Maailmanlaajuisesti: Schrems II - Yksityisyyden suojan uudistamisen tarve uudelleenarvioinnissa

Senaatin kauppa-, tiede- ja liikennevaliokunta järjesti 09.12.2020^[1] kuulemistilaisuuden, jossa keskusteltiin kattavan liittovaltion yksityisyydensuojalainsäädännön tarpeesta Yhdysvalloissa sekä transatlanttisten tietovirtojen tulevaisuudesta Euroopan unionin tuomioistuimen 16. joulukuuta 2020 tekemän EU:n ja Yhdysvaltojen välisen yksityisyyden suojakilven mitätöinnin valossa.07.2020 (asia C-311/18, Schrems II).^[2] Keskusteluissa keskityttiin poliittisiin näkökohtiin, jotka saivat EUT:n päättelemään, että silloinen voimassa oleva kehys ei ollut tarjonnut EU:n lainsäädännössä vaadittuja vastaavia suojelunormeja. Lisäksi kuulemistilaisuudessa kuultiin asiantuntijalausuntoja käytännön toimista, joita olisi toteutettava tietojensiirtoa koskevan kehyksen seuraajan luomiseksi.

Kokouksessa korostettiin, että on kiireellisesti saatava nopeasti aikaan korvaava lainsäädäntö, joka mahdollistaisi transatlanttisen toiminnan jatkumisen. Yleisesti oltiin yhtä mieltä siitä, että tällainen kehitys olisi erityisen tärkeää pienille yrityksille, jotka muodostavat yli 70 prosenttia Privacy Shield -sertifioiduista yrityksistä.^[3 ] Kuulemistilaisuudessa ei ollut mukana eurooppalaisia asiantuntijoita eikä kansalaisyhteiskunnan edustajia, vaikka siinä tunnustettiinkin kansainvälisen yhteisymmärryksen tarve. Puhujina olivat kuitenkin Yhdysvaltain liittovaltion kauppakomission (FTC), Yhdysvaltain kauppaministeriön (DoC) ja ohjelmistoteollisuuden edustajat (Victoria Espinel) sekä Kochin arvostettu oikeustieteen professori Neil Richards ja Peter Swire, joka on Georgia Techin Scheller College of Business -yliopiston oikeuden ja etiikan professori ja Georgia Techin tietoturva- ja yksityisyydensuojainstituutin apulaisjohtaja.

Avauspuheenvuorossaan valiokunnan puheenjohtaja Roger Wicker ilmaisi tukensa "kestävälle ja kestävälle" transatlanttiselle tiedonsiirtopuitteelle ja piti sitä "korkeana mutta välttämättömänä tehtävänä". Hän viittasi erääseen arvioon, jonka mukaan "digitaalisesti mahdollistetun kaupan arvo oli 800-1 500 miljardia dollaria vuonna 2019 [ja sen ennustetaan] nostavan maailmanlaajuista BKT:tä yli 3 biljoonalla dollarilla" vuonna 2020, ja viittasi siihen merkittävään taloudelliseen hyötyyn, jota kansainvälinen kauppa tarjoaa sekä kotimaisille että kansainvälisille yrityksille. Huomautuksissaan Wicker totesi, että entinen Privacy Shield -järjestelmä loi oikeudellisen mekanismin, jonka "tarkoituksena oli varmistaa, että yli 5 000 pientä ja keskisuurta yritystä, jotka kattavat useita talouden aloja sekä Yhdysvalloissa että EU:ssa, voivat jatkaa transatlanttista digitaalista kaupankäyntiä ilman häiriöitä". Korostamalla joitakin Privacy Shield -järjestelmän keskeisiä vaatimuksia (esim. osallistuville organisaatioille asetetut ilmoitusvelvollisuudet, oikeusasiamiesten nimittäminen valitusten asianmukaista tutkimista varten jne.) hän piti Yhdysvaltojen nykyisiä oikeussuojakeinoja riittävinä ja sen valvontajärjestelmää vertailukelpoisena muiden EU:n jäsenvaltioiden vastaaviin. Tunnustamalla maanosien yhteiset demokraattiset arvot Wicker kuitenkin vahvisti sitoutumistaan sellaisten merkityksellisten kuluttajansuojanormien kehittämiseen, jotka "turvaavat vapaan tiedonkulun Atlantin yli ja kannustavat jatkamaan taloudellista ja strategista kumppanuutta" Euroopan kanssa.

Varajäsen Maria Cantwell korosti, että on tärkeää lisätä avoimuutta ulkomaantiedustelun valvontatuomioistuimen (Foreign Intelligence Surveillance Court, FISC) tekemien päätösten osalta. Koska Yhdysvaltojen ja Euroopan välisen digitaalisen kaupan arvo on yli 300 miljardia Yhdysvaltain dollaria vuodessa, hän kannatti päätöslauselmaa, joka ei ainoastaan edistäisi luottamusta ja lisäisi valvontayhteistyötä Yhdysvaltojen ja Euroopan välillä, vaan jossa myös pidättäydyttäisiin "kansallisesta protektionismista".

Ohjelmistoteollisuuden toimialajärjestön BSA:n pääjohtaja Victoria Espinel^[4] korosti huomautuksissaan, että on tärkeää säilyttää sekä turvallinen että luotettava tiedonsiirtorakenne, jotta molempien talouksien jatkuva kasvu voidaan ylläpitää ja varmistaa. Huolimatta siitä, että kuluttajille on kiireellisesti taattava tehokas yksityisyyden suoja, hän kannusti myös "kaikkia samanhenkisiä demokraattisia yhteiskuntia, jotka ovat kiinnostuneita sekä turvallisuudesta että kansalaisvapauksista, miettimään rohkeasti pidemmän aikavälin lähestymistapoja turvatoimiin" (s. 3) ja totesi, että "demokraattisessa yhteiskunnassa tarvitaan jonkin verran signaalitiedustelua turvallisuuden varmistamiseksi" (s. 10).

Kauppaministeriön kansainvälisen kaupan hallinnon palveluista vastaava apulaissihteeri James Sullivan^[5] selitti, että hän oli osallistunut useisiin monenvälisiin keskusteluihin EU:n virkamiesten kanssa, joissa keskityttiin Privacy Shieldin korvaamiseen. Hän katsoi, että EU:n tuomioistuimen päätös oli aiheuttanut "valtavaa epävarmuutta yhdysvaltalaisille yrityksille ja transatlanttiselle taloudelle" (s. 2), mikä oli pakottanut yritykset kolmen eri vaihtoehdon eteen: "(1) ottaa riski, että GDPR:n rikkomisesta voidaan määrätä valtavat sakot (jopa 4 prosenttia edellisen vuoden maailmanlaajuisesta kokonaisliikevaihdosta), (2) vetäytyä Euroopan markkinoilta tai (3) siirtyä heti toiseen kalliimpaan tiedonsiirtomekanismiin" (s. 6). Hän nosti esiin myös kysymyksen viranomaisten pääsystä tietoihin ja kannatti "laajempia keskusteluja samanmielisten demokratioiden kesken", jotta "kehitettäisiin yhteisiin käytänteisiin perustuvia periaatteita siitä, miten lainvalvonnan ja kansallisen turvallisuuden tietotarpeet voidaan parhaiten sovittaa yhteen yksilön oikeuksien suojelun kanssa" (s. 8). Hän katsoi, että tällainen tiedonsaantia koskeva vaatimus on kuitenkin erotettavissa epädemokraattisten yhteiskuntien vaatimuksesta, sillä niiden osallistuminen henkilötietojen keräämiseen on tarkoitettu "[kansalaisten] tarkkailuun, manipulointiin ja valvontaan ottamatta huomioon yksityisyyttä ja ihmisoikeuksia" (s. 8). Lopuksi hän korosti yhteisten periaatteiden merkitystä keskeisenä perustana "vapaan ja avoimen internetin säilyttämiselle ja edistämiselle, jonka mahdollistaa saumaton tiedonkulku" (s. 8).

Yhteentoimivuutta tulevan hallinnon ensisijaisena tavoitteena pitävä Federal Trade Commissionin (FTC) komissaari Noah Joshua Phillips^[6] kehotti samalla tavoin liberaaleja demokratioita yhdistymään, ei hajoamaan, etsiessään Schrems II -tuomion jälkeistä etenemistietä. Hän totesi, että on haitallista, että maat "arvioivat lähestymistapaansa digitaaliseen hallintoon [,] jakavat ja edistävät vapaan ja avoimen internetin etuja" ja vahvistavat siteitä yhteensopiviin tiedonhallintajärjestelmiin vetämällä rajanvetoja "liittolaisten, joilla on yhteiset arvot, ja niiden välillä, jotka tarjoavat jyrkästi erilaisen vision" (s. 9).

Swire^[7] ja Richards^[8 ] esittivät kaksi viimeistä puheenvuoroa, joissa käsiteltiin Schrems II -menettelyn aikana esitettyjä todisteita. Vaikka Swire katsoi, että Privacy Shieldin tarjoama suojan taso vastaa olennaisesti EU:ssa taattua tasoa, hän piti Yhdysvaltojen nykyisten valvontakäytäntöjen tarkistamista tarpeellisena. Hän ehdotti yksivuotista sopimusta, joka antaisi "uudelle hallinnolle mahdollisuuden sitoutua järjestelmällisesti [luomaan] kestäviä lähestymistapoja EU:n kanssa tehtäviä tietosuojasopimuksia varten" ja joka samalla tarjoaisi "hyödyllisen kannustimen kaikille osapuolille jatkaa intensiivistä työskentelyä pidemmän aikavälin ratkaisun löytämiseksi" (s. 10).

Richards sen sijaan ilmaisi kiireellisyyden tunteen, joka liittyy Yhdysvaltojen sitoutumiseen yksityisyyden suojaa ja valvontaa koskevan lainsäädännön uudistamiseen, josta hänen mukaansa oli tullut "epäluottamuksen luomus" (s. 18), joka johtui kattavan liittovaltion yksityisyyden suojaa koskevan lainsäädännön puuttumisesta ja Snowdenin paljastuksista, jotka paljastivat NSA:n valvontatoimet kesäkuussa 2013. Hän väitti, että Yhdysvallat voisi saavuttaa yksityisyyden suojan ja tietosuojan riittävyyden mielekkään oikeussuojakeinon avulla ja puuttumalla maan laajojen signaalitiedustelun keruujärjestelmien puutteisiin. Tässä yhteydessä hän ehdotti, että Schrems II -ratkaisu tarjoaa merkittävän tilaisuuden palauttaa johtoasema kuluttajansuojan alalla, mutta myös edetä kohti laajempaa kansainvälistä yhteistyötä ja taloudellista hyvinvointia: "tie eteenpäin on olemassa, mutta se edellyttää, että tunnustamme, että vahvat, selkeät ja luottamusta lisäävät säännöt eivät ole vihamielisiä liike-elämän etujen kannalta, että meidän on ohitettava epäonnistunut järjestelmä, jossa on kyse "ilmoituksesta ja valinnasta", että meidän on säilytettävä tehokkaat kuluttajan oikeussuojakeinot ja osavaltiotason sääntelyn innovatiivisuus ja harkittava vakavasti lojaalisuusvelvollisuutta" (s. 19).

Senaatin komitean kuulemistilaisuudessa todistajien esittämät keskeiset näkemykset kuvastavat kokouksen yleistä tukea kattavalle kuluttajien yksityisyyden suojaa koskevalle lainsäädännölle, joka asettaisi yrityksille lojaalisuusvelvoitteen niiden käsitellessä henkilötietoja ja antaisi yksityishenkilöille yksityisen kanneoikeuden. Huolimatta huomattavasta määrästä erilaisia ehdotuksia, jotka esitettiin tuona päivänä, kaikki puhujat tunnustivat yleisesti Privacy Shield -järjestelmän mitätöinnin vakavan vaikutuksen ja tarpeen korjata sen vaikutukset. Riittävyyspäätös voitaisiin kuitenkin tehdä menestyksekkäästi vain, jos tiedustelumenetelmiä tarkistettaisiin ja valvontauudistukseen todella sitouduttaisiin. Nämä pyrkimykset saattavat vaatia laajan yhteisymmärryksen saavuttamista muiden demokraattisten liittolaisten kanssa, joilla on vahvat yksityisyyden suojaa koskevat järjestelmät.

Näiden kysymysten käsitteleminen maailmanlaajuisesti on ratkaiseva lähtökohta, jotta voidaan päästä eroon epävarmuudesta, joka uhkaa häiritä transatlanttisia tietovirtoja, jotka ovat keskeisiä monien yhdysvaltalaisten teknologiayritysten toiminnalle. Se on kuitenkin myös erityisen tärkeää, jotta voidaan löytää mielekkäitä valvontauudistusvaihtoehtoja, joilla edistetään Schrems II -päätöksen noudattamista ja suojellaan tahattomasti kuluttajien oikeuksia maiden rajojen ulkopuolella.

Resurssit

1. Verkkolähetys ja kirjalliset transkriptiot saatavilla osoitteessa: https: //www.commerce.senate.gov/2020/12/the-invalidation-of-the-eu-us-privacy-shield-and-the-future-of-transatlantic-data-flows.
2. Saatavilla osoitteessa: http: //curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first∂=1&cid=5219638.
3. US Department of Commerce Department, Commerce Secretary Wilbur Ross Welcomes Privacy Shield Milestone-Privacy Shield Has Reached 5,000 Active Company Participants (11.9.2019), https://www.trade.gov/press-release/commerce-secretary-wilbur-ross-welcomes-privacyshield-milestone-privacy-shield-has; Congressional Research Service, U.S.-EU Privacy Shield (6.8.2020), https://fas.org/sgp/crs/row/IF11613.pdf.
4. Transkripti saatavilla osoitteessa: https: //www.commerce.senate.gov/services/files/3B067E7A-26FA-497A-9AC3-4DB37F140C8F.
5. Transcript available via: https: //www.commerce.senate.gov/services/files/8F72849E-3625-4687-B8F5-71AFF4640D1F.
6. Transcript available via: https: //www.commerce.senate.gov/services/files/34555EB9-4074-4A11-A4E9-A85EA3CAED56.
7. Transcript available via: https: //www.commerce.senate.gov/services/files/6E06A2A6-A9D9-4EFA-8390-0A288B7C1DCA.
8. Transcript available via: https: //www.commerce.senate.gov/services/files/021C9A15-B562-4818-9BDE-F103512D6ED3.

Tämän artikkelin sisältö on tarkoitettu yleiseksi oppaaksi aiheesta. Omiin erityisiin olosuhteisiin on pyydettävä asiantuntija-apua.