Schrems 2.0: Euroopan yhteisöjen tuomioistuimen julkisasiamies Rendersin lausunto

On December 19, 2019, the European Court of Justice (ECJ) Advocate General, Henrik Saugmandsgaard ØE, provided his opinion on the validity of Standard Contractual Clauses (SCCs) adopted by the European Commission for the transfer of personal data from controllers to processors. The rendered opinion confirms that companies relying upon SCCs do not need to consider changing their approach at this time.

en flag
nl flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Toimittajan huomautus: Euroopan yhteisöjen tuomioistuin julkisasiamies Henrik Saugmandsgaard ØE antoi 19.12.2019 lausuntonsa Euroopan komission hyväksymien mallisopimuslausekkeiden pätevyydestä henkilötietojen siirtämiseksi rekisterinpitäjiltä henkilötietojen käsittelijöille. Lausunnossa vahvistetaan, että SCC-yhdisteisiin turvautuvien yritysten ei tarvitse harkita lähestymistapaansa muuttamista tällä hetkellä. Edellyttäen tässä viestissä on kokoelma informatiivisia otteita, jotka voivat olla hyödyllisiä niille, jotka haluavat ymmärtää sisältöä ja asiayhteyttä tämän äskettäisen lausunnon tiedonsiirtokäytäntöjä.

Ote artikkelista Laura Song Alston ja Bird

Schrems 2.0: EU:n julkisasiamiehen päteviksi ilmoittamat vakiosopimuslausekkeet

Lausunto Taustaa: Max Schrems teki ensimmäisen kerran kantelun Facebookin tiedonsiirtokäytännöistä Irlannin tietosuojaviranomaiselle (Data Protection Commission tai DPC) vuonna 2013, mikä johti Yhdysvaltojen ja EU:n Safe Harbor -kehyksen mitätöimiseen Euroopan yhteisöjen tuomioistuimessa, joka on korkein oikeus EU lokakuussa 2015. Tämän seurauksena monet yritykset, jotka aiemmin turvautuivat Safe Harboriin tiedonsiirrossa, ottivat käyttöön SCC-koodit siirtämään tietoja EU:n ulkopuolisille käsittelijöille, koska Safe Harborin (Privacy Shield) korvaaminen oli toiminnassa vasta elokuussa 2016.

Tilintarkastustuomioistuimen päätöksen jälkeen Schrems teki tietosuojaviranomaiselle uuden valituksen, jossa keskityttiin henkilötietojen siirtämiseen EU:sta Yhdysvaltoihin SCC-pohjaisten tietojen perusteella. Vastauksena DPC halusi tuomioistuimissa selkeyttä sekä SCC-maiden pätevyydestä että Privacy Shield -järjestelystä. DPC esitti kanteen Irish High Court -tuomioistuimelle, joka sittemmin toimitti asian yhteisöjen tuomioistuimen käsiteltäväksi 11 kysymystä. Yhteisöjen tuomioistuin kuuli asiassa 9.7.2019 suullisia perusteluja (Schrems 2.0).

Yhteisöjen tuomioistuimen julkisasiamies Henrik Saugmandsgaard Øe antoi 19.12.2019 lausuntonsa Schrems 2.0:sta.

Lue koko artikkeli osoitteessa Schrems 2.0: EU:n julkisasiamiehen voimassa ilmoittamat vakiosopimuslausekkeet

Johdanto ja päätelmät Euroopan yhteisöjen tuomioistuimen lausunnosta

Julkisasiamies Saugmandsgaard ØE:n ratkaisuehdotus 19.12.2019 (asia C-311/18)

Tietosuojasta vastaava komissaari v. Facebook Ireland Limited, Maximillian Schrems, väliintulijat: Amerikan yhdysvallat, Electronic Privacy Information Centre, BSA Business Software Alliance, Inc., Digitaleurope (High Court, Irlanti).

Johdanto

Koska maailmanlaajuisella tasolla ei ole yhteisiä tietosuojatakeita, tällaisten tietojen rajat ylittävät siirrot aiheuttavat riskin, että Euroopan unionissa taatun suojan taso ylittyisi jatkuvasti. EU:n lainsäätäjä haluaa helpottaa näitä virtoja ja rajoittaa tätä riskiä, ja se on ottanut käyttöön kolme mekanismia, joiden avulla henkilötietoja voidaan siirtää Euroopan unionista kolmanteen valtioon.

Ensinnäkin tällainen siirto voidaan toteuttaa sellaisen päätöksen perusteella, jossa Euroopan komissio toteaa, että kyseinen kolmas valtio takaa sille siirrettyjen tietojen ”riittävän suojan”. Toiseksi, jos tällaista päätöstä ei ole tehty, siirto sallitaan silloin, kun siihen liittyy ”asianmukaiset suojatoimet”. Nämä suojatoimet voidaan toteuttaa viejän ja tuojan välisellä sopimuksella, joka sisältää komission hyväksymiä vakiolausekkeita. GDPR-asetuksessa säädetään kolmanneksi tietyistä poikkeuksista, jotka perustuvat erityisesti rekisteröidyn suostumukseen ja jotka mahdollistavat tietojen siirtämisen kolmanteen maahan, vaikka tietosuojan riittävyyttä koskevaa päätöstä tai asianmukaisia suojatoimia ei ole tehty.

High Court, Ireland, jäljempänä 'High Court', esittämä ennakkoratkaisupyyntö koskee toista näistä menettelyistä. Se koskee erityisesti päätöksen 2010/87/EU pätevyyttä, jolla komissio laati tiettyjä siirtojen luokkia koskevia mallisopimuslausekkeita Euroopan unionin perusoikeuskirjan, jäljempänä 'perusoikeuskirja', 7, 8 ja 47 artiklan perusteella.

Pyyntö esitettiin asiassa, jonka tietosuojavaltuutettu Irlanti (jäljempänä DPC) on nostanut Facebook Ireland Ltd:tä ja Maximillian Schremsia vastaan, joka koski Schremsin DPC:lle tekemää kantelua, joka koski Facebook Irelandin suorittamaa häntä koskevien henkilötietojen siirtämistä Facebookiin, Inc., sen emoyhtiö, joka on sijoittautunut Amerikan yhdysvalloihin, jäljempänä 'Yhdysvallat'. DPC katsoo, että valituksen arvioinnin edellytyksenä on päätöksen 2010/87 pätevyys. Tältä osin se pyysi, että kansallinen tuomioistuin pyytää yhteisöjen tuomioistuimelta selvitystä tästä seikan osalta.

Aluksi haluan todeta, että ennakkoratkaisukysymysten tarkastelu ei ole mielestäni paljastanut mitään, mikä vaikuttaisi päätöksen 2010/87 pätevyyteen.

Lisäksi ennakkoratkaisupyynnön esittänyt tuomioistuin on tuonut esiin tiettyjä epäilyjä, jotka liittyvät lähinnä Yhdysvaltojen takaaman suojan riittävyyteen siltä osin kuin on kyse Yhdysvaltojen tiedusteluviranomaisten puuttumisesta niiden henkilöiden perusoikeuksien käyttämiseen, joiden tiedot siirretään Yhdysvaltoihin. Kyseiset epäilyt kyseenalaistivat välillisesti komission täytäntöönpanopäätöksessä 2016/1250 tältä osin tekemät arvioinnit. (Vaikka pääasian ratkaiseminen ei edellytä yhteisöjen tuomioistuinta ratkaisemaan tätä kysymystä, ja vaikka ehdotan sen vuoksi, että se pidättäytyy tekemästä niin, esitän toissijaisesti syyt, joiden vuoksi kyseenalaistan tämän päätöksen pätevyyden.

Koko analyysiäni ohjaa halu löytää tasapaino toisaalta tarve osoittaa ”kohtuullinen käytännönläheisyys, jotta voidaan mahdollistaa vuorovaikutus muiden maailman osien kanssa ”, ja toisaalta tarve puolustaa niitä perusarvoja, jotka tunnustetaan yhteisön oikeusjärjestyksessä. unioni ja sen jäsenvaltiot ja erityisesti perusoikeuskirja.

Johtopäätös

Ehdotan, että yhteisöjen tuomioistuin vastaa Irlannin High Courtin esittämiin ennakkoratkaisukysymyksiin seuraavasti:

Ennakkoratkaisupyyntöjen analysointi ei ole osoittanut mitään vaikutusta mallisopimuslausekkeista henkilötietojen siirtämiseksi kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille Euroopan parlamentin direktiivin 95/46/EY mukaisesti 5 päivänä helmikuuta 2010 annetun komission päätöksen 2010/87/EU pätevyyteen ja neuvoston, sellaisena kuin se on muutettuna 16 päivänä joulukuuta 2016 annetulla komission täytäntöönpanopäätöksellä (EU) 2016/2297.

Julkisasiamies Saugmandsgaard ØE:n 19.12.2019 antama ratkaisuehdotus (asia C-311/18)

Uutiskommentti Data Protection Commission (DPC) Irlanti

DPC:n lausuma neuvonantoryhmän lausunnosta asiassa #C -311/18 Euroopan

Tietokomitea on tyytyväinen siihen, että neuvonantoryhmän lausunto asiasta #C -311/18 Euroopan unionin tuomioistuimen asiassa. Lausunnossa kuvataan monitahoisuutta, joka liittyy niihin kysymyksiin, joita syntyy, kun EU:n tietosuojalainsäädäntö on vuorovaikutuksessa kolmansien maiden lakien kanssa, mukaan lukien Yhdysvaltojen lait. Lausunnon avausosassa tunnustetaan myös ne merkittävät jännitteet, jotka syntyvät toisaalta pragmatismin osoittamisen tarpeen ja toisaalta ”tarpeen puolustaa unionin ja sen jäsenvaltioiden oikeusjärjestyksissä ja erityisesti perusoikeuskirjassa tunnustettuja perusarvoja”.

Jotkut täällä käsiteltävien monimutkaisten seikkojen käsittelystä koskevat asiasisältöä. Mainitsen vain kolme esimerkkiä: sovelletaanko EU:n lainsäädäntöä lainkaan silloin, kun viranomaiset käsittelevät rekisteröidyn henkilötietoja kolmannessa maassa (neuvonantoryhmä uskoo niin); helpottavatko Yhdysvaltojen lait ja käytännöt EU:n lainsäädännön vastaisia henkilötietojen suojaoikeuksia ( neuvonantoryhmän näkemys), ja ovatko nämä ongelmat ratkaistu Privacy Shield -järjestelyssä (ei neuvonantoryhmän mielestä).

Lausunnossa todetaan myös erikseen, että yksittäistapauksissa mallisopimuslausekkeet eivät myöskään välttämättä tarjoa vastausta ongelmiin, joita syntyy, kun tiedonsiirrot tuovat EU:n kansalaisten tiedot Yhdysvaltojen viranomaisten toimivaltaan. Tässä vaiheessa otetaan huomioon myös menettelylliset monimutkaisuudet. Kenen pitäisi puuttua asiaan, kun EU:n lainsäädännössä edellytettyä suojan tasoa ei voida säilyttää yksittäisen siirron yhteydessä? Vaikka neuvonantoryhmä tunnustaa puutteensa ja sen aiheuttamat käytännön vaikeudet ja huolimatta jäsenvaltioiden valvontaviranomaisten pirstaloitumisvaarasta, neuvonantoryhmä toteaa, että EU:n tiedekomiteoiden yhteydessä hyväksymä lähestymistapa luo asianmukaisen tasapainon välillä pragmatismi ja periaate. Tämä lähestymistapa on sellainen, että vastuu EU:n kansalaisten tietosuojaoikeuksien suojaamisesta kuuluu ensisijaisesti rekisterinpitäjille ja neuvonantoryhmän mielestä kansallisille valvontaviranomaisille, jos rekisterinpitäjä ei täytä velvoitteitaan.

Vaikka DPC toteaa, että tilintarkastustuomioistuin ei vielä ratkaise näitä kysymyksiä, se pitää myönteisenä neuvonantoryhmän lausuntoon sisältyvän analyysin selkeyttä.

Lue alkuperäinen uutisilmoitus DPC lausunto AG lausunto asiasta # C-311/18 CJEU

Lisää lukemista

Euroopan unionin tuomioistuin (CJEU)

Data Protection Commission (DPC) Irlanti

Lähde: ComplexDiscovery

Voimaannuttamisen tukipilari? GDPR-tietosuojan arviointi ja tarkistaminen

The general view is that two years after it started to...

Pisteiden yhdistäminen: eDiscoveryn harkitseminen aloittajista ekosysteemiin

From a macro perspective, connecting the dots in eDiscovery is to...

XDD hankkii RVM:n

According to XDD CEO Bob Polus, “Merging forces with RVM further...

Ipro hankkii NetGovernin

According to Dean Brown, CEO at Ipro Tech, “We are thrilled...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

eDisclosure Systems Buyers Guide — 2020 Edition (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

Kisa lähtöviivalle? Viimeaikaiset Secure Remote Review -ilmoitukset

Not all secure remote review offerings are equal as the apparent...

EtäeDiscoveryn ottaminen käyttöön? Tilannekuva DAAasista

Desktop as a Service (DaaS) providers are becoming important contributors to...

Kotiin vai pois? eDiscovery Malliston markkinoiden mitoitukseen ja hinnoitteluun liittyvät näkökohdat

One of the key home (onsite) or away (remote) decisions that...

Tarkistuksia ja päätöksiä? Uusia huomioita eDiscovery Secure Remote -arvosteluille

One of the key revision and decision areas that business, legal,...

Makrokatsaus menneisyyteen ja ennustettuun eDiscoveryn markkina-kokoon 2012—2024

From a macro look at past estimations of eDiscovery market size...

eDiscovery Market Size Mashup: 2019-2024 Maailmanlaajuiset ohjelmistot ja palvelut yleiskatsaus

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Kysymys hinnoittelusta? Puolivuotisten eDiscovery-hinnoittelukyselyn vastausten käynnissä oleva päivitys

First administered in December of 2018 and conducted four times during...

Pandemtaloudellinen indikaattori? Kesä 2020 eDiscovery -hinnoittelukyselyn tulokset

Based on the complexity of data and legal discovery, it is...

COVID-19 rajoitettu? Kuuden kysymyksen vaikutus eDiscoveryn liiketoimintaan

In the spring of 2020, 51.2% of respondents viewed budgetary constraints...

Syy tauon? eDiscoveryn operatiiviset mittarit keväällä 2020

In the spring of 2020, 150 eDiscovery Business Confidence Survey participants...

XDD hankkii RVM:n

According to XDD CEO Bob Polus, “Merging forces with RVM further...

Ipro hankkii NetGovernin

According to Dean Brown, CEO at Ipro Tech, “We are thrilled...

Morae hankkii oikeudellisen johdon konsultointi Janders Dean

According to Janders Dean founder Justin North, "Now more than ever,...

eDiscovery Sulautumiset, yritysostot ja investoinnit Q2 2020 -ohjelmassa

From UnitedLex to Onna, ComplexDiscovery findings, data points, and tracking information...

Viisi suurta lukua eDiscovery-ohjelmassa kesäkuulle 2020

From collection market size updates to cloud outsourcing guidelines, the June...

Viisi suurta lukua eDiscovery-ohjelmassa toukokuulle 2020

From review market sizing revisions to pandemeconomic pricing, the May 2020...

Viisi suurta lukua eDiscoverystä huhtikuussa 2020

From business confidence to the boom of Zoom, the April 2020...

Viisi suurta lukua tiedonkeruusta ja oikeudellisesta löydöstä maaliskuussa 2020

From business continuity considerations to cybersecurity attacks, the March 2020 edition...