Brexit, tietosuoja ja pilvipalveluiden tulevaisuus

brexit

Olin juhannusviikonlopun sattumoisin Lontoossa. Saavuin Britannian sateiseen pääkaupunkiin torstaina.  Lontoon kaduilla oli varsin paljon väkeä huonosta säästä huolimatta kampanjoimassa EU:ssa pysymisen puolesta ja ihmiset tuntuivat pitävän Leave-äänten voittoa lähes mahdottomana ajatuksena. Äänestystulos oli monelle järkytys, eikä suotta. Pahimmassa tapauksessa Brexit syöksee Britannian pitkään epävarmuuden tilaan ja ajaa maan talouden taantumaan. Esimerkiksi pankkien ja vakuutusyhtiöiden muutto Citystä ja Canary Wharfista Manner-Eurooppaan on ollut Brexit-debatin keskeisiä puheenaiheita.

Lontoo on myös yksi Euroopan merkittävimmistä startup- ja teknologiakeskuksista. Nyt teknologia-alan näkymät Lontoossa ovat varsin sumuisia. Tulevaisuuden huolet koskevat pääsyä Euroopan yhteismarkkina-alueelle, osaavien työntekijöiden palkkaamista muualta Euroopasta ja henkilötietojen luovutuksia EU:n ja Britannian välillä Brexitin jälkeen. Eräässä nopeasti kasvavassa lontoolaisessa startupissa työskentelevä tuttava kertoi, että he aloittivat valmistelut firman siirtämiseksi ”mantereelle” heti perjantaina äänestystuloksen selvittyä.

Brexitin myötä lienee myös todennäköistä, että yritykset Britanniassa eivät voi enää hyödyntää Manner-Euroopan datakeskuksista tarjottavia pilvipalveluita entiseen malliin. Jos näin käy, Britanniassa tullaan lähivuosina tekemään kalliita investointeja IT-infrastruktuuriin. Lasku uusista datakeskuksista ja muusta infrastruktuurista lankeaa yritysten, valtion ja kuluttajien maksettavaksi. Tämä summa tulee olemaan todella huomattava. Kirjoitin aikaisemmin pilvipalveluiden pirstaloitumisen ja datalokalisaation haitallisista kansantaloudellisista vaikutuksista. Esimerkiksi Venäjän datalokalisaatiolainsäädännön on tutkittu aiheuttavan vuosittain noin viiden miljardin euron menetykset maan bruttokansantuotteelle.

Briteillä on käytännössä kolme vaihtoehtoa EU-suhteidensa uudelleen järjestämiseksi, jos Brexit toteutuu. Ensinnäkin Britannia voi jättäytyä täysin EU:n ulkopuolelle, toiseksi Britannia voi pyrkiä kompromissiin, jossa se pääsee esimerkiksi bilateraalissopimuksin rajoitetusti mukaan EU:n yhteismarkkinoille, mutta noudattaa keskeisiä osia EU:n lainsäädännöstä. Kolmas ja kivuttomin vaihtoehto on niin sanottu ”Norjan malli”.  Norjan malli tarkoittaisi järjestelyä, jossa Britannia on Euroopan talousalueen (ETA) jäsen ja hyväksyy lähes kaiken Brysselistä tulevasta lainsäädännöstä, jotta se saa olla osana maailman suurinta yhteismarkkina-aluetta.

Jos britit valitsevat Norjan mallin, tulevat tietosuoja-asioita koskevat vaikutukset jäämään varsin vähäisiksi. Norjan malli tarkoittaisi myös tietosuoja-asetuksen noudattamista ja mutkattomia henkilötietojen luovutuksia Brexitin jälkeen. Saarivaltakunnan sisäpoliittisista syistä johtuen Norjan malli on kuitenkin vaikea. Leave-kampanjan kulmakiviä olivat EU:n sisäisen maahanmuuton rajoittaminen Itä-Euroopasta, EU:n jäsenmaksuihin kuluvien rahojen käyttäminen kotona ja ”itsenäisyys Brysselin byrokraattien talutusnuorasta”. Norjan mallissa tavaroiden, palveluiden, pääoman ja puolalaisten putkimiesten vapaa liikkuvuus jatkuisi ennallaan. Niin ikään Brysselistä tulevaa lainsäädäntöä olisi noudatettava siinä missä ennenkin (ilman EU:n jäsenvaltiolle kuuluvaa vaikutusvaltaa). Tämän lisäksi tuntuvat jäsenmaksut ovat osa Norjan mallia.

Mikäli Norjan malli ei kelpaa briteille, tulee Brexitillä olemaan todella mielenkiintoisia vaikutuksia tietosuoja-asioiden kannalta. Henkilötietoja ei lähtökohtaisesti voi luovuttaa EU:n ja ETA:n ulkopuolelle noin vain. EU voi tehdä maakohtaisia poikkeuksia sellaisten valtioiden suhteen, joiden lainsäädännön takaama tietoturvan taso on EU:n mielestä riittävä. Britannian tietosuojaviranomainen ICO riensi heti kansanäänestyksen tuloksen ratkettua ottamaan asiaan kantaa. ICO:n mukaan on erityisen tärkeää, että paikallinen lainsäädäntö tulee jatkossakin antamaan riittävän suojan eurooppalaisten henkilötietojen käsitellylle.

Brexitin jälkeen brittien on osoitettava EU:lle, että sen tiedustelukoneiston joukkovalvonta ei loukkaa eurooppalaisten yksityisyyden suojaan liittyviä perusoikeuksia. Tämä ei tule olemaan helppoa, sillä parlamentin alahuone Westminsterissä äänesti keväällä uuden tiedustelulain puolesta. Uusi laki laajoine valtuuksineen, Investigatory Powers Bill, joka tunnetaan tuttavallisemmin myös nimellä ”Snooper’s Charter” herättää varmasti paljon henkilötietoja koskevia kysymyksiä Brexit-neuvotteluissa.

Henkilötietoja voitaisiin luovuttaa ainakin aluksi EU:sta Britanniaan komission mallilausekkeilla, jos britit jättäytyvät ETA:n ulkopuolelle. On kuitenkin täysin mahdollista, että Euroopan tuomioistuin kieltää mallilausekkeisiin perustuvat henkilötietojen luovutukset Britanniaan samoilla perusteilla, millä se kaatoi EU:n ja Yhdysvaltojen välisen safe harbor -järjestelyn. Eri valtioilla on hyvin erilaisia kansallisia intressejä tietosuoja-asioiden suhteen. Näiden intressien yhteensovittaminen ei ole aina helppoa. Esimerkiksi EU:n ja Yhdysvaltojen privacy shield -neuvottelut ovat edelleen kesken.

Nähtäväksi jää myös se, että haluaako Brexitin jälkeinen Britannia olla tietosuoja-asioissa lähempänä Yhdysvaltoja vai EU:ta. Brexitin jälkeen on hyvin mahdollista, että Britannia haluaa turvallisuuspoliittisista syistä pitää merkittävän osan kansalaisiaan koskevista henkilötiedoista rajojensa sisällä olevilla palvelimilla. Brexitin seurauksena Internetin ja etenkin pilvipalveluiden balkanisaatio ottanee muutaman askeleen eteenpäin.