Hautala ja Kasvi: Tuleva verkkovalvontalainsäädäntö ei voi perustua massavalvonnalle

Vihreiden europarlamentaarikko Heidi Hautalan ja kansanedustaja Jyrki Kasvin mukaan EU-tuomioistuimen päätös ns. Safe Harbor –periaatteista on otettava huomioon tulevan tiedustelulainsäädännön valmistelussa.

Tietosuojadirektiivi määrää, että EU-maiden kansalaisten henkilötietoja saa siirtää vain sellaisiin EU:n ulkopuolisiin maihin, joissa henkilötietojen voidaan olettaa olevan turvassa.

Direktiivin vaatimusten noudattamisen arvioimiseksi Yhdysvaltojen kauppaministeriö on määritellyt Safe Harbor eli turvasatama -periaatteet henkilötietojen turvallisesta käsittelystä. Kun amerikkalainen yritys on sitoutunut noudattamaan Safe Harbor -periaatteita, se on saanut käsitellä eurooppalaisten henkilötietoja Yhdysvalloissa.

– Viimeistään Edward Snowdenin paljastukset osoittivat, että Safe Harbor on ollut pelkkää silmänlumetta. Uhkana eurooppalaisten yksityisyydelle eivät ole olleet amerikkalaiset yritykset, vaan Yhdysvaltojen viranomaiset, joilla on ollut vapaa pääsy Yhdysvalloissa toimivien yritysten tietojärjestelmiin, Heidi Hautala ja Jyrki Kasvi kirjoittavat blogissaan.

Kuudes lokakuuta EU-tuomioistuin antoi päätöksen, joka toteaa Safe Harbor -järjestelmän pätemättömäksi (Schrems v. Data Protection Commissioner, C-362/14). Käytännössä päätös kieltää EU-maiden kansalaisten henkilötietojen siirtämisen Yhdysvaltoihin, elleivät tietoja siirtävät yritykset pysty muulla tavoin osoittamaan, että tiedot ovat turvassa, mukaan lukien Yhdysvaltain viranomaisilta.

Hautalan ja Kasvin mukaan EU-tuomioistuimen päätös ei vaikuta vain amerikkalaisiin yrityksiin.

– Myös monien suomalaisten yritysten asiakas- ja henkilöstötiedot sijaitsevat amerikkalaisilla pilvipalvelimilla. Kaikkien näiden palveluiden hankintasopimukset joudutaan tarkastamaan ja tarvittaessa neuvottelemaan uusiksi esimerkiksi EU komission hyväksymien mallisopimuslausekkeiden mukaisesti, Hautala ja Kasvi sanovat.

Heidän mukaansa kukaan ei tiedä vielä varmasti, mitä kaikkea Schrems-tuomiosta seuraa. Paljon riippuu siitä, miten eri EU-maiden tietosuojaviranomaiset sitä tulkitsevat.

– Ovatko esimerkiksi Suomen kansalaisen amerikkalaisen ystävänsä Facebook-seinälle kirjoittaman viestin tunnistetiedot suomalaisia vai amerikkalaisia tietoja, Hautala ja Kasvi kysyvät.

Suomessa tuomio vaikuttaa heidän mukaan näkyvimmin verkkotiedustelulain valmisteluun, sillä tuomio ei tee eroa Euroopan unionin jäsenmaiden ja kolmansien maiden viranomaisten välillä, eli myös EU-maiden viranomaisten on noudatettava EU:n tietosuojadirektiiviä.

EU-maiden turvallisuusviranomaiset eivät EU-tuomioistuimen päätöksen jälkeen saa enää seurata kaikkea sähköistä tietoliikennettä mielenkiintoisten viestien toivossa. Edes viestien seulonnan automatisointi ei auta asiaa, sillä unionin tietosuojalainsäädännön ja EU:n perusoikeuskirjan 8 artiklan 2. momentin mukaan myös henkilötietojen automaattinen käsittely on henkilötietojen käsittelyä.

– Suomen tuleva verkkovalvontalainsäädäntö ei voi perustua massavalvonnalle, vaan sen on aina oltava kohdennettua ja perusteltua. Yksityisten viestien on oltava turvassa myös turvallisuusviranomaisilta, Hautala ja Kasvi linjaavat.

Kommentit

»Kommentoinnin säännöt