EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52015DC0566
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the Transfer of Personal Data from the EU to the United States of America under Directive 95/46/EC following the Judgment by the Court of Justice in Case C-362/14 (Schrems)
KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE direktiiviin 95/46/EY perustuvasta henkilötietojen siirtämisestä EU:sta Yhdysvaltoihin unionin tuomioistuimen asiassa C-362/14 (Schrems) antaman tuomion johdosta
KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE direktiiviin 95/46/EY perustuvasta henkilötietojen siirtämisestä EU:sta Yhdysvaltoihin unionin tuomioistuimen asiassa C-362/14 (Schrems) antaman tuomion johdosta
COM/2015/0566 final
EUROOPAN KOMISSIO
Bryssel 6.11.2015
COM(2015) 566 final
KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE
direktiiviin 95/46/EY perustuvasta henkilötietojen siirtämisestä EU:sta Yhdysvaltoihin unionin tuomioistuimen asiassa C-362/14 (Schrems) antaman tuomion johdosta
KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE
direktiiviin 95/46/EY perustuvasta henkilötietojen siirtämisestä EU:sta Yhdysvaltoihin unionin tuomioistuimen asiassa C-362/14 (Schrems) antaman tuomion johdosta
1. Johdanto: safe harbor -päätöksen kumoaminen
Unionin tuomioistuin on vahvistanut 6. lokakuuta 2015 asiassa C-362/14 (Schrems) antamassaan tuomiossa 1 Euroopan unionin perusoikeuskirjaan kirjatun henkilötietojen suojaa koskevan perusoikeuden merkityksen, myös silloin kun henkilötietoja siirretään EU:n ulkopuolelle.
Henkilötietojen siirrot ovat olennainen osa EU:n ja Yhdysvaltojen välisiä suhteita. EU ja Yhdysvallat ovat toistensa tärkeimmät kauppakumppanit, ja tietojen siirrot ovat olennainen osa niiden keskinäistä kauppaa.
Tietojen siirron helpottamiseksi sekä henkilötietojen korkeatasoisen suojan varmistamiseksi komissio totesi 20. heinäkuuta 2000 tekemässään päätöksessä 2000/520/EY, jäljempänä ’safe harbor -päätös’, safe harbor -periaatteiden antaman suojan riittävyyden. Kyseisessä direktiivin 95/46/EY 2 25 artiklan 6 kohtaan perustuvassa päätöksessä komissio katsoi, että yksityisyyden suojaa koskevat safe harbor -periaatteet ja niihin liittyvät Yhdysvaltojen kauppaministeriön julkaisemat tavallisimmat kysymykset tarjoavat riittävän suojan henkilötietojen siirrolle EU:sta. 3 Näin ollen henkilötietoja voitiin vapaasti siirtää EU:n jäsenvaltioista Yhdysvalloissa sijaitseville yrityksille, jotka olivat sitoutuneet safe harbor -periaatteisiin, vaikka Yhdysvalloissa ei ole yleistä tietosuojalakia. Safe harbor -järjestelyn toiminta on perustunut siihen osallistuvien yritysten antamiin sitoumuksiin ja omaan varmennukseen. Vaikka safe harbor -periaatteisiin ja tavallisimpiin kysymyksiin sitoutuminen on vapaaehtoista, säännöt sitovat Yhdysvaltojen lainsäädännön mukaisesti niihin sitoutuneita yhteisöjä, ja liittovaltion kauppakomissio (Federal Trade Commission) valvoo niiden noudattamista. 4
Unionin tuomioistuin totesi 6. lokakuuta 2015 antamassaan tuomiossa safe harbor -päätöksen pätemättömäksi. Sen vuoksi tässä tiedonannossa tarkastellaan vaihtoehtoisia välineitä siirtää henkilötietoja EU:sta Yhdysvaltoihin direktiivin 95/46/EY mukaisesti silloin, kun ei ole olemassa päätöstä tietosuojan tason riittävyydestä. Tiedonannossa kuvaillaan myös lyhyesti tuomion vaikutuksia muihin komission päätöksiin, jotka koskevat tietosuojan tason riittävyyttä. Unionin tuomioistuin totesi tuomiossaan, että direktiivin 95/46/EY 25 artiklan 6 kohdassa tarkoitettu tietosuojan tason riittävyyttä koskeva päätös edellyttää komission toteamusta siitä, että asianomainen kolmas maa tarjoaa sellaisen henkilösuojan tason, joka ei välttämättä ole täysin samanlainen kuin EU:ssa direktiivin ja EU:n perusoikeuskirjan nojalla tarjottu tietosuojan taso, mutta vastaa sitä ”olennaisilta osin”. Safe harbor -päätöksen osalta unionin tuomioistuin katsoi, ettei se sisältänyt riittäviä komission toteamuksia siitä, että Yhdysvaltojen viranomaisten pääsyä päätöksen nojalla siirrettyihin tietoihin olisi rajoitettu ja että olisi olemassa tehokkaat oikeussuojakeinot tietoihin pääsyn estämiseksi. Unionin tuomioistuin totesi erityisesti, että sellaisen lainsäädännön, joka yleisesti sallii viranomaisille pääsyn sähköisen viestinnän sisältöön, on katsottava vaarantavan yksityiselämän kunnioittamista koskevan perusoikeuden olennaisen ajatuksen. Lisäksi unionin tuomioistuin vahvisti, että vaikka tietosuojan tason riittävyydestä olisi tehty päätös direktiivin 95/46/EY 25 artiklan 6 kohdan mukaisesti, jäsenvaltioiden tietosuojaviranomaisilla on toimivalta ja velvollisuus täysin riippumattomasti selvittää, noudatetaanko tietojen siirtämisessä kolmanteen maahan direktiivissä 95/46/EY vahvistettuja vaatimuksia tulkittuna yhdessä perusoikeuskirjan 7, 8 ja 47 artiklan kanssa. Lisäksi unionin tuomioistuin vahvisti, että ainoastaan unionin tuomioistuin voi todeta EU:n säädöksen, esimerkiksi tietosuojan tason riittävyyttä koskevan komission päätöksen, pätemättömäksi.
Unionin tuomioistuimen tuomiossa viitataan komission vuonna 2013 antamaan tiedonantoon safe harbor järjestelmän toiminnasta EU:n kansalaisten ja EU:hun sijoittautuneiden yritysten näkökulmasta 5 , jossa komissio luetteli useita puutteita sekä antoi 13 suositusta. Komissio on näiden suositusten pohjalta käynyt tammikuusta 2014 lähtien keskusteluja Yhdysvaltojen viranomaisten kanssa pyrkimyksenään luoda uudistettu ja entistä vahvempi järjestely EU:n ja Yhdysvaltojen väliselle tietojen siirrolle.
Komissio on tuomion jälkeen entistä sitoutuneempi luomaan uudistetut ja asianmukaiset puitteet henkilötietojen siirrolle EU:n ja Yhdysvaltojen välillä. Se käynnisti välittömästi entistä tehokkaammat neuvottelut Yhdysvaltojen hallinnon kanssa varmistaakseen, että henkilötietojen siirtoa koskevassa uudessa järjestelyssä noudatetaan kaikilta osin unionin tuomioistuimen vahvistamia normeja. Tiedonsiirtoa koskevissa puitteissa on sen vuoksi huolehdittava riittävistä rajoituksista, takeista ja oikeudellisista valvontamekanismeista, jotta voidaan varmistaa EU:n kansalaisten henkilötietojen jatkuva suojelu, myös silloin kun on kyse viranomaisten mahdollisesta pääsystä tietoihin lainvalvontaan ja kansalliseen turvallisuuteen liittyvistä syistä. Toimiala on jo ehtinyt ilmaista huolensa tietojen siirron jatkuvuudesta. 6 Sen vuoksi on tarpeen selventää, millaisin edellytyksin henkilötietoja voidaan jatkossa siirtää. Myös yksilöiden suojelua henkilötietojen käsittelyssä koskeva työryhmä, jäljempänä ’tietosuojatyöryhmä’, joka on kaikkien jäsenvaltioiden tietosuojaviranomaisten edustajista ja Euroopan tietosuojavaltuutetusta koostuva riippumaton neuvoa-antava elin, antoi 16. lokakuuta lausunnon 7 tuomioon perustuvista alustavista päätelmistä. Lausunnossa annettiin muun muassa seuraavia ohjeita tietojen siirroista:
tietojen siirtäminen ei voi enää perustua komission safe harbor -päätökseen, jonka unionin tuomioistuin on todennut pätemättömäksi;
mallisopimuslausekkeita sekä yrityksiä sitovia sääntöjä voidaan toistaiseksi käyttää tietojen siirron perusteena, vaikka tietosuojatyöryhmä ilmoitti aikovansa analysoida tuomion vaikutusta myös näihin vaihtoehtoisiin välineisiin.
Lausunnossa kehotettiin lisäksi jäsenvaltioita ja EU:n toimielimiä käynnistämään Yhdysvaltojen viranomaisten kanssa keskustelut oikeudellisten ja teknisten ratkaisujen löytämiseksi tietojen siirtoihin. Neuvottelut uudesta safe harbor -järjestelystä voitaisiin tietosuojatyöryhmän mukaan sisällyttää näihin keskusteluihin.
Tietosuojatyöryhmä ilmoitti, että ellei Yhdysvaltojen viranomaisten kanssa löydettäisi asianmukaista ratkaisua tammikuun 2016 loppuun mennessä, tietosuojaviranomaiset toteuttavat kaikki tarvittavat ja asianmukaiset toimet, mukaan lukien koordinoidut täytäntöönpanotoimet, ottaen huomioon vaihtoehtoisia tiedonsiirtovälineitä koskevan arvioinnin.
Lopuksi tietosuojatyöryhmä korosti tietosuojaviranomaisten, EU:n toimielinten, jäsenvaltioiden ja yritysten yhteistä vastuuta kestävien ratkaisujen löytämisestä unionin tuomioistuimen tuomion täytäntöönpanoon. Tietosuojatyöryhmä kehotti erityisesti yrityksiä harkitsemaan sellaisten oikeudellisten ja teknisten ratkaisujen käyttöönottoa, joilla voidaan lieventää tietojen siirtoon mahdollisesti liittyviä riskejä.
Tämä tiedonanto ei vaikuta tietosuojaviranomaisten valtuuksiin ja velvollisuuteen tarkastella täysin riippumattomasti tällaisten tiedonsiirtojen laillisuutta. 8 Tiedonannossa ei vahvisteta sitovia sääntöjä, ja siinä kunnioitetaan kaikilta osin kansallisten tuomioistuinten valtuuksia tulkita sovellettavaa lainsäädäntöä ja tarvittaessa pyytää unionin tuomioistuimelta ennakkoratkaisua. Tiedonantoon ei voida myöskään vedota yksittäisten tai kollektiivisten laillisten oikeuksien tai oikeudellisten vaatimusten osalta.
2. Vaihtoehtoiset perusteet henkilötietojen siirtämiselle Yhdysvaltoihin
Direktiivissä 95/46/EY vahvistetut, kansainvälisiä tietojen siirtoja koskevat säännöt perustuvat siihen, että erotetaan selkeästi toisistaan toisaalta siirrot sellaisiin kolmansiin maihin, joissa taataan tietosuojan riittävä taso (direktiivin 25 artikla), ja toisaalta siirrot sellaisiin kolmansiin maihin, joissa ei taata tietosuojan riittävää tasoa (direktiivin 26 artikla).
Asiassa Schrems annetussa tuomiossa vahvistetaan edellytykset, joiden mukaisesti komissio voi direktiivin 95/46/EY 25 artiklan 6 kohdan mukaisesti todeta, että kolmannessa maassa taataan tietosuojan riittävä taso.
Jos todetaan, että kolmannessa maassa, johon henkilötietoja on tarkoitus EU:sta siirtää, ei taata tietosuojan riittävää tasoa, direktiivin 95/46/EY 26 artiklassa esitetään useita vaihtoehtoisia perusteita tietojen siirrolle. Tietoja voidaan siirtää erityisesti silloin, kun henkilötietojen käsittelyn tarkoituksen ja keinojen määrittelystä vastaava taho eli rekisterinpitäjä
antaa direktiivin 95/46/EY 26 artiklan 2 kohdassa tarkoitetut riittävät takeet henkilöiden yksityisyyden suojasta ja perusoikeuksien ja -vapauksien suojasta sekä niihin liittyvien oikeuksien kunnioittamisesta. Tällaiset takeet voidaan antaa erityisesti sopimuslausekkeiden muodossa, jotka sitovat tietojen viejää ja tuojaa (ks. 2.1 ja 2.2 kohta). Näihin kuuluvat komission käyttöön ottamat sopimuslausekkeet sekä tietosuojaviranomaisten hyväksymät, yrityksiä sitovat säännöt, jotka koskevat tietojen siirtoja monikansallisen yritysryhmän yritysten välillä; tai
soveltaa jotakin direktiivin 95/46/EY 26 artiklan 1 kohdan a–f alakohdassa luetelluista poikkeuksista (ks. 2.3 kohta).
Verrattuna tietosuojan tason riittävyyttä koskeviin päätöksiin, jotka perustuvat tietyn kolmannen maan järjestelmää koskevaan kokonaisarviointiin ja voivat periaatteessa kattaa kaikki siirrot kyseiseen järjestelmään, vaihtoehtoiset tietojen siirron perusteet ovat sekä soveltamisalaltaan rajoitetumpia (niitä sovelletaan vain tiettyihin siirtoihin) että maantieteelliseltä alaltaan laajempia (ne eivät välttämättä koske vain yhtä maata). Niitä sovelletaan sellaisten erikseen nimettyjen tahojen suorittamiin tietojen siirtoihin, jotka ovat päättäneet hyödyntää jotakin direktiivin 95/46/EY 26 artiklassa tarkoitetuista mahdollisuuksista. Silloin kun tietojen viejät ja tuojat siirtävät tietoja tällaisten perusteiden mukaisesti, niiden on lisäksi varmistettava, että siirroissa noudatetaan direktiivin vaatimuksia, koska kyseisen kolmannen maan tietosuojan tasoa ei ole todettu riittäväksi komission päätöksessä.
2.1. Sopimukseen perustuvat ratkaisut
Kuten tietosuojaryhmä toteaa, jotta sopimuslausekkeiden voidaan katsoa tarjoavan direktiivin 95/46/EY 26 artiklan 2 kohdassa tarkoitetut riittävät takeet, sopimuslausekkeen ”on korvattava riittävän yleissuojan puuttuminen siten, että siihen sisältyvät kaikki kyseisessä tilanteessa puuttuvat suojan olennaiset osat” 9 . Helpottaakseen tällaisten välineiden käyttöä kansainvälisissä tietojen siirroissa komissio on hyväksynyt direktiivin 95/46/EY 26 artiklan 4 kohdan mukaisesti neljä sopimuslausekkeiden sarjaa, joiden katsotaan täyttävän direktiivin 26 artiklan 2 kohdassa asetetut vaatimukset. Kaksi sopimuslausekkeiden sarjoista koskee rekisterinpitäjien välisiä siirtoja 10 , ja kaksi muuta sarjaa koskevat siirtoja rekisterinpitäjän ja sen ohjeiden mukaisesti toimivan henkilötietojen käsittelijän välillä 11 . Kussakin näistä sopimuslausekkeiden sarjoista vahvistetaan tietojen viejiä ja tuojia koskevat velvollisuudet. Nämä velvollisuudet koskevat muun muassa turvatoimenpiteitä, rekisteröidylle ilmoittamista silloin kun on kyse arkaluonteisten tietojen siirrosta, tietojen viejälle annettavaa ilmoitusta kolmansien maiden lainvalvontaviranomaisten pyynnöistä saada tutustua tietoihin tai ilmoitusta kaikista tahattomista tai luvattomista tietoihin pääsyistä, rekisteröidyn oikeuksia tutustua henkilötietoihinsa ja korjata ja poistaa niitä, sekä sääntöjä, joiden mukaisesti rekisteröidylle maksetaan korvausta, jos tälle on aiheutunut vahinkoa siitä, että jompikumpi sopimuslausekkeisiin sitoutunut osapuoli on rikkonut sääntöjä. Mallilausekkeissa todetaan myös, että EU:n rekisteröidyillä on oltava mahdollisuus vedota sopimuslausekkeisiin perustuviin oikeuksiinsa edunsaajana olevana kolmantena osapuolena joko tietosuojaviranomaisten kautta ja/tai sen jäsenvaltion tuomioistuimessa, johon tietojen viejä on sijoittautunut. 12 Nämä oikeudet ja velvollisuudet ovat välttämättömiä sopimuslausekkeissa, koska ei voida olettaa, että kolmannessa maassa olevaan tietojen tuojaan sovelletaan riittävää tietosuojasääntöjen valvonta- ja täytäntöönpanojärjestelmää, toisin kuin silloin, kun komissio on todennut kyseisen maan takaavan riittävän tietosuojan tason.
Koska komission päätökset sitovat kokonaisuudessaan kaikkia jäsenvaltioita, sopimuslausekkeiden sisällyttäminen sopimukseen merkitsee sitä, että kansallisten viranomaisten on periaatteessa pakko hyväksyä kyseiset lausekkeet. Näin ollen viranomaiset eivät voi kieltäytyä tietojen siirrosta kolmanteen maahan pelkästään sen perusteella, että kyseiset sopimuslausekkeet eivät tarjoa riittäviä takeita. Tämä ei kuitenkaan vaikuta viranomaisten toimivaltaan tarkastella lausekkeita unionin tuomioistuimen asiassa Schrems antamassa tuomiossa vahvistamia vaatimuksia vasten. Jos viranomaisilla on epäilyksiä, asia olisi vietävä kansalliseen tuomioistuimeen, joka voi puolestaan pyytää unionin tuomioistuimelta ennakkoratkaisua. Vaikka useimpien jäsenvaltioiden kansallisessa lainsäädännössä, jolla direktiivi 95/46/EY on pantu täytäntöön, ei vaadita, että tietojen siirrolle on saatava ennalta kansallinen hyväksyntä, eräissä jäsenvaltioissa on käytössä järjestelmä, jonka mukaisesti sopimuslausekkeiden käytöstä on ilmoitettava ja/tai siihen on saatava ennalta hyväksyntä. Tällöin kansallisen tietosuojaviranomaisen on verrattava sopimukseen sisältyviä lausekkeita mallisopimuslausekkeisiin ja varmistettava, ettei mallilausekkeisiin ole tehty muutoksia. 13 Jos sopimuslausekkeita on käytetty sellaisenaan ilman muutoksia 14 , hyväksyntä myönnetään periaatteessa 15 automaattisesti 16 . Kuten jäljempänä todetaan (ks. 2.4 kohta), tämä ei vaikuta muihin toimenpiteisiin, jotka tietojen viejän on mahdollisesti pakko toteuttaa, erityisesti sellaisten tietojen tuojalta saatujen tietojen pohjalta, jotka koskevat kolmannen maan oikeusjärjestelmään tehtyjä muutoksia, jotka saattavat estää tietojen tuojaa täyttämästä sopimusvelvoitteitaan. Sopimuslausekkeita sovellettaessa tietosuojaviranomaiset valvovat sekä tietojen viejiä että tietojen tuojia, joita sopimus sitoo.
Sopimuslausekkeiden hyväksyminen ei estä yrityksiä käyttämästä myös muita välineitä, kuten tapauskohtaisia sopimusjärjestelyjä, osoittaakseen, että ne tarjoavat tietojen siirroille direktiivin 95/46/EY 26 artiklan 2 kohdassa tarkoitetut riittävät takeet. Direktiivin 26 artiklan 2 kohdan mukaisesti kansallisten viranomaisten on tapauskohtaisesti hyväksyttävä kyseiset järjestelyt. Eräät tietosuojaviranomaiset ovat antaneet tätä varten ohjeistusta, mukaan lukien vakiosopimuksia tai yksityiskohtaisia sääntöjä, joita on noudatettava tietojen siirtoa koskevia lausekkeita laadittaessa. Useimmat sopimukset, joita yritykset tällä hetkellä käyttävät suorittaakseen kansainvälisiä tietojen siirtoja, perustuvat kuitenkin komission hyväksymiin sopimuslausekkeisiin. 17
2.2. Ryhmittymän sisäiset siirrot
Jotta monikansallinen yritys voi siirtää henkilötietoja EU:sta unionin ulkopuolella sijaitseville sidosyrityksille noudattaen direktiivin 95/46/EY 26 artiklan 2 kohdassa vahvistettuja vaatimuksia, se voi hyväksyä yrityksiä sitovat säännöt. Tämäntyyppiset käytännesäännöt muodostavat perustan pelkästään ryhmittymän sisäisille tietojen siirroille.
Yrityksiä sitovien sääntöjen käyttö antaa mahdollisuuden siirtää henkilötietoja vapaasti ryhmittymään kuuluvien yritysten välillä maailmanlaajuisesti, jolloin ei tarvita erillisiä sopimusjärjestelyjä kunkin ryhmittymään kuuluvan yrityksen välillä. Samalla varmistetaan, että henkilötietojen suojan taso on yhtä korkea koko ryhmittymän sisällä, noudattamalla samoja sitovia ja täytäntöönpanokelpoisia sääntöjä. Yhtenäisten sääntöjen avulla saadaan aikaan yksinkertaisempi ja tehokkaampi järjestelmä, joka henkilöstön on helpompi toteuttaa ja jota rekisteröityjen on helpompi ymmärtää. Tietosuojaryhmä on pyrkinyt helpottamaan yrityksiä sitovien sääntöjen laadintaa ja vahvistanut sen vuoksi sääntöjä koskevat aineelliset (esim. käyttötarkoituksen rajoittaminen, käsittelyn turvallisuus, rekisteröidyille annettavat avoimet tiedot, tietojen edelleen siirtämistä yritysryhmän ulkopuolelle koskevat rajoitukset, yksilöiden oikeus tietojen saantiin, oikaisuun ja poistamiseen) ja menettelylliset (esim. tarkastukset, sääntöjen noudattamisen valvonta, kantelujen käsittely, yhteistyö tietosuojaviranomaisten kanssa, vastuu ja lainkäyttövalta) vaatimukset, jotka perustuvat EU:n tietosuojanormeihin. 18 Paitsi että nämä säännöt sitovat ryhmittymään kuuluvia yrityksiä, ne ovat sopimuslausekkeiden tavoin täytäntöönpanokelpoisia EU:ssa. Yksilöt, joita koskevia tietoja jokin ryhmittymään kuuluva yritys käsittelee, voivat edunsaajana olevana kolmantena osapuolena vaatia yrityksiä sitovien sääntöjen noudattamista tekemällä kantelun tietosuojaviranomaiselle ja viemällä asian jäsenvaltion tuomioistuimeen. Lisäksi yrityksiä sitovissa säännöissä on nimettävä taho, joka on EU:n sisällä vastuussa siinä tapauksessa, että EU:n ulkopuolella sijaitseva, ryhmittymään kuuluva yritys rikkoo sitä sitovia sääntöjä.
Useimpien jäsenvaltioiden laeissa, joilla direktiivi on saatettu osaksi kansallista lainsäädäntöä, yrityksiä sitoviin sääntöihin perustuville tietojen siirroille on saatava tietosuojaviranomaisen hyväksyntä kussakin niistä jäsenvaltioista, joista monikansallinen yritys aikoo siirtää tietoja. Helpottaakseen ja nopeuttaakseen menettelyä sekä vähentääkseen hakijoille aiheutuvaa taakkaa tietosuojatyöryhmä on laatinut vakiolomakkeen 19 sekä luonut tietosuojaviranomaisten välistä yhteistyötä varten erityisen menettelyn 20 , jonka puitteissa on nimettävä hyväksymismenettelystä vastuussa oleva johtava viranomainen.
2.3. Poikkeukset
Vaikka direktiivin 95/46/EY 25 artiklan 6 kohdan mukaista tietosuojan tason riittävyyttä koskevaa päätöstä ei olisi tehty ja riippumatta sopimuslausekkeiden ja/tai yrityksiä sitovien sääntöjen käytöstä, henkilötietoja voidaan edelleen siirtää johonkin kolmanteen maahan sijoittautuneille yhteisöille siltä osin kuin ainakin yhtä direktiivin 26 artiklan 1 kohdassa vahvistetuista vaihtoehtoisista poikkeuksista voidaan soveltaa: 21
rekisteröity on antanut yksiselitteisesti suostumuksensa ehdotettuun tietojen siirtoon;
siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
siirto on tarpeen rekisterinpitäjän ja kolmannen osapuolen välisen sopimuksen tekemiseksi tai täytäntöön panemiseksi rekisteröidyn edun mukaisesti;
siirto on tarpeen tai lain vaatima tärkeän yleisen edun 22 turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi;
siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi;
siirto tehdään rekisteristä, joka on lakien ja asetusten mukaisesti yleisön tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, siltä osin kuin rekisterin käytön lailliset edellytykset täyttyvät kussakin yksittäisessä tapauksessa.
Edellä esitetyt syyt muodostavat poikkeuksen yleiseen kieltoon olla siirtämättä henkilötietoja sellaiseen kolmanteen maahan sijoittautuneille yhteisöille, joka ei takaa riittävää tietosuojan tasoa. Tietojen viejän ei itse asiassa tarvitse varmistua sitä, että tietojen tuoja tarjoaa riittävän tietosuojan tason, eikä viejän myöskään yleensä tarvitse saada ennakkohyväksyntää siirrolle asianomaisilta kansallisilta viranomaisilta. Siitä huolimatta tietosuojatyöryhmä katsoo, että kyseisiä poikkeuksia on niiden luonteen vuoksi tulkittava tiukasti. 23
Tietosuojatyöryhmä on antanut useita ohjeita, jotka koskevat direktiivin 95/46/EY 26 artiklan 1 kohdan soveltamista, mutta jotka eivät ole sitovia. 24 Niihin sisältyy muun muassa sääntöjä, jotka koskevat parhaita käytänteitä ja joilla on tarkoitus ohjailla tietosuojaviranomaisten täytäntöönpanotoimia. 25 Tietosuojatyöryhmä suosittaa erityisesti, että henkilötietojen siirrot, jotka voitaisiin luokitella toistuviksi, suurimittaisiksi tai rakenteellisiksi, olisi suojattava riittävin takein ja suoritettava mahdollisuuksien mukaan tietyissä oikeudellisissa puitteissa, kuten sopimuslausekkeiden tai yrityksiä sitovien sääntöjen perusteella. 26
Komissio käsittelee tässä tiedonannossa vain niitä poikkeuksia, joilla vaikuttaa olevan erityisesti merkitystä kaupankäynnin yhteydessä suoritettaville tietojen siirroille sen jälkeen, kun safe harbor -päätös todettiin pätemättömäksi.
2.3.1. Siirrot, jotka ovat tarpeen sopimuksen täytäntöön panemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (26 artiklan 1 kohdan b alakohta)
Tätä poikkeusta voitaisiin soveltaa esimerkiksi hotellivarauksen yhteydessä tai kun maksutietoja siirretään kolmanteen maahan tilisiirron suorittamiseksi. Tietosuojatyöryhmä kuitenkin katsoo kussakin kyseisistä tapauksista, että rekisteröidyn sekä sopimuksen tai sopimusta edeltävän toimenpiteen tarkoituksen välillä on oltava läheinen aineellinen yhteys sekä suora ja objektiivinen yhteys (tarvetesti). 27 Poikkeusta ei myöskään voida soveltaa sellaisten muiden tietojen siirtoon, jotka eivät ole välttämättömiä siirron tarkoituksen kannalta, tai siirtoihin, joilla on jokin muu tarkoitus kuin sopimuksen täytäntöönpano (esim. jälkimarkkinointi). 28 Sopimusta edeltävien toimenpiteiden osalta tietosuojatyöryhmä katsoi, että poikkeuksen alaan kuuluisivat ainoastaan siirrot, jotka rekisteröity itse on pannut alulle (kuten tiettyä palvelua koskevat tietopyynnöt), mutta eivät siirrot, jotka saavat alkunsa rekisterinpitäjän markkinointipyrkimyksistä. 29
2.3.2. Siirrot, jotka ovat tarpeen rekisterinpitäjän ja kolmannen osapuolen välisen sopimuksen tekemiseksi tai täytäntöön panemiseksi rekisteröidyn edun mukaisesti (26 artiklan 1 kohdan c alakohta)
Tätä poikkeusta voidaan soveltaa esimerkiksi silloin, kun rekisteröity on kansainvälisen tilisiirron saaja tai kun matkatoimisto välittää lentoa koskevat varaustiedot lentoyhtiölle. Tässäkin sovelletaan tarvetestiä ja edellytetään rekisteröidyn edun ja sopimuksen tarkoituksen välistä läheistä aineellista yhteyttä.
2.3.3. Siirrot, jotka ovat tarpeen tai lain vaatimat oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi (26 artiklan 1 kohdan d alakohta)
Tätä poikkeusta voidaan soveltaa esimerkiksi silloin, kun yrityksen on siirrettävä tietoja puolustautuakseen oikeudellista vaadetta vastaan tai esittääkseen tällaisen vaateen tuomioistuimessa tai viranomaisen edessä. Kahden edellä mainitun poikkeuksen tapaan tähänkin sovelletaan tarvetestiä: 30 asialla on oltava läheinen yhteys riita-asiaan tai oikeudelliseen menettelyyn (hallinnolliset menettelyt mukaan lukien).
Tietosuojatyöryhmän mukaan poikkeusta on mahdollista soveltaa vain, jos asiassa on noudatettu kyseisen tyyppiseen tietojen siirtoon sovellettavia, rikos- tai riita-asioiden oikeudenkäynneissä tehtävää yhteistyötä koskevia kansainvälisiä sääntöjä, sellaisina kuin ne vahvistetaan 18. maaliskuuta 1970 tehdyssä Haagin yleissopimuksessa (todisteiden vastaanottamista ulkomailla siviili- tai kauppaoikeudellisissa asioissa koskeva yleissopimus) 31 .
2.3.4. Rekisteröidyn yksiselitteisesti ennalta antama suostumus suunniteltuun siirtoon (26 artiklan 1 kohdan a alakohta)
Rekisteröidyn suostumusta voidaan käyttää tietojen siirron perusteena, mutta tällöin on otettava huomioon useita seikkoja. Koska suostumus on annettava ”suunniteltuun” siirtoon, tarvitaan ennalta annettu suostumus tiettyyn siirtoon (tai tiettyyn siirtojen ryhmään). Jos suostumusta pyydetään verkossa, tietosuojatyöryhmä suosittaa, että käytetään ruutua, jonka rekisteröity rastittaa itse (eikä ennalta rastitettua ruutua). 32 Koska suostumus on annettava yksiselitteisesti, pienikin epäilys siitä, onko rekisteröity todella antanut suostumuksensa, estäisi poikkeuksen soveltamisen. Tämä merkitsee todennäköisesti sitä, että monet tilanteet, joissa suostumus on ilmaistu korkeintaan epäsuorasti (esim. rekisteröidylle on ilmoitettu siirrosta eikä hän ole vastustanut sitä), eivät täyttäisi poikkeuksen ehtoja. Toisaalta poikkeusta voitaisiin käyttää tapauksissa, joissa tiedot siirtävä taho on välittömässä yhteydessä rekisteröityyn ja tarvittavat tiedot ja yksiselitteinen suostumus voidaan hankkia helposti. 33
Lisäksi suostumus on direktiivin 95/46/EY 2 artiklan h alakohdan mukaisesti annettava vapaaehtoisesti, yksilöidysti ja tietoisesti. Tietosuojatyöryhmän mukaan ensimmäinen vaatimus tarkoittaa sitä, että kaikenlainen painostus saattaa mitätöidä suostumuksen. Tämä koskee erityisesti työsuhteita, joissa työntekijän alisteinen suhde työnantajaan ja työntekijän olennainen riippuvuus yleensä kyseenalaistavat suostumuksen. 34 Yleisesti ottaen rekisteröidyn antamaa suostumusta ei voida pitää pätevänä, jos hänelle ei ole annettu aitoa valinnan mahdollisuutta tai hänet on asetettu tapahtuneen tosiseikan eteen. 35
On erityisen tärkeää, että rekisteröidyille kerrotaan asianmukaisesti etukäteen, että heidän tietojaan voidaan siirtää EU:n ulkopuolelle, ja mainitaan, mistä kolmannesta maasta on kyse ja millaisin edellytyksin tietoja siirretään (siirron tarkoitus, vastaanottajan/vastaanottajien henkilöllisyys ja muut tiedot jne.). Näissä tiedoissa olisi otettava huomioon erityinen riski siitä, että rekisteröidyn tietoja voidaan siirtää sellaiseen kolmanteen maahan, joka ei takaa tietosuojan riittävää tasoa. 36 Kuten tietosuojatyöryhmä huomauttaa, jos rekisteröity peruuttaa suostumuksensa, peruutus ei vaikuta takautuvasti, mutta sen pitäisi periaatteessa estää henkilötietojen käsittely tulevaisuudessa. 37 Nämä rajoitukset huomioon ottaen tietosuojatyöryhmä katsoo, että suostumus tuskin antaa riittävät pitkäaikaiset puitteet rekisterinpitäjille rakenteellisia siirtoja varten. 38
2.4. Tiivistelmä henkilötietojen siirron vaihtoehtoisista perustoista
Edellä esitetyn mukaisesti yritykset voivat käyttää monia vaihtoehtoisia välineitä kansainvälisiin tietojen siirtoihin kolmansiin maihin, joiden ei katsota tarjoavan direktiivin 95/46/EY 25 artiklan 2 kohdassa tarkoitettua tietosuojan riittävää tasoa. Asiassa Schrems annetun tuomion johdosta tietosuojatyöryhmä on selventänyt, että sopimuslausekkeita ja yrityksiä sitovia sääntöjä voidaan käyttää siirrettäessä tietoja Yhdysvaltoihin sillä aikaa kun tietosuojatyöryhmä jatkaa arviointiaan. Nämä seikat eivät vaikuta tietosuojaviranomaisten valtuuksiin tutkia yksittäisiä tapauksia. 39 Toimiala on reagoinut tuomioon eri tavoin, esimerkiksi ottamalla nämä vaihtoehtoiset välineet tietojen siirron perustaksi. 40
Tässä on kuitenkin otettava huomioon kaksi tärkeää seikkaa. Ensiksi on muistettava, että oikeusperustasta riippumatta tietojen siirrot kolmanteen maahan ovat laillisia vain, jos tiedot on alun perin kerännyt ja niitä on käsitellyt rekisterinpitäjä, joka on sijoittautunut EU:hun direktiivin 95/46/EY kansallisten täytäntöönpanosäännösten mukaisesti. Direktiivissä täsmennetään, että ennen siirtoa tapahtuvassa tietojen käsittelyssä ja itse siirrossa on noudatettava kaikilta osin sääntöjä, jotka jäsenvaltiot ovat antaneet direktiivin muiden säännösten mukaisesti. 41 Toiseksi, jos komissio ei ole tehnyt päätöstä tietosuojan riittävästä tasosta, on rekisterinpitäjien vastuulla varmistaa, että tietojen siirrossa noudatetaan riittäviä takeita direktiivin 26 artiklan 2 kohdan mukaisesti. Arvioinnissa on otettava huomioon kaikki kyseiseen siirtoon liittyvät seikat. Sopimuslausekkeissa ja yrityksiä sitovissa säännöissä todetaan erityisesti, että jos tietojen tuojalla on syytä uskoa, että se ei voi vastaanottajamaassa sovellettavan lainsäädännön takia ehkä noudattaa velvoitteitaan, sen on välittömästi ilmoitettava asiasta tietojen viejälle EU:ssa. Tällaisessa tilanteessa tietojen viejän on harkittava asianmukaisia toimenpiteitä, jotka ovat tarpeen henkilötietojen suojan varmistamiseksi. 42 Ne voivat olla teknisiä, organisatorisia tai oikeudellisia toimenpiteitä 43 tai liittyä yrityksen liiketoimintatapaan tai mahdollisuuteen keskeyttää tietojen siirto tai päättää sopimus. Tietojen viejien on otettava huomioon kaikki siirtoon liittyvät seikat ja mahdollisesti otettava käyttöön lisätakeita, joilla täydennetään siirtoon sovellettavassa oikeusperustassa vahvistettuja takeita, jotta siirto täyttäisi direktiivin 26 artiklan 2 kohdassa asetetut vaatimukset.
Vaatimusten noudattamista arvioivat viime kädessä tapauskohtaisesti tietosuojaviranomaiset osana valvonta- ja täytäntöönpanotehtäviään. Arviointia toteutetaan esimerkiksi sopimusjärjestelyjen ja yrityksiä sitovien sääntöjen hyväksymisen yhteydessä tai yksittäisten kantelujen pohjalta. Vaikka eräät tietosuojaviranomaiset ovat ilmoittaneet epäilevänsä sopimuslausekkeiden ja yrityksiä sitovien sääntöjen kaltaisten välineiden käyttöä tietojen siirroissa EU:sta Yhdysvaltoihin 44 , tietosuojatyöryhmä totesi asiassa Schrems annetun tuomion johdosta antamassaan lausunnossa jatkavansa analyysiaan tuomion vaikutuksista muihin siirtovälineisiin 45 . Tämä ei vaikuta tietosuojaviranomaisten valtuuksiin tutkia yksittäisiä tapauksia ja käyttää valtaansa yksilöiden suojelemiseksi.
3. Asiassa Schrems annetun tuomion vaikutukset tietosuojan tason riittävyyttä koskeviin päätöksiin
Unionin tuomioistuin ei tuomiossaan kyseenalaista direktiivin 95/46/EY 25 artiklan 6 kohtaan perustuvia komission valtuuksia todeta, että tietty kolmas maa tarjoaa riittävän tietosuojan tason, kunhan tuomioistuimen asettamia vaatimuksia noudatetaan. Kyseisten vaatimusten mukaisesti vuonna 2012 annetussa ehdotuksessa yleiseksi tietosuoja-asetukseksi 46 , jolla korvataan direktiivi 95/46/EY, selvennetään ja tarkennetaan edellytyksiä, joiden mukaisesti tietosuojan tason riittävyyttä koskevia päätöksiä voidaan hyväksyä. Lisäksi unionin tuomioistuin totesi asiassa Schrems antamassaan tuomiossa, että komission päätös tietosuojan tason riittävyydestä sitoo kaikkia jäsenvaltioita ja niiden elimiä, mukaan lukien tietosuojaviranomaisia, kunnes unionin tuomioistuin peruuttaa tai kumoaa päätöksen tai toteaa sen pätemättömäksi, sillä unionin tuomioistuimella on yksinomainen tuomiovalta asiassa. Tietosuojaviranomaisilla on edelleen toimivalta tutkia direktiivin 95/46/EY 28 artiklan 4 kohdassa tarkoitetut vaateet sen varmistamiseksi, että tietojen siirrossa noudatetaan direktiivissä (sellaisena kuin unionin tuomioistuin on sitä tulkinnut) asetettuja vaatimuksia, mutta viranomaiset eivät voi tehdä lopullista päätöstä. Jäsenvaltioiden on annettava mahdollisuus viedä asia kansalliseen tuomioistuimeen, joka puolestaan voi pyytää unionin tuomioistuimelta ennakkoratkaisua Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT-sopimus) 267 artiklan mukaisesti.
Unionin tuomioistuin on myös erikseen vahvistanut, että kolmannen maan noudattama omavarmennusjärjestelmä (yksityisyyden suojaa koskevien safe harbor -periaatteiden mukaisesti) ei poista mahdollisuutta todeta direktiivin 95/46/EY 25 artiklan 6 kohdan mukaisesti tietosuojan taso riittäväksi, kunhan käytössä on tehokkaat havainnointi- ja valvontakeinot, joiden avulla voidaan käytännössä todeta mahdollinen tietosuojasääntöjen rikkominen ja määrätä seuraamuksia.
Koska safe harbor -päätöksessä ei tehty tältä osin riittävää toteamusta, unionin tuomioistuin julisti päätöksen pätemättömäksi. Näin ollen on selvää, että tietojen siirtoja EU:n ja Yhdysvaltojen välillä ei voida jatkossa toteuttaa samalta perustalta eli pelkästään ilmoittamalla, että osapuolet noudattavat yksityisyyden suojaa koskevia safe harbor periaatteita. Koska henkilötietojen siirto sellaiseen kolmanteen maahan, joka ei tarjoa riittävää tietosuojan tasoa (tai ainakaan jonka osalta komissio ei ole sitä todennut direktiivin 95/46/EY 25 artiklan 6 kohdassa tarkoitetussa päätöksessä), on periaatteessa kielletty 47 , tietoja voidaan siirtää laillisesti vain, jos tietojen viejä voi käyttää jotakin edellä 2 jaksossa kuvatuista vaihtoehtoisista välineistä. Ellei tietosuojan tason riittävyydestä ole tehty päätöstä, tietojen viejä on vastuussa – tietosuojaviranomaisten valvonnassa – sen varmistamisesta, että vaihtoehtoisten välineiden käytön edellytykset täyttyvät kyseisen tietojen siirron osalta.
Tuomion soveltamisala rajoittuu komission safe harbor -päätökseen. Kaikissa muissakin tietosuojan tason riittävyyttä koskevissa päätöksissä 48 on kuitenkin rajoitettu tietosuojaviranomaisten valtuuksia safe harbor -päätöksen 3 artiklaa vastaavalla tavalla, jonka unionin tuomioistuin on katsonut pätemättömäksi 49 . Komissio aikoo nyt tehdä tarvittavat johtopäätökset tuomion seurauksista laatimalla piakkoin päätöksen, joka on tarkoitus hyväksyä noudattaen sovellettavaa komiteamenettelyä ja jolla korvataan kyseinen säännös kaikissa voimassa olevissa tietosuojan tason riittävyyttä koskevissa päätöksissä. Lisäksi komissio aikoo arvioida säännöllisesti nykyisiä ja tulevia tietosuojan tason riittävyyttä koskevia päätöksiä muun muassa tarkastelemalla määräajoin päätösten toimintaa yhdessä asianomaisen kolmannen maan toimivaltaisten viranomaisten kanssa.
4. Päätelmät
Kuten tietosuojatyöryhmä on todennut, yritykset voivat edelleen käyttää vaihtoehtoisia välineitä siirtääkseen tietoja laillisesti kolmansiin maihin, kuten Yhdysvaltoihin. Komissio kuitenkin katsoo, että on erittäin tärkeä saada aikaan uudistettu ja asianmukainen kehys henkilötietojen siirtämiselle Yhdysvaltoihin. Tällainen kehys on kattavin keino varmistaa EU:n kansalaisten henkilötietojen suojelu myös sen jälkeen, kun tiedot on siirretty Yhdysvaltoihin. Lisäksi se on paras ratkaisu EU:n ja Yhdysvaltojen välisen kaupan kannalta, sillä se tarjoaa aiempaa yksinkertaisemman, vähemmän kuormittavan ja sen vuoksi edullisemman siirtomekanismin erityisesti pk-yrityksille.
Komissio käynnisti jo vuonna 2013 neuvottelut Yhdysvaltojen hallituksen kanssa henkilötietojen siirtoa koskevasta uudesta järjestelystä antamiensa 13 suosituksen 50 pohjalta. Osapuolten näkemykset ovat sittemmin lähentyneet huomattavasti toisiaan esimerkiksi, kun on kyse Yhdysvaltojen kauppaministeriön ja liittovaltion kauppakomission suorittamasta entistä tehokkaammasta yksityisyyden suojaa koskevien safe harbor -periaatteiden noudattamisen valvonnasta, avoimemmasta tiedottamisesta kuluttajille heidän tietosuojaan liittyvistä oikeuksistaan, helpommista ja edullisemmista oikeussuojakeinoista kantelujen osalta sekä selkeämmistä säännöistä, jotka koskevat tietojen siirtoa safe harbor -sääntöihin sitoutuneista yrityksistä edelleen muihin yrityksiin (esim. käsittelyä tai alihankintana suoritettavaa käsittelyä varten). Koska safe harbor -päätös on todettu pätemättömäksi, komissio on tehostanut neuvotteluja Yhdysvaltojen hallituksen kanssa varmistaakseen, että unionin tuomioistuimen vahvistamia oikeudellisia vaatimuksia noudatetaan. Komission tavoitteena on saada neuvottelut päätökseen kolmen kuukauden kuluessa.
Kunnes käytössä on uusittu kehys tietojen siirtämiselle EU:sta Yhdysvaltoihin, yritysten on käytettävä saatavilla olevia vaihtoehtoisia välineitä. Tähänkin vaihtoehtoon sisältyy kuitenkin tietojen viejiä koskevia velvoitteita, joiden valvonnasta vastaavat tietosuojaviranomaiset.
Toisin kuin silloin kun komissio toteaa, että jokin kolmas maa tarjoaa tietosuojan riittävän tason, johon tietojen viejät voivat luottaa siirtäessään tietoja EU:sta, tietojen viejät joutuvat vaihtoehtoisia välineitä käyttäessään itse varmistamaan, että henkilötietoja suojellaan tosiasiallisesti. Tämä saattaa tarvittaessa edellyttää asianmukaisten toimenpiteiden toteuttamista.
Tietosuojaviranomaisilla on tässä keskeinen rooli. Ne ovat ensisijaisesti vastuussa rekisteröityjen perusoikeuksien toteutumisesta, ja niillä on sekä velvollisuus että toimivalta valvoa täysin riippumattomasti tietojen siirtoa EU:sta kolmansiin maihin. Komissio kehottaa rekisterinpitäjiä yhteistyöhön tietosuojaviranomaisten kanssa, jotta viranomaiset voivat hoitaa tehokkaasti valvontatehtävänsä. Komissio jatkaa tiivistä yhteistyötä tietosuojatyöryhmän kanssa EU:n tietosuojalainsäädännön yhdenmukaisen soveltamisen varmistamiseksi.
Unionin tuomioistuimen tuomio 6.10.2015, Maximilian Schrems v. Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650 (jäljempänä myös ’tuomio’ tai ’asiassa Schrems annettu tuomio’).
Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31), jäljempänä ’direktiivi 95/46/EY’ tai ’direktiivi’.
Tässä tiedonannossa EU:lla tarkoitetaan myös Euroopan talousaluetta. Näin ollen viittauksilla jäsenvaltioihin tarkoitetaan myös Euroopan talousalueen jäseniä.
Tarkempi katsaus safe harbor -järjestelyyn löytyy asiakirjasta ”Komission tiedonanto Euroopan parlamentille ja neuvostolle safe harbor järjestelmän toiminnasta EU:n kansalaisten ja EU:hun sijoittautuneiden yritysten näkökulmasta” (COM(2013) 847 final).
”Komission tiedonanto Euroopan parlamentille ja neuvostolle safe harbor -järjestelmän toiminnasta EU:n kansalaisten ja EU:hun sijoittautuneiden yritysten näkökulmasta” (COM(2013) 847 final, 27.11.2013). Ks. myös komission tiedonanto Euroopan parlamentille ja neuvostolle ”Luottamuksen palauttaminen EU:n ja Yhdysvaltojen väliseen tietojen siirtoon” (COM(2013) 846 final, 27.11.2013) sekä siihen liittyvä muistio ”Restoring Trust in EU-US data flows – Frequently Asked Questions” (MEMO/13/1059, 27.11.2013).
Toimialajärjestöjen edustajat ilmaisivat huolensa muun muassa kokouksessa, jonka komission varapuheenjohtaja Andrus Ansip sekä komissaarit Vĕra Jourová ja Günther Oettinger järjestivät kohta asiassa Schrems annetun tuomion jälkeen. Ks. Daily News, 14.10.2015 (MEX/15/5840). Ks. myös useiden EU:n ja Yhdysvaltojen toimialajärjestöjen ja yritysten allekirjoittama, 13. lokakuuta 2015 päivätty avoin kirje komission puheenjohtaja Jean-Claude Junckerille ”Open letter on the implementation of the CJEU Judgement on Case C-362/14 Maximillian Schrems v Data Protection Commissioner”: http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=1045&PortalId=0&TabId=353
Tietosuojatyöryhmän lausunto on saatavilla osoitteessa http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf
Ks. EU:n perusoikeuskirjan 8 artiklan 3 kohta ja SEUT-sopimuksen 16 artiklan 2 kohta. Myös unionin tuomioistuin korosti tätä riippumattomuutta asiassa Schrems antamassaan tuomiossa.
Ks. tietosuojatyöryhmän valmisteluasiakirja ”Henkilötietojen siirto EU:n ulkopuolisiin maihin: EU:n tietosuojadirektiivin 25 ja 26 artiklan soveltaminen”, WP 12, 24.7.1998, s. 16.
Komission päätös 2001/497/EY, tehty 15 päivänä kesäkuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten (EYVL L 181, 4.7.2001, s. 19) ja komission päätös 2004/915/EY, tehty 27 päivänä joulukuuta 2004, päätöksen 2001/497/EY muuttamisesta vaihtoehtoisten mallisopimuslausekkeiden ottamiseksi käyttöön henkilötietojen kolmansiin maihin siirtoa varten (EUVL L 385, 29.12.2004, s. 74).
Komission päätös 2002/16/EY, tehty 27 päivänä joulukuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille (EYVL L 6, 10.1.2002, s. 52) ja komission päätös 2010/87/EU, annettu 5 päivänä helmikuuta 2010, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille (EUVL L 39, 12.2.2010, s. 5). Ensin mainittu päätös, joka kumottiin jälkimmäisellä päätöksellä, koskee vain ennen 15. toukokuuta 2010 tehtyjä sopimuksia.
Ks. esimerkiksi komission päätöksen 2004/915/EY johdanto-osan 6 kappale ja sen liitteessä oleva lauseke V sekä komission päätöksen 2010/87/EU liitteessä oleva lauseke 7.
On otettava huomioon, että yleistä tietosuoja-asetusta koskevan ehdotuksen (COM(2012) 11 final) mukaan sopimuslausekkeisiin tai yrityksiä sitoviin sääntöihin perustuviin tietojen siirtoihin ei tarvita erillistä hyväksyntää edellyttäen, että komissio on hyväksynyt kyseiset lausekkeet tai säännöt tai ne on hyväksytty suunnitellun yhdenmukaisuusmekanismin mukaisesti.
Sopimuslausekkeiden käyttö ei kuitenkaan estä osapuolia sopimasta myös muista lausekkeista, kunhan ne eivät ole suoraan tai välillisesti ristiriidassa komission hyväksymien lausekkeiden kanssa tai vahingoita rekisteröityjen perusoikeuksia tai -vapauksia. Ks. Euroopan komission asiakirja ”Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries” (FAQ B.1.9), s. 28 (saatavilla osoitteessa http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.pdf).
Jos tietosuojaviranomainen epäilee sopimuslausekkeiden yhteensopivuutta direktiivin vaatimusten kanssa, sen olisi saatettava asia kansallisen tuomioistuimen käsiteltäväksi, joka voi halutessaan pyytää unionin tuomioistuimelta ennakkoratkaisua (vrt. asiassa Schrems annetun tuomion 51, 52, 64 ja 65 kohta).
Tietosuojatyöryhmä on ottanut käyttöön erityisen yhteistyömenettelyn tietosuojaviranomaisia varten, kun on hyväksyttävä sellaisia sopimuslausekkeita, joita yritys haluaa käyttää useissa jäsenvaltioissa. Ks. tietosuojatyöryhmän valmisteluasiakirja ”Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on ’Contractual clauses’ Considered as compliant with the EC Model Clause”, WP 226, 26.11.2014. Ks. lisäksi komission päätöksen 2004/915/EY liitteessä oleva lauseke VII ja komission päätöksen 2010/87/EU liitteessä oleva lauseke 10.
Ks. tietosuojatyöryhmän valmisteluasiakirja ”Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on ’Contractual clauses’ Considered as compliant with the EC Model Clause”, WP 226, 26.11.2014, s. 2.
Ks. tietosuojatyöryhmän valmisteluasiakirja ”Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules”, WP 153, 24.6.2008, ja valmisteluasiakirja ”Working Document setting up a framework for the structure of Binding Corporate Rules”, WP 154, 24.6.2008, ja valmisteluasiakirja ”Working Document on Frequently Asked Questions (FAQs) related to Binding Corporate Rules”, WP 155, 24.6.2008.
Tietosuojatyöryhmän lausunto ”Recommendation 1/2007 on Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data”, WP 133, 10.1.2007.
Tietosuojatyöryhmän valmisteluasiakirja ”Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From ’Binding Corporate Rules’”, WP 107, 14.4.2005.
Kuten tietosuojatyöryhmä on korostanut, jos direktiivin 95/46/EY muissa säännöksissä vahvistetaan lisävaatimuksia näiden poikkeuksien käytölle (esim. 8 artiklassa esitetyt rajoitukset arkaluonteisten tietojen käsittelylle), niitä on noudatettava. Ks. tietosuojatyöryhmän asiakirja ”Valmisteluasiakirja 24. lokakuuta 1995 annetun direktiivin 95/46/EY 26 artiklan 1 kohdan yhteisestä tulkinnasta”, WP 114, 25.11.2005, s. 8. Ks. myös Euroopan komission asiakirja ”Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries” (FAQ D.2), s. 50.
Tämä voi käsittää esimerkiksi tietojen siirron vero- tai tulliviranomaisten välillä tai sosiaaliturvasta vastaavien viranomaisten välillä (ks. direktiivin 95/46/EY johdanto-osan 58 kappale). Poikkeusta voidaan soveltaa myös siirtoihin rahoituspalvelualan valvontaviranomaisten välillä. Ks. tietosuojatyöryhmän valmisteluasiakirja ”Henkilötietojen siirto EU:n ulkopuolisiin maihin: EU:n tietosuojadirektiivin 25 ja 26 artiklan soveltaminen”, WP 12, 24.7.1998, s. 25.
Tietosuojatyöryhmän asiakirja ”Valmisteluasiakirja 24. lokakuuta 1995 annetun direktiivin 95/46/EY 26 artiklan 1 kohdan yhteisestä tulkinnasta”, WP 114, 25.11.2005, s. 7 ja 17.
Tietosuojatyöryhmän valmisteluasiakirja ”Henkilötietojen siirto EU:n ulkopuolisiin maihin: EU:n tietosuojadirektiivin 25 ja 26 artiklan soveltaminen”, WP 12, 24.7.1998, ja ”Valmisteluasiakirja 24. lokakuuta 1995 annetun direktiivin 95/46/EY 26 artiklan 1 kohdan yhteisestä tulkinnasta”, WP 114, 25.11.2005. Ks. myös Euroopan komission asiakirja ”Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries” (FAQ D.1–D.9), s. 48–54.
Tietosuojatyöryhmän asiakirja ”Valmisteluasiakirja 24. lokakuuta 1995 annetun direktiivin 95/46/EY 26 artiklan 1 kohdan yhteisestä tulkinnasta”, WP 114, 25.11.2005, s. 8–10.
Tietosuojatyöryhmän asiakirja ”Valmisteluasiakirja 24. lokakuuta 1995 annetun direktiivin 95/46/EY 26 artiklan 1 kohdan yhteisestä tulkinnasta”, WP 114, 25.11.2005, s. 9. Tietosuojatyöryhmän mukaan suurimittaisia tai toistuvia siirtoja voidaan suorittaa poikkeuksen perusteella vain silloin kun sopimuslausekkeiden tai yrityksiä sitovien sääntöjen käyttö ei ole käytännössä mahdollista ja kun rekisteröidyille aiheutuvat riskit ovat vähäiset (esim. kansainväliset rahansiirrot). Ks. myös Euroopan komission asiakirja ”Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries” (FAQ D.1), s. 49.
Tietosuojatyöryhmän asiakirja ”Valmisteluasiakirja 24. lokakuuta 1995 annetun direktiivin 95/46/EY 26 artiklan 1 kohdan yhteisestä tulkinnasta”, WP 114, 25.11.2005, s. 13. Ks. lisäksi ”Lausunto 6/2002 lentoyhtiöiden matkustajatietojen ja muun tiedon siirrosta Yhdysvaltoihin”, WP 66, 24.10.2002.
Tietosuojatyöryhmän valmisteluasiakirja ”Henkilötietojen siirto EU:n ulkopuolisiin maihin: EU:n tietosuojadirektiivin 25 ja 26 artiklan soveltaminen”, WP 12, 24.7.1998 s. 46, ja ”Valmisteluasiakirja 24. lokakuuta 1995 annetun direktiivin 95/46/EY 26 artiklan 1 kohdan yhteisestä tulkinnasta”, WP 114, 25.11.2005, s. 13.
Tietosuojatyöryhmän valmisteluasiakirja ”Henkilötietojen siirto EU:n ulkopuolisiin maihin: EU:n tietosuojadirektiivin 25 ja 26 artiklan soveltaminen”, WP 12, 24.7.1998, s. 24.
Tietosuojatyöryhmän asiakirja ”Valmisteluasiakirja 24. lokakuuta 1995 annetun direktiivin 95/46/EY 26 artiklan 1 kohdan yhteisestä tulkinnasta”, WP 114, 25.11.2005, s. 15. Esimerkiksi työsuhteessa poikkeusta ei voida soveltaa kaikkien työntekijöitä koskevien tiedostojen siirtämiseen kolmanteen maahan sijoittautuneelle ryhmittymän emoyhtiölle mahdollista tulevaa oikeudenkäyntiä varten.
Todisteiden vastaanottamista ulkomailla siviili- tai kauppaoikeudellisissa asioissa koskeva Haagin yleissopimus, joka avattiin allekirjoittamista varten 18. maaliskuuta 1970 (23 U.S.T. 2555, 847 U.N.T.S. 241). Yleissopimus kattaa muun muassa oikeudenkäyntiä edeltävät tutkintamenettelyt (pre-trial discovery) tai yhden valtion oikeusviranomaisen toisen valtion toimivaltaiselle viranomaiselle esittämät pyynnöt saada todisteita, joita on tarkoitus käyttää oikeudenkäynnissä pyynnön esittävässä jäsenvaltiossa.
Tietosuojatyöryhmän asiakirja ”Valmisteluasiakirja 24. lokakuuta 1995 annetun direktiivin 95/46/EY 26 artiklan 1 kohdan yhteisestä tulkinnasta”, WP 114, 25.11.2005, s. 10. Asiakirjassa viitataan tietosuojatyöryhmän asiakirjaan ”Lausunto 5/2004 direktiivin 2002/58/EY 13 artiklan mukaisesta, markkinointiin tarkoitetusta ei-toivotusta viestinnästä”, WP 90, 27.2.2004, 3.2 kohta.
Tietosuojatyöryhmän valmisteluasiakirja ”Henkilötietojen siirto EU:n ulkopuolisiin maihin: EU:n tietosuojadirektiivin 25 ja 26 artiklan soveltaminen”, WP 12, 24.7.1998, s. 24.
Tietosuojatyöryhmän lausunto ”Opinion 8/2001 on the processing of personal data in the employment context”, WP 48, 13.9.2001, s. 3, 23 ja 26. Tietosuojatyöryhmän mukaan suostumuksen käyttäminen olisi rajoitettava tapauksiin, joissa työntekijällä on aidosti vapaus valita ja joissa hän voi myöhemmin peruuttaa suostumuksensa ilman haitallisia seurauksia. Ks. myös tietosuojatyöryhmän asiakirja ”Valmisteluasiakirja 24. lokakuuta 1995 annetun direktiivin 95/46/EY 26 artiklan 1 kohdan yhteisestä tulkinnasta”, WP 114, 25.11.2005, s. 11.
Tietosuojatyöryhmän asiakirja ”Valmisteluasiakirja 24. lokakuuta 1995 annetun direktiivin 95/46/EY 26 artiklan 1 kohdan yhteisestä tulkinnasta”, WP 114, 25.11.2005, s. 11. Ks. lisäksi ”Lausunto 6/2002 lentoyhtiöiden matkustajatietojen ja muun tiedon siirrosta Yhdysvaltoihin”, WP 66, 24.10.2002.
Tietosuojatyöryhmän valmisteluasiakirja ”Henkilötietojen siirto EU:n ulkopuolisiin maihin: EU:n tietosuojadirektiivin 25 ja 26 artiklan soveltaminen”, WP 12, 24.7.1998, s. 24.
Tietosuojatyöryhmän asiakirja ”Lausunto 15/2011 suostumuksen määritelmästä”, WP 187, 13.7.2011, s. 9.
Tietosuojatyöryhmän asiakirja ”Valmisteluasiakirja 24. lokakuuta 1995 annetun direktiivin 95/46/EY 26 artiklan 1 kohdan yhteisestä tulkinnasta”, WP 114, 25.11.2005, s. 11.
Ks. tietosuojatyöryhmän 16. lokakuuta 2015 antama lausunto (alaviite 8).
Useat monikansalliset yritykset ovat ilmoittaneet, että niiden suorittamat tietojen siirrot Yhdysvaltoihin perustuvat vaihtoehtoisiin välineisiin. Ks. esim. Microsoftin (http://blogs.microsoft.com/on-the-issues/2015/10/06/a-message-to-our-customers-about-eu-us-safe-harbor/) ja Salesforcen (http://www.salesforce.com/company/privacy/data-processing-addendum-faq.jsp) lausunnot. Eräät muut yhdysvaltalaiset yritykset, kuten Oracle, ovat ilmoittaneet tarjoavansa pilvipalveluasiakkaille mahdollisuutta tallentaa tiedot Eurooppaan, jolloin tietoja ei lähetettäisi tallennettavaksi muualle: http://www.irishtimes.com/business/technology/oracle-keeps-european-data-within-its-eu-based-data-centres-1.2408505?mode=print&ot=example.AjaxPageLayout.ot
Ks. direktiivin 95/46/EY johdanto-osan 60 kappale ja 25 artiklan 1 kohta.
Ks. esim. komission päätöksen 2010/87/EU liitteessä oleva lauseke 5 ja tietosuojatyöryhmän valmisteluasiakirja ”Working Document setting up a framework for the structure of Binding Corporate Rules”, WP 154, 24.6.2008, s. 8.
Ks. Euroopan unionin verkko- ja tietoturvaviraston (ENISA) ohjeet: https://resilience.enisa.europa.eu/article-13/guideline-for-minimum-security-measures/Article_13a_ENISA_Technical_Guideline_On_Security_Measures_v2_0.pdf.
Ks. esim. Saksan liitto- ja osavaltiotason tietosuojaviranomaisten konferenssin kannanotto 26.10.2015: https://www.datenschutz.hessen.de/ft-europa.htm#entry4521. Kannanotossa korostetaan, että asiassa Schrems annetussa tuomiossa vahvistetaan tiukat aineelliset vaatimukset, joita sekä komission että tietosuojaviranomaisten on noudatettava, ja todetaan, että Saksan tietosuojaviranomaiset aikovat arvioida vaihtoehtoisiin välineisiin (sopimuslausekkeet, yrityksiä sitovat säännöt) perustuvien tietojen siirtojen laillisuuden eivätkä aio enää myöntää uusia lupia kyseisten välineiden käyttöön. Lisäksi yksittäiset Saksan tietosuojaviranomaiset ovat antaneet selviä varoituksia siitä, että vaihtoehtoisten välineiden laillisuutta tutkitaan. Ks. esim. Schleswig-Holsteinin osavaltion tietosuojaviranomaisten kannanotto (https://www.datenschutz.hessen.de/ft-europa.htm#entry4521) ja Rheinland-Pfalzin osavaltion tietosuojaviranomaisten kannanotto: https://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerungen_des_LfDI_RLP_zum_EuGH-Urteil_Safe_Harbor.pdf.
Ks. tietosuojatyöryhmän 16. lokakuuta 2015 antama lausunto (alaviite 8).
Euroopan komission ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus). Ks. lisäksi Euroopan parlamentin lainsäädäntöpäätöslauselma 12. maaliskuuta 2014 ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus), COM(2012)0011 – C7-0025/2012 – 2012/0011(COD), ja ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus) – Yleisnäkemyksen valmistelu, neuvoston asiakirja 9565/15. Ehdotus on parhaillaan lainsäädäntömenettelyn viimeisessä vaiheessa.
Ks. direktiivin 95/46/EY johdanto-osan 57 kappale.
Tällä hetkellä voimassa olevat päätökset tietosuojan tason riittävyydestä koskevat seuraavia maita ja alueita: Andorra, Argentiina, Färsaaret, Guernsey, Israel, Jersey, Kanada, Mansaari, Sveitsi, Uruguay ja Uusi-Seelanti. Ks. http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.
Ks. asiassa Schrems annetun tuomion 99–104 kohta.
Ks. alaviite 4.
