Ilmatieteen laitos sai apulaistietosuojavaltuutetulta huomautuksen henkilötietojen siirtämisestä Yhdysvaltoihin verkkosivujen seurantateknologioiden kautta ilman pätevää siirtoperustetta. Kyse oli reCAPTCHA ja Google Analytics -palveluiden käytöstä.
Google Analyticsia käyttävät todella monet eri organisaatiot verkkosivuillaan niin Suomessa kuin muissa maissa ympäri Eurooppaa. Ne saattavat kaikki olla lainvastaisia, sanoo tietosuoja-asiantuntija Heikki Tolvanen PrivacyDesigner-yrityksestä STT:lle.
Samalla huomautus Google Analyticsista on vain oire paljon laajemmasta ongelmasta eli EU-lainsäädännön epäselvästä tilasta, sanoo Elinkeinoelämän keskusliiton EK:n asiantuntija Juho Mäki-Lohiluoma STT:lle.
– Yrityksille on luotu valtavaa epävarmuutta siitä, mikä oikeustila tällä hetkellä oikein on, ja eri yritykset ovat joutuneet etsimään parhaita käytäntöjä. Tilanne on tosi hankala ja epätoivottava, kun se jatkuu vuodesta toiseen, Mäki-Lohiluoma sanoo.
Ongelma liittyy henkilötietojen siirtämiseen EU- ja ETA-alueen ulkopuolelle, erityisesti Yhdysvaltoihin, Tolvanen kertoo.
Hänen mielestään Ilmatieteen laitoksen saama päätös on vaikutukseltaan merkittävä, vähän niin kuin EU-tuomioistuimen aiemmin antama niin kutsuttu Schrems II -päätös, joka mitätöi EU:n ja Yhdysvaltojen neuvotteleman henkilötietojärjestelyn vuonna 2020.
– Päätös ei koske ainoastaan Googlen palveluiden käyttöä, vaan samat pelisäännöt soveltuvat mihin tahansa organisaatioon, joka kuuluu Yhdysvalloissa tiedustelulainsäädännön piiriin, eli käytännössä kaikki sähköisen viestinnän palveluntarjoajat.
Tausta EU-tuomioistuimessa
Tolvanen kertoo, että Schrems II -päätöksen jälkeen organisaatioiden on täytynyt toteuttaa eräänlainen henkilötietojen siirtoja koskeva riskiarvio, mikäli tietoja siirretään EU- ja ETA-alueen ulkopuolelle. Niiden täytyy arvioida, onko kolmannen maan voimassa olevissa laeissa tai käytännöissä jotain, mikä heikentää EU-lainsäädännön eli käytännössä yleisen tietosuoja-asetuksen GDPR:n takaamaa tietosuojan tasoa.
Tällainen heikentävä seikka on erityisesti Yhdysvaltojen tiedustelutoiminta. Mikäli heikentäviä seikkoja on, organisaatioiden pitäisi ottaa käyttöön lisäsuojatoimia, joilla EU-lainsäädännön edellyttämä tietosuojan taso säilyisi myös siirron jälkeen.
– Tietosuojavaltuutetun toimiston päätöksen mukaan Ilmatieteen laitos ei ollut tehnyt siirtoa koskevia riskiarviointeja, eikä täten pystynyt edes osoittamaan mahdollisten lisäsuojatoimien olemassaoloa tai sitä, riittäisivätkö ne takaamaan EU lainsäädännön edellyttämän tietosuojan tason, Tolvanen sanoo ja jatkaa, että suostumuksen pyytäminen käyttäjältä ei sekään tekisi siirroista lainmukaisia ilman riskiarviointia ja lisäsuojatoimia.
Valvontaviranomainen odottaa Tolvasen mukaan vähintäänkin siirtoja koskevien riskiarviointien toteuttamista ja lisäsuojatoimien käyttöönottoa.
– Tämä edellyttää aika isoa harjoitusta, jossa käydään läpi kaikki organisaation toimittajat ja näiden alihankkijat sekä selvitetään minne dataa siirrellään palveluiden toimittamisen aikana. Sitten on hyvä ymmärtää, että Googlekaan ei ole onnistunut tähän päivään mennessä tarjoamaan riittäviä lisäsuojatoimia, eli asian lainmukaiseksi saattaminen ei ole organisaatioiden itsensä käsissä. Googlekaan ei voi muuttaa Yhdysvaltojen lainsäädäntöä eikä vältellä sen piiriin kuulumista.
Google Analyticsin voi sentään korvata toisella palvelulla suhteellisen helposti. Mutta samat pelisäännöt soveltuvat sähköpostipalveluihin ja isompiin pilvipalveluihin, kuten Amazonin AWS:ään, joihin organisaatiot usein rakentavat it-infransa, Tolvanen muistuttaa.
– Näiden korvaaminen ei välttämättä onnistukaan.
Yritykset joutuvat arvioimaan tätä sääntelyriskiä samalla tavalla kuin muitakin sääntelystä tulevia velvoitteita, Mäki-Lohiluoma sanoo.
– Nykyinen tilanne aiheuttaa tietosuojan osalta kuitenkin merkittävää ja epätoivottavaa oikeudellista epävarmuutta.
Jotkut kiertävät päätöksiä
Todella monet eri organisaatiot kuitenkin käyttävät yhä myös Suomessa Google Analyticsia, vaikka sen käyttö on todennäköisesti aina EU-lainsäädännön vastaista. Tolvanen arvelee, että moni käyttää palvelua sen takia, että riski joutua valvontaviranomaisen hampaisiin on hyvin pieni, mutta myös sen takia, että tietosuojavaltuutetun päätöksiä voidaan lukea monella tavalla.
– Nimiä mainitsematta monet organisaatiot tarjoavat Google Analyticsia palveluna, ja näistä usein annetaan viestiä asiakkaille, että annetut päätökset liittyisivät Google Analyticsin tiettyyn versioon tai että tietosuojavaltuutetun toimisto olisi tehnyt tulkintavirheitä asiassa.
Tietosuojavaltuutetun toimiston päätökset pohjautuvat EU-tuomioistuimen Schrems II -ratkaisuun, eivätkä ydinongelmat poistu Googlen versiopäivitysten myötä, Tolvanen sanoo.
– Me ihmiset olemme kuitenkin luonteeltaan sellaisia, että otamme helposti vastaan minkä tahansa argumentin, jolla pystymme perustelemaan ettei omassa toiminnassamme ole mitään väärää.
Samalla Schrems II asettaa organisaatioille Tolvasen mukaan varsin kohtuuttoman vaatimuksen tehdä riskiarviointeja Yhdysvaltojen lainsäädäntöön ja käytäntöihin.
– Jos EU komissio on "epäonnistunut" tässä jo kaksi kertaa, miten tällaista voidaan odottaa pienemmiltä organisaatioilta?
Uusi sopimus tulossa
EU-tuomioistuin on jo kahdesti torpedoinut EU:n ja Yhdysvaltojen sopimuksen henkilötietojen siirrosta. Kolmannesta sopimuksesta on olemassa poliittinen sopu, ainakin periaatteessa.
– Näissä on vain aika pitkät kaaret ennen kuin poliittinen sopu saadaan oikeudellisesti päteväksi instrumentiksi, ja yritykset ovat sitä ennen välitilassa, EK:n Mäki-Lohiluoma sanoo.
Moni yritys siis keksii itse parhaat käytännöt tai ottaa tietoisen riskin yhdysvaltalaisten it-palveluiden käytössä.
– Tietoinen riski voi liittyä myös siihen, että valvonta ympäri Eurooppaa on ollut melko hidasta. Tänä päivänä on aika todennäköistä, etteivät selkeätkään GDPR-rikkomukset tule valvontaviranomaisten käsiteltäväksi tai niiden käsittely kestää vuosia, Tolvanen sanoo.
Tolvasen veikkaus on, että mikäli uusi siirtomekanismi saadaan voimaan, näemme Schrems III -ratkaisun ja palaamme jälleen alkuun. Siinä kestäisi kuitenkin kauan. Schrems II -ratkaisu tuli seitsemän vuotta valituksen jälkeen.
Mäki-Lohiluoman mielestä asialla on liian aikaista spekuloida.
– On todella ongelmallista, jos yritysten puolelta ei voida luottaa tulevan ratkaisun pitävyyteen.
Spekulointi kuvaa Mäki-Lohiluoman mielestä kuitenkin hyvin, miten hankala tilanne GDPR:n jäljiltä on muodostunut ja minkälaisissa toimintaympäristöissä eri organisaatiot ovat joutuneet viime vuodet navigoimaan.
– Täytyy muistaa, että suomalaiset yritykset toimivat kansainvälisesti ja liiketoimintaa on kolmansissa maissa (eli EU- ja ETA-alueen ulkopuolella), jolloin datan liikkuvuus on täysin keskeistä näiden yritysten toiminnalle. Tässä on monia nyansseja, ja EU:n tietosuojaregiimi on muuttanut kansainvälisten yritysten toimintaa. Myös yhdysvaltalaisyritykset joutuvat osaltaan sopeutumaan siihen.
Lopulta ongelman ratkaisu on politiikkaa, sanovat niin Tolvanen kuin Mäki-Lohiluoma.
Tolvasen mielestä asia ratkeaa sitten, kun joko Yhdysvallat tai EU antaa periksi.
– Henkilökohtaisesti toivon, ettei EU maailman isoimpana talousalueena antaisi tässä periksi, sillä kyllähän Yhdysvallatkin suojaa omia kansalaisiaan täysin vastaavalta toiminnalta, Tolvanen sanoo ja viittaa muun muassa Tiktokiin ja Huaweihin.