Murtuuko Privacy Shield? Voiko suomalainen yritys enää siirtää mitään henkilötietoja Yhdysvaltoihin? (osa I)

LukkoYksityisyydensuoja on perusoikeus Euroopan unionissa. Henkilötietorekisterin ylläpitäjän oikeutta luovuttaa henkilötietoja EU:n ulkopuolelle on rajoitettu, koska tietojen vapaa siirrettävyys veisi pohjan yksityisyyden suojaa koskevalta lainsäädännöltä. Rekisterinpitäjä voisi yksinkertaisesti siirtää henkilötiedot käsiteltäväksi sellaiseen valtioon, jossa ei ole minkäänlaisia rajoituksia niiden käsittelyn suhteen. Säätely on monin olennaisin osin väljempää Yhdysvalloissa kuin Euroopassa. Pitkälti tästä syystä kaupalliset toimijat pyrkivät keskittämään henkilötietojen käsittelyn Amerikkaan.

Yhdysvaltain ja EU:n välillä oli viimeisen viidentoista vuoden ajan voimassa niin sanottu Safe Harbor -järjestelmä. Siihen perustuen tuhannet yritykset ovat siirtäneet eurooppalaisten henkilötietoja käsiteltäväksi Yhdysvalloissa sijaitseville palvelimille. Tätä järjestelmää moni suomalainenkin yritys käytti esimerkiksi hankkiessaan pilvipalveluita yhdysvaltalaisilta toimittajilta. Safe Harbor -järjestelmän piti taata riittävä tietosuojan taso eurooppalaisten henkilötietojen käsittelylle Atlantin toisella puolella. Euroopan unionin tuomioistuin kuitenkin julisti järjestelmän pätemättömäksi niin sanotussa Schrems-tuomiossaan lokakuussa 2015. Tämän tuomion seurauksena henkilötietojen luovutuksen perusteet Euroopasta Yhdysvaltoihin jouduttiin miettimään uusiksi noin neljässä tuhannessa yrityksessä. Yhdysvallat ja EU aloittivat pikaisesti neuvottelut uusista, tietosuojan kannalta tehokkaammista reunaehdoista.

Alustava yhteisymmärrys Yhdysvaltojen ja Euroopan komission välillä löytyi pitkien neuvottelujen jälkeen lopulta helmikuussa 2016. Tätä uutta ja uljasta järjestelmää kutsutaan ”privacy shieldiksi”. Privacy shieldin vastaanotto on kuitenkin ollut varsin ristiriitaista. Yhtäältä privacy shield olisi suuri helpotus sellaisissa monikansallisissa yhtiöissä, joiden liiketoiminnan kannalta henkilötietojen siirto Euroopasta Yhdysvaltoihin on keskeisessä osassa. Toisaalta kansalaisjärjestöt ja tietosuoja-aktivistit pitävät privacy shield -järjestelmää täysin riittämättömänä ja kuolleena syntyneenä projektina. On epäilty, että privacy shield tulee kaatumaan viimeistään Euroopan yhteisön tuomioistuimessa samoihin perusteisiin kuin Safe Harbor.

Kansalaisjärjestö Trans-Atlantic Consumer Dialogue kehotti 7. huhtikuuta Euroopan komissiota hylkäämään privacy shield -projektin siihen asti, kunnes Yhdysvallat voi taata olennaisesti eurooppalaista tasoa vastaavan tietosuojan ja lisäksi amerikkalaisen riippumattoman valvontaelimen, jolla on myös toimivalta puuttua tehokkaasti eurooppalaisten tekemiin valituksiin. Kriittisten äänten mukaan nykyinen ehdotus privacy shieldiksi ei ole riittävä. Esimerkiksi tietosuoja-asioissa aktiivinen saksalainen europarlamentaarikko Jan Albrecht kutsui privacy shieldiä ”vitsiksi” ja ”uudelleen lämmitetyksi annokseksi safe harboria”.

Toistaiseksi merkittävin kolaus privacy shieldiin tuli 13. huhtikuuta 2016 eurooppalaisten tietosuojavaltuutettujen (artiklan 29 mukainen tietosuojatyöryhmä WP29) julkaisemassa kriittisessä lausunnossa. WP29 oli tyytymätön erityisesti privacy shieldin tarjoamaan tietosuojan tasoon, eurooppalaisten oikeusturvakeinoihin Yhdysvalloissa ja Yhdysvaltojen turvallisuusviranomaisten joukkotiedusteluun.  Aikaisemmin julkisuuteen vuotaneiden tietojen valossa WP29:n nyrpeä suhtautuminen privacy shieldiin ei ollut mikään varsinainen yllätys. Vaikka WP29:n lausunnot eivät olekaan sitovia, ryhmän kielteisellä suhtautumisella voi olla suuri vaikutus siihen, meneekö ehdotus privacy shield -järjestelyssä ylipäätään läpi EU:n koneistossa.

Vaikka privacy shield -järjestelmä hyväksyttäisiin sellaisenaan, on syytä pitää mielessä se riski, että tuomioistuin saattaa julistaa koko järjestelyn pätemättömäksi samalla tavoin kuten Safe Harborinkin. Privacy shieldin kaatuminen tuomioistuimessa tarkoittasi sitä, että esimerkiksi Piilaakson internet-jättiläiset joutuisivat turvautumaan toistamiseen vaihtoehtoisiin mekanismeihin. Kuten komission mallilausekkeisiin, joita käyttämällä henkilötietoja voidaan tällä hetkellä luovuttaa Yhdysvaltoihin. On selvää, että jo pelkästään merkittävistä kaupallisista intresseistä johtuen poliittiset paineet kolauksesta toiseen tarpovan privacy shieldin läpi viemiseen ovat hyvin korkealla niin Yhdysvalloissa kuin Euroopassakin. Minkä tahansa oikeusjärjestelmän keskeisimpiä laadullisia mittareita on sääntelyn ennakoitavuus ja tällä hetkellä näyttää siltä, että tämä Schrems-tuomiosta alkanut saaga ei välttämättä tule olemaan eurooppalaisen regulaatiohistorian hienoimpia hetkiä.