Euroopan unionin tietosuojadirektiivi määrää, että EU-maiden kansalaisten henkilötietoja saa siirtää vain sellaisiin EU:n ulkopuolisiin maihin, joissa henkilötietojen voidaan olettaa olevan turvassa.
Esimerkiksi Yhdysvallat on komission päätöksellä (2000/52/EY) tulkittu maaksi, jossa eurooppalaisten henkilötietoja voidaan säilyttää ja käsitellä turvallisesti edellyttäen, että tietoja käsittelevät yritykset noudattavat tietosuojadirektiivin vaatimuksia.
Direktiivin vaatimusten noudattamisen arvioimiseksi Yhdysvaltojen kauppaministeriö on määritellyt niin kutsutut Safe Harbour (turvasatama) -periaatteet henkilötietojen turvallisesta käsittelystä. Kun amerikkalainen yritys on sitoutunut noudattamaan Safe Harbour -periaatteita, se on saanut käsitellä eurooppalaisten henkilötietoja Yhdysvalloissa.
Viimeistään Edward Snowdenin paljastukset osoittivat, että Safe Harbour on ollut pelkkää silmänlumetta. Uhkana eurooppalaisten yksityisyydelle eivät ole olleet amerikkalaiset yritykset vaan Yhdysvaltojen viranomaiset, joilla on ollut vapaa pääsy Yhdysvalloissa toimivien yritysten tietojärjestelmiin.
Tietosuojadirektiivi suojaa eurooppalaisten henkilötietoja siitä riippumatta, urkkiiko tietoja yritys, rikollinen vai viranomainen.
Kuudes lokakuuta EU-tuomioistuin antoi päätöksen, joka toteaa Safe Harbour -järjestelmän pätemättömäksi (Schrems v. Data Protection Commissioner, C-362/14). Käytännössä päätös kieltää EU-maiden kansalaisten henkilötietojen siirtämisen Yhdysvaltoihin, elleivät tietoja siirtävät yritykset pysty muulla tavoin osoittamaan, että tiedot ovat turvassa, turvassa myös Yhdysvaltojen viranomaisilta.
EU-tuomioistuimen päätös ei vaikuta vain amerikkalaisiin yrityksiin. Myös monien suomalaisten yritysten asiakas- ja henkilöstötiedot sijaitsevat amerikkalaisilla pilvipalvelimilla. Kaikkien näiden palveluiden hankintasopimukset joudutaan tarkastamaan ja tarvittaessa neuvottelemaan uusiksi esimerkiksi EU:n komission hyväksymien mallisopimuslausekkeiden mukaisesti.
Nyt kannattaa ostaa kansainväliseen ICT-sopimusjuridiikkaan perehtyneiden asianajotoimistojen osakkeita.
Kukaan ei tiedä vielä varmasti, mitä kaikkea Schrems-tuomiosta seuraa. Paljon riippuu siitä, miten eri EU-maiden tietosuojaviranomaiset sitä tulkitsevat. Ovatko esimerkiksi Suomen kansalaisen amerikkalaisen ystävänsä Facebook-seinälle kirjoittaman viestin tunnistetiedot suomalaisia vai amerikkalaisia tietoja?
Esimerkiksi Facebook tai Google tuskin lakkaavat toimimasta, mutta ne joutuvat muuttamaan toimintatapojaan ja mahdollisesti myös palveluidensa teknistä toteutusta. Niiden on pystyttävä osoittamaan, missä maassa niiden eurooppalaisten käyttäjien tiedot ovat, ja miten niiden tietoturvasta on huolehdittu.
Suomessa tuomio vaikuttaa näkyvimmin työn alla olevan verkkotiedustelulain valmisteluun, sillä tuomio ei tee eroa Euroopan unionin jäsenmaiden ja kolmansien maiden viranomaisten välillä. Myös EU-maiden viranomaisten on noudatettava EU:n tietosuojadirektiiviä.
EU-tuomioistuimen päätöksen kohdassa 94 on tärkeä lause: ”In particular, legislation permitting the public authorities to have access on a generalised basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life, as guaranteed by Article 7 of the Charter”.
Eli vapaasti suomennettuna lainsäädäntö, joka antaa viranomaisille yleisen pääsyn sähköiseen viestintään, loukkaa kansalaisten perusoikeutta yksityisyyden suojaan, jota suojaa Euroopan unionin perusoikeuskirjan artikla 7. Eikä unionin perusoikeuskirjan keskeistä sisältöä voida sivuuttaa kansallisella lainsäädännöllä, ei edes kansallista perustuslakia muuttamalla, kuten Suomessa aiottiin tehdä.
EU-maiden turvallisuusviranomaiset eivät EU-tuomioistuimen päätöksen jälkeen saa siis enää seurata kaikkea sähköistä tietoliikennettä mielenkiintoisten viestien toivossa. Edes viestien seulonnan automatisointi ei auta asiaa, sillä Euroopan unionin tietosuojalainsäädännön ja EU:n perusoikeuskirja 8 artiklan 2. momentin mukaan myös henkilötietojen automaattinen käsittely on henkilötietojen käsittelyä.
Miten tämä vaikuttaa esimerkiksi Iso-Britannian signaalitiedustelupalvelun GCHQ:n tai Ruotsin vastaavan viranomaisen FRA:n toimintaan, jää nähtäväksi. Joka tapauksessa Suomen tuleva verkkovalvontalainsäädäntö ei voi perustua massavalvonnalle, vaan sen on aina oltava kohdennettua ja perusteltua. Yksityisten viestien on oltava turvassa myös turvallisuusviranomaisilta.
Tuomioistuimen päätöksen vaikutukset eivät kuitenkaan rajoitu ainoastaan tietosuoja-asioihin. Ratkaisu alleviivaa perusoikeuksien merkitystä kaikissa tilanteissa, joissa EU-lainsäädäntöä laaditaan tai sovelletaan. Tämä ratkaisu antaa lisää pontta myös niille vaatimuksille, joiden mukaan perusoikeudet tulee nykyistä paremmin huomioida esimerkiksi kauppa- ja kehityspolitiikan yhteydessä. Ehdoton vaatimus perusoikeuksien noudattamisesta ei koske vain direktiivejä ja asetuksia, vaan myös komission päätöksiä ja kansainvälisiä sopimuksia. Nyt annettu ratkaisu ja siinä linjatut tulkinnat perusoikeuksien toteutumisesta on muistettava myös silloin, kun TTIP-sopimuksesta neuvotellaan tai kun Suomi lähtee toteuttamaan kehityspolitiikkaansa yksityisen sektorin kanssa tehtävillä hankkeilla.
Heidi Hautala ja Jyrki Kasvi