Murtuuko Privacy Shield? (osa II)

WP29privacyshield

Euroopan unioni ja Yhdysvallat pääsivät vihdoin sopuun Privacy Shied -järjestelystä 12. heinäkuuta 2016. Privacy Shield on Euroopan tuomioistuimessa pätemättömäksi julistetun Safe Harbor -järjestelyn korvaava viitekehys, jonka puitteissa henkilötietoja voidaan luovuttaa Euroopasta Yhdysvaltoihin. Nämä henkilötietojen siirrot ovat keskeisessä osassa esimerkiksi useiden teknologiayhtiöiden liiketoimintamallia.

Kirjoitin aikaisemmin siitä, miten merkittävistä taloudellisista intresseistä huolimatta Privacy Shieldiä koskevat neuvottelut olivat pahasti vastatuulessa. Uutinen Privacy Shieldin voimaantulosta piti olla suuri helpotuksen aihe, mutta tahmeat neuvottelut ja tietosuoja-aktivistien ankara arvostelu on jättänyt pitkän varjon koko järjestelyn ylle. Väitetään, että Privacy Shield ei ratkaise pätemättömäksi julistetun Safe Harborin perimmäistä ongelmaa, eli riittämätöntä tietosuojan tasoa Yhdysvalloissa. Ristiriitaisen vastaanoton saanut järjestely on yhdelle merkittävä parannus ja toisen mielestä pelkkä Potemkinin kulissi, jonka varjossa varsinaisen ongelman ratkaisua siirretään parin vuoden päähän tulevaisuuteen.

EU:n vaikutusvaltainen 29 artiklan mukainen tietosuojatyöryhmä, eli WP29 otti 26. heinäkuuta 2016 kantaa Privacy Shieldiin ensimmäisen kerran sen voimaantulon jälkeen.  Tämä tietosuojatyöryhmä koostuu jokaisen Euroopan unionin jäsenvaltion tietoturvaviranomaisen edustajista. Lausunnossaan WP29 ilmoitti, että se ei aio ryhtyä toimenpiteisiin Privacy Shieldin suhteen ennen kesää 2017, jolloin tämän uuden järjestelyn ensimmäinen vuotuinen arviointi on määrä tehdä. WP29 siis antoi Privacy Shieldille vuoden verran ”koeaikaa” ja toi samalla esille muutamia puutteita, joista työryhmä on huolissaan. WP29:n päätös on jo ehtinyt keräämään syytöksiä työryhmän tehtävien laiminlyömisestä ja komission myötäilystä.

Suurin kysymysmerkki henkilötietojen Atlantin ylittävien luovutusten kannalta on edelleen Yhdysvaltojen tiedustelukoneiston joukkovalvonta. Nämä joukkovalvontaan liittyvät kysymykset ovat olleet myös keskeinen kiistakapula EU:n ja Yhdysvaltojen neuvottelujen venymisessä. Osapuolten intressit ovat varsin erilaiset. Yhdysvallat haluaa kansallisen turvallisuuden ja terrorismin vastaisen taistelun nimissä ylläpitää tehokasta tiedustelukoneistoa.  EU:n pitäisi puolestaan huolehtia siitä, että eurooppalainen tietosuojan taso toteutuisi myös Yhdysvalloissa.

Erityisesti juuri joukkovalvontaan liittyvissä kysymyksissä on vahva komission tekemän poliittisen myönnytyksen maku. Yhdysvaltojen lainsäädäntö ei takaa eurooppalaisittain riittävää tietosuojan tasoa eikä Privacy Shield varsinaisesti muuta tätä seikkaa. Sen sijaan Yhdysvallat vakuuttaa, että jatkossa sen tiedustelupalvelut priorisoivat vaihtoehtoisia tiedonkeräysmenetelmiä ja joukkovalvontaan turvauduttaisiin vain poikkeuksellisesti kansallisen turvallisuuden sitä vaatiessa. Kyynikkoja Yhdysvaltojen lupaukset joukkovalvonnan rajoituksesta saattavat muistuttaa Mika Waltarin Sinuhe egyptiläisessä seikkailevasta Kaptahista, joka vakuuttaa juhlallisesti varastavansa isännältään Sinuhelta vain kohtuudella ja aina isäntänsä omaa etua silmällä pitäen.

Nämä Obaman hallinnon vakuutukset saivat kuitenkin Euroopan komission pitämään tietosuojan tasoa Yhdysvalloissa riittävänä, vaikka kaikki tietosuoja-aktivistit eivät olekaan tyytyväisiä. Privacy Shield päätynee edeltäjänsä tavoin EU:n tuomioistuimen käsittelyyn, eikä tuomioistuimen tehtävä tietosuojan tason riittävyyden arvioimisessa tule olemaan helppo. Jokseenkin epämääräiseltä vaikuttava poliittinen kompromissi ei välttämättä tyydytä EU:n tuomioistuimessa asiassa, joka koskee perusoikeuksien toteutumista. Nyt Privacy Shield on kuitenkin voimassa, ainakin toistaiseksi.