Tietosuojan superviikko

Julkaistu 30.9.2015

Syyskuun lopulla me eurooppalaiset tietosuojaviranomaiset kokoonnuimme 102. (?!) kerran Brysseliin WP29:n kokoukseen. Tällä kerralla kokouksessa oli "vauhtia ja vaarallisia tilanteita", ilmassa on paljon odotuksia ja jännitteitä;

Aluksi keskustelimme komission tiedonannon pohjalta EU:n ja USA:n välille neuvotellusta, mutta vielä vahvistamattomasta niin sanotusta sateenvarjosopimuksesta. Sopimuksen yhtenä aivan perustavaa laatua olevana kohtana on eurooppalaisten sopimuksen myötä saavuttama oikeus nauttia samantasoista oikeusturvaa kuin Yhdysvaltain kansalaiset. Yhteisymmärryksen taustalla on odotus siitä, että kongressi hyväksyisi sille tehdyn esityksen "a judicial redress bill" -laiksi (HR 1428). Laki antaisi USA:n oikeusministeriölle toimivallan nimetä maat, joiden kansalaiset voivat saattaa oikeusturvansa edellyttämät asiat USA:n siviilituomioistuinten käsiteltäviksi vuoden 1974 Privacy Act:n nojalla.

Samalla kun tätä lainvalvontaviranomaisten välistä tietojenvaihtoa ja yhteistyötä parantavaa sopimusta on neuvoteltu, on osapuolten suhteita haitannut Snowden -paljastukset ja havainto siitä, että lähinnä liiketoiminnan puolella siirtoperusteena käytetty Safe Harbor -instrumentti ei toimi ainakaan eurooppalaisten toivomalla tavalla. Kiusallista kyllä, EU-tuomioistuimen julkisasiamies totesi ns. Schrems -asiassa (C-362/14) antamassaan kannanotossa, että Safe Harbor on "invalid" eli laiton. Nyt vaan odottelemme tuomioistuimen lopullista päätöstä. Jos se olisi samoilla linjoilla julkisasiamiehen näkemyksen kanssa, joutuisivat monet rekisterinpitäjät muuttamaan toimintojaan esimerkiksi whistleblowing -systeemeissään.

Esityslistalla oli myös taannoisen Google-tuomion seurauksena muistio tietosuojalainsäädännön alueellisesta soveltamisesta. Minkä maan lakia sovelletaan, jos rekisterinpitäjä on sijoittunut useampaan jäsenmaahan, tai se tarjoaa palveluitaan verkon ylitse yhdestä maasta käsin. Entä minkälaista toimintaa edellyttää "sijoittumisen" käsite. Trilogineuvotteluissa oleva tietosuoja-asetus tulee uskoakseni olennaisesti selkiyttämään tätäkin kysymystä. Sitä odotellessa voimme tutustua EU-tuomioistuimen päätökseen ns. Weltimmo -asiassa (C-230/14). Tuomio annetaan lokakuun 1 päivänä tänä vuonna.

Trilogianeuvottelut edistyvät helpoista teemoista kohti vaikeampia kysymyksiä. Tämäkin kävi ilmi oikeusministeriön järjestämässä tiedotustilaisuudessa. Yksi EU:n neuvostossa esillä olleista vaikeista kysymyksistä oli EDPB:n eli Euroopan tietosuojaneuvoston status. Sen pitäisi olla itsenäinen, riippumaton ja puolueeton oikeushenkilö. Neuvotteluissa syntynyttä konsensusta on kuvattu aika haavoittuvaksi. Neuvoston kokoonpano ja tehtävät ovat aika selkeät, mutta entäpä puheenjohtajan asema, henkilöstö ja hallinto sekä suhde esimerkiksi palveluita neuvostolle tuottavaan EU:n tietosuojavaltuutettuun (EDPS). Meillä oli kieli keskellä suuta pohtiessamme näiden elinten keskinäisiä suhteita. Viestin trilogineuvotteluihin tuli olla rakentava, ei konsensusta auki repivä.

Tietosuojan superviikon aikana Schengenin-sopimusta koeteltiin oikein olan takaa. Pakolaisvyöry on osoittanut rajavalvonnassa ongelmia. Toisaalta pakolaisten rekisteröinti, tuntomerkkien ottaminen ja muut toimet tulevat todennäköisesti poikimaan kanteluita meillekin. Yleisön reaktiot ovat olleet rajuja. Mieltä on osoitettu polttopulloin ja valkoisin kaavuin. On hyvä muistaa, että EU:n neuvosto totesi kesällä 2014, että sananvapauden käytön yhteydessä laittomasti tapahtuva henkilötietojen kerääminen voi johtaa tosiasiallisesti sananvapauden rajoittamiseen. Meidän toimistomme kyselyssä lähes 60 % vastaajista oli sitä mieltä, että tavallisten kansalaisten tulisi voida ilmaista ajatuksensa tulematta rekisteröidyiksi.