09.12.2020,¹ senaatin kauppa-, tiede- ja liikennevaliokunta järjesti kuulemistilaisuuden, jossa keskusteltiin kattavan liittovaltion yksityisyydensuojalainsäädännön tarpeesta Yhdysvalloissa sekä transatlanttisten tietovirtojen tulevaisuudesta Euroopan unionin tuomioistuimen 16.7.2020 (asia C-311/18, Schrems II) mitätöimän EU:n ja Yhdysvaltojen välisen yksityisyydensuojakilven valossa.² Keskusteluissa keskityttiin poliittisiin näkökohtiin, jotka saivat EU:n tuomioistuimen päättelemään, että tuolloin voimassa olleet puitteet eivät olleet tarjonneet EU:n lainsäädännössä vaadittua vastaavaa suojelun tasoa. Lisäksi kuulemistilaisuudessa kuultiin asiantuntijalausuntoja käytännön toimista, joita olisi toteutettava tietojensiirtoa koskevan kehyksen seuraajan luomiseksi.

Kokouksessa korostettiin, että on kiireellisesti saatava nopeasti aikaan uusi lainsäädäntö, joka mahdollistaisi transatlanttisten operaatioiden jatkamisen. Yleisesti oltiin yhtä mieltä siitä, että tällainen kehitys olisi erityisen tärkeää pienille yrityksille, jotka muodostavat yli 70% Privacy Shield -sertifioiduista yrityksistä.³ Kuulemistilaisuudessa ei ollut mukana eurooppalaisia asiantuntijoita eikä kansalaisyhteiskunnan edustajia, vaikka siinä tunnustettiinkin kansainvälisen yhteisymmärryksen tarve. Puhujina olivat kuitenkin Yhdysvaltain liittovaltion kauppakomission (FTC), Yhdysvaltain kauppaministeriön (DoC) ja ohjelmistoteollisuuden edustajat (Victoria Espinel) sekä Kochin arvostettu oikeustieteen professori Neil Richards ja Peter Swire, joka on Georgia Techin Scheller College of Business -yliopiston oikeuden ja etiikan professori ja Georgia Techin tietoturva- ja yksityisyydensuojainstituutin apulaisjohtaja.

Valiokunnan puheenjohtaja Roger Wicker ilmaisi avauspuheenvuorossaan tukevansa "kestävää ja pysyvää" transatlanttista tiedonsiirtopuitteistoa ja piti sitä "korkeana mutta välttämättömänä tehtävänä". Hän viittasi erääseen arvioon, jonka mukaan "digitaalisesti mahdollistetun kaupan arvo oli $800-$1 500 miljardia euroa maailmanlaajuisesti vuonna 2019 [ja sen ennustetaan] lisäävän maailmanlaajuista BKT:tä yli $3 triljoonalla vuonna 2020", ja viittasi siihen, että kansainvälinen kauppa tarjoaa merkittävää taloudellista hyötyä sekä kotimaisille että kansainvälisille yrityksille. Huomautuksissaan Wicker totesi, että entinen Privacy Shield -järjestelmä loi oikeudellisen mekanismin, jonka "tarkoituksena oli varmistaa, että yli 5 000 pientä ja keskisuurta yritystä, jotka kattavat useita talouden aloja sekä Yhdysvalloissa että EU:ssa, voivat jatkaa transatlanttista digitaalista kaupankäyntiä ilman häiriöitä". Hän korosti joitakin Privacy Shield -järjestelmän keskeisiä vaatimuksia (esimerkiksi osallistuville organisaatioille asetettuja ilmoitusvelvoitteita, oikeusasiamiesten nimittämistä valitusten asianmukaista tutkintaa varten jne.) ja piti Yhdysvaltojen nykyisiä oikeussuojakeinoja riittävinä ja sen valvontajärjestelmää vertailukelpoisena muiden EU:n jäsenvaltioiden vastaaviin. Tunnustamalla maanosien yhteiset demokraattiset arvot Wicker kuitenkin vahvisti sitoutumistaan sellaisten merkityksellisten kuluttajansuojanormien kehittämiseen, jotka "turvaavat vapaan tiedonkulun Atlantin yli ja kannustavat jatkamaan taloudellista ja strategista kumppanuutta" Euroopan kanssa.

Varajäsen Maria Cantwell korosti, että on tärkeää lisätä ulkomaantiedustelun valvontatuomioistuimen (Foreign Intelligence Surveillance Court, FISC) päätösten avoimuutta. Koska Yhdysvaltojen ja Euroopan välisen digitaalisen kaupan arvo on yli 300 miljardia Yhdysvaltain dollaria vuodessa, hän kannatti päätöslauselmaa, joka ei ainoastaan edistäisi luottamusta ja lisäisi valvontayhteistyötä näiden kahden tahon välillä vaan myös estäisi "kansallisen protektionismin" lisääntyvän harhauttamisen.

Huomautuksissaan Victoria Espinel,⁴ BSA:n toimitusjohtaja, korosti, että on tärkeää säilyttää turvallinen ja luotettava tiedonsiirtorakenne, jotta molempien talouksien kasvu voi jatkua ja varmistua. Huolimatta siitä, että kuluttajille on kiireellisesti taattava tehokas yksityisyyden suoja, hän kannusti myös "kaikkia samanhenkisiä demokraattisia yhteiskuntia, jotka ovat kiinnostuneita sekä turvallisuudesta että kansalaisvapauksista, miettimään rohkeasti pidemmän aikavälin lähestymistapoja turvatoimiin" (s. 3) ja totesi, että "demokraattisessa yhteiskunnassa tarvitaan jonkin verran signaalitiedustelua turvallisuuden varmistamiseksi" (s. 10).

James Sullivan, kauppaministeriön apulaiskauppa-asiamies kansainvälisen kaupan hallinnon palveluista,⁵ kertoi osallistuneensa useisiin monenvälisiin keskusteluihin EU:n virkamiesten kanssa, joissa keskityttiin Privacy Shieldin korvaamiseen. Hän katsoi, että EU:n tuomioistuimen päätös oli aiheuttanut "valtavaa epävarmuutta yhdysvaltalaisille yrityksille ja transatlanttiselle taloudelle" (s. 2), mikä oli pakottanut yritykset kolmen eri vaihtoehdon eteen: "(1) ottaa riski, että GDPR:n rikkomisesta voidaan määrätä valtavat sakot (jopa 4 prosenttia edellisen vuoden maailmanlaajuisesta kokonaisliikevaihdosta), (2) vetäytyä Euroopan markkinoilta tai (3) siirtyä heti toiseen kalliimpaan tiedonsiirtomekanismiin" (s. 6). Hän nosti esiin myös kysymyksen viranomaisten pääsystä tietoihin ja kannatti "laajempia keskusteluja samanmielisten demokratioiden kesken", jotta "kehitettäisiin yhteisiin käytänteisiin perustuvia periaatteita siitä, miten lainvalvonnan ja kansallisen turvallisuuden tietotarpeet voidaan parhaiten sovittaa yhteen yksilön oikeuksien suojelun kanssa" (s. 8). Hän katsoi, että tällainen tiedonsaantia koskeva vaatimus on kuitenkin erotettavissa epädemokraattisten yhteiskuntien vaatimuksesta, sillä niiden osallistuminen henkilötietojen keräämiseen on tarkoitettu "[kansalaisten] tarkkailuun, manipulointiin ja valvontaan ottamatta huomioon yksityisyyttä ja ihmisoikeuksia" (s. 8). Lopuksi hän korosti yhteisten periaatteiden merkitystä keskeisenä perustana "vapaan ja avoimen internetin säilyttämiselle ja edistämiselle, jonka mahdollistaa saumaton tiedonkulku" (s. 8).

Federal Trade Commissionin (FTC) komissaari Noah Joshua Phillips pitää yhteentoimivuutta tulevan hallinnon ensisijaisena tavoitteena,⁶ kehotti samalla tavoin liberaaleja demokratioita yhdistymään, ei hajoamaan, etsiessään tietä tulevaisuuteen, joka seuraa Schrems II tuomio. Hän väitti, että on haitallista, että valtiot ovat 'arvioida niiden lähestymistapaa digitaaliseen hallintoon [,] jakaa ja edistää vapaan ja avoimen internetin etuja" ja vahvistaa yhteyksiä yhteensopiviin tiedonhallintajärjestelmiin vetämällä rajan "sellaisten liittolaisten välille, joilla on yhteiset arvot, ja niiden välille, joilla on jyrkästi erilainen näkemys" (s. 9).

Kaksi viimeistä Swiren puheenvuoroa⁷ ja herra Richards,⁸ tarjosi akateemisen tilannekatsauksen todistusaineistosta, joka toimitettiin menettelyn aikana Schrems II menettelyt. Vaikka Swire katsoi, että Privacy Shieldin tarjoama suojan taso vastaa olennaisilta osin EU:ssa taattua tasoa, hän piti Yhdysvaltojen nykyisten valvontakäytäntöjen tarkistamista tarpeellisena. Hän ehdotti yksivuotista sopimusta, joka antaisi "uudelle hallinnolle mahdollisuuden sitoutua järjestelmällisesti [luomaan] kestäviä lähestymistapoja EU:n kanssa tehtäviä tietosuojasopimuksia varten" ja joka samalla tarjoaisi "hyödyllisen kannustimen kaikille osapuolille jatkaa intensiivistä työskentelyä pidemmän aikavälin ratkaisun löytämiseksi" (s. 10).

Richards sen sijaan ilmaisi kiireellisyyden tunteen, joka liittyy Yhdysvaltojen sitoutumiseen yksityisyyden suojaa ja valvontaa koskevan lainsäädännön uudistamiseen, josta hänen mukaansa oli tullut "epäluottamuksen luomus" (s. 18), joka johtui kattavan liittovaltion yksityisyyden suojaa koskevan lainsäädännön puuttumisesta ja Snowdenin paljastuksista, jotka paljastivat NSA:n valvontatoimet kesäkuussa 2013. Hän väitti, että Yhdysvallat voisi saavuttaa yksityisyyden suojan ja tietosuojan riittävyyden mielekkään oikeussuojakeinon avulla ja puuttumalla maan laajojen signaalitiedustelujärjestelmien puutteisiin. Tässä yhteydessä hän ehdotti, että Schrems II päätös on merkittävä tilaisuus saada takaisin johtava asema kuluttajansuojan alalla, mutta myös edetä kohti laajempaa kansainvälistä yhteistyötä ja taloudellista hyvinvointia.: 'tie eteenpäin on olemassa, mutta se edellyttää, että tunnustamme, että vahvat, selkeät ja luottamusta lisäävät säännöt eivät ole vihamielisiä yritysten etujen kannalta, että meidän on päästävä eroon epäonnistuneesta "ilmoitus ja valinta" -järjestelmästä, että meidän on säilytettävä tehokkaat kuluttajan oikeussuojakeinot ja osavaltiotason sääntelyinnovaatiot ja harkittava vakavasti lojaalisuusvelvollisuutta" (s. 19).

Senaatin valiokunnan kuulemistilaisuudessa todistajien esittämät keskeiset näkemykset kuvastavat kokouksen yleistä tukea kattavalle kuluttajien yksityisyyden suojaa koskevalle lainsäädännölle, joka asettaisi yrityksille lojaliteettivelvollisuuden henkilötietojen käsittelyssä ja antaisi yksityishenkilöille yksityisen kanneoikeuden. Huolimatta huomattavasta määrästä erilaisia ehdotuksia, jotka esitettiin tuona päivänä, kaikki puhujat tunnustivat yleisesti Privacy Shield -järjestelmän mitätöinnin vakavat vaikutukset ja tarpeen korjata sen vaikutukset. Riittävyyspäätös voitaisiin kuitenkin tehdä menestyksekkäästi vain, jos tiedustelumenetelmiä tarkistettaisiin ja valvontauudistukseen todella sitouduttaisiin. Nämä pyrkimykset saattavat vaatia laajan yhteisymmärryksen saavuttamista muiden demokraattisten liittolaisten kanssa, joilla on vahvat yksityisyyden suojaa koskevat järjestelmät.

Näiden kysymysten käsitteleminen maailmanlaajuisesti on ratkaiseva lähtökohta, jotta voidaan päästä eroon epävarmuudesta, joka uhkaa häiritä transatlanttisia tietovirtoja, jotka ovat välttämättömiä monien yhdysvaltalaisten teknologiayritysten toiminnalle. Se on kuitenkin myös erityisen tärkeää, jotta voidaan löytää mielekkäitä valvontauudistusvaihtoehtoja, joilla edistetään EU:n lainsäädännön noudattamista. Schrems II päätöksen ja tarjota tahattomasti mahdollisuutta suojella kuluttajien oikeuksia maan rajojen ulkopuolella.

Alaviitteet

1 Verkkolähetys ja kirjalliset jäljennökset saatavilla osoitteessa: https://www.commerce.senate.gov/2020/12/the-invalidation-of-the-eu-us-privacy-shield-and-the-future-of-transatlantic-data-flows.

2 Saatavilla: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first∂=1&cid=5219638.

3 US Department of Commerce Department, Commerce Secretary Wilbur Ross Welcomes Privacy Shield Milestone-Privacy Shield Has Reached 5,000 Active Company Participants (11. syyskuuta 2019), https://www.trade.gov/press-release/commerce-secretary-wilbur-ross-welcomes-privacyshield-milestone-privacy-shield-has ; Congressional Research Service, U.S.-EU Privacy Shield (6. elokuuta 2020), https://fas.org/sgp/crs/row/IF11613.pdf

4 Jäljennös saatavana: https://www.commerce.senate.gov/services/files/3B067E7A-26FA-497A-9AC3-4DB37F140C8F.

5 Jäljennös saatavilla seuraavasta osoitteesta: https://www.commerce.senate.gov/services/files/8F72849E-3625-4687-B8F5-71AFF4640D1F.

6 Jäljennös saatavilla osoitteessa: https://www.commerce.senate.gov/services/files/34555EB9-4074-4A11-A4E9-A85EA3CAED56.

7 Jäljennös saatavilla osoitteessa: https://www.commerce.senate.gov/services/files/6E06A2A6-A9D9-4EFA-8390-0A288B7C1DCA.

8 Jäljennös saatavilla osoitteessa: https://www.commerce.senate.gov/services/files/021C9A15-B562-4818-9BDE-F103512D6ED3.

Tämän artikkelin sisältö on tarkoitettu yleiseksi oppaaksi aiheesta. Omiin erityisiin olosuhteisiisi liittyvissä kysymyksissä olisi pyydettävä asiantuntija-apua.