turvasatama

Safe Harbor -sopimuksen tarkoituksena oli antaa amerikkalaisille yrityksille mahdollisuus kerätä henkilötietoja asiakkaistaan. Tiedot EU:n kansalaiset. Sopimuksen tarkoituksena oli säilyttää EU:n kansalaisten perinteinen tietosuoja, jota ei taata samassa määrin Yhdysvalloissa. Syyskuusta 2015 lähtien Euroopan unioni on pitänyt sopimusta pätemättömänä, mikä on päättänyt yli 15 vuoden käytännön tietosuojalainsäädännön alalla.

Safe Harbor: Turvallinen turvapaikka?

Syyskuussa 2015 Safe Harbor -sopimus koki suuren takaiskun. Euroopan yhteisöjen tuomioistuimen julkisasiamies Yves Bot päätyi ratkaisuehdotuksessaan siihen, että Safe Harbor -päätös ei ole pätevä eikä sitova. Safe Harbor -sopimus on peräisin vuodelta 2000, ja se kuuluu tietosuojalainsäädännön alaan. Euroopan komission päätöksen tarkoituksena oli antaa yrityksille mahdollisuus siirtää henkilötietoja Yhdysvaltoihin edellyttäen, että eurooppalaisia tietosuojaa koskevia suuntaviivoja noudatetaan. Mitään "sopimusta" varsinaisessa merkityksessä ei ole olemassa - Yhdysvaltojen kanssa on kuitenkin sovittu tämäntyyppisestä menettelystä, joten voidaan puhua eräänlaisesta "sopimuksesta". Euroopan yhteisöjen tuomioistuin totesi 6. lokakuuta 2015 Safe Harbor -sopimuksen pätemättömäksi.

Safe Harbor -sopimuksen historia

Euroopan unionissa tietosuojadirektiivi 95/46/EY kieltää henkilötietojen siirron jäsenvaltioista muihin valtioihin, joissa ei ole samanlaista tietosuojaa koskevia lakeja. Yhdysvalloissa ei ole juuri lainkaan tietosuojaa koskevia säännöksiä, jotka olisivat Euroopan unionin standardien tasoisia. EU:n tiukat säännökset johtivat käytännön ongelmiin, minkä vuoksi Yhdysvallat ja EU tekivät sopimuksen vuonna 2000. Tietosuojadirektiivin noudattaminen johtaisi tietoliikenteen pysähtymiseen, minkä vuoksi Safe Harbor -asetus otettiin käyttöön. Yhdysvaltalaiset yritykset voivat rekisteröityä Yhdysvaltain kauppaministeriön luetteloon ja liittyä näin Safe Harbor -järjestelmään. Liittymällä sopimukseen yhdysvaltalaiset yritykset ilmoittivat olevansa halukkaita noudattamaan sopimuksen periaatteita ja määräyksiä. Oikeudellisia säännöksiä on käytännössä täydennetty kansainvälisillä yksityisillä säännöksillä. Euroopan komissio katsoi todistetuksi, että äskettäin luotuun järjestelmään kuuluvat yritykset tarjoavat EU:n kansalaisille ja heidän henkilötiedoilleen riittävän suojan. Kun sopimus kumottiin syyskuussa 2015, monet yritykset olivat liittyneet siihen. Niiden joukossa olivat General Motors, Amazon, MicrosoftIBM, Google, Facebook, Dropbox ja Hewlett-Packard.

Safe Harbor -sopimukseen kohdistuva yleinen kritiikki

Safe Harbor -sopimusta on arvosteltu kerta toisensa jälkeen. Kielteiset äänet kielsivät sopimuksen riittävän suojaavan tehtävän. Amerikkalaisten yritysten "sanaan" ei voitu luottaa, minkä vuoksi oli esitettävä todisteita. Muutaman vuoden kuluttua luotiin Yhdysvaltain Patriot Act -laki: Uuden oikeudellisen tilanteen vuoksi Yhdysvaltojen turvallisuusviranomaiset pääsivät käsiksi kaikkiin tietoihin ilman, että tietojen omistajalle olisi tarvinnut ilmoittaa asiasta. Vuonna 2013 vaadittiin järjestelmän uudelleentarkastelua ilmiantaja Edward Snowdenin paljastusten jälkeen. EU:n oikeuskomissaari Viviane Reding ilmoitti vuonna 2013 EU:n tietosuojauudistuksesta. Kaikille yrityksille oli määrä määrätä sakko, joka voi olla enintään kaksi prosenttia niiden vuotuisesta liikevaihdosta, jos ne suorittavat laittoman tiedonsiirron.

Euroopan unionin tuomioistuimen syyskuussa 2015 antama tuomio.

Syyskuussa 2015 Euroopan unionin tuomioistuimen julkisasiamies Yves Bot ilmoitti, että Safe Harbor -sopimus ei ole enää voimassa ja sitova. Irlannin korkein oikeus oli kysynyt Euroopan yhteisöjen tuomioistuimelta, sovelletaanko Safe Harbor -asetusta ja missä määrin. Kyseinen tapaus koski Facebookin tietojen siirtoa Yhdysvaltoihin. Tuomion perusteluissa julkisasiamies totesi, että Euroopan unionilla ei ole valtuuksia puuttua jäsenvaltioiden toimivaltaan ja rajoittaa sitä. Heti kun EU:n perusoikeuskirjassa myönnettyjen perusoikeuksien noudattaminen vaarantuu jossakin jäsenvaltiossa, on voitava toimia sen mukaisesti. Yksi perusoikeuksista on henkilötietojen suoja. Yhdysvalloissa EU:n kansalaiset ovat puolustuskyvyttömiä tiedonkerääjille, sillä Yhdysvallat sallii tietojen keräämisen EU:n kansalaisilta huomattavassa määrin. Samaan aikaan ei ole olemassa tehokkaita keinoja hakea oikeussuojaa. Yhdysvaltojen tiedustelupalvelut harjoittavat intensiivistä valvontaa, joka ei ole oikeasuhteista ja mahdollistaa kohdennetun puuttumisen tietosuojaan. Euroopan yhteisöjen tuomioistuin noudatti julkisasiamiehen lausumia ja sinetöi näin sopimuksen lopun. Tuomion tuomiolauselmassa viitataan Yhdysvaltain salaisiin palveluihin. Amerikkalaiset yritykset joutuvat näiden tutkimusten kohteeksi, ja niiden on pakko heikentää kaikkia suojelusäännöksiä. Näin ollen henkilötietoja ei ole suojattu tehokkaasti. Yhtäältä tämä menettely loukkaa perusoikeutta yksityiselämän kunnioittamiseen, mutta toisaalta myös oikeutta tehokkaaseen oikeussuojaan tuomioistuimessa.

Saksan tietosuojaviranomaisten lähestymistapa

Euroopan yhteisöjen tuomioistuimen tuomion julkaisemisen jälkeen Saksan tietosuojaviranomaiset toimivat nopeasti. Osavaltioiden tietosuojavaltuutettujen ja liittovaltion hallituksen laatimassa kannanotossa selvennettiin, että tietojen siirrot on jätetty soveltamisalan ulkopuolelle, jos niiden siirto perustuu yksinomaan Safe Harbor -sopimukseen. Sopimukseen perustuvia uusia lupia ei enää myönnetä. Lisäksi yritysjärjestelyjä ja tietojenvientisopimuksia ei enää tunnusteta. Yhdistyneessä kuningaskunnassa katsotaan, että tiedonsiirrot ovat edelleen mahdollisia edellyttäen, että suostumus on annettu tai että EU:n vakiosopimuslausekkeet ovat käytössä. Saksan tietosuojavaltuutettujen mielestä suostumus ei riitä, koska massaluonteisia ja toistuvia tiedonsiirtoja ei voida enää sallia tällaisessa laajuudessa.

Uudet asetukset ja suositukset

Liittovaltion tasolla asiasta vastaava liittovaltion tietosuojavaltuutettu suhtautui myönteisesti Euroopan yhteisöjen tuomioistuimen päätökseen. Lähitulevaisuudessa tutkitaan, vaikuttaako tuomio sitoviin yrityssääntöihin ja EU:n vakiosopimuslausekkeisiin Saksassa ja missä määrin. Liittohallituksen ja osavaltioiden kannanotto julkaistiin 26.10.2015. Valvontaviranomaiset ilmoittivat, että kaikkiin Safe Harboriin perustuviin tiedonsiirtoihin ryhdytään toimenpiteisiin. Tuomion antamisen jälkeen on ollut täysin selvää, että entisen sopimuksen mukaista todistusta ei voida ottaa huomioon. Yritykset, jotka siirtävät henkilötietoja Yhdysvaltoihin, ovat vaarassa saada kivuliaan sakon, minkä vuoksi verkkosivujen tekstejä, mainosmateriaaleja ja tietosuojaselosteita olisi mukautettava mahdollisimman nopeasti. Lisäksi nykyisiä tiedonsiirtoja olisi tarkasteltava uudelleen. Sitovien yrityssääntöjen ja EU:n vakiosopimuslausekkeiden sovellettavuus olisi selitettävä. Niiden, jotka eivät voi luopua tietojen siirrosta Yhdysvaltoihin, olisi turvauduttava EU:n vakiosopimuslausekkeisiin, joiden avulla sakkoriski voidaan ainakin useimmissa tapauksissa minimoida huomattavasti. On ehdottoman tärkeää, että salausmenetelmiä testataan ja sovelletaan. Jos suostumus voidaan hankkia, olisi otettava yhteyttä tietosuojaviranomaiseen ja tiedusteltava, onko tällainen oikeutus sallittua tietojen siirroissa. Tällaisen suostumuksen yhteydessä on selvästi ilmoitettava, että tiedot siirretään Yhdysvaltoihin. Lisäksi on lueteltava mahdolliset seuraukset. Tällaista suostumusta on vaikea toteuttaa, kun kyseessä on pysyvä ja massaluonteinen tiedonsiirto, esimerkiksi asiakastietojen siirto. Parhaan mahdollisen oikeussuojan saavuttamiseksi oikeudellisia kysymyksiä olisi tarkasteltava tapauskohtaisesti. Teknisillä ja organisatorisilla toimenpiteillä voidaan merkittävästi vähentää oikeudellisten rikkomusten riskiä.