Rekisteröidy
AfterDawn logo

Tietojen siirto EU:n ja USAn välillä muuttui laittomaksi - taas

Tietojen siirto EU:n ja USAn välillä muuttui laittomaksi - taas
Petteri Pyyny Petteri Pyyny

Euroopan Unionin kansalaisten henkilötietojen siirto Yhdysvaltain ja Euroopan Unionin välillä on ollut lainsäädännöllisesti äärimmäisen tulenarka aihe jo vuosien ajan.

Euroopan Unionin yksityisyyttä suojeleva lainsäädäntö eli GDPR (Yleinen tietosuoja-asetus) on maailman tiukin. Laki kieltää yksiselitteisesti eurooppalaisten kansalaisten henkilötietojen siirtämisen sellaisiin maihin, joissa laki ei mahdollista GDPR:n tasoista tietosuojaa.

Vastapuolella on sitten Yhdysvaltain lainsäädäntö, joka taas sallii turvallisuusviranomaisille käytännössä rajattomat oikeudet kaikkeen tietoon mitä säilytetään Yhdysvaltain maaperällä. Myös eurooppalaisten tietoihin.

Ongelmaksi tilanne on muodostunut nettijättien, kuten Metan ja Googlen osalta. Niillä on käytössään yksi valtava asiakasrekisteri, joka suorastaan tursuaa henkilökohtaisia tietoja ihmisistä. Ja yhtiöiden pitäisi pystyä tarjoamaan palveluitaan koko maailmassa - mutta samalla huolehtia siitä, että eurooppalaisten kuluttajien oikeuksia ei tallota, mutta toimia samalla myös Yhdysvaltain lainsäädännön puitteissa.


Aiemmin asiasta oli voimassa EU-US Privacy Shield nimellä tunnettu sopimus, jonka Euroopan Unioni ja Yhdysvallat olivat solmineet jo 2010-luvulla. Sopimus kuitenkin kaadettiin oikeudessa, historiallisessa oikeudenkäynnissä vuonna 2020.

Tämä Euroopan unionin tuomioistuimen antama päätös tunnetaan yleisesti Schrems II -päätöksenä. Nimi juontuu itävaltalaisesta yksityisyysaktivistista Max Schremsista, jonka ajama kyseinen oikeusjuttu oli - ja jonka hän voitti.

Päätöksen jälkeen Euroopan Unionin jäsenmaiden tietosuojaviranomaiset alkoivat tutkimaan tietojen siirron laillisuutta uudella otteella ja mm. Google Analyticsin käyttö todettiin laittomaksi useammassakin maassa, myös Suomessa.

Virkamiehet molemmilla puolilla valtamerta alkoivat kiirehtimään kasaan uutta sopimusta, koska teknologiafirmojen tarpeet tietojen vapaalle siirrettävyydelle olivat niin suuret.

Ja valmista tulikin, sillä kesällä 2023 hyväksyttiin sopimus Euroopan ja Yhdysvaltain tietosuojakehyksestä (Data Privacy Framework, DPF).

Mallissa Yhdysvallat sitoutuu varmistamaan ja valvomaan, että EU-kansalaisten tietoja Yhdysvaltoihin siirtävät yritykset huolehtivat siitä, että tiedot pysyvät GDPR:n vaatimassa turvassa. Sopimus määrittelee taatun tason "riittäväksi turvaksi" ja "riittävällä turvalla" tarkoitetaan saman tason suojaa, mitä henkilötiedot nauttivat EU:ssakin.

Päätöksen jälkeen tiedot alkoivat taas liikkumaan mannerten välillä ja uusia oikeusjuttuja tietojen siirrosta yksittäisiä tahoja vastaan ei enää nostettu. Kansalaisjärjestöjen mielestä sopimus oli kuitenkin surkea, eikä oikeasti taannut sitä, etteivätkö Yhdysvaltain viranomaiset pääsisi EU-kansalaisten tietoihin käsiksi.


Uusi DPF-sopimus haastettiinkin oikeuteen jo syksyllä 2023. Tärkein oikeusjutun argumentti oli se, että Yhdysvallat ei sitoutunut sopimukseen lainsäädännöllä, vaan presidentin asetuksella, jonka Joe Biden antoi vuonna 2023. Oikeusjuttu ei kuitenkaan edennyt, sillä EU:n tuomioistuimet eivät ottaneet juttua käsittelyynsä.

Yksi merkittävä tekijä DPF-sopimuksessa oli se, että Yhdysvallat perusti pelkästään tälle sopimukselle omistetun oikeusistuimen, Data Protection Review Courtin. Kyseisen oikeusistuimen tarkoitus oli käsitellä vain ja ainoastaan EU-kansalaisten muutoksenhakupyyntöjä ja tietojen poistopyyntöjä omiin, Yhdysvaltoihin siirrettyihin tietoihinsa liittyen.

Kyseistä oikeusistuinta valvoo puolestaan Yhdysvaltain yksityisyyslakeja valvova Privacy and Civil Liberties Oversight Board (PCLOB)

Mutta ei valvo enää.

Yhdysvaltain uusi hallinto on irtisanonut kolme valvontaelimen demokraattijäsentä, eikä ole myöskään nimittänyt tilalle uusia jäseniä. Käytännössä valvoja ei pysty enää toimimaan lainkaan, sillä valvontatehtävät vaativat sen, että organisaatiolla on toimiva johto. Lainsäädännön mukaan PCLOB ei pysty aloittamaan uusia tutkintoja yksityisyysloukkauksista ilman, että sillä on johto, joka aloittaa uudet tutkinnat.

PCLOB:n toiminnasta vastaava laki vaatii, että sen hallinnossa on edustajia molemmista valtapuolueista, eli Trumpin hallinto ei voi nimittää irtisanottujen tilalle pelkkiä republikaanipuolueen jäseniä.

Irtisanomisten myötä myöskään Euroopan Unionin ja Yhdysvaltain välistä henkilötiedon valvontaa ei voida enää tehdä, joten EU:n ja Yhdysvaltain välinen sopimus (DPF) on käytännössä olemassa nyt vain paperilla.

Tietojen siirron arvon Yhdysvaltain ja EU:n välillä on laskettu olevan noin tuhannen miljardin dollarin arvoinen bisnes, joka hyödyttää sekä Yhdysvaltoja että EU:ta.


Nyt muutokseen on herätty myös Euroopassa ja Euroopan parlamentin kansalaisoikeuksien komitean puheenjohtaja on nostanut asiasta virallisen kysymyksen Euroopan komissiolle.

Pessimististen arvioiden mukaan eurooppalaisten yritysten pitää luopua pikapuoliin kaikesta toiminnasta, jossa EU-kansalaisten tietoja siirretään Yhdysvaltoihin. Muutos tarkoittaisi mm. pilvipalveluista luopumista - ainakin sellaisista, jotka eivät pysty takaamaan, että tiedot pysyvät vain ja ainoastaan EU:n sisällä.

KOMMENTOI

Haluatko kommentoida tätä artikkelia?
Kirjaudu sisään tai Luo uusi käyttäjätunnus.

Seuraa! Kirjekuoren symboli
Uutiskirje
 Threadsin logo
Threads
 Blueskyn logo
Bluesky
 Mastodonin logo
Mastodon
Sulje palkki