Uutinen osui Suomessa kesälomakauteen ja jäi siksi vähälle huomiolle. Osin uutisointi oli jopa virheellistä. Siksi yritin itse selvittää, mistä asiassa on oikein kyse.
Ensin hieman taustaa. EU-maiden yritykset käyttivät liiketoiminnassaan yhdysvaltalaisia verkkopalveluita, kuten Amazonin ja Microsoftin pilveä tai Googlen ja Dropboxin levytilapalveluita. Vuonna 2000 solmitun Safe Harbour -sopimuksen tarkoituksena oli varmistaa, että eurooppalaisten henkilötietoja käsitellään Yhdysvalloissa eurooppalaisten tietosuojalakien sallimalla tavalla.
Sitten tuli Edward Snowden, joka kesällä 2013 paljasti NSA:n pääsevän mm. Microsoftin, Googlen ja Applen pilvissä oleviin henkilötietoihin. Itävaltalainen yksityisyysaktivisti Max Schrems valitti Facebookin tiedonkeräyksestä irlantilaiseen tuomioistuimeen, joka siirsi asian EU-tuomioistuimelle sen periaatteellisen merkityksen vuoksi. Tuomioistuin totesi Safe Harbour -sopimuksen EU-lakien vastaiseksi ja kumosi sen lokakuussa 2015.
Euroopan komissio ja Yhdysvallat alkoivat neuvotella uutta sopimusta, joka saatiin aikaan helmikuussa 2016. EU-komissio piti sopimusta hyvänä ja vakuutti sen kestävän kaikki tulevat lailliset haasteet. EU-parlamentti näki sopimuksessa vieläkin puutteita, joten tekstiä viilattiin. Asiasta vastannut komissaari Vera Jourova kehui, että sopimus oli valmisteltu aiemman EU-tuomioistuimen päätöksen perusteella ja että se kestäisi tulevat oikeusprosessit.
Jourovan mielestä sopimus oli huomattavasti Safe Harbouria parempi, koska sen myötä USA sitoutui rajoittamaan tietojen massakeräystä verkosta, sakottamaan sopimusta rikkovia jenkkiyrityksiä sekä nimittämään asiamiehen (ombudsman) käsittelemään eu-kansalaisten mahdollisia tietosuojavalituksia.
Myös amerikkalaiset olivat tyytyväisiä. USA:n neuvottelija lupasi sopimuksen tuovan yrityksille juridista varmuutta ja olevan merkittävä yksityisyyden virstanpylväs.
Mutta Itävallan Max Schrems ei ollut vieläkään tyytyväinen. Hän valitti jälleen sopimuksesta ja nyt siis EU-tuomioistuin totesi uudenkin sopimuksen laittomaksi.
Tämä on hämmentävää. Eikö EU-komissio ja asiaa hoitanut komissaari osanneet tulkita GDPR:ää oikein? Jos EU:n omat edustajat tulkitsevat sopimusta väärin, miten tavallinen yritys voisi tulkita sitä oikein? Miten komission neuvottelema ja jäsenmaiden hyväksymä sopimus voi osoittautua suorastaan laittomaksi? Mistä ihmeestä tässä on kyse?
Olen tullut siihen käsitykseen, että kyse on amerikkalaisten signaalitiedustelun valvonnasta. EU painostaa Yhdysvaltoja takaamaan, ettei sen tiedustelu seuraa eu-kansalaisten viestintää ilman perusteltua syytä. Ilmeisesti tavoitteena on suomalaista käytäntöä vastaava tiedusteluvalvontavaltuutettu, jolla olisi rajattomat oikeudet tutkia NSA:ta ja paljastaa, mikäli haaviin on päätynyt aiheettomasti eu-kansalaisten tietoja.
Vaatimus on melkoinen. Suomalainen tiedusteluvaltuutettu lienee maailmalla harvinainen käytäntö. Eu-maiden omat tiedustelut toimivat lain harmaalla alueella tai jopa sen ulkopuolella silloin, kun kyse on Euroopan ulkopuolisista kohteista. Meillä Suomessa tiedusteluun liittyen valvotaan myös vihamielisten tahojen oikeuksia.
Tiedusteluasiat ovat kansallisia, eikä EU:lla ole valtaa puuttua niihin. Luultavasti EU-maat tiedustelevat myös toistensa liikennettä, kuten tapahtui brittien GCHQ:n murtautuessa belgialaisen operaattorin verkkoon. Miten EU voi taata, että jäsenvaltiot noudattavat keskenään GDPR-tietosuojaa, kun maiden omaan valvontaan ei ole luottamista? Miten EU voi vaatia USA:lta sellaista, mihin sen omat jäsenmaat eivät suostuisi?
Entä miten EU suhtautui, jos Yhdysvallat haluaisi oikeuden puuttua eu-maiden tiedustelun toimintaan?
Yrityksille tuomioistuimen päätös tietää valtavasti uutta työtä ja juridisia kustannuksia Atlantin molemmin puolin. Kun Privacy Shield -kattosopimusta ei enää ole, tietosuojasta on sovittava yritysten välisillä kahdenkeskisillä sopimuksilla (ns. mallilausekkeet). Ne ovat vain runko, jonka pohjalta yritysten on tehtävä omat sopimukset ja myös valvottava, minkä maiden palvelimiin tietoja päätyy ja miten niitä käytetään.
Kädenvääntö tietosuojasta jatkuu ja tulee kalliiksi kaikille. Sääntelyn suurvaltana EU yrittää haukata nyt todella isoa palaa. On kiinnostavaa nähdä, miten siinä käy.
