Tuesday, October 20, 2015

Mallisopimuslausekkeet tai sopimukset eivät pelasta Safe Harbourin mitätöinnin jälkeen

Lyhyesti: ei ole mallisopimuslausekkeita, jotka edes teoriassa voisivat täyttää EU:n tietosuojalainsäädännön vaatimukset EU-kansalaisten henkilötietojen siirron osalta kolmansiin maihin jos siirron kohteena on yritys, joka toimii USA:n lakien vaikutuspiirissä.

Tämä kirjoitus sisältää jotakuinkin samat asiat kuin vastaava englanninkielinen kirjoitukseni.

Tausta:

Euroopan unionin tuomioistuin antoi lokakuun 6. päivänä tuomion asiassa Maximillian Schrems vs. Irlannin tietosuojavaltuutettu.1 Tuomio on uutisoitu laajalti suomalaisessakin lehdistössä. Schrems on haastanut Facebookin oikeuteen siitä, että yhtiö siirtää ja käsittelee käyttäjiensä henkilötietoja ja henkilöön sidottuja tietoja Yhdysvalloissa, missä valtion tiedusteluelimillä kuten NSA:lla on mahdollisuus päästä käsiksi tietoihin. Tällainen menettely on kuitenkin EU:n lainsäädännön vastaista.2 EU-tuomioistuin antoi päätöksensä Irlannin korkeimman oikeuden pyynnöstä, koska sillä ratkaistavana olevassa tapauksessa Irlannin tietosuojavaltuutettu on ilmoittanut kantanaan, että Schremsin asia ei kuuluisi lainkaan kyseisen tuomioistuimen ratkaistavaksi, koska henkilötietojen siirto perustuu EU:n ja Yhdysvaltojen väliseen, komission hyväksymään Safe Harbour-järjestelyyn ja että asia ei siksi kuulu kansallisen tietosuojavaltuutetun ratkaisuvaltaan. Schrems puolestaan argumentoi, että koko Safe Harbour-sopimusjärjestelyltä on pudonnut pohja sen jälkeen kun Edward Snowden paljasti, että Yhdysvaltojen tiedusteluorganisaatiot sieppaavat ja tallentavat käsittämättömän suuria määriä käyttäjien, myös EU-maiden kansalaisten, tietoja.

EU-tuomioistuin totesi päätöksessään, että siitä tosiseikasta johtuen että EU-käyttäjien tietojen yksityisyys murretaan Yhdysvaltojen tiedustelutoimilla, Safe Harbour ei enää takaa sitä yksityisyyden tasoa, joka sen oli tarkoitus taata ja Safe Harbour on siksi pätemätön. Lisäksi EU-tuomioistuin katsoo, että kyseisenlaiset tapaukset kuuluvat kansallisten tietosuojaviranomaisten ratkaisuvaltaan. Schremsin argumentti siis voitti ja Irlannin korkein oikeus voi jatkaa tapauksen Schrems vs. Facebook käsittelyä.

Datan sijainnista keskustelu ei riitä

Suurin osa tiedotusvälineissä käytävää keskustelua on keskittynyt tietojen siirtoon Yhdysvaltoihin. Tämä on ymmärrettävää koska EU:n henkilötietodirektiivi3 ja Suomen henkilötietolaki4, jolla direktiivin sisältö on implementoitu Suomen lainsäädäntöön, keskittyvät henkilötietojen siirtoon. Kuitenkin vaikka on todennäköistä, että suurin osa Yhdysvaltojen hallinnon tiedusteluorganisaatioiden tekemästä massavalvonnasta tapahtuu maan rajojen sisäpuolella, on esimerkkejä siitä, että Yhdysvaltain hallinto vaatii myös tietoja, jotka on tallennettu maan rajojen ulkopuolelle. Eurooppalaisesta näkökulmasta mielenkiintoisessa tapauksessa Yhdysvaltain oikeusministeriö vaatii Microsoftia luovuttamaan käyttäjien tietoja, jotka on tallennettu Microsoftin Irlannissa sijaitsevaan palvelinkeskukseen.5 Yhdysvaltain oikeusministeriön mielestä ”Yhdysvaltain hallinnolla on (laillinen) oikeus vaatia kenen tahansa, missä päin maailmaa tahansa asuvan henkilön sähköpostiviestejä miltä tahansa sähköpostin välittäjältä, jonka pääkonttori on Yhdysvalloissa.” Microsoft ei halua suostua pyyntöön, koska myöntymisellä olisi merkittävä kielteinen vaikutus yhtiön liiketoimintaan ja asiaa käsitellään siksi oikeudessa. 

Jo kesäkuussa 2011 Microsoftin Iso-Britannian tytäryhtiön toimitusjohtaja Gordon Frazer myönsi, että Microsoft ei voi taata, että yhtiön EU-käyttäjien tiedot, jotka on tallennettu yhtiön EU-alueella sijaitseviin palvelinkeskuksiin, olisivat suojassa Yhdysvaltojen hallinnon tekemältä sieppaukselta ja tarkastelulta. Frazer sanoi: ”Microsoft ei voi antaa tällaisia takuita. Mikään muukaan yhtiö ei voi."6

Ongelma on kuitenkin paljon pahempi kuin pelkästään se, että Yhdysvaltain hallinnolla on jo mainittu ”(laillinen) oikeus vaatia kenen tahansa, missä päin maailmaa tahansa asuvan henkilön sähköpostiviestejä miltä tahansa sähköpostin välittäjältä, jonka pääkonttori on Yhdysvalloissa.” Ongelma on se, että Yhdysvaltain hallinnolla on käytössään lakiteknisiä keinoja, jotka mahdollistavat tätä paljon laajemman ihmisten tietojen hankkimisen. Lyhyesti: jos yritys toimii Yhdysvalloissa tai sillä on työntekijöinään Yhdysvaltojen kansalaisia Yhdysvaltojen rajojen ulkopuolella, Yhdysvaltojen hallinto voi kummassakin tapauksessa esittää FISA-lakia7 tietojen hankkimiseen. Pelkkä sivutoimipistekin Yhdysvalloissa mahdollistaa tämän ja avaa oven Yhdysvaltain hallinnolle. Lain perusteella esitetty haaste
voi sisältää myös ”suukapulaehdon”. Tämä tarkoittaa sitä, että tieto haasteen saamisesta on pidettävä salassa. Haasteen saanut henkilö ei saa paljastaa saaneensa haasteen puhumattakaan siitä, että paljastaisi siihen liittyviä yksityiskohtia ilman tuntuvia oikeudellisia seuraamuksia. Tämä on oletettavasti se, mitä tapahtui Edward Snowdeninkin käyttämän, täydellisesti salattua sähköpostipalvelua tarjonneen Lavabitin tapauksessa.8 Menettelyyn liittyvät oikeustapaukset käsitellään erityistuomioistuimissa, joiden toiminta on salaista.

Tuloksena tästä on se, että vaikka voisimme luottaa palveluita tuottaviin yhtiöihin itseensä, niiden palveluita käytettäessä ei voi olla yksityisyyttä siinä mielessä kuin EU-lainsäädäntö sen määrittelee niin kauan kuin Yhdysvaltain hallinnolla on käytössään FISA-lain antama voima suhteessa kehen tahansa työntekijään, jolla on mahdollisuus päästä käsiksi käyttäjien tietoihin. Microsoftin entinen yksityisyysasioiden pääneuvonantaja Caspar Bowden nosti asian esiin jo vuonna 20119, ennen Snowdenin tekemää asiakirjojen vuotamista ja sitä kautta saamaamme tietoa Yhdysvaltojen kansallisen turvallisuusvirasto NSA:n PRISM-ohjelmasta10 ja muista maan tiedusteluorganisaatioiden harjoittamasta massavalvonnasta. ”Sattumalta” Bowden vapautettiin tehtävistään Microsoftilla 2 kuukautta tämän jälkeen.

Ajatellaan suukapulaehdolla terästetyn FISA-haasteen saaneen työntekijän toimintavaihtoehtoja. Tietojen luovuttamisesta kieltäytymisestä seuraa vankeutta. Toisaalta haaste on niin salainen, että on epätodennäköistä, että edes työntekijän esimies saa koskaan tietää asiasta. Optimaalinen strategia on helppo nähdä: suostu tietojen luovutukseen ja pidä suu supussa asiasta.

Yhdysvaltain hallinnon luomus on olemukseltaan paholaismainen lakitekninen ansa. Sen rakenne selittää myös, miksi massavalvonnan mahdollistamisesta syytettyjen yhdysvaltalaisyritysten ylin johto on todella saattanut olla tietämätön työntekijöidensä osuudesta käyttäjien tietojen luovuttamisessa Yhdysvaltojen hallituksen virastoille. Yhtiöt esiintyivät julkisuudessa kieltäen osallistuneensa PRISM-ohjelmaan tai mihinkään sen kaltaiseen. Mitä muutakaan ylin johto voisi tuossa tilanteessa sanoa jos he eivät tienneet työntekijöidensä toimista? Toisaalta – mitä he todennäköisesti sanoisivat jos he itse ovat juuri niitä, jotka ovat saaneet suukapulaehdolla terästetyn haasteen?


Tämä on perusoikeuskysymys


Lopputulos on EU-maan kansalaisen kannalta sama. Vaikka luottaisimme yhdysvaltalaisiin yhtiöihin, emme voi luottaa niiden tarjoamiin palveluihin, koska Yhdysvaltain hallinto rikkoo oikeuttamme yksityisyyteen tavalla, joka on vastoin EU-lainsäädäntöä.

Euroopan ihmisoikeussopimuksen 8. artikla käsittelee oikeutta yksityisyyteen.11  EU-tuomioistuin perusteli päätöstään juuri näillä perusoikeuksilla. Väite, että kyse on ihmisoikeuksista ei ole enää mielipideasia. Se on EU-tuomioistuimen päätöksen perustelujen kulmakivi.

Voi argumentoida, että vahvalla salakirjoituksella salattujen tietojen tallentaminen palveluihin, joita Yhdysvaltojen tiedusteluorganisaatiot pystyvät kuuntelemaan, olisi riittävän turvallista. Kuitenkin vaikka hyvä salausteknologia tekee tietojen sieppaamisesta teknisesti paljon vaikeampaa, se ei salaa oikeudellisilta toimenpiteiltä. Kannattaa myös ottaa huomioon, että Yhdysvaltojen tiedusteluorganisaatiot ovat työskennelleet aktiivisesti tiedonsalausmenetelmien heikentämiseksi. Tätä on tehty muun muassa osallistumalla standardointiorganisaatioiden työhön, jolloin halutut heikkoudet on saatu käyttöön myös kansainvälisesti.12

On selvää, että on muitakin maita ja tahoja, jotka ovat uhka tietosuojalle. Esimerkiksi Kiinan ja Venäjän tiedustelu- ja kybersotatoiminta ovat merkittävä ja jatkuva uhka. Vaikka me EU-kansalaiset tai muidenkaan maiden kansalaiset pitäisimme näitä maita vakavampina uhkina kuin Yhdysvaltoja, on silti vaikea nähdä miksi hyväksyisimme Yhdysvaltojen harjoittaman yksityisyytemme loukkaamisen. Emmehän me sano esimerkiksi rikoksen uhrille: ”Turha valittaa siitä, että omaisuutesi, mukaan lukien henkilökohtaiset viestintäsi, varastettiin. Tuossa lähellä oleilee pahempia rikollisia joiden kanssa olisi voinut käydä vielä paljon pahemmin.”

P.S. Englanninkielisen artikkelini julkaisemisen (13.10) jälkeen on tapahtunut muun muassa seuraavaa:

14. lokakuuta Saksan Schleswig-Holsteinin osavaltion tietosuojaviranomainen päätti13, että tietojen siirtäminen mallisopimuslausekkeiden perusteella Yhdysvaltoihin on kiellettyä.

16. lokakuuta EU:n tietosuojadirektiivin toteuttamista valvova, muun muassa kansallisista tietosuojavaltuutetuista koostuva asiantuntijaelin ”Article 29 Working Party” kertoi jatkavansa EU-tuomioistuimen päätöksen analysointia.14 Sillä välin tiedonsiirtoja Yhdysvaltoihin voidaan jatkaa mallisopimuslausekkeiden (Standard Contractual Clauses) ja yrityksiä sitovien sääntöjen (Binding Corporate Rules)15 perusteella. Tämä ei kuitenkaan estä kansallisia tietosuojaviranomaisia tutkimasta esimerkiksi tapauksia, joista on tehty ilmoituksia. Jos tammikuun 2016 loppuun mennessä ei ole saatu aikaan ”uutta Safe Harbouria” eli järjestelyä, jolla yksityisyys turvataan, tietosuojaviranomaiset ovat ”sitoutuneet kaikkiin tarpeellisiin ja soveltuviin toimiin, joihin saattaa sisältyä koordinoitua toimeenpanoa (coordinated enforcement actions).

1http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=129958
2http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:31995L0046
3http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_fi.pdf
4http://www.finlex.fi/fi/laki/ajantasa/1999/19990523
5http://www.theguardian.com/technology/2015/sep/09/microsoft-court-case-hotmail-ireland-search-warrant
6http://www.zdnet.com/article/microsoft-admits-patriot-act-can-access-eu-based-cloud-data/
7Foreign Intelligence Surveillance Act https://en.wikipedia.org/wiki/Foreign_Intelligence
8https://en.wikipedia.org/wiki/Lavabit#Suspension_and_gag_order
9https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2527/original/The_Cloud_Conspiracy_-_31C3_Hamburg_-_27.12.14_-_Caspar_Bowden.pdf
10https://en.wikipedia.org/wiki/PRISM_(surveillance_program)
11http://www.finlex.fi/fi/sopimukset/sopsteksti/1999/19990063#idm115968
12http://www.nytimes.com/interactive/2013/09/05/us/documents-reveal-nsa-campaign-against-encryption.html
13https://www.datenschutzzentrum.de/uploads/internationales/20151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf
14http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf

15Safe Harbourin rinnalle luotu säännöstö, jolla pyritään varmistamaan tietosuoja. https://en.wikipedia.org/wiki/Binding_corporate_rules

3 comments:

Kimmo Bergius said...

Moi Elias - miten kommentoisit Tietosuojavaltuutetun Safe Harboria koskevaa tiedotetta => http://www.tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2015/10/safeharbor-tiedote5.html. Siinä todetaan, että mm. mallisopimuslausekkeet mahdollistavat henkilötietojen siirron.

Eliaksen blogi said...

Mallisopimuslausekkeet mahdollistavat henkilötietojen siirron tällä haavaa tammikuun 2016 loppuun asti. Sen jälkeen kannattaa varautua siihen, että jos Yhdysvallat ja EU eivät ole saaneet aikaan "uutta Safe Harbouria" aikaan, nekin tulevat uudelleen tarkasteluun.

Tietosuojavaltuutetun sivuilla olevan ilmoituksen oikea tulkinta on parhaan ymmärrykseni mukaan se, että asiaa tarkastellaan kriittisesti tammikuussa 2016. Tämä käy ilmi Working Party 29:n tiedotteesta. http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf

Asiasta olisi kyllä hyvä kysyä tarkennusta tietosuojavaltuutetulta.

Eliaksen blogi said...

Tarkennan vielä, jotta asia tulee aivan selväksi. Mallisopimuslausekkeiden ongelma on sama kuin minkä tahansa sopimuksen. Yhdysvaltalaisten yritysten kohdalla on selvää, että yritys ei voi uskottavasti tehdä sellaista sopimusta, että EU-käyttäjien tiedot ovat turvassa. Koska tiedot vakuutteluista huolimatta eivät ole yksityisyyden suojassa EU-tuomioistuimen tarkoittamalla tavalla, sopimus on mieletön.

Unohtui lisäksi sanoa, että WP29:n julkilausumaa tulkitessa kannattaa ottaa huomioon, että se on annettu tilanteessa, jossa osassa Saksan liittotasavaltaa on jo katsottu myös mallisopimuslauseiden olevan mitättömiä. Tietosuojavaltuutetut keskustelivat asiasta tuon ilmoituksen jälkeen.