Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52018DC0860

KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toiminnan toisesta vuosittaisesta tarkastelusta

COM/2018/860 final

Bryssel 19.12.2018

COM(2018) 860 final

KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toiminnan toisesta vuosittaisesta tarkastelusta

{SWD(2018) 497 final}


1.TOINEN VUOSITTAINEN TARKASTELU – TARKOITUS, VALMISTELU JA PROSESSI

Komissio antoi 12. heinäkuuta 2016 päätöksen 1 , jäljempänä ’tietosuojan riittävyyttä koskeva päätös’, jossa se totesi, että EU:n ja Yhdysvaltojen Privacy Shield -järjestelyllä varmistetaan riittävä henkilötietojen suojan taso, kun tietoja siirretään EU:sta Yhdysvalloissa sijaitseville organisaatioille. Tietosuojan riittävyyttä koskevassa päätöksessä säädetään vuosittaisesta tarkastelusta, jossa komissio käsittelee järjestelyn toiminnan kaikkia näkökohtia. Ensimmäinen vuosittainen tarkastelu toteutettiin 18. ja 19. syyskuuta 2017 Washingtonissa, ja 18. lokakuuta 2017 komissio antoi Euroopan parlamentille ja neuvostolle kertomuksen 2 ja siihen liittyvän komission yksiköiden valmisteluasiakirjan (SWD(2017)344 final) 3 .

Komissio päätteli ensimmäisen tarkastelun havaintojen perusteella, että Yhdysvallat takasi edelleen tietosuojan riittävän tason henkilötiedoille, jotka siirretään Privacy Shield -järjestelyn puitteissa unionista Yhdysvalloissa sijaitseville organisaatioille. Samalla komissio katsoi, että järjestelyn käytännön täytäntöönpanoa voitaisiin parantaa edelleen sen varmistamiseksi, että siihen sisältyvät takeet ja suojatoimet toimivat jatkossakin tarkoitetulla tavalla. Komissio esitti tätä varten kymmenen suositusta.

Tämä kertomus päättää Privacy Shield -järjestelyn toimintaa koskevan toisen vuosittaisen tarkastelun. Kertomuksessa ja siihen liittyvässä komission yksiköiden valmisteluasiakirjassa (SWD(2018) 497) noudatetaan samaa rakennetta kuin ensimmäistä vuosittaista tarkastelua koskevassa kertomuksessa. Ne kattavat kaikki Privacy Shield -järjestelyn toimintaan liittyvät näkökohdat, ja niissä on otettu huomioon viime vuonna tapahtunut kehitys. Keskeistä komission arvioinnissa oli sen ensimmäisen vuosittaisen tarkastelun perusteella antamien suositusten täytäntöönpano.

Valmistellessaan toista vuosittaista tarkastelua komissio keräsi tietoa asiaankuuluvilta sidosryhmiltä (erityisesti Privacy Shield -järjestelyyn varmennetuilta yrityksiltä niiden toimialajärjestöjen kautta sekä perusoikeuksien ja erityisesti digitaalisten oikeuksien ja yksityisyyden suojan alalla toimivilta kansalaisjärjestöiltä) ja järjestelyn täytäntöönpanoon osallistuvilta Yhdysvaltojen viranomaisilta.

Toista vuosittaista tarkastelua koskeva kokous järjestettiin Brysselissä 18. ja 19. lokakuuta 2018. Tarkastelun käynnistivät oikeus-, kuluttaja- ja tasa-arvoasioista vastaava komissaari Věra Jourová, Yhdysvaltojen kauppaministeri Wilbur Ross, Yhdysvaltojen liittovaltion kauppakomission puheenjohtaja Joseph Simons ja Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek. Vuosittaisen tarkastelun suorittivat EU:n puolesta Euroopan komission oikeus- ja kuluttaja-asioiden pääosaston edustajat. EU:n valtuuskuntaan kuului myös seitsemän Euroopan tietosuojaneuvoston nimeämää edustajaa. Tietosuojaneuvosto koostuu EU:n jäsenvaltioiden tietosuojaviranomaisten ja Euroopan tietosuojavaltuutetun edustajista.

Yhdysvaltojen puolelta tarkasteluun osallistui kauppaministeriön, ulkoministeriön, liittovaltion kauppakomission, liikenneministeriön, kansallisen tiedusteluviraston ja oikeusministeriön edustajia sekä yksityisyyden suojan ja kansalaisvapauksien valvonnasta vastaavan lautakunnan jäseniä, väliaikainen oikeusasiamies ja tiedusteluyhteisön valvontaviranomainen. Lisäksi tarkasteluun liittyvissä käsittelyissä tietoja antoivat myös riippumatonta riitojenratkaisua Privacy Shield -järjestelyn puitteissa tarjoavan järjestön edustajat ja Yhdysvaltain sovitteluelinten yhdistys (American Arbitration Association). Tarkasteluun saatiin tietoa myös muutamilta järjestelyyn varmennetuilta organisaatioilta, jotka kertoivat siitä, miten yritykset noudattavat järjestelyssä asetettuja vaatimuksia.

Komissio on hyödyntänyt kertomuksen laatimisessa myös yhtä tilaamaansa tutkimusta sekä julkisesti saatavilla olevaa aineistoa, kuten tuomioistuinten päätöksiä, Yhdysvaltojen asiaankuuluvien viranomaisten täytäntöönpanosääntöjä ja -menettelyjä, kansalaisjärjestöjen raportteja ja tutkimuksia, Privacy Shield -järjestelyyn varmennettujen yritysten avoimuusraportteja, riippumattomia muutoksenhakumenettelyjä koskevia vuosikertomuksia ja tiedotusvälineiden raportteja.

Tämänvuotinen tarkastelu toteutettiin aikana, jona tietosuojaan kohdistuu luonteeltaan yhä globaalimpia haasteita, kuten Facebook / Cambridge Analytica -tapaus osoitti. Sekä EU että Yhdysvallat ovat tietoisia siitä, että niiden on ratkaistava samantyyppisiä haasteita henkilötietojen suojaamiseksi. Kumpikin osapuoli korosti tarkastelun aikana, että henkilötietojen väärinkäyttöön on puututtava muun muassa siten, että EU:n tietosuojaviranomainen ja Yhdysvaltojen liittovaltion kauppakomissio valvovat tiukasti sääntöjen noudattamista.

Komission kertomuksessa on lisäksi otettu huomioon käynnissä oleva keskustelu Yhdysvaltojen liittovaltion yksityisyydensuojaa koskevasta lainsäädännöstä. EU:n ja Yhdysvaltojen järjestelmien lähentyminen pitkällä aikavälillä vahvistaisi Privacy Shield -järjestelyn perusperiaatteita.

2.HAVAINNOT JA PÄÄTELMÄT

Toisessa vuosittaisessa tarkastelussa käsiteltiin sekä Privacy Shield -järjestelyyn liittyviä kaupallisia näkökohtia että kysymyksiä, jotka koskevat viranomaisten pääsyä henkilötietoihin.

Komissio totesi kaupallisten näkökohtien osalta (hallinto, varmennettuihin yrityksiin sovellettavien velvoitteiden seuranta ja noudattamisen valvonta), että kauppaministeriö on lujittanut edelleen varmennusmenettelyä ja ottanut käyttöön uusia valvontamenettelyjä ensimmäisen vuosittaisen arvioinnin perustella annettujen suositusten mukaisesti. Kauppaministeriö on erityisesti ottanut käyttöön uuden menettelyn, jossa edellytetään, etteivät ensimmäistä kertaa varmennusta hakevat tahot esittele julkisesti Privacy Shield -järjestelyyn osallistumistaan ennen kuin kauppaministeriö on saanut niiden varmennuksen valmiiksi. Lisäksi kauppaministeriö on ottanut käyttöön uusia mekanismeja, joiden avulla havaitaan mahdolliset sääntöjen noudattamiseen liittyvät ongelmat. Näihin kuuluvat muun muassa satunnaistarkastukset (vuosittaiseen tarkastukseen mennessä tällaisia tarkastuksia oli tehty noin 100 organisaatiolle) ja seurantamenettely, jonka avulla tarkastetaan, että Privacy Shield -järjestelyyn osallistuvien organisaatioiden antamat julkiset raportit yksityisyydensuojakäytännöistään pitävät paikkansa. Kauppaministeriö käyttää nyt aktiivisesti useita eri välineitä löytääkseen organisaatiot, jotka väittävät totuudenvastaisesti osallistuvansa järjestelyyn. Se laatii esimerkiksi neljännesvuosittain katsauksen yrityksistä, joiden on todettu todennäköisesti esittävän totuudenvastaisia väitteitä, ja se on luonut järjestelmän, jonka avulla internetissä voi tehdä asiaa koskevia kuva- ja tekstihakuja. Näiden uusien käytäntöjen ja menettelyjen tuloksena kauppaministeriö on ensimmäisen vuosittaisen tarkastelun jälkeen toimittanut liittovaltion kauppakomission käsiteltäväksi yli 50 tapausta, ja kauppakomissio on toteuttanut niiden perusteella täytäntöönpanotoimia tapauksissa, joissa pelkkä asiasta ilmoittaminen ei saanut asianomaista yritystä noudattamaan sääntöjä.

Täytäntöönpanon valvonnan osalta komissio totesi, että liittovaltion kauppakomissio pyrkii proaktiivisesti seuraamaan Privacy Shield -järjestelyn periaatteiden noudattamista ja on esittänyt hiljattain hallinnollisia haasteita, joiden tarkoituksena on pyytää tietoja useilta järjestelyyn osallistuvilta organisaatioilta. Liittovaltion kauppakomissio on myös vahvistanut, että Facebook / Cambridge Analytica -asiassa on parhaillaan käynnissä tutkinta. Vaikka komissio pitää liittovaltion kauppakomission uutta ja entistä proaktiivisempaa lähestymistapaa sääntöjen noudattamisen valvonnassa merkittävänä edistysaskeleena, se pitää valitettavana, että kauppakomissio ei voinut tässä vaiheessa toimittaa lisätietoja viimeaikaisista tutkintatoimistaan. Komissio aikoo tältä osin seurata tiiviisti tilanteen kehittymistä.

Toisessa vuosittaisessa tarkastelussa otettiin huomioon myös yksityisyyden suojan alalla Yhdysvaltojen oikeusjärjestelmässä tapahtunut kehitys. Tämä koskee erityisesti kauppaministeriön käynnistämää kuulemista, jossa pohditaan liittovaltion tasolla sovellettavaa lähestymistapaa tietosuojaan, sekä liittovaltion kauppakomission pohdintaprosessia, joka koskee kauppakomission nykyisiä valtuuksia yksityisyyden suojan alalla ja sen korjaavien toimien suhteen käyttämiensä valtuuksien tehokkuutta.

Kuten Facebook / Cambridge Analytica -tapaus ja muut viimeaikaiset paljastukset ovat osoittaneet, on tärkeää, että EU ja Yhdysvallat yhdenmukaistavat edelleen toimiaan. Komissio onkin pannut edellä mainitut aloitteet merkille erittäin kiinnostuneena ja osallistunut kauppaministeriön kuulemisprosessiin toimittamalla kirjallisen lausunnon 4 .

Tarkasteltaessa Yhdysvaltojen viranomaisten pääsyä henkilötietoihin ja niiden käyttöä toisessa vuotuisessa tarkastelussa keskityttiin Yhdysvaltojen oikeudellisen kehityksen keskeiseen kehitykseen, esimerkiksi asiaankuuluviin viranomaisten toimintapolitiikkoihin ja menettelyihin, valvontatoimien uusiin suuntauksiin sekä merkittävien valvonta- ja muutoksenhakumekanismien perustamisessa ja toiminnassa tapahtuneisiin muutoksiin.

Tärkein oikeudellinen muutos, joka koskee viranomaisten pääsyä henkilötietoihin, oli ulkomaantiedustelun valvontaa koskevan lain 702 §:n uudelleenhyväksyminen vuoden 2018 alussa. Vaikka presidentin määräyksessä nro 28 vahvistettuja suojatoimia ei tämän johdosta sisällytetty lakiin, kuten komissio oli ehdottanut, myöskään niitä lakiin sisältyviä suojatoimia ei rajoitettu, jotka olivat voimassa silloin kun Privacy Shield -päätös annettiin. Muutoksilla ei myöskään laajennettu Yhdysvaltojen tiedusteluyhteisön valtuuksia hankkia ulkomaantiedustelutietoja kohdistamalla tiedustelutoimia muihin kuin Yhdysvaltojen kansalaisiin ulkomaantiedustelun valvontaa koskevan lain 702 §:n nojalla. Sen sijaan muutosten uudelleenhyväksyntää koskevalla vuoden 2017 lailla, jolla muutetaan vuonna 1978 annettua ulkomaantiedustelun valvontaa koskevaa lakia, otettiin käyttöön joitakin rajoitettuja lisäsuojatoimia esimerkiksi avoimuuden alalla.

Myös yksityisyyden suojan ja kansalaisvapauksien valvonnasta vastaavan lautakunnan toiminnassa on tapahtunut merkittävää kehitystä. Ensimmäisen vuosittaisen tarkastelun aikaan lautakunnassa oli enää yksi jäsen. Komissio on sen vuoksi suosittanut, että puuttuvat lautakunnan jäsenet nimitetään nopeasti. Yhdysvaltojen senaatti vahvisti 11. lokakuuta 2018 yksityisyyden suojan ja kansalaisvapauksien valvonnasta vastaavan lautakunnan puheenjohtajan ja kahden muun jäsenen nimitykset. Lautakunta on nyt täysilukuinen ja voi hoitaa kaikkia tehtäviään. Ensimmäisen vuosittaisen tarkastelun jälkeen komissio oli myös suosittanut, että presidentin määräystä nro 28 koskeva lautakunnan raportti asetettaisiin julkisesti saataville. Raportti julkaistiin 16. lokakuuta 2018. 5 Siinä vahvistetaan, että presidentin määräystä nro 28 noudatetaan kaikilta osin koko tiedusteluyhteisössä. Raportissa vahvistetaan erityisesti, että tiedusteluyhteisön asiaankuuluvat tahot ovat presidentin määräyksen nro 28 antamisen jälkeen antaneet määräyksen täytäntöönpanoa koskevat yksityiskohtaiset säännöt ja muuttaneet käytäntöjään, jotta ne vastaisivat määräyksen vaatimuksia.

Vaikka komissio oli suosittanut Privacy Shield -järjestelystä vastaavan oikeusasiamiehen pikaista nimittämistä, oikeusasiamiehen virastosta vastaavaan ulkoministeriöön ei vielä tämän kertomuksen laatimisajankohtana ollut nimitetty pysyvää alivaltiosihteeriä. Komissio pani tältä osin merkille, että Yhdysvaltojen hallitus tunnusti toisessa vuotuisessa tarkastelussa tarpeen edetä ripeästi pysyvän alivaltiosihteerin nimittämisessä ja vahvisti, että tämä prosessi on käynnissä.

Tämän kertomuksen laatimisajankohtana oikeusasiamiehelle ei ollut toimitettu vielä lainkaan pyyntöjä. Sen sijaan Kroatian tietosuojaviranomaiselle oli toimitettu oikeusasiamiehelle tarkoitettu valitus, jonka osalta oli käynnistetty asiaankuuluvat tarkastukset.

Tarkemmat havainnot, jotka koskevat Privacy Shield -järjestelyn kaikkien osatekijöiden toimintaa järjestelyn toisen toimintavuoden jälkeen, esitetään komission yksiköiden valmisteluasiakirjassa EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toiminnan toisesta vuosittaisesta tarkastelusta (SWD(2018) 497), joka on liitetty tähän kertomukseen.

Toisen vuosittaisen tarkastelun yhteydessä kerätyt tiedot vahvistavat havainnot, jotka esitetään tietosuojan riittävyyttä koskevassa komission päätöksessä ja jotka koskevat sekä järjestelyn kaupallisia näkökohtia että Yhdysvaltojen viranomaisten pääsyä järjestelyn puitteissa siirrettyihin henkilötietoihin.

Komissio katsoi näiden havaintojen perusteella, että Yhdysvallat varmistaa edelleen Privacy Shield -järjestelyn puitteissa unionista Yhdysvalloissa sijaitseville organisaatioille siirrettyjen henkilötietojen suojan riittävän tason.

Varsinkin toimet, jotka on toteutettu ensimmäisen vuosittaisen tarkastelun jälkeen annettujen komission suositusten täytäntöönpanemiseksi, ovat parantaneet useita järjestelyn käytännön toimintaan liittyviä näkökohtia ja auttaneet varmistamaan, että tietosuojan riittävyyttä koskevalla päätöksellä taattua luonnollisten henkilöiden suojelun tasoa ei heikennetä.

Eräät näistä toimista on kuitenkin toteutettu vasta äskettäin, ja asiaankuuluvat prosessit ovat edelleen kesken. Mahdollista myöhempää edistymistä näissä prosesseissa on sen vuoksi seurattava tarkasti, erityisesti koska tämä vaikuttaa seikkoihin, jotka ovat tietosuojan riittävyyden jatkumisen kannalta keskeisiä. Tämä koskee erityisesti seuraavia seikkoja:

1.niiden mekanismien vaikuttavuus, jotka kauppaministeriö on ottanut käyttöön järjestelyn toisena toimintavuotena voidakseen proaktiivisesti seurata, noudattavako varmennetut yritykset Privacy Shield -järjestelyn periaatteita ja erityisesti sen aineellisia vaatimuksia ja velvoitteita;

2.niiden välineiden vaikuttavuus, jotka kauppaministeriö on ottanut käyttöön ensimmäisen vuosittaisen tarkastelun jälkeen havaitakseen totuudenvastaiset väitteet osallistumisesta järjestelyyn ja joissa keskitytään erityisesti sellaisten yritysten totuudenvastaisiin väitteisiin, jotka eivät ole koskaan edes hakeneet varmennusta;

3.liittovaltion kauppakomission viran puolesta hallinnollisia haasteita käyttäen Privacy Shield -järjestelyn toisena toimintavuotena tekemien tehotarkastusten edistyminen ja tulokset; tarkastuksilla pyritään havaitsemaan merkittävät järjestelyn sääntöihin kohdistuvat rikkomukset;

4.kauppaministeriön, liittovaltion kauppakomission ja EU:n tietosuojaviranomaisten yhteisesti kehittämät tarkemmat ohjeet, jotka koskevat lisäselvennyksiä edellyttäviä seikkoja (esim. henkilöstöhallinnon tiedot);

5.Privacy Shield -järjestelystä vastaavan pysyvän oikeusasiamiehen nimittäminen;

6.oikeusasiamiehen saamien valitusten käsittelyn ja ratkaisemisen tehokkuus.

Erityisesti komissio toistaa Yhdysvaltojen hallinnolle antamansa kehotuksen vahvistaa poliittista sitoutumista oikeusasiamiesmekanismiin nimittämällä mahdollisimman pian Privacy Shield -järjestelystä vastaava pysyvä oikeusasiamies. Oikeusasiamiesmekanismi on merkittävä osa Privacy Shield -järjestelyä. Vaikka väliaikainen oikeusasiamies hoitaa edelleen oikeusasiamiehen keskeisiä tehtäviä, pysyvän oikeusasiamiehen puuttuminen on erittäin epätyydyttävää, ja tilanne olisi korjattava mahdollisimman pian. Komissio odottaa, että Yhdysvaltojen hallitus nimittää pysyvän oikeusasiamiehen viimeistään 28. helmikuuta 2019 ja ilmoittaa komissiolle nimittämästään henkilöstä. Jos nimitys ei toteudu mainittuun päivään mennessä, komissio harkitsee asianmukaisia toimenpiteitä yleisen tietosuoja-asetuksen 6 mukaisesti. Lisäksi komissio odottaa saavansa tarkkoja ja yksityiskohtaisia tietoja kaikista edellä mainituista seikoista, jotta se voi arvioida toteutettujen toimenpiteiden käytännön vaikuttavuutta.

Komissio aikoo jatkossakin seurata tiiviisti käynnissä olevaa keskustelua Yhdysvaltojen liittovaltion yksityisyydensuojaa koskevasta lainsäädännöstä. Koska EU:n ja Yhdysvaltojen välillä siirretään huomattavan paljon tietoja, komissio kannustaa Yhdysvaltoja ottamaan käyttöön kattavan järjestelmän yksityisyyden ja tietojen suojaamiseksi ja liittymään Euroopan neuvoston yleissopimukseen nro 108. Vain tällaisen kattavan lähestymistavan avulla voidaan EU:n ja Yhdysvaltojen järjestelmiä lähentää toisiinsa pitkällä aikavälillä ja samalla vahvistaa Privacy Shield -järjestelyn perustaa.

(1)

Komission täytäntöönpanopäätös (EU) 2016/1250, annettu 12 päivänä heinäkuuta 2016, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY nojalla EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä (EUVL L 2017, 1.8.2016, s. 1).

(2)

Komission kertomus Euroopan parlamentille ja neuvostolle EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toiminnan ensimmäisestä vuosittaisesta tarkastelusta (COM(2017)611 final), ks. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(3)

Komission yksiköiden valmisteluasiakirja, joka liittyy komission kertomukseen Euroopan parlamentille ja neuvostolle EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toiminnan ensimmäisestä vuosittaisesta tarkastelusta (SWD(2017)344 final), ks. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(4)

Saatavilla osoitteessa https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf

(5)

Kertomus Yhdysvaltojen presidentille määräyksen nro 28 täytäntöönpanosta ”Report to the President on the Implementation of Presidential Policy Directive 28: Signals Intelligence Activities”, saatavilla osoitteessa https://www.pclob.gov/reports/report-PPD28/

(6)

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus).

Top