1. yle.fi
  2. Uutiset

KRP takavarikoi Saksan pyynnöstä tietoturvayhtiö F-securen VPN-palvelun dataa – oikeus kumosi takavarikon ja määräsi tiedot tuhottavaksi

Kahdessa oikeusasteessa arvioitiin, oliko KRP:llä oikeus takavarikoida dataa vai ei. Oikeusasteet olivat yhtä mieltä.

tietosuoja
F-Securen pääkonttori Helsingissä
Kimmo Brandt / AOP

Helsingin hovioikeus on todennut KRP:n suorittaman tietoturvayhtiö F-secureen kohdistuneen datatakavarikon laittomaksi. Takavarikko kohdistui tietoturvayhtiön Freedome-palveluun, jonka tehtävä on taata asiakkaan yksityisyys tietoliikenteessä.

KRP ryhtyi takavarikkoon Saksan Keskusrikospoliisin Bundeskriminalamtin (BKA) oikeusapupyynnöstä tammikuussa 2019. BKA tutki vakavaa rikosta ja arvioi, että F-securen hallussa olevalla datalla se voisi tunnistaa rikoksesta epäillyn.

KRP takavarikoi 15. tammikuuta 2019 F-Securen hallusta lokitietoja, jotka koskivat yhden Saksasta saadun IP-osoitteen tietoja. Takavarikko kohdistui F-securen Freedome palvelun lokitietoihin.

Freedome on yhtiön maksullinen VPN-palvelu, jonka tarkoitus on tarjota asiakkaalle yksityisyyttä. VPN:ää käyttämällä asiakas voi salata oman IP-osoitteensa viestin vastaanottajalta ja ulkopuolisilta.

IP-osoite on numerosarja, jonka avulla käyttäjä voidaan yksilöidä, mutta pelkkä IP-osoite ei siihen yleensä riitä. Jotta IP-osoitteen takaa voitaisiin paljastaa käyttäjän henkilöllisyys, on päästävä käsiksi palveluntarjoajien tietoihin.

Luottamuksellinen viesti vai asiakastieto?

F-secure vaati käräjäoikeudessa, että takavarikko kumotaan ja takavarikoitu data tuhotaan. Yhtiön mukaan takavarikossa takavarikoidussa datassa oli kyse perustuslain mukaisesta luottamuksellisesta viestinnästä, jota saa takavarikoida vain pakkokeinolain 10. luvun mukaisin perustein.

Tällainen takavarikko saa kohdistua vain rikoksesta epäillyltä lähtöisin olevaan tai hänelle tarkoitettuun viestiin.

KRP:n tulkinnan mukaan sillä oli oikeus takavarikoida tiedot, sillä ne eivät olleet luottamuksellisen viestinnän suojan piiriin kuuluvia vaan asiakas- ja tilaajatietoja. Tällä perusteella KRP olisi saanut takavarikoida datan ilman pakkokeinolain 10. luvussa määriteltyjä pakkokeinoja.

Traficom F-securen linjalla

Käräjäoikeus totesi, että KRP:n takavarikoimassa datassa oli kyse F-Securelle hetkellisesti tallentuneesta datasta, jota oli palvelun käyttäjän IP-osoite, käytetyn laitteen yksilöivä laitetunnus, istunnon istuntotunnus, yhteyden alkamis- ja päättymisajankohta sekä tieto kertyvän datan määrästä.

Oikeudessa kuultu F-securen asiantuntija Tapio Keihänen kertoi, että Freedomen maksullisuuden takia käyttäjän lisenssin voimassaoloaika tarkistetaan aina, kun VPN-yhteys avataan. Näitä tietoja säilytetään kolme päivää. Lisää dataa tallentuu, kun käyttäjä käyttää VPN:ää. Tätä dataa säilytetään 90 päivää.

KRP:n takavarikko kohdistui jälkimmäiseen dataan, joka sisältää tiedon määriä ja aikaleimoja. Niitä yhdistelemällä on mahdollista selvittää viestinnän kohde, mutta esimerkiksi käyttäjän vierailemia verkkosivuja ei Keihäsen mukaan ole mahdollista selvittää.

Liikenne- ja viestintäviraston Traficomin lakimies Erika Leinonen kertoi todistajana, että Freedome-palvelun keräämien tietojen luonteesta on päivätty virastossa muistio 17. tammikuuta 2019. Samankaltaisesta asiasta oli aiemmin keskusteltu myös verottajan kanssa.

Muistiossa päädyttiin siihen, että IP-osoite oli lain tarkoittama välitystieto eikä pelkästään asiakastieto.

Kaksi oikeusastetta kumosi takavarikon

Käräjäoikeus totesi toukokuussa 2019 antamassaan päätöksessä, että KRP:n takavarikoimat tiedot ovat välitystietoja, eivät asiakastietoja. Niiden saaminen edellyttäisi siis pakkokeinolain 10. luvun mukaisten pakkokeinojen käyttämistä.

Käräjäoikeus totesi myös, että Freedome-palvelua ei voi katsoa viestinnän kohteeksi. F-secure ei siis ole viestinnän osapuoli vaan välittäjä, joten KRP ei voi käyttää myöskään 10. luvun mukaisia pakkokeinoja.

Käräjäoikeus totesi, että KRP:llä ei ollut oikeutta takavarikoida tietoja ja määräsi takavarikon kumottavaksi ja tiedot tuhottavaksi.

KRP valitti päätöksestä Helsingin hovioikeuteen, joka antoi päätöksensä tänään. Hovioikeus piti käräjäoikeuden ratkaisun voimassa.

F-securelta ei haluttu antaa aiheesta haastattelua vaan yhtiö kertoi kommentoivansa asiaa myöhemmin sähköpostitse.

Lue seuraavaksi