdassa tarkoitetussa päätöksessä), on periaatteessa kielletty, tietoja voidaan siirtää laillisesti vain, jos tietojen viejä voi käyttää jotakin edellä 2 jaksossa kuvatuista vaihtoehtoisista välineistä. Ellei tietosuojan tason riittävyydestä ole tehty päätöstä, tietojen viejä on vastuussa – tietosuojaviranomaisten valvonnassa – sen varmistamisesta, että vaihtoehtoisten välineiden käytön edellytykset täyttyvät kyseisen tietojen siirron osalta.
Tuomion soveltamisala rajoittuu komission safe harbor -päätökseen. Kaikissa muissakin tietosuojan tason riittävyyttä koskevissa päätöksissä on kuitenkin rajoitettu tietosuojaviranomaisten valtuuksia safe harbor -päätöksen 3 artiklaa vastaavalla tavalla, jonka unionin tuomioistuin on katsonut pätemättömäksi. Komissio aikoo nyt tehdä tarvittavat johtopäätökset tuomion seurauksista laatimalla piakkoin päätöksen, joka on tarkoitus hyväksyä noudattaen sovellettavaa komiteamenettelyä ja jolla korvataan kyseinen säännös kaikissa voimassa olevissa tietosuojan tason riittävyyttä koskevissa päätöksissä. Lisäksi komissio aikoo arvioida säännöllisesti nykyisiä ja tulevia tietosuojan tason riittävyyttä koskevia päätöksiä muun muassa tarkastelemalla määräajoin päätösten toimintaa yhdessä asianomaisen kolmannen maan toimivaltaisten viranomaisten kanssa.
4. Päätelmät
Kuten tietosuojatyöryhmä on todennut, yritykset voivat edelleen käyttää vaihtoehtoisia välineitä siirtääkseen tietoja laillisesti kolmansiin maihin, kuten Yhdysvaltoihin. Komissio kuitenkin katsoo, että on erittäin tärkeä saada aikaan uudistettu ja asianmukainen kehys henkilötietojen siirtämiselle Yhdysvaltoihin. Tällainen kehys on kattavin keino varmistaa EU:n kansalaisten henkilötietojen suojelu myös sen jälkeen, kun tiedot on siirretty Yhdysvaltoihin. Lisäksi se on paras ratkaisu EU:n ja Yhdysvaltojen välisen kaupan kannalta, sillä se tarjoaa aiempaa yksinkertaisemman, vähemmän kuormittavan ja sen vuoksi edullisemman siirtomekanismin erityisesti pk-yrityksille.
Komissio käynnisti jo vuonna 2013 neuvottelut Yhdysvaltojen hallituksen kanssa henkilötietojen siirtoa koskevasta uudesta järjestelystä antamiensa 13 suosituksen pohjalta. Osapuolten näkemykset ovat sittemmin lähentyneet huomattavasti toisiaan esimerkiksi, kun on kyse Yhdysvaltojen kauppaministeriön ja liittovaltion kauppakomission suorittamasta entistä tehokkaammasta yksityisyyden suojaa koskevien safe harbor -periaatteiden noudattamisen valvonnasta, avoimemmasta tiedottamisesta kuluttajille heidän tietosuojaan liittyvistä oikeuksistaan, helpommista ja edullisemmista oikeussuojakeinoista kantelujen osalta sekä selkeämmistä säännöistä, jotka koskevat tietojen siirtoa safe harbor -sääntöihin sitoutuneista yrityksistä edelleen muihin yrityksiin (esim. käsittelyä tai alihankintana suoritettavaa käsittelyä varten). Koska safe harbor -päätös on todettu pätemättömäksi, komissio on tehostanut neuvotteluja Yhdysvaltojen hallituksen kanssa varmistaakseen, että unionin tuomioistuimen vahvistamia oikeudellisia vaatimuksia noudatetaan. Komission tavoitteena on saada neuvottelut päätökseen kolmen kuukauden kuluessa.
Kunnes käytössä on uusittu kehys tietojen siirtämiselle EU:sta Yhdysvaltoihin, yritysten on käytettävä saatavilla olevia vaihtoehtoisia välineitä. Tähänkin vaihtoehtoon sisältyy kuitenkin tietojen viejiä koskevia velvoitteita, joiden valvonnasta vastaavat tietosuojaviranomaiset.
Toisin kuin silloin kun komissio toteaa, että jokin kolmas maa tarjoaa tietosuojan riittävän tason, johon tietojen viejät voivat luottaa siirtäessään tietoja EU:sta, tietojen viejät joutuvat vaihtoehtoisia välineitä käyttäessään itse varmistamaan, että henkilötietoja suojellaan tosiasiallisesti. Tämä saattaa tarvittaessa edellyttää asianmukaisten toimenpiteiden toteuttamista.
Tietosuojaviranomaisilla on tässä keskeinen rooli. Ne ovat ensisijaisesti vastuussa rekisteröityjen perusoikeuksien toteutumisesta, ja niillä on sekä velvollisuus että toimivalta valvoa täysin riippumattomasti tietojen siirtoa EU:sta kolmansiin maihin. Komissio kehottaa rekisterinpitäjiä yhteistyöhön tietosuojaviranomaisten kanssa, jotta viranomaiset voivat hoitaa tehokkaasti valvontatehtävänsä. Komissio jatkaa tiivistä yhteistyötä tietosuojatyöryhmän kanssa EU:n tietosuojalainsäädännön yhdenmukaisen soveltamisen varmistamiseksi.