Verkkotietojen tallentaminen on hyvässä vauhdissa. Markkinajohtajat ovat tietenkin amerikkalaisia. Google Driven, iCloudin ja Dropboxin kaltaiset palveluntarjoajat ovat Atlantin toisella puolella toimivien yritysten johtoasemassa.
Vaikka niiden palvelut ovat korkealaatuisia, ei ole kuitenkaan varmaa, etteivätkö ne syyllistyisi nationalismiin. Yrityksesi tietojen tallentaminen verkkoon amerikkalaisille palveluntarjoajille voi olla vakava virhe.
Yhdysvallat on nyt maailman johtava valtio, olipa kyse sitten sotilaallisesta, taloudellisesta tai teollisesta voimasta. Näin ollen sen hallitus anastaa itselleen etuoikeuksia, jotka sillä on täysi valta määrätä koko kansainväliselle yhteisölle.
Tässä tapauksessa Yhdysvaltojen lait, kuten Patriot Act ja Cloud Act, ovat aseellinen siipi hallintopolitiikassa, jota sovelletaan muihin kuin Yhdysvaltojen kansalaisiin. Toisin sanoen, valinnoistasi riippuen Yhdysvaltojen hallinnolla ja oikeuslaitoksella on valtaa sinuun ja tietoihisi.
Saatat ajatella, että Amerikan yhdysvalloilla on maailman demokratian keihäänkärkenä paras poliittinen järjestelmä, erityisesti sen teorian ja perustuslaillisten käytäntöjen osalta, jotka koskevat keskinäistä valvontaa ja tasapainoa. Toisin sanoen vallanjako on toteutunut parhaiten, mikä on niin rakas asia Montesquieun kaltaisille valtioteoreetikoille.
Todellisuus ei ole aivan sama. Yhdysvaltojen 1900-luvun jälkipuoliskolta lähtien käyttöön ottamat massavalvontalait, jotka huipentuivat vuoden 2018 Cloud Act -lakiin, näyttävät olevan paitsi perustuslain myös klassisen oikeusvaltionäkemyksen vastaisia. Toisin sanoen mikä tahansa muu valtio, joka ottaisi käyttöön tällaista lainsäädäntöä, leimautuisi todennäköisesti välittömästi poliisivaltioksi.
Tämä johtuu siitä, että Patriot Actin ja Cloud Actin lisäksi Yhdysvallat perustaa oikeudellisen arsenaalinsa edelleen lakiin ja presidentin asetukseen: Foreign Intelligence Surveillance Actiin ja Executive Orderiin. Näiden lakitekstien valossa aiomme selittää, miksi tietojen tallentaminen amerikkalaisen yrityksen hallinnoimaan pilvipalveluun on riskialtis valinta. Tätä varten tarkastelemme lainsäädäntöä, jota sovelletaan sinuun, kun olet päättänyt uskaltautua.
Mikä on Patriot Act ja miten sen ekstraterritoriaalisuusehdot toimivat?
Patriot Act on Yhdysvaltojen sisäistä turvallisuutta koskeva laki, joka hyväksyttiin vain 45 päivää syyskuun 11. päivän 2001 iskujen jälkeen. Toisin sanoen kongressi, joka oli yhä New Yorkin tapahtumien traumatisoima, hyväksyi sen suurella kiireellä.
Tuloksena on poliisiviranomaisille annettu avoin valtakirja tutkimusten suorittamiseen. Miksi näin pitäisi tapahtua? Koska vaikka tuomarin määräys vaaditaankin, tuomari ei voi enää vastustaa sitä sillä perusteella, että ”todennäköisiä syitä” ei ole.
Näin ollen kaikki tietosi voidaan takavarikoida ilman, että sinulle edes ilmoitetaan asiasta tai että yhdysvaltalainen tuomari voi vastustaa sitä. Yhdysvaltain perustuslaista ei ole paljon apua, sillä Yhdysvaltain oikeusministeriön mukaan Patriot Act -laissa ainoastaan kodifioidaan korkeimman oikeuden jo tunnustamaa oikeuskäytäntöä.
Esimerkiksi vuonna 1979 se päätti, että väite, jonka mukaan salaiset etsinnät ovat perustuslain vastaisia, oli ”kevytmielinen”. Kaksitoista vuotta aiemmin se oli jo päättänyt, että poliisiviranomaisten ei tarvitse kertoa vastaajalle etsinnän syytä tai syitä.
Ranskalaisen tai eurooppalaisen yrityksen kannalta uutta Patriot Actissa on kuitenkin sen ekstraterritoriaalinen soveltaminen. Toisin sanoen siitä hetkestä lähtien, kun yritystänne epäillään yhteyksistä terroristiseen henkilöön tai ryhmään, joka uhkaa Yhdysvaltojen aluetta tai sen etuja, koko hallinnollinen arsenaali voidaan panna liikkeelle teitä vastaan.
Älkää luulko, että pääsette pälkähästä, vaikka ette aikoisikaan luoda yhteyksiä terroristiryhmiin tai asiakkaaseen, jonka radikaaleja ajatuksia ette ehkä ole huomannut. Näemme, että Patriot Act ei ole käytännössä niin selkeä kuin miltä se näyttää. Sitä ennen tarkastellaan toista turvallisuuspoliittista vastinetta: Cloud Act -lakia.
Mikä on Cloud Act?
Cloud Act hyväksyttiin vuonna 2018, jotta Yhdysvaltain viranomaiset saisivat paremman pääsyn verkkotallennusratkaisujen käyttäjien tietoihin.
Virallisesti oikeusministeriö esittää sen antavan kolmansien maiden viranomaisille mahdollisuuden pyytää mitä tahansa amerikkalaista yritystä, jossa säilytetään tietoja, jotta ne pääsisivät niihin käsiksi osana rikosoikeudellisia menettelyjä.
Tarkemmin sanottuna se antaa Yhdysvaltojen viranomaisille mahdollisuuden hankkia minkä tahansa käyttäjän tietoja, kunhan ne ovat :
– säilytetään Yhdysvalloissa
– tai amerikkalaisessa yrityksessä missä tahansa maailman maassa,
– kaikki tämä ilman, että kukaan muu kuin pyynnön vastaanottanut yritys ja asianomainen ministeriö tietää asiasta.
Tämä Yhdysvaltojen uusin säädös ei ole ainoa Yhdysvaltojen hallituksen käytössä oleva väline.
Mikä on Foreign Intelligence Surveillance Act (FISA)?
FISA-lain hyväksyi vuonna 1978 kongressi, joka halusi säännellä liittovaltion viranomaisten valvontakäytäntöjä. Patriot Actin tavoin tällä lailla pyrittiin kodifioimaan olemassa olevat käytännöt.
Vuonna 2008 lisätty 702 pykälä velvoittaa yhdysvaltalaiset yritykset helpottamaan henkilön kohdennettua tarkkailua Yhdysvaltojen alueen ulkopuolella.
Tämä laki kohdistuu erityisesti muihin kuin Yhdysvaltojen kansalaisiin, joiden epäillään hallussaan pitävän, vastaanottavan tai välittävän vakoilun torjunnan kannalta kiinnostavia tietoja. Sen soveltamisala on Patriot Actin tavoin virallisesti tarkoitettu kansainvälisen terrorismin torjuntaan.
Täytäntöönpanomääräys 12333
Ronald Reaganin vuonna 1981 allekirjoittama Executive Order 12333 on, kuten Washington Post toteaa, asiakirja, joka tarjoaa vielä laajemmat mahdollisuudet kuin Patriot Actin 215 §.
Presidentin määräys 12333 koskee tällä kertaa kuitenkin vain ulkomailla asuvia Yhdysvaltain kansalaisia. Tämä antaa Yhdysvaltojen tiedustelupalveluille edelleen mahdollisuuden tutkia tietojasi, jos ne ovat kiinnostuneita jostakin amerikkalaisesta asiakkaastasi.
Tämän asetuksen mukaan kaikki Yhdysvaltojen tiedustelupalvelujen takavarikoimat tiedot takavarikoidaan ilman lupaa ja siten ilman tuomarin tai edes kongressin suorittamaa valvontaa.
Kuten näette, laki ei aina ole heikoimpien tae vahvimman valtaa vastaan. Se ei läheskään aina suojele yksilönvapauksia tai laajemmin sanottuna yleisiä vapauksia kokonaisuutena. Varsinkin kun tarkastelemme sen soveltamista ja siten sen tulkintaa.
Laki on olemassa vain sen tulkinnan kautta
Lain asianmukaista ymmärtämistä ei koskaan voida saavuttaa pelkästään lukemalla lakia. Miksi näin on? Koska lakia on aina mahdotonta soveltaa kirjaimellisesti. Toisin sanoen lainsäädännön soveltamisalan ymmärtämiseksi on ymmärrettävä, miten sitä sovelletaan. Tämä on ongelma, jonka Yhdysvaltojen Patriot Act ja Cloud Act aiheuttavat.
Kun Patriot Actissa viitataan ”epäilyttävään toimintaan”, miten tällainen toiminta määritellään? Mitä tämä käsite kattaa? Tiettyä toimintaa voidaan pitää epäilyttävänä vain tulkinnan perusteella. Ongelmana on, että jokainen hallinto tulkitsee tätä lakia omalla tavallaan ja täysin salassa.
Tämä tarkoittaa sitä, että kun amerikkalainen yritys on tallentanut tietosi, kaikki tietosi ovat CIA:n, NSA:n ja valtiovarainministeriön kaltaisten hallintojen, vain muutamia mainitakseni, harkinnanvaraisesti saatavilla. Eikö olekin tylsää? Äläkä luule, että olet immuuni tutkimuksille vain siksi, ettet ole rikollinen tai terroristi.
Tämän oikeudellisen arsenaalin päätarkoitus ei ole terroristien jahtaaminen vaan vapaan kilpailun vääristäminen. Luulitteko, että Yhdysvallat on vapaan kaupan perikuva? Olit väärässä.
Lisäksi tietojen kerääminen ei koske vain asiakkaidenne tietoja. Myös Yhdysvaltain valtiovarainministeriö on kiinnostunut tietojen keräämisestä. FCPA osoittaa sinulle, että digitaalisten tietojen tallentaminen voi todellakin tulla kalliiksi.
FCPA-laki eli uusi vero muille kuin yhdysvaltalaisille yrityksille
Vuonna 1977 hyväksytyn Foreign Corrupt Practice Act -lain (ulkomaisia lahjontakäytäntöjä koskeva laki) nojalla Yhdysvaltain tuomioistuimet voivat määrätä yritykset maksamaan huomattavia summia rangaistuksia. Vuonna 2014 Alstom maksoi 772 miljoonaa dollaria, Siemens 800 miljoonaa vuonna 2008, Daimler 185 miljoonaa vuonna 2010 ja Alcatel-Lucent 137 miljoonaa vuonna 2010. Nämä ovat vain muutamia suurempia summia.
Miten luulet, että todisteita tuotetaan? Millä tahansa keinolla, myös pilvipalvelussasi olevien tietojen avulla. Jos luulet olevasi turvassa, koska sinulla ei ole tytäryhtiöitä tai työntekijöitä Yhdysvalloissa, sinun pitäisi tietää, että FCPA:ta sovelletaan heti, kun amerikkalaiset edut ovat vaakalaudalla. Tässäkin tapauksessa käsite ”Yhdysvaltojen edut” on tulkinnanvarainen, eikä se ole sinun etujasi.
Kaikkien näiden Yhdysvaltojen lainsäädäntöä koskevien tietojen valossa vaihtoehto ranskalaisen tai eurooppalaisen yrityksen hallinnoimasta pilvipalvelusta Euroopan alueella vaikuttaa enemmän kuin mielenkiintoiselta. On kuitenkin edelleen tarpeen tarkastella kuuluisaa RGPD:tä.
GDPR Ranskan ja EU:n lainsäädännön valossa
Euroopan unioni antoi yleisen tietosuoja-asetuksen (GDPR) taatakseen niiden tietojen turvallisuuden, jotka käyttäjät uskovat Internetissä Euroopan alueella toimiville yrityksille.
On tärkeää tarkastella käyttäjiensä tietojen käsittelystä vastaavalle yritykselle asetettuja velvoitteita ja niihin liittyviä seuraamuksia, ennen kuin ymmärtää sen roolia tietojen siirrossa erityisesti Yhdysvaltoihin.
Rekisterinpitäjän velvollisuudet
RGPD:llä varmistetaan erityisesti, että lasten oikeuksia suojellaan tietojen keräämisen yhteydessä. Alle 13-vuotiaita lapsia koskevien tietojen kerääminen on edelleen kielletty, mutta 13-16-vuotiaiden lasten osalta se on sallittua vain vanhempien luvalla ja jos se koskee suoraan lapsille suunnattua palvelua.
RGPD:ssä edellytetään myös, että rekisterinpitäjät keräävät vain sellaisia tietoja, jotka ovat ehdottoman välttämättömiä sitä tarkoitusta varten, jota varten ne on kerätty, ja varmistavat, että ne voivat poistaa tiedot asianomaisen henkilön pyynnöstä.
Kaikkien RGPD:n velvoitteiden noudattaminen voi johtaa siihen, että valvontaviranomainen myöntää todistuksen. Todistus on voimassa kolme vuotta, ja se voidaan uusia.
Lisätietoja RGPD:n yksityiskohdista saa CNIL:stä (Commission Nationale de l’Informatique et des Libertés), joka on julkaissut verkko-oppaan erittäin pienille yrityksille ja pk-yrityksille. Oppaassa opastetaan, miten laatia luettelo tiedostoistasi, lajitella tietosi ja turvata ne.
RGPD:ssä säädettyjen velvoitteiden laiminlyönti voi johtaa erittäin raskaisiin taloudellisiin seuraamuksiin.
Säännösten noudattamatta jättämisestä aiheutuvat seuraamukset
Ranskassa CNIL ottaa asian käsiteltäväksi kolmella tavalla:
– seuraamalla käyttäjien valitusta suoraan CNIL:n verkkosivustolla,
– verkkosivuston tai yrityksen tarkastuksen jälkeen,
– tietoturvaloukkauksen jälkeen.
CNIL:llä on tällöin käytettävissään kaikki mahdolliset seuraamukset, jotka vaihtelevat julkisesta ilmoituksesta Légifrance-sivustolla ja CNIL:n verkkosivustolla taloudelliseen seuraamukseen, joka voi olla enintään 20 000 000 euroa tai 4 prosenttia edellisen tilikauden maailmanlaajuisesta liikevaihdosta.
CNIL määräsi Googlelle 150 miljoonan euron sakot Googlen ja Youtuben evästepolitiikasta. CNIL kritisoi amerikkalaisyhtiötä siitä, että se ei antanut käyttäjille mahdollisuutta kieltäytyä evästeistä yhtä helposti kuin niiden hyväksymisestä.
Samana päivänä, 31. joulukuuta 2021, CNIL määräsi myös Facebookille 60 miljoonan euron sakon samoista syistä kuin Googlelle.
Jo pelkästään nämä raskaat rangaistukset korostavat tietosuojakysymyksen merkitystä Euroopassa. Globalisoituneessa maailmassa, jossa erityisesti Internetissä kaikki verkot läpäisevät toisensa, tietojen jakaminen tekee tietosuojasta kuitenkin hieman monimutkaista.
Privacy Shieldistä Shrem II:een: tuomarista tulee henkilötietojen vartija
Euroopassa kerättyjä tietoja voidaan siirtää kolmansiin maihin. Näin on erityisesti Euroopan ja Yhdysvaltojen välillä, kun emoyhtiö siirtää henkilötietoja tytäryhtiölle tai toiselle palvelimelle.
Vuodesta 2016 vuoteen 2020 tähän tietojen siirtoon Euroopan unionista Yhdysvaltoihin sovellettavia säännöksiä sääteli Privacy Shield. Kyseessä oli kahdenvälinen sopimus, joka tarjosi eurooppalaisille käyttäjille takeet heidän henkilötietojensa käsittelystä Yhdysvalloissa.
Tämä tietosuojatakuu ei kuitenkaan ollut Yhdysvaltojen puolella niin tehokas kuin sopimus antaa ymmärtää. Itävaltalainen Schrem-niminen asianajaja haastoi Facebook Irelandin oikeuteen väittäen, että hänen henkilötietojaan, jotka oli siirretty kokonaan tai osittain Yhdysvaltoihin, ei suojattu samalla tavalla kuin kaikkien sosiaalisen verkoston käyttäjien tietoja.
Euroopan unionin tuomioistuin antoi Schrems II -nimisessä tuomiossaan kantajan tukevan tuomion ja teki näin lopun Privacy Shield -järjestelmästä. Pääasialliset perustelut tuomiossa koskivat sitä, miten helposti Yhdysvaltain viranomaiset ja tiedustelupalvelut pääsivät käsiksi siirrettyihin henkilötietoihin.
Ranskassa järjestöt ovat nousseet vastustamaan hallituksen tiedonkeruuta. Esimerkiksi Conseil d’Etat joutui tekemään päätöksen hallituksen ja Doctolib-alustan välisestä kumppanuudesta, joka liittyi rokotusten määräämiseen Covid 19 -tartuntaa vastaan.
Conseil d’Etat hylkäsi yhdistysten pyynnön tarkistettuaan tietoturvan laadun sillä perusteella, että lääketieteellisiä tietoja ei kerätty.
Samoin yhdistykset, kuten La Quadrature du Net, riitauttivat Conseil d’Etatissa 25. helmikuuta 2011 annetun asetuksen, jolla Internet-palveluntarjoajia velvoitettiin säilyttämään digitaalisia tietoja.
Hallintotuomarit hylkäsivät niiden väitteet kansalliseen turvallisuuteen, kansakunnan perustavanlaatuisten etujen puolustamiseen ja rikollisuuden torjuntaan liittyvillä perusteilla.
Euroopan lainvalvontaviranomaiset eivät kuitenkaan voi takavarikoida Internet-palveluntarjoajaa tai yritystä ilman tuomarin ennakkolupaa. Viimeksi mainittu arvioi tällaisen pyynnön hyödyllisyyden niiden tutkimusten yhteydessä, joista tutkijat raportoivat hänelle.
Päätelmä
Yhteenvetona voidaan todeta, että Euroopan unionin jäsenvaltioiden sisä- ja oikeusministeriöiden toimivaltaan kuuluvien viranomaisten suorittamaa tietojenkäsittelyä ja pääsyä näihin tietoihin säännellään erittäin tarkasti. Euroopassa ei ole Yhdysvaltojen lakeihin verrattavaa lainsäädäntöä.
Jos yritys haluaa tallentaa tietoja verkkoon pilvipohjaisten ratkaisujen avulla, on tärkeää valita eurooppalainen palveluntarjoaja, joka tallentaa tiedot Euroopan maaperälle.
Tällöin on myös tärkeää tarkistaa, ettei yritys siirrä tietoja tytäryhtiölle, joka sijaitsee Euroopan unionin ulkopuolisessa maassa, erityisesti Yhdysvalloissa. Yhdysvaltojen ekstraterritoriaalisia lakeja on hyvin vaikea soveltaa yritykseen, jolla ei ole yhteyksiä Yhdysvaltoihin.
Tietojen tallentaminen yhdysvaltalaisten yritysten kautta avaa ovet teollisuusvakoilulle ja huipputekniikan epäterveille kilpailukäytännöille. Kuten olemme nähneet Siemensin, Alcatel-Lucentin ja Alstomin kohdalla, Yhdysvaltain hallitus ei tuomioistuinten tukemana tee mitään heikentääkseen näiden yritysten kilpailua.
Ei siis kierrellä puskista.
