US sanctions list screening - a European data protection issue?
Kivioja, Carolin (2021-03-26)
US sanctions list screening - a European data protection issue?
Kivioja, Carolin
(26.03.2021)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
suljettu
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe2021041610688
https://urn.fi/URN:NBN:fi-fe2021041610688
Tiivistelmä
For decades, there has been tension between extraterritorial legislation of the United States of America (US) and the aims of the European Union (EU). In particular, the extraterritorial effect of economic sanctions imposed by the US and the EU’s attempts of blocking such extraterritorial effect have left European companies in a difficult position. The conflict appears in the context of the General Data Protection Regulation (GDPR), which includes unclarity in regard to whether companies bound by it are allowed to conduct sanctions list screening for compliance with US sanctions. In the current legal state, Finnish law does not allow US sanctions list screening for all companies which US sanctions law apply to, or to the extent US sanctions list screening includes processing of personal data under Article 9 and 10 GDPR.
The goal of this master’s thesis is to identify if EU data protection law permits US sanctions list screening. This question is linked to the permissibility of US sanctions law under customary international law and the compatibility of US sanctions law with the aims and laws of the EU. The personal data that is processed in connection with US sanctions list screening includes personal data under Articles 9 and 10 GDPR. Therefore, much of the focus lies on examining the lawful bases for processing of the mentioned categories of personal data. The primary research method of this thesis is legal dogmatics. Additionally, elements of comparative law are used.
The lawful bases of legitimate interest of the controller and substantial public interest appear to apply as grounds permitting the processing of personal data in connection with US sanctions list screening. The legitimate interest is based on the high risk of penalties for a company that in incompliant with US sanctions law. The substantial public interest consists of the objectives of the EU and the preservation of the international relations between the EU and the US. However, compliance with certain US sanctions measures that are prohibited under Council Regulation (EC) No 2271/96 or highly controversial under customary international law, such as the prohibition of re-exportation of US-origin goods or Title III of the Helms-Burton Act, cannot constitute lawful purposes for processing of personal data. The EU is encouraged to clarify whether the GDPR allows US sanctions list screening. Jo usean vuosikymmenen ajan Yhdysvaltojen ekstraterritoriaalisen lainsäädännön ja Euroopan unionin (EU) tavoitteiden välillä on nähty jännitteitä. Yhtäältä Yhdysvaltojen asettamien taloudellisten pakotteiden ekstraterritoriaalinen vaikutus ja toisaalta EU:n tällaisille pakotteille asettamat rajoitustoimet ovat jättäneet eurooppalaiset yritykset vaikean valinnan äärelle. Selkeiden konfliktien lisäksi EU:n lainsäädäntö sisältää alueita, joiden osalta on epävarmaa, salliiko EU-oikeus Yhdysvaltojen pakotteiden noudattamiseksi tehdyt toimenpiteet. Yleinen tietosuoja-asetus on epäselvä sen suhteen, onko sitä soveltavien yritysten sallittua käsitellä henkilötietoja Yhdysvaltain pakotteiden noudattamiseksi. Nykyhetkellä voimassa olevassa oikeustilassa Suomen laki ei salli tällaista henkilötietojen käsittelyä kaikille niille yrityksille, joihin Yhdysvaltojen pakotelainsäädäntö soveltuu, eikä yleisen tietosuoja-asetuksen 9 ja 10 artiklan mukaisten henkilötietojen käsittelyä.
Tämän pro gradu –tutkielman tarkoituksena on tutkia, salliiko yleinen tietosuoja-asetus henki-lötietojen käsittelyn Yhdysvaltojen pakotelainsäädännön noudattamiseksi. Kysymys liittyy läheisesti Yhdysvaltojen pakotelainsäädännön sallittavuuteen kansainvälisen tapaoikeuden näkökulmasta sekä Yhdysvaltojen pakotelainsäädännön yhteensopivuuteen EU:n tavoitteiden ja lainsäädännön kanssa. Pakotelainsäädännön noudattamiseksi on käsiteltävä yleisen tietosuoja-asetuksen 9 ja 10 artiklojen mukaisia henkilötietoja. Tämän vuoksi tutkielmassa keskitytään erityisesti kyseisten henkilötietojen lainmukaisen käsittelyn edellytyksiin pakotelainsäädäntökontekstissa. Tutkielman ensisijainen tutkimusmetodi on lainopillinen. Lisäksi tutkielmassa hyödynnetään vertailevaa oikeustiedettä.
Yleisen tietosuoja-asetuksen mukaisista laillisista käsittelyperusteista oikeutettu etu ja tärkeä yleinen etu näyttäisivät sallivan henkilötietojen käsittelyn Yhdysvaltojen pakotelainsäädännön noudattamiseksi. Oikeutettu etu perustuu tässä tapauksessa merkittävään sakko- ja liiketoimi-riskiin, jolle Yhdysvaltojen pakotelainsäädäntöä noudattamatta jättävä yritys altistuu, ja tärkeä yleinen etu EU:n kansainvälisten tavoitteiden ja EU:n ja Yhdysvaltojen kansainvälisten suhteiden säilyttämiseen. Tiettyjen Yhdysvaltojen pakotteiden, jotka ovat kiellettyjä neuvoston asetuksella (EY) N:o 2271/96 tai kansainvälisen tapaoikeuden näkökulmasta kiistanalaisia, noudattaminen ei kuitenkaan voi toimia perusteena henkilötietojen käsittelylle. EU:n tulisi kuitenkin selventää oikeustilaa sen suhteen, millä edellytyksin yleinen tietosuoja-asetus sallii henkilötietojen käsittelyn Yhdysvaltojen pakotelainsäädännön noudattamiseksi.
The goal of this master’s thesis is to identify if EU data protection law permits US sanctions list screening. This question is linked to the permissibility of US sanctions law under customary international law and the compatibility of US sanctions law with the aims and laws of the EU. The personal data that is processed in connection with US sanctions list screening includes personal data under Articles 9 and 10 GDPR. Therefore, much of the focus lies on examining the lawful bases for processing of the mentioned categories of personal data. The primary research method of this thesis is legal dogmatics. Additionally, elements of comparative law are used.
The lawful bases of legitimate interest of the controller and substantial public interest appear to apply as grounds permitting the processing of personal data in connection with US sanctions list screening. The legitimate interest is based on the high risk of penalties for a company that in incompliant with US sanctions law. The substantial public interest consists of the objectives of the EU and the preservation of the international relations between the EU and the US. However, compliance with certain US sanctions measures that are prohibited under Council Regulation (EC) No 2271/96 or highly controversial under customary international law, such as the prohibition of re-exportation of US-origin goods or Title III of the Helms-Burton Act, cannot constitute lawful purposes for processing of personal data. The EU is encouraged to clarify whether the GDPR allows US sanctions list screening.
Tämän pro gradu –tutkielman tarkoituksena on tutkia, salliiko yleinen tietosuoja-asetus henki-lötietojen käsittelyn Yhdysvaltojen pakotelainsäädännön noudattamiseksi. Kysymys liittyy läheisesti Yhdysvaltojen pakotelainsäädännön sallittavuuteen kansainvälisen tapaoikeuden näkökulmasta sekä Yhdysvaltojen pakotelainsäädännön yhteensopivuuteen EU:n tavoitteiden ja lainsäädännön kanssa. Pakotelainsäädännön noudattamiseksi on käsiteltävä yleisen tietosuoja-asetuksen 9 ja 10 artiklojen mukaisia henkilötietoja. Tämän vuoksi tutkielmassa keskitytään erityisesti kyseisten henkilötietojen lainmukaisen käsittelyn edellytyksiin pakotelainsäädäntökontekstissa. Tutkielman ensisijainen tutkimusmetodi on lainopillinen. Lisäksi tutkielmassa hyödynnetään vertailevaa oikeustiedettä.
Yleisen tietosuoja-asetuksen mukaisista laillisista käsittelyperusteista oikeutettu etu ja tärkeä yleinen etu näyttäisivät sallivan henkilötietojen käsittelyn Yhdysvaltojen pakotelainsäädännön noudattamiseksi. Oikeutettu etu perustuu tässä tapauksessa merkittävään sakko- ja liiketoimi-riskiin, jolle Yhdysvaltojen pakotelainsäädäntöä noudattamatta jättävä yritys altistuu, ja tärkeä yleinen etu EU:n kansainvälisten tavoitteiden ja EU:n ja Yhdysvaltojen kansainvälisten suhteiden säilyttämiseen. Tiettyjen Yhdysvaltojen pakotteiden, jotka ovat kiellettyjä neuvoston asetuksella (EY) N:o 2271/96 tai kansainvälisen tapaoikeuden näkökulmasta kiistanalaisia, noudattaminen ei kuitenkaan voi toimia perusteena henkilötietojen käsittelylle. EU:n tulisi kuitenkin selventää oikeustilaa sen suhteen, millä edellytyksin yleinen tietosuoja-asetus sallii henkilötietojen käsittelyn Yhdysvaltojen pakotelainsäädännön noudattamiseksi.