Tuesday, October 20, 2015

Mallisopimuslausekkeet tai sopimukset eivät pelasta Safe Harbourin mitätöinnin jälkeen

Lyhyesti: ei ole mallisopimuslausekkeita, jotka edes teoriassa voisivat täyttää EU:n tietosuojalainsäädännön vaatimukset EU-kansalaisten henkilötietojen siirron osalta kolmansiin maihin jos siirron kohteena on yritys, joka toimii USA:n lakien vaikutuspiirissä.

Tämä kirjoitus sisältää jotakuinkin samat asiat kuin vastaava englanninkielinen kirjoitukseni.

Tausta:

Euroopan unionin tuomioistuin antoi lokakuun 6. päivänä tuomion asiassa Maximillian Schrems vs. Irlannin tietosuojavaltuutettu.1 Tuomio on uutisoitu laajalti suomalaisessakin lehdistössä. Schrems on haastanut Facebookin oikeuteen siitä, että yhtiö siirtää ja käsittelee käyttäjiensä henkilötietoja ja henkilöön sidottuja tietoja Yhdysvalloissa, missä valtion tiedusteluelimillä kuten NSA:lla on mahdollisuus päästä käsiksi tietoihin. Tällainen menettely on kuitenkin EU:n lainsäädännön vastaista.2 EU-tuomioistuin antoi päätöksensä Irlannin korkeimman oikeuden pyynnöstä, koska sillä ratkaistavana olevassa tapauksessa Irlannin tietosuojavaltuutettu on ilmoittanut kantanaan, että Schremsin asia ei kuuluisi lainkaan kyseisen tuomioistuimen ratkaistavaksi, koska henkilötietojen siirto perustuu EU:n ja Yhdysvaltojen väliseen, komission hyväksymään Safe Harbour-järjestelyyn ja että asia ei siksi kuulu kansallisen tietosuojavaltuutetun ratkaisuvaltaan. Schrems puolestaan argumentoi, että koko Safe Harbour-sopimusjärjestelyltä on pudonnut pohja sen jälkeen kun Edward Snowden paljasti, että Yhdysvaltojen tiedusteluorganisaatiot sieppaavat ja tallentavat käsittämättömän suuria määriä käyttäjien, myös EU-maiden kansalaisten, tietoja.

EU-tuomioistuin totesi päätöksessään, että siitä tosiseikasta johtuen että EU-käyttäjien tietojen yksityisyys murretaan Yhdysvaltojen tiedustelutoimilla, Safe Harbour ei enää takaa sitä yksityisyyden tasoa, joka sen oli tarkoitus taata ja Safe Harbour on siksi pätemätön. Lisäksi EU-tuomioistuin katsoo, että kyseisenlaiset tapaukset kuuluvat kansallisten tietosuojaviranomaisten ratkaisuvaltaan. Schremsin argumentti siis voitti ja Irlannin korkein oikeus voi jatkaa tapauksen Schrems vs. Facebook käsittelyä.

Datan sijainnista keskustelu ei riitä

Suurin osa tiedotusvälineissä käytävää keskustelua on keskittynyt tietojen siirtoon Yhdysvaltoihin. Tämä on ymmärrettävää koska EU:n henkilötietodirektiivi3 ja Suomen henkilötietolaki4, jolla direktiivin sisältö on implementoitu Suomen lainsäädäntöön, keskittyvät henkilötietojen siirtoon. Kuitenkin vaikka on todennäköistä, että suurin osa Yhdysvaltojen hallinnon tiedusteluorganisaatioiden tekemästä massavalvonnasta tapahtuu maan rajojen sisäpuolella, on esimerkkejä siitä, että Yhdysvaltain hallinto vaatii myös tietoja, jotka on tallennettu maan rajojen ulkopuolelle. Eurooppalaisesta näkökulmasta mielenkiintoisessa tapauksessa Yhdysvaltain oikeusministeriö vaatii Microsoftia luovuttamaan käyttäjien tietoja, jotka on tallennettu Microsoftin Irlannissa sijaitsevaan palvelinkeskukseen.5 Yhdysvaltain oikeusministeriön mielestä ”Yhdysvaltain hallinnolla on (laillinen) oikeus vaatia kenen tahansa, missä päin maailmaa tahansa asuvan henkilön sähköpostiviestejä miltä tahansa sähköpostin välittäjältä, jonka pääkonttori on Yhdysvalloissa.” Microsoft ei halua suostua pyyntöön, koska myöntymisellä olisi merkittävä kielteinen vaikutus yhtiön liiketoimintaan ja asiaa käsitellään siksi oikeudessa. 

Jo kesäkuussa 2011 Microsoftin Iso-Britannian tytäryhtiön toimitusjohtaja Gordon Frazer myönsi, että Microsoft ei voi taata, että yhtiön EU-käyttäjien tiedot, jotka on tallennettu yhtiön EU-alueella sijaitseviin palvelinkeskuksiin, olisivat suojassa Yhdysvaltojen hallinnon tekemältä sieppaukselta ja tarkastelulta. Frazer sanoi: ”Microsoft ei voi antaa tällaisia takuita. Mikään muukaan yhtiö ei voi."6

Ongelma on kuitenkin paljon pahempi kuin pelkästään se, että Yhdysvaltain hallinnolla on jo mainittu ”(laillinen) oikeus vaatia kenen tahansa, missä päin maailmaa tahansa asuvan henkilön sähköpostiviestejä miltä tahansa sähköpostin välittäjältä, jonka pääkonttori on Yhdysvalloissa.” Ongelma on se, että Yhdysvaltain hallinnolla on käytössään lakiteknisiä keinoja, jotka mahdollistavat tätä paljon laajemman ihmisten tietojen hankkimisen. Lyhyesti: jos yritys toimii Yhdysvalloissa tai sillä on työntekijöinään Yhdysvaltojen kansalaisia Yhdysvaltojen rajojen ulkopuolella, Yhdysvaltojen hallinto voi kummassakin tapauksessa esittää FISA-lakia7 tietojen hankkimiseen. Pelkkä sivutoimipistekin Yhdysvalloissa mahdollistaa tämän ja avaa oven Yhdysvaltain hallinnolle. Lain perusteella esitetty haaste
voi sisältää myös ”suukapulaehdon”. Tämä tarkoittaa sitä, että tieto haasteen saamisesta on pidettävä salassa. Haasteen saanut henkilö ei saa paljastaa saaneensa haasteen puhumattakaan siitä, että paljastaisi siihen liittyviä yksityiskohtia ilman tuntuvia oikeudellisia seuraamuksia. Tämä on oletettavasti se, mitä tapahtui Edward Snowdeninkin käyttämän, täydellisesti salattua sähköpostipalvelua tarjonneen Lavabitin tapauksessa.8 Menettelyyn liittyvät oikeustapaukset käsitellään erityistuomioistuimissa, joiden toiminta on salaista.

Tuloksena tästä on se, että vaikka voisimme luottaa palveluita tuottaviin yhtiöihin itseensä, niiden palveluita käytettäessä ei voi olla yksityisyyttä siinä mielessä kuin EU-lainsäädäntö sen määrittelee niin kauan kuin Yhdysvaltain hallinnolla on käytössään FISA-lain antama voima suhteessa kehen tahansa työntekijään, jolla on mahdollisuus päästä käsiksi käyttäjien tietoihin. Microsoftin entinen yksityisyysasioiden pääneuvonantaja Caspar Bowden nosti asian esiin jo vuonna 20119, ennen Snowdenin tekemää asiakirjojen vuotamista ja sitä kautta saamaamme tietoa Yhdysvaltojen kansallisen turvallisuusvirasto NSA:n PRISM-ohjelmasta10 ja muista maan tiedusteluorganisaatioiden harjoittamasta massavalvonnasta. ”Sattumalta” Bowden vapautettiin tehtävistään Microsoftilla 2 kuukautta tämän jälkeen.

Ajatellaan suukapulaehdolla terästetyn FISA-haasteen saaneen työntekijän toimintavaihtoehtoja. Tietojen luovuttamisesta kieltäytymisestä seuraa vankeutta. Toisaalta haaste on niin salainen, että on epätodennäköistä, että edes työntekijän esimies saa koskaan tietää asiasta. Optimaalinen strategia on helppo nähdä: suostu tietojen luovutukseen ja pidä suu supussa asiasta.

Yhdysvaltain hallinnon luomus on olemukseltaan paholaismainen lakitekninen ansa. Sen rakenne selittää myös, miksi massavalvonnan mahdollistamisesta syytettyjen yhdysvaltalaisyritysten ylin johto on todella saattanut olla tietämätön työntekijöidensä osuudesta käyttäjien tietojen luovuttamisessa Yhdysvaltojen hallituksen virastoille. Yhtiöt esiintyivät julkisuudessa kieltäen osallistuneensa PRISM-ohjelmaan tai mihinkään sen kaltaiseen. Mitä muutakaan ylin johto voisi tuossa tilanteessa sanoa jos he eivät tienneet työntekijöidensä toimista? Toisaalta – mitä he todennäköisesti sanoisivat jos he itse ovat juuri niitä, jotka ovat saaneet suukapulaehdolla terästetyn haasteen?


Tämä on perusoikeuskysymys


Lopputulos on EU-maan kansalaisen kannalta sama. Vaikka luottaisimme yhdysvaltalaisiin yhtiöihin, emme voi luottaa niiden tarjoamiin palveluihin, koska Yhdysvaltain hallinto rikkoo oikeuttamme yksityisyyteen tavalla, joka on vastoin EU-lainsäädäntöä.

Euroopan ihmisoikeussopimuksen 8. artikla käsittelee oikeutta yksityisyyteen.11  EU-tuomioistuin perusteli päätöstään juuri näillä perusoikeuksilla. Väite, että kyse on ihmisoikeuksista ei ole enää mielipideasia. Se on EU-tuomioistuimen päätöksen perustelujen kulmakivi.

Voi argumentoida, että vahvalla salakirjoituksella salattujen tietojen tallentaminen palveluihin, joita Yhdysvaltojen tiedusteluorganisaatiot pystyvät kuuntelemaan, olisi riittävän turvallista. Kuitenkin vaikka hyvä salausteknologia tekee tietojen sieppaamisesta teknisesti paljon vaikeampaa, se ei salaa oikeudellisilta toimenpiteiltä. Kannattaa myös ottaa huomioon, että Yhdysvaltojen tiedusteluorganisaatiot ovat työskennelleet aktiivisesti tiedonsalausmenetelmien heikentämiseksi. Tätä on tehty muun muassa osallistumalla standardointiorganisaatioiden työhön, jolloin halutut heikkoudet on saatu käyttöön myös kansainvälisesti.12

On selvää, että on muitakin maita ja tahoja, jotka ovat uhka tietosuojalle. Esimerkiksi Kiinan ja Venäjän tiedustelu- ja kybersotatoiminta ovat merkittävä ja jatkuva uhka. Vaikka me EU-kansalaiset tai muidenkaan maiden kansalaiset pitäisimme näitä maita vakavampina uhkina kuin Yhdysvaltoja, on silti vaikea nähdä miksi hyväksyisimme Yhdysvaltojen harjoittaman yksityisyytemme loukkaamisen. Emmehän me sano esimerkiksi rikoksen uhrille: ”Turha valittaa siitä, että omaisuutesi, mukaan lukien henkilökohtaiset viestintäsi, varastettiin. Tuossa lähellä oleilee pahempia rikollisia joiden kanssa olisi voinut käydä vielä paljon pahemmin.”

P.S. Englanninkielisen artikkelini julkaisemisen (13.10) jälkeen on tapahtunut muun muassa seuraavaa:

14. lokakuuta Saksan Schleswig-Holsteinin osavaltion tietosuojaviranomainen päätti13, että tietojen siirtäminen mallisopimuslausekkeiden perusteella Yhdysvaltoihin on kiellettyä.

16. lokakuuta EU:n tietosuojadirektiivin toteuttamista valvova, muun muassa kansallisista tietosuojavaltuutetuista koostuva asiantuntijaelin ”Article 29 Working Party” kertoi jatkavansa EU-tuomioistuimen päätöksen analysointia.14 Sillä välin tiedonsiirtoja Yhdysvaltoihin voidaan jatkaa mallisopimuslausekkeiden (Standard Contractual Clauses) ja yrityksiä sitovien sääntöjen (Binding Corporate Rules)15 perusteella. Tämä ei kuitenkaan estä kansallisia tietosuojaviranomaisia tutkimasta esimerkiksi tapauksia, joista on tehty ilmoituksia. Jos tammikuun 2016 loppuun mennessä ei ole saatu aikaan ”uutta Safe Harbouria” eli järjestelyä, jolla yksityisyys turvataan, tietosuojaviranomaiset ovat ”sitoutuneet kaikkiin tarpeellisiin ja soveltuviin toimiin, joihin saattaa sisältyä koordinoitua toimeenpanoa (coordinated enforcement actions).

1http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=129958
2http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:31995L0046
3http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_fi.pdf
4http://www.finlex.fi/fi/laki/ajantasa/1999/19990523
5http://www.theguardian.com/technology/2015/sep/09/microsoft-court-case-hotmail-ireland-search-warrant
6http://www.zdnet.com/article/microsoft-admits-patriot-act-can-access-eu-based-cloud-data/
7Foreign Intelligence Surveillance Act https://en.wikipedia.org/wiki/Foreign_Intelligence
8https://en.wikipedia.org/wiki/Lavabit#Suspension_and_gag_order
9https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2527/original/The_Cloud_Conspiracy_-_31C3_Hamburg_-_27.12.14_-_Caspar_Bowden.pdf
10https://en.wikipedia.org/wiki/PRISM_(surveillance_program)
11http://www.finlex.fi/fi/sopimukset/sopsteksti/1999/19990063#idm115968
12http://www.nytimes.com/interactive/2013/09/05/us/documents-reveal-nsa-campaign-against-encryption.html
13https://www.datenschutzzentrum.de/uploads/internationales/20151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf
14http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf

15Safe Harbourin rinnalle luotu säännöstö, jolla pyritään varmistamaan tietosuoja. https://en.wikipedia.org/wiki/Binding_corporate_rules

Tuesday, October 13, 2015

Why the invalidation of Safe Harbour by ECJ cannot be fixed with contracts?

In short: There are no model contract clauses that could even in theory make legal the transfer of personal data of EU citizens to companies operating under or within reach of the jurisdiction of the US courts.

Background:

The decision European Court of Justice (ECJ) gave on October 6th 20151 in case Maximillian Schrems vs. Data Protection Commissioner of Ireland has been widely discussed in media. In short, Mr. Schrems has sued Facebook because Facebook has been transferring user data to USA where intelligence organisations like NSA may access user data. Accessing data like this is against the privacy legislation of EU .2 The decision ECJ gave on October 6th is an answer to the High Court of Ireland where the Data Protection Commissioner of Ireland has argued that Mr. Schrems' case should not at all be handled in court because the decisions EU has made on Safe Harbour framework between EU and USA guarantee that data transfers containing personal data can be made to USA. Mr. Schrems has argued that the foundations of Safe Harbour have fallen after we have learned through Ed Snowden's work that the intelligence organizations in USA are intercepting and storing huge amounts of user data including that of EU citizens.

ECJ has now stated that because of the fact that privacy EU user data is compromised by the intelligence activities of the USA, Safe Harbour does not guarantee the level of privacy it was meant to guarantee and is thus invalid. Mr. Schrems argument won and the High Court of Ireland can proceed with Schrems vs. Facebook.

The issue is not where the data resides

The majority of the discussion in media has concentrated on data transfers to USA. While it is very likely that most of the alleged mass surveillance done by the intelligence agencies of USA takes place in USA, we have also examples where the US government is also demanding to get information that is stored outside of USA. From a European perspective an interesting example is the case where the US Department of Justice (DoJ) is demanding Microsoft to hand over user data which is stored in data storage facilities located in Ireland.3 The argument of DoJ in this case is that ”US government has the (legal) right to demand the emails of anyone in the world from any email provider headquartered within US borders”. Microsoft is not willing to comply as it would have a significant negative impact businesswise and therefore the case is in court. Already in June 2011 Microsoft U.K.'s managing director Gordon Frazer admitted that Microsoft cannot guarantee that EU customer data residing in EU based data centers would not be is vulnerable to interception and inspection by U.S. authorities.4 Frazer said: ”Microsoft cannot provide those guarantees. Neither can any other company."

The problem is actually much worse than the US government just ”having a legal right to demand the emails of anyone in the world if the email provider is headquartered within US borders”. The problem is that the US government has a much wider range of legal tools to get a much wider range of people's data than that. To put it short: if a company operates in USA, or has US citizens as employees elsewhere, the US government can use FISA to claim data it wants. Also a subsidiary in USA opens this door to the US government. These warrants may also include a ”gag order”, they are to be kept in secret: an invidual who gets such a warrant may not express even getting such a warrant not to mention any details about it. This is presumably what happened to Lavabit, a company offering a fully encrypted email system.5

The outcome of all of this: even if we could and would trust the companies providing the services, there cannot be any privacy using their services in the sense EU privacy laws define it as long as the US government has a way to use the power of FISA legislation towards any employee of a company having a possibility of accessing the data. Caspar Bowden, former Chief Privacy Adviser of Microsoft pointed this out in 20116, before Snowden leaked documents and details about PRISM and other mass surveillance done by US intelligence. ”Incidentally” Bowden was released from his duties at Microsoft 2 months after that.

Think about the possible strategies of an employee getting a FISA gag order warrant. Non-compliance would mean going to jail. On the other hand the warrant is so secret that it is very unlikely that one's superior ever gets to know about it. The optimal strategy is quite easy to see: comply and keep your mouth shut. This legislative trap the US government has made is diabolic by nature. It also explains why it really could have been the case that the top level executives of US companies did not know about their employees' part in giving customer data to the government. They kept arguing that their companies are not participating in PRISM or any such operation. What else could they have said in their position if they did not know about their employees' activities? And what would they be likely to say if they themselves are the ones who have received a warrant and a gag order?

This is about fundamental human rights


Whichever the case, the end result is the same for EU citizens. Even if we would trust the US companies themselves we cannot trust their services because the US government is intruding on our privacy in a way which is against EU privacy laws. The Article 8 of the European Convention on Human Rights is about right to privacy. This is about basic human rights. Saying so is not a mere opinion any more. It is the very rationale of the ECJ's decision.

One could argue that using strong encryption personal data can be considered safe in services the US intelligence organizations are able to disrupt. While good quality encryption makes technical interception much more difficult, it does not protect form legal procedures. It also should be noted that US intelligence organizations have been working to weaken encryption through participation in standardizing organisations pushing the wanted vulnerabilities into use internationally.7

One can also argue that there are other countries that pose a threat, too. For example the intelligence and cyberwar activities of Russia and China are a significant threat. However, I cannot see that, even if we in the EU, or other parts of the world, would think these countries represent a more serious threat, why would we accept USA intruding on our privacy?

Update October 14th: I have been asked to explain what FISA means. It is United States federal law titled Foreign Intelligence Surveillance Act. Wikipedia article on FISA law is a good introduction.

October 14th the Data Protection Authority of Schleswig Holstein in Germany has decided that data transfer on the basis of Standard Model Clauses is unlawful.

References:

1http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=129958
2http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:31995L0046
3http://www.theguardian.com/technology/2015/sep/09/microsoft-court-case-hotmail-ireland-search-warrant
4http://www.zdnet.com/article/microsoft-admits-patriot-act-can-access-eu-based-cloud-data/
5https://en.wikipedia.org/wiki/Lavabit#Suspension_and_gag_order
6https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2527/original/The_Cloud_Conspiracy_-_31C3_Hamburg_-_27.12.14_-_Caspar_Bowden.pdf
7http://www.nytimes.com/interactive/2013/09/05/us/documents-reveal-nsa-campaign-against-encryption.html

Thursday, January 15, 2015

Missä on kalastuslakiesityksen kalastustuote... ei kun kalapihvi

Kävin läpi kursorisesti hallituksen esityksen uudeksi kalastuslaiksi Tästä kirjoituksesta tuli kiireessä samankaltainen kuin lakiesityksestä: kummankaan laadussa ja esitystavassa ei ole kehumista. Puolustelen asiaa sanomalla, että tutustuin lakiesitykseen noin 6 tuntia ja halusin blogahtaa asiasta ennen kuin eduskunnan ympäristövaliokunta (korjattu virhe 07:12 - oli mm-valiokunta) käsittelee asiaa. Siksi muotoilut ovat mitä ovat ja tekstissä on todennäköisesti virheitä. Luulisi, että lainvalmisteluun käytetyssä ajassa ja resursseilla olisi saanut hieman parempaa jälkeä aikaan.

Vastuuvapauslauseke: luin perusteluista suurimman osan, varsinaisen lakitekstiosuuden kokonaan. Palasia puuttuu välistä. Lisäksi käsittelen koko asiaa rannikko- ja merialueiden näkökulmasta. Sisävesikalastus poistui elämästäni muutama vuosi sitten exän myötä. Olen jossain määrin pahoillani, mutta en ilmeisesti ymmärtänyt kummankaan viehätystä. Kumpaakaan ei ole ikävä.

 Lukuohje: s.6 tarkoittaa esitystekstin sivua 6 ja lainausmerkkien sisällä on kursiivilla esityksen tekstiä. Loppu on omaani.

Lain perustelut:

s.6 "Kalastusalue voi toteuttaa alueensa käyttö- ja
hoitosuunnitelmaa esimerkiksi kieltämällä
määräajaksi tietynlaisen pyydyksen tai kalas-
tustavan käyttämisen, antamalla kalastusase-
tuksesta poikkeavia määräyksiä pyydysten
sallitusta silmäkoosta, rajoittamalla tai kiel-
tämällä määräajaksi onkimisen ja pilkkimi-
sen, määräämällä kalalajille pyyntimittoja ja
perustamalla rauhoituspiirin (eli kalastuksen
rauhoitetun alueen). Kieltojen tai määräysten
taustalla tulee aina olla niin kalastuslain kuin
käyttö- ja hoitosuunnitelmankin tavoitteiden
toteuttaminen."

Entä kalastuksen rajoittaminen esim. kapeikoissa tai muissa liikenteellisesti vaativissa paikoissa? En löydä vesiliikennelaista mahdollisuutta siihen. Miksi kalastusta ei voisi rajoittaa muilla perusteilla? Esimerkiksi Turunmaan saariston vilkkaitten väylien lähialueet voisi aivan hyvin ajatella rauhoitettavan vetouistelulta vilkkaimpaan loma-aikaan.

"ELY-keskuksella
on toimivalta kieltää tai rajoittaa kalastusoi-
keuden haltijaa käyttämästä kalastusoikeut-
taan."

Kun puututaan perustuslain turvaamaan omistusoikeuteen, olisi hyvä perustella paremmin, miksi ja
millä perusteilla? Tällaisenaan esitys on syytä käsitellä myös perustuslakivaliokunnassa niin omistusoikeuteen liittyvien seikkojen kuin valmistelijoiden tekemien lapsusten takia.

s.10: "Saaliiden poisheittämisen kieltäminen on
vuonna 2013 säädetyn yhteistä kalastuspoli-
tiikkaa koskevan asetuksen merkittävin uu-
distus. Kaupallisen kalastuksen harjoittajat
eivät enää saa heittää saalista takaisin me-
reen, vaan saalis tulee purkaa maihin. Kielto
koskee myös alamittaisia kaloja, jotka aikai-
sempien säännösten mukaan on täytynyt heit-
tää takaisin mereen."

Eli ammattimainen verkkokalastaja ei saa päästää alamittaista, elävää kalaa verkosta mereen. Mikä järki? Ei mikään, sillä tässä on takana EY-lainsäädäntö, joka on aiemmin mm. esti tuomasta liian suurta saalista satamaan, jonka seurauksena dumpattiin pahimmillaan tonnikaupalla kalaa takaisin Itämereen. Tässä olisi joku järki, jos MMM:n virkamiehissä olisi sen verran selkärankaa, että sanottaisiin pää pystyssä Brysseliin suuntaan, että meillä on täällä ammattimaisesti verkoilla harjoitettavaa kalastusta ja että me nyt vain säädämme kansallisen poikkeuksen, joka oikeuttaa tai jopa velvoittaa kalastajaa esim. päästämään alamittaisen merilohen takaisin kasvamaan jos kala sattuu olemaan vielä hengissä.

Minua suoraan sanoen raivostuttaa, että kaiken sen jälkeen mitä Jasper Pääkkönen ja moni muu on merilohen ja muiden vaelluskalojen eteen, tuodaan tällainen ala-arvoinen räpellys lakiesityksenä käsittelyyn. Toivon todella, että olen tulkinnassani väärässä.

En välttämättä ole. Otetaan ennakkokatseluun lakiesityksen 58§:
"Kalojen vapauttaminen
Pyyntimittojen vastainen kala on välittö-
mästi laskettava takaisin veteen, ellei Euroo-
pan unionin lainsäädännöstä muuta johdu.
Kala on aina laskettava takaisin veteen, jos
se on saatu:
1) rauhoitus- tai kieltoaikana;
2) kielletyllä kalastusvälineellä tai pyydyk-
sellä; tai
3) kielletyllä kalastustavalla tai pyyntime-
netelmällä."

Voiko enää enemmän kierrellen sanoa sitä, että pyyntimittasäännöt eivät koske merialuella tapahtuvaa ammattikalastusta?

s.16 "Kaikille alueille ei ole
vielä kehitetty usean eri vieheen vetouistelun
mahdollistavia yhtenäislupa-alueita"

Verkkokalastajan näkökulma: miksi edes pitäisi? Eikö se riitä, että pääsääntöisesti luvat saa useammalle vieheelle?

s.17 "Tavoitteeseen pyritään muun muassa määritte-
lemällä kalatalousalueiden käyttö- ja hoito-
suunnitelmissa kaupalliseen kalastukseen
hyvin soveltuvat alueet, joita koskevia kalas-
tuslupia ja kalastusoikeuksien vuokrasopi-
muksia kalavesien omistajat sitoutuisivat te-
kemään alueen kaupallisten kalastajien kans-
sa. Viime kädessä kaupallisilla kalastajilla
olisi laissa säädettyjen edellytysten täyttyessä
mahdollisuus saada omistajan sijaan ELY-
keskukselta lupa. Näillä keinoin kalastusta
voitaisiin kohdentaa pyyntivahvoihin ja
mahdollisesti alihyödynnettyihin kalakantoi-
hin ja samalla lisätä kotimaisen kalan tarjon-
taa kuluttajille."

Tässä ollaan taas omistusoikeuden rajapinnassa. Tavoitteena on siis tila, jossa vesialueiden omistajat voitaisiin velvoittaa antamaan lupa tai oikeammin ELY-keskus sitten vain marssii vesialueen omistajan yli kalastajan puolesta. Ongelmallista on se, että samainen ELY-keskus osallistuu myös kaupalliseen kalastukseen hyvin soveltuvien alueiden määrittelemiseen.

Mitkä olisivat vesialueen omistajan oikeudet esimerkiksi tilanteessa, jossa kalastus rajoittaa vesialueen käyttöä? Sen verran napakka annostus kuhaverkkoja sisälahteen ettei enää sovi optimistijollailemaan joukkoon?

Hassuinta asiassa on se, että tietojeni mukaan Turun seudulla vesialueita omistavat ammattikalastajat ovat sitä mieltä, että ei sen omistusoikeuden yli passaisi niin kovasti jyrätä. Lisäksi lainsäädännössä on jo nyt ollut mahdollisuus pakottaa riitauttamisen kautta vesialueen omistaja vuokraamaan kalastusoikeus. Tiedossani ei ole yhtään tapausta, jossa tätä mahdollisuutta olisi käytetty hyväksi. Kertokaa toki jos olen väärässä.

"Jokaisen täysi-ikäisen alle 65 -vuotiaan kalastajan tulisi ka-
lastustapaan katsomatta maksaa kalastonhoi-
tomaksu, joka oikeuttaisi viehekalastukseen
yhdellä vieheellä koko maassa."

Mikä siinä eläkeläisten maksussa nyt voi olla niin vaikeaa? Minusta on aivan käsittämättömän epätasa-arvoista ja syrjivää jos 65 vuotta täyttäneet eivät maksa kalastonhoitomaksua. Sodan käyneet kovat jätkät ja mimmit eivät enää ole kalastuskunnossa. Jäljellä on vain vanhempieni ikäpolvi, joka omaani verrattuna on saanut nauttia siitä, että inflaatio on syönyt lainat ja työtä on riittänyt. Sanalla sanoen heillä on paremmin kuin monella kaltaisellani, olkoonkin akateemisella, pätkätyöläisellä. Kehtaavat vielä valittaa, mokomat kiittämättömät!

Tämän älyttömyyden nopea valmistelu ja ministeri Orpon edustaman puolueen seniorikansalaisäänten nuoleskeluun perustuva motiivi käy ilmi siitäkin, että esitykseen on jäänyt lapsus: vaikka kyseessä olisi yli 65-vuotias kaupallista kalastusta harjoittava ammattikalastaja, hänen ei silti tarvitsisi maksaa kalastonhoitomaksua. Tämä asettaa ammattikalastajat iän suhteen eriarvoiseen asemaan ja hups - taas olisi asiaa perustuslakivaliokuntaan.

Yhtä hullua on se, että kalaa ruoaksi verkoilla kalastavat kotitarvekalastajat joutuisivat lakiesityksen toteutuessa maksamaan vapakalastajien aiheuttamat kustannukset. Tämä johtuu siitä, että jatkossa olisi edellisen tekstin mukaan vain yksi lupa, joka sisältäisi maanlaajuisen luvan yhdellä vieheellä kalastamiseen. On totta, että määrällisesti suurin osa virkistyskalastuksesta tapahtuu vavoilla kalastaen. Toisaalta: meneehän sitä aikaa kun valitsee sen tehottomimman kalastusmuodon. Tunnen oikeasti perheitä, joille muutamalla verkolla tapahtuva, lähes ympärivuotinen kalastus tuo merkittävän osan perheen ruoasta. Heille se kalastus ei ole harrastus vaan ravinnonhankintaa. Sillä on heidän ja minun mittakaavoissa merkittävä taloudellinen merkitys. Miksi meidän, jotka liikumme verkkoinemme kotirannan lähettyvillä pitäisi maksaa vapakalastajien aiheuttamat kustannukset? Ne kustannukset kun aiheutuvat siitä, että niiden vapojen kanssa on kiva liikkua mahdollisimman joustavasti eri maisemiin kalastelemaan. Ymmärrän - se on kivaa. Laskua ei silti saa maksattaa niillä, joita komposiittikepin kanssa sohiminen ei kiinnosta.

Orwellilaisittain pyöristeltynä tämä kanta löytyy lakiesityksen sivulta 26, palautetiivistelmästä:

s.26 "Erityisesti
osa vesialueen omistajista on kuitenkin kriti-
soinut ehdotettua kalastonhoitomaksua ja
esittänyt sen korvaamista mallilla, jossa
omistajia varten olisi säädetty oma kalaston-
hoitomaksusta erillinen alempi maksu, johon
ei sisälly oikeutta viehekalastukseen."


s.21 "Ehdotetun lain mukainen rahoitusjärjestel-
mä on kokonaistaloudellisesti edullinen,
vaikka siitä koituukin viranomaisille jonkin
verran tehtäviä."

Tämä lienee kaunis tapa sanoa kierrellen se, että koituu uusia tehtäviä entisten lisäksi.

s.23 "Sähköiset järjestelmät ja pal-
velut edistävät yleistä tietoyhteiskuntakehi-
tystä."

Ottaen huomioon MMM:n hallinnonalan aikaansaannokset aiemmin tässä on lyötävä nyrkkiä pöytään. Uudistus on tehtävä siten, että kaikki siihen toteutettavat rajapinnat ovat avoimia. Käytettävien tiedostomuotojen on oltava avoimia. Kansankielellä sanottuna: hommat täytyy tehdä kunnolla, jotta sitä järjestelmän tietoa voidaan käyttää tehokkaasti ja halvalla. Järjestelmän käyttämisen täytyy onnistua millä vaan, tarvittaessa ostamatta yhtään maksullista tietokoneen käyttöjärjestelmää tai sovellusohjelmistoa. Jos tuohon edes tarjotaan jotain "lataa excel-taulukko palveluun tästä"-toteutusta, huudan niin kovaa, että löydätte itsenne Talvivaaran kipsisakka-altaasta, lipeää kurkku täynnä.

Täytyykö kaltaisiani Linux-nörttejä sitten kuunnella tässä asiassa? Täytyy, sillä edellä kuvattu resepti on edellytys sille, että yksittäiset sovelluskehittäjät ja yritykset voivat rakentaa palveluita lakiuudistuksen yhteydessä toteutettavan järjestelmän päälle. Sellaisia kivoja "äppsejä", joita on kiva vapa kädessä vipottaen tökkiä kun kala ei syö.

s.33 "Tulva-alueella tarkoitettaisiin ve-
silain 2 luvun 3 §:n 2 momentissa tarkoitet-
tua vesialueen rajan ulkopuolella olevaa alu-
etta silloin, kun se on veden peittämä."

Vesilain 2 luvun 3§ ei säädä tästä asiasta mitään:

Oikea viite on vesilain 1 luvun 3§ säätää: "2) vesialueella muutoin kuin tilapäisesti veden peittämää 5 §:n mukaisesti rajautuvaa aluetta;"
ja edelleen
5§:"Vesialueen raja - Tätä lakia sovellettaessa pidetään vesialueen rajana maata vastaan keskivedenkorkeuden mukaista rantaviivaa.

Jos vedenkorkeus tai vesi- ja maa-alueen keskinäinen asema muuttuu tai on muuttunut, vesialueen raja määräytyy muutoksen jälkeisten vedenkorkeuksien mukaan.

Meren ja maa-alueen rajana on Suomen aluevesien rajoista annetun lain (463/1956) 3 §:n mukainen aluevesien maanpuoleinen raja."


Varsinainen ehdotus lakitekstiksi:


s113: 4§" 8) viehekalastuksella muuta kalastamista
yhdellä vavalla ja vieheellä kuin onkimista
tai pilkkimistä, vetouistelua yhdellä vavalla,
vieheellä ja painovieheellä sekä kelaongin-
taa;"

Ilman vapaa tapahtuva vetouistelu ei sitten ilmeisesti ole vetouistelua? Voi olla, että se menee kelaonginnan alaan. Vaikka perusteluosassa puhutaan siitä, että silakan litkaaminen kuuluisi ilman kalastonhoitomaksua harjoitettavaan kalastukseen pykälän määritelmien joukosta puuttuu kokonaan määritelmä siitä, mitä se litkaaminen tarkoittaa. Onkimista se ei ole, sillä

" 5) onkimisella ilman viehettä ja heittokalas-
tukseen soveltuvaa kelaa harjoitettavaa kalas-
tusta, jossa käytetään yhtä vapaa ja koukkua;"

Silakkalitkassa on useita pieniä koukkuperukkeita kiinni selkäsiimassa. Sen voisi lisätä.

Seuraava kehno määritelmä on

"17) kaupallisella kalastuksella toimintaa,
jossa kalaa pyydetään myyntitarkoituksessa
tai jossa pyydetyt kalat tai osa niistä myy-
dään;"

Jos ne kalat myydään kalajalosteina tai peräti ravintola-annoksina saman yrittäjän toimesta, eikö ole kalastus olekaan kaupallista kalastusta?

s.117:  "Kalastusmatkailuyrittäjän on luvan saatu-
aan suoritettava kalenterivuosittain valtiolle
100 euron suuruinen kalastonhoitomaksu."

Eli yli 65-vuotias ammattikalastaja ei maksa hoitomaksua, mutta yli 65-vuotias kalaopas maksaa?

s. 118:  "Kalatalousaluejako ei koske meressä ole-
vaa yleistä vesialuetta siltä osin kuin kalava-
rojen kestävä käyttö ja hoito ei vaadi alueen
sisällyttämistä kalatalousaluejakoon."

Eli kaikki yksityiset vesialueet kyllä liitetään kalatalousalueisiin, mutta ei laajoja yleisiä merialueita? Eihän ne biotooppirajat noudata omistusrajoja, kuten perusteluissa todettiin viitaten siihen, että kalat uiskentelevat, kumma kyllä, vesialueiden omistusrajojen yli.


s. 118: "Kalatalousalueen jäseniä ovat alueen kalas-
tusoikeuden haltijat sekä valtakunnalliset ka-
lastusalan järjestöt. Maa- ja metsätalousmi-
nisteriö vahvistaa luettelon valtakunnallisista
kalastusalan järjestöistä viideksi vuodeksi
kerrallaan."

Vai että MMM vahvistaa luettelon. Harrison-Stetsonillako? Menettelytapa tai peruste olisi hyvä kuulla.

s. 118: 24§ "8) viehekalastuksesta kertyneiden korvaus-
varojen jako vesialueen omistajille;"

Mitä nämä varat ovat jos on vain yksi lupatyyppi ja viehe- ja muusta kalastuksesta kertyneitä varoja ei siten voida eritellä?

s.119 "Kalatalousalueen yleiskokouksessa on kul-
lakin vähintään 1 000 hehtaarin ve-
sialueomaisuutta edustavalla edustajalla
kolme ääntä, vähintään 500 mutta alle 1 000
hehtaarin vesialueomaisuutta edustavalla
edustajalla kaksi ääntä, muita jäseniä edusta-
villa edustajilla yksi ääni."

Miksi äänien määrät eivät mene suoraan edustettavien hehtaarien suhteessa? Laskemisen helppous ei voi olla peruste. Jos laskentaa väitetään vaikeaksi, sellaisten henkilöiden ei missään tapauksessa pitäisi edustaa muita yleiskokouksessa tai olla sen toimitsijoina.

s.125 48§ käsittelee pyydysten asettamista. Pykälässä tulisi olla myös maininta siitä, että pyydykset tulee asettaa siten, että ne eivät estä rantaan kulkemista tai haittaa rannan käyttöä. Esim. keväisin hauen kudun, kesäkuussa lahnan kudun ja syksyllä ravustuskauden aikana tulee monesti ongelmia siitä. että pyydyksiä tuodaan niin lähelle mökkirantoja ja venevalkamia, että omassa rannassa ei pysty onkimaan noudattaen nykyisen kalastuslain asettamaa 50m suojaetäisyyttä pyydykseen. Pois veneellä pääseminenkin on joskus niin ja näin.

Tämän voisi välttää lisäämällä lakiesityksen 50§ maininnan siitä, että pyydystä ei saa asettaa 100 metriä lähemmäksi laituria, venevalkamaa tai vastaavaa. Tällöin heittouistelukin omasta rannasta on mahdollista häiritsemättä toisen pyydystä.

s.126 49§ "2) pyynti- tai venekuntaa kohden koukku-
pyydykset, joissa on yhteensä enemmän kuin
100 koukkua."

Tarkoittaako tämä sitä, että harrastajakalastaja saa esim. käyttää mielivaltaista määrää pitkäsiimoja, joissa kussakin on enintään 100 koukkua vai sitä, että kaikissa pitkäsiimoissa saa olla yhteensä enintään 100 koukkua?

s.127 56§: "Alinta pyyntimittaa pienemmän ja ylintä
pyyntimittaa suuremman kalan pyytäminen
on kielletty."

Ei voi säätää näin jos merialueella on voimassa EY-lainsäädäntöön nojaavat säännöt, jotka kieltävät saaliin heittämisen takaisin mereen. Pitää vähintään lisätä sana sisävesillä ja/tai poissulkukriteeri merialueilla kalastavista kaupallisista kalastajista.

Pääsemme otsikon pihviin:

s. 134 88§ määrittelee kaupallisten kalastajien ryhmät:

"Ryhmään I kuuluvat:
1) luonnolliset henkilöt tai yhteisöt, joiden
itse pyytämän kalan tai siitä jalostettujen ka-
lastustuotteiden myynnistä kolmen viimeksi
kuluneen tilikauden aikana kertyneen liike-
vaihdon keskiarvo ylittää arvonlisäverolain
(1501/1993) 3 §:n 1 momentissa säädetyn
määrän; sekä"

Mikä on kalastustuote? Onko kalamurekepihvi kalastustuote? Käsite kalastustuote on tässä ensimmäistä kertaa esityksessä. Sitä ei löydy laissa määritellyistä käsitteistä. Entä jos, kuten aiemmin spekuloin,  kalastaja/yritys pitää ravintolaa ja jalostaa kaiken pyytämänsä kalan ravintola-annoksiksi? Onko siikakeitto kalastustuote?

Lisäksi tämä on ristiriidassa aiemmin esitetyn kaupallisen kalastuksen määritelmän kanssa:

4§ 17) "kaupallisella kalastuksella toimintaa,
jossa kalaa pyydetään myyntitarkoituksessa
tai jossa pyydetyt kalat tai osa niistä myy-
dään;"

Määritelmä puhuu vain kalojen, ei "kalastustuotteiden" myynnistä.

s. 135 91§ Saaliin ensimyynti: "Merialueelta saadun saaliin ensimyynnistä
ja sen rajoituksista säädetään Euroopan unio-
nin lainsäädännössä ja sen toimeenpanemi-
seksi annetussa kansallisessa lainsäädännös-
sä."

Täytyy tietää, mitä tämä tarkoittaa käytännössä. Ehdottomasti viite lakiin.

s.137 99§ "Edellä 1 momentin 5 kohdassa tarkoitetulla
kalastuksenvalvojalla ei ole kuitenkaan toi-
mivaltaa valvoa Euroopan unionin yhteistä
kalastuspolitiikkaa koskevan unionin lain-
säädännön eikä sen toimeenpanemiseksi an-
netun kansallisen lainsäädännön noudatta-
mista."

Jääkö merialueilla kalastuksenvalvojille mitään oikeuksia? Mitä tämä jargon tarkoittaa?

s. 153: 110§ "Osakaskunnan osakkaalla ja osakaskuntaan
kuulumattoman vesialueen omistajalla on oi-
keus ottaa talteen pyyntiin asetettu pyydys,
jota ei ole merkitty 48 §:n 3 momentissa sää-
detyllä kalastusoikeuden osoittavalla merkil-
lä, sekä siinä oleva saalis edellyttäen, että
pyydyksen omistajaa ei tavoiteta tai tämä ei
kehotuksesta huolimatta poista sitä ja saata-
villa ei ole riittävää ja oikea-aikaista apua
99 §:ssä tarkoitetuilta tahoilta."

Puuttuu maininta nimestä ja puhelinnumerosta, jotka aiemmin on ehdotuksen tekstissä kyllä mainittu. Suuressa osassa kalastusalueita ei ole käytössä "verkkomerkkejä". Pyydys on voitava ottaa talteen pelkän nimen ja puhelinnumeron perusteella vaikka ko. alueella ei käytettäisi "verkkomerkkejä". Jos edes nimeä ja puhelinnumeroa ole, sitä suuremmalla syyllä olisi syytä olla oikeus ottaa pyydys talteen.

s.139 111§: "Talteenotetusta pyydyksestä tai kalastusvä-
lineestä on ilmoitettava välittömästi poliisil-
le, ja se on luovutettava niin pian kuin mah-
dollista poliisin säilytettäväksi."

-Toit sitten nuo mädät kalatkin verkon mukana?

- Kyllä totta kai kun ei ollut aikaa putsailla kun laki velvoittaa luovuttamaan sen poliisin luovutettavaksi niin pian kuin mahdollista...

Asiallisesti: Kuka maksaa poliisille viemisestä aiheutuvat kulut? Olisi kohtuullista, että pyydyksen viemisestä maksettaisiin ainakin matkakulut kun siihen on sentään lakisääteinen velvollisuus.

s.141 118§ Rangaistussännökset: "5) pyydystää 56 §:n tai kalastussäännön
vastaisesti ali- tai ylimittaista kalaa, tai ottaa
kalan saaliiksi 52 tai 53 §:n nojalla säädetyn
tai määrätyn taikka kalastussäännössä sääde-
tyn kiellon vastaisesti,
6) laiminlyö 58 §:ssä tai kalastussäännössä
säädetyn vapauttamisvelvollisuuden,"

Ei voi säätää näin, koska merialueilla ammattikalastajalla on velvollisuus ottaa ala- ja ylämittainen kala talteen. Sama on jo selitetty aiemmin 56§:n kohdalla.

Se siitä. Keskustelu jatkukoon.

Monday, June 10, 2013

Miksi Facebook (=amerikkalainen some) ei ole sopiva poliitikan teon keskustelufoorumi?

"Tervetuloa keskustelemaan yhteiskunnallisesti tärkeistä asioista puolueemme Internet-keskusteluympäristöön. Voitte kirjautua käyttäjäksi Mestari- tai Visva-luottokorteilla."

Hetkinen? Että pitäisi olla asiakkuussuhde luottokorttiyhtiöön voidakseen osallistua poliittiseen keskusteluun? Entäs ne, joiden luottotiedot ovat menneet? Tai ne, jotka käyttävät joidenkin muiden yhtiöiden luottokortteja? Tai ne, joilla on vain firman luottokortti? Tai ne, jotka eivät vain halua käyttää luottokorttia?

Kaikki aivan hyviä ja oikeutettuja kysymyksiä. Ei ole oikein, että osallistuakseen poliittiseen keskusteluun pitäisi olla asiakkuussuhde johonkin tiettyyn yritykseen. Näin kuitenkin esimerkiksi Vihreä Liitto rp:n äänenkannattaja Vihreä Lanka menetteli. Annoin keväällä päätoimittajalle palautetta kun keskustelu oli sidottu Facebook-käyttäjätunnukseen. Nyt tilannetta on korjattu vaihtamalla keskustelut Bublaa-nimiseen palveluun. Bublaa on suomalainen startup, jonka palvelimet sijaitsevat EU-alueella, tarkemmin sanottuna Saksassa. Erinomainen siirto Vihreältä langalta!

Viime perjantaina tiedotusvälineisiin levisi tieto, joka on ammattilaispiireissä tiedetty jo kauan: Yhdysvaltalaiset tiedusteluelimet FBI ja NSA vakoilevat järjestelmällisesti Internet-liikennettä. Kyse on toiminnasta, jossa Yhdysvaltain hallitus on lähtenyt terrorismin vastustamisen nimissä linjalle, joka perustuu orwellilaisen valvontayhteiskunnan toteuttamiseen. USA:n kansallinen tiedusteluvirasto ehätti jo torstaina 6.6. valamaan öljyä laineille sanomalla hirtehisesti hieman ylitulkiten että "eihän tässä mitään ongelmaa ole - me kyttäämme vain ulkomaalaisia". Linkki viraston tiedotteeseen.

Politiikasta Facebookissa tai missä tahansa muussa Euroopan ulkopuolisessa sosiaalisessa mediassa tarkoittaa itse asiassa, että keskustelu käydään palvelun tuottajan maan lakien alla. Useimmissa tapauksissa tilannetta voi kuvata siten, että keskustelu käydään kauppakeskuksen käytäväkahvilassa, joka tallentaa kaiken keskustelun. Paitsi että keskustelua voidaan käyttää kauppakeskuksen markkinointiin, sen perusteella lähetetään myös mainoksia keskustelijoille. Tämän lisäksi keskustelu annetaan tiedusteluorganisaatioiden monitoroitavaksi.

Ennen viime viikkoa edellä oleva kuvaus oli enemmistön mielestä foliohattujen vainoharhaista suurentelua. Nyt me tiedämme että kuvaus on realistinen. (Mitäs minä sanoin.)  Koko asian kova, realistinen ydin on se, että Internet-viestinnässä emme voi luottaa Yhdysvaltoihin missään asiassa.

Eikö avoin yhteiskunta tarkoita sitten sitä, että kun on tarpeeksi puhdas mieli ja rehelliset aikeet, meillä ei voi eikä pidä olla mitään salattavaa? Mielestäni ei. En toistaiseksi ole tavannut ketään "minulla ei ole mitään salattavaa"-henkilöä, joka "ei salattavaa"-kommentin sanomisen jälkeen olisi suostunut luovuttamaan minulle pankkitilinsä kirjautumistunnukset ja salasanalistan. Meillä kaikilla on oikeasti jotain salattavaa.

Toiseksi politiikan tekeminen on kansainvälisellä tasolla kuin shakinpeluuta: pelin luonteeseen kuuluu joissain asioissa, että ei tiedetä mitä vastapuoli aikoo tehdä. Vastustajan siirtoja ennakoidaan ja luodaan strategiaa niiden varalta. Tästä pelistä, kuten shakistakin, häviää pelin luonne, jos vastapuoli tietää aiotut siirrot jo niitä mietittäessä.

Miksi se, että Vihreä lanka otti käyttöön kotimaisen Bublaan, on sitten niin erinomainen siirto? Kotimaisen teollisuuden tukemisen lisäksi se on erinomainen siirto siksi, että sitä käyttämällä emme anna yhdysvaltalaisille mahdollisuutta kytätä itseämme automatisoidusti tuossakin asiassa. Bublaa on vain yksi esimerkki. Valitkaa aina EU-alueelle rekisteröidyn yrityksen palvelu, jos valinnan varaa on ja vieläpä sellaisen, jolla ei ole tytäryhtiötä Yhdysvalloissa. Yhdysvalloissa toimiva yritys joutuu sikäläisten lakien, lähinnä Patriot Actin, takia antamaan tietoja tiedustelulle ja vieläpä siten, että tietojen omistajaa ei koskaan informoida asiasta.





Tuesday, February 12, 2013

Kuinka totuuden lähettiläs pistetään löysään hirteen?

Matti Nikki on tänään kirjoittanut siitä, miltä on tuntunut roikkua viisi vuotta löysässä hirressä asiassa, jossa on mennyt viranomaisilta puurot ja vellit sekaisin. Kyse on tapauksesta, jossa Nikki on kritisoinut hänen ja minunkin mielestäni tehotonta ja vastuutonta tapaa "suodattaa pois" Internetissä olevaa lapsipornografiaa.

Nikin kritiikin ydin on ollut tehottomuuden suhteen koko ajan sama: Internetin teknisestä rakenteesta johtuen tiettyjen osoitteiden suodattaminen pois kuluttajien näkyviltä on helposti kierrettävissä. Tällä viikolla julkistettiin teknisesti samaan asiaan pohjautuva tutkimus siitä, että Pirate Bay-sivuston "estäminen" on ollut tehotonta.

Nikin moraalinen kritiikki on ollut kahtalainen:

1) On moraalisesti ongelmallista, että lapsipornosta eniten kärsiviä, lapsipornon tekememisessä hyväksi käytettäviä lapsia, ei auteta. Moraalisesti oikea toimenpide olisi tehdä Suomesta ilmoitus maahan, jossa palvelin sijaitsee. Paikallinen virkavalta saisi hoitaa nämä halveksittavat rikolliset telkien taakse ja ajaa laitonta materiaalia sisältävän sivuston alas. Näin ei tehdä vaan sivusto siivotaan vain pois Internetin käyttäjien näkyvistä Suomessa.

2) Toteuttamistapa on niin ylimalkainen, että suodatettavien osoitteiden joukkoon joutuu myös merkittävä määrä muita sivustoja, joilla ei ole mitään lapsipornoon viittaavaa. Tämä on sensuuria. Herkullisin esimerkki tällaisesta vahingosta on Thaimaan prinsessan virallisen sivuston joutuminen suodatuslistalle.

Savon Sanomien Anne Puumalan maaliskuussa 2008 kirjoittama artikkeli on edelleenkin hyvä tiivistelmä siitä, miten viestinviejä on pistetty löysään hirteen.

Mitä Nikki on sitten tehnyt? Nikki on valinnut provokatiivisen linjan: rekisteröinyt Internet-osoitteen lapsiporno.info tuodakseen esiin edellä mainittuja epäkohtia. Viranomaisille todennäköisesti viimeinen pisara oli se, että Nikki julkaisi sivustolla estolistan sisältöä ja analysoi sen epäkohtia. Tämän seurauksena poliisi pisti Nikin sivuston estolistalle vaikka siellä ei edes ole mitään lapsipornoa.

Nikki on teknisesti osaava, ikävän viestin tuoja, joka on joutunut maksamaan tästä farssista sekä psyykkisesti että rahallisesti kalliin oikeusprosessin takia. Demokratian kannalta häpeällisintä on se, että itse asiassa poliisi on parhaan ymmärrykseni mukaan rikkonut Nikin perustuslaillista sananvapautta ja Nikki saa kärsiä siitä.

Internetin käyttöön liittyvien kysymysten ymmärtäminen edellyttää teknistä osaamista. Internet perustuu alunperin ydinaseiden laukaisemiseen kehitettyyn, hajautettuun teknologiaan. Se, että teknologialla oltaisiin voitu laukaista ohjukset vaikka suurin osa verkosta olisi ollut alhaalla tarkoittaa nykyään rauhanomaisemmin sanottuna sitä, että Internet ei ole teknisesti mikään keskusjohtoinen tai hierarkkinen teknologia. Kun Internetin kehittäjät sittemmin vielä olivat vapauden riemusta työtä tekeviä hipahtavia koodareita, ei ole vaikea ymmärtää sitä, että Internetiä on vaikea kontrolloida.

Nikin 5-vuotisen Via Dolorosan aikana Internet on tullut enemmistön kännyköihin ja sen käyttö on kansan enemmistön päivittäistä hupia. Kriittisten mielipiteiden esittäminen on välttämätöntä, jotta kipukohdat tulevat esiin.

Se, että toden ja olennaisen viestin tuoja Matti Nikki on edelleenkin prosessissa, jonka lopputuloksen pitäisi olla itsestään selvä, on häpeä.

Thursday, December 13, 2012

Gmail UI does not show properly formatted email signatures

Today I learned something really annoying. A person wanting to see an item I am trying to sell asked me to contact her by email so that she could come and see the item. I sent an email to her gmail address saying my contact information is below in the signature.

She replied that she cannot find my contact information anywhere. I replied that the contact information was already in the message she replied to and to make sure I copied the information to message text.

The nasty lesson is this: Gmail user does not show properly formatted email signatures to user by default. User has to click on a button with three dots on it, onmouseover-text saying "Show trimmed content" in order to see the signature containing contact information.

An email signature is the few lines of contact information that is attached to the end of every email message. Actually there is a technical definition for a signature in RFC 3676. The need for giving a specification about what a correct signature should be like originates from times when Internet was used in text terminal window that had 80 characters per line. That is the reason why a specification was needed: otherwise the messages would not have been readable in some cases like message containing lines longer than 80 characters. More information about signatures can be found in Wikipedia article about signature block.

Among many other still valid things there is something really handy and important in RFC 3676. That is how signature is marked so that email programs can tell what part of the message is actual message text and what is the signature. This information is needed when replying to email messages. Most of us like that the signature of the original sender is not included when we start replying to a messages.

The correct way of showing this is to begin the signature with

--

That is "dash dash space".

This magical sequence of characters tells the properly designed email programs: "this is where the signature starts". As this functionality is defined in a RFC document one might assume that it is widely accepted and in use. I know that Microsoft has not followed this RFC for ages. I am so used to the MS tradition of making non-standard, crappy software that I am not going to concentrate on that.

I was surpised that even Google has done something as stupid as not showing the signature by default. Shame on you! Fix it ASAP!

I of course do know that majority of email users do not know anything about RFC:s or signatures and thus do not follow that. What I do not understand is why Google has deliberately chosen not to show signatures which are a part of the message. This means that Gmail user interface does not follow RFC and causes trouble to users and communication errors.

Thursday, November 22, 2012

Henkilötietojen käsittelystä opetuksen tietojärjestelmissä

Kotikaupunkini Kaarinan opetustoimi lähestyi alaikäisten koululaisten vanhempia seuraavasti:

"Opit-palvelu, Gemilo ja koulut.kaarina.fi -palvelu ovat käytössä kaikissa Kaarinan kouluissa. Mikäli suostumusta ei saada, oppilas ei voi käyttää opetuksessa käytettäviä oppimisverkostoja eikä saa omaa sähköpostiosoitetta.”

Kyse oli luvan pyytämisestä uusien "oppimisverkostojen" käyttöönottoon. Alalla työskentelevänä tiedän hyvin kaksi ensimmäistä toimijaa mutta kolmas herätti kummastusta etenkin kun kyseistä domainia eli verkko-osoitetta ei ole vielä rekisteröity.

Sähköpostikirjeenvaihdossa kävi ilmi, että

  • koulut.kaarina.fi -osoite on varattu siihen tarkoitukseen, että käyttöön otetaan Google Apps for Education -palvelu,
  • että uusien palveluiden käyttöönottoa tehnyt työntekijä ei tiennyt, missä opetustoimea koskeva henkilörekisteriseloste on
  • ja että kaupungilla ei ole minkäänlaista kirjautumispalvelinta näitä käyttötarkoituksia varten vaan oppilaiden henkilötietoja on tarkoitus luovuttaa tunnusten luomiseksi näille palveluntarjoajille.
Menettelytavassa on muutamia ongelmia joita nyt ratkotaan yhteistyöllä. Suurin osa ongelmista saadaan ratkaistua kun luetaan ne sopimukset sekä asiaan liittyvät lait kunnolla ja toimitaan niiden mukaan.
  1. Henkilötietolain mukaisessa henkilörekisteriselosteesta on ilmettävä "mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle". Tämä tarkoittaa sitä, että henkilön, jonka tietoja käsitellään, on oikeus saada tieto siitä, ketkä kaikki käsittelevät hänen henkilötietojaan ja millä perusteella. Tämä ongelma on ratkaistavissa kirjoittamalla henkilörekisteriseloste uudestaan siten, että se vastaa todellista toimintaa. Yksi hyvä toteutusmalli on kirjoittaa varsinaiseen selosteeseen yleisluontoinen virke, jossa sanotaan, että tietoja luovutetaan palveluita tuottaville alihankkijoille. Alihankkijoista on helpompi pitää ajantasaista listaa kun koko selostetta ei tarvitse päivittää.
  2. Vanhemmilta pyydetyssä suostumuksessa ei lainkaan mainittu niitä yrityksiä, joille tietoja ollaan siirtämässä. Tämä ei ole lain mukaista. Tuotenimistä Opit ja Gemilo voi alaa tunteva jo päätellä paljon, mutta rekisteröimättömästä verkko-osoitteesta koulut.kaarina.fi ei voi päätellä mitään. Googlen kohdalla ongelma on se, että yritys on ulkomainen ja henkilötietojen viemistä EU/ETA-alueen ulkopuolelle on rajoitettu edellä mainitussa henkilötietolaissa.
Henkilötietolaki 22 a § (24.11.2000/986):

Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle siltä osin kuin Euroopan yhteisöjen komissio on yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY, jäljempänä henkilötietodirektiivi, 3 artiklan ja 25 artiklan 6 kohdan mukaisesti todennut, että kyseisessä maassa taataan tietosuojan riittävä taso.


Tämä tarkoittaa sitä, että henkilötietoja ei saa viedä EU/ETA-alueelta ilman, että kohdemaassa taataan tietosuojan riittävä taso. Muun muassa Yhdysvallat on lähtökohtaisesti maa jossa tietosuojan taso ei ole lähelläkään EU-maiden tietosuojaa. Suurin ongelma on se, että sikäläinen tietosuojalainsäädäntö koskee miltei poikkeuksetta vain maan omia kansalaisia.

Ongelma on pyritty poistamaan EU:n ja Yhdysvaltojen tietosuojaa koskevalla Safe Harbor -kehyssopimuksella. Yhdysvaltain kauppakomissio pitää yllä palvelua, jossa järjestelyyn liittyneet yritykset on listattuna. Järjestelyn idea on se, että yritykset auditoivat vuosittain toimintansa, jotta se toteuttaa EU:n tietosuojan tason. Samalla EU-alueen kuluttajat saavat vastaavat oikeudet mitä heillä olisi EU-valtiossa toimivia palveluita käyttäessään.

Google Apps for Educationin käyttöehdoissa on mielenkiintoinen tekstinpätkä kohdassa 2.2 käyttöönotto:

Googlen keräämiä tietoja voidaan säilyttää ja käsitellä Yhdysvalloissa tai muissa maissa, joissa Googlella tai sen edustajilla on toimipaikka edellyttäen, että tällaiset toimipaikat täyttävät tietoturvastandardit, jotka ovat vähintään yhtä tiukkoja kuin tietoturva toimipaikoissa, joissa Google säilyttää ja käsittelee omia vastaavia tietojaan. Palveluita käyttämällä Asiakas hyväksyy kaikkien tällaisten tietojen siirtämisen, käsittelemisen ja säilyttämisen.


EU:n komission Safe Harbouria koskeva päätös kuitenkin korostaa, että sopimus ei koske muita maita. 2. artikla:

Tämä päätös koskee ainoastaan Yhdysvalloissa FAQ:iden mukaisesti sovellettavien periaatteiden tietosuojan riittävyyttä siinä tarkoituksessa, että direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimukset täytettäisiin, eikä sillä ole vaikutusta direktiivin muiden, henkilötietojen käsittelyä jäsenvaltioissa koskevien säännösten, myöskään 4 artiklan, soveltamiseen.

Huomatkaa, että tekstissä puhutaan maista, ei yrityksistä.

Kun lähtökohta on se, että laissa sanotaan, että henkilötietojen vieminen on sallittua EU:n ulkopuolelle vain jos kyseisessä maassa taataan tietosuojan riittävä taso, vaatimus ei täyty sillä, että tietoja käsittelevä yritys vakuuttaa käsittelevänsä tietoja luotettavasti ja turvallisesti kyseisessä maassa. Tämä sama ongelma koskee kaikkia muitakin vastaavia palveluita kuin Googlen palveluita ja kysymykseen on syytä hakea tietosuojavaltuutetulta kanta.

Kaarinassa mokattiin siinä, ettei edes tajuttu, että käyttäjille pitää tietysti kertoa mihin heidän tietojaan luovutetaan. Sekin olisi pitänyt käyttäjälle kertoa jo Googlen omien ehtojen mukaan, miten ja missä käyttäjän tietoja käsitellään.

Ihmisillä on henkilötietojen käsittelyyn hyvin erilaisia kantoja. Osa toistelee "kun ei tee mitään väärin, ei ole mitään salattavaakaan" -mantraa. Yksikään näin sanoneista ei ole suostunut antamaan minulle vielä pankkitilinsä kirjautumistunnuksia. En pidä tuota argumenttia muutenkaan kauhean hyvänä, koska emme tiedä muuttuvassa maailmassa mikä tieto tulevaisuudessa on kannaltamme arkaluontoinen tai toimii meitä vastaan. Sellainen voi olla esimerkiksi sairaudesta Internetiin kirjoitettu viesti, joka löytää tiensä vääriin käsiin.

Oletetaanpa kuitenkin huvin vuoksi, että "rehellisellä ei ole mitään salattavaa" olisi hyvä argumentti. Sitä vasten on hyvä pohtia, miksi Google Apps for Education -sopimuksessa lukee näin:

10.Julkisuus. Asiakas ei anna julkisia tiedotteita tämän Sopimuksen olemassaolosta tai sisällöstä ilman Googlen etukäteen antamaa kirjallista hyväksyntää. Google voi: (i) liittää Asiakkaan Tuotemerkkiominaisuuksia esittelyihin, markkinointiaineistoon ja asiakasluetteloihin (mukaan lukien muun muassa Googlen Web-sivustoihin sijoitetut asiakasluettelot ja kuvakaappaukset Asiakkaan tavasta käyttää Palvelua) ja (ii) antaa julkisen tiedotteen tämän Sopimuksen olemassaolosta tai sisällöstä. Google toimittaa Asiakkaalle tämän pyynnöstä esimerkin tällaisesta käyttötavasta tai tiedotteesta.

Asiakas ei siis saa kertoa tehneensä tällaisen sopimuksen ilman Googlen etukäteishyväksyntää. Sopii mielestäni aika kehnosti yhteen hallinnon läpinäkyvyyden periaatteen kanssa. Google sen sijaan saa tiedottaa. Hieman epätasapainoinen tila.

Esitän tämän blogahduksen kysymykset myös suoraan Googlelle. Katsotaan tuleeko vastaus ja milloin. Elokuussa 2011 esittämääni kysymykseen siitä, tarkoittaako Googlen ehtojen tarkoittama oikeustoimikelpoisuus sitä, että vain 18 vuotta täyttäneet voivat itsenäisesti ottaa Googlen palvelut käyttöön vai riittääkö 15-vuotiaan rajoitettu oikeustoimikelpoisuus ei ole vieläkään vastattu. Koitan löytää uusia tahoja vastaamaan kysymyksiin, jotta nämä kysymykset eivät vietä ainakaan kovin monia syntymäpäiviä ennen vastaamistaan.