Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Document 52019DC0495

KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toiminnan kolmannesta vuosittaisesta tarkastelusta

COM/2019/495 final

Date of document:
23/10/2019
Date of dispatch:
23/10/2019; Siirretty neuvostolle
Date of dispatch:
23/10/2019; Siirretty parlamentille
Author:
Euroopan komissio, Oikeus- ja kuluttaja-asioiden pääosasto
Responsible body:
JUST
Form:
Kertomus

Bryssel 23.10.2019

COM(2019) 495 final

KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toiminnan kolmannesta vuosittaisesta tarkastelusta

{SWD(2019) 390 final}


1.KOLMAS VUOSITTAINEN TARKASTELU – TAUSTA, VALMISTELU JA PROSESSI

Komissio antoi 12. heinäkuuta 2016 päätöksen (jäljempänä ’tietosuojan riittävyyttä koskeva päätös’), jossa se totesi, että EU:n ja Yhdysvaltojen Privacy Shield -järjestelyllä taataan riittävä henkilötietojen suojan taso, kun tietoja siirretään EU:sta Yhdysvalloissa toimiville organisaatioille. 1 Tietosuojan riittävyyttä koskevassa päätöksessä edellytetään erityisesti, että komissio suorittaa vuosittain tarkastelun, jossa se arvioi järjestelyn toiminnan kaikkia osatekijöitä, ja laatii sen perusteella julkisen kertomuksen Euroopan parlamentille ja neuvostolle.

Ensimmäinen vuosittainen tarkastelu toteutettiin syyskuussa 2017 Washingtonissa, ja lokakuussa 2017 komissio antoi Euroopan parlamentille ja neuvostolle kertomuksen 2 ja siihen liittyvän komission yksiköiden valmisteluasiakirjan (SWD(2017) 344 final) 3 . Komissio katsoi, että Yhdysvallat takasi edelleen tietosuojan riittävän tason tiedoille, jotka siirretään Privacy Shield -järjestelyn mukaisesti EU:sta Yhdysvaltoihin, mutta esitti kymmenen suositusta järjestelyn käytännön toiminnan parantamiseksi.

Toinen vuosittainen tarkastelu toteutettiin lokakuussa 2018 Brysselissä, ja joulukuussa 2018 komissio antoi Euroopan parlamentille ja neuvostolle kertomuksen 4 ja siihen liittyvän komission yksiköiden valmisteluasiakirjan (SWD(2018) 487 final) 5 . Toisen vuosittaisen tarkastelun yhteydessä kerätyt tiedot vahvistivat komission havainnot, jotka esitettiin tietosuojan riittävyyttä koskevassa päätöksessä. Tämä koski sekä järjestelyn kaupallisia näkökohtia (eli näkökohtia, jotka liittyvät siihen, noudattavatko varmennetut yritykset Privacy Shield -järjestelyn vaatimuksia, sekä hallintoa ja Yhdysvaltojen toimivaltaisten viranomaisten toteuttamaa vaatimusten seurantaa ja täytäntöönpanoa) että viranomaisten pääsyä järjestelyn mukaisesti siirrettyihin henkilötietoihin.

Varsinkin toimilla, jotka oli toteutettu ensimmäisen vuosittaisen tarkastelun jälkeen annettujen komission suositusten täytäntöön panemiseksi, oli parannettu useita järjestelyn käytännön toimintaan liittyviä näkökohtia. Kauppaministeriö oli esimerkiksi ottanut käyttöön uusia mekanismeja, joiden avulla havaitaan mahdolliset sääntöjen noudattamiseen liittyvät ongelmat. Liittovaltion kauppakomissio oli puolestaan ottanut käyttöön uuden ja entistä ennakoivamman lähestymistavan sääntöjen noudattamisen valvontaan ja täytäntöönpanoon, ja yksityisyyden suojan ja kansalaisvapauksien valvonnasta vastaavan lautakunnan kertomus presidentin määräyksen nro 28 6 täytäntöönpanosta oli julkistettu. Koska eräät näistä toimista oli toteutettu juuri ennen toista vuosittaista tarkastelua ja tietyt prosessit olivat vielä kesken, komissio totesi kuitenkin, että näiden prosessien ja mekanismien myöhempää edistymistä on seurattava tarkasti.

Vaikka oikeusasiamiehen tehtävistä Privacy Shield -järjestelyssä vastasi vt. alivaltiosihteeri ja oikeusasiamiesmekanismi oli siten täysin toimiva, komissio korosti myös, että Privacy Shield ‑järjestelyyn oli tärkeää nimittää pysyvä oikeusasiamies, ja kehottikin Yhdysvaltojen hallitusta nimeämään kyseisen henkilön viimeistään 28. helmikuuta 2019.

Kolmatta vuosittaista tarkastelua koskeva kokous järjestettiin Washington DC:ssä 12. ja 13. syyskuuta 2019. Sen avasivat oikeus- ja kuluttaja-asioiden pääosaston pääjohtaja Tiina Astola, Yhdysvaltojen kauppaministeri Wilbur Ross, Yhdysvaltojen liittovaltion kauppakomission puheenjohtaja Joseph Simons ja Euroopan tietosuojaneuvoston varapuheenjohtaja Ventsislav Karadjov. Kokousta johtivat EU:n puolesta Euroopan komission oikeus- ja kuluttaja-asioiden pääosaston edustajat. Kokoukseen osallistui myös kahdeksan Euroopan tietosuojaneuvoston 7 nimeämää edustajaa.

Yhdysvaltojen puolelta tarkasteluun osallistui kauppaministeriön, ulkoministeriön, liittovaltion kauppakomission, liikenneministeriön, kansallisen tiedusteluviraston ja oikeusministeriön edustajia sekä yksityisyyden suojan ja kansalaisvapauksien valvonnasta vastaavan lautakunnan jäseniä, vastikään (pysyvästi, ks. jäljempänä) nimitetty oikeusasiamies ja tiedusteluyhteisön valvontaviranomainen. Tarkasteluun liittyvissä käsittelyissä tietoja antoivat myös kahden riippumatonta riitojenratkaisua Privacy Shield -järjestelyn mukaisesti tarjoavan järjestön edustajat ja Yhdysvaltain sovitteluelinten yhdistys (American Arbitration Association), joka hallinnoi Privacy Shield -sovittelulautakuntaa. Vuosittaiseen tarkasteluun saatiin tietoja myös muutamilta Privacy Shield -järjestelyyn varmennetuilta organisaatioilta, jotka kertoivat siitä, mitä toimia yritykset toteuttavat noudattaakseen järjestelyssä asetettuja vaatimuksia.

Valmistellessaan kolmatta vuosittaista tarkastelua komissio oli kerännyt tietoa asiaankuuluvilta sidosryhmiltä (erityisesti Privacy Shield -järjestelyyn varmennetuilta yrityksiltä niiden toimialajärjestöjen kautta sekä perusoikeuksien ja erityisesti digitaalisten oikeuksien ja yksityisyyden suojan alalla toimivilta kansalaisjärjestöiltä). Kirjallisten lausuntojen keräämisen lisäksi komissiolla oli kokouksia teollisuus- ja yrittäjäjärjestöjen kanssa 9. syyskuuta 2019 ja kansalaisjärjestöjen kanssa 11. syyskuuta 2019.

Komissio on hyödyntänyt kertomuksen laatimisessa myös julkisesti saatavilla olevaa aineistoa, kuten tuomioistuimien päätöksiä, Yhdysvaltojen asiaankuuluvien viranomaisten täytäntöönpanosääntöjä ja ‑menettelyjä, kansalaisjärjestöjen raportteja ja tutkimuksia, Privacy Shield -järjestelyyn varmennettujen yritysten avoimuusraportteja, riippumattomia muutoksenhakumenettelyjä koskevia vuosikertomuksia ja tiedotusvälineiden raportteja.

Tämä kertomus päättää Privacy Shield -järjestelyn toimintaa koskevan kolmannen vuosittaisen tarkastelun. Kertomuksessa ja siihen liittyvässä komission yksiköiden valmisteluasiakirjassa (SWD(2019) 390 final) noudatetaan samaa rakennetta kuin kahdessa aiemmassa tarkastelua koskevassa asiakirjassa. Siinä käsitellään kaikkia Privacy Shield -järjestelyn toimintaan liittyviä näkökohtia ja keskitytään erityisesti niihin seikkoihin, joiden komissio oli toisen vuosittaisen arvioinnin aikana havainnut edellyttävän tarkkaa seurantaa.

Komissio otti arvioinnin laatimisessa huomioon myös viime vuoden aikana tapahtuneen edistymisen sekä Euroopan unionin tuomioistuimessa vireillä olevan Privacy Shield -järjestelyyn liittyvän kanteen 8 . Tältä osin komissio saattoi tarkastelun yhteydessä saada Yhdysvaltojen viranomaisilta selvennyksiä ulkomaantiedustelutietojen keräämistä koskevan Yhdysvaltojen oikeudellisen kehyksen tietyistä näkökohdista, jotka tulivat esiin ns. Schrems II -asian yhteydessä. Komissio saattaa kuitenkin joutua arvioimaan tilannetta uudelleen, kun tuomioistuin tekee päätöksensä vireillä olevissa kanteissa.

2.HAVAINNOT

Kolmantena toimintavuotena Privacy Shield -järjestelyssä, johon vuosittaista tarkastelua koskevan kokouksen aikaan osallistui yli 5 000 yritystä, siirryttiin alkuvaiheesta toiminnallisempaan vaiheeseen. Kolmannessa vuosittaisessa arvioinnissa, joka kattoi sekä kaupalliset näkökohdat että kysymykset, jotka koskevat viranomaisten pääsyä henkilötietoihin, keskityttiin järjestelyn käytännön soveltamisesta saatuihin oppeihin ja kokemuksiin.

Tarkemmat havainnot, jotka koskevat Privacy Shield -järjestelyn toimintaa järjestelyn kolmannen toimintavuoden jälkeen, esitetään komission yksiköiden valmisteluasiakirjassa EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toiminnan kolmannesta vuosittaisesta tarkastelusta (SWD(2019) 390 final), joka on liitetty tähän kertomukseen.

2.1.Kaupalliset näkökohdat

Kaupallisia näkökohtia koskevassa komission arvioinnissa keskityttiin viime vuoden vuosittaisessa tarkastelussa tehtyjen havaintojen pohjalta erityisesti kauppaministeriön edistymiseen seuraavilla aloilla: i) uudelleenvarmennusprosessi, ii) sellaisten mekanismien vaikuttavuus, jotka kauppaministeriö on ottanut käyttöön voidakseen seurata ennakoivasti, noudattavatko varmennetut yritykset järjestelyä (ns. satunnaistarkastukset), iii) välineet totuudenvastaisten väitteiden etsimiseksi, iv) Privacy Shield -järjestelyyn kohdistuvien rikkomusten havaitsemista koskevien liittovaltion kauppakomission täytäntöönpanomenettelyjen edistyminen ja tulokset ja v) henkilöstötietoja koskevien ohjeiden kehitys.

Uudelleenvarmennusprosessin osalta kolmannessa vuosittaisessa tarkastelussa kävi ilmi, että jos yritys ei ole suorittanut uudelleenvarmennusprosessia (uudelleen)varmennuksen määräaikaan mennessä, kauppaministeriö tavallisesti myöntää yritykselle huomattavan pitkän ”armonajan” sisäisen menettelyn perusteella. Kyseisen ajanjakson (joka kestää noin 3,5 kuukautta tai joissakin tapauksissa jopa pidemmän aikaa sen mukaan, milloin kauppaministeriö huomaa, ettei uudelleenvarmennusprosessia ole toteutettu) aikana yritys pysyy ”aktiivisena” Privacy Shield -luettelossa. Niin kauan kuin yritys on merkitty Privacy Shield -järjestelyyn osallistuvaksi, järjestelyn velvoitteet ovat sitovia ja yrityksen on pantava ne täytäntöön täysimääräisesti. Tällainen pitkä ajanjakso, jonka aikana yrityksen uudelleenvarmennuksen määräaika on kulunut umpeen mutta yritys on merkitty Privacy Shield ‑järjestelyn aktiiviseksi osallistujaksi, vähentää kuitenkin Privacy Shield -luettelon avoimuutta ja ymmärrettävyyttä EU:n yrityksille ja kansalaisille. Se ei myöskään kannusta järjestelyyn osallistuvia yrityksiä noudattamaan tarkasti vuosittaista uudelleenvarmistusta koskevaa vaatimusta.

Privacy Shield -vaatimusten noudattamista koskevan yritysten ennakoivan seurannan osalta kauppaministeriö otti huhtikuussa 2019 käyttöön järjestelmän, jossa se tarkastaa 30 yritystä joka kuukausi. Komissio on tyytyväinen siihen, että kauppaministeriö tekee säännöllisesti ja järjestelmällisesti ennakoivia sääntöjen noudattamista koskevia satunnaistarkastuksia, mikä on erittäin tärkeää, jotta voidaan parantaa järjestelyn yleistä noudattamista ja havaita tapauksia, joissa tarvitaan liittovaltion kauppakomission täytäntöönpanotoimia. Komissio panee kuitenkin merkille, että nämä satunnaistarkastukset koskevat usein vain virallisia vaatimuksia, kuten yhteyspisteiltä saatavien vastausten tai verkossa esitettävien yrityksen tietosuojaperiaatteiden puuttumista. Vaikka nämä ovat tietenkin olennaisia näkökohtia Privacy Shield -järjestelyn vaatimusten noudattamisessa, tarkastusten pitäisi koskea myös aineellisia velvoitteita, esimerkiksi tietojen edelleen siirtämiseen liittyvää vastuuvelvollisuutta koskevan periaatteen noudattamista, ja hyödyntää tässä täysimääräisesti välineitä, jotka kauppaministeriöllä on järjestelyn puitteissa käytettävissään. Edelleen siirtämiseen liittyviä vaatimuksia on vahvistettu merkittävästi Privacy Shield -järjestelyssä, sillä suojatoimien puuttuminen tällaisissa tilanteissa heikentäisi järjestelyn avulla taattua suojaa. Vaikka satunnaistarkastuksia olisi tehtävä edelleen säännöllisesti ja järjestelmällisesti, myös näiden aineellisempien vaatimusten noudattaminen on ratkaisevan tärkeää Privacy Shield -järjestelyn jatkumisen kannalta, ja Yhdysvaltojen viranomaisten olisi valvottava niitä tarkasti ja pantava niitä täytäntöön.

Mitä tulee kauppaministeriön toteuttamaan Privacy Shield -järjestelyyn osallistumista koskevien totuudenvastaisten väitteiden etsimiseen, komissio pani merkille, että kauppaministeriö oli jatkanut etsintöjä neljännesvuosittain. Tämä oli johtanut useiden totuudenvastaisten väitteiden havaitsemiseen, ja osa tapauksista oli siirretty myös liittovaltion kauppakomissiolle. Etsintöjen kohteena oli kuitenkin ollut vain yrityksiä, jotka olivat jo jollain tavalla varmennettuja tai jotka olivat hakeneet Privacy Shield -varmennusta (mutta joita ei ollut esimerkiksi uudelleenvarmennettu). On tärkeää, että etsinnät kohdistuvat myös yrityksiin, jotka eivät ole koskaan hakeneet Privacy Shield -varmennusta. Kaikista totuudenvastaisista väitteistä haitallisimpia saattavat olla sellaisten yritysten esittämät väitteet, jotka eivät ole koskaan hakeneet varmennusta. Tämä koskee henkilöiden yksityisyyden suojaa, sillä yritykset, jotka eivät ole koskaan hakeneet varmennusta, eivät ole toteuttaneet liiketoiminnassaan mitään Privacy Shield -järjestelyllä taattuja suojatoimia. Se koskee myös yrityksiä, sillä yritysten tasapuoliset toimintaedellytykset heikentyvät, jos varmennuksen tuottamista eduista voivat hyötyä myös organisaatiot, jotka eivät noudata järjestelyn vaatimuksia.

Komissio pani tyytyväisenä merkille, että yhä useammat EU:n rekisteröidyt käyttävät Privacy Shield ‑järjestelyn mukaisia oikeuksiaan ja että asiaan sovellettavat oikeussuojamekanismit toimivat hyvin. Riippumattomille muutoksenhakumekanismeille toimitettujen valitusten määrä kasvoi, ja niitä ratkaistiin asianomaisten EU:n kansalaisten hyväksi. Myös järjestelyyn osallistuvat yritykset käsittelivät EU:n kansalaisten pyyntöjä asianmukaisesti.

Täytäntöönpanon osalta komissio pani merkille, että viime vuodesta lähtien liittovaltion kauppakomissio on saattanut päätökseen seitsemän Privacy Shield -järjestelyn rikkomista koskevaa täytäntöönpanotoimea – myös ilmoitettujen viran puolesta tehtyjen tehotarkastusten tuloksena. Kaikki seitsemän tapausta koskivat totuudenvastaisia väitteitä järjestelyyn osallistumisesta. Tapauksista kaksi koski myös Privacy Shield -järjestelyn aineellisempien vaatimusten rikkomista, esimerkiksi sitä, että yrityksen Privacy Shield -käytännöistään antamien vakuutusten paikkansapitävyyttä tai niiden täytäntöönpanoa ei ollut tarkastettu yrityksen itsensä tai ulkopuolisen tahon suorittaman periaatteiden noudattamista koskevan arvioinnin perusteella. Komissio on tyytyväinen täytäntöönpanotoimiin, jotka liittovaltion kauppakomissio on toteuttanut Privacy Shield -järjestelyn kolmantena toimintavuonna. Komissio olisi kuitenkin odottanut, että Privacy Shield -periaatteiden aineellisten rikkomusten osalta olisi ryhdytty tarmokkaammin täytäntöönpanotoimiin, kun otetaan huomioon viraston viime vuonna antama ilmoitus ja toisen vuosittaisen tarkastelun yhteydessä annetut vakuutukset.

Komissio pani tältä osin merkille kolmannessa vuosittaisessa tarkastelussa annetun selityksen siitä, että useat käynnissä olevat tutkinnat vievät paljon aikaa, sillä liittovaltion kauppakomissio tutkii kaikkia mahdollisia rikkomuksia. Liittovaltion kauppakomission ilmoittamat tiedot olivat kuitenkin liian suppeita, jotta täytäntöönpanon edistymistä olisi voitu arvioida asianmukaisesti. Vaikka tällaiset tiedot saattavat olla rajoitettuja oikeutetun luottamuksellisuuden vuoksi, ei vaikuta perustellulta, että liittovaltion kauppakomissio ei voi kertoa enempää tietoja viran puolesta suorittamistaan tehotarkastuksista edes yhdistetyssä ja nimettömässä muodossa. Tämä lähestymistapa ei vastaa viranomaisten välistä yhteistyöhenkeä, johon Privacy Shield -järjestely perustuu, joten liittovaltion kauppakomission pitäisi löytää tapoja, joilla se voi jakaa merkittävää tietoa täytäntöönpanotoimistaan komission ja EU:n tietosuojaviranomaisten kanssa, jotka vastaavat osaltaan järjestelyn täytäntöönpanosta.

Tarkastelun aikana keskusteltiin jälleen siitä, miten henkilöstötietoja käsitellään Privacy Shield ‑järjestelyssä. Kuten sidosryhmät vahvistivat, kauppaministeriön, liittovaltion kauppakomission ja EU:n tietosuojaviranomaisten yhteisten ohjeiden kehittäminen toisi todellista lisäarvoa. Komissio panee tältä osin merkille, että tahot ovat olleet äskettäin yhteydessä, mikä on jossain määrin edistänyt ongelmien ymmärtämistä mutta ei ole vielä johtanut konkreettisiin tuloksiin.

2.2.Yhdysvaltojen julkisten viranomaisten pääsy henkilötietoihin ja niiden käyttö

Siltä osin kuin on kyse Yhdysvaltojen julkisten viranomaisten pääsystä henkilötietoihin ja niiden käytöstä, kolmannessa vuosittaisessa tarkastelussa keskityttiin ensinnäkin varmistamaan, että kaikkia rajoituksia ja suojatoimia, joihin tietosuojan riittävyyttä koskeva päätös perustuu, sovelletaan edelleen. Kolmannessa vuosittaisessa tarkastelussa voitiin lisäksi tarkastella uutta kehitystä ja selventää edelleen oikeudellisen kehyksen tiettyjä näkökohtia sekä eri valvontamekanismeja ja mahdollisia oikeussuojakeinoja, erityisesti oikeusasiamiehen saamien valitusten käsittelyä ja ratkaisemista.

Vaikka ulkomaantiedustelun valvontaa koskevan lain 702 §:n mukaista ulkomaantiedustelutietojen keräämistä koskevaa uutta oikeudellista kehitystä ei ollut, komissio oli tyytyväinen Yhdysvaltojen viranomaisten antamiin selvennyksiin tavasta, jolla tiedustelutietojen kerääminen kohdistetaan ulkomaantiedustelun valvontaa koskevan lain 702 §:n mukaisesti toteutetuissa tiedusteluohjelmissa (eli Prismissa ja Upstreamissa). Selvennyksillä vahvistettiin komission tietosuojan riittävyyttä koskevassa päätöksessä tekemät havainnot siitä, että ulkomaantiedustelutietojen kerääminen ulkomaantiedustelun valvontaa koskevan lain 702 §:n mukaisesti kohdistetaan aina käyttämällä valintakriteerejä ja että valintakriteerien valintaa säännellään lailla ja siihen sovelletaan riippumatonta oikeudellista ja lainsäädännöllistä valvontaa.

Komissio pani lisäksi merkille, että joidenkin sellaisten hyväksyntien voimassaolo, joiden nojalla ulkomaan tiedustelutietoja hankitaan ulkomaantiedustelun valvontaa koskevan lain 501 §:n mukaisesti, sellaisena kuin se on muutettuna vuoden 2015 USA FREEDOM -lailla, päättyy 15. joulukuuta 2019. Koska tietojen kerääminen ulkomaantiedustelun valvontaa koskevan lain 501 §:n mukaisesti on merkityksellistä Privacy Shield -järjestelyssä ja sitä on siksi arvioitu tietosuojan riittävyyttä koskevassa komission päätöksessä, on tärkeää, että olemassa olevia rajoituksia ja suojatoimia, kuten valikoimattoman keruun kieltämistä, sovelletaan edelleen myös uudelleenhyväksynnässä.

Presidentin määräyksen nro 28 osalta Yhdysvaltojen viranomaiset vahvistivat nimenomaisesti, että määräys pysyy täysimääräisesti voimassa eikä sitä ole muutettu. Presidentin määräyksen nro 28 täytäntöönpanomenettelyjä tiedusteluyhteisön eri virastoissa ei myöskään ole muutettu. Komissio pani lisäksi merkille Yhdysvaltojen viranomaisten antamat selvitykset siitä, että presidentin määräykseen nro 28 sisältyviä tietojen valikoimatonta keräämistä ja väliaikaista hankintaa koskevia säännöksiä ei sovelleta ulkomaantiedustelutietojen keräämiseen Yhdysvalloissa (esimerkiksi tietojen keräämiseen varmennetulta yritykseltä, joka käsittelee Privacy Shield -järjestelyn mukaisesti EU:sta siirrettyjä tietoja), kuten ulkomaantiedustelun valvontaa koskevan lain 702 §:n nojalla tapahtuvaan keräämiseen Prism- tai Upstream-ohjelmassa, sillä tällainen kerääminen on aina kohdennettua.

Yksityisyyden suojan ja kansalaisvapauksien valvonnasta vastaava lautakunta on tärkeä valvontaelin hallituksen valvonnan alalla, ja komissio oli tyytyväinen siihen, että lautakunnassa on ensimmäisen kerran sitten vuoden 2016 täydet viisi jäsentä, koska Yhdysvaltojen senaatti nimitti siihen kaksi uutta jäsentä. Komissio pani myös merkille, että lautakunnan henkilöstömäärä on kaksinkertaistunut edellisen vuosittaisen tarkastelun jälkeen ja että lautakunta on hyväksynyt kunnianhimoisen työohjelman. Ohjelma koostuu kymmenestä käynnissä olevasta valvontahankkeesta, joista osa on erityisen tärkeitä komission toteuttamalle Privacy Shield -järjestelyn säännölliselle tarkastelulle.

Mitä tulee Privacy Shield -järjestelyn oikeusasiamiesmekanismiin, Yhdysvaltojen presidentti nimitti 18. tammikuuta 2019 Keith Krachin alivaltiosihteeriksi, joka toimii myös oikeusasiamiehenä. Senaatti vahvisti Krachin nimityksen 20. kesäkuuta 2019. Komissio on tyytyväinen Krachin nimitykseen Privacy Shield -järjestelyn oikeusasiamieheksi, mikä varmistaa paikan pysyvän täyttämisen.

Ensimmäistä valitusta, joka toimitettiin oikeusasiamiesmekanismiin Kroatian tietosuojaviranomaisen kautta juuri ennen edellistä vuosittaista tarkastelua, ei lopulta otettu käsiteltäväksi, sillä se liittyi seikkoihin, jotka oli saatettu päätökseen ennen Privacy Shield -päätöksen hyväksymistä. Valitus tarjosi kuitenkin mahdollisuuden kokeilla asiaankuuluvien menettelyjen toimintaa käytännössä. Sekä vuosittaiseen tarkasteluun osallistuvat Euroopan tietosuojalautakunnan edustajat että oikeusasiamies vahvistivat, että kaikki menettelyn asiaankuuluvat vaiheet oli käynnistetty ja saatettu päätökseen tyydyttävällä tavalla. Komissio on tyytyväinen ensimmäisen pyynnön onnistuneeseen käsittelyyn, sillä se on tärkeä osoitus siitä, että oikeusasiamiesmekanismi toimii asianmukaisesti.

Yhdysvaltojen viranomaiset toimittivat myös lisätietoja siitä, miten oikeusasiamies tekee yhteistyötä muiden riippumattomien valvontaelimien kanssa ja korjaa rikkomuksia. Viranomaiset vahvistivat erityisesti, että riippumattomalle tiedusteluyhteisön valvontaviranomaiselle ilmoitettaisiin järjestelmällisesti oikeusasiamiehelle toimitetuista valituksista ja että valvontaviranomainen tekisi niistä oman arvionsa. Viranomaiset selittivät lisäksi, että jos oikeusasiamiehelle tehdystä valituksesta kävisi ilmi, että ulkomaantiedustelun valvontaa koskevan lain 702 §:n mukaisia kohdentamismenettelyjä on rikottu, rikkomuksesta ilmoitettaisiin ulkomaantiedustelun valvonnasta vastaavalle tuomioistuimelle, joka tekisi asiasta riippumattoman arvion ja tarvittaessa määräisi asiaankuuluvan tiedusteluviraston ryhtymään korjaaviin toimiin. Korjaavat toimet voivat vaihdella yksittäisistä toimenpiteistä rakenteellisiin, esimerkiksi laittomasti hankittujen tietojen poistamisesta keruumenettelyn muuttamiseen, myös henkilöstön ohjeistuksen ja koulutuksen osalta.

Lopuksi vahvistettiin, että jos oikeusasiamiehelle tehdyn valituksen tarkastelun yhteydessä havaittaisiin Yhdysvaltojen lainsäädännön rikkomista (kuten toimeenpanoasetusten, presidentin määräysten ja virastojen sääntöjen ja menettelyjen, esimerkiksi ulkomaantiedustelun valvonnasta vastaavan tuomioistuimen hyväksymien kohdentamis- ja minimisointimenettelyjen, rikkomista), laittomasti kerätyt tiedot poistettaisiin kaikista hallituksen tietokannoista ja mahdolliset viittaukset kyseisiin tietoihin poistettaisiin tiedusteluraporteista. EU:n kansalainen voisi siis saada henkilötietonsa poistetuiksi, jos ne olisivat Yhdysvaltojen tiedusteluyhteisön laittomasti keräämiä ja käsittelemiä.

Komissio on tyytyväinen näihin lisäselvityksiin, jotka osoittavat, miten eri riippumattomien valvontaelinten yhteistyöllä vahvistetaan oikeusasiamiesmekanismin tehokkuutta. Oli myös tärkeää selventää sitä, että oikeusasiamiesmekanismin avulla EU:n kansalaiset voivat todellakin käyttää oikeuttaan tietojen poistamiseen, mikä on henkilötiedon suojaa koskevan oikeuden keskeinen osatekijä.

3.PÄÄTELMÄT

Kolmannen vuosittaisen tarkastelun yhteydessä kerätyt tiedot vahvistavat komission havainnot, jotka esitetään tietosuojan riittävyyttä koskevassa päätöksessä ja jotka koskevat sekä järjestelyn kaupallisia näkökohtia että viranomaisten pääsyä Privacy Shield -järjestelyn mukaisesti siirrettyihin henkilötietoihin. Tältä osin komissio pani merkille, että järjestelyn toimintaa oli monin tavoin parannettu ja tärkeimpiin valvontaelimiin oli tehty nimityksiä.

Päivittäisen kokemuksen myötä esiin tulleiden tai järjestelyn käytännön toteutuksessa olennaisiksi havaittujen ongelmien perusteella komissio katsoo kuitenkin, että on ryhdyttävä useisiin konkreettisiin toimiin, jotta Privacy Shield -järjestelyn tehokas käytännön toiminta varmistetaan entistä paremmin:

1.Kauppaministeriön olisi lyhennettävä lisäaikoja, joita se myöntää yrityksille uudelleenvarmennusprosessin loppuunsaattamiseksi. Yhteensä enintään 30 päivän jakso vaikuttaisi riittävältä, jotta yrityksillä on aikaa uudelleenvarmennukseen ja uudelleenvarmennusprosessissa havaittujen ongelmien korjaamiseen. Samalla varmistettaisiin prosessin tehokkuus. Jos uudelleenvarmennusta ei ole saatu päätökseen tässä ajassa, kauppaministeriön pitäisi lähettää varoituskirje viipymättä.

2.Kauppaministeriön pitäisi satunnaistarkastusmenettelynsä yhteydessä arvioida, noudattavatko yritykset edelleen siirtämiseen liittyvää vastuuvelvollisuutta koskevaa periaatetta. Tämä voisi tapahtua muun muassa käyttämällä Privacy Shield -järjestelyn tarjoamaa mahdollisuutta pyytää yhteenveto tai keskeiset osat sisältävä jäljennös yksityisyyden suojaa koskevista määräyksistä, jotka sisältyvät Privacy Shield -järjestelyyn varmennetun yrityksen tekemään edelleen siirtämistä koskevaan sopimukseen.

3.Kauppaministeriön pitäisi mahdollisimman pian kehittää välineitä sellaisten yritysten tekemien Privacy Shield -järjestelyyn osallistumista koskevien totuudenvastaisten väitteiden havaitsemiseksi, jotka eivät ole koskaan hakeneet varmennusta, ja käyttää kyseisiä välineitä säännöllisesti ja järjestelmällisesti.

4.Liittovaltion kauppakomission pitäisi mahdollisimman pian löytää tapoja jakaa merkityksellisiä tietoja käynnissä olevista tutkimuksista komission sekä EU:n tietosuojaviranomaisten kanssa, joilla on myös vastuuta Privacy Shield -järjestelyn täytäntöönpanossa.

5.EU:n tietosuojaviranomaisten, kauppaministeriön ja liittovaltion kauppakomission pitäisi tulevien kuukausien aikana kehittää yhteiset ohjeet henkilöstötietojen määritelmästä ja käsittelystä.

Komissio aikoo jatkossakin seurata tiiviisti Privacy Shield -järjestelyn tiettyjen osien kehittämistä edelleen. Näitä ovat i) oikeusasiamiesmekanismin toiminta erityisesti uuden valituksen yhteydessä; ii) sellaisten käynnissä olevien valvontahankkeiden tulokset, jotka ovat yksityisyyden suojan ja kansalaisvapauksien valvonnasta vastaavan lautakunnan käynnistämiä ja jotka ovat erityisen merkityksellisiä Privacy Shield -järjestelyn osalta (esimerkiksi Yhdysvaltojen liittovaltion poliisin (Federal Bureau of Investigation) ulkomaantiedustelun valvontaa koskevan lain 702 §:n mukaisesti hankkimia tietoja koskevat pyynnöt ja presidentin määräystä nro 28 koskevien lautakunnan suositusten täytäntöönpano); iii) ulkomaantiedustelun valvontaa koskevan lain 501 §:n uudelleen hyväksyminen ja erityisesti olemassa olevien suojatoimien pitäminen voimassa ja iv) oikeussuojakeinoja hallituksen valvonnan alalla koskevan Yhdysvaltojen oikeuskäytännön muuttuminen, erityisesti oikeuskäsittelyjen osalta.

Komissio seuraa vastakin tiiviisti käynnissä olevaa keskustelua Yhdysvaltojen liittovaltion yksityisyydensuojaa koskevasta lainsäädännöstä. Kattava lähestymistapa yksityisyyden suojaan ja tietosuojaan lähentäisi EU:n ja Yhdysvaltojen järjestelmiä edelleen ja vahvistaisi Privacy Shield ‑järjestelyn perusperiaatteita.

(1)

Komission täytäntöönpanopäätös (EU) 2016/1250, annettu 12 päivänä heinäkuuta 2016, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY nojalla EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä (EUVL L 207, 1.8.2016, s. 1).

(2)

Komission kertomus Euroopan parlamentille ja neuvostolle EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn toiminnan ensimmäisestä vuosittaisesta tarkastelusta (COM(2017) 611 final), ks. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(3)

 Komission yksiköiden valmisteluasiakirja, joka liittyy komission kertomukseen Euroopan parlamentille ja neuvostolle EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toiminnan ensimmäisestä vuosittaisesta tarkastelusta (SWD(2017) 344 final), ks. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(4)

 Komission kertomus Euroopan parlamentille ja neuvostolle EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn toiminnan toisesta vuosittaisesta tarkastelusta (COM(2018) 860 final), ks. https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf

(5)

 Komission yksiköiden valmisteluasiakirja, joka liittyy komission kertomukseen Euroopan parlamentille ja neuvostolle EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toiminnan toisesta vuosittaisesta tarkastelusta (SWD(2018) 497 final), ks. https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf

(6)

Presidentin määräys nro 28: Signaalitiedustelutoiminta (Presidential Policy Directive 28: Signals Intelligence Activities), 17. tammikuuta 2014; määräyksellä säädetään muita kuin Yhdysvaltojen kansalaisia koskevista merkittävistä rajoituksista ja suojatoimista signaalitiedustelutietojen keräämisen alalla.

(7)

 Euroopan tietosuojaneuvosto on riippumaton elin, joka koostuu EU:n jäsenvaltioiden tietosuojaviranomaisten edustajista ja Euroopan tietosuojavaltuutetusta.

(8)

Ks. asia T-738/16, La Quadrature du Net v. komissio. Privacy Shield -järjestelyä koskevia kysymyksiä on tullut esiin myös asiassa C-311/18, tietosuojavaltuutettu ja Facebook Ireland v. Maximilian Schrems (”Schrems II”), jota käsiteltiin unionin tuomioistuimen suuressa jaostossa 9. heinäkuuta 2019.

Top