--->
Rekisteröidy
AfterDawn logo

Oikeus päätti: EU-kansalaisten dataa saa siirtää Yhdysvaltoihin

Oikeus päätti: EU-kansalaisten dataa saa siirtää Yhdysvaltoihin
Petteri Pyyny Petteri Pyyny

Vuosia kestänyt kiista Euroopan Unionin kansalaisten tietojen siirron laillisuudesta Yhdysvaltoihin on ratkennut. Ainakin toistaiseksi.

Aiheesta on käyty oikeutta vuosien ajan ja jo solmittuja sopimuksia on kaatunut oikeuden päätöksissä. EU-kansalaisten tietojen siirto valtameren yli on ollut yksityisyyttä puolustavien tahojen hampaissa ympäri Eurooppaa.

Syykin tähän on selvä.

Euroopan Unionin yksityisyyttä suojeleva lainsäädäntö eli GDPR (Yleinen tietosuoja-asetus) on maailman tiukin. Laki kieltää yksiselitteisesti eurooppalaisten kansalaisten henkilötietojen siirtämisen sellaisiin maihin, joissa laki ei mahdollista GDPR:n tasoista tietosuojaa.

Vastapuolella on sitten Yhdysvaltain lainsäädäntö, joka taas sallii turvallisuusviranomaisille käytännössä rajattomat oikeudet kaikkeen tietoon mitä säilytetään Yhdysvaltain maaperällä. Myös eurooppalaisten tietoihin.

Mutta dataa pitäisi siirtää.

Esimerkkinä tietojen siirrosta käy mikä tahansa yritys, jolla on liiketoimintaa valtameren molemmin puolin, mutta pääkonttori Yhdysvalloissa. Yrityksen omien työntekijöiden palkkatiedotkin muodostavat henkilörekisterin, joiden käsittely keskitetysti vaatisi eurooppalaisten työntekijöiden tietojen siirron Yhdysvaltoihin.


Laajemmin tietojen siirtoon selkeyttä kaipaavat tietysti teknologiajätit, kuten Meta ja Google. Niillä on satoja miljoonia rekisteröityneitä käyttäjiä niin Euroopassa kuin Yhdysvalloissakin. Tätä asiakkaiden tietokantaa on vaikea hajauttaa niin, että eurooppalaisten asiakkaiden tiedot säilöttäisiin jotenkin erillään kaikista muista asiakkaista. Esimerkiksi käyttäjien välinen vuorovaikutus vaikkapa Facebookissa kytkee väistämättä toisiinsa eri maista kotoisin olevia käyttäjiä.

Tietojen siirtoon oli pitkään voimassa sopimus, joka tunnettiin nimellä EU-US Privacy Shield. Sopimus solmittiin jo 2010-luvun alussa, kun Eurooppa oli tiukentamassa henkilötietojen käsittelyn lakejaan. Sopimus kuitenkin kaatui historiallisesti oikeudenkäynnissä vuonna 2020.

Tuo Euroopan unionin tuomioistuimen antama, sopimuksen kumonnut päätös tunnetaan yleisesti Schrems II -päätöksenä. Lempinimi päätökselle johtuu siitä, että juttua ajoi itävaltalainen yksityisyysaktivisti Max Schrems.

Oikeuden päätöksen jälkeen tietojen siirron laillisuudesta oltiin eräänlaisessa oudossa välitilassa, jona aikana mm. Google Analyticsin käyttö todettiin laittomaksi, myös Suomessa.

Kesällä 2023 kuitenkin asiaan saatiin sorvattua uusi, edellisen sopimuksen valuvikoja korjannut sopimus Euroopan ja Yhdysvaltain tietosuojakehyksestä (Data Privacy Framework, DPF).

Uudessa DPF-sopimuksessa sovittiin mm. EU-kansalaisten henkilötietojen erityiskohtelusta Yhdysvalloissa ja perustettiin mm. erillinen valvontaelin sekä erillinen oikeusistuin Yhdysvaltoihin, joiden ainoa tehtävä oli valvoa, että EU-kansalaisten henkilötiedot nauttivat samaa suojaa Yhdysvalloissa kuin Euroopan Unionissakin.


Mutta myös DPF-sopimus haastettiin oikeuteen vain pari kuukautta sen solmimisen jälkeen, syksyllä 2023. Tuolloin sopimuksen haastoi oikeuteen ranskalainen Philippe Latombe.

Latomben mielestä edes DPF-sopimuksessa sovitut ehdot eivät takaa EU-kansalaisten henkilötiedoille Yhdysvalloissa samaa suojaa kuin Euroopan Unionin oma GDPR-laki vaatii Euroopassa säilytettäviltä henkilötiedoilta. Näin ollen, Latomben näkemyksen mukaan, DPF-sopimus on laiton.

Syyskuun 2. päivä, 2025, Unionin yleinen tuomioistuin antoi oikeusjutussa päätöksensä (PDF). Tuomioistuimen mukaan Yhdysvaltain ja EU:n välinen DPF-sopimus ei ole laiton ja oikeuden mukaan se takaa EU-kansalaisten henkilötiedoille saman tasoisen turvan kuin GDPR:kin.

Latomben nostamassa oikeusjutussa keskityttiin lopulta nimenomaan Yhdysvalloissa sijaitsevaan EU-kansalaisten henkilötietojen oikeuksia valvovan erillisen oikeusistuimen (Data Protection Review Court, DPRC) mahdollisuuksiin suojella EU-kansalaisten henkilötietoja.

Unionin yleisen tuomioistuimen mukaan DPRC:llä on tarvittavat valtuutukset Yhdysvaltain läinsäädännön puitteissa, jotta se pystyy täyttämään tehtävänsä - eli valvomaan EU-kansalaisten tietojen käsittelyn laillisuutta.

Unionin yleinen tuomioistuin on EU:n toiseksi ylintä tuomiovaltaa käyttävä oikeusistuin. Päätöksestä voi edelleen valittaa Unionin tuomioistuimeen, joka on Euroopan Unionin oikeusjärjestelmän ylin oikeusaste.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
 Threadsin logo
Threads
 Blueskyn logo
Bluesky
 Mastodonin logo
Mastodon
Sulje palkki