Safe Harborin vaikutuksia yrityksille ja yksityisyydensuojaan

Tietosuojavaltuutetun toimisto nosti kansallisiin pääuutislähetyksiin, ettei Yhdysvaltoihin saa enää siirtää henkilötietoja Safe Harborin perusteella, koska se on lainvastaista. Safe harbor -sopimus mahdollisti taka-oven, jossa eurooppalaisella tietosuojalla ja jäsenvaltioiden laeilla ei enää ollut vaikutusta. Saatiin aikaan kriisi, jossa ensin ei tiedetty enää kuka eurooppalaisten tietoja käsittelee, missä, miksi ja mihin tarkoitukseen - ja lopulta kun saatiin tietoa, mihin dataa päätyy, yllätys oli kaukana yksityisyydensuojasta, jota laeilla oli yritetty kansallisesti ja Euroopan tasolla varmistaa.

EU-tuomioistuin otti tämän huomioon ja julisti turvasatama-sopimuksen pätemättömäksi. Taustalla vaikuttanee myös politiikka, kuten päätöstä edeltäneet räikeimmät tapaukset, joissa vakoiltiin Angela Merkeliä, mutta isoin merkitys on aktivisti Max Schremsillä. Hän haluaa selvittää Irlanti-casella, suojeleeko Facebook henkilötietoja, kuten pitää.

Viranomaisten tehtävä on seuraavaksi tutkia, että ihmisen perusoikeuksiin kuuluva yksityiselämän suoja säilyy eurooppalaisten lakien mukaisesti myös amerikkalaisohjelmistoissa. Aika näyttää, onnistuvatko he.

Eurooppalainen vaihtoehto?

Luin direktiivistä, että henkilötietoja voi vapaasti siirtää jäsenvaltioiden sisällä, kunhan tietosuoja on hoidettu (lähde: Euroopan parlamentin ja neuvoston direktiivi 95/46/EY) eikä tiedon liikkuvuutta ole rajoitettu jostain erityisestä syystä kansallisesti (esim. terveystiedot, puolustusvoimat). Kotimaisuus - tai edes eurooppalaisuus - on nyt enemmän kuin henkinen etu: Se on turvallisuusasia. Tähän on perusteet samaisessa direktiivissä:

- 18) jotta yksilö ei jäisi vaille tämän direktiivin mukaisesti taattavaa tietosuojaa, kaiken yhteisössä tapahtuvan henkilötietojen käsittelyn on tapahduttava jonkin jäsenvaltion lainsäädännön mukaisesti; näin ollen tietyssä maassa toimivan rekisterinpitäjän vastuulla oleva tietojenkäsittely olisi suoritettava kyseisen valtion lainsäädännön mukaisesti. Euroopan parlamentin ja neuvoston direktiivi 95/46/EY

Ongelmana on, että tietojärjestelmänä tietokoneissa on liki poikkeuksetta Microsoftin Windows tai Android-järjestelmä muutamaa Linux-ihmistä lukuunottamatta. Se on sääli. Kummankaan takaa ei löydy eurooppalaista toimittajaa. Liki kaikki ohjelmistot toimivat jo valmiiksi ympäristössä, jossa ehdot eivät ole tietosuojan näkökulmasta enää reilut. Lue vaikka näistä Windows10-vinkeistä ja antispy-ohjelmasta. Jos annoit jo ehtoihin suostumuksen, jaksoit toivottavasti lukea ne ja ymmärsit, mitä luovutit.

Oikeustaju ja tietojen luovutus

Direktiivissä määritellään oikeudenmukainen tietojenkäsittely niin, että "rekisteröidyt tietävät käsittelyn suorittamisesta ja että he saavat asianmukaiset ja täydelliset tiedot tietojen keräämisen olosuhteista, jos tietoja kerätään heiltä itseltään".

Direktiivin mukaan "tietoja voidaan perustellusti luovuttaa sivulliselle, vaikka luovutusta ei olisi ennakoitu kerättäessä tietoja rekisteröidyltä; kaikissa tapauksissa rekisteröidylle on ilmoitettava asiasta tietojen rekisteröintihetkellä tai viimeistään silloin, kun tiedot luovutetaan sivulliselle, --" Joustovara on jo olemassa: "40) tätä velvoitetta ei kuitenkaan tarvitse täyttää, jos rekisteröity jo tietää asiasta." tai jos ilmoittaminen osoittautuu mahdottomaksi.

Ensisijainen vastuu tietosuojan laillisesta järjestämisestä on rekisterinpitäjillä. Se, että ohjelmistotoimittaja toimittaa asiakkaalleen järjestelmän, ei tee ohjelmiston toimittajasta rekisterinpitäjää ja tietojen hyödyntäjää. Rekisterit kuuluvat organisaatioille, joiden tilauksesta toimitamme ohjelmistoa, jossa rekisteri sijaitsee. Ohjelmisto käsittelee dataa. Palvelinta ylläpitää palvelintoimittaja, joka hoitaa palvelimen asiaan kuuluvalla huolellisuudella. Suojattu yhteys tuo lisäturvaa.

Reilu ohjelmistotoimittaja ei kurki, seuraa tai käytä asiakkaittensa rekistereiden sisältöjä, saati välitä eteenpäin luvatta. Poikkeukseksi näkisin rikoksiin liittyvät perustellut tietojen luovutukset, mutta ei niin kuin näyttää olevan amerikkalainen tapa, josta amerikkalaiset itsekään eivät ole yhtä mieltä.

Sekava tilanne

Samaan aikaan, kun asetuksia rustataan uusiksi Yhdysvalloissa, EU odottaa Yhdysvaltain viranomaisilta tietoa, miten he aikovat ratkaista turvallisen tietojenkäsittelyn EU:n edellyttämällä tavalla eurooppalaisille käyttäjille.

EU antoi amerikkalaisviranomaisille aikaa tammikuun 2016 loppuun saakka. Pakotteita tuskin haluaa kukaan yritys tai loppupelissä asiakkaatkaan. Ainakaan jos pakotteet hidastavat ehkä lopussa tiedon vapaata liikkumista ja palveluiden kehittymistä silloinkin, kun on tarkoituksenmukaista siirtää dataa.

Näyttää, että maailma tasapainottelee oikeudenmukaisuuden, vakoilun ja urkinnan välimaastossa kuin pakolaiset Euroopan rajoilla: Toiveet olivat korkeammalla kuin minne päädyttiin. Pääsyylliset tilanteen heikkenemiseen näyttävät löytyvän muualta kuin maanosasta, joka ratkoo asiaa.

Toim.huom! tämä tai mitkään muutkaan ohjeet tässä viestissä eivät ole lakineuvontaa, vaan mielipiteitä ja pohdintaa alaa seuraavalta. Varmista omassa toiminnassa lakimieheltä neuvot.


comments powered by Disqus