Euroopan tietosuojaneuvosto antoi lausuntonsa Yhdysvaltojen tietosuojan riittävyyspäätöksen luonnoksesta
Euroopan tietosuojaneuvosto on antanut lausuntonsa komission Yhdysvaltojen tietosuojan riittävyyttä koskevasta päätösluonnoksesta. Tietosuojaneuvosto on tyytyväinen useisiin päätösluonnoksessa esitettyihin parannuksiin, kuten tarpeellisuuden ja oikeasuhteisuuden periaatteiden soveltamiseen Yhdysvaltojen tiedustelutietojen keräämisessä sekä EU-alueen rekisteröityjä koskevaan uuteen oikeussuojamekanismiin. Samalla tietosuojaneuvosto nostaa esiin huolenaiheita ja pyytää selvennystä tietyistä päätösluonnoksen kohdista.
Komissio julkaisi päätösluonnoksen Yhdysvaltojen tietosuojan tason riittävyydestä joulukuussa 2022 ja toimitti luonnoksen Euroopan tietosuojaneuvoston arvioitavaksi. Riittävyyspäätös perustuu EU:n ja Yhdysvaltojen väliseen tietosuojakehykseen, jonka on tarkoitus korvata EU:n tuomioistuimen Schrems II -tuomiossa mitätöimä Privacy Shield -järjestely. Tietosuojaneuvosto katsoo, että Yhdysvaltoja koskevassa riittävyyspäätöksen luonnoksessa esitetään useita merkittäviä parannuksia.
Tietosuojaneuvoston esiin nostamat huolenaiheet liittyvät erityisesti eräisiin rekisteröityjen oikeuksiin, tietojen edelleen siirtämiseen, poikkeusten soveltamisalaan, tilapäiseen laajamittaiseen tietojenkeruuseen ja oikeussuojamekanismin käytännön toimintaan.
Tietosuojaneuvosto esittää, että riittävyyspäätöksen hyväksymisen ja voimaantulon ehtona olisi, että kaikki Yhdysvaltojen tiedusteluviranomaiset hyväksyvät uudistetut toimintaperiaatteet ja menettelyt Yhdysvaltojen presidentin lokakuussa 2022 antaman toimeenpanomääräyksen (Executive Order) täytäntöönpanemiseksi. Tietosuojaneuvosto suosittelee, että komissio arvioi näitä Yhdysvaltojen oikeuskehyksen päivitettyjä menettelyjä ja jakaa arvionsa tietosuojaneuvostolle.
”Korkeatasoinen tietosuoja on olennaisen tärkeää EU:n kansalaisten oikeuksien ja vapauksien turvaamiseksi. Vaikka tunnistamme, että Yhdysvaltojen oikeudelliseen kehykseen tehdyt parannukset ovat merkittäviä, suosittelemme, että esitettyihin huolenaiheisiin puututaan ja pyydetyt selvennykset huomioidaan, jotta tietosuojan riittävyyspäätös olisi kestävä. Samasta syystä katsomme, että riittävyyspäätöksen ensimmäisen uudelleentarkastelun jälkeen seuraavat arvioinnit tulisi tehdä vähintään kolmen vuoden välein, ja olemme sitoutuneet osallistumaan niihin”, Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek sanoo.
Tietosuojaneuvoston lausunnossa tarkastellaan sekä kaupallisia näkökohtia että Yhdysvaltojen viranomaisten pääsyä tietoihin ja niiden käyttöä. Riittävyyspäätöstä sovellettaisiin vain sertifioituneisiin yhdysvaltalaisiin organisaatioihin, jotka ovat sitoutuneet tietosuojakehyksessä sovittuihin suojatoimiin.
Kaupallisten seikkojen osalta tietosuojaneuvosto on tyytyväinen päivityksiin, joita tietosuojakehyksen periaatteisiin on tehty. Useat periaatteet ovat olennaisilta osin samat kuin Privacy Shield -järjestelyssä. Periaatteisiin liittyy kuitenkin edelleen joitakin huolenaiheita, jotka koskevat esimerkiksi tiedonsaantioikeutta koskevia poikkeuksia, keskeisten määritelmien puuttumista, periaatteiden soveltamista henkilötietojen käsittelijöihin, laajaa poikkeusta julkisesti saatavilla olevien tietojen saantioikeuteen sekä automaattista päätöksentekoa ja profilointia koskevien erityissääntöjen puuttumista.
Tietosuojaneuvosto toteaa, että tietojen edelleen siirroilla ei saa heikentää tietosuojan tasoa. Sen vuoksi se pyytää komissiota selventämään päätösluonnoksessa, että suojatoimien, jotka alkuperäinen vastaanottaja asettaa tietojen tuojalle kolmannessa maassa, on oltava tehokkaita kolmannen maan lainsäädännön valossa ennen tietojen edelleen siirtoa.
Lisäksi tietosuojaneuvosto pyytää komissiota selventämään poikkeusten soveltamisalaa, jotka koskevat velvollisuutta noudattaa tietosuojakehyksen periaatteita. Tietosuojaneuvosto tulee seuraamaan tiiviisti näitä näkökohtia sekä EU-alueen rekisteröidyille tarjottujen oikeussuojakeinojen tehokkuutta.
Yhdysvaltoihin siirrettyjen tietojen osalta tietosuojaneuvosto panee merkille Yhdysvaltojen toimeenpanomääräyksen tuomat merkittävät parannukset. Toimeenpanomääräyksen mukaan tarpeellisuuden ja oikeasuhteisuuden periaatteita sovellettaisiin Yhdysvaltojen tiedustelutietojen keräämiseen. Lisäksi uusi oikeussuojamekanismi luo oikeuksia EU:n kansalaisille.
Lisätietoja:
Euroopan tietosuojaneuvoston tiedote neuvoston verkkosivuilla: EDPB welcomes improvements under the EU-U.S. Data Privacy Framework, but concerns remain (28.2.2023)
Tiedote 16.12.2022: Euroopan komission luonnos Yhdysvaltojen tietosuojan riittävyyttä koskevasta päätöksestä hyväksymismenettelyyn