Tuesday, October 20, 2015

Mallisopimuslausekkeet tai sopimukset eivät pelasta Safe Harbourin mitätöinnin jälkeen

Lyhyesti: ei ole mallisopimuslausekkeita, jotka edes teoriassa voisivat täyttää EU:n tietosuojalainsäädännön vaatimukset EU-kansalaisten henkilötietojen siirron osalta kolmansiin maihin jos siirron kohteena on yritys, joka toimii USA:n lakien vaikutuspiirissä.

Tämä kirjoitus sisältää jotakuinkin samat asiat kuin vastaava englanninkielinen kirjoitukseni.

Tausta:

Euroopan unionin tuomioistuin antoi lokakuun 6. päivänä tuomion asiassa Maximillian Schrems vs. Irlannin tietosuojavaltuutettu.1 Tuomio on uutisoitu laajalti suomalaisessakin lehdistössä. Schrems on haastanut Facebookin oikeuteen siitä, että yhtiö siirtää ja käsittelee käyttäjiensä henkilötietoja ja henkilöön sidottuja tietoja Yhdysvalloissa, missä valtion tiedusteluelimillä kuten NSA:lla on mahdollisuus päästä käsiksi tietoihin. Tällainen menettely on kuitenkin EU:n lainsäädännön vastaista.2 EU-tuomioistuin antoi päätöksensä Irlannin korkeimman oikeuden pyynnöstä, koska sillä ratkaistavana olevassa tapauksessa Irlannin tietosuojavaltuutettu on ilmoittanut kantanaan, että Schremsin asia ei kuuluisi lainkaan kyseisen tuomioistuimen ratkaistavaksi, koska henkilötietojen siirto perustuu EU:n ja Yhdysvaltojen väliseen, komission hyväksymään Safe Harbour-järjestelyyn ja että asia ei siksi kuulu kansallisen tietosuojavaltuutetun ratkaisuvaltaan. Schrems puolestaan argumentoi, että koko Safe Harbour-sopimusjärjestelyltä on pudonnut pohja sen jälkeen kun Edward Snowden paljasti, että Yhdysvaltojen tiedusteluorganisaatiot sieppaavat ja tallentavat käsittämättömän suuria määriä käyttäjien, myös EU-maiden kansalaisten, tietoja.

EU-tuomioistuin totesi päätöksessään, että siitä tosiseikasta johtuen että EU-käyttäjien tietojen yksityisyys murretaan Yhdysvaltojen tiedustelutoimilla, Safe Harbour ei enää takaa sitä yksityisyyden tasoa, joka sen oli tarkoitus taata ja Safe Harbour on siksi pätemätön. Lisäksi EU-tuomioistuin katsoo, että kyseisenlaiset tapaukset kuuluvat kansallisten tietosuojaviranomaisten ratkaisuvaltaan. Schremsin argumentti siis voitti ja Irlannin korkein oikeus voi jatkaa tapauksen Schrems vs. Facebook käsittelyä.

Datan sijainnista keskustelu ei riitä

Suurin osa tiedotusvälineissä käytävää keskustelua on keskittynyt tietojen siirtoon Yhdysvaltoihin. Tämä on ymmärrettävää koska EU:n henkilötietodirektiivi3 ja Suomen henkilötietolaki4, jolla direktiivin sisältö on implementoitu Suomen lainsäädäntöön, keskittyvät henkilötietojen siirtoon. Kuitenkin vaikka on todennäköistä, että suurin osa Yhdysvaltojen hallinnon tiedusteluorganisaatioiden tekemästä massavalvonnasta tapahtuu maan rajojen sisäpuolella, on esimerkkejä siitä, että Yhdysvaltain hallinto vaatii myös tietoja, jotka on tallennettu maan rajojen ulkopuolelle. Eurooppalaisesta näkökulmasta mielenkiintoisessa tapauksessa Yhdysvaltain oikeusministeriö vaatii Microsoftia luovuttamaan käyttäjien tietoja, jotka on tallennettu Microsoftin Irlannissa sijaitsevaan palvelinkeskukseen.5 Yhdysvaltain oikeusministeriön mielestä ”Yhdysvaltain hallinnolla on (laillinen) oikeus vaatia kenen tahansa, missä päin maailmaa tahansa asuvan henkilön sähköpostiviestejä miltä tahansa sähköpostin välittäjältä, jonka pääkonttori on Yhdysvalloissa.” Microsoft ei halua suostua pyyntöön, koska myöntymisellä olisi merkittävä kielteinen vaikutus yhtiön liiketoimintaan ja asiaa käsitellään siksi oikeudessa. 

Jo kesäkuussa 2011 Microsoftin Iso-Britannian tytäryhtiön toimitusjohtaja Gordon Frazer myönsi, että Microsoft ei voi taata, että yhtiön EU-käyttäjien tiedot, jotka on tallennettu yhtiön EU-alueella sijaitseviin palvelinkeskuksiin, olisivat suojassa Yhdysvaltojen hallinnon tekemältä sieppaukselta ja tarkastelulta. Frazer sanoi: ”Microsoft ei voi antaa tällaisia takuita. Mikään muukaan yhtiö ei voi."6

Ongelma on kuitenkin paljon pahempi kuin pelkästään se, että Yhdysvaltain hallinnolla on jo mainittu ”(laillinen) oikeus vaatia kenen tahansa, missä päin maailmaa tahansa asuvan henkilön sähköpostiviestejä miltä tahansa sähköpostin välittäjältä, jonka pääkonttori on Yhdysvalloissa.” Ongelma on se, että Yhdysvaltain hallinnolla on käytössään lakiteknisiä keinoja, jotka mahdollistavat tätä paljon laajemman ihmisten tietojen hankkimisen. Lyhyesti: jos yritys toimii Yhdysvalloissa tai sillä on työntekijöinään Yhdysvaltojen kansalaisia Yhdysvaltojen rajojen ulkopuolella, Yhdysvaltojen hallinto voi kummassakin tapauksessa esittää FISA-lakia7 tietojen hankkimiseen. Pelkkä sivutoimipistekin Yhdysvalloissa mahdollistaa tämän ja avaa oven Yhdysvaltain hallinnolle. Lain perusteella esitetty haaste
voi sisältää myös ”suukapulaehdon”. Tämä tarkoittaa sitä, että tieto haasteen saamisesta on pidettävä salassa. Haasteen saanut henkilö ei saa paljastaa saaneensa haasteen puhumattakaan siitä, että paljastaisi siihen liittyviä yksityiskohtia ilman tuntuvia oikeudellisia seuraamuksia. Tämä on oletettavasti se, mitä tapahtui Edward Snowdeninkin käyttämän, täydellisesti salattua sähköpostipalvelua tarjonneen Lavabitin tapauksessa.8 Menettelyyn liittyvät oikeustapaukset käsitellään erityistuomioistuimissa, joiden toiminta on salaista.

Tuloksena tästä on se, että vaikka voisimme luottaa palveluita tuottaviin yhtiöihin itseensä, niiden palveluita käytettäessä ei voi olla yksityisyyttä siinä mielessä kuin EU-lainsäädäntö sen määrittelee niin kauan kuin Yhdysvaltain hallinnolla on käytössään FISA-lain antama voima suhteessa kehen tahansa työntekijään, jolla on mahdollisuus päästä käsiksi käyttäjien tietoihin. Microsoftin entinen yksityisyysasioiden pääneuvonantaja Caspar Bowden nosti asian esiin jo vuonna 20119, ennen Snowdenin tekemää asiakirjojen vuotamista ja sitä kautta saamaamme tietoa Yhdysvaltojen kansallisen turvallisuusvirasto NSA:n PRISM-ohjelmasta10 ja muista maan tiedusteluorganisaatioiden harjoittamasta massavalvonnasta. ”Sattumalta” Bowden vapautettiin tehtävistään Microsoftilla 2 kuukautta tämän jälkeen.

Ajatellaan suukapulaehdolla terästetyn FISA-haasteen saaneen työntekijän toimintavaihtoehtoja. Tietojen luovuttamisesta kieltäytymisestä seuraa vankeutta. Toisaalta haaste on niin salainen, että on epätodennäköistä, että edes työntekijän esimies saa koskaan tietää asiasta. Optimaalinen strategia on helppo nähdä: suostu tietojen luovutukseen ja pidä suu supussa asiasta.

Yhdysvaltain hallinnon luomus on olemukseltaan paholaismainen lakitekninen ansa. Sen rakenne selittää myös, miksi massavalvonnan mahdollistamisesta syytettyjen yhdysvaltalaisyritysten ylin johto on todella saattanut olla tietämätön työntekijöidensä osuudesta käyttäjien tietojen luovuttamisessa Yhdysvaltojen hallituksen virastoille. Yhtiöt esiintyivät julkisuudessa kieltäen osallistuneensa PRISM-ohjelmaan tai mihinkään sen kaltaiseen. Mitä muutakaan ylin johto voisi tuossa tilanteessa sanoa jos he eivät tienneet työntekijöidensä toimista? Toisaalta – mitä he todennäköisesti sanoisivat jos he itse ovat juuri niitä, jotka ovat saaneet suukapulaehdolla terästetyn haasteen?


Tämä on perusoikeuskysymys


Lopputulos on EU-maan kansalaisen kannalta sama. Vaikka luottaisimme yhdysvaltalaisiin yhtiöihin, emme voi luottaa niiden tarjoamiin palveluihin, koska Yhdysvaltain hallinto rikkoo oikeuttamme yksityisyyteen tavalla, joka on vastoin EU-lainsäädäntöä.

Euroopan ihmisoikeussopimuksen 8. artikla käsittelee oikeutta yksityisyyteen.11  EU-tuomioistuin perusteli päätöstään juuri näillä perusoikeuksilla. Väite, että kyse on ihmisoikeuksista ei ole enää mielipideasia. Se on EU-tuomioistuimen päätöksen perustelujen kulmakivi.

Voi argumentoida, että vahvalla salakirjoituksella salattujen tietojen tallentaminen palveluihin, joita Yhdysvaltojen tiedusteluorganisaatiot pystyvät kuuntelemaan, olisi riittävän turvallista. Kuitenkin vaikka hyvä salausteknologia tekee tietojen sieppaamisesta teknisesti paljon vaikeampaa, se ei salaa oikeudellisilta toimenpiteiltä. Kannattaa myös ottaa huomioon, että Yhdysvaltojen tiedusteluorganisaatiot ovat työskennelleet aktiivisesti tiedonsalausmenetelmien heikentämiseksi. Tätä on tehty muun muassa osallistumalla standardointiorganisaatioiden työhön, jolloin halutut heikkoudet on saatu käyttöön myös kansainvälisesti.12

On selvää, että on muitakin maita ja tahoja, jotka ovat uhka tietosuojalle. Esimerkiksi Kiinan ja Venäjän tiedustelu- ja kybersotatoiminta ovat merkittävä ja jatkuva uhka. Vaikka me EU-kansalaiset tai muidenkaan maiden kansalaiset pitäisimme näitä maita vakavampina uhkina kuin Yhdysvaltoja, on silti vaikea nähdä miksi hyväksyisimme Yhdysvaltojen harjoittaman yksityisyytemme loukkaamisen. Emmehän me sano esimerkiksi rikoksen uhrille: ”Turha valittaa siitä, että omaisuutesi, mukaan lukien henkilökohtaiset viestintäsi, varastettiin. Tuossa lähellä oleilee pahempia rikollisia joiden kanssa olisi voinut käydä vielä paljon pahemmin.”

P.S. Englanninkielisen artikkelini julkaisemisen (13.10) jälkeen on tapahtunut muun muassa seuraavaa:

14. lokakuuta Saksan Schleswig-Holsteinin osavaltion tietosuojaviranomainen päätti13, että tietojen siirtäminen mallisopimuslausekkeiden perusteella Yhdysvaltoihin on kiellettyä.

16. lokakuuta EU:n tietosuojadirektiivin toteuttamista valvova, muun muassa kansallisista tietosuojavaltuutetuista koostuva asiantuntijaelin ”Article 29 Working Party” kertoi jatkavansa EU-tuomioistuimen päätöksen analysointia.14 Sillä välin tiedonsiirtoja Yhdysvaltoihin voidaan jatkaa mallisopimuslausekkeiden (Standard Contractual Clauses) ja yrityksiä sitovien sääntöjen (Binding Corporate Rules)15 perusteella. Tämä ei kuitenkaan estä kansallisia tietosuojaviranomaisia tutkimasta esimerkiksi tapauksia, joista on tehty ilmoituksia. Jos tammikuun 2016 loppuun mennessä ei ole saatu aikaan ”uutta Safe Harbouria” eli järjestelyä, jolla yksityisyys turvataan, tietosuojaviranomaiset ovat ”sitoutuneet kaikkiin tarpeellisiin ja soveltuviin toimiin, joihin saattaa sisältyä koordinoitua toimeenpanoa (coordinated enforcement actions).

1http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=129958
2http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:31995L0046
3http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_fi.pdf
4http://www.finlex.fi/fi/laki/ajantasa/1999/19990523
5http://www.theguardian.com/technology/2015/sep/09/microsoft-court-case-hotmail-ireland-search-warrant
6http://www.zdnet.com/article/microsoft-admits-patriot-act-can-access-eu-based-cloud-data/
7Foreign Intelligence Surveillance Act https://en.wikipedia.org/wiki/Foreign_Intelligence
8https://en.wikipedia.org/wiki/Lavabit#Suspension_and_gag_order
9https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2527/original/The_Cloud_Conspiracy_-_31C3_Hamburg_-_27.12.14_-_Caspar_Bowden.pdf
10https://en.wikipedia.org/wiki/PRISM_(surveillance_program)
11http://www.finlex.fi/fi/sopimukset/sopsteksti/1999/19990063#idm115968
12http://www.nytimes.com/interactive/2013/09/05/us/documents-reveal-nsa-campaign-against-encryption.html
13https://www.datenschutzzentrum.de/uploads/internationales/20151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf
14http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf

15Safe Harbourin rinnalle luotu säännöstö, jolla pyritään varmistamaan tietosuoja. https://en.wikipedia.org/wiki/Binding_corporate_rules

Tuesday, October 13, 2015

Why the invalidation of Safe Harbour by ECJ cannot be fixed with contracts?

In short: There are no model contract clauses that could even in theory make legal the transfer of personal data of EU citizens to companies operating under or within reach of the jurisdiction of the US courts.

Background:

The decision European Court of Justice (ECJ) gave on October 6th 20151 in case Maximillian Schrems vs. Data Protection Commissioner of Ireland has been widely discussed in media. In short, Mr. Schrems has sued Facebook because Facebook has been transferring user data to USA where intelligence organisations like NSA may access user data. Accessing data like this is against the privacy legislation of EU .2 The decision ECJ gave on October 6th is an answer to the High Court of Ireland where the Data Protection Commissioner of Ireland has argued that Mr. Schrems' case should not at all be handled in court because the decisions EU has made on Safe Harbour framework between EU and USA guarantee that data transfers containing personal data can be made to USA. Mr. Schrems has argued that the foundations of Safe Harbour have fallen after we have learned through Ed Snowden's work that the intelligence organizations in USA are intercepting and storing huge amounts of user data including that of EU citizens.

ECJ has now stated that because of the fact that privacy EU user data is compromised by the intelligence activities of the USA, Safe Harbour does not guarantee the level of privacy it was meant to guarantee and is thus invalid. Mr. Schrems argument won and the High Court of Ireland can proceed with Schrems vs. Facebook.

The issue is not where the data resides

The majority of the discussion in media has concentrated on data transfers to USA. While it is very likely that most of the alleged mass surveillance done by the intelligence agencies of USA takes place in USA, we have also examples where the US government is also demanding to get information that is stored outside of USA. From a European perspective an interesting example is the case where the US Department of Justice (DoJ) is demanding Microsoft to hand over user data which is stored in data storage facilities located in Ireland.3 The argument of DoJ in this case is that ”US government has the (legal) right to demand the emails of anyone in the world from any email provider headquartered within US borders”. Microsoft is not willing to comply as it would have a significant negative impact businesswise and therefore the case is in court. Already in June 2011 Microsoft U.K.'s managing director Gordon Frazer admitted that Microsoft cannot guarantee that EU customer data residing in EU based data centers would not be is vulnerable to interception and inspection by U.S. authorities.4 Frazer said: ”Microsoft cannot provide those guarantees. Neither can any other company."

The problem is actually much worse than the US government just ”having a legal right to demand the emails of anyone in the world if the email provider is headquartered within US borders”. The problem is that the US government has a much wider range of legal tools to get a much wider range of people's data than that. To put it short: if a company operates in USA, or has US citizens as employees elsewhere, the US government can use FISA to claim data it wants. Also a subsidiary in USA opens this door to the US government. These warrants may also include a ”gag order”, they are to be kept in secret: an invidual who gets such a warrant may not express even getting such a warrant not to mention any details about it. This is presumably what happened to Lavabit, a company offering a fully encrypted email system.5

The outcome of all of this: even if we could and would trust the companies providing the services, there cannot be any privacy using their services in the sense EU privacy laws define it as long as the US government has a way to use the power of FISA legislation towards any employee of a company having a possibility of accessing the data. Caspar Bowden, former Chief Privacy Adviser of Microsoft pointed this out in 20116, before Snowden leaked documents and details about PRISM and other mass surveillance done by US intelligence. ”Incidentally” Bowden was released from his duties at Microsoft 2 months after that.

Think about the possible strategies of an employee getting a FISA gag order warrant. Non-compliance would mean going to jail. On the other hand the warrant is so secret that it is very unlikely that one's superior ever gets to know about it. The optimal strategy is quite easy to see: comply and keep your mouth shut. This legislative trap the US government has made is diabolic by nature. It also explains why it really could have been the case that the top level executives of US companies did not know about their employees' part in giving customer data to the government. They kept arguing that their companies are not participating in PRISM or any such operation. What else could they have said in their position if they did not know about their employees' activities? And what would they be likely to say if they themselves are the ones who have received a warrant and a gag order?

This is about fundamental human rights


Whichever the case, the end result is the same for EU citizens. Even if we would trust the US companies themselves we cannot trust their services because the US government is intruding on our privacy in a way which is against EU privacy laws. The Article 8 of the European Convention on Human Rights is about right to privacy. This is about basic human rights. Saying so is not a mere opinion any more. It is the very rationale of the ECJ's decision.

One could argue that using strong encryption personal data can be considered safe in services the US intelligence organizations are able to disrupt. While good quality encryption makes technical interception much more difficult, it does not protect form legal procedures. It also should be noted that US intelligence organizations have been working to weaken encryption through participation in standardizing organisations pushing the wanted vulnerabilities into use internationally.7

One can also argue that there are other countries that pose a threat, too. For example the intelligence and cyberwar activities of Russia and China are a significant threat. However, I cannot see that, even if we in the EU, or other parts of the world, would think these countries represent a more serious threat, why would we accept USA intruding on our privacy?

Update October 14th: I have been asked to explain what FISA means. It is United States federal law titled Foreign Intelligence Surveillance Act. Wikipedia article on FISA law is a good introduction.

October 14th the Data Protection Authority of Schleswig Holstein in Germany has decided that data transfer on the basis of Standard Model Clauses is unlawful.

References:

1http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=129958
2http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:31995L0046
3http://www.theguardian.com/technology/2015/sep/09/microsoft-court-case-hotmail-ireland-search-warrant
4http://www.zdnet.com/article/microsoft-admits-patriot-act-can-access-eu-based-cloud-data/
5https://en.wikipedia.org/wiki/Lavabit#Suspension_and_gag_order
6https://events.ccc.de/congress/2014/Fahrplan/system/attachments/2527/original/The_Cloud_Conspiracy_-_31C3_Hamburg_-_27.12.14_-_Caspar_Bowden.pdf
7http://www.nytimes.com/interactive/2013/09/05/us/documents-reveal-nsa-campaign-against-encryption.html