Kun Suomi enimmäkseen kesälomaili ja luki kaikkea muuta kuin ajankohtaisia uutisia yksityisyydestä, tuli EU-tuomioistuimelta tärkeä päätös: eurooppalaisten henkilöiden tietojen siirtämiseen EU:sta Yhdysvaltoihin liittyvä Privacy Shield -sopimus on tuomittu laittomaksi. Koska asia liittyy vahvasti digimarkkinoinnin isoihin toimijoihin kuten Facebookiin ja Googleen, on hyvä ottaa nopea katsaus siihen, mistä on kyse ja miten nyt pitäisi toimia.
Mikä on Privacy Shield -sopimus?
Privacy Shield on vuodesta 2016 voimassa ollut EU:n ja Yhdysvaltojen välinen sopimus, jonka tarkoitus on määritellä, miten ja millä ehdoin eurooppalaisten käyttäjien dataa voi viedä Yhdysvaltoihin.
Privacy Shield ei suinkaan ole ensimmäinen yritys määritellä sääntöjä sille, miten Yhdysvalloissa saadaan käyttää eurooppalaisten henkilökohtaisia tietoja. Asia nousi kunnolla esiin vajaat 10 vuotta sitten, kun Edward Snowdenin NSA-paljastusten myötä kävi selväksi, että eurooppalaisten henkilökohtaiset tiedot voivat Yhdysvaltoihin siirtämisen jälkeen päätyä tiedustelupalvelu NSA:n käyttöön. Asiassa äänekkäin oli nuori itävaltalaisjuristi Max Schrems, joka nosti Facebookia vastaan kanteen. Riita päätyi vuonna 2015 siihen, että aiempi EU:n ja Yhdysvaltain välinen datasopimus Safe Harbour kumottiin, ja käyttöön palautettiin EU:n hyväksymä mallisopimuslauseke eli SCC (Standard Contractual Clauses). Vuotta myöhemmin uusi Privacy Shield -sopimus allekirjoitettiin. Schrems teki kuitenkin uuden kanteen. Nyt EU-tuomioistuin totesi, ettei Privacy Shieldkään ei ole riittävä eurooppalaisten yksityisyyden takaamiseksi.
Miksi EU-tuomioistuin hylkäsi Privacy Shieldin?
Keskeinen syy päätökselle on se, että EU-tuomioistuimen mukaan Privacy Shield ei onnistu riittävällä tasolla suojelemaan eurooppalaisia verkon käyttäjiä siltä, että heidän yhdysvaltalaisille palvelimille varastoitu datansa päätyisi tiedustelupalveluiden tai muiden kolmansien osapuolten käyttöön. Linjauksen mukaan tiedon siirtäjän on varmistettava, että Yhdysvaltoihin siirrettäessä eurooppalaisten datan pätee yhtä vahva yksityisyydensuoja kuin Euroopassakin pätisi, mitä Privacy Shield ei siis takaa.
Mitä muuta päätettiin samalla?
Päätöksen mukaan Privacy Shield ei ole lainvoimainen, mutta tietyillä ehdoilla eurooppalaisten käyttäjien dataa voi edelleen säilöä Yhdysvalloissa. Keskeisimpinä näistä ehdoista toimijoiden on kerrottava loppukäyttäjälle tietojen välittämisestä Yhdysvaltoihin, ja lisäksi varmistettava, ettei kolmansilla, sisältäen tiedusteluviranomaiset, ole niihin pääsyä (mikä ei välttämättä ole helppoa, eikä vielä tarkalleen tiedetä, mikä taso riittää). Samalla kuitenkin linjattiin, että aiemmin käytössä olleet SCC-lausekkeet ovat edelleen valideja. Ihan tyhjän päälle eivät datan siirtäjät siis jääneet.
Mitä päätös tarkoittaa käytännössä?
Ensimmäinen käytännön vaikutus on se, että yhdysvaltalaisten työkalutoimittajien on otettava käyttöön SCC-lausekkeet kaikessa tiedonsiirrossaan Euroopasta Yhdysvaltoihin. Tämä ei kuitenkaan riitä maaliin asti, sillä pelkkä SCC ei takaa sitä, ettei kukaan asiaton pääse tietoihin käsiksi. Nyt markkinoilla odotetaan seuraavia tulkintoja siitä, mitä tämä tulee käytännössä tarkoittamaan, mitä muuta datan siirtäjien on tehtävä eurooppalaisten yksityisyyden turvaamiseksi ja miten lain hengen toteutumista valvotaan.
Joka tapauksessa lopulta kyse on varmasti hyvästä kehityksestä: mitä parempaan yksimielisyyteen yhteisistä pelisäännöistä päästään, sitä varmempi voi loppukäyttäjä olla siitä, että omat tiedot ovat hyvissä käsissä.
Miten Google on reagoinut asiaan?
Maanantaina 3.8. Google kertoi ottavansa keskeisissä työkaluissaan käyttöön SCC-vakiosopimuslausekkeen. Muutokset astuvat voimaan 12. elokuuta. Googlen GDPR-ehtoja päivitetään myös tulevina viikkoina.
Mitkä ovat päätöksen mahdolliset pidemmän tähtäimen vaikutukset dataan ja digitaaliseen markkinointiin?
Isossa mittakaavassa polkuja on kaksi. Ensimmäinen on se, että Piilaakson jättiläiset pystyvät muuttamaan toimintaansa niin, että yksityisyys eurooppalaisille taataan esimerkiksi pystyttämällä EU:n alueelle omat datavarastot tai enkryptaamalla kaikki data yhdessä riittäväksi todetulla tasolla. Toisessa vaihtoehdossa näemme eurooppalaisten some- ja markkinointityökalujen nousun. Ensin mainittu vaihtoehto on jossain määrin todennäköisempi, sillä monet amerikkalaiset ratkaisut ovat jo nyt erittäin laajalti käytössä EU:ssa, eikä suoraan niitä vastaan kilpailevia eurooppalaisia työkaluja ole (ainakaan vielä) markkinoilla.
Paine toimia on tällä hetkellä tiedon siirtäjillä eli työkalutoimittajilla. Mihinkään hätiköityyn ei siis ole vielä syytä ryhtyä työkaluvalinnoissa. Olemme Qurussa kuitenkin jo tutkineet vaihtoehtoisia ratkaisuja niin täginhallintaan kuin analytiikkaankin liittyen, ja onneksi niitä on, vaikka ne ovat joiltain ominaisuuksiltaan toistaiseksi riisutumpia kuin amerikkalaiset vastineet. Esimerkiksi analytiikkatyökalu Matomo (entinen Piwik) voi tulla jatkossa ajankohtaisemmiksi erityisesti niillä aloilla, joilla yksityisyys on ensisijaisen tärkeää.
Kaikille asiakkaillemme joka tapauksessa suosittelemme käyttäjädatan ryhdikästä tarkistusta GDPR:n hengen mukaisesti: mihin kaikkialle dataa meiltä menee, mitä kumppaneita on käytössä ja millaisia rooleja datan käsittelyyn liittyy. Kun himmeli on hyvin hallussa, on helpompi tarvittaessa muuttaa ne osat, jotka osoittautuvat myöhemmin ongelmallisiksi.