Privacy Shield -järjestely ja eurooppalainen GDPR-lainsäädäntö
Privacy Shield -järjestelmä on kaatunut. EU:n tietosuojalainsäädännön mukaan henkilötietoja ei saa siirtää EU:n ulkopuolelle, jos kohdemaan tietosuoja poikkeaa olennaisilta osin EU:n vastaavasta. Privacy Shield -järjestelmä luotiin alun perin GDPR-lainsäädäntöä silmällä pitäen, ja pitkälti sen seurauksena, mutta se ei käytännössä vastannut GDPR:n asettamia tiukkoja vaatimuksia tietosuojalle ja datan käsittelylle.
Teknologian kehityksen yhteydessä puhutaan yhä enemmän datasta: miten dataa kerätään, kenellä on siihen käyttöoikeus, millä tavalla dataa käytetään ja säilytetään, miten sen turvallisuudesta huolehditaan. Privacy Shieldin yhteydessä keskustellaan parhaimmillaan tämän kokoluokan asioista. Isommassa kuvassa EU-tuomioistuimen päätös on merkittävä ratkaisu eurooppalaisesta datasta huolehtimisessa.
Mikä Privacy Shield -järjestely on?
EU:n tietosuojalainsäädäntö tiukkeni vuonna 1995, kun voimaan astui tietosuoja-asetus GDPR. Yhdysvaltain tietosuojasääntely eroaa EU:n sääntelystä, minkä vuoksi syntyi tarve järjestelylle, jonka turvin yritykset voivat turvallisesti siirtää henkilötietoja EU:sta Yhdysvaltoihin. Tästä tarpeesta syntyi vuonna 2000 niin kutsuttu Safe Harbor -mekanismi. EU:n komission näkemyksen mukaan se takasi EU:sta siirrettyjen henkilötietojen riittävän suojan Yhdysvalloissa. Muutamia vuosia myöhemmin Safe Harbor -järjestelmä kuitenkin kumottiin riittämättömänä, ja sen tilalle vuonna 2016 laadittiin Privacy Shield -mekanismi. Privacy Shield -sopimuksen tarkoituksena oli varmistaa, että eurooppalaisten henkilötietoja suojataan, kun niitä siirretään kaupallisessa tarkoituksessa EU:n alueelta Yhdysvaltoihin.
Nyt myös Privacy Shield -järjestelmä on kohdannut suuria haasteita. EU-tuomioistuin totesi 16.7.2020 antamallaan päätöksellä, että Yhdysvaltojen kanssa sovittu Privacy Shield -järjestelmä ei täytä EU:n tietosuojalainsäädännön vaatimuksia. Ratkaisu on vastaus itävaltalaisen tietoturva-aktivistin, Max Schremsin, Facebookia vastaan nostamaan kanteeseen. Schrems teki Irlannin tietosuojavaltuutetulle kantelun, jossa hän vaati henkilötietojen siirtojen kieltämistä. Oikeusjutun ytimessä ovat sosiaalisen median palvelut, mutta tiedonsiirtoa tekevät myös monen muun toimialan yritykset. Tämän vuoksi päätöksen oikeudellinen merkitys on suuri.
EU-tuomioistuin totesi, että Yhdysvaltojen kanssa sovittu Privacy Shield -järjestelmä ei täytä EU:n tietosuojalainsäädännön vaatimuksia.
Tuomioistuin katsoi, että esimerkiksi Yhdysvaltojen lainsäädäntöön sisältyvät viranomaisten oikeudet tarkastella ja käyttää henkilötietoja sekä oikeussuojakeinot puuttua henkilötietojen käsittelyyn eivät täytä EU:n tietosuojasääntelyn vaatimuksia. EU ei voinut olla varma siitä, kunnioittavatko USA:n hallitus ja erityisesti sen tiedusteluviranomaiset EU:n kansalaisten yksityisyyttä, vai hyödyntävätkö he tietoa omiin tarkoituksiinsa. Siitä oli vahvoja epäilyksiä, eikä Yhdysvalloissa tietosuojan tasoa voitu pitää riittävänä.
Vaikka Privacy Shield oli laadittu ohjaamaan henkilötietojen siirtoa USA:n ja EU:n (ml. Sveitsi) välillä, laajemmin ottaen kysymys ei ole pelkästään Yhdysvalloista, vaan ylipäätään siitä, miten eurooppalaisten datasta ja yksityisyydestä huolehditaan riittävästi missä tahansa EU:n ulkopuolella. Yhdysvallat on tässä ainutlaatuisessa asemassa, sillä Eurooppa on merkittävä markkina-alue yhdysvaltalaisille viestintä- ja teknologia-alan yrityksille. Euroopassa käytetään laajasti juuri Yhdysvalloista tulevia teknologiaratkaisuja, kuten somesovelluksia, ohjelmistoja, pilvipalveluja ja hakukoneita.
Kesällä EU-tuomioistuimen päätöstä kiitettiin laajasti ja sitä hehkutettiin voittona eurooppalaisten yksityisyydensuojalle. Ratkaisu selkeyttää EU:n tietosuoja-asetuksen, GDPR:n, tulkintaa ja käytännön vaikutuksia. Yksittäisen henkilön kannalta ratkaisu voidaankin nähdä lisääntyneenä tietosuojana ja osoituksena EU:n järjestelmällisestä työstä asian eteen. Samalla se nähdään näpäytyksenä Googlen ja Facebookin kaltaisille yrityksille, jotka keräävät käyttäjiltään suunnattomasti dataa kaupallisiin ja osin tuntemattomiin tarkoituksiin. Mutta millaiseksi maailma muuttuu Privacy Shieldin jälkeen?
Mitä Privacy Shieldin jälkeen?
Muutos tarkoittaa käytännössä sitä, että henkilötietojen siirtäminen EU:sta Yhdysvaltoihin Privacy Shield -järjestelyn nojalla on tästä lähtien laitonta. Sallittua sen sijaan on tietojen siirto niin sanottujen mallisopimuslausekkeiden perusteella. Mallisopimuslausekkeet ovat EU-komission hyväksymiä vakiomuotoisia sopimusehtoja, joiden avulla henkilötietoja voi luovuttaa EU:n rekisterinpitäjiltä muualle. Niiden avulla yritykset voivat yhteistyössään sitoutua henkilötietojen suojaamiseen EU-lainsäädännön edellyttämällä tavalla.
Mallisopimuslausekkeiden käyttö ei kuitenkaan ole suoraviivaista, vaan EU-tuomioistuin velvoittaa rekisterinpitäjiä jatkossa itse arvioimaan, voiko mallisopimuslausekkeiden perusteella siirtää tietoa niin, että se on riittävästi suojattua. HS:n artikkelissa todetaan, että rekisterinpitäjän pitää arvioida esimerkiksi sitä, onko kohdemaan turvallisuusviranomaisilla valtuuksia, jotka heikentävät lausekkeiden suojan tason. Päätöstä joudutaan siis jatkossa harkitsemaan aina tapauskohtaisesti.
Yritysten näkökulmasta mallisopimuslausekkeiden suurena ongelmana on se, että nykyisessä muodossaan niiden käyttöönotto on työlästä ja vaatii yrityksiltä todellista erikoisosaamista ja mittavia panostuksia. Viranomaisilta puolestaan nopea muutos edellyttää tilanteeseen sopeutumista ja mahdollisten väliaikaisratkaisujen miettimistä. Ylen artikkelissa kyberturvallisuuden professori Jarno Limnéll arvioi, että muutos saattaa pidemmällä aikavälillä kannustaa entisestään siihen, että Euroopassa syntyisi omia somekanavia, joita eurooppalaiset käyttäisivät, ja joita voitaisiin paremmin toteuttaa eurooppalaisin säännöin. Yhdysvaltalaisyrityksiä ratkaisu puolestaan pakottaa miettimään tilannetta uudelleen ja muun muassa perustamaan uusia datakeskuksia Eurooppaan.
Yritysten näkökulmasta mallisopimuslausekkeiden suurena ongelmana on työläs käyttöönotto, joka vaatii yrityksiltä todellista erityisosaamista
Lähteekö Facebook Euroopasta?
On vaikea sanoa, miten päätös tulee konkreettisesti vaikuttamaan yritysten toimintaan ja millaiseksi käytännöt tulevaisuudessa asettuvat. Lyhyellä aikavälillä ratkaisu voi saada aikaan epätietoisuutta EU:n ja Yhdysvaltojen väliseen kauppapolitiikkaan, joka on riippuvaista henkilötietojen käsittelystä ja tietosuojakysymyksistä. Pidemmällä aikavälillä selkeät pelisäännöt voivat kuitenkin syventää molemminpuolista luottamusta ja yhteistyötä.
Vice kertoo, että Euroopan tietosuoja sai Facebookin reagoimaan. Somejätti uhkaa vetäytyä Euroopasta kokonaan, mikäli yhtiön suorittamaan tiedonkeruuseen puututaan entistä enemmän. Privacy Shieldin kaatumisen jälkeen Irlannin tietosuojaviranomainen DPC antoi Facebookille määräyksen, joka kieltää sitä siirtämästä Euroopassa keräämäänsä dataa Yhdysvaltoihin. Sakko kiellon rikkomisesta voi olla jopa kolme miljardia dollaria.
Facebook uhkaa vetäytyä Euroopasta kokonaan, mikäli yhtiön suorittamaan tiedonkeruuseen puututaan entistä enemmän.
Määräys oli Facebookin kannalta erityisen ikävä, sillä sen liiketoiminta perustuu pitkälti kohdennettuun mainontaan. Facebookin mukaan sille ei jää vaihtoehtoja: mikäli DPC:n päätös jää voimaan, yhtiön on pakko vetäytyä Euroopasta ja lopettaa sekä Facebook- ja Instagram-palvelujen tarjoaminen sadoille miljoonille europpalaisille.
Tämä tuskin toteutuu, ja ärhäkän ensireaktion jälkeen Facebookin VP Nick Clegg totesi, ettei Facebookilla ole missään nimessä halua vetäytyä Euroopasta. Samaan hengenvetoon hän kuitenkin lisäsi, että Privacy Shieldin kaatumisen jälkeen poliitikoilta ja viranomaisilta odotetaan kiireesti ratkaisua tilanteeseen.
Lue lisää: Privacy Shield uudistuu: tuoko se helpotuksen IT-jättien GDPR-ongelmiin?
