Lyhyesti:
ei ole mallisopimuslausekkeita, jotka edes teoriassa voisivat täyttää
EU:n tietosuojalainsäädännön vaatimukset EU-kansalaisten
henkilötietojen siirron osalta kolmansiin maihin jos siirron
kohteena on yritys, joka toimii USA:n lakien vaikutuspiirissä.
Tämä kirjoitus sisältää
jotakuinkin samat asiat kuin vastaava englanninkielinen kirjoitukseni.
Tausta:
Euroopan
unionin tuomioistuin antoi lokakuun 6. päivänä tuomion asiassa
Maximillian Schrems vs. Irlannin tietosuojavaltuutettu.1
Tuomio on uutisoitu laajalti suomalaisessakin lehdistössä. Schrems
on haastanut Facebookin oikeuteen siitä, että yhtiö siirtää ja
käsittelee käyttäjiensä henkilötietoja ja henkilöön sidottuja
tietoja Yhdysvalloissa, missä valtion tiedusteluelimillä kuten
NSA:lla on mahdollisuus päästä käsiksi tietoihin. Tällainen
menettely on kuitenkin EU:n lainsäädännön
vastaista.2 EU-tuomioistuin
antoi päätöksensä Irlannin korkeimman oikeuden pyynnöstä, koska
sillä ratkaistavana olevassa tapauksessa Irlannin
tietosuojavaltuutettu on ilmoittanut kantanaan, että Schremsin asia
ei kuuluisi lainkaan kyseisen tuomioistuimen ratkaistavaksi, koska
henkilötietojen siirto perustuu EU:n ja Yhdysvaltojen väliseen,
komission hyväksymään Safe Harbour-järjestelyyn ja että asia ei
siksi kuulu kansallisen tietosuojavaltuutetun ratkaisuvaltaan.
Schrems puolestaan argumentoi, että koko Safe
Harbour-sopimusjärjestelyltä on pudonnut pohja sen jälkeen kun
Edward Snowden paljasti, että Yhdysvaltojen tiedusteluorganisaatiot
sieppaavat ja tallentavat käsittämättömän suuria määriä
käyttäjien, myös EU-maiden kansalaisten, tietoja.
EU-tuomioistuin
totesi päätöksessään, että siitä tosiseikasta johtuen että
EU-käyttäjien tietojen yksityisyys murretaan Yhdysvaltojen
tiedustelutoimilla, Safe Harbour ei enää takaa sitä
yksityisyyden tasoa, joka sen oli tarkoitus taata ja Safe Harbour on
siksi pätemätön. Lisäksi EU-tuomioistuin katsoo, että
kyseisenlaiset tapaukset kuuluvat kansallisten
tietosuojaviranomaisten ratkaisuvaltaan. Schremsin argumentti siis
voitti ja Irlannin korkein oikeus voi jatkaa tapauksen Schrems vs.
Facebook käsittelyä.
Datan sijainnista keskustelu ei riitä
Suurin
osa tiedotusvälineissä käytävää keskustelua on keskittynyt
tietojen siirtoon Yhdysvaltoihin. Tämä on ymmärrettävää koska
EU:n henkilötietodirektiivi3
ja Suomen henkilötietolaki4,
jolla direktiivin sisältö on implementoitu Suomen lainsäädäntöön,
keskittyvät henkilötietojen siirtoon. Kuitenkin vaikka on
todennäköistä, että suurin osa Yhdysvaltojen hallinnon
tiedusteluorganisaatioiden tekemästä massavalvonnasta tapahtuu maan
rajojen sisäpuolella, on esimerkkejä siitä, että Yhdysvaltain
hallinto vaatii myös tietoja, jotka on tallennettu maan rajojen
ulkopuolelle. Eurooppalaisesta näkökulmasta mielenkiintoisessa
tapauksessa Yhdysvaltain oikeusministeriö vaatii Microsoftia
luovuttamaan käyttäjien tietoja, jotka on tallennettu Microsoftin
Irlannissa sijaitsevaan palvelinkeskukseen.5 Yhdysvaltain
oikeusministeriön mielestä ”Yhdysvaltain hallinnolla on
(laillinen) oikeus vaatia kenen tahansa, missä päin maailmaa
tahansa asuvan henkilön sähköpostiviestejä miltä tahansa
sähköpostin välittäjältä, jonka pääkonttori on
Yhdysvalloissa.” Microsoft ei halua suostua pyyntöön, koska
myöntymisellä olisi merkittävä kielteinen vaikutus yhtiön
liiketoimintaan ja asiaa käsitellään siksi oikeudessa.
Jo kesäkuussa 2011 Microsoftin Iso-Britannian tytäryhtiön
toimitusjohtaja Gordon Frazer myönsi, että Microsoft ei voi taata,
että yhtiön EU-käyttäjien tiedot, jotka on tallennettu yhtiön
EU-alueella sijaitseviin palvelinkeskuksiin, olisivat suojassa
Yhdysvaltojen hallinnon tekemältä sieppaukselta ja tarkastelulta.
Frazer
sanoi: ”Microsoft ei voi antaa tällaisia takuita. Mikään muukaan
yhtiö ei voi."6
Ongelma
on kuitenkin paljon pahempi kuin pelkästään se, että
Yhdysvaltain hallinnolla on jo mainittu ”(laillinen) oikeus vaatia
kenen tahansa, missä päin maailmaa tahansa asuvan henkilön
sähköpostiviestejä miltä tahansa sähköpostin välittäjältä,
jonka pääkonttori on Yhdysvalloissa.” Ongelma on se, että
Yhdysvaltain hallinnolla on käytössään lakiteknisiä keinoja,
jotka mahdollistavat tätä paljon laajemman ihmisten tietojen
hankkimisen. Lyhyesti: jos yritys toimii Yhdysvalloissa tai sillä on
työntekijöinään Yhdysvaltojen kansalaisia Yhdysvaltojen rajojen
ulkopuolella, Yhdysvaltojen hallinto voi kummassakin tapauksessa
esittää FISA-lakia7
tietojen hankkimiseen. Pelkkä sivutoimipistekin Yhdysvalloissa
mahdollistaa tämän ja avaa oven Yhdysvaltain hallinnolle. Lain
perusteella esitetty haaste
voi
sisältää myös ”suukapulaehdon”. Tämä tarkoittaa sitä, että
tieto haasteen saamisesta on pidettävä salassa. Haasteen saanut
henkilö ei saa paljastaa saaneensa haasteen puhumattakaan siitä,
että paljastaisi siihen liittyviä yksityiskohtia ilman tuntuvia
oikeudellisia seuraamuksia. Tämä on oletettavasti se, mitä
tapahtui Edward Snowdeninkin käyttämän, täydellisesti salattua
sähköpostipalvelua tarjonneen Lavabitin tapauksessa.8
Menettelyyn liittyvät oikeustapaukset käsitellään
erityistuomioistuimissa, joiden toiminta on salaista.
Tuloksena
tästä on se, että vaikka voisimme luottaa palveluita tuottaviin
yhtiöihin itseensä, niiden palveluita käytettäessä ei voi olla
yksityisyyttä siinä mielessä kuin EU-lainsäädäntö sen
määrittelee niin kauan kuin Yhdysvaltain hallinnolla on käytössään
FISA-lain antama voima suhteessa kehen tahansa työntekijään, jolla
on mahdollisuus päästä käsiksi käyttäjien tietoihin.
Microsoftin
entinen yksityisyysasioiden pääneuvonantaja Caspar Bowden nosti
asian esiin jo vuonna
20119,
ennen
Snowdenin
tekemää asiakirjojen vuotamista ja sitä kautta saamaamme tietoa
Yhdysvaltojen kansallisen turvallisuusvirasto NSA:n PRISM-ohjelmasta10
ja muista maan tiedusteluorganisaatioiden harjoittamasta
massavalvonnasta. ”Sattumalta” Bowden vapautettiin tehtävistään
Microsoftilla 2 kuukautta tämän jälkeen.
Ajatellaan
suukapulaehdolla terästetyn FISA-haasteen saaneen työntekijän
toimintavaihtoehtoja. Tietojen luovuttamisesta kieltäytymisestä
seuraa vankeutta. Toisaalta haaste on niin salainen, että on
epätodennäköistä, että edes työntekijän esimies saa koskaan
tietää asiasta. Optimaalinen strategia on helppo nähdä: suostu
tietojen luovutukseen ja pidä suu supussa asiasta.
Yhdysvaltain
hallinnon luomus on olemukseltaan paholaismainen lakitekninen ansa.
Sen rakenne selittää myös, miksi massavalvonnan mahdollistamisesta
syytettyjen yhdysvaltalaisyritysten ylin johto on todella saattanut
olla tietämätön työntekijöidensä osuudesta käyttäjien
tietojen luovuttamisessa Yhdysvaltojen hallituksen virastoille.
Yhtiöt esiintyivät julkisuudessa kieltäen osallistuneensa
PRISM-ohjelmaan tai mihinkään sen kaltaiseen. Mitä muutakaan ylin
johto voisi tuossa tilanteessa sanoa jos he eivät tienneet
työntekijöidensä toimista? Toisaalta – mitä he todennäköisesti
sanoisivat jos he itse ovat juuri niitä, jotka ovat saaneet
suukapulaehdolla terästetyn haasteen?
Tämä on perusoikeuskysymys
Lopputulos
on EU-maan kansalaisen kannalta sama. Vaikka luottaisimme
yhdysvaltalaisiin
yhtiöihin, emme voi luottaa niiden tarjoamiin palveluihin, koska
Yhdysvaltain hallinto rikkoo oikeuttamme yksityisyyteen tavalla, joka
on vastoin EU-lainsäädäntöä.
Euroopan
ihmisoikeussopimuksen 8. artikla käsittelee oikeutta
yksityisyyteen.11
EU-tuomioistuin
perusteli päätöstään juuri
näillä perusoikeuksilla.
Väite,
että kyse on ihmisoikeuksista ei ole enää mielipideasia.
Se
on EU-tuomioistuimen päätöksen perustelujen kulmakivi.
Voi
argumentoida, että vahvalla salakirjoituksella salattujen tietojen
tallentaminen palveluihin, joita Yhdysvaltojen
tiedusteluorganisaatiot pystyvät kuuntelemaan, olisi riittävän
turvallista. Kuitenkin vaikka hyvä salausteknologia tekee tietojen
sieppaamisesta teknisesti paljon vaikeampaa, se ei salaa
oikeudellisilta toimenpiteiltä. Kannattaa myös ottaa huomioon, että
Yhdysvaltojen tiedusteluorganisaatiot ovat työskennelleet
aktiivisesti tiedonsalausmenetelmien heikentämiseksi. Tätä on
tehty muun muassa osallistumalla standardointiorganisaatioiden
työhön, jolloin halutut heikkoudet on saatu käyttöön myös
kansainvälisesti.12
On
selvää, että on muitakin maita ja tahoja, jotka ovat uhka
tietosuojalle. Esimerkiksi Kiinan ja Venäjän tiedustelu- ja
kybersotatoiminta ovat merkittävä ja jatkuva uhka. Vaikka me
EU-kansalaiset tai muidenkaan maiden kansalaiset pitäisimme näitä
maita vakavampina uhkina kuin Yhdysvaltoja, on silti vaikea nähdä
miksi hyväksyisimme Yhdysvaltojen harjoittaman yksityisyytemme
loukkaamisen. Emmehän me sano esimerkiksi rikoksen uhrille: ”Turha
valittaa siitä, että omaisuutesi, mukaan lukien henkilökohtaiset
viestintäsi,
varastettiin. Tuossa lähellä oleilee pahempia rikollisia joiden
kanssa olisi voinut käydä vielä paljon pahemmin.”
P.S. Englanninkielisen artikkelini julkaisemisen (13.10) jälkeen on tapahtunut
muun muassa seuraavaa:
14.
lokakuuta Saksan Schleswig-Holsteinin osavaltion
tietosuojaviranomainen päätti13,
että tietojen siirtäminen mallisopimuslausekkeiden perusteella
Yhdysvaltoihin on kiellettyä.
16.
lokakuuta EU:n tietosuojadirektiivin toteuttamista valvova, muun
muassa kansallisista tietosuojavaltuutetuista koostuva
asiantuntijaelin ”Article 29 Working Party”
kertoi jatkavansa EU-tuomioistuimen päätöksen analysointia.14
Sillä välin tiedonsiirtoja Yhdysvaltoihin voidaan jatkaa
mallisopimuslausekkeiden (Standard Contractual Clauses) ja yrityksiä
sitovien sääntöjen (Binding Corporate Rules)15
perusteella. Tämä
ei kuitenkaan estä kansallisia tietosuojaviranomaisia tutkimasta
esimerkiksi tapauksia, joista on tehty ilmoituksia. Jos tammikuun
2016 loppuun mennessä ei ole saatu aikaan ”uutta Safe Harbouria”
eli järjestelyä, jolla yksityisyys turvataan,
tietosuojaviranomaiset ovat ”sitoutuneet kaikkiin tarpeellisiin ja
soveltuviin toimiin, joihin saattaa sisältyä koordinoitua
toimeenpanoa (coordinated enforcement
actions).
1http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=129958
2http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:31995L0046
3http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_fi.pdf
4http://www.finlex.fi/fi/laki/ajantasa/1999/19990523
5http://www.theguardian.com/technology/2015/sep/09/microsoft-court-case-hotmail-ireland-search-warrant
6http://www.zdnet.com/article/microsoft-admits-patriot-act-can-access-eu-based-cloud-data/
7Foreign
Intelligence Surveillance Act
https://en.wikipedia.org/wiki/Foreign_Intelligence
8https://en.wikipedia.org/wiki/Lavabit#Suspension_and_gag_order
9https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2527/original/The_Cloud_Conspiracy_-_31C3_Hamburg_-_27.12.14_-_Caspar_Bowden.pdf
10https://en.wikipedia.org/wiki/PRISM_(surveillance_program)
11http://www.finlex.fi/fi/sopimukset/sopsteksti/1999/19990063#idm115968
12http://www.nytimes.com/interactive/2013/09/05/us/documents-reveal-nsa-campaign-against-encryption.html
13https://www.datenschutzzentrum.de/uploads/internationales/20151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf
14http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf
15Safe
Harbourin rinnalle luotu säännöstö, jolla pyritään
varmistamaan tietosuoja.
https://en.wikipedia.org/wiki/Binding_corporate_rules