|
15.7.2016 |
FI |
Euroopan unionin virallinen lehti |
C 257/8 |
Tiivistelmä Euroopan tietosuojavaltuutetun lausunnosta, joka koskee päätösluonnosta EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tietosuojan tason riittävyydestä
(Koko lausunto on luettavissa englanniksi, ranskaksi ja saksaksi Euroopan tietosuojavaltuutetun verkkosivuilla www.edps.europa.eu)
(2016/C 257/05)
|
Tietovirrat ovat maailmanlaajuisia. Perussopimukset ja Euroopan unionin perusoikeuskirja, joilla suojellaan kaikkia yksilöitä EU:ssa, ovat EU:ta sitovia. EU:n on toteutettava kaikki tarpeelliset toimenpiteet sen varmistamiseksi, että oikeutta yksityisyyteen ja henkilötietojen suojaan kunnioitetaan kaikissa käsittelytoimissa siirrot mukaan lukien. Vuonna 2013 tapahtuneiden tarkkailutoimien paljastusten jälkeen EU ja sen strateginen kumppani Yhdysvallat ovat pyrkineet määrittelemään oman varmennuksen järjestelmään perustuvat uudet vaatimukset, jotka koskevat EU:sta Yhdysvaltoihin kaupallisiin tarkoituksiin suoritettavaa henkilötietojen siirtoa. Maailmanlaajuisten, välittömien ja ennakoimattomien tietovirtojen aikakaudella myös Euroopan tietosuojavaltuutettu tunnustaa EU:n kansallisten tietosuojaviranomaisten tavoin, että on tärkeää laatia kestävää lainsäädäntöä, jolla säännellään maailman suurimman kauppakumppanuuden puitteissa eli EU:n ja Yhdysvaltojen välillä tehtäviä kaupallisia tiedonsiirtoja. Lainsäädännössä on kuitenkin otettava kaikilta osin huomioon yhteiset demokraattiset ja yksilön oikeuksiin perustuvat arvot, jotka EU:n osalta esitetään Lissabonin sopimuksessa ja perusoikeuskirjassa ja Yhdysvaltojen osalta Yhdysvaltojen perustuslaissa. Privacy Shield -järjestelyn luonnos voi olla askel oikeaan suuntaan, mutta se ei Euroopan tietosuojeluvaltuutetun mielestä nykyisessä muodossaan sisällä kaikkia asianmukaisia suojatoimia, joilla voitaisiin suojella EU:ssa vahvistettua yksilöiden oikeutta yksityisyyteen ja henkilötietojen suojaan myös oikeussuojakeinojen osalta. Jos Euroopan komissio aikoo hyväksyä riittävyyttä koskevan päätöksen, siihen on vielä tehtävä huomattavia parannuksia. EU:n olisi erityisesti saatava tarpeellisuuteen ja oikeasuhteisuuteen liittyviä lisävakuuksia sen sijaan, että se oikeuttaisi siirrettyjen tietojen saattamisen järjestelmällisesti Yhdysvaltojen viranomaisten saataville sellaisin perustein, joiden oikeusperusta on vastaanottajamaan lainsäädännön mukainen mutta sitä ei ole vahvistettu EU:n perussopimuksessa, EU:n säännöissä eikä jäsenvaltioille yhteisessä valtiosääntöperinteessä. Äärimmäisen yhdistettävyyden ja hajautettujen verkkojen aikakaudella yksityisten organisaatioiden toteuttamalla itsesääntelyllä ja virkamiesten lausunnoilla ja sitoumuksilla voi olla lyhyellä aikavälillä tärkeä rooli, mutta pidemmällä aikavälillä ne eivät riitä turvaamaan yksilöiden oikeuksia ja etuja eivätkä täyttämään kaikilta osin sellaisen globaalin digitaalisen maailman tarpeita, jossa monilla mailla on jo tietosuojasäännöt. Pitkän aikavälin ratkaisu olisi sen vuoksi toivottava transatlanttisessa vuoropuhelussa. Liittovaltion sitovassa lainsäädännössä voitaisiin säätää ainakin siitä, että oikeuksien pääperiaatteet on määriteltävä selkeästi ja ytimekkäästi, kuten muissa EU:n ulkopuolisissa maissa, joiden osalta on ”tarkasti arvioitu”, että ne varmistavat suojan riittävän tason. Euroopan unionin tuomioistuin totesi asiassa Schrems antamassaan tuomiossa, että tällä tarkoitetaan suojan sellaista tasoa, joka ”pääosiltaan vastaa” EU:n lainsäädännön mukaan sovellettavia vaatimuksia, ja 29 artiklan mukaisen tietosuojatyöryhmän mukaan sillä tarkoitetaan tasoa, joka sisältää tietosuojan perusperiaatteiden olennaisen sisällön. Tietosuojavaltuutettu panee tyytyväisenä merkille, että Yhdysvaltojen viranomaiset ovat lisänneet avoimuutta asiassa, joka koskee Privacy Shield -periaatteisiin lainvalvonnan, kansallisen turvallisuuden ja yleisen edun perusteella sallitun poikkeuksen käyttöä. Tietoihin pääsy kansalliseen turvallisuuteen liittyvistä syistä katsottiin vuoden 2000 safe harbour -päätöksessä virallisesti poikkeukseksi. Poikkeuksesta on sen jälkeen saattanut tulla sääntö, mikä käy ilmi huomiosta, jota Privacy Shield -järjestelyä koskevassa päätösluonnoksessa kohdistetaan lainvalvontaviranomaisten ja tiedustelupalvelujen pääsyyn kaupallisiin tarkoituksiin siirrettyihin henkilötietoihin sekä henkilötietojen suodattamiseen ja analysointiin mainittujen tahojen toimesta. Euroopan tietosuojavaltuutettu toteaa päätösluonnoksesta ja sen liitteistä erityisesti, että signaalitiedustelun laajuus ja sellaisen EU:sta siirrettävän tiedon määrä, jota mahdollisesti kerätään ja käytetään siirtämisen jälkeen ja etenkin siirron aikana, voi edelleen olla suuri huolimatta viimeaikaisista suuntauksista, joiden mukaan yleisestä kohdentamattomasta tarkkailusta siirrytään kohdennetumpiin ja valikoidumpiin toimintamalleihin. Tämä kysymys on vielä ratkaistava. Vaikka nämä käytännöt voivat koskea myös muissa maissa toteutettavaa tiedustelua ja vaikka suhtaudumme myönteisesti Yhdysvaltojen viranomaisten avoimuuteen tässä uudessa tilanteessa, nykyinen päätösluonnos voidaan tulkita siten, että se oikeuttaa tämän rutiinin. Kehotamme sen vuoksi Euroopan komissiota antamaan vahvemman viestin. Kun otetaan huomioon EU:lle Lissabonin sopimuksessa asetetut velvoitteet, viranomaisten pääsy kaupallisiin tarkoituksiin siirrettäviin tietoihin ja näiden tietojen käyttö viranomaisten toimesta, myös siirron aikana, olisi sallittava vain poikkeustapauksissa ja jos se on välttämätöntä selkeästi määriteltyjä yleiseen etuun liittyviä tarkoituksia varten. Kaupallisiin tarkoituksiin tehtäviä siirtoja koskevien säännösten osalta ei pitäisi odottaa, että rekisterinpitäjät muuttavat jatkuvasti vaatimustenmukaisuuden malleja. Päätösluonnos perustuu kuitenkin EU:n nykyiseen säädöskehykseen, joka korvataan asetuksella (EU) 2016/679 (yleinen tietosuoja-asetus) toukokuussa 2018 eli vajaan vuoden kuluttua siitä, kun rekisterinpitäjät ovat panneet Privacy Shield -järjestelmän täytäntöön kaikilta osin. Yleisellä tietosuoja-asetuksella luodaan ja vahvistetaan rekisterinpitäjiä koskevia velvoitteita, jotka ovat tiukempia kuin Privacy Shield -järjestelmässä kehitetyt yhdeksän periaatetta. Riippumatta luonnokseen tehtävistä lopullisista muutoksista Euroopan tietosuojavaltuutettu suosittelee, että Euroopan komissio arvioisi kokonaisvaltaisesti tulevia näkymiä ensimmäisen kertomuksensa jälkeen, jotta se voi ajoissa määritellä asianmukaiset toimet sellaisia pitkän aikavälin ratkaisuja varten, joilla tarvittaessa korvataan Privacy Shield -järjestelmä vankemmalla ja vakaamalla lainsäädännöllä transatlanttisten suhteiden edistämiseksi. Euroopan tietosuojavaltuutettu antaa sen vuoksi Privacy Shield -järjestelmää koskevia erityissuosituksia. |
I. Johdanto
Euroopan unionin tuomioistuin julisti 6. lokakuuta 2015 (1) safe harbour -periaatteiden riittävyyttä koskevan päätöksen (2) mitättömäksi. Euroopan komissio saavutti 2. helmikuuta 2016 Yhdysvaltojen kanssa poliittisen yhteisymmärryksen henkilötietojen siirtoja koskevasta uudesta kehyksestä eli EU:n ja Yhdysvaltojen välisestä Privacy Shield -järjestelystä (jäljempänä: Privacy Shield -järjestely). Euroopan komissio julkisti 29. helmikuuta edellä mainitun uuden kehyksen riittävyyttä koskevan päätösluonnoksen (jäljempänä: päätösluonnos) (3) ja sen seitsemän liitettä, jotka käsittävät Privacy Shield -periaatteet sekä Yhdysvaltojen virkamiesten ja viranomaisten kirjalliset ilmoitukset ja sitoumukset. Euroopan tietosuojavaltuutettu vastaanotti päätösluonnoksen kuulemistarkoituksessa tämän vuoden 18. maaliskuuta.
Euroopan tietosuojavaltuutettu on tuonut esille kantansa EU:n ja Yhdysvaltojen välisiin henkilötietojen siirtoihin useissa tapauksissa (4) ja osallistunut päätösluonnosta koskevan 29 artiklan mukaisen tietosuojatyöryhmän (jäljempänä: tietosuojatyöryhmä) lausunnon laatimiseen ryhmän yhtenä jäsenenä (5). Tietosuojatyöryhmä on tuonut julki vakavia huolenaiheita ja pyytänyt Euroopan komissiota etsimään ratkaisuja niihin. Tietosuojatyöryhmän jäsenet odottavat, että kaikki lausunnossa vaaditut selvitykset annetaan (6). Maaliskuun 16 päivänä 27 voittoa tavoittelematonta järjestöä esitti päätösluonnosta koskevaa kritiikkiä EU:n ja Yhdysvaltojen viranomaisille osoitetussa kirjeessä (7). Euroopan parlamentti antoi 26. toukokuuta transatlanttisia tietovirtoja koskevan päätöslauselman (8), jossa kehotetaan komissiota neuvottelemaan Yhdysvaltojen hallinnon kanssa Privacy Shield -järjestelyyn tehtävistä lisäparannuksista, joissa on otettu huomioon sen nykyiset puutteet (9).
Euroopan tietosuojavaltuutettu on asetuksen (EY) N:o 45/2001 nojalla riippumaton neuvonantaja EU:n lainsäätäjille. Sen vuoksi tietosuojavaltuutettu antaa nyt suosituksia prosessiin osallistuville osapuolille ja erityisesti komissiolle. Neuvojen on tarkoitus olla sekä periaatteellisia että käytännöllisiä. Niillä on määrä auttaa EU:ta ennakoivasti saavuttamaan tavoitteensa riittävien toimenpiteiden avulla. Niillä täydennetään ja korostetaan joitakin, mutta ei kaikkia tietosuojatyöryhmän lausunnossa olevia suosituksia.
Päätösluonnoksessa on eräitä parannuksia verrattuna safe harbour -päätökseen. Niitä on tehty erityisesti kaupallisiin tarkoituksiin siirretyn tiedon käsittelyä koskeviin periaatteisiin. Mitä tulee viranomaisten pääsyyn Privacy Shield -järjestelyn mukaisesti siirrettyyn tietoon, Euroopan tietosuojavaltuutettu suhtautuu myönteisesti myös siihen, että oikeusministeriö, ulkoasiainministeriö ja kansallisen tiedusteluviraston johtaja osallistuvat ensimmäistä kertaa neuvotteluihin. Saavutettu edistys verrattuna aiempaan safe harbour -päätökseen ei sinänsä kuitenkaan ole riittävä. Oikea vertailukohta ei ole aiemmin mitättömäksi julistettu päätös, koska riittävyyttä koskevan päätöksen perustana on oltava EU:n nykyinen lainsäädäntö (erityisesti itse direktiivi, Euroopan unionin toiminnasta tehdyn sopimuksen 16 artikla sekä Euroopan unionin tuomioistuimen tulkinnan mukainen Euroopan unionin perusoikeuskirjan 7 ja 8 artikla). EU:n yleisen tietosuoja-asetuksen (10) 45 artiklassa säädetään uusia vaatimuksia riittävyyttä koskevan päätöksen perusteella toteutettaville tiedon siirroille.
Euroopan unionin tuomioistuin vahvisti viime vuonna, että riittävyyden arvioinnin kynnys on ”pääosiltaan vastaaminen” ja vaati tämän tiukan määräyksen noudattamisen tarkkaa arviointia (11). Riittävyys ei edellytä sellaisen lainsäädännön hyväksymistä, joka vastaisi täysin EU:n lainsäädäntöä, mutta Privacy Shield -järjestelyn ja Yhdysvaltojen oikeusjärjestyksen olisi katettava EU:n tietosuojaa koskevan säädöskehyksen kaikki keskeiset osatekijät. Tämä edellyttää sekä oikeusjärjestyksen yleistä arviointia että EU:n tietosuojaa koskevan säädöskehyksen tärkeimpien osatekijöiden tutkimista (12). Euroopan tietosuojavaltuutettu olettaa, että arviointi olisi suoritettava yleisellä tasolla ottamalla kuitenkin huomioon näiden osatekijöiden perusolemus. Perussopimuksen ja perussoikeuskirjan vuoksi on lisäksi otettava huomioon erityiset osatekijät, kuten riippumaton valvonta ja oikeussuojakeinot.
Euroopan tietosuojavaltuutettu on tässä yhteydessä tietoinen siitä, että monet organisaatiot Atlantin kummallakin puolella odottavat tämän riittävyyttä koskevan päätöksen tuloksia. Euroopan unionin tuomioistuimen tekemän uuden mitättömäksi julistamisen oikeusvarmuuteen liittyvät rekisteröityihin kohdistuvat vaikutukset ja erityisesti pk-yrityksille aiheutuvat rasitukset voivat kuitenkin olla mittavat. Jos päätösluonnos hyväksytään ja jos Euroopan unionin tuomioistuin sen jälkeen mitätöi sen, uudesta riittävyyttä koskevasta järjestelystä olisi neuvoteltava yleisen tietosuoja-asetuksen mukaisesti. Euroopan tietosuojavaltuutettu suosittelee sen vuoksi kaukokatseista lähestymistapaa, kun otetaan huomioon, että yleisen tietosuoja-asetuksen täysimääräinen soveltaminen aloitetaan jo kahden vuoden kuluttua.
Päätösluonnoksella on keskeinen merkitys EU:n ja Yhdysvaltojen välisille suhteille, kun niihin vaikuttavat myös parhaillaan käytävät kauppa- ja investointineuvottelut. Lisäksi monet tässä lausunnossa tarkasteltavat osatekijät koskevat sekä Privacy Shield -järjestelyä että muita siirtovälineitä, joita ovat muun muassa yrityksiä koskevat sitovat säännöt ja vakiomuotoiset sopimuslausekkeet. Lausunto on myös globaalisti tärkeä, koska monet kolmannet maat seuraavat sitä tiiviisti ottaen huomioon, että EU:n tietosuojaa koskeva uusi säädöskehys on hyväksyttävänä.
Euroopan tietosuojavaltuutettu toivoisi sen vuoksi yleistä ratkaisua EU:n ja Yhdysvaltojen välisiin siirtoihin edellyttäen, että se on kokonaisvaltainen ja riittävän vahva. Tämä edellyttää perusteellisia parannuksia, joilla varmistetaan EU:n perusoikeuksien ja -vapauksien kestävä kunnioittaminen pitkällä aikavälillä. Jos päätösluonnos hyväksytään, päätöstä on tarkasteltava ajoissa uudelleen Euroopan komission tekemän ensimmäisen arvioinnin jälkeen, jotta voidaan määritellä asianmukaiset toimet sellaisia pitkän aikavälin ratkaisuja varten, joilla korvataan Privacy Shield -järjestelmä vankemmilla ja vakaamalla lainsäädännöllä transatlanttisten suhteiden edistämiseksi.
Euroopan tietosuojavaltuutettu toteaa päätösluonnoksesta ja sen liitteistä myös, että signaalitiedustelun laajuus ja sellaisen EU:sta siirrettävän tiedon määrä, jota mahdollisesti kerätään ja käytetään siirtämisen jälkeen ja etenkin siirron aikana, tulee todennäköisesti edelleen olemaan suuri huolimatta viimeaikaisista suuntauksista, joiden mukaan yleisestä kohdentamattomasta tarkkailusta siirrytään kohdennetumpiin ja valikoidumpiin toimintamalleihin. Tämä kysymys on vielä ratkaistava.
Vaikka nämä käytännöt voivat koskea myös muissa maissa toteutettavaa tiedustelua ja vaikka suhtaudumme myönteisesti Yhdysvaltojen viranomaisten avoimuuteen tässä uudessa tilanteessa, nykyinen päätösluonnos voidaan tulkita siten, että se oikeuttaa tämän rutiinin. Tämä asia edellyttää perinpohjaista julkista demokraattista tarkastelua. Kehotamme sen vuoksi Euroopan komissiota antamaan vahvemman viestin. Kun otetaan huomioon EU:lle Lissabonin sopimuksessa asetetut velvoitteet, viranomaisten pääsy kaupallisiin tarkoituksiin siirrettäviin tietoihin ja näiden tietojen käyttö viranomaisten toimesta, myös siirron aikana, olisi sallittava vain poikkeustapauksessa ja jos se on välttämätöntä selkeästi määriteltyjä yleiseen etuun liittyviä tarkoituksia varten.
Euroopan tietosuojavaltuutettu toteaa lisäksi, että olennaisia ehtoja, jotka koskevat yksittäisten ihmisten yksityiselämää EU:ssa, laaditaan tärkeitä yksityiskohtia myöten ilmeisesti vain Yhdysvaltojen viranomaisten sisäisiä asiakirjoja varten (esimerkiksi transatlanttisten kaapelien välityksellä toteutettavaa signaalitiedustelutoimintaa koskevissa lausunnoissa) (13). Euroopan tietosuojavaltuutettu ei kyseenalaista näiden lausuntojen arvostettujen laatijoiden auktoriteettia ja tietää toisaalta, että kun ehdot on julkaistu Euroopan unionin virallisessa lehdessä ja Yhdysvaltain virallisessa lehdessä, ne katsotaan niin sanotuiksi kirjallisiksi vakuutuksiksi, joiden perusteella EU:n arviointi tehdään. Siitä huolimatta tietosuojavaltuutettu toteaa yleisesti, että eräiden lausuntojen olisi oltava oikeudellisesti ylemmällä tasolla tärkeän merkityksensä vuoksi.
Lainsäädännön muuttamisen ja kansainvälisten sopimusten (14) ohella voitaisiin kartoittaa muita käytännön ratkaisuja. Euroopan tietosuojavaltuutetun lausunnon tavoitteena on antaa tältä osin käytännön neuvoja.
IV. Päätelmät
Euroopan tietosuojavaltuutettu suhtautuu myönteisesti osapuolten pyrkimyksiin ratkaisun löytämiseksi EU:sta Yhdysvaltoihin kaupallisiin tarkoituksiin oman varmennuksen järjestelmän mukaisesti tehtäville henkilötietojen siirroille. Vahvojen ja pitkällä aikavälillä vakaiden puitteiden luomiseksi tarvitaan kuitenkin perusteellisia parannuksia.
Tehty Brysselissä 30. toukokuuta 2016.
Giovanni BUTTARELLI
Euroopan tietosuojavaltuutettu
(1) Asia C-362/14, Maximillian Schrems v. Data Protection Commissioner, tuomio 6. lokakuuta 2015 (jäljempänä: asia Schrems).
(2) Komission päätös 2000/520/EY, tehty 26 päivänä heinäkuuta 2000, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti yksityisyyden suojaa koskevien safe harbour -periaatteiden antaman suojan riittävyydestä ja niihin liittyvistä Yhdysvaltojen kauppaministeriön julkaisemista useimmin esitetyistä kysymyksistä (tiedoksiannettu numerolla K(2000) 2441), (EYVL L 215, 25.8.2000, s. 7).
(3) Komission täytäntöönpanopäätös, annettu XXX, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn antaman suojan riittävyydestä. Se on saatavilla osoitteessa http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf
(4) Ks. Euroopan tietosuojavaltuutetun lausunto komission tiedonannosta Euroopan parlamentille ja neuvostolle ”Luottamuksen palauttaminen EU:n ja Yhdysvaltojen väliseen tietojen siirtoon” ja komission tiedonannosta Euroopan parlamentille ja neuvostolle ”Safe harbour -järjestelmän toiminta EU:n kansalaisten ja EU:hun sijoittautuneiden yritysten näkökulmasta”, annettu 20. helmikuuta 2014, sekä Euroopan tietosuojavaltuutetun lausuma asiassa Schrems pidetyssä Euroopan unionin tuomioistuimen istunnossa, joka on saatavilla osoitteessa https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Court/2015/15-03-24_EDPS_Pleading_Schrems_vs_Data_Commissioner_EN.pdf
(5) 29 artiklan mukaisen tietosuojaryhmän lausunto 1/2016 EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tietosuojan tason riittävyydestä (WP 238). Se on saatavilla osoitteessa http://ec.europa.eu/jus.tice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
(6) Ks. myös Yhdistyneen kuningaskunnan tietosuojavaltuutettu Christopher Grahamin IAPP Europe Data Protection Intensive 2016 -konferenssissa Lontoossa pitämä pääpuhujan puhe. Puhe on saatavilla (videolla) osoitteessa https://iapp.org/news/video/iapp-europe-data-protection-intensive-2016-christopher-graham-keynote/
(7) Kirje 29 artiklan mukaiselle tietosuojatyöryhmälle ja muille instituutioille. Kirjeen ovat allekirjoittaneet Access Now ja 26 muuta kansalaisjärjestöä.
(8) Euroopan parlamentin päätöslauselma, annettu 26 päivänä toukokuuta 2016, transatlanttisista tietovirroista (2016/2727(RSP)).
(9) Edellinen alaviite, 14 kappale.
(10) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).
(11) Asiassa Schrems annettu tuomio, 71, 73, 74 ja 96 kappale.
(12) Tätä toimintamallia harkittiin jo yhdessä varhaisimmista tiedonsiirtoa koskeneista tietosuojatyöryhmän asiakirjoista (WP 12 – valmisteluasiakirja henkilötietojen siirrosta EU:n ulkopuolisiin maihin: EU:n tietosuojadirektiivin 25 ja 26 artiklan soveltaminen”, 24. heinäkuuta 1998).
(13) Ks. esimerkiksi liitteessä VI olevan 1 kohdan a alakohdassa olevat selvitykset, joiden mukaan asiakirjaa PPD-28 sovellettaisiin Yhdysvaltojen tiedusteluyhteisön transatlanttisten kaapelien välityksellä keräämän tietoon.
(14) Euroopan unionin tuomioistuimessa asiassa Schrems pidetyssä istunnossa Euroopan tietosuojavaltuutettu totesi, että ”ainoa tehokas ratkaisu on sellaisen kansainvälisen sopimuksen neuvotteleminen, jossa määrätään riittävästä suojasta kohdentamattomalta tarkkailulta sekä valvontaa, avoimuutta, oikeussuojakeinoja ja tietosuojaoikeuksia koskevista velvoitteista” tietosuojavaltuutetun lausuma 24. maaliskuuta 2015 asiassa C-362/14 (Schrems v Data Protection Commissioner) pidetyssä Euroopan unionin tuomioistuimen istunnossa.