EUROOPAN KOMISSIO

Bryssel 29.2.2016

COM(2016) 117 final

KOMISSION TIEDONANTO EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

Transatlanttiset tietovirrat: luottamuksen palauttaminen vahvoilla suojatoimilla

1. Johdanto: Henkilötietojen vaihdon rooli EU:n ja Yhdysvaltojen välisissä suhteissa

Euroopan unionin ja Yhdysvaltojen välinen vahva transatlanttinen kumppanuus on tänään aivan yhtä tärkeää kuin aikaisemminkin. Meillä on yhteiset arvot sekä samat poliittiset ja taloudelliset tavoitteet ja teemme tiivistä yhteistyötä torjuaksemme turvallisuuteemme kohdistuvia yhteisiä uhkia. Suhteemme kestävyys käy ilmi kauppavaihtomme määrästä ja tiiviistä yhteistyöstämme maailmanlaajuisissa kysymyksissä.

Henkilötietojen siirtäminen ja vaihtaminen on olennainen osa Euroopan unionin ja Yhdysvaltojen välisiä läheisiä suhteita niin kaupankäynnissä kuin lainvalvonnassa. Tiedonvaihdot edellyttävät tietosuojan korkeaa tasoa ja sitä vastaavia suojatoimia.

Kesäkuussa 2013 levisi tietoja Yhdysvaltojen laajamittaisista tiedustelutietojen keruuohjelmista. Viranomaisten ja yksityisten yritysten Yhdysvalloissa suorittaman henkilötietojen laajamittaisen käsittelyn vaikutus eurooppalaisten perusoikeuksiin aiheutti vakavaa huolta sekä EU:n että jäsenvaltioiden tasolla.

Tämän johdosta komissio antoi 27. marraskuuta 2013 tiedonannon 1 luottamuksen palauttamisesta EU:n ja Yhdysvaltojen väliseen tietojen siirtoon. Tiedonannossa esitetään toimintasuunnitelma, jotta luottamus tiedonsiirtoihin saataisiin palautettua tavalla, joka edistää digitaalitaloutta, Euroopan kansalaisten oikeuksien suojelua ja transatlanttisia suhteita yleensäkin. Tiedonannossa esitetään seuraavat keskeiset toimet tämän tavoitteen saavuttamiseksi:

i)    komission vuonna 2012 ehdottaman tietosuojalainsäädännön uudistamista koskevan paketin 2 hyväksyminen;

ii)    safe harbor -järjestelmän turvallisuuden lisääminen safe harbor -tiedonannossa 3 vahvistettujen 13 suosituksen pohjalta; ja

iii)    tietosuojatakeiden lujittaminen lainvalvonta-alan yhteistyötä varten erityisesti saattamalla päätökseen neuvottelut tietosuojaa käsittelevästä EU:n ja Yhdysvaltojen välisestä puitesopimuksesta. Viime mainittuun sisältyi myös tavoite saada Yhdysvalloilta sitoumukset täytäntöönpanokelpoisista yksilönoikeuksista, mukaan lukien mahdollisuus turvautua oikeussuojakeinoihin. Tämä toteutuisi säätämällä Judicial Redress -laki, jossa tietyt Yhdysvaltojen vuonna 1974 antamaan Privacy Act -säädökseen sisältyvät oikeudet ulotetaan EU:n kansalaisiin. Privacy Act -lakia säädettäessä näitä oikeuksia sovellettiin ainoastaan Yhdysvaltojen kansalaisiin ja maassa vakituisesti asuviin.

Nämä tavoitteet vahvistettiin Junckerin komission poliittisissa suuntaviivoissa 4 : ”Perusoikeus tietosuojaan on erityisen tärkeä digitaalisena aikana. Euroopan unionin yhteisten tietosuojasääntöjen lainsäädäntötyö on vietävä loppuun ripeästi ja oikeutta tietosuojaan on puolustettava myös ulkosuhteissa. Läheisten kumppaneiden, kuten Yhdysvaltojen, on viimeaikaisten laajamittaista valvontaa koskevien paljastusten jälkeen vakuutettava meidät nykyisten safe harbor -järjestelyjen turvallisuudesta tai niitä ei voida jatkaa. Yhdysvaltojen on myös taattava EU-kansalaisille oikeus vedota tietosuojaoikeuksiinsa maan tuomioistuimissa riippumatta siitä, asuvatko he Yhdysvaltojen alueella. Tämä on ratkaisevan tärkeää EU:n ja Yhdysvaltojen välisen luottamuksen palauttamiseksi.”

Komissio on siitä saakka työskennellyt näiden tavoitteiden saavuttamiseksi. Se vauhditti neuvotteluja puitesopimuksesta, jonka sopimuspuolet parafoivat 8. syyskuuta 2015. Toimielinten välisiä neuvotteluja tietosuojan uudistuspaketista tehostettiin. Sen seurauksena saavutettiin poliittinen yhteisymmärrys neuvoston ja Euroopan parlamentin välillä 15. joulukuuta 2015. Kaupallista alaa koskevien transatlanttisten tiedonsiirtojen osalta komissio aloitti tammikuussa 2014 neuvottelut Yhdysvaltojen kanssa safe harbor -järjestelyn lujittamiseksi. Unionin tuomioistuin mitätöi safe harbor -päätöksen asiassa Schrems 6. lokakuuta 2015 antamassaan tuomiossa 5 . Tuomio vahvisti näkemyksen siitä, että uudet asiaa koskevat puitteet ovat tarpeen. Lisäksi siinä annettiin ohjeita edellytyksistä, jotka puitteiden olisi täytettävä. Tuomion johdosta komissio antoi 6. marraskuuta 2015 yrityksille ohjeita vaihtoehtoisista välineistä, jotka mahdollistavat henkilötietojen siirtämisen edelleen Yhdysvaltoihin 6 . Helmikuun 2. päivänä 2016 päästiin poliittiseen yhteisymmärrykseen transatlanttisia tietovirtoja koskevista uusista puitteista, EU:n ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä 7 , joka korvaa aikaisemman järjestelyn.

Nämä saavutukset hyödyttävät transatlanttisia suhteita, ja niiden tarkoituksena on palauttaa kansalaisten luottamus digitaalitalouteen ja vahvistaa samalla heidän perusoikeuksiaan. Lisäksi ne antavat EU:lle ja sen jäsenvaltioille lujemman tietosuojaa koskevan oikeudellisen kehyksen, joka johtaa erityisesti digitaalisten sisämarkkinoiden tiiviimpään yhdentymiseen ja auttaa EU:ta edistämään ja kehittämään kansainvälisiä yksityisyyden ja henkilötietojen suojan vaatimuksia.

Samaan aikaan käynnistetyt tärkeät aloitteet ovat johtaneet huomattaviin muutoksiin Yhdysvaltojen oikeusjärjestyksessä. Presidentti Obama ilmoitti 8 17. tammikuuta 2014 Yhdysvaltojen toteuttamista signaalitiedustelutoiminnan uudistuksista. Uudistukset vahvistettiin sittemmin asiakirjassa ”Presidential Policy Directive 28 (PPD-28)” 9 . Näissä uudistuksissa laajennettiin tietyt yksityisyydensuojatoimet muihin kuin amerikkalaisiin ja vahvistettiin, että tiedonkeruu ei olisi valikoimatonta keruuta vaan että siinä annettaisiin etusija kohdennetulle keräämiselle ja tietoihin pääsylle. Komissio ilmaisi tyytyväisyytensä näihin uusiin ohjeisiin, jotka ovat tärkeä askel oikeaan suuntaan 10 . Tämä uudistusprosessi loi pohjaa myös Yhdysvaltojen kanssa käydyille keskusteluille EU:n ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä. Tämän jälkeen on tehty muitakin muutoksia. Esimerkiksi kesäkuussa 2015 Yhdysvallat hyväksyi Freedom Act -säädöksen 11 , jolla muutettiin tiettyjä Yhdysvaltojen seurantaohjelmia, lujitettiin oikeudellista valvontaa ja lisättiin seurantaohjelmien käytön läpinäkyvyyttä. Lisäksi Yhdysvaltojen kongressi hyväksyi 10. helmikuuta 2016 Judicial Redress -säädöksen, jonka presidentti Obama vahvisti 24. helmikuuta 2016 12 .

Tätä taustaa vasten tässä tiedonannossa tarkastellaan sitä, miten pitkälle olemme edistyneet vuoden 2013 tiedonannon tavoitteiden toteuttamisessa. Siinä myös esitellään aloja, joilla lisätoimet ovat tarpeen transatlanttisiin tiedonsiirtoihin tunnetun luottamuksen lujittamiseksi ja palauttamiseksi.

2. EU:n tietosuojauudistus

2.1 Tausta

Digitaalistuvan ja yhteenliitetyn maailman tarjoamien mahdollisuuksien hyödyntämiseksi ja sen tuomiin haasteisiin vastaamiseksi Euroopan komissio esitti tammikuussa 2012 tietosuojan uudistamista koskevan lainsäädäntöpaketin, jäljempänä ’uudistus’. Uudistuksen tavoitteena on lisätä luottamusta digitaalitalouteen lujittamalla EU:n sisäisiä sääntöjä ja tarjoamalla ihmisille paremmat mahdollisuudet valvoa henkilökohtaisia tietojaan riippumatta siitä, käsitelläänkö henkilötietoja yhdessä jäsenvaltiossa, EU:ssa tai EU:n ulkopuolisissa maissa, kuten Yhdysvalloissa.

Uudistuspaketti koostuu kahdesta säädöksestä. Nämä ovat yleinen tietosuoja-asetus 13 , jäljempänä ’asetus’, jossa määritellään EU:n yhteinen tietosuojakehys, ja direktiivi tietosuojasta poliisiyhteistyössä ja oikeudellisessa yhteistyössä 14 , jäljempänä ’poliisidirektiivi’. Ehdottamalla asetusta, jota sovelletaan sellaisenaan jäsenvaltioissa, komission tavoitteena oli luoda yksi yhteinen tietosuojan taso kaikille ja siten poistaa jäsenvaltioiden välisiä eroja tietosuojan tasossa. Myös poliisidirektiivissä vahvistetaan ensimmäisen kerran EU:n tasolla sovellettavat yhteiset säännöt. Siinä otetaan kuitenkin samalla huomioon jäsenvaltioiden oikeus- ja lainvalvontaperinteiden erityispiirteet.

Euroopan parlamentti ja neuvosto pääsivät 15. joulukuuta 2015 poliittiseen yhteisymmärrykseen uudistuspaketista. Näin toteutui yksi vuoden 2013 tiedonannossa esitetyistä keskeisistä toimista.

2.2 Mikä on muuttunut?

Asetuksella päivitetään, nykyaikaistetaan ja joissakin tapauksissa tiukennetaan vuoden 1995 tietosuojadirektiivin 15 tietosuojaperiaatteita yksityisyydensuojaa koskevien oikeuksien takaamiseksi. Siinä keskitytään vahvistamaan yksilönoikeuksia, syventämään EU:n sisämarkkinoita, varmistamaan sääntöjen parempi täytäntöönpano, yksinkertaistamaan henkilötietojen kansainvälisiä siirtoja ja asettamaan maailmanlaajuiset tietosuojanormit. Sääntöjen avulla pyritään varmistamaan, että EU:n kansalaisten henkilötietoja suojataan riippumatta siitä, minne ne lähetetään tai missä niitä käsitellään taikka tallennetaan– myös EU:n ulkopuolella, kuten voi usein olla asian laita digitaalisessa maailmassa. Uudistuksessa on tiettyjä piirteitä, jotka on erityisesti syytä mainita tässä yhteydessä.

Ensinnäkin alueellinen soveltamisala: asetuksessa täsmennetään, että sitä sovelletaan myös yrityksiin, jotka ovat sijoittautuneet kolmanteen maahan, jos ne tarjoavat tavaroita ja palveluja tai seuraavat yksilöiden käyttäytymistä EU:n alueella. EU:n ulkopuolelle sijoittautuneiden yritysten on sovellettava samoja sääntöjä kuin EU:hun sijoittautuneet yritykset. Näin varmistetaan EU:n yksilönoikeuksia koskeva kattava suoja. Lisäksi asetuksella luodaan tasapuoliset toimintaedellytykset EU:n ja ulkomaisten yritysten välille ja vältetään näin EU:n ja ulkomaisten yritysten välisen kilpailun epätasapaino, kun ne toimivat EU:ssa tai kohdistavat toimintansa EU:n kuluttajille.

Toiseksi tietosuojasääntöjen noudattamisen vahvempi valvonta: asetuksessa säädetään tehokkaasta seuraamusjärjestelmästä yhdenmukaistamalla kansallisten tietosuojaviranomaisten valtuudet. Niille annetaan valtuudet määrätä sakko, joka on enintään 20 miljoonaa euroa tai enintään 4 prosenttia yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta. Tämä toimivalta määrätä varoittavia seuraamuksia tietosuojasääntöjen noudattamatta jättämisestä varmistaa yhdessä edellä mainitun alueellisen soveltamisalan kanssa, että EU:ssa liiketoimintaa harjoittavilla yrityksillä on kannustin noudattaa EU:n lainsäädäntöä. Uusissa säännöissä otetaan myös käyttöön selkeämpi ja tiukempi rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuujärjestelmä.

Kolmanneksi lainvalvontayhteistyötä koskevien sääntöjen yhdenmukaistaminen: poliisidirektiivin mukaan yleisiä tietosuojaperiaatteita ja -sääntöjä sovelletaan jäsenvaltioiden poliisi- ja oikeusviranomaisten käsitellessä henkilötietoja rikoslainsäädännön täytäntöönpanoon liittyvissä asioissa. Tähän sisältyvät yhdenmukaistetut säännöt, joita sovelletaan henkilötietojen kansainvälisiin siirtoihin rikosoikeudellisen yhteistyön puitteissa 16 . Uusi direktiivi nostaa yksilöiden suojan tasoa ja takaa, että rikoksen uhrien, todistajien ja rikoksesta epäiltyjen tiedot suojataan asianmukaisella tavalla rikostutkinnan tai lainvalvontatoimien yhteydessä. Valvonnasta huolehtivat riippumattomat kansalliset tietosuojaviranomaiset, ja henkilöille on taattava tehokkaat oikeussuojakeinot. Yhdenmukaisemmat lait mahdollistavat sen, että poliisi- ja oikeusviranomaisten yhteistyö tehostuu sekä jäsenvaltioiden kesken että jäsenvaltioiden ja niiden kansainvälisten kumppaneiden välillä rikollisuuden ja terrorismin torjumiseksi tehokkaammin. Tämä on keskeinen osa Euroopan turvallisuusagendaa 17 .

Neljänneksi tiukat säännöt turvallisemmista kansainvälisistä siirroista: sekä asetuksessa että poliisidirektiivissä annetaan läpinäkyviä, yksityiskohtaisia ja kattavia sääntöjä, jotka koskevat henkilötietojen siirtoa kolmansiin maihin. Ne kattavat kaikki kansainvälisten siirtojen muodot riippumatta siitä, onko tiedot tarkoitettu kaupalliseen käyttöön vai lainvalvontaan ja toteutuuko siirto yksityisten osapuolten tai viranomaisten välillä taikka yksityisten tahojen ja viranomaisten välillä. Vaikka kansainvälisiä siirtoja koskevien sääntöjen rakenne on edelleen pääosin sama kuin nykyisessä tietosuojadirektiivissä (eli tietosuojan tason riittävyyttä koskevat päätökset, mallisopimuslausekkeet ja yrityksiä koskevat sitovat säännöt sekä tietyt poikkeukset yleisestä kiellosta siirtää henkilötietoja EU:n ulkopuolelle), uudistuksessa selvennetään ja yksinkertaistetaan näitä sääntöjä monin tavoin ja vähennetään byrokratiaa. Lisäksi siinä otetaan käyttöön eräitä uusia välineitä henkilötietojen kansainvälisiä siirtoja varten.

Lisäksi asetuksessa vahvistetaan EU:n tietosuojaviranomaisten valtuuksia, myös kansainvälisten siirtojen osalta. Nykyiseen tietosuojadirektiiviin verrattuna EU:n tietosuojaviranomaisten riippumattomuutta, tehtäviä ja valtuuksia koskevat säännökset ovat yksityiskohtaisempia ja huomattavasti tiukempia. Tähän sisältyy nimenomaisesti toimivalta keskeyttää tiedonsiirrot kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle. Poliisidirektiivi sisältää samantapaisia säännöksiä kansainvälisistä siirroista ja tietosuojaviranomaisten toimivallasta lainvalvonnan alalla.

Siltä osin kuin on kyse tietosuojan riittävyyttä koskeviin komission päätöksiin sovellettavista säännöistä asetukseen sisältyy täsmällinen ja yksityiskohtainen luettelo tekijöistä, jotka komission on otettava huomioon arvioidessaan kolmannen maan oikeusjärjestelmän tarjoamaa tietosuojan tasoa. Tämä prosessi käsittää laajan arvioinnin, joka komission on tehtävä ja jonka olisi katettava – Schrems-tuomion mukaisesti – säännöt, jotka koskevat kolmannen maan viranomaisten pääsyä henkilötietoihin. Toiseksi arvioinnissa keskeisellä sijalla ovat yksilöiden tehokkaat ja täytäntöönpanokelpoiset tietosuojaoikeudet ja heidän käytössään olevat toimivat hallinnolliset ja oikeudelliset muutoksenhakukeinot.

Lisäksi asetuksessa nimenomaisesti edellytetään, että komissio tarkastelee määräajoin, vähintään joka neljäs vuosi, kaikkia tietosuojan tason riittävyyttä koskevia päätöksiä pysyäkseen ajan tasalla sellaisesta kolmannessa maassa tapahtuvasta asiaan liittyvästä kehityksestä, jolla voi olla suora tai jopa haitallinen vaikutus suojelun tasoon asianomaisen maan oikeusjärjestyksessä. Tämä tietosuojan riittävyyden jatkuva seuranta on dynaamisempi prosessi, koska siihen liittyy myös kyseisen kolmannen maan viranomaisten kanssa käytävää vuoropuhelua.

Kun on kyse siirroista kolmansiin maihin, joiden osalta tietosuojan tason riittävyyttä koskevaa päätöstä ei ole, asetuksessa vahvistetaan edellytykset vaihtoehtoisten siirtovälineiden käytölle. Tällaisia välineitä ovat esimerkiksi vakiomuotoiset sopimuslausekkeet tai yrityksiä koskevat sitovat säännöt. Lisäksi asetukseen sisältyy muita välineitä siirtoja varten, kuten hyväksytyt käytännesäännöt ja hyväksytyt sertifiointimekanismit. Lopuksi siinä selvennetään, missä tilanteessa poikkeuksia voidaan käyttää.

2.3 Tulevat toimet

Tietosuojauudistus on olennainen askel kohti kansalaisten perusoikeuksien vahvistamista digitaalisella aikakaudella. Se helpottaa liiketoimintaa yksinkertaistamalla yrityksiin digitaalisilla sisämarkkinoilla sovellettavia sääntöjä. Kuluttajien luottamus EU:n ja kolmansien maiden toimijoihin edistää ja siten myös hyödyttää Euroopan ja maailmanlaajuista digitaalitaloutta. Se vaikuttaa myönteisesti EU:n ja sen suurimman kauppakumppanin, Yhdysvaltojen, välisiin kauppasuhteisiin. Uudistus selkeyttää ja vakauttaa EU:n ja ulkomaisten yritysten toimintaympäristöä. Yhdysvaltalaiset yritykset hyötyvät omalta osaltaan oikeusvarmuudesta, joka johtuu liiketoiminnan harjoittamisesta sellaisen yhdentyneen talousalueen kanssa, jolla sovelletaan yhtenäisiä tietosuojasääntöjä.

Lainvalvonta-alan yhteisillä säännöillä varmistetaan, että henkilötietoja suojataan paremmin ja että yksilöillä on oikeus tehokkaisiin oikeussuojakeinoihin. Jäsenvaltioiden poliisi- ja oikeusviranomaisten rajatylittävän yhteistyön helpottaminen tehostaa rikosoikeuden täytäntöönpanon tehokkuutta ja luo edellytykset rikoksentorjunnan tehostamiselle EU:ssa. Tämä mahdollistaa sujuvan yhteistyön myös kolmansien maiden vastaavien viranomaisten kanssa.

Euroopan parlamentin ja neuvoston odotetaan hyväksyvän virallisesti uudistuspaketin vuoden 2016 alkupuoliskolla. Asetusta sovelletaan kahden vuoden kuluttua sen hyväksymisestä, kun taas poliisidirektiivissä säädetään kahden vuoden täytäntöönpanoajasta. Kaikkien asianomaisten sidosryhmien sekä EU:ssa että sen ulkopuolella olisi käytettävä kahden vuoden siirtymäaika hyödyksi uusiin sääntöihin valmistautumiseksi. Komissio hoitaa oman osuutensa. Siirtymäkauden aikana komissio työskentelee tiiviisti jäsenvaltioiden, tietosuojaviranomaisten ja muiden asianomaisten osapuolten kanssa sääntöjen yhdenmukaisen soveltamisen varmistamiseksi ja sääntöjen noudattamiseen liittyvien valmiuksien edistämiseksi.

3. EU:n ja Yhdysvaltojen välinen Privacy Shield -järjestely: Uudet transatlanttiset puitteet henkilötietojen siirroille

3.1 Tausta

Kaupankäyntiin liittyvän henkilötietojen siirron helpottamiseksi EU:n ja Yhdysvaltojen välillä ja näiden tietojen suojelun varmistamiseksi komissio katsoi vuonna 2000, että safe harbor puitteet tarjoavat riittävän suojelutason 18 . Tämän johdosta henkilötietoja voitiin siirtää vapaasti EU:n jäsenvaltioista sellaisille Yhdysvalloissa sijaitseville yrityksille, jotka olivat hyväksyneet puitteiden perustana olevat yksityisyydensuojaa koskevat periaatteet, vaikka Yhdysvalloissa ei ollut yleistä tietosuojalakia.

Komissio toi vuoden 2013 safe harbor -tiedonannossa 19 esiin useita järjestelyn toiminnassa ajan mittaan ilmenneitä heikkouksia. Näitä olivat erityisesti yritysten avoimuuden puute järjestelmään kuulumisen suhteen ja se, että Yhdysvaltojen viranomaiset eivät valvoneet tehokkaasti yritysten sitoumuksia noudattaa järjestelmän yksityisyyden suojaa koskevia periaatteita. Lisäksi aiemmin samana vuonna tapahtuneet tiedustelutoimintaa koskevat paljastukset aiheuttivat huolta Yhdysvaltojen tiedusteluohjelmien laajuudesta ja kattavuudesta ja siitä, missä määrin Yhdysvaltojen viranomaiset pääsevät safe harbor -järjestelyn puitteissa siirrettyihin eurooppalaisten henkilötietoihin. Komissio katsoi näiden ja muiden tekijöiden 20 perusteella, että safe harbor -järjestelmää oli tarkistettava. Komissio esitti tätä taustaa vasten 13 suositusta 21 , joilla vahvistetaan ja ajantasaistetaan puitteisiin sisällytettyjä tietosuojatakuita. Nämä suositukset keskittyivät seuraaviin toimiin: i) yksityisyydensuojaa koskevia keskeisiä periaatteita olisi lujitettava ja nämä periaatteet sisältävien yksityisyydensuojaa koskevien käytäntöjen avoimuutta lisättävä yhdysvaltalaisissa oman varmennuksen antaneissa yrityksissä; ii) Yhdysvaltojen viranomaisten olisi parannettava ja tehostettava valvontaa, seurantaa ja täytäntöönpanoa, joka kohdistuu näiden periaatteiden noudattamiseen yrityksissä; iii) mahdollisuus turvautua kohtuuhintaisiin riidanratkaisumekanismeihin yksittäisissä valituksissa; ja iv) tarve varmistaa, että vuoden 2000 safe harbor -päätöksessä kansallisen turvallisuuden ja lainvalvonnan perusteella sallitun poikkeuksen käyttö rajoitetaan siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista.

Komissio aloitti tammikuussa 2014 näiden 13 suosituksen perusteella neuvottelut Yhdysvaltojen viranomaisten kanssa. Euroopan unionin tuomioistuin julisti 6. lokakuuta 2015 antamassaan tuomiossa safe harbor -päätöksen pätemättömäksi. Tämä vahvisti näkemyksen siitä, että tarvitaan uudet, vahvemmat puitteet kaupankäyntiin liittyviä transatlanttisia tietovirtoja varten. Vaikka unionin tuomioistuimen ratkaisussa otetaan huomioon komission vuonna 2013 antamat suositukset, siinä korostetaan entisestään rajoitusten, suojatoimien ja oikeudellisten valvontamekanismien tarvetta EU:n kansalaisten henkilötietojen suojaamiseksi myös silloin, kun viranomaiset pääsevät tietoihin ja käyttävät niitä kansalliseen turvallisuuteen, yleiseen etuun tai lainvalvontaan liittyviin tarkoituksiin.

Kaksi vuotta kestäneiden tiiviiden keskustelujen jälkeen EU ja Yhdysvallat pääsivät 2. helmikuuta 2016 poliittiseen yhteisymmärrykseen uusista puitteista, EU:n ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä. Uuteen järjestelyyn sisältyy merkittäviä uusia suojatoimia, ja siinä taataan EU:n kansalaisten perusoikeuksien korkeatasoinen suoja. Se tarjoaa tarpeellisen oikeusvarmuuden sellaisille Atlantin kummallakin puolella toimiville yrityksille, jotka haluavat harjoittaa liiketoimintaa yhdessä. Lisäksi se antaa uutta pontta transatlanttiselle kumppanuudelle.

Nyt kun Yhdysvaltojen kanssa käydyt neuvottelut on saatu päätökseen, komissio pyytää EU:n tietosuojaviranomaisista koostuvalta, 29 artiklan mukaiselta tietosuojatyöryhmältä lausunnon uuden järjestelyn tarjoamasta tietosuojan tasosta. Lisäksi tietosuojan tason riittävyyttä koskevaa päätöstä käsitellään komiteamenettelyssä ennen kuin se voidaan hyväksyä. Myös Euroopan tietosuojavaltuutettua kuullaan.

3.2 Mikä on muuttunut?

EU:n ja Yhdysvaltojen välinen Privacy Shield -järjestely on määrätietoinen ja tehokas tapa reagoida sekä komission 13 suositukseen että asiassa Schrems annettuun tuomioon. Siinä on useita merkittäviä parannuksia aiempaan järjestelmään verrattuna niiden sitoumusten osalta, joita yhdysvaltalaisten yritysten edellytetään antavan. Järjestely sisältää myös merkittäviä uusia sitoumuksia ja tarkkoja selityksiä Yhdysvaltojen asiaa koskevista laeista ja niihin liittyvistä Yhdysvaltojen viranomaisten käytännöistä. Aiemmasta järjestelmästä poiketen Privacy Shield -järjestelyn piiriin kuuluvat kaupallisen alan sitoumusten lisäksi ensimmäistä kertaa EU:n ja Yhdysvaltojen välisissä suhteissa myös sitoumukset, jotka koskevat viranomaisten pääsyä henkilötietoihin muun muassa kansalliseen turvallisuuteen liittyvistä syistä. Tämä on unionin tuomioistuimen oikeuskäytännön perusteella ratkaisevan tärkeä osatekijä, jota tapahtuneiden tiedustelupaljastusten jälkeen tarvitaan luottamuksen palauttamiseksi transatlanttisiin suhteisiin.

Uuden järjestelyn tärkeimmät saavutukset voidaan jakaa neljään pääryhmään:

Ensinnäkin yrityksille asetettavat tiukat velvoitteet ja niiden määrätietoinen valvonta: uusi järjestely on avoimempi ja sisältää tehokkaita valvontamekanismeja sen varmistamiseksi, että yritykset noudattavat sääntöjä, joihin ne ovat oikeudellisesti sitoutuneet. Jos yhdysvaltalaiset yritykset haluavat siirtää henkilötietoja Euroopasta Privacy Shield -järjestelyn mukaisesti, niiden on noudatettava tiukkoja velvoitteita siitä, miten henkilötietoja käsitellään ja yksilön oikeudet taataan. Lisäksi Privacy Shield -järjestelyyn sitoutuneisiin yrityksiin, jotka siirtävät EU:sta peräisin olevia tietoja esimerkiksi alihankintana suoritettavaa käsittelyä varten järjestelyn ulkopuolisille kolmansille osapuolille joko Yhdysvalloissa tai muissa kolmansissa maissa (nk. edelleensiirrot), sovelletaan aiempaa tiukempia edellytyksiä ja vastuusäännöksiä. Valvonnasta voidaan todeta, että Yhdysvaltojen kauppaministeriö on sitoutunut huolehtimaan jatkuvasta ja tiukasta valvonnasta, jolla varmistetaan, että yritykset noudattavat sitoumuksiaan, ja jolla kitketään pois ”vapaamatkustajat” eli yritykset, jotka valheellisesti väittävät noudattavansa järjestelmää. Yritysten sitoumukset ovat Yhdysvaltojen lainsäädännön nojalla oikeudellisesti sitovia ja niiden noudattamista valvoo liittovaltion kauppakomissio (Federal Trade Commission). Sitoumusten noudattamatta jättämisellä on yritykselle ankaria seuraamuksia.

Toiseksi selkeät rajoitukset ja suojatoimet, jotka koskevat yhdysvaltalaisten viranomaisten pääsyä tietoihin: Yhdysvaltojen viranomaiset ovat ensimmäisen kerran antaneet EU:lle oikeusministeriön ja Yhdysvaltojen koko tiedusteluyhteisön valvonnasta vastaavan kansallisen tiedusteluviraston johtajan kirjallisen vakuutuksen siitä, että viranomaisten mahdollisuuteen saada tietoja käyttöönsä lainvalvontaan, kansalliseen turvallisuuteen ja muuhun yleiseen etuun liittyvistä syistä sovelletaan selkeitä rajoituksia, suojatoimia ja valvontamekanismeja. Yhdysvallat perustaa lisäksi EU:n kansalaisille tarkoitetun uuden oikeussuojamekanismin kansalliseen turvallisuuteen liittyviä asioita varten. Tämä toteutetaan nimittämällä oikeusasiamies, joka on riippumaton kansallisista turvallisuusviranomaisista. Oikeusasiamiehen tehtävänä on käsitellä yksittäisten EU:n kansalaisten tekemät valitukset ja tiedustelut, jotka koskevat pääsyä tietoihin kansalliseen turvallisuuteen liittyvistä syistä, ja vahvistaa heille, että asiaa koskevia lakeja on noudatettu tai että mahdolliset sääntöjenvastaisuudet on korjattu. Tämä merkittävä edistysaskel ei koske pelkästään Privacy Shield -järjestelyn puitteissa tapahtuvaa tiedonsiirtoa vaan kaikkea kaupallisessa tarkoituksessa suoritettavaa henkilötietojen siirtoa Yhdysvaltoihin riippumatta siitä, millä perusteella nämä tiedot siirretään.

Kolmanneksi yksittäisten EU:n kansalaisten yksityisyydensuojaa koskevien oikeuksien tehokas suojelu ja useat oikeussuojakeinot: jokaisella eurooppalaisella, joka katsoo, että hänen tietojaan on käytetty väärin uuden järjestelyn puitteissa, on käytettävissään useita helposti saatavilla olevia ja kohtuuhintaisia oikeussuojakeinoja, mukaan lukien mahdollisuus turvautua maksuttomien vaihtoehtoisten riidanratkaisuelinten palveluihin. Yritykset sitoutuvat vastaamaan valituksiin tietyssä määräajassa. Lisäksi minkä tahansa yrityksen, joka käsittelee Euroopasta peräisin olevia henkilöstötietoja, on sitouduttava noudattamaan EU:n toimivaltaisen tietosuojaviranomaisen päätöksiä. Muut yritykset voivat antaa vastaavan sitoumuksen vapaaehtoisesti. Yksityishenkilöt voivat myös osoittaa valituksensa oman maansa tietosuojaviranomaiselle, joka puolestaan voi käyttöön tulevaa muodollista menettelyä hyödyntäen saattaa valitukset Yhdysvaltojen kauppaministeriön ja liittovaltion kauppakomission käsiteltäväksi. Tämä helpottaa asian tutkintaa ja ratkaisemista kohtuullisessa ajassa. Jos asiaa ei kuitenkaan saada ratkaistua millään näistä keinoista, kansalaiset voivat viimeisenä keinona turvautua Privacy Shield -paneeliksi nimettyyn riidanratkaisumekanismiin, joka voi tehdä sitovia ja täytäntöönpanokelpoisia päätöksiä Privacy Shield -järjestelyyn kuuluvien yhdysvaltalaisten yritysten osalta. Lisäksi EU:n tietosuojaviranomaiset voivat tarjota kansalaisille apua asian valmistelussa. Kuten edellä mainittiin, tarkoituksena on myös nimittää uusi oikeusasiamies käsittelemään valituksia, jotka koskevat kansallisten tiedusteluviranomaisten mahdollisuutta päästä tietoihin, mikä tarjoaa käyttöön vielä yhden vaihtoehdon oikeussuojan saamiseen.

Neljänneksi ja viimeiseksi yhteinen vuotuinen tarkastelumekanismi: tämä antaa komissiolle mahdollisuuden seurata säännöllisesti ja kaikilta osin Privacy Shield -järjestelyn toimintaa, mukaan lukien rajoitukset ja suojatoimet, jotka koskevat tietoihin pääsyä kansalliseen turvallisuuteen liittyvistä syistä. Tarkastelun suorittamisesta vastaavat komissio ja Yhdysvaltojen kauppaministeriö yhteistyössä EU:n tietosuojaviranomaisten ja Yhdysvaltojen kansallisten turvallisuusviranomaisten sekä oikeusasiamiehen kanssa. Näin varmistetaan, että Yhdysvallat ottaa vastuun sitoumuksistaan. Tämän lisäksi komissio aikoo hyödyntää kaikkia muista lähteistä käytettävissä olevia tietoja, mukaan lukien yritysten vapaaehtoiset avoimuusraportit viranomaisten tekemien tietopyyntöjen laajuudesta 22 . Tämä vuotuinen tarkastelu menee uuden asetuksen vaatimuksia pidemmälle, sillä uusissa säännöksissä edellytetään tarkastelua vain vähintään joka neljäs vuosi. Tämä osoittaa, että sekä EU että Yhdysvallat haluavat määrätietoisesti varmistaa säännösten tiukan ja täysimääräisen noudattamisen.

Vuotuinen tarkastelu ei ole pelkkä muodollisuus, jolla ei ole seurauksia. Jos yhdysvaltalaiset yritykset tai Yhdysvaltojen viranomaiset eivät noudata sitoumuksiaan, komissio käynnistää menettelyn Privacy Shield -järjestelyn soveltamisen keskeyttämiseksi. Kuten unionin tuomioistuin korosti asiassa Schrems antamassaan tuomiossa, tietosuojan tason riittävyyttä koskevan päätöksen ei pidä jäädä pelkäksi kuolleeksi kirjaimeksi, vaan yhdysvaltalaisten yritysten ja viranomaisten on puhallettava kehykseen eloa ja pidettävä sitä koko ajan yllä noudattamalla antamiaan sitoumuksia. Jos ne eivät tee tätä, tiedonsiirtoon ei enää ole perusteltua soveltaa tietosuojan tason riittävyyttä koskevasta päätöksestä johtuvaa suotuisaa kohtelua vaan se peruutetaan.

3.3 Tulevat toimet

Yhdysvaltojen Privacy Shield -järjestelyn puitteissa antamat sitoumukset muodostavat perustan uudelle tietosuojan tason riittävyyttä koskevalle komission päätökselle ja ne otetaan siinä huomioon. Yrityksiä kannustetaan aloittamaan valmistelunsa jo nyt, jotta ne voisivat liittyä uuteen järjestelmään mahdollisimman pian sen jälkeen, kun se on otettu käyttöön komission päätöksen tultua hyväksytyksi. Yhdysvaltojen viranomaiset puolestaan julkaisevat omat lausuntonsa Yhdysvaltojen virallisessa lehdessä (Federal Register) ja vahvistavat näin julkisesti noudattavansa antamiaan sitoumuksia.

EU:n ja Yhdysvaltojen välinen Privacy Shield -järjestely edellyttää toimintaa monilta toimijoilta:

järjestelyyn osallistuvilta yhdysvaltalaisilta yrityksiltä, joiden on täytettävä järjestelyn mukaiset velvoitteensa täysin tietoisina siitä, että täytäntöönpanoa valvotaan tiukasti ja että velvoitteiden laiminlyönti johtaa seuraamuksiin. Kuluttajien luottamuksen lisäämiseksi yrityksiä kannustetaan myös valitsemaan EU:n tietosuojaviranomaiset tahoksi, joka ratkaisee Privacy Shield -järjestelyn puitteissa tehtävät valitukset, sillä eurooppalaiset kääntyvät todennäköisimmin juuri kyseisten viranomaisten puoleen. Vastaavasti se, missä määrin yritykset ovat valmiit hyödyntämään Yhdysvaltojen lainsäädännön tarjoamaa mahdollisuutta julkaista avoimuusraportteja, joissa tehdään selkoa niiden saamista pyynnöistä saada käyttöön EU:sta peräisin olevia tietoja kansalliseen turvallisuuteen ja lainvalvontaan liittyvistä syistä, auttaa osaltaan säilyttämään luottamuksen siihen, että tietojen saanti on rajoitettu siihen, mikä on välttämätöntä ja oikeasuhteista 23 ;

Yhdysvaltojen eri viranomaisilta, joiden on valvottava järjestelmän toimintaa ja sen täytäntöönpanoa, noudatettava rajoituksia ja suojajärjestelyjä, jotka koskevat tietojen saantia lainvalvontaan ja kansalliseen turvallisuuteen liittyvistä syistä, sekä vastattava nopeasti ja asianmukaisesti EU:n kansalaisten valituksiin mahdollisesta henkilötietojen väärinkäytöstä;

EU:n tietosuojaviranomaisilta, joilla on tärkeä tehtävä sen varmistamisessa, että ihmiset voivat tosiasiallisesti käyttää oikeuksiaan Privacy Shield -järjestelyn puitteissa. Ne voivat muun muassa ohjata kansalaisten valitukset asianmukaisille Yhdysvaltojen viranomaisille ja tehdä näiden kanssa yhteistyötä, käynnistää oikeusasiamiesmekanismin, avustaa valituksen tekijöitä, kun nämä haluavat saattaa asiansa Privacy Shield -paneelin käsiteltäväksi, ja valvoa henkilöstötietojen siirtoja; ja

komissiolta, joka vastaa tietosuojan tason riittävyyden toteamisesta ja sitä koskevan päätöksen säännöllisestä uudelleentarkastelusta: nämä säännölliset tarkastelut merkitsevät huomattavaa muutosta verrattuna aiempaan staattiseen tilanteeseen, sillä niiden ansiosta Privacy Shield -järjestelyn mukaisen tietosuojan tason riittävyyden toteamisesta tulee osa tarkoin seurattua, kehittyvää toimintakehystä.

Yhteinen vuotuinen tarkastelu ja sitä seuraava komission kertomus – samoin kuin mahdollisuus keskeyttää järjestelyn soveltaminen, jos velvoitteita ei noudateta – ovat näin ollen keskeisiä tekijöitä Privacy Shield -järjestelyn kestävyyden varmistamisessa. EU:n ja Yhdysvaltojen olisi otettava yhteiseksi kunnianhimoiseksi tavoitteekseen kehittää yhteistoimin vahva yksityisyydensuojaa ja yksilön oikeuksien suojaamista edistävä kulttuuri, joka varmistaa luottamuksen palauttamisen ja säilyttämisen.

4. EU:n ja Yhdysvaltojen välinen puitesopimus: tietosuojatakeiden lujittaminen lainvalvonta-alan yhteistyötä varten

4.1 Tausta

Transatlanttisiin suhteisiin kuuluu olennaisena osana EU:n, jäsenvaltioiden ja Yhdysvaltojen kyky reagoida yhteisiin turvallisuusuhkiin ja -haasteisiin tehokkaasti, yhteistyössä toimien ja koordinoidusti. Tällainen yhteinen toiminta on suuresti riippuvainen valmiudestamme vaihtaa henkilötietoja rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä. Tavoitteen saavuttamiseksi on vuosien varrella tehty useita kahdenvälisiä sopimuksia jäsenvaltioiden ja Yhdysvaltojen sekä EU:n ja Yhdysvaltojen 24 välillä. Samaan aikaan on yhtä tärkeää varmistaa, että näissä lainvalvontasopimuksissa taataan tehokas tietosuoja. Tämä kahtalainen tavoite, eli tehokas yhteistyö yhdysvaltalaisten kumppaneiden kanssa vakavan rikollisuuden ja terrorismin torjumiseksi ja eurooppalaisille tässä tarkoituksessa tapahtuvan tietojen siirron yhteydessä tarjotun suojan tason samanaikainen edistäminen heidän perusoikeuksiaan ja EU:n tietosuojasääntöjä vastaavasti, johti maaliskuussa 2011 neuvottelujen käynnistämiseen kansainvälisestä tietosuojasopimuksesta lainvalvonnan alalla, EU:n ja Yhdysvaltojen välisestä tietosuojaa koskevasta puitesopimuksesta 25 .

EU ja Yhdysvallat saivat neuvottelunsa päätökseen kesällä 2015. Osapuolet parafoivat puitesopimuksen 8. syyskuuta 2015 Luxemburgissa 26 , ja se odottaa nyt ratifiointia Atlantin molemmin puolin. Puitesopimuksen allekirjoittamisen edellytyksenä oli kuitenkin se, että Yhdysvaltojen kongressi hyväksyy oikeussuojakeinoja koskevan Judicial Redress Act säädöksen, joka takaa EU:n kansalaisille ensimmäistä kertaa yhdenvertaisen kohtelun Yhdysvaltojen kansalaisten kanssa vuonna 1974 annettuun Yhdysvaltojen Privacy Act säädökseen sisältyvien oikeuksien osalta 27 . Kongressi hyväksyi lakiehdotuksen 10. helmikuuta 2016, ja se allekirjoitettiin 24. helmikuuta 2016.

4.2 Mikä on muuttunut?

Puitesopimuksessa vahvistetaan ensimmäistä kertaa yhdenmukaiset ja kattavat tietosuojaa koskevat takeet, joita sovelletaan kaikkeen rikosoikeuden täytäntöönpanon alalla tapahtuvaan transatlanttiseen tietojenvaihtoon asianomaisten viranomaisten välillä. Kyseessä on itse asiassa perusoikeuksia koskeva sopimus, jossa vahvistettava korkeatasoinen suoja toimii pakollisena vertailukohtana nykyisten ja tulevien sopimusten tietojenvaihtoa koskevien määräysten arvioimiselle.

Ensinnäkin puitesopimuksessa vahvistettuja suojatoimenpiteitä ja takeita sovelletaan horisontaalisesti kaikkeen rikosasioissa tehtävän transatlanttisen lainvalvontayhteistyön puitteissa tapahtuvaan tietojenvaihtoon. Tämä käsittää tietojen siirrot, jotka perustuvat kansalliseen lainsäädäntöön, EU:n ja Yhdysvaltojen välisiin sopimuksiin, jäsenvaltioiden ja Yhdysvaltojen välisiin sopimuksiin (esim. keskinäistä oikeusapua koskevat sopimukset) sekä erityissopimuksiin, joissa määrätään yksityisten tahojen suorittamasta henkilötietojen siirrosta lainvalvontatarkoituksiin. Sopimuksen määräykset parantavat siis välittömästi sitä suojelun tasoa, joka EU:n rekisteröidyille taataan tietoja Yhdysvaltoihin siirrettäessä. Lisäksi ne lisäävät transatlanttisen lainvalvontayhteistyön oikeusvarmuutta varmistamalla, että voimassa olevat sopimukset sisältävät kaikki tarvittavat suojatoimenpiteet ja pystyvät siksi kestämään mahdolliset niihin kohdistuvat oikeustoimet.

Toiseksi sopimuksen määräykset kattavat kaikki EU:n keskeiset tietosuojasäännöt, jotka koskevat käsittelyvaatimuksia (esim. tietojen laatu ja eheys, tietoturva, vastuuvelvollisuus ja valvonta), suojatoimia ja rajoituksia (esim. käyttötarkoituksen ja käytön rajoitukset, tietojen säilyttäminen, tietojen edelleensiirrot, arkaluonteisten tietojen käsittely) sekä yksilön oikeuksia (tietojen saanti, oikaisu, hallinnollinen ja oikeudellinen muutoksenhaku).

Kolmanneksi sopimus varmistaa, että käytettävissä on oikeussuojakeinoja tapauksissa, jotka koskevat tietoihin tutustumisen epäämistä, oikaisumahdollisuuden epäämistä ja laitonta luovuttamista. Kyseessä on huomattava parannus, joka edistää merkittävästi luottamuksen palauttamista transatlanttiseen tietojenvaihtoon. Tämä EU:n keskeinen ja pitkään ajama vaatimus, joka oli vuosikausien ajan jäänyt ilman vastausta, on jo otettu huomioon Yhdysvaltojen kongressin käsittelyyn maaliskuussa 2015 tuodussa Judicial Redress Act -säädöksessä, joka hyväksyttiin 10. helmikuuta 2016. Siinä ulotetaan Yhdysvaltojen vuonna 1974 antamassa Privacy Act -säädöksessä vahvistetut kolme keskeistä oikeussuojakeinoa, jotka nykyisin ovat pelkästään Yhdysvaltojen kansalaisten ja maassa vakituisesti asuvien käytettävissä, koskemaan myös EU:n kansalaisia 28 . Tämän ansiosta EU:n kansalaisilla on ensimmäistä kertaa mahdollisuus käyttää yleisesti sovellettavia oikeuksia, kun kyse on rikosoikeuden täytäntöönpanon alalla tapahtuvasta tietojen siirrosta Atlantin yli. Sen myötä saadaan poistettua ratkaiseva ero EU:n ja Yhdysvaltojen kansalaisten kohtelussa.

Neljänneksi puitesopimuksessa määrätään riippumattoman valvonnan periaatteen yleisestä soveltamisesta ja laajennetaan se koskemaan koko lainvalvonta-alaa keskeisenä tietosuojaa koskevana vaatimuksena. Tämä vaatimus puuttuu useista voimassa olevista kahdenvälisistä sopimuksista. Se käsittää tehokkaat valtuudet tutkia ja ratkaista yksittäisiä valituksia, jotka koskevat sopimuksen määräysten noudattamista.

Viidenneksi puitesopimuksen tosiasiallista täytäntöönpanoa arvioidaan määräajoin tehtävien yhteisten tarkastelujen avulla. Tarkasteluissa kiinnitetään erityistä huomiota määräyksiin, jotka koskevat yksilön oikeuksia (tietojen saanti, oikaisu, hallinnollinen ja oikeudellinen muutoksenhaku).

Puitesopimuksella ei sinänsä anneta hyväksyntää tietojen siirroille, eikä se ole tietosuojan tason riittävyyttä koskeva päätös.

4.3 Tulevat toimet

Judicial Redress Act -säädöksen 29 voimaantulo luo edellytykset puitesopimuksen allekirjoittamiselle. Komissio esittää lähiaikoina neuvostolle ehdotuksen päätökseksi, jolla annetaan lupa puitesopimuksen allekirjoittamiseen. Allekirjoituksen jälkeen neuvoston on Euroopan parlamentin hyväksynnän saatuaan annettava päätös sopimuksen tekemisestä. Puitesopimus tuo merkittävän parannuksen nykytilanteeseen, jolle on tyypillistä se, että yhdenmukaistamattomat ja usein heikot tietosuojasäännöt ovat hajallaan lukuisissa monenvälisissä, kahdenvälisissä, kansallisissa ja alakohtaisissa välineissä. Puitesopimuksella on takautuva vaikutus siinä mielessä, että se täydentää voimassa olevien sopimusten tietosuojatakeita, jos – ja siinä määrin kuin – ne eivät tarjoa riittävää suojan tasoa. Se tarjoaa tältä osin merkittävää lisäarvoa ”täyttämällä aukot” voimassa olevissa sopimuksissa, joiden tietosuojanormit ovat puitesopimuksessa määrättyjä heikompia. Tämä mahdollistaa lainvalvontayhteistyön jatkumisen mutta varmistaa samalla aiempaa paremman oikeusvarmuuden tietoja siirrettäessä. Tulevien sopimusten osalta puitesopimus toimii turvaverkkona, joka määrittää vähimmäissuojan tason. Tämä on erittäin tärkeä tae tulevaisuuden kannalta ja merkittävä muutos nykytilanteeseen, jossa takeista, suojatoimista ja oikeuksista on neuvoteltava uudelleen jokaisen uuden sopimuksen yhteydessä. Puitesopimus toimii siis mallina ja sisältää vakiomuotoiset suojatoimet, joiden heikennyksistä ei voida neuvotteluissa sopia. Tämä on erittäin tärkeä ennakkotapaus, joka ei koske pelkästään EU:n ja Yhdysvaltojen välisiä suhteita vaan yleisemmin kaikkia tulevia tietosuoja- tai tietojenvaihtojärjestelyjä kansainvälisellä tasolla.

Puitesopimuksesta neuvoteltiin rinnan EU:n tietosuojasäännöstön uudistuksen kanssa, ja sen määräykset on mukautettu kyseiseen säännöstöön. Erityisen tärkeä seikka on puitesopimuksen ja poliisidirektiivin välinen vuorovaikutus, sillä tietosuojan korkea ja yhdenmukainen taso on tärkeää varmistaa riippumatta siitä, käsitelläänkö henkilötietoja kansallisella tasolla vai vaihdetaanko niitä rajojen yli EU:n sisällä tai kolmansien maiden kanssa. Puitesopimus selkeyttää tältä osin uudistuksen yleisiä vaatimuksia transatlanttisten suhteiden yhteydessä.

Neuvottelujen päätökseen saattaminen puitesopimuksesta, jossa vahvistetaan yhteiset normit monitahoisella oikeuden- ja politiikanalalla, on huomattava saavutus. Tuleva puitesopimus varmistaa luottamuksen palauttamisen ja lujittamisen, tarjoaa takeet tiedonsiirtojen laillisuudesta ja helpottaa EU:n ja Yhdysvaltojen yhteistyötä tällä alalla.

Jatkossa on tarpeen ryhtyä yhdessä käsittelemään yhteisiä haasteita poliisiyhteistyön ja oikeudellisen yhteistyön alalla. Yksi vielä ratkaisematta olevista tärkeistä kysymyksistä on lainvalvontaviranomaisten mahdollisuus saada suoraan käyttöönsä yksityisten yritysten hallussa ulkomailla olevia henkilötietoja. Näissä tapauksissa olisi periaatteessa käytettävä virallisia yhteistyökanavia, joita tarjoavat muun muassa keskinäistä oikeusapua koskevat sopimukset tai muut alakohtaiset sopimukset. Tällä hetkellä yksityiset yritykset ovat vaarassa joutua oikeudellisesti epävarmaan tilanteeseen, joka saattaa vaikuttaa niiden kykyyn toimia eri lainkäyttöalueilla, kun niiltä pyydetään yhden maan lainsäädännön perusteella pääsyä sähköiseen todistusaineistoon, joka sisältää toisen maan lainsäädännön soveltamisalaan kuuluvia henkilötietoja. EU toivoo, että tästä asiasta voitaisiin keskustella lisää EU:n ja Yhdysvaltojen keskinäistä oikeusapua koskevan sopimuksen 30 tulevan uudelleentarkastelun yhteydessä. Samalla voitaisiin tarkastella mahdollisuutta laatia yhteiset ja aiempaa tehokkaammat säännöt sähköisten todisteiden keräämistä varten.

5. PÄÄTELMÄT

Vuoden 2013 tiedonannossa esitettyjen keskeisten toimien onnistunut päätökseen saattaminen osoittaa, että EU kykenee ratkaisemaan ongelmia käytännöllisellä ja kohdennetulla tavalla tinkimättä perusoikeuksiin liittyvistä vankoista arvoistaan ja perinteistään. Se osoittaa myös, että EU ja Yhdysvallat pystyvät ratkaisemaan erimielisyytensä ja tekemään vaikeita päätöksiä säilyttääkseen strategisen kumppanuuden, joka on kestänyt ajan haasteet. Vaikka nyt avaammekin uuden luvun kahdenvälisissä suhteissamme, valppauteen on edelleen syytä, sillä maailman epävarma tilanne tuo yhä eteemme yhteisiä uhkia ja haasteita.

Kun Privacy Shield -järjestelyn ja puitesopimuksen soveltaminen on aloitettu, molempien osapuolten velvollisuutena on varmistaa, että nämä kaksi merkittävää tietojen siirtoa sääntelevää kehystä toimivat tehokkaasti ja kestävällä tavalla. Niiden menestys riippuu suurelta osin tehokkaasta täytäntöönpanosta ja siitä, että yksilöille annettuja oikeuksia kunnioitetaan. Se edellyttää myös kehysten toiminnan jatkuvaa arviointia, mikä puolestaan vaatii staattisen ajattelutavan hylkäämistä ja siirtymistä dynaamisempaan prosessiin.

Tätä taustaa vasten Yhdysvaltojen tiedusteluohjelmien meneillään oleva uudistus on prosessin tärkeä osatekijä. Komissio aikoo tutkia tarkkaan yksityisyyden ja kansalaisvapauksien valvonnasta vastaavan lautakunnan (Privacy and Civil Liberties Oversight Board) valmisteilla olevia raportteja ja seurata tiiviisti FISA-säädöksen (Foreign Intelligence Surveillance Act) 702 §:ään perustuvan, ulkomaantiedustelutoimintaa koskevan ohjelman tarkistamista. Tarkistuksen on määrä valmistua vuonna 2017. Erityisen tarkkaan seurataan uudistuksia, jotka koskevat avoimuutta, valvontaa ja suojatoimien ulottamista koskemaan myös muita kuin Yhdysvaltojen kansalaisia.

Ottaen huomioon rajatylittävien tietovirtojen merkityksen Atlantin yli tapahtuvalle kaupalle EU aikoo seurata tarkoin myös yksityisyydensuojaan liittyvän lainsäädäntötyön edistymistä Yhdysvalloissa. Nyt kun EU:lla on käytössään yhtenäiset, johdonmukaiset ja tehokkaat säännöt, toivomme, että myös Yhdysvallat jatkaa työtä yksityisyydensuojaa ja tietosuojaa koskevan kattavan järjestelmän luomiseksi. Tällaista kokonaisvaltaista lähestymistapaa tarvitaan, jotta näiden kahden järjestelmän lähentäminen toisiinsa pitkällä aikavälillä onnistuisi. Komission tarkoituksena on järjestää vuosittain tietosuojaa käsittelevä huippukokous, johon voisivat osallistua asiasta kiinnostuneet kansalaisjärjestöt ja muut sidosryhmät Atlantin molemmin puolin.

EU:n ja Yhdysvaltojen kumppanuus voi olla kantava voima prosessissa, jonka tavoitteena on kehittää ja edistää yksityisyyden ja henkilötietojen suojaa koskevia kansainvälisiä oikeusnormeja. Merkittäviä tässä suhteessa voivat olla myös YK:n puitteissa toteutettavat hankkeet, mukaan luettuna oikeutta yksityisyyteen käsittelevän YK:n erityisraportoijan työ. Nämä kysymykset ovat yhä tärkeämpiä koko maailman mittakaavassa. Sen vuoksi EU:n ja Yhdysvaltojen olisi tulevina vuosina hyödynnettävä tämä tilaisuus edistää yksilön vapauksiin ja oikeuksiin liittyviä yhteisiä arvojaan globaalistuneessa digitaalisessa maailmassa.

(1)

     Komission tiedonanto Euroopan parlamentille ja neuvostolle: Luottamuksen palauttaminen EU:n ja Yhdysvaltojen väliseen tietojen siirtoon, COM(2013) 846 final, 27.11.2013, jäljempänä ’vuoden 2013 tiedonanto’ tai ’tiedonanto’, saatavilla osoitteessa: http://ec.europa.eu/justice/data-protection/files/com_2013_846_en.pdf

(2)

     Ehdotus Euroopan parlamentin ja neuvoston direktiiviksi yksilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta, COM(2012) 10 final, 25.1.2012, ja ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus), COM(2012) 11 final, 25.1.2012, saatavilla osoitteessa http://ec.europa.eu/justice/data-protection/reform/index_en.htm  

(3)

     Komission tiedonanto Euroopan parlamentille ja neuvostolle safe harbor -järjestelmän toiminnasta EU:n kansalaisten ja EU:hun sijoittautuneiden yritysten näkökulmasta, COM(2013) 847 final, 27.11.2013, s. 18–19, jäljempänä ’safe harbor -tiedonanto’, saatavilla osoitteessa: http://ec.europa.eu/justice/data-protection/files/com_2013_847_en.pdf

(4)

Uusi alku Euroopalle: Työllisyyden, kasvun, oikeudenmukaisuuden ja demokraattisen muutoksen ohjelma – Poliittiset suuntaviivat seuraavalle Euroopan komissiolle.

(5)

Asia C-362/14, Maximillian Schrems v. Data Protection Commissioner, tuomio 6.10.2015, EU:C:2015:650.

(6)

Ks. komission tiedonanto Euroopan parlamentille ja neuvostolle direktiiviin 95/46/EY perustuvasta henkilötietojen siirtämisestä EU:sta Yhdysvaltoihin unionin tuomioistuimen asiassa C-362/14 (Schrems) antaman tuomion johdosta, COM(2015) 566 final, 6.11.2015. Ks. myös 29 artiklan mukaisen tietosuojatyöryhmän 3. helmikuuta 2016 antama lausunto asiassa Schrems annetun tuomion vaikutuksista, saatavilla osoitteessa http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160203_statement_consequences_schrems_judgement_en.pdf  

(7)

Ks. http://europa.eu/rapid/press-release_IP-16-216_en.htm?locale=en

(8)

  https://www.whitehouse.gov/the-press-office/2014/01/17/remarks-president-review-signals-intelligence  

(9)

  https://www.whitehouse.gov/the-press-office/2014/01/17/presidential-policy-directive-signals-intelligence-activities  

(10)

      http://europa.eu/rapid/press-release_MEMO-14-30_en.htm  

(11)

     USA FREEDOM Act of 2015, Pub. L., No. 114-23, § 401, 129 Stat. 268.

(12)

     H.R.1428 – vuonna 2015 annettu Judicial Redress Act. Se tulee voimaan 90 päivää hyväksymisen jälkeen.

(13)

     COM(2012) 11 lopullinen, 25.1.2012: ks. alaviite 2.

(14)

     COM(2012) 10 lopullinen, 25.1.2012: ks. alaviite 2.

(15)

Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31), jäljempänä ’tietosuojadirektiivi’.

(16)

Toisin kuin säädetään rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta 27. marraskuuta 2008 tehdyssä neuvoston puitepäätöksessä 2008/977/YOS (joka kattaa ainoastaan rajatylittävän tietojenvaihdon jäsenvaltioiden toimivaltaisten viranomaisten välillä), tällaisten sääntöjen soveltaminen poliisidirektiivin mukaisesti ei enää riipu siitä, onko kyseisiä tietoja vaihdettu aiemmin jäsenvaltioiden rikosoikeuden täytäntöönpanosta vastaavien viranomaisten välillä.

(17)

Ks. komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle – Euroopan turvallisuusagenda, COM(2015) 185 final, 28.4.2015.

(18)

     Heinäkuun 20. päivänä 2000 tehty komission päätös 2000/520/EY. Komissio oli tässä päätöksessä todennut tietosuojadirektiivin 25 artiklan 6 kohdan perusteella, että safe harbor -periaatteet ja niihin liittyvät Yhdysvaltojen kauppaministeriön julkaisemat tavallisimmat kysymykset varmistavat EU:sta siirrettyjen henkilötietojen riittävän suojan tason. Safe harbor -järjestelyn toiminta perustui siihen osallistuvien yritysten antamiin sitoumuksiin ja omaan varmennukseen. Säännöt sitoivat Yhdysvaltojen lainsäädännön nojalla kyseisiä organisaatioita, ja liittovaltion kauppakomissio (Federal Trade Commission) valvoi niiden täytäntöönpanoa.

(19)

     Ks. alaviite 3.

(20)

     Näitä ovat mm. tietovirtojen räjähdysmäinen kasvu ja niiden ratkaiseva merkitys transatlanttisen talouden kannalta sekä nopea kasvu safe harbor järjestelmään kuuluvien yhdysvaltalaisyritysten määrässä. Ks. safe harbor -tiedonanto, s. 3.

(21)

     Safe harbor -tiedonanto, s. 18–19.

(22)

     Suuret yhdysvaltalaiset internetyritykset laativat jo nyt tällaisia raportteja saavuttaakseen uudelleen asiakkaidensa luottamuksen. Vuonna 2015 annettu Yhdysvaltojen Freedom Act -säädös mahdollistaa vapaaehtoisen raportoinnin tietopyynnöistä, tosin vain tiettyjen luokkien puitteissa kansallisten turvallisuusetujen suojelemiseksi.

(23)

     Raportointi tapahtuisi vuonna 2015 annetun Yhdysvaltojen Freedom Act -säädöksen mukaisesti. Ks. alaviite 22.

(24)

     Kuten EU:n ja Yhdysvaltojen sopimus matkustajarekisteritiedoista (PNR) ja EU:n ja Yhdysvaltojen terrorismin rahoituksen jäljittämisohjelma (TFTP).

(25)

     EU:n ja Yhdysvaltojen sopimus henkilötietojen suojasta tilanteissa, joissa niitä siirretään ja käsitellään rikoksien ja terrorismin estämiseksi, tutkimiseksi, havaitsemiseksi ja niistä syyttämiseksi rikosasioissa tehtävän poliisi- ja oikeudellisen yhteistyön yhteydessä.

(26)

      http://europa.eu/rapid/press-release_STATEMENT-15-5610_en.htm  

(27)

Judicial Redress Act -säädöksellä myönnetään oikeuksia sen soveltamisalaan kuuluvien, Yhdysvaltojen hallituksen nimeämien maiden kansalaisille. Tämä puolestaan edellyttää seuraavien kriteerien täyttämistä: a) asianomaisella maalla [tai alueellisella järjestöllä] on Yhdysvaltojen kanssa sopimus henkilötietojen suojaamisesta tilanteissa, joissa niitä vaihdetaan rikosten estämiseksi, tutkimiseksi, havaitsemiseksi tai niistä syyttämiseksi; b) asianomainen maa [tai alueellinen järjestö] sallii henkilötietojen siirtämisen kaupallisessa tarkoituksessa sen ja Yhdysvaltojen välillä; ja c) asianomaisen maan tai alueellisen järjestön kaupallisessa tarkoituksessa tapahtuvaan henkilötietojen siirtämiseen soveltamat periaatteet ja niihin liittyvät toimet eivät haittaa merkittävästi Yhdysvaltojen kansallisia turvallisuusetuja.

(28)

Judicial Redress Act -säädöksen mukaan myös EU:n ulkopuolisia maita tai ”alueellisia taloudellisen yhdentymisen järjestöjä” voidaan nimetä ”soveltamisalaan kuuluviksi maiksi”, jolloin myös niiden kansalaiset saisivat kyseiset oikeussuojakeinot käyttöönsä.

(29)

Säädös tulee voimaan 90 päivän kuluttua hyväksymisestä.

(30)

Neuvoston päätös 2009/820/YUTP, tehty 23 päivänä lokakuuta 2009, rikoksen johdosta tapahtuvaa luovuttamista koskevan Euroopan unionin ja Amerikan yhdysvaltojen välisen sopimuksen ja keskinäistä oikeusapua koskevan Euroopan unionin ja Amerikan yhdysvaltojen välisen sopimuksen tekemisestä Euroopan unionin puolesta (EUVL L 291, 7.11.2009, s. 40).