Syyskuun ajan on uutisoitu Irlannin tietosuojaviranomaisen (DPC) ja Facebookin välisestä väännöstä, joka koskee henkilötietojen siirtoa Yhdysvaltoihin ja siten koko yhtiön toimintaa Euroopassa.
Valitettavasti suomalaisissa uutissa on säännöllisesti tehty taustatyöt leväperäisesti ja sohaistu aihetta vain pitkällä kepillä. Olennaiset kysymykset on sivuutettu lähes täysin. Yritän tässä edes hieman tuoda niitä mukaan keskusteluun.
Tausta: seitsemän vuoden kiista
Aluksi lyhyt taustoitus, mistä koko asiassa on kyse:
- EU:n tuomioistuin antoi 16.7.2020 päätöksensä ns. Schrems II -tapauksessa. Päätöksen mukaan EU:n ja USA:n välillä henkilötietojen siirtoihin aiemmin käytetty Privacy shield -sopimusjärjestely on pätemätön. Suomeksi päätöksen seurauksista voi lukea EU:n tietosuojaneuvoston UKK-dokumentista.
- Facebook ja useat muut pilvipalvelut ovat aiemmin käyttäneet nimenomaan Privacy shieldiä henkilötietojen EU-USA-siirtojensa perusteena. Se ei siis enää käy.
- Päätöksen myötä useiden pilvipalvelujen käyttö henkilötietojen käsittelyyn EU:ssa tuli välittömästi laittomaksi – mikä on ihme kyllä jäänyt medialta lähes tyystin huomiotta.
- EU-tuomioistuimen päätöksessä otettiin kantaa myös niin sanottujen EU:n mallisopimuslausekkeiden (joita on oikeastaan kolme) käyttöön henkilötietojen EU-USA-siirtojen perusteena. Päätöksen mukaan mallisopimuslausekkeita voi edelleen käyttää, mutta ei yksinään, vaan tietosuojan takaavien lisätoimenpiteiden kanssa.
- Käytännössä kukaan ei vielä tiedä varmasti, mitä voisivat olla sellaiset tietosuojan lisätoimenpiteet, joilla henkilötiedot voitaisiin varmasti suojata Yhdysvalloissa esimerkiksi sen hallinnon tekemältä tiedustelulta. Asiaan odotetaan EU:n tietosuojaneuvoston (EDPB) lisäohjeita.
- Tähän asti on kuitenkin tulkittu niin, että tietosuojan lisätoimenpiteissä olisi kyse tietojen vahvasta salauksesta yhdistettynä henkilötietojen pseudonymisointiin. Eli salaamalla tiedot siten, että niitä ei voi ulkopuolinen lukea, kun tiedot on tallennettuina Yhdysvaltalaisille palvelimille. Tässä on kuitenkin monia epävarmuustekijöitä, koska henkilötietojen käsite on laaja: esimerkiksi jo sähköpostiosoite ja IP-osoite ovat henkilötietoja.
- Mainittakoon, että EU-tuomioistuimen päätöksen mukaan on olemassa yksi varma oikeusperuste henkilötietojen EU-USA-siirrolle: rekisteröityjen nimenomaisen suostumuksen saanti siirroille.
- Facebook on tikunnokassa ensimmäisenä varsinkin siksi, koska EU-tuomioistuimen päätös koski nimenomaisesti sitä. Kyse ei ole mistään uudesta asista, vaan tämän hetken tilanne on vain viimeinen käänne itävaltalaisen tietosuoja-aktivisti Max Schremsin jo vuonna 2013 aloittamasta oikeustaistelusta. Vuonna 2015 oikeudessa kaatui Privacy shieldin edeltäjänä ollut Safe harbor -sopimusjärjestelmä ja heinäkuussa sitten Privacy shield. Eli Facebook on kitkutellut asian kanssa jo seitsemän vuotta ja sillä olisi ollut tarvittava aika hoitaa se kuntoon. (Sivuhuomautus: joku ystävällinen wikipedisti voisi kääntää linkin Wikipedia-artikkelin myös suomeksi.)
Syyskuun tapahtumat: Irlannin tietosuojaviranomainen vs. Facebook
Ja näin päästään tämän hetkiseen Irlannin tietosuojaviranomainen vs. Facebook -tapaukseen:
- Koska Facebook ei voi enää käyttää Privacy shieldiä henkilötietojen EU-USA-siirtojen perusteena, se on takertunut toiseksi viimeiseen oljenkorteensa eli EU:n mallisopimuslausekkeisiin. Muitakin siis vielä on ja niistä lisää jäljessä.
- EU-tuomioistuimen päätöksen jälkeen Irlannin tietosuojaviranomainen on mediassa olleiden tietojen mukaan antanut alustavan päätöksen, jonka mukaan Facebookin tulee keskeyttää henkilötietojen siirto. Facebookilla oli aikaa antaa vastineensa tämän kuukauden puoliväliin mennessä.
- Kun tieto tuosta alustavasta päätöksestä tuli syyskuun toisella viikolla julki, Facebook julkaisi hyvin kiinnostavan blogipostauksen. Kirjoitus keskittyy Facebookin tavoitteiden lobbaukseen, mutta siinä kerrotaan yksi tärkeä seikka, mistä tapauksessa on pohjimmiltaan kyse: Irlannin tietosuojaviranomaisen näkemyksen mukaan EU:n mallisopimuslausekkeita ei voida käytännössä käyttää henkilötietojen EU-USA-siirtojen perusteena. Tarkka lainaus: ”The Irish Data Protection Commission (IDPC) has commenced an inquiry into Facebook controlled EU-US data transfers, and has suggested that SCCs cannot in practice be used for EU-US data transfers.”
- Mainittakoon, että Facebookilla piti muutenkin kiirettä, kun Irlannin tietosuojaviranomaisen alustava päätös tuli julkisuuteen. Se muun muassa kävi kaikessa hiljaisuudessa ”korjaamassa” WhatsAppin tietosuojaselostetta niin, että sielläkin mainitaan siirtojen perusteena EU:n mallisopimuslausekkeet. Jotain korjauksen kiireellisyydestä kertonee se, että muutoksen päiväyksesi merkittiin 24. huhtikuuta 2018, vaikka oikea päiväys on nimenomaan 9.9.2020.
- On sinänsä hienoa, että Facebook on vihdoinkin herännyt ongelmaan seitsemän vuoden ruususenunen jälkeen. 😏
- Eilisen ja tämän päivän uutisotsikot siitä, miten mukamas ”Facebook ja Instagram uhataan sulkea Euroopassa” ovat seurausta maanantaisesta Vice-verkkolehden artikkelista, jossa lainataan Facebookin Irlannin toimipisteen tietosuojavastaavan vastinetta DPC:lle.
- Kuten arvata saattaa, uutiset ovat revitelleet Facebookin lähdöstä Euroopasta melko löyhin perustein. Suomeksi hieman faktuaalisemmin aiheesta on uutisoinut Ilta-Sanomat, jonka jutun mukaan ”Facebook ei uhkaa vetäytyä Euroopasta, yhtiö toteaa lähettämässään lausunnossa”.
Facebook-tapauksen oikea merkitys
Ja nyt päästään varsinaiseen asiaan, joka on jäänyt useimmilta toimittajilta tähän asti huomaamatta. Ilta-Sanomien em. jutussa kylläkin jo sivuuttiin sitä tässä kohtaa:
Irlannin oikeudelle lähetetyissä asiakirjoissa todetaan se yksinkertainen tosiasia, että Facebook ja monet muut yritykset, organisaatiot ja palvelut ovat toiminnassaan riippuvaisia tiedonsiirrosta EU:n ja Yhdysvaltojen välillä.
Tämä on totta, mutta ei koko totuus. Tähän liittyy pari asiaa:
1) Koskeeko sama ongelma muitakin amerikkalaisyrityksiä kuin Facebookia?
2) Jos Irlannin tietosuojaviranomainen ei peräänny vaatimuksissaan, mitä vaihtoehtoja Facebookille ja muille amerikkalaisyrityksille vielä jää?
Aloitetaan ensimmäisestä.
Koskeeko sama ongelma muitakin amerikkalaisyrityksiä kuin Facebookia?
Totta kai. Pääkysymys on se, minkä Facebook nosti blogipostauksessaan esiin: voidaanko EU:n mallisopimuslausekkeita käyttää käytännössä henkilötietojen EU-USA-siirroissa?
Tämä on kriittinen kysymys yhtälailla kaikille amerikkalaisyhtiöille, EU:ssa oleville yrityksille ja jopa lukuisille julkishallinnon organisaatioille, jotka siirtävät henkilötietoja Yhdysvaltoihin.
Kiinnostavin kysymys on tietenkin nettijättien suhteen, joiden palveluita käyttävät lukuisat muut yritykset ja organisaatiot. Kartoitin tilannetta pari viikkoa sitten Kuntamarkkinoilla pitämääni esitykseen (10.9.), tässä tulokset:
Heinäkuisen EU-tuomioistuimen päätöksen jälkeen kaikki isot nettiyhtiöt käyttävät siis nyt samaa oikeusperustetta henkilötietojen EU-USA-siirroille: EU:n mallisopimuslausekkeita. Osa niistä mainitsee käyttävänsä erilaisia lisäsuojakeinoja kuten salausta. Siis aivan kuten Facebook!
- Googlen sanavalinnat ovat erityisen kiinnostavia: se kertoo päivittävänsä sopimusehtojaan ”mahdollisimman pian” ja olevansa ”sitoutuneita hankkimaan lailliset perusteet siirroille”. Eli Google ei ole varma, ovatko sen nykyiset perusteet henkilötietojen siirroille Yhdysvaltoihin laillisia. Rehellistä puhetta, sillä miten se voisikaan olla?
- Amazon on kiinnostava tietenkin siksi, koska sen tilanne vaikuttaa suoraan lukuisiin eurooppalaisiinkin pilvipalveluihin ja startupeihin, jotka käyttävät AWS:n pilvipalvelimia. Nyt viimeistään on aika tarkistaa, että palvelimet on järjestetty niin, ettei tietoja siirretä eurooppalaisilta palvelimilta yhdysvaltoihin.
- Microsoft on samassa tilanteessa kuin muutkin. Moniko yritys ja organisaatio nykyisin tallentaa henkilötietoja Microsoftin pilvipalveluihin kuiten vaikkapa Office 365:een ja Teamsiin? Entä moniko taho on viimeisen 20 vuoden aikana vähemmän pitkänäköisesti lopettanut omat sähköpostipalvelimensa EU:ssa/Suomessa ja siirtänyt sähköpostinsa Microsoftin pilveen?
Kaikkien edellä mainittujen osalta EU:n mallisopimuslausekkeiden käyttö tällä hetkellä on hyvin epävarmalla pohjalla.
Rautalangasta: jos Facebookin kohdalla todetaan, ettei EU:n mallisopimuslausekkeita voi käyttää henkilötietojen siirrossa Yhdysvaltoihin, sama ongelma koskee yhtälailla Microsoftia, Googlea ja Amazon Web Servicea.
Sekä lukemattomia muita yrityksiä ja organisaatioita.
Välilliset vaikutukset ovat huikaisevat, sillä vielä useammille tahoille edellä mainitut palveluntarjoajat ovat henkilötietojen käsittelijöitä, jolloin vastuu niiden mahdollisesti laittomasta henkilötietojen siirrosta on lopulta niiden asiakkaina olevilla yrityksillä ja muilla organisaatioilla, jotka ovat kyseisten henkilötietojen rekisterinpitäjiä.
Tällä välin Max Schrems ei istu käsiensä päällä, vaan hänen noyb-organisaationsa on valittanut monien yritysten siirtävän henkilötietoja Yhdysvaltoihin laittomasti Googlen ja Facebookin palvelujen kautta. Suomesta mukana on MTV Internet ja Danske Bank. Yhtä hyvin listalla voisi olla mukana jopa tuhansia suomalaisyrityksiä.
Tämän rinnalla on hyvin pieni murhe se, voiko Matti tai Maija Meikäläinen päivittää kuulumisiaan Facebookiin tai Instagramiin.
Mitä vaihtoehtoja Facebookille ja muille amerikkalaisyrityksille vielä jää?
Toistaiseksi Facebook pyrkii viivyttämään Irlannin tietosuojaviranomaisen päätöksen täytäntöönpanoa kaikin mahdollisin keinoin eli yksinkertaisesti ostamaan aikaa.
Mutta vaihtoehtoja Facebookilla ja muilla on vielä periaatteessa runsaastikin.
Ensimmäinen mahdollisuus on, että EU:n ja Yhdysvaltojen välillä saadaan solmittua jonkinlainen uusi Safe harbor/Privacy shield -tekele. Ehkä sen voisi nimetä tällä kertaa Privacy hoaxiksi? 😇
Silloin Facebook pääsisi taas kuin koira veräjästä.
Vaikka oikeastihan on hieman väärin edes syyttää Facebookia, sillä varsinainsesti kyse on Yhdysvaltojen tiedustelusta, jonka vuoksi Privacy shield ei ollut pätevä suojaamaan eurooppalaisten henkilötietoja Yhdysvalloissa. Tilanne on hieman sama kuin siinä, ettei Yhdysvallatkaan salli TikTokin vakoileva kansalaisiaan Kiinalle.
Toinen mahdollisuus on, että Facebook pyytää käyttäjiltään suostumuksen, että heidän henkilötietonsa saadaan siirtää Yhdysvaltoihin sikäläisten viranomaisten tutkittaviksi. Se, kuinka kauaa tällaista suostumusta pidettäisiin GDPR:n suostumuksen kriteerien mukaisena (mm. vapaaehtoisuus ja se, ettei suostumuksen jättämättä antaminen saa aiheuttaa rekisteröidylle haittaa), on hyvin kyseenalaista.
Kolmas vaihtoehto on, että Facebook pilkkoo palvelunsa kahteen osaan: eurooppalaisten Facebookiin ja muiden Facebookiin. Ei laisinkaan mahdoton tehtävä Facebookin resursseilla: koostuuhan jo nyt palvelu lukuisista rinnakkaisista palvelimista ja konserni lukuisista yrityksistä.
Neljäs vaihtoehto on, että Facebook laittaa miljoonansa poikimaan lobbaustyöhön sen puolesta, että Yhdysvallat muuttaisi tiedustelulakejaan tai keksisi jonkin muun – en edes osaa kuvitella minkä – ratkaisun tilanteeseen. Facebookin syyskuun alun blogikirjoitusta voi jo nähdä askeleena tähän suuntaan.
Vasta viides vaihtoehto on, että Facebookin pitäisi sulkea palvelunsa eli mm. Facebookin, Facebook Messengerin, Instagramin ja WhatsAppin eurooppalaisilta käyttäjiltä. Sitä ennen sillä on siis vielä paljon aikaa ja vaihtoehtoja.
Missään tapauksessa Facebook ei halua tappaa hyvin lypsävää EU-lehmäänsä. Siinä on liian paljon menetettävää mittasipa asiaa dollareina tai datalla. Sama koskee USA:n hallintoa.
Aiheeseen liittyvä esitys alla: miten varsinkin amerikkalaiset nettijätit keräävät meistä dataa ja käyttävät sitä algoritmeissaan eli mainosbisneksessään:
LEHMÄTKIN LENTÄIS 