Mitä yksityisyydensuojan voittona hehkutettu EU-päätös todella merkitsee? Kyberturvallisuuden professori vastaa

Professori Jarno Limnéllin mukaan EU:n tuomioistuimen päätös on merkittävä askel yksityisyydensuoja-asioissa jämäköityvälle EU:lle, mutta avoimeksi jää monia kysymyksiä.

tietoturva
Jarno Limnéll
Professori Jarno Limnéllin mukaan päätös antaa voimakkaan viestin Euroopan rajojen ulkopuolelle.Tiina Jutila / Yle

Torstaina uutisoitiin Euroopan unionin tuomioistuimen päätöksestä mitätöidä EU:n ja Yhdysvaltojen välinen datansiirtosopimus Privacy Shield (siirryt toiseen palveluun), sillä sen tarjoama suoja eurooppalaisten henkilökohtaisille tiedoille tuomittiin riittämättömäksi.

Päätöstä on jo ehditty hehkuttaa voittona eurooppalaisten yksityisyydensuojalle ja tölväisynä teknologiajäteille kuten Googlelle ja Facebookille, jotka keräävät käyttäjiltään suunnattomia määriä dataa kaupallisiin ja osin tuntemattomiin tarkoituksiin.

Mutta mitä EU:n tuomioistuimen päätös oikeasti merkitsee sadoille miljoonille eurooppalaisille ja heidän yksityisyydelleen?

Yle kysyi asiaa Aalto-yliopiston kyberturvallisuuden professorilta Jarno Limnélliltä.

Mitä EU:n tuomioistuimen päätös mitätöidä Privacy Shield tarkoittaa?

– Päätös tiukentaa eurooppalaisten datan siirtoa Yhdysvaltoihin eli eurooppalaisten tiedoilla on oltava sama suoja Yhdysvalloissa kuin niillä on EU:ssa. Taustalla on yksityisyydensuojaan liittyvät huolet. Jos dataan pitää suhtautua samalla suojalla Yhdysvalloissa kuin EU:ssa, se antaa eurooppalaisille lisää yksityisyydensuojaa ja toisaalta pakottaa niin yhdysvaltalaisia yrityksiä kuin Yhdysvaltojen tiedustelulakien toimeenpanijoita miettimään asioita toisella tavalla.

– Kysymys ei ole sinällään pelkästään Yhdysvalloista, vaan ylipäätään siitä, miten eurooppalaisten datasta, turvallisuudesta ja yksityisyydestä huolehditaan riittävästi missä tahansa päin maailmaa.

Miten merkittävä tuomioistuimen päätös on?

– Mielestäni tämä on merkittävä päätös, kahdesta syystä. Ensinnäkin Euroopassa on nyt selkeästi otettu niin EU:n tietosuoja-asetuksen GDPR:n (siirryt toiseen palveluun) kuin tämän päätöksen myötä jämäkämpi asenne ja suhtautuminen eurooppalaisten dataan ja etenkin sen käyttämiseen Euroopan ulkopuolella. Se, että EU kykenee näin jämäkästi toimimaan, on hyvä asia. Tämän päätöksen viesti on Euroopan ulkopuolelle varsin voimakas.

– Toiseksi, kun katsotaan maailmaa nyt ja teknologian kehitystä tulevaisuuteen, puhutaan yhä enemmän datasta: kenellä on siihen käyttöoikeus, miten sitä kerätään, käytetään ja omistetaan, ja miten se turvallisuudesta huolehditaan. Tämä päätös on merkittävä askel eurooppalaisesta datasta huolehtimisessa isommassa kuvassa.

Miten päätös vaikuttaa teknologiayhtiöiden palveluita käyttävien ihmisten elämään?

– Uskon, että tilanne näyttäytyy ihmisille entistä parempana. Eurooppalaiset käyttäjät voivat olla jonkin verran luottavaisempia siihen, että EU kykenee huolehtimaan eurooppalaisten datan tulevaisuudesta ja yksityisyydestä.

– Nähtäväksi jää, miten asiat käytännössä toteutetaan ja toimivat, miten lakeja ja muita sopimuksia noudatetaan. Pidän tärkeänä valvonnan korostamista – eli kun sovitaan tietyistä pelisäännöistä, niiden noudattamista myös valvotaan.

Millaisia vaikutuksia päätöksellä on sitä koskevien yhtiöiden toimintaan ja taloudelliseen tilanteeseen?

– Eurooppa on yksi tärkeä markkina-alue kun puhutaan yhdysvaltalaisista somejäteistä. Me eurooppalaiset käytämme nimenomaan Yhdysvalloista tulevia teknologiaratkaisuja, kuten somesovelluksia, joita löytyy ison osan eurooppalaisten älypuhelimista.

– Sitä, miten yritykset tulevat tähän vastaamaan ja miten päätös konkreettisesti tulee vaikuttamaan, on tässä vaiheessa vaikea sanoa. Ehkä se kannustaa ja innostaa entisestään siihen, että Euroopassa syntyisi omia somekanavia joita eurooppalaiset käyttäisivät, ja joita voitaisiin paremmin toteuttaa eurooppalaisin säännöin. Päätös myös pakottaa yhdysvaltalaisyrityksiä miettimään tilannetta uudelleen, ja saattaa olla että tämän päätöksen jälkeen yhdysvaltalaiset yritykset perustavat uusia datakeskuksia Eurooppaan.

Miten päätös vaikuttaa EU:n ja Yhdysvaltojen välisiin suhteisiin?

– Lyhyellä aikavälillä päätös saattaa hankaloittaa EU:n ja Yhdysvaltojen välisiä suhteita ja kauppapolitiikkaa, koska dataan liittyvät asiat ovat yhä vahvemmin esillä poliittisia suhteita tarkastellessa. Pidemmällä aikavälillä tämä saattaa kuitenkin syventää molemminpuolista luottamusta, kun pelisäännöt ovat selkeämmät ja ennen kaikkea kun niitä noudatetaan.

– Taustalla on laajempi kehitys, jossa teknologiakamppailussa Yhdysvaltojen ja Kiinan välillä puheet ja teot kiristyvät. Jollei Euroopassa pysytä kehityksessä mukana ja kyetä tuomaan omia ratkaisuja, ollaan arvovalinnan edessä: menemmekö Yhdysvaltojen vai Kiinan kelkkaan ja sitoudumme toimimaan niiden pelisääntöjen ja arvopohjan mukaan?

Mitä avoimia kysymyksiä päätöksestä jää?

– Nämä asiat eivät varmasti jää tähän päätökseen, vaan kysymykset nousevat vielä esiin, myös juridisesti. Yksi kysymys tulee olemaan, miten tämä päätös, GDPR ja Yhdysvaltojen korostamat kansallisen turvallisuuden näkökulmat sekä yhdysvaltalaisyrityksien intressit sopivat yhteen keskenään. Tässä vaiheessa nähtäväksi jää sekin, mitkä valvonta- ja sanktiomekanismit otetaan käyttöön ja miten ne toimivat käytännössä.

Voit keskustella aiheesta 17.7. kello 23:een asti.

Lue lisää:

EU-tuomioistuimelta voitto yksityisyydensuojalle: Ihmisten tietojen luovutusta Yhdysvaltoihin säädeltävä tiukemmin

Kolmekymppinen itävaltalaisjuristi on piikki Facebookin lihassa – tiistaina alkava oikeudenkäynti voi myllätä tuhansien yhtiöiden bisneksen

Suomi ei olekaan EU-tietosuojan mallioppilas – Tutkijoiden mukaan Suomi toimii laittomasti nettiseurannan valvonnassa

Selvitys antaa karun kuvan tietosuojauudistuksesta – Annatko sinäkin riskillä ja summassa suostumuksen tietojesi käyttöön?