EU-tuomioistuin kumosi komission päätöksen ja velvoitti kansallisen valvojan varmistamaan Facebookin käyttäjien tietoturvan

7.10.2015 | Oikeusuutiset

Markku Fredman

Unionin tuomioistuin julistaa pätemättömäksi komission päätöksen, jossa Yhdysvaltojen todetaan takaavan siirrettyjen henkilötietojen suojan riittävän tason

Vaikka ainoastaan unionin tuomioistuin on toimivaltainen julistamaan unionin toimen pätemättömäksi, kansalliset valvontaviranomaiset voivat silloinkin, kun komission päätöksessä todetaan kolmannen maan takaavan henkilötietojen suojan riittävän tason, tutkia hakemuksesta, noudatetaanko henkilön tietojen siirrossa kyseiseen maahan näiden tietojen suojaa koskevan unionin lainsäädännön vaatimuksia, ja saattaa, kuten asianomainen henkilökin, asian käsiteltäväksi kansallisiin tuomioistuimiin, jotta nämä pyytäisivät ennakkoratkaisua kyseisen päätöksen pätevyyden tutkimiseksi.

***

Unionin tuomioistuin katsoo antamassaan tuomiossa, että se, että on olemassa komission päätös, jossa jonkin kolmannen maan todetaan takaavan siirrettyjen henkilötietojen suojan riittävän tason, ei voi tehdä tyhjäksi eikä edes heikentää toimivaltaa, joka kansallisilla valvontaviranomaisilla on Euroopan unionin perusoikeuskirjan ja mainitun direktiivin nojalla. Unionin tuomioistuin korostaa tässä yhteydessä perusoikeuskirjassa taattua oikeuttahenkilötietojen suojaan ja tehtävää, joka kansallisilla valvontaviranomaisilla on perusoikeuskirjan nojalla.
Unionin tuomioistuin katsoo ensinnäkin, ettei mikään direktiivin säännös estä kansallisia viranomaisia valvomasta henkilötietojen siirtoja komission päätöksen kohteena oleviin kolmansiin maihin. Komission päätöksestä huolimatta kansallisten valvontaviranomaisten on siis hakemuksesta voitava tutkia täysin itsenäisesti, noudatetaanko henkilön tietojen siirrossa kolmanteen maahan direktiivissä säädettyjä vaatimuksia. Unionin tuomioistuin kuitenkin muistuttaa, että vain sillä on toimivalta todeta komission päätöksen kaltainen unionin toimi pätemättömäksi. Niinpä silloin, kun kansallinen viranomainen tai asian kansallisen viranomaisen käsiteltäväksi saattanut henkilö pitää komission päätöstä pätemättömänä, kyseisen viranomaisen tai kyseisen henkilön on voitava saattaa asia käsiteltäväksi kansallisiin tuomioistuimiin, jotta nämä voisivat, mikäli ne itsekin epäilevät komission päätöksen pätevyyttä, pyytää asiasta ennakkoratkaisua unionin tuomioistuimelta. Viime kädessä unionin tuomioistuimen asiana siis on päättää, onko komission päätös pätevä vai ei.
Unionin tuomioistuin tutkii sitten komission 26.7.2000 tekemän päätöksen pätevyyden. Tässä yhteydessä unionin tuomioistuin muistuttaa, että komissio oli velvollinen toteamaan, että Yhdysvallat tosiasiallisesti takaa sisäisen lainsäädäntönsä tai kansainvälisten sitoumustensa johdosta perusoikeuksien suojan tason, joka pääosiltaan vastaa unionissa direktiivin, luettuna perusoikeuskirjan valossa, nojalla taattua tasoa. Unionin tuomioistuimen mukaan komissio ei ole tätä todennut vaan on tyytynyt safe harbor -järjestelmän tutkimiseen.
Unionin tuomioistuin toteaa – joutumatta tutkimaan, taataanko tässä järjestelmässä pääosiltaan vastaava tietosuojan taso kuin unionissa –, että järjestelmää on sovellettava vain siihen suostuvissa yhdysvaltalaisissa yrityksissä mutta Yhdysvaltojen viranomaisten ei itse ole noudatettava sitä. Lisäksi Yhdysvaltojen kansalliseen turvallisuuteen, yleiseen etuun ja lakien noudattamiseen liittyvät vaatimukset ovat safe harbor -järjestelmään verrattuina ensisijaisia, joten yhdysvaltalaiset yritykset ovat velvollisia syrjäyttämään kyseisen järjestelmän mukaiset suojasäännöt rajoituksetta silloin, kun ne ovat ristiriidassa mainittujen vaatimusten kanssa. Yhdysvaltojen safe harbor -järjestelmä tekee siten Yhdysvaltojen viranomaisille mahdolliseksi puuttua henkilöiden perusoikeuksiin, koska komission päätöksessä ei todeta, että Yhdysvalloissa olisi tällaisen mahdollisen puuttumisen rajoittamiseen tarkoitettuja sääntöjä tai tehokasta oikeussuojaa tällaista puuttumista vastaan.
Unionin tuomioistuimen mielestä tämä järjestelmän tarkastelu saa tukea kahdesta komission tiedonannosta,4 joista ilmenee muun muassa, että Yhdysvaltojen viranomaisilla oli mahdollisuus päästä jäsenvaltioista tähän maahan siirrettyihin henkilötietoihin ja käsitellä niitä muun muassa niiden siirron tarkoitusten vastaisella tavalla ja laajemmin kuin oli ehdottomasti tarpeen ja oikeasuhteista kansallisen turvallisuuden suojelemisen kannalta. Komissio totesi myös, ettei asianomaisilla henkilöillä ollut mahdollisuutta hakea hallinto- tai oikeusteitse oikeussuojaa, jonka avulla he muun muassa voisivat saada tutustua itseään koskeviin tietoihin ja saada ne tarvittaessa oikaistuiksi tai poistetuiksi.
Unionissa taattuja vapauksia ja perusoikeuksia pääosiltaan vastaavasta suojan tasosta unionin tuomioistuin toteaa, että unionin oikeuden mukaan säännöstö ei rajoitu siihen, mikä on ehdottomasti tarpeen, silloin, kun siinä sallitaan yleisesti kaikkien henkilöiden, joiden henkilötiedot siirretään unionista Yhdysvaltoihin, kaikkien henkilötietojen säilyttäminen tekemättä mitään erottelua, rajoitusta tai poikkeusta tavoiteltavan päämäärän mukaan ja säätämättä objektiivisista perusteista, jotta voitaisiin rajoittaa viranomaisten pääsyä tietoihin ja niiden myöhempää käyttöä. Unionin tuomioistuin lisää, että säännöstöstä, jonka nojalla viranomaiset pääsevät yleisesti sähköisen viestinnän sisältöön, on katsottava, että sillä loukataan yksityiselämän kunnioittamista koskevan perusoikeuden keskeistä sisältöä.
Unionin tuomioistuin katsoo samoin, että säännöstöllä, jossa yksityisille ei anneta mitään mahdollisuutta käyttää oikeussuojakeinoja, jotta he saisivat tutustua itseään koskeviin henkilötietoihin tai saada tällaiset tiedot oikaistuiksi tai poistetuiksi, loukataan tehokasta oikeussuojaa koskevan perusoikeuden keskeistä sisältöä, koska kyseinen mahdollisuus on erottamaton osa oikeusvaltiota.
Lopuksi unionin tuomioistuin toteaa, että 26.7.2000 tehty komission päätös estää kansallisia valvontaviranomaisia käyttämästä toimivaltaansa, mikäli henkilö kyseenalaistaa päätöksen yhteensopivuuden henkilöiden yksityiselämän, vapauksien ja perusoikeuksien suojan kanssa. Unionin tuomioistuimen mielestä komissiolla ei ollut toimivaltaa rajoittaa näin kansallisten valvontaviranomaisten toimivaltaa.
Kaikista näistä syistä unionin tuomioistuin julistaa 26.7.2000 tehdyn komission päätöksen pätemättömäksi. Tämän tuomion seurauksena Irlannin valvontaviranomainen on velvollinen tutkimaan Schremsin kantelun kaikkea asianmukaista huolellisuutta noudattaen, ja sen asiana on päättää tutkintansa lopuksi, onko Facebookin eurooppalaisten käyttäjien tietojen siirto Yhdysvaltoihin keskeytettävä direktiivin nojalla siitä syystä, ettei kyseinen maa tarjoa henkilötietojen suojan riittävää tasoa.

Tiedote Suomeksi

Pressmeddelande på svenska

Tilaa
Ilmoita
0 Comments
Inline Feedbacks
View all comments