Ads 468x60px

torstai 17. huhtikuuta 2014

Perusoikeudet korostuvat EU-tuomioistuimen tietosuoja-alan tuomiossa

EU-tuomioistuin korosti vahvasti tietosuojan asemaa kaikkia jäsenvaltioita sitovana kansalaisten perusoikeutena 8.4.2014 Digital Rights Ireland -tapaukseen antamassaan tuomiossa, jossa se julisti EU:n teletunnistetietojen säilyttämistä koskevan direktiivin (2006/24/EY) pätemättömäksi. Direktiivissä edellytettiin tietoliikennepalveluntarjoajan säilyttävän kaikki asiakkaidensa viestintään liittyvät tunnistamis- ja paikkatiedot 6-24 kuukauden ajan siinä tarkoituksessa, että tieto olisi viranomaisten hyödynnettävissä vakavaa rikollisuutta torjuttaessa ja selvitettäessä.

Sinänsä tärkeitä tarkoitusperiä edistävällä sääntelyllä oli oikeuden päätöksen mukaan erityisesti se puute, että yksityisyyden suojan, lähemmin henkilötietojen suojan sisältö jäi turvallisuutta tavoittelevien toimenpiteiden seurauksena epäselväksi. Kerättäviä tietoja ja niiden luonnetta ja laajuutta ei nimittäin ollut suhteutettu siihen, mitä niistä yleisen turvallisuuden intresseissä oletettiin löydettävän. Tietojen säilytysvelvollisuus ei kohdistunut esimerkiksi tietyn rikostutkinnan kannalta epäilyksenalaiseen henkilöjoukkoon. Myöskään viranomaisten valtuuksia näiden tietojen käyttämiseksi ei ollut määritelty direktiivissä riittävän tarkasti. Direktiivi mahdollisti siis periaatteessa jatkuvan valvonnan jokaiseen verkkoympäristössä toimivaan henkilöön riippumatta siitä, onko hänen toimintansa antanut aihetta minkäänlaiselle rikosepäilylle.

Toinen keskeinen ongelma on se, että vaikka kerättävät tiedot eivät annakaan pääsyä siihen kuuluvan viestinnän sisältöön, voi jo tunnistamistietojen avulla päätellä yksityisyyden piiriin kuuluvista asioista melko paljon. Tietoja yhdistelemällä ja analysoimalla voidaan saada selville yksityiskohtaisia ja arkaluontoisiakin tietoja melkeinpä kenen tahansa elämästä ja toiminnasta. Direktiivissä ei EU-tuomioistuimen mukaan ollut myöskään varauduttu riittävästi tietojen säilyttämiseen liittyviin ilmiselviin riskeihin. Miten voidaan taata, etteivät tiedot joudu vääriin käsiin tai etteivät tiedon saamiseen oikeutetut viranomaiset käytä tietoa muihinkin tarkoituksiin? Entä minkälainen rikos voidaan katsoa direktiivin tarkoittamassa mielessä riittävän vakavaksi oikeuttaakseen tietojen hyödyntämisen?

EU-tuomioistuin totesi ratkaisussaan, että direktiivi puuttuu liiallisesti EU:n perusoikeuskirjan turvaamiin yksityisyyden suojaan (7 artikla) ja henkilötietojen suojaan (8 artikla). Vaikka tällä hetkellä voimassa olevat keskeisimmät tietosuojasäännökset niin kansallisella kuin unionin tasolla ovat peräisin 1990-luvun lopulta ja siten auttamattomasti teknistä kehitystä jäljessä, EU:n perusoikeuskirja ja sen turvaamat jäsenvaltioita sitovat perusoikeudet tukevat siis epäsuorasti mutta tehokkaasti henkilötietojen suojan toteutumista myös vuoden 2014 verkkoympäristössä. EU-tuomioistuin osoittaa ratkaisullaan, että henkilötietojen suoja on perusoikeutena vakavasti otettava ja itsenäinen oikeus, jonka toteuttaminen edellyttää rekisterinpitäjiltä etukäteistä suunnittelua ja riskien huolellista kartoittamista, jatkossa tuntuvien sanktioiden uhalla.

Kumotun direktiivin edellyttämästä tunnistamistietojen säilyttämisestä on Suomessa kansallisella tasolla säädetty erityisesti sähköisen viestinnän tietosuojalaissa. Direktiivin pätemättömyys ei tarkoita sitä, että sen nojalla säädetyt kansalliset lait kumoutuisivat automaattisesti, vaan säännösten mahdollinen uudelleenarviointi on kansallisen lainsäätäjän tehtävä. Tuomion perusteella on kuitenkin ilmeistä, että voimassa olevaa lainsäädäntöä tulee tulkita siten, että unionin perusoikeuksina turvatut yksityisyyden suoja ja henkilötietojen suoja toteutuvat kaikessa verkkoviestinnässä vastapuolen legitiimejä intressejä sivuuttamatta. Perusoikeuksien rajoittaminen on toki edelleenkin mahdollista yhteiskunnallisesti tärkeistä syistä, mutta rajoitusten tulee olla selvästi ja tarkkarajaisesti määriteltyjä ja niiden tulee olla oikeassa suhteessa suojattaviin perusoikeuksiin.

EU-tasolla ollaan parhaillaan valmistelemassa uutta tietosuoja-asetusta, joka on tarkoitus saattaa voimaan lähiaikoina. Asetuksen myötä tietosuojavaatimukset pyritään harmonisoimaan samalle tasolle koko unionin alueella. Tämä aiheuttaa kaikille henkilötietoja käsitteleville organisaatioille myös entistä tarkemmin määriteltyjä velvollisuuksia. Käytännössä organisaatioiden on jatkossa suunniteltava henkilötietojen kerääminen, käsittely ja säilytys huolellisesti etukäteen ottaen huomioon käsittelyn tarkoitus, jonka on oltava oikein suhteutettu yksityisyyden ja henkilötietojen suojaan. Suomessa on lisäksi parhaillaan vireillä Tietoyhteiskuntakaari-nimellä tunnettu lainsäädäntöhanke, jossa mm. tietosuojaa ja sähköistä viestintää koskevat säännökset kootaan saman säädöksen alle. On odotettavissa, että Digital Rights Ireland -tuomio ja EU:n tietosuoja-asetuksen valmistelu vaikuttavat osaltaan myös kotimaisten säännösten uudistamiseen.

Tunnistamistietojen säilyttämistä koskevan direktiivin kumoaminen ei välttämättä vaikuta suoraan henkilötietoja käsittelevien organisaatioiden toimintaan. EU-tuomioistuimen ratkaisu kertoo kuitenkin vahvistuvasta trendistä, jonka mukaisesti sekä EU:n tasolla että kansallisella tasolla on odotettavissa tiukempaa sääntelyä henkilötietojen suojaamisen alalla. Liiketoimintaympäristöstä johtuvat, kaupalliset sekä juridiset riskit kasvavat jatkossa, ja rekisterinpitäjien on syytä varautua näihin hyvissä ajoin.


Salha Hanna (at kpmg fi)
Mikko Viemerö (at kpmg fi)

Ei kommentteja:

Lähetä kommentti