Eurooppalainen internetin tietosuoja ei ole korulause
Kun Euroopan unionin tuomioistuin on todennut EU-komission ja Yhdysvaltojen neuvotteleman Safe Harbor -sopimuksen pätemättömäksi, on syytä pysähtyä tarkastelemaan muuttunutta tilannetta.
Sanamuodot ovat tiukkoja: EU:n tuomioistuimen mukaan EU:n ja Yhdysvaltojen Safe Harbour -tietosuojasopimus on nyt mitätöity. Näin kaikkien EU-maiden kansalliset tietoturvaviranomaiset voivat keskeyttää kansalaistensa tietojen siirtämisen Yhdysvaltoihin.
EU-tuomioistuimen päätös voi vaikuttaa ja vaikuttaakin jo muun muassa Facebookin, Googlen, Applen, Microsoftin ja Twitterin kaltaisten amerikkalaisyhtiöiden toimintaan. Suurilla nettipalveluilla ei ole enää oikeutta toimittaa eurooppalaisten käyttäjien tietoja Yhdysvaltoihin – ei siis ehkä myöskään peilata sivuja amerikkalaisilla palvelimilla, jolloin muistijärjestelmiin jää identifioitavia eurooppalaisia tietoja.
Kanteen juuret ovat niinkin kaukana kuin kesässä 2013, jolloin yhdysvaltalainen tietovuotaja Edward Snowden paljasti, että melkoinen joukko suuria amerikkalaisia yhtiöitä jakoi säännönmukaisesti käyttäjiensä tietoja Yhdysvaltain turvallisuuspalvelu NSA:lle.
Euroopan unionin tuomioistuimen lausuman mukaan tietosuojasopimus ei ole turvannut riittävästi EU-kansalaisten yksityisyyttä, koska Yhdysvaltojen lainsäädännön mukaan sikäläiset internetyhtiöt ovat velvollisia luovuttamaan viranomaisille tietoja käyttäjistään, kun kyse on esimerkiksi terrorismista tai vakoilusta. Tässä yhteydessä perusteena näemme kerran jos toisenkin amerikkalaisen taikasanan ”kansallinen turvallisuus”. Yleensä se riittää mihin tahansa tietosuojan murtamiseen uudella mantereella.
Mitätöity Safe Harbor oli yli kymmenen vuotta vanha sopimus, joka alkujaan luotiin parantamaan Yhdysvaltojen sekä muiden maiden kehnoa tietosuojaa EU:n vaatimalle tasolle. Tuomioistuimen mukaan sopimus ei kuitenkaan vienyt kehitystä siihen, että amerikkalaiset yritykset olisivat käsitelleet EU-kansalaisten tietoja unionin tietosuojalainsäädännön mukaisesti.
EU:n säännöt kieltävät EU-kansalaisten henkilökohtaisten tietojen välittämisen niihin ulkopuolisiin maihin, jotka eivät huolehdi riittävästi tietojen yksityisyydensuojasta. Asia on nyt vasta ymmärretty, vaikka me olemme kertoneet koko ajan, että ylikansallisesti toimivat pilvi- ja tiedostonjakopalvelut eivät ole koskaan kummoista tietosuojaa luvanneet liittymäsopimuksissaan.
Tapaus tuli EU-tuomioistuimen käsittelyyn yhteisöpalvelu Facebookia vastaan tehdyn kanteen yhteydessä. Kanteen nosti itävaltalainen Maximilian Schrems Facebookin Irlannissa toimivaa tytäryhtiötä vastaan sen jälkeen, kun Yhdysvaltain kansallisen turvallisuusviraston NSA:n massiivinen tietourkinta oli paljastunut.
Schremsin kanteessa todettiin, että Facebook on rikkonut tietosuojasopimuksen sääntöjä, koska se ei ole suojannut EU-kansalaisten yksityisyyttä. Kanne koski Facebookin Irlannissa toimivaa tytäryhtiötä, koska Yhdysvalloissa toimivaa yhtiötä ei varsinaisesti voi haastaa oikeuteen Euroopassa. Irlannin viranomaisten on itse päätettävä, katkaiseeko Irlanti Facebookin harjoittaman EU-kansalaisten henkilötietojen siirron Yhdysvaltoihin.
Mihin tietoja tarvitaan?
Sosiaalisen median mainonnassa yritykset jo nyt kohdentavat mainontaa selaushistorian perusteella. Suomalaisista 67 prosenttia suhtautuu kielteisesti tällaiseen mainontaan, jos kyseessä on ulkomainen yritys.
Sopimuksen avulla sekä EU:ssa että Yhdysvalloissa toimivat yritykset ovat voineet käsitellä EU-kansalaisten henkilökohtaisia tietoja, eikä Yhdysvaltojen lainsäädäntö suojele ulkomaiden kansalaisia. Se, että ylikansallinen yritys rakentaa palvelinsaleja Eurooppaan ja Suomeen, ei tee yrityksestä eurooppalaista. Olisi naiivia kuvitella, ettei yritys peilaisi palvelimia kotimaassaan ja sallisi kansallisesta turvallisuudesta huolestuneiden viranomaistensa tarkkailla bittivirtaa.
EU:n toiminnaksi tämä on vauhdikasta. Komission varapuheenjohtaja Viviane Reding totesi vasta heinäkuun loppupuolella julkaistussa muistiossaan, ettei Safe Harbor välttämättä takaa lainkaan tietosuojaa eurooppalaisille. Pian oli EU-lähteiden mukaan selvää, että Safe Harborille tapahtuu joka tapauksessa jotain NSA-skandaalista riippumatta.