.png)
Facebook ja Euroopan tietosuojavaatimukset – Mistä riidassa on kyse ja miten se vaikuttaa?
Heinäkuun (2022) 7. päivänä Irlannin tietosuojavastaava Helen Dixon ilmoitti alustavassa päätöksessään, että Irlanti ei voi hyväksyä jatkossa Facebookin ja sen emoyhtiön Metan toimintaa liittyen henkilötietojen siirtoon mannerten välillä - Facebook on sijoittanut pääkonttorinsa Euroopassa Dubliniin, joten yritystä koskevat päätökset kuuluvat Irlannin tietosuojavastaavalle. Kyseessä on vasta alustava lausunto ja virallinen kannanotto julkaistaan näillä näkymin syksyllä.
Vaikutuksiltaan kyseessä on yksi suurimmista tietosuojaa ja henkilötietoja koskevista päätöksistä yleisen henkilötietoasetuksen (GDPR) lyhyessä historiassa. Ankarimmillaan kyse voi olla jopa Facebookin koko toiminnan loppumisesta Euroopassa. Kyseessä ei siis ole Facebookin halu lopettaa toimintaansa vanhalla mantereella, vaan että se ei nykyisen EU-lainsäädännön puitteissa pysty jatkamaan toimintaansa.
Kyse ei myöskään ole pelkästään EU-sääntelystä vaan erityisesti Yhdysvaltojen riittävän lainsäädännön ja tietosuojan puuttumisesta. Tässä kirjoituksessa käydään läpi mistä kiistassa on kysymys ja miksi tietosuojan huomioiminen myöskin EU:n sisällä on yrityksille elintärkeää. Kirjoituksessa ei mennä syvälliseen tarkasteluun henkilötietojen siirrosta vaan annetaan yleiskuva mistä asiassa on kyse, ja miten se vaikuttaa henkilötietoja käsitteleviin yrityksiin.
Mistä tapauksessa on kyse
Facebookin ja Irlannin tietosuojaviranomaisen välisessä kiistassa on kysymys henkilötietojen siirrosta EU alueen ulkopuolelle, eli niin sanottuihin kolmansiin maihin. Kiista ei itsessään koske vain Facebook-yritystä, vaan se on osa yleistä tietosuojaa koskevaa ratkaisukeskustelua, ja on mukana vain koska se on alan suurin toimija. Facebookia koskeva päätös koskee kaikkia samassa asemassa olevia yrityksiä, koosta tai henkilötietojen määrästä riippumatta. Tämä voi siis tarkoitta jopa yhden ihmisen putiikkia, joka toiminnassaan käsitellee henkilötietoja.
Mitä tietosuoalla tarkoitetaan
Euroopan tietosuoja-asetus (General Data Protection Regulation ”GDPR”) on tullut voimaan 2018. Asetus ja siitä johdannaiset kansalliset lait sisältävät sääntelyn luonnollisten henkilöiden henkilötiedoista. Henkilötiedoilla tarkoitetaan kaikki niitä tietoja, joilla yksilö voidaan tunnistaa (nimi, hetu, yms.) Henkilötietoja suojataan, koska yksilön henkilötiedot katsotaan yksilön omaisuudeksi. Samoin kuin yksilön omaisuutta autoa, taloa, rahoja yms., suojataan myöskin yksilön henkilötietoja. Henkilötiedot ovat omaisuutta, sillä niillä voidaan tehdä rahaa, erittäin paljonkin.
Henkilötieto on kuten mikä tahansa omistusoikeus, jonka omistajansuojasta säännellään lailla (tietosuojalaki). Tieto on kuitenkin fyysisiin objekteihin nähden abstraktimpi omistuskäsite ja tämän vuoksi sen suojaaminen, omistamisen laajuuden määrittäminen sekä seuraaminen on haastavampaa. Samoin kuin muukin omistusoikeus, on henkilötiedon omistajalla itsenäinen yksinvalta päättää sen hyödyntämisestä. Toisin kuin fyysisten objektien kohdalla, tietoa on helppo siirtää sellaiseen kolmanteen maahan, missä sen käyttöä ei valvota tai säännellä, ja täten tästä voidaan EU-lainsäädännön näkökulmasta hyötyä laittomasti. EU pyrkii suojelemaan kansalaistensa tietosuojaa myös tiedonsiirtojen osalta, jotta tietoja ei vain siirrettäisi sellaiseen maahan missä oikeussuoja ei toteudu.
Mitä tarkoitetaan siirrolla kolmansiin maihin
Tietosuoja-asetus sääntelee periaatetasolla kaikesta henkilötietojen käsittelystä EU:n sisällä. Suoja kattaa myöskin EU-alueen ulkopuolelle lähetettävät tiedot välillisesti asettamalla tietojen siirtämiselle tarkat ehdot. Tietosuoja-asetus ei siis kiellä tietojen lähettämistä EU:n ulkopuolelle, mutta se asettaa tietyt vaatimukset vastaanottavalle maalle. Lähtökohtaisesti henkilötietoja voidaan lähettää vain maihin, joiden tietosuoja on riittävällä tasolla EU:hun nähden.
Kolmannet maat, joihin tietoja voidaan siirtää, jaetaan kahteen kategoriaan i) maihin, jotka EU hyväksyy oikeustasoltaan unionia vastaavaksi; näitä ovat ETA-maat, sekä ii) kolmannet maat, joissa tietosuojan on todettu olevan riittävällä tasolla. Arvion tietosuojan riittävästä tasosta tekee Euroopan komissio ja tämä päätös on määräaikainen.
Nyt kyseessä olevassa tapauksessa (mediassa usein nimellä Schrems II) on kyse henkilötietojen siirrosta Yhdysvaltoihin sekä Yhdysvaltojen tietosuojan sekä yksilönsuojan riittävästä tasosta. Elokuussa 2020 EU:n yleinen tuomioistuin katsoi tuomiossaan, että Yhdysvalloille EU komission antama riittävän tason myöntäminen on ollut virheellinen ja että Yhdysvallat ei täytä tietoturvallisen valtion määrityksiä, minkä vuoksi henkilötietoja ei saa lähettää EU:n ja Yhdysvaltojen välillä.
Päätöksen taustalla on mm. Yhdysvaltojen tehottomuus tietosuojaloukkausten käsittelyssä ja puutteellisessa lainsäädännössä. Tällä hetkellä keskeinen ratkaisuehdotus ongelmaan on mm. uuden tuomioistuimen perustamiseen Yhdysvaltoihin. Tämän uuden tuomioistuimen tuomareiksi on mahdollisesti tulossa jopa ulkomaalaisia, eurooppalaisia osaajia (kyseessä erittäin poikkeuksellinen ratkaisu minkään itsenäisen valtion oikeusjärjestyksessä), joka itsessään osoittaa kuinka merkittävässä asemassa tietosuoja on tietotekniikkakeskeisessä liike-elämässä. Myöskin Yhdysvalloissa sekä erityisesti Kanadassa on otettu askeleita tietosuojalainsäädännön säätämisestä EU-mallin mukaiseksi.
Miten tämä tulee ottaa huomioon sinun yritystoiminnassasi
Tietosuojaa ei ole alettu rakentamaan täysin tyhjästä, mutta silti tietyt liiketoimintamallit ja käytännöt ovat ehtineet muodostua internetin kasvamisen myötä, joita nyt yritetään kitkeä. Tietosuojan toteutumisen valvonta on työmäärältään valtava urakka ja ensivaiheessa tietosuojaa valvotaan rekisteröityjen tekemien ilmoitusten perusteella sekä valvontaviranomaisen itsenäisten valvontaiskujen muodossa.
Tietosuojan kansallisessa valvonnassa ylin viranomainen on päättänyt, että valvonta tullaan alkuvaiheessa keskittämään yhteiskunnan toiminnan kannalta merkittävimpien toimijoiden valvontaan, eli sosiaali- ja terveys- sekä rahoituspalveluihin. Kuitenkin tämä valvonta laajentuu vuosi vuodelta ja tulevaisuudessa tietosuojavalvonta tulee olemaan yhtä tehokasta kuin verottajan toiminta. Tähän vaikuttavat sekä valvovan viranomaisen resurssien kasvaminen sekä myöskin ihmisten tietoisuuden kasvaminen omista oikeuksista. Huomattava osa tietosuojaloukkauksista tulee ilmi rekisteröityjen (kenen henkilötiedoista on kysymys) omasta ilmoituksesta. Myöskin suuret tietosuojarikokset kuten Vastaamon tapaus nostavat ihmisten huolta omista tiedoista.
Yhteenveto
Kuten nyt Facebook vs. EU tapauksesta käy ilmi, ovat maailman suurimmatkin yritykset alkaneet muuttamaan toimintaansa henkilötietojensuojamyönteisempään suuntaa. Tämä ratkaisu ei koske vain Facebook-yritystä vaan kaikkia yrityksiä. Yritykset, kuten Google ja Microsoft, ovat myöskin valvonnan alla jo muuttaneet toimintatapojansa. Useat yritykset saattavat kuitenkin vieläkin katsoa, että tämä asia ei koske heitä tai heillä ei ole aikaa/kiinnostusta/resursseja hoitaa asiaa.
Valvontasanktiot ovat kuitenkin sitä luokkaa, että nämä yritykset eivät tule pitkään jatkamaan toimintaansa, mikäli eivät muuta toimintatapojansa. Tietosuojavaatimusten toteuttaminen ja asianmukaisten ilmoitusten tekeminen ovat jokaisen yrityksen vastuulla, ja ne usein myöskin voivat tehostavat yrityksen toimintaa poistamalla turhia asiakasrekistereitä ja luomalla kuvan yrityksestä, joka on luotettava – uskaltaisitko sinä tilata nettikaupasta tuotteita, mikäli et löytäisi asianmukaisia yhteystietoja yritykseen, moni asiakas ei halua asioida yritysten kanssa, jotka eivät julkaise tietosuojaselostetta.
Lakitoimisto KPF on tarjonnut juridisia tietosuojapalveluita ja usean vuoden ajan. Ottamalla meihin yhteyttä voit varmistaa, että yrityksesi on hoitanut tietosuojan asianmukaisesti tehokkaasti ja lain velvoitteet huomioiden.
Lue lisää ICT-oikeudellisia kirjoituksiamme:
https://www.kpflaki.com/blog/categories/ict-oikeus
OTM, BBA
Lakimies
Lakitoimisto KPF
