Safe Harbor tiensä päässä?

Julkaistu 1.12.2014

Euroopan unionin ja Yhdysvaltojen välisen tietojensiirron eräänä instrumenttina on Safe Harbor -sopimus. Tällä "turvasatamalla" pyritään mahdollistamaan tietojen siirto Atlantin molemmilla puolilla olevien osapuolten kesken takaamalla erilaisin turvalausekkein tietosuojan riittävän korkea taso myös yhdysvaltalaisen vastaanottajan toiminnassa. Samalla Safe Harbor on toiminut mekanismina, jolla erilaiset oikeusjärjestelmät on sovitettu yhteen.

Järjestelmä toimii pääpiirteissään siten, että edellä mainitut osapuolet ovat solmineet sopimuksen, jonka mukaan yhdysvaltalaiset yhtiöt voivat liittyä Safe Harboriin sitoutumalla noudattamaan sen sopimukseen perustuvia ehtoja. Tätä valvoo yhdysvaltalainen viranomainen, Federal Trade Commission, FTC. Se julkaisee ja ylläpitää listaa Safe Harboriin hyväksytyistä organisaatioista. Linkki tuolle listalle löytyy näiltäkin toimistomme kotisivuilta.

Me eurooppalaiset tietosuojaviranomaiset valvomme eurooppalaisten rekisterinpitäjien toimintaa. Jos rekisteröity henkilö, jonka henkilötietoja siirretään Yhdysvaltoihin, syystä tai toisesta katsoo oikeuksiaan loukatun, voi hän saattaa asian erityisen paneelin tutkittavaksi. Samoin meillä eurooppalaisilla viranomaisilla on WP29:n sateenvarjon alla Safe Harboriin kohdistuvaa valvontaa.

Nyt tämän järjestelmän tulevaisuudesta neuvotellaan korkealla poliittisella tasolla. Neuvotteluja hoitava komissio katsoo järjestelyyn liittyvän ainakin seuraavat kolme kritiikin aihetta:

- valvooko yhdysvaltalainen osapuoli sittenkään riittävän tehokkaasti listalle ottamiensa yritysten toimintaa,

- vastaavasti me eurooppalaiset emme tiedä kuinka paljon henkilötietoja "vuotaa" tämän instrumentin ohitse, ja

- masentavasti; tietojen siirrossa käytetään maanosiemme välille laskettua merikaapelia, jonka kuljettamaa dataa amerikkalaiset pääsevät monitoroimaan.

Neuvotteluilla ei siis ole kovinkaan helpot lähtöasetelmat.

Tässä kohtaa mieleeni nousee joskus vuosia sitten ollut kiista niin sanotusta Wassenaarin -sopimuksesta. Salaustuotteet kuten muukin high tech rinnastettiin sotilasmateriaaliin ja vaadittiin pakollista key escrow -toimintaa, eli salausavainten pakkotallennusta viranomaiskäyttöä varten. EU:ssa kohistiin ja kauhisteltiin myös ECHELON-järjestelmää, joka sieppasi radioliikennettä.

Noina aikoina Suomi seisoi ryhdikkäästi kansalaisten oikeuksien ja muidenkin kansallisten etujemme takana. Valvonnasta nähtiin koituvan haittaa tuolloin kasvussa olleelle IT-teollisuudellemme. Kohta näemme, miten tässä Safe Harboriin liittyvässä väännössä tulee käymään ja onnistuuko maamme jopa hyötymään tilanteesta.

Myös itärajan takaa kuuluu kummia. Venäjän uuden "tietosuojalain" mukaan venäläisten henkilötietoja pitää käsitellä Venäjällä. Monet suomalaisyritykset odottavat kauhunsekaisella pelolla lain voimaantuloa.

Kyberturvallisuus, verkkovalvonta, "tietosuojan Sveitsi" ja muut haasteet odottavat oven takana. Asiat on siis nähtävä laajemmissa yhteyksissään. Safe Harborissa ei ole siis kysymys vain tietosuojainstrumentin valinnasta.

Nyt olisi hyvä paikka myös meillä Suomessa nostaa tietosuoja ja -turva entistä korkeammalle kansallisella to do -listallamme. Vähintäänkin hallitusohjelmaan.