Mitä Safe harbor ja Privacy Shield oikeastaan tarkoittaa?

Safe harbor sai lakkautustuomion viime lokakuussa ja sen tilalle on kaavailtu Privacy Shieldiä. Mutta mitä nämä jännän kuuloiset nimet oikein tarkoittavat?

EU:n nykyisessä tietosuojadirektiivissä ja tulevassa tietosuoja-asetuksessa edellytetään, muun ohella, riittävää tietosuojaa henkilötiedoille (koittakaa kestää juristit, vedän tässä vähän mutkia suoriksi jotta juttu olisi lyhyempi ja mielenkiintoisempi). Tietosuojadirektiivin 25 artikla (ja vastaavasti henkilötietolain 22 §) kieltää tietojen siirtämisen EU:n ulkopuolelle sellaisiin maihin, joissa ei ole riittävä tietosuojan taso. Muutama EU:n ulkopuolinen maa on todettu tällaiseksi. Listalla on muun muassa Kanada, Sveitsi ja Uruguay.

Riittävä tietosuojan taso edellyttää muun muassa, että valtiossa on olemassa riittävät oikeussuojakeinot henkilötietojen suojalle, eli ongelmista voi valittaa johonkin viranomaiseen tai tuomioistuimeen. Lisäksi valtion tulisi ainakin pääpiirteittäin noudataa EU:n tietosuojaperiaatteita, kuten esimerkiksi sitä, että tietoja voidaan kerätä vain jotain tiettyä tarkoitusta varten.

Yhdysvallat tähtäimessä

Kun tietosuojadirektiivi tuli voimaan, Yhdysvalloissa ei ollut riittävä tietosuojan taso. Näin vain oli, en valitettavasti pysty kuvaamaan tarkemmin miksi ja miten, mutta oletetaan että näin oli. Tämän vuoksi EU ja Yhdysvallat neuvottelivat ratkaisun, jossa yritykset itse sitoutuisivat näihin periaatteisiin ja ennen kaikkea tekisivät tietojen käsittelyn periaatteet selvästi näkyville niille, joiden tietoja käsiteltiin (ns. “rekisteriseloste”). Komissio totesi sitten tämän järjestelyn takaavan riittävän tietosuojan tason ja teki päätöksen asiasta, joka toimii “suosituksena” kansallisille viranomaisille eli pyrkii pitämään käytännön EU:n alueella samanlaisena.

Järjestelmän tarkoituksena oli perustaa yrityksistä omia pieniä “saarekkeita” Yhdysvaltoihin, joilla taattaisiin edes jonkinlainen tietosuojan taso. Ilmeisesti tästä “saarekkeesta” johtuen järjestelmän nimeksi valikoitui ns. “turvasatama” eli Safe harbor.

Safe harbor ei ollut mikään täydellinen järjestelmä, koska sillä ei oikein ollut kunnollista Yhdysvaltojen valtiovallan tukea, vaan kyseessä oli järjestely, jossa yritykset itse sertifioivat itsensä. Eli pahimmassa tapauksessa järjestelmään pääsi huijaamalla. Siitä huolimatta Safe harbor oli mielestäni hyvä ratkaisu, ainakin aikanaan.

Järjestelmä kaatuu

Lokakuussa 2015 EU:n tuomioistuin katsoi Schrems-ratkaisussa(C-362/14), että Safe harbor ei taannut riittävää tietosuojan tasoa. Miksi ei? Koska Edward Snowden oli vuonna 2013 paljastanut, että Yhdysvaltojen tiedusteluviranomaiset harjoittivat massiivista tietojen keräilyä monilta yhdysvaltalaisilta palveluntarjoajilta. Oma käsitykseni tuomioistuimen ratkaisusta on se, että koska tällainen toiminta on mahdollista ja koska kansalaisella ei ole riittävää mahdollisuutta oikeusturvaan tällaisissa tilanteissa, koko järjestely on mahdoton. Eli kysymys ei ollut pelkästään Safe harborista vaan siitä, että millä tahansa keinoin tehty tietojen siirto Yhdysvaltoihin ei taannut riittävää tietosuojan tasoa ja siten ei myöskään ollut tietosuojadirektiivin tai tietosuojalain mukaista. Koska tuomioistuimen ratkaistavana oli ainoastaan Safe harboria koskeva järjestely, muut käytössä olevat keinot, kuten esimerkiksi EU:n mallilausekkeet olivat vielä voimassa.

Kansalliset tietosuojaviranomaiset ovat kuitenkin tehneet selväksi, että mikäli perusongelmaa, eli sitä että Yhdysvalloissa tietosuojan taso ei ole riittävä, ei korjata, myös muutkin keinot todetaan kansallisten viranomaisten toimesta pätemättömäksi. Siitäpä vasta ongelmat alkaisivat, koska tämä tarkoittaisi että yksikään yritys ei saisi siirtää mitään tietoja Yhdysvaltoihin. Käytännössä ratkaisu olisi myös mahdoton, sillä suurin osa yritysten käyttämistä palveluista siirtää tietoja Yhdysvaltoihin, esimerkiksi monet sähköpostijärjestelmät tekevät näin.

Privacy Shield – sama tarina uudet vaatteet?

Privacy Shield esiteltiin viime viikolla ratkaisuksi Max Schremsin aikaansaamaan ongelmaan (Lue tarkemmin Privacy Shieldin ensiarviosta tästä). Heti julkistamisen jälkeen järjestelmää kehuttiin ja haukuttiin. Kehuttiin siksi, että järjestelmällä vaikuttaisi olevan vahvempi asema tietosuojan turvaamisessa. Haukuttiin lähinnä siksi, että varsinaisia takeita ongelmia aiheuttaneesta tiedusteluviranomaisten toiminnasta ei saatu muuta kuin “kirjeen” muodossa. Lisäksi ongelmaksi muodostui se, että kyseessä on jälleen kerran yritysten itsearvioinnista eli muutos ei olisi niin merkittävä. Näyttäisi tosin siltä, että Yhdysvaltain tietosuojaviranomainen FTC olisi saamassa todellista valvontavaltaa yrityksiin ja lisäksi järjestelmään olisi tulossa ns “oikeusasiamies” jolla olisi ilmeisesti jonkinlaista valtaa. Kokonaisuuden arviointi ei ole kuitenkaan helppoa koska kaikkia tarkkoja yksityiskohtia Privacy Shieldistä ei ole saatavilla.

Silti vaikuttaa siltä, että erityisesti vahvoja tietosuojaoikeuksia ajavien intressiryhmien näkökulmasta Privacy Shield on pettymys. Ilmeisesti odotuksissa oli merkittävästi suurempi uudistus, eräänlainen “Yhdysvaltojen tietosuojadirektiivi”. Tämä on jo tietenkin aikamoista toiveajattelua jos muistetaan, että kyseessä on yksi maailman suurimmista talousmahdeista.

Allaolevassa videossa voi nähdä mielenkiintoista keskustelua siitä, miten yhdysvaltalainen ajattelu yksityisyyden suojasta eroaa eurooppalaisesta:


Tämän videon keskustelun vastakkainasettelu ei voisi olla herkullisempi. Yhdysvaltalaista näkemystä edustaa pitkään liittovaltion eri virastoissa eri tehtävissä toiminut professori Peter Swire ja vastapuolta taas EU:ssa tietosuoja-aktivisti Max Schrems.

Published by

Panu Pökkylä

Blogger, enterpeneur and a senior legal counsel at Nordea. Certified Information Privacy Professional / Europe (CIPP/E). I write in Finnish about technology and law, public procurement and privacy. All opinions are mine

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s