tiistai 6. lokakuuta 2015

Turvasataman poistuminen vaikeuttaa nettipalvelujen toimintaa

EU-tuomioistuin (ECJ) päätti tänään, ettei USA:n ja EU:n välinen tiedon turvasatama -sopimus (Safe Harbour) ole enää voimassa, koska amerikkalaisyritysten hallussa olevien henkilötietojen suojaukseen ei voida luottaa.

Johtopäätös on looginen, onhan tiedossa että USA:ssa henkilötietojen käsittely on varsin vapaata ja sitä rajoittaa lähinnä yritysten itsesääntely. Silti tuomioistuimen päätös tuli yllätyksenä, etenkin kun uutta sopimusta on neuvoteltu jo pitkään. Alkuperäinen sopimus on vuodelta 2000. Loppumetreillä on myös EU:n tietosuoja-asetuksen uusittu versio.

ECJ:n päätös vaikuttaa erityisesti tunnettuihin nettiyhtiöihin, mutta myös tuhansiin muihin, jotka käsittelevät toimeksiannosta tai pilvipalveluna Euroopassa tuotettua dataa. Jatkossa tietoja luovuttavan eurooppalaisen ja niitä käsittelevän amerikkalaisen yrityksen on tehtävä keskinäinen sopimus tietojen käsittelystä, mikä ilahduttaa kovasti alan juristeja mutta kauhistuttaa molempien mantereiden yrityksiä.

Tuomioistuimen päätös vaikuttaa kovin idealistiselta. Tavoite henkilötietojen suojaamisesta on oikea ja ylevä, mutta arkipäiväinen toiminta on jotain muuta. Byrokratian lisääminen ja juristien työllistäminen ei ole kenenkään edun mukaista.

EU-tuomioistuin joutui ottamaan kantaa asiaan itävaltalaisen opiskelijan vaatimuksesta. Snowdenin paljastusten jälkeen Max Schrems alkoi epäillä, ettei Facebook pysty suojelemaan käyttäjiensä henkilötietoja EU:n tietosuojadirektiivin edellyttämällä tavalla. Hän valitti asiasta Irlannin tietosuojavaltuutetulle ja tämän suhtauduttua nuivasti pyyntöön asia päätyi ECJ:lle.

Snowdenin kesäkuussa 2013 vuotamat Prism-dokumentit osoittivat, että NSA:lla oli pääsy mm. Googlen, Applen, Facebookin ja Microsoftin tiedostoihin. Yritykset itse kiistivät jyrkästi luovuttavansa tietoja NSA:lle, ja tyhmää se olisi ollutkin: yhteistyö olisi paljastunut ennen pitkää ja aiheuttanut suurta haittaa niiden omalle liiketoiminnalle ja sitä kautta koko maalle. Liian suora yhteistyö ei olisi edes NSA:n etujen mukaista.

Googlen tapauksessa kävi ilmi, että ainakin osan tiedoista NSA oli urkkinut Googlen palvelinkeskusten välisestä liikenteestä ilman Googlen apua ja ilmeisesti yhtiön tietämättä. Jos näin oli tehty muidenkin yhtiöiden kohdalla, ECJ:n päätös tuntuu kohtuuttomalta. NSA:n urkinta puree samalla tavalla myös eurooppalaisiin yhtiöihin, eikä sillä, missä maassa henkilötietoja fyysisesti säilytetään, ole juurikaan vaikuta urkintaan. Lisäksi viranomaisten tiedonsaantioikeus pilvipalveluista on samanlainen niin USA:ssa kuin Euroopassakin, ja vakoilu taas on kaikkien sääntöjen ulkopuolella.

Huolestuttavinta päätöksessä on suuntaus kohti netin rajoittamista ja sen pirstomista alueellisiin saarekkeisiin. On vaara, että jatkossa EU-maiden tietoja saa säilyttää ja käsitellä vain EU:n sisällä. Vastaava laki tuli syksyllä voimaan Venäjällä. Siellä laki vaikuttaa nettipalveluiden lisäksi myös niihin kaupan alan suomalaisyrityksiin, joilla on asiakasrekistereitä venäjän kansalaisista.

ECJ:n päätöstä voi tulkita myös kannanottona verkkotiedustelua vastaan. Yksityisyys on perusoikeus, eikä viestintätietoja saa kerätä massavalvontana. Onkin kiinnostavaa nähdä, miten ECJ:n päätös vaikuttaa vaikkapa Saksan tai Britannian verkkotiedusteluun, joka on yhtä laajaa kuin NSA:n, vaikka tapahtuukin EU-alueen sisäpuolella.

5 kommenttia:

Anonyymi kirjoitti...

Jatkossa tietoja luovuttavan eurooppalaisen ja niitä käsittelevän amerikkalaisen yrityksen on tehtävä keskinäinen sopimus tietojen käsittelystä,

Voiko mikään sopimus korjata rakenteellista valuvikaa USA:n ja EU:n tietosuojan välillä? Peruslähtökohta kuitenkin on, että tietojen siirtäminen maahan, joka ei tarjoa likimakinkaan EU-tasoista suojaa on kielletty.

Varsinainen ongelma on siinä, että USA:n viranomaisten lailliset tiedonsaantivaltuudet ovat olennaisesti laajemmat kuin mitä EU:ssa pidetään hyväksyttävänä. Jos USA:n viranomainen haluaa tiedot, niin kaupallinen sopimus ei taida viranomaista pysäyttää?

Toinen, merkittävä asia on kysymys tehokkaista oikeussuojakeinoista. Sen, kenen tiedoista on kyse, on käytännössä mahdotonta riitauttaa USA:n viranomaisen tietopyyntöjä. Vaatimus tehokkaista oikeussuojakeinoista on relevantti myös EU:n sisäisesti: jokaisella on oltava todellinen mahdollisuus riitauttaa omien tietojensa käyttö. Big data-hankkeille vaikeuksia?

Huolestuttavinta päätöksessä on suuntaus kohti netin rajoittamista ja sen pirstomista alueellisiin saarekkeisiin. On vaara, että jatkossa EU-maiden tietoja saa säilyttää ja käsitellä vain EU:n sisällä.

Ei päätös nettiin yleensä vaikuta, vain henkilötietojen käsittelyyn. Minusta on oikein hyvä asia, että henkilötiedot eivät ole vapaata riistaa vaan niitä on käsiteltävä huolellisesti.

Kaiken kaikkiaan tuomio on vahva kannanotto sen puolesta, että digitalisaatio ja globalisaatio eivät ole mitään verukkeita yksityisyydensuojan romuttamiselle. Henkilötietojen suoja on turvattava myös netissä.

Petteri Järvinen kirjoitti...

Suojan ei tarvitse tulla lain tasolta, jos tiedot vastaanottava yritys sitoutuu sopimuksella riittävään tietosuojaan.

Käsittääkseni USA:n viranomaisten tiedonsaantioikeus ei poikkea eurooppalaisesta. Meilläkin viranomaisilla on laajat tiedonsaantioikeudet rekistereistä, mitä kuvastaa esim. valtion käytäntö myydä kansalaisten henkilötietoja yrityksille (ellei kansalainen sitä ole kieltänyt).

Vakoilu on käytännössä lakien ulkopuolella, joten sitä päätös ei voi koskea. Brittien GCHQ vakoilee vähintään yhtä aktiivisesti kuin NSA EU-tietosuojalaeista huolimatta.

Jenkit näyttävät pärjäävän Eurooppaa paremmin monilla alueilla puuttuvista laeista huolimatta. Jotain he ovat tehneet oikein.

Anonyymi kirjoitti...

ECJ kyllä piti varsin suorasanaisesti USA:n tiedonsaantioikeutta olennaisesti eurooppalaista laajempana. Siinä missä Euroopassa oikeuden on oltava perusteltu ja rajattu, Safe Harbor -päätöksessä USA:lla on pääsy mitä moninaisimmin perustein, esim.
86 Thus, Decision 2000/520 lays down that ‘national security, public interest, or law enforcement requirements’ have primacy over the safe harbour principles, primacy pursuant to which self-certified United States organisations receiving personal data from the European Union are bound to disregard those principles without limitation where they conflict with those requirements and therefore prove incompatible with them.,
yleisemmin tuomion kohdat 82-98.
http://curia.europa.eu/juris/documents.jsf?num=C-362/14

Näkisin asian niin, että riittävä tietosuojan taso voidaan turvata sopimusperusteisesti, jos tiedot vastaanottavan maan tietosuojalainsäädäntö on kehittymätöntä. Sen sijaan, jos kehittyneellä lainsäädännöllä annetaan viranomaisille ylettömän laajat valtuudet, mikään sopimus ei auta. Viranomainen voi milloin tahansa hankkia tarvittavat luvat ja vaatia pääsyn tietoihin.

Kansallinen turvallisuus saattaa olla hyväksyttävä peruste EU:ssakin, mutta USAssa tietoihin voi päästä käsiksi muillakin perusteilla. Toisaalta kansallinen turvallisuus on EU:n jäsenilläkin, eikä sitä mitenkään välttämättä edistä, että kansalaisten tiedot ovat vapaasti vieraiden valtioiden seulottavana.

Petteri Järvinen kirjoitti...

EU:ssa operaattorit velvoitetaan tallentamaan teletunnistetiedot ja antamaan niitä viranomaisille rikosepäilyissä. Suomalaisilla viranomaisilla on tod.näk. enemmän rekistereitä kansalaisistaan kuin millään muulla maalla, kansalaisten kameravalvonta on Britanniassa länsimaiden laajinta jne.

Itse en ymmärrä, mihin ECJ:n väite amerikkalaisviranomaisten laajemmasta tiedonsaantioikeudesta perustuu.

Anonyymi kirjoitti...

Tuolla tuomiossa asia on kyllä selitetty. Miten onkin, että tuomio on saatavilla mm. slovakiaksi, sloveeniksi ja maltaksi käännettynä - mutta ei suomeksi...

Vaikka tuomio annettiinkin Safe Harbour-päätöksestä, tuomiossa paalutetaan aika tiukasti periaatteita, joita EU:ssa on noudatettava. Eipä kyllä yllättäisi lainkaan, jos yksi jos toinenkin rekisteri - ja pääsy sen tietoihin - olisi myös EU:ssa toteutettu tavalla, joka ei ole ihan pilkulleen ko. tuomion mukainen.

Pääsy tietoihin on tuomiossa vain yksi aspekti. Toinen on, että onko tietoluovutuksen kohteella käytettävissä tehokkaita oikeussuojakeinoja pääsyn laillisuuden selvittämiseksi ja kyseenalaistamiseksi.

87 In the light of the general nature of the derogation set out in the fourth paragraph of Annex I to Decision 2000/520, that decision thus enables interference, founded on national security and public interest requirements or on domestic legislation of the United States, with the fundamental rights of the persons whose personal data is or could be transferred from the European Union to the United States. To establish the existence of an interference with the fundamental right to respect for private life, it does not matter whether the information in question relating to private life is sensitive or whether the persons concerned have suffered any adverse consequences on account of that interference (judgment in Digital Rights Ireland and Others, C‑293/12 and C‑594/12, EU:C:2014:238, paragraph 33 and the case-law cited).

88 In addition, Decision 2000/520 does not contain any finding regarding the existence, in the United States, of rules adopted by the State intended to limit any interference with the fundamental rights of the persons whose data is transferred from the European Union to the United States, interference which the State entities of that country would be authorised to engage in when they pursue legitimate objectives, such as national security.

89 Nor does Decision 2000/520 refer to the existence of effective legal protection against interference of that kind. As the Advocate General has observed in points 204 to 206 of his Opinion, procedures before the Federal Trade Commission — the powers of which, described in particular in FAQ 11 set out in Annex II to that decision, are limited to commercial disputes — and the private dispute resolution mechanisms concern compliance by the United States undertakings with the safe harbour principles and cannot be applied in disputes relating to the legality of interference with fundamental rights that results from measures originating from the State.

Website Security Test