EU-tuomioistuin mitätöi Yhdysvaltain ja EU:n sopimuksen verkon käyttäjien tietojen siirrosta – Päätös voi sekoittaa tuhansien yhtiöiden toimintaa - Talous | HS.fi
Talous|Tietosuoja

EU-tuomioistuin mitätöi Yhdysvaltain ja EU:n sopimuksen verkon käyttäjien tietojen siirrosta – Päätös voi sekoittaa tuhansien yhtiöiden toimintaa

Tuomioistuimen mukaan EU:n ja Yhdysvaltain välisessä järjestelyssä ei ole riittäviä takeita siitä, että eurooppalaisten tiedot olisivat suojassa esimerkiksi Yhdysvaltain viranomaisten tarkkailulta.

Itävaltalainen tietoturva-aktivisti Max Schrems voitti Facebookin tiedonsiirtoa koskeneen oikeusjutun EU-tuomioistuimessa.

Julkaistu: 16.7. 11:49, Päivitetty 16.7. 16:50

Euroopan unionin tuomioistuin on mitätöinyt Yhdysvaltojen ja Euroopan komission tekemän tietosuojasopimuksen, jonka nojalla henkilötietoja oli mahdollista siirtää Atlantin toiselle puolelle.

”Keskeistä ratkaisussa on se, että tuomioistuimen mukaan Euroopan unionissa perusoikeuksiin kuuluvat tietosuoja ja yksityisyyden suoja eivät ole Yhdysvalloissa riittävän hyvin turvattuja. Tuomioistuin kieltää henkilötietojen massaluonteisen siirtämisen Yhdysvaltoihin, jossa viranomaiset pääsevät niihin huomattavan paljon helpommin käsiksi kuin Euroopassa”, sanoo Helsingin yliopiston valtiosääntöoikeuden professori Tuomas Ojanen.

Ratkaisu tarkoittaa Ojasen mukaan myös sitä, että EU:n kansalaisten tietosuojaa ja yksityisyyden suojaa on kunnioitettava kaikissa muissa valtioissa, joihin henkilötietoja siirretään EU:sta. Tuomioistuimen ratkaisulla on suuria poliittisia ja taloudellisia seurauksia, Ojanen sanoo.

Ratkaisussaan tuomioistuin katsoi, että komission hyväksymät vakiolausekkeet ovat sinänsä päteviä. Ne tarkoittavat useimmissa sovelluksissa olevia tekstejä, jotka hyväksymällä käyttäjä voi halutessaan antaa luvan luottamuksellisten tietojen käsittelyyn ja siirtoon.

”Pääasia on kuitenkin EU:n ja Yhdysvaltojen tietosuojajärjestelyä koskevan komission päätöksen toteaminen pätemättömäksi, koska sillä estetään sellaisten henkilötietojen siirto, joihin käyttäjä ei ole antanut lupaa. Ratkaisu vaikuttaa hyvin moniin yrityksiin”, Ojanen sanoo.

Tuomioistuimen mukaan EU:n ja Yhdysvaltain välisessä järjestelyssä ei ole riittäviä takeita siitä, että kansalaisten henkilötiedot olisivat suojassa esimerkiksi Yhdysvaltain viranomaisten tarkkailulta.

”Eräiden tarkkailuohjelmien osalta kyseisestä säännöstöstä ei millään tavoin ilmene, että olisi olemassa rajoituksia sen sisältämään valtuutukseen, joka koskee näiden ohjelmien käyttöönottoa, eikä myöskään, että ei-yhdysvaltalaisia henkilöitä varten, joita nämä ohjelmat mahdollisesti koskevat, olisi olemassa suojatoimia”, oikeus toteaa.

Oikeusjutun ytimessä ovat sosiaalisen median palvelut. Tiedonsiirtoa tekevät kuitenkin myös monella muulla toimialalla olevat yritykset. Tämän vuoksi päätöksen oikeudellinen merkitys on suuri.

Ratkaisu on vastaus itävaltalaisen tietoturva-aktivistin Max Schremsin Facebookia vastaan nostamaan kanteeseen. Schrems teki Irlannin tietosuojavaltuutetulle kantelun, jossa hän pääasiallisesti vaati näiden siirtojen kieltämistä.

”Oikeus on selkiyttänyt nyt jo toistamiseen, että Euroopan yksityisyyden suoja ja Yhdysvaltain tiedustelulait ovat keskenään ristiriidassa”, Schrems sanoi uutistoimisto Reutersille päätöksen jälkeen. Hän katsoo, että Facebook ja muut Yhdysvaltain tiedustelulakien alaiset yritykset eivät voi jatkaa nykyisenlaisia tiedonsiirtoja.

”Facebookin on nyt kirjaimellisesti pantava järjestelmänsä jollakin tavalla kahtia.”

Facebook ei kommentoinut uutista tuoreeltaan. Ohjelmistoyhtiö Microsoft taas totesi, että torstain ratkaisu ei ainakaan heti vaikuta sen yritysasiakkaisiin ja heidän mahdollisuuksiinsa siirtää tietoja EU:n ja Yhdysvaltojen välillä yhtiön pilvipalvelun avulla.

”Haluamme sanoa tämän selkeästi: jos olet kaupallinen asiakas, voit jatkaa Microsoftin palveluiden käyttöä EU:n lainsäädännön mukaisesti”, kertoi Microsoftin tietosuojavastaava Julie Brill Reutersille.

Yhdysvaltain kauppaministeri Wilbur Ross sanoi maan olevan ”syvästi pettynyt” EU-tuomioistuimen päätökseen. Maa selvittää tarkemmin päätöksen vaikutuksia ja työskentelee yhdessä EU-komission kanssa ratkaisun löytämiseksi, Ross sanoi Reutersin mukaan.

Yhdysvallat toivoo, että ”saamme rajoitettua negatiivisia seurauksia 7,1 biljoonan dollarin arvoiselle transatlanttiselle taloussuhteelle, joka on elintärkeä molempien osapuolten kansalaisille, yhtiöille ja hallituksille”, Ross totesi.

EU:n oikeuskomissaari Didier Reynders sanoi puolestaan Reutersille, että EU:n tavoitteena on miettiä, miten päätökseen mukaudutaan.

”Emme ole samassa tilanteessa kuin vuonna 2015. Ainakin meillä on nyt gdpr”, Reynders sanoi viitaten EU:n tietosuoja-asetukseen.

Kansainvälisen tietoturvajärjestön IAPP:n tutkimusjohtaja Caitlin Fennessy sanoi Reutersille, että päätös voi auttaa myös suuria teknologiayhtiöitä hahmottamaan oikeudellisia asioita paremmin.

”Toisaalta ratkaisu voisi vahvistaa nykyistä oikeusjärjestystä tarjoamalla yrityksille ympäri maailmaa varmuuden siitä, miten tulee toimia.”

Helsingin yliopiston väitöskirjatutkija ja My Data Global -järjestön neuvonantaja Viivi Lähteenoja sanoo, että päätöksen vaikutukset osuvat myös suomalaisiin yrityksiin.

”Päätös vaikuttaa suomalaisten ja eurooppalaisten yritysten ulkoistettuun datan käyttöön. Datan käsittely ulkoistetaan usein Yhdysvaltoihin, koska se on siellä halvempaa ja helpompaa. Päätöksen jälkeen tämä vaikeutuu. Euroopassa aukeaa siis suurempi markkina datan prosessointiin.”

Lähteenojan mukaan päätös on valtava uutinen, mutta linjassa helmikuussa julkaistun eurooppalaisen datastrategian hengen kanssa.

”Tämä henki, johon linkittyy myös gdpr, on luettu Pohjois-Amerikassa vahvasti eurooppalaisena protektionismina. Seuraan nyt mielenkiinnolla, vaikeuttaako päätös globaalia keskustelua entisestään”, Lähteenoja sanoo.

”Yhdysvalloissa tämä on helppo tulkita seuraavaksi askeleeksi protektionismin tiellä, vaikka kyse ei ole siitä. Kyse on perustavanlaatuisista arvoista, ja nyt meillä on oikeuden päätös siitä, että eurooppalaisilla on tietyt yksityisyyden suojaan liittyvät arvot eikä niitä saa rikkoa.”

Lähteenojan mukaan Yhdysvalloilla on ollut pääsy eurooppalaiseen dataan, joten eurooppalaisia on voitu valvoa.

”Tämä on ollut suorassa ristiriidassa gdpr:n kanssa. Eurooppa totesi nyt, että eurooppalaisten ihmisten yksityisyydensuojaa tulee kunnioittaa.”

Luitko jo nämä?

Luetuimmat - Talous