Päätoimittajan huomautus: Euroopan tietosuojaneuvosto (EDPB) on riippumaton eurooppalainen elin, joka edistää tietosuojasääntöjen johdonmukaista soveltamista koko Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä. Euroopan tietosuojavaltuutettu v. Facebook Ireland ja Maximillian Schrems (Schrems II) -asiassa antamassaan tuomiossa Euroopan unionin tuomioistuimen tuomiossa Euroopan tietosuojavaltuutettu julkaisi äskettäin usein kysyttyjä kysymyksiä koskevan asiakirjan, jonka tarkoituksena on antaa alustava selvennys ja alustava ohjeita tuomiosta. Tarkistusta ja käyttöä varten on täydellinen kopio tästä äskettäin julkaistusta usein kysytyistä kysymyksistä.
Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek
Euroopan tietosuojaneuvosto julkaisee usein kysytyt kysymykset -asiakirjan Euroopan unionin tuomioistuimen tuomiosta C-311/18 (Schrems II)
Asiakirjan ote
Asiakirjan tarkoituksena on esittää vastauksia valvontaviranomaisten vastaanottamiin joihinkin usein kysyttyihin kysymyksiin, ja sitä kehitetään ja täydennetään lisäanalyysien ohella, sillä Euroopan tietosuojavaltuutettu jatkaa Euroopan unionin tuomioistuimen (jäljempänä 'tuomioistuin') antaman tuomion tutkimista ja arviointia.
Tuomio C-311/18 löytyy täältä, ja yhteisöjen tuomioistuimen lehdistötiedote löytyy täältä.
Mitä tuomioistuin päätti tuomiossaan?
Tuomioistuin tutki tuomiossaan vakiosopimuslausekkeista tehdyn Euroopan komission päätöksen 2010/87/EY pätevyyden ja katsoi, että se on pätevä. Päätöksen pätevyyttä ei kyseenalaisteta pelkästään sillä seikalla, että kyseisessä päätöksessä esitetyt tietosuojalausekkeet eivät sido sen kolmannen maan viranomaisia, jolle tietoja voidaan siirtää, koska ne ovat luonteeltaan sopimuspohjaisia.
Tuomioistuin lisäsi, että tämä pätevyys riippuu kuitenkin siitä, sisältääkö 2010/87/EY päätökseen tehokkaita mekanismeja, joiden avulla käytännössä voidaan varmistaa tietosuojan taso, joka vastaa olennaisesti tietosuoja-asetuksen EU:ssa taattua tietosuojan tasoa, ja että henkilötietojen siirrot tällaisiin lausekkeisiin keskeytetään tai kielletään, jos tällaisia lausekkeita rikotaan tai niitä ei voida kunnioittaa.
Tältä osin yhteisöjen tuomioistuin korostaa erityisesti, että päätöksen 2010/87/EY mukaisesti tietojen viejä ja tietojen vastaanottaja (”tietojen tuoja”) velvoitetaan tarkastamaan ennen siirtoa ja siirtoon liittyvät olosuhteet huomioon ottaen, onko kyseistä suojan tasoa noudatettu asianomaisessa kolmannessa maassa ja että direktiivin 2010/87/EY päätöksessä edellytetään tietojen tuojan ilmoittavan tietojen viejälle siitä, että tietojen viejä ei pysty noudattamaan tietosuojaa koskevia vakiolausekkeita ja tarvittaessa kyseisellä lausekkeella tarjottuja täydentäviä toimenpiteitä, jolloin tietojen viejä on vuorollaan; velvollinen keskeyttämään tietojen siirron ja/tai irtisanomaan sopimuksen tietojen tuojan kanssa
Yhteisöjen tuomioistuin tutki myös Privacy Shield -päätöksen (päätös 2016/1250 EU:n ja Yhdysvaltojen tarjoaman suojan riittävyydestä. Privacy Shield), koska ennakkoratkaisupyyntöön johtaneen kansallisen riidan yhteydessä kyseessä olevat siirrot tapahtuivat EU:n ja Yhdysvaltojen välillä.
Yhteisöjen tuomioistuin katsoi, että Yhdysvaltojen kansallisen lainsäädännön vaatimukset ja erityisesti tietyt ohjelmat, joiden avulla Yhdysvaltain viranomaiset voivat käyttää EU:sta Yhdysvaltoihin kansallista turvallisuutta varten siirrettyjä henkilötietoja, aiheuttavat henkilötietojen suojaa koskevia rajoituksia, joita ei ole rajoitettu tavalla, joka täyttää olennaisesti EU:n lainsäädännössä edellytettyjä vaatimuksia vastaavat vaatimukset ja että tällä lainsäädännöllä ei myönnetä rekisteröidyille kannekelpoisia oikeuksia tuomioistuimissa Yhdysvaltain viranomaisia vastaan.
Yhteisöjen tuomioistuin totesi Privacy Shield -järjestelyn riittävyyttä koskevan päätöksen pätemättömäksi, koska tällainen puuttuminen niiden henkilöiden perusoikeuksiin, joiden tietoja siirretään kyseiseen kolmanteen maahan.
Täydellisen usein kysytyn asiakirjan (PDF) tarkistaminen
Yhteisöjen tuomioistuimen Schrems II -tuomiota koskevat usein kysytyt kysymykset — 24. heinäkuuta 2020
Lue Euroopan tietosuojaneuvoston alkuperäinen usein kysytyt kysymykset
Ylimääräinen lukeminen
Euroopan unionin tuomioistuin mitätöi EU:n ja Yhdysvaltojen tietosuojakilven mukaisen suojan riittävyydestä tehdyn päätöksen
Suostumuksen ikä? Euroopan tietosuojaneuvoston ohjeet GDPR-asetuksen mukaisesta suostumuksesta
Lähde: ComplexDiscovery