Syyskuun viimeisellä viikolla Facebookista on väännetty niin kotimaisissa kuin ulkomaisissakin medioissa suuria ja raflaavia otsikoita:
”Facebook uhkaa lähteä Euroopasta” (Marmai)
”Facebook ja Instagram saatetaan sulkea” (Iltalehti)
”Euroopan tiukentunut yksityisyydensuoja ärsyttää Facebookia – uhkaa poistua kokonaan” (Tekniikka ja Talous)
Mistä nämä otsikot on revitty?
Lyhykäisyydessään tapahtui seuraavaa:
- EU-tuomioistuin totesi EU-US Privacy Shield -tiedonsiirtosopimuksen riittämättömäksi heinäkuussa 2020.
- Päätökseen nojaten Irlannin tietosuojavaltuutettu DPC antoi Facebookille määräyksen lopettaa henkilötietojen siirtely EU:n ja USA:n välillä.
- Koska tietojensiirrolle ei ole EU:n tietosuojakriteerit täyttäviä puitteita Privacy Shieldin kaatumisen jälkeen, Facebook totesi, ettei tiedä, miten sen toiminta nykylogiikalla on mahdollista siirtämättä henkilötietoja.
Pidempi ja ymmärrettävämpi kertoitus edellyttääkin hieman taustoitusta. Kas näin:
Mikä on Privacy Shield?
Privacy Shieldillä tarkoitetaan EU:n ja Yhdysvaltojen välistä tiedonsiirtojärjestelmää. Järjestelmään kuuluneet yhdysvaltalaiset organisaatiot sitoutuivat noudattamaan tiettyjä eurooppalaisten tietosuojavaltuutettujen antamia lausuntoja ja päätöksiä. Käytännössä siis yli 5000:lle Privacy Shield -organisaatioille tehtäviin henkilötietojen siirtoihin ei tarvittu erityistä lupaa. Ilman Privacy Shieldiä tietojen siirto EU:sta Yhdysvaltoihin tietosuojamääräysten mukaisesti olisi huomattavasti monimutkaisempaa.
Vuodesta 2016 hyvin palvellut Privacy Shield kuitenkin todettiin riittämättömäksi heinäkuussa 2020, sillä EU-tuomioistuimen mukaan se ei täytä nykyisen tietosuojalainsäädännön vaatimuksia. Samalla linjattiin, että tietojen siirto on kuitenkin yhä mahdollista käyttäen niin sanottuja mallisopimuslausekkeita.
Käytännössä mallisopimuslausekkeiden noudattaminen tarkoittaisi sitä, että eurooppalainen yritys tarvitsisi yhdysvaltalaisilta tietojen käsittelijältä erillisen kuittauksen siitä, että mainittuja mallisopimuslausekkeita noudatetaan. Haasteena toki on se, että esim. amerikkalaisia teknologiajättejä tuskin kiinnostaa alkaa solmimaan erillisiä sopimuksia jokaisen yksittäisen eurooppalaisen yrityksen kanssa.
Sittemmin oikeustila onkin ollut hieman epäselvä. Suomessakin Tietosuojavaltuutetun toimisto on luvannut tiedottaa tuomion vaikutuksista lisää lähiaikoina.
Mitä Facebook väitetysti ”uhkasi” ja miksi?
Facebook sai puolisentoista kuukautta Privacy Shieldin kumoamisen jälkeen postia: Irlannin tietosuojavaltuutettu DPC teki alustavan päätöksen, jossa sanottiin instanssin ”harkitsevan sen ehdottamista, että Facebookin tekemät datasiirrot keskeytettäisiin”.
”Alustava päätös” (engl. “Premilinary Draft Decision”) saapui Facebookin sanoin 28.8., ilman ennakkovaroitusta. Dokumentti ei ole julkinen, mutta amerikkalaisen CNBC-uutismedian mukaan seuraamukset voisivat olla 2,8 miljardin dollarin sakot tai 4% vuotuisesta liikevaihdosta, ellei Facebook kykene määräystä noudattamaan.
Toimeenpanoon DPC antoi ruhtinaalliset kolme viikkoa. Lisäaikaa ei myönnetty.
Keskitytäänpä sitten otsikoituun ”uhkaukseen”. Facebookin Irlannin tietosuojajohtaja Yvonne Cunnane kirjoitti valaehtoisessa todistuksessaan:
”– – ei ole selvää, miten [Facebook] näissä olosuhteissa voisi jatkaa Facebook- tai Instagram-palveluiden tarjoamista EU:ssa.”
Pitääkö Facebookin vihjaus Euroopasta vetäytymisestä ottaa vakavasti?
On enemmän kuin ymmärrettävää, että Facebookille ei ole juuri nyt selvää, miten se kykenee mahdollistamaan Facebookin ja Instagramin käytön EU:n kansalaisille siirtämättä henkilötietoja Yhdysvaltoihin. Media on kuitenkin tarttunut syöttiin ja kärjistänyt tämän 22-sivuisen dokumentin yhden sivulauseen mitä räväkimmiksi klikkiotsikoiksi.
Facebook kokee DCP:n vaatimuksen kohtuuttomana myös siksi, että muita teknologiayrityksiä ei ole nostettu tikun nokkaan, vaikka tietoja siirtelee EU:n näkökulmasta riittämättömän tietosuojan puitteissa moni muukin yritys, joka toimii sekä EU:ssa että Yhdysvalloissa – todennäköisesti useampi kuin harvempi.
Kanadalais-amerikkalaisen aikakauslehti Vicen mukaan Facebookin tiedottaja on täsmentänyt, että Facebook ei lausunnollaan ole uhannut vetäytyä Euroopasta, vaan tarkoituksena on ollut teroittaa, että Facebookin, kuten monien muidenkin yritysten ja palveluiden, toiminta nojaa sujuvaan datansiirtoon mannerten välillä.
Se, että Facebook olisi todella vetäytymässä Euroopasta, on loistava lööppi, muttei kovin vakavasti otettava uhka. Kuten Facebook itsekin lausumassaan toteaa, kuukausittain aktiivisia Facebook-käyttäjiä on Euroopassa 410 miljoonaa ja sen palveluita käyttää 25 miljoonaa yritystä – selvää on, että monta kiveä käännetään vielä, ennen kuin Facebook todella vetäytyy pois sille merkittäviltä EU:n markkinoilta.
Jäämme mielenkiinnolla seuraamaan, miten asian käsittely etenee ja millaisia toimenpideohjeita Privacy Shieldin jälkeiselle ajalle saadaan. Tiedotamme asiaan liittyvistä muutoksista jatkossakin blogissamme! Pysyt kartalla tilaamalla uutiskirjeemme.