Tietosuojaa ja yksityisyyttä

Yhdysvaltain tiedusteluskandaali, EU:n uudistumassa oleva tietosuojasääntely sekä spekulaatiot Safe Harbor -sopimuksen tulevaisuudesta ovat nostaneet erot Yhdysvaltojen ja EU:n tietosuojassa jälleen tapetille.

Euroopassa ja Yhdysvalloissa on historiallisesti omaksuttu erilainen lähestymistapa tietosuojaan. Euroopan unionissa tietosuojaa säännellään kokonaisvaltaisesta näkökulmasta. Tietosuojadirektiivi ja sitä implementoivat kansalliset lait sekä valmisteilla oleva tietosuoja-asetus koskevat lähtökohtaisesti kaikkea henkilötietojen käsittelyä. Tämän lisäksi erityislait saattavat tulla sovellettaviksi käsittelyn ja henkilötietojen luonteesta riippuen.

Yhdysvalloissa kaikenkattavaa tietosuojalakia ei ole olemassa, vaan sääntely on sektorikohtaista. Merkittävimpiä sektorikohtaisia erityislakeja ovat esimerkiksi lasten yksityisyyttä verkkoympäristössä turvaava COPPA (Children’s Online Privacy Protection Act), terveystietoja koskeva HIPAA (Health Insurance Portability and Accountability Act) ja taloudellisia tietoja sääntelevä Gramm-Leach-Bliley Act.

Lisäksi on olemassa osavaltiokohtaisia tietosuojasäännöksiä. Esimerkiksi Kaliforniassa yksityisyydensuoja on perustuslaillinen oikeus, ja osavaltion lainsäädäntö turvaa yksityisyyttä monilla osa-alueilla liittovaltiotason sääntelyä laajemmin.

Tietosuoja yhteiskunnallisessa kontekstissa

Ero eurooppalaisessa ja yhdysvaltalaisessa lähestymistavassa on selvää jo käytetyn käsitteistön perusteella. Euroopassa puhutaan tietojen suojasta (data protection), jossa keskiössä on yksilön itsemääräämisoikeus omista henkilötiedoistaan. Yhdysvalloissa sääntelyn kohteena eivät ole henkilötiedot sinänsä vaan ennemminkin henkilön yksityisyys (privacy) suhteessa muiden henkilöiden sananvapauteen.

Käsitteistön ero kuvastaa eurooppalaista ja yhdysvaltalaista yhteiskunnallista kontekstia laajemminkin. Yhdysvalloissa sananvapauden asema on vahva, ja keskustelussa usein korostetaan sen olevan perustuslaillisesti suojattu oikeus niin sanotun ensimmäisen perustuslaillisen lisäyksen (First Amendment) nojalla.

Yksityisyydensuoja puolestaan ei USA:ssa ole eksplisiittinen perustuslaillinen oikeus, toisin kuin EU:ssa – EU:n toiminnasta annetun sopimuksen 16 artiklan perusteella. Lisäksi Yhdysvalloissa itsesääntely on ollut huomattavasti merkittävämmässä asemassa kuin EU:ssa, heijastaen osittain markkinatalouden periaatteiden vahvaa asemaa.

Eurooppalaisen vahvan tietosuojan on taas usein nähty pohjautuvan haluun estää niiden vääryyksien toistuminen, joita Euroopassa koettiin toisen maailmansodan aikaisen fasismin ja sodanjälkeisten kommunististen hallintojen aikana.

Yhteinen tausta

EU:n ja Yhdysvaltojen tietosuojasääntelyillä on kuitenkin historiallisia yhtymäkohtia. EU:n nykymuotoisen tietosuojasääntelyn liikkeelle panevana voimana voidaan pitää vuosien 1973 ja 1974 Euroopan neuvoston ministerikomitean julkilausumia, jotka sisälsivät henkilötietojen suojan periaatteet yksityiselle ja julkiselle sektorille.

Samaan aikaan vuonna 1973 myös Yhdysvaltain terveysministeriö antoi suosituksen liittovaltiotasoisen reilun tietokäytännön säännöstön (Code of Fair Information Practice) laatimisesta. Säännöstö sisälsi viisi henkilötietojen käsittelyn perusperiaatetta, jotka ovat heijastuneet tietosuojasääntelyyn myös Euroopassa.

Säännöstö vaikutti vahvasti OECD:n vuonna 1980 julkaisemiin ohjeisiin, jotka koskevat yksityisyyden suojaamista ja henkilötietojen rajat ylittävää siirtoa sekä Euroopan neuvoston vuonna 1981 antamaan yleissopimukseen yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä.

Yleissopimuksen voimaantulon jälkeen useat maat, myös Suomi, säätivät henkilötietojen käsittelyä koskevan yleislain. EU:ssa kehitys jatkui tietosuojadirektiivin säätämiseen vuonna 1995. Myös direktiivi rakentuu pitkälti samalle pohjalle kuin edellä mainitut aiemmat säännöstöt.

Safe Harbor -sopimus

Euroopan maista poiketen Yhdysvalloissa yhtenäistä tietosuojalakia ei kuitenkaan säädetty. Tämä johti tietosuojadirektiivin säätämisen jälkeen yhteentörmäykseen eurooppalaisen ja yhdysvaltalaisen lähestymistavan välillä. Direktiivin 25 artiklan mukaan henkilötietoja voidaan lähtökohtaisesti siirtää EU:n jäsenvaltioiden tai ETAn ulkopuolelle ainoastaan, jos kyseisessä maassa taataan riittävä tietosuojan taso.

Yleisen tietosuojasääntelyn puutteesta johtuen EU ei katso USA:n takaavan riittävää tietosuojan tasoa. Pitkällisten neuvottelujen seurauksena EU ja USA pääsivät vuonna 2000 yhteisymmärrykseen niin sanotun Safe Harbor -ohjelman luomisesta, jonka periaatteisiin sitoutumalla yhdysvaltalaiset yritykset voivat osoittaa turvaavansa tietosuojan riittävän tason Yhdysvaltoihin suuntautuvissa henkilötietojen siirroissa. Ratkaisu oli kompromissi, jonka avulla pyrittiin samanaikaisesti toteuttamaan EU:n pyrkimykset henkilötietojen kattavasta suojasta sekä yhdysvaltalainen itsesääntelyn perinne.

Vaikka Safe Harbor -sopimuksen solmiminen oli merkittävää EU:n ja Yhdysvaltojen välisten tiedonsiirtojen jatkumisen turvaamiseksi, on järjestelmä kohdannut kritiikkiä erityisesti valvonnan tehottomuuden vuoksi. Yhdysvaltain kauppakomissio (Federal Trade Commission, FTC) on tosin rangaissut useita yrityksiä valheellisista Safe Harbor Certification -maininnoista tietosuojaselosteissaan.

Viimeaikaiset paljastukset USA:n tiedusteluviranomaisten toiminnasta ovat lisänneet Safe Harboriin kohdistuvaa kritiikkiä. Esimerkiksi Euroopan komission varapuheenjohtaja Viviane Reding totesi heinäkuussa julkaistussa muistiossaan, ettei Safe Harbor välttämättä takaa tietosuojan toteutumista. Euroopan komissio työstääkin parhaillaan arviota sopimuksesta.

Erot sääntelyn valvonnassa

Jako sektoraaliseen ja kokonaisvaltaiseen lähestymistapaan näkyy myös sääntelyn valvonnassa. Siinä missä eurooppalaiset tietosuojaviranomaiset, kuten Suomen tietosuojavaltuutettu, valvovat lähtökohtaisesti kaikkea henkilötietojen käsittelyä, Yhdysvalloissa vastaavaa yleistä valvontaviranomaista ei ole olemassa. Valvonnasta vastaavat eri viranomaiset oman toimivaltansa puitteissa.

Edellä mainittu FTC on muun muassa julkaissut Fair Information Practice Principles (FIPs) -nimellä tunnetut ohjeistukset, jotka koskevat elektronisilla markkinoilla suositeltavia käytänteitä. FTC muun muassa valvoo toimivaltansa nojalla yritysten kuluttajille tietosuojaselosteissa antamien lupausten paikkansapitävyyttä.

Vaikka kokonaisvaltaista valvontamekanismia ei Yhdysvalloissa ole olemassa, valvonta voi tästä huolimatta usein olla aggressiivisempaa kuin EU:n alueella, ja sanktiot merkittävämpiä. FTC on viime aikoina käynnistänyt useita tuntuviin sanktioihin johtaneita oikeusprosesseja, tunnetuimpana kenties vuonna 2012 Googlen kanssa tehty sovintosopimus, jossa Google velvoitettiin suorittamaan 22,5 miljoonan dollarin sakot Safari-selaimeen liittyvistä tietosuojaloukkauksista.

Terveystietojen osalta äskettäin voimaantulleet muutokset HIPAA-sääntelyyn nostivat huomattavasti tietosuojarikkomuksista aiheutuvia sanktioita. Maksimirangaistus on muutosten jälkeen jopa 1,5 miljoonaa dollaria jokaisesta HIPAAn hallinnollisten, tietoturvaa tai tietosuojaa koskevan säännöksen rikkomuksesta vuodessa.

Myös esimerkiksi mobiilisovellusten tietosuojan valvonta on selkeästi lisääntymässä. Esimerkkinä voidaan mainita helmikuussa julkistettu sovintosopimus, jossa sosiaalisen median mobiilisovellusta tarjoava Path, Inc. sopi FTC:n nostaman oikeusjutun 800 000 dollarin sakkoa vastaan. FTC katsoi Pathin muun muassa keränneen osoitetietoja käyttäjien puhelimista ilman suostumusta ja antaneen kuluttajille harhaanjohtavia tietoja tietosuojaselosteessaan.

Lisäksi FTC katsoi Pathin rikkoneen COPPA-lain perusteella annettua COPPA Rule -säädöstä keräämällä tietoja alle 13-vuotiailta ilman vanhemman suostumusta. Sakon lisäksi Path velvoitettiin laatimaan kokonaisvaltainen tietosuojaohjelma sekä auditoimaan tietosuojansa taso ulkopuolisen tahon toimesta joka toinen vuosi seuraavien kahdenkymmenen vuoden ajan.

Mobiilialan tietosuojan kannalta keskeinen dokumentti on sitovan lainsäädännön lisäksi myös FTC:n helmikuussa 2013 asiasta antama työryhmäesitys. Samoihin aikoihin tammikuussa 2013 myös Kaliforniassa osavaltion pääasiallinen lakien toimeenpanoa valvova viranomainen, Attorney General, antoi mobiilialan tietosuojaa koskevaa ohjeistusta. Mobiilialan globaalin luonteen vuoksi monien suomalaistenkin yritysten on siten hyvä ottaa huomioon Yhdysvaltain lainsäädännön sekä edellä mainittujen ohjeistusten asettamat tietosuojavaatimukset.

Tulevaisuuden näkymiä

Vaikka tietosuojasääntely EU:ssa on monin tavoin Yhdysvaltoja kattavampaa, vaikutteita on kulkeutunut Atlantin ylitse myös Euroopan suuntaan. Hyvä esimerkki on tietosuojarikkomuksia koskeva ilmoitusvelvollisuus (data breach notification). Yhdysvalloissa osavaltiokohtaista sääntelyä asian osalta on ollut olemassa jo pitkään, ja nykyisellään 46 osavaltiota 50:stä on säätänyt asiasta.

Luonnos EU:n tietosuoja-asetukseksi sisältää säännökset vastaavanlaisesta ilmoitusvelvollisuudesta. Asetus myös korottaisi tietosuojarikkomuksista langetettavia sanktioita tuntuvasti, lähemmäksi Yhdysvalloissa nähtyjä korvaussummia.

EU:n tietosuojasääntelyn uudistamisen yhteydessä myös Safe Harbor -sopimusjärjestelyyn on mitä todennäköisimmin tulossa muutoksia järjestelmän kohtaaman kritiikin vuoksi. Lisäksi tietosuoja on tapetilla parhaillaan käynnissä olevissa EU:n ja USA:n välisissä vapaakauppaneuvotteluissa, jotka NSA-skandaali uhkasi jopa kaataa täysin. Vapaakauppasopimus olisi syntyessään historian suurin bilateraalinen kauppasopimus. Tietosuojan nousu esiin neuvotteluagendalla korostaakin sen jatkuvasti merkittävämmäksi nousevaa asemaa poliittisessa ja yhteiskunnallisessa keskustelussa.

Jarno J. Vanto
Partner
Attorneys at law Borenius LLP
New York

Euroopan komission tietosuojasivusto:
http://ec.europa.eu/ > Departments and services > Justice > Data Protection

Safe Harbor:
http://export.gov/safeharbor/

FTC:n helmikuussa 2013 julkaisema mobiilialaa koskeva työryhmäraportti:
http://www.ftc.gov/ > Policy > Reports > Commission & Staff Reports > 2013 > Mobile Privacy Disclosures: Building Trust Through Transparency: A Federal Trade Commission Staff Report (February 2013)