EU:n ja USA:n välinen Safe Harbor -sopimus — laadun leima, jota kukaan ei valvo

Suuri osa erityisesti sosiaalisen median Internet-palveluista tuotetaan Yhdysvalloissa. Kun Yhdysvalloissa ei ole lainsäädäntömme tasoa vastaavaa tietosuojalainsäädäntöä, henkilötietojen vieminen sinne on lähtökohtaisesti luvanvaraista. EU:n ja Yhdysvaltojen välisen runsaan kaupankäynnin ja tiedonvaihdon vuoksi ongelma on pyritty ratkaisemaan. 

EU:n ja Yhdysvaltojen välisen, vuonna 2000 solmitun Safe Harbor -sopimuksen  tavoite10) on luoda tilanne, jossa yhdysvaltalaiset yritykset muuttavat omaa toimintaansa ja auditoivat toimintansa vuosittain tietosuojan osalta EU:n lainsäädäntöä vastaavalle tasolle. Yhdysvaltain kauppakomissio Federal Trade Comission, FTC11), ylläpitää Safe Harbor -sivustoa12), joka tiedottaa yhdysvaltalaisille yrityksille Safe Harbour -järjestelyn ehdoista. Sivustolla on myös lista yrityksistä13), jotka ovat ilmoittaneet noudattavansa Safe Harbor -ehtoja ja tehneet vuosittaisen ilmoituksen. FTC:llä on myös käytössään valta käyttää laillisia sanktioita sääntöjen rikkojia vastaan. Eurooppalaisen toimijan tarvitsee vain ilmoittaa mahdollisista rikkomuksista FTC:lle, joka puolestaan sopimuksen mukaan vie asian eteenpäin.

Tavoitteena on siis tilanne, jossa eurooppalainen kuluttaja voi Safe Harbor  järjestelmään liittyneen yhdysvaltalaisen yrityksen palveluita käyttäessään olla varma siitä, että tietosuoja on eurooppalaisella tasolla. 

Safe Harbor -järjestelyä on kuitenkin alettu kritisoida viime vuosina. Yksi parhaiten väitteensä perustellut kriitikko on australialainen tietosuoja-aktiivi ja -konsultti Chris Connolly. Hän on tarkastellut vuonna 2008 julkaisemassaan tutkimuksessa14) Safe Harbor -sopimuksen noudattamista ja siihen liittyviä seikkoja.
 
Tutkimuksessa ilmenivät seuraavat asiat:

  • Yhdysvaltain kauppaministeriö liioittelee rajusti Safe Harbor -statuksen hankkineiden yritysten määrää. Lokakuussa 2008 kauppaministeriö väitti lukeman olevan 1 597. Yrityksistä 19 oli kuitenkin merkitty listaan kaksi tai kolme kertaa ja yksi oli testimerkintä. 342 yrityksen kohdalla oli kauppaministeriön tekemä merkintä "ei tällä hetkellä voimassa". Lisäksi 136 organisaatiota oli jättänyt vuosiraportoinnin tekemättä määräpäivään mennessä. Määrää on siis liioiteltu kolmanneksella.
  •  Connolly löysi 206 yritystä, jotka väittivät sitoutuneensa Safe Harbour -ehtoihin vaikka niitä ei löytynyt FTC:n Safe Harbor -listasta. Vuoden 2009 aikana FTC nosti ensimmäisen kanteen tällä tavoin menetellyttä yritystä vastaan15).
  • Osa yrityksistä väitti, että FTC tai EU on sertifioinut ne, vaikka kyse on yrityksen tai organisaation itsensä suorittamasta sertifioinnista.>
  • Osa yrityksistä viittasi sertifiointiohjelmiin, jotka olivat jo päättyneet.
  • Suuri osa yrityksistä ei taannut maksutonta tietojen tarkastamisoikeutta, joka on taattu EU:n henkilösuojadirektiivissä. Yhdysvalloissa vallitsevassa käytännössä lakipalveluiden käyttäminen maksaa aina ja tätä periaatetta sovelletaan myös omien tietojen tarkistamiseen.
  • Osa yrityksistä ei julkaise käyttöehtoja julkisesti sivulla, joka olisi myös sellaisen käyttäjän saatavilla, joka vasta harkitsee rekisteröitymistä. Tämä on Safe Harbor  periaatteiden vastaista.

Kun kokonaismäärästä poistetaan näitä virheitä tehneet yritykset, alunperin ilmoitetusta 1 597 yrityksen joukosta on jäljellä enää 348. Kaikkiaan tämä edustaa vain noin viidennestä FTC:n raportoimasta määrästä. Kun kaikki Safe Harbour -sopimuksen velvoitteet käytiin läpi, ainoastaan 54 FTC:n listalla olevaa organisaatiota eli noin kolme prosenttia koko määrästä täytti kaikki sopimuksen yksilöimät velvoitteet. 

Ei ole mitään perusteltua syytä olettaa, että FTC valvoisi EU-kansalaisten etua. Pikemminkin EU-kansalaiset ovat edelleenkin kategoriassa ”muu maailma”, ja FTC:n toiminta täyttää ainoastaan minimitason ja ajaa lähinnä yhdysvaltalaisten yritysten etua. EU:n komissio ei myöskään ole ollut mitenkään aktiivinen asian valvomisessa.

Suurin ongelma sosiaalisten medioiden tapauksessa on, että suurin osa niitä tarjoavista yrityksistä ei ole liittynyt Safe Harbor -järjestelyyn lainkaan. Puutteineenkin se antaisi edes jonkinlaisen takeen siitä, että yrityksessä on pohdittu tietosuojaa eurooppalaisen käyttäjän näkökulmasta. Tasapainon hakeminen tällaisista palveluista saatavien hyötyjen ja puutteellisen yksilönsuojan mahdollisesti aiheuttamien haittojen välillä on vaikeaa. Pääsääntöisesti tällaisia palveluita ei tule käyttää. Jos niitä käytetään, käyttöön otettaessa käyttäjiä tulee tiedottaa siitä, että palveluntarjoaja ei täytä Suomen lainsäädännön kriteereitä henkilötietojen käsittelyn osalta. Kun käyttäjät ovat alaikäisiä, tulee joka tapauksessa pyytää huoltajan tai huoltajien suostumus.

10) Komission päätös Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti yksityisyyden suojaa koskevien safe harbor -periaatteiden antaman suojan riittävyydestä ja niihin liittyvistä Yhdysvaltojen kauppaministeriön julkaisemista tavallisimmista kysymyksistä (EUR-Lex)

11) Federal Trade Comission (FTC)

12) Safe Harbor (Export.gov)

13) Safe Harbor List (Export.gov)

14) The US Safe Harbor - Fact or Fiction? (2008)

15) Connolly on ilmoittanut kansainvälisessä tietosuoja-alan konferenssissa julkaisevansa tutkimuksesta päivitetyn version elokuussa 2010. Tätä kirjoitettaessa uusi versio ei vielä ole käytettävissä.