Unionin tuomioistuin antoi tiistaina 6.10.2015 tuomion, jossa se julisti komission ns. Safe Harbor -järjestelmää koskevan päätöksen pätemättömäksi.

Henkilötietolainsäädännön mukaan henkilötietoja voidaan siirtää EU:n tai ETA:n ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso. Komissio on 26.7.2000 tekemällään päätöksellä todennut, että Safe Harbor -järjestelmä takaa riittävän tietosuojan tason, kun henkilötietoja siirretään Yhdysvaltoihin sijoittautuneille organisaatioille. Komission päätöksen nojalla eurooppalaiset yritykset ovat tähän asti voineet luottaa siihen, että henkilötietojen siirto yhdysvaltalaiselle siirronsaajalle on laillinen, jos siirronsaaja on sitoutunut noudattamaan Safe Harbor -periaatteita. Unionin tuomioistuimen tuomion jälkeen näin ei enää ole.

Mistä tapauksessa oli kyse?

Unionin tuomioistuimen tuomion taustalla on itävaltalaisen opiskelijan, Maximillian Schremsin, valitus Irlannin tietosuojavaltuutetulle. Kuten muidenkin EU:n jäsenvaltioissa asuvien Facebookin käyttäjien, Facebookin Irlannin tytäryhtiön Schremsistä keräämät tiedot siirretään Facebookin Inc.:lle Safe Harbor -järjestelmän nojalla. Schrems valitti Irlannin tietosuojavaltuutetulle, että ottaen huomioon Edward Snowdenin Yhdysvaltojen tiedustelupalvelun NSA:n toimintaa koskevat paljastukset (ns. PRISM-skandaali) Safe Harbor -järjestelmä ei takaa riittävää tietosuojan tasoa EU:n kansalaisille, jos Yhdysvaltojen viranomaiset voivat käyttää tietoja yleiseen massavalvontaan ja seurantaan.   

Irlannin tietosuojavaltuutettu hylkäsi Schremsin valituksen sillä perusteella, että komissio oli jo päätöksellään todennut Safe Harbor -mekanismin riittäväksi tietosuojan tason turvaamiseksi. Schrems vei kuitenkin asian Irlannin korkeimman oikeuden käsiteltäväksi, joka puolestaan pyysi ennakkoratkaisua unionin tuomioistuimelta.

Unionin tuomioistuimen päätös

Tuomiossaan unionin tuomioistuin katsoi, että kansallisilla tietosuojaviranomaisilla on oltava ja heillä on itsenäinen toimivalta tutkia, onko henkilötietojen siirto tapahtunut laillisesti siitä huolimatta, että on olemassa komission päätös, jossa se on todennut jonkin kolmannen maan takaavan riittävän tietosuojan tason, ja kyseinen päätös on kansallisia viranomaisia sitova. Yksinomaan unionin tuomioistuimella on kuitenkin oikeus julistaa komission päätös pätemättömäksi. Arvioidessaan sen tarpeelliseksi kansallinen viranomainen voi saattaa komission päätöksen pätevyyden tuomioistuimen tutkittavaksi.

Kuten edellä on todettu unionin tuomioistuin julisti lisäksi tuomiossaan, että komission Safe Harbor -järjestelmää koskeva päätös on pätemätön. Tuomion perustelujen mukaan näyttää siltä, että unionin tuomioistuin on katsonut, että komission päätös Safe Harbor -mekanismin riittävyydestä on syntynyt alun perinkin virheellisin perustein, koska komissio ei ole päätöstä tehdessään tutkinut, takaako Yhdysvallat lainsäädäntönsä tai kansainvälisten sitoumustensa kautta EU:n lainsäädäntöä vastaavan tietosuojan tason. Komissio on päätöstä tehdessään tyytynyt ainoastaan Safe Harbor -järjestelmän tutkimiseen. Tämä tarkoittaa sitä, että Safe Harbor on mahdollisesti alun pitäen ollut pätemätön mekanismi.

Unionin tuomioistuin katsoi, että Safe Harbor -järjestelmään liittyneet yritykset olivat velvollisia syrjäyttämään järjestelmän suojamekanismit, sikäli kuin ne ovat ristiriidassa Yhdysvaltojen kansalliseen turvallisuuteen ja yleiseen etuun liittyvien vaatimusten kanssa, jotka puolestaan oikeuttavat Yhdysvaltojen viranomaiset keräämään Yhdysvaltoihin siirrettyjä EU-kansalaisten henkilötietoja ja toteuttamaan laajamittaista valvontaa. Lisäksi Unionnin tuomioistuin otti huomioon, että EU:n kansalaisilla ei Yhdysvaltojen lainsäädännön nojalla ole käytettävissään mitään EU-lainsäädännön takaamia oikeussuojakeinoja Yhdysvaltojen viranomaisten käsitellessä heidän tietojaan, kuten oikeutta saada tietää, mitä tietoja heistä käsitellään tai oikeutta saada tiedot korjatuksi tai poistetuksi.

Edellä mainituista syistä unionin tuomioistuin piti komission päätöstä pätemättömänä, koska siinä ei otettu huomioon Yhdysvaltojen lainsäädäntöä, joka mahdollisti Yhdysvaltojen viranomaisten puuttumisen EU:n kansalaisten yksityisyyden suojaan. Näin ollen Safe Harbor -mekanismi ei unionin tuomioistuimen mukaan takaa riittävää tietosuojan tasoa.  

Tuomion vaikutukset käytännössä ja mitä suomalaisten yritysten pitäisi tehdä

Unionin tuomioistuimen päätös on erittäin merkittävä. Sillä on kauaskantoisia seurauksia henkilötietojen liikkumiseen EU:n ja USA:n välillä muun muassa niille yrityksille, joilla on konserniyhtiöitä tai sopimuskumppaneita Yhdysvalloissa.

Unionin tuomioistuimen päätöksellä siitä, että Safe Harbor -järjestelmä ei enää ole laillinen mekanismi henkilötietojen siirtämiseksi Yhdysvaltoihin, ei ole siirtymäaikaa. Komission Safe Harbor -mekanismia koskeva päätös on siten välittömästi pätemätön. Näin ollen yritykset eivät enää voi luottaa siirron olevan laillinen sillä perusteella, että vastaanottaja on liittynyt Safe Harbor -järjestelmään.

Jos yritys on luottanut Safe Harbor -järjestelmään siirtäessään tietoja konserniyhtiölleen, palveluntarjoajalleen (esim. pilvipalveluntarjoaja) tai muulle sopimuskumppanilleen, yrityksen on välittömästi ryhdyttävä toimenpiteisiin sen varmistamiseksi, että tietojen siirto perustuu johonkin muuhun lailliseen perusteeseen, kuten komission hyväksymiin mallisopimuslausekkeisiin tai, jos kyse on konserniyhtiöstä, konserninsisäisiin tietosuojasääntöihin (ns. binding corporate rules). Tietojen siirron perustuminen mallisopimuslausekkeisiin tarkoittaa käytännössä sitä, että yritys tekee siirronsaajan kanssa sopimuksen, jossa siirronsaaja sitoutuu noudattamaan tiettyjä pakollisia tietosuojaperiaatteita. Varmaa ei kuitenkaan ole, että edes mallisopimuslausekkeet takaavat riittävän tietosuojan tason, mikäli niiden esimerkiksi myöhemmin arvioitaisiin sisältävän samantyyppisiä ongelmia kuin Safe Harbor -mekanismin.

Suomessa tietosuojaviranomainen on jo ryhtynyt selvittämään tuomion vaikutuksia suomalaisiin yrityksiin. Myös komissio piti tuomion julistamisen jälkeen lehdistötilaisuuden, jonka mukaan komissio tulee antamaan ohjeistusta tietosuojaviranomaisille siitä, kuinka henkilötietojen siirtoihin Yhdysvaltoihin tulee suhtautua.

Lisäksi tuomiolla on todennäköisesti vaikutusta parhaillaan käynnissä oleviin komission ja Yhdysvaltojen Safe Harbor -järjestelmän tulevaisuutta koskeviin neuvotteluihin, jotka on aloitettu jo ennen tuomion antamista. Epäilemättä tuomio tulee vaikuttamaan myös EU:n tietosuoja-asetuksen sisältöön, jota EU:ssa parhaillaan valmistellaan.