Kirjoittanut

EU-tuomioistuimen tiistaina (6.10) tekemää Schrems-ratkaisua voidaan pitää yhtenä aikamme merkittävimmistä oikeudellisista päätöksistä. Se edustaa yhtäältä jatkoa reilu vuosi sitten annetulle Digital Rights Ireland-tuomiolle vahvistamalla siinä omaksuttuja tulkintoja yksityiselämän, henkilötietojen ja luottamuksellisen viestinnän suojan sisällöstä. Toisaalta se sisältää myös uusia linjauksia ja perusoikeuskirjan sovelluksia. Koska tuomioistuimen ratkaisu on Digital Rights Ireland-tuomion tapaan annettu nytkin suuren jaoston toimesta, tuomio on tarkoitettu hyvin merkittäväksi linjaukseksi verkkovalvonnan oikeudellisista rajoista perusoikeuksien kannalta EU-oikeuden nykytilassa.

Kun Digital Rights Ireland-tuomiossa EU-tuomioistuin katsoi ns. teletunnistetietojen tallentamisvelvollisuutta koskeneen direktiivin pätemättömäksi perusoikeuksien vastaisena, nyt EU-tuomioistuin julisti samojen perusoikeuksien perusteella pätemättömäksi komission päätöksen vuodelta 2000 siitä, että Yhdysvaltojen oikeusjärjestys ja ns. safe harbour –periaatteet takasivat ”riittävän” tietosuojan tason EU:n henkilötietolainsäädännön edellyttämällä tavalla.

Schremsin kantelun taustalla oli Snowdenin paljastusten myötä selväksi tullut tieto siitä, että USA:n lainsäädännön perusteella NSA:lla ja muilla Yhdysvaltojen turvallisuuspalvelun yksiköillä oli yleisesti pääsy tietoihin, joita on tallennettu Facebook USA:n haltuun. Pääsy siirrettyihin tietoihin koski yleisesti sähköistä viestintää ilman että olisi edellytetty, että tiedustelutoimintaa kohdistettaisiin vain kansallista turvallisuutta uhkaaviin tahoihin ja heidän harjoittamaansa viestintään. EU-tuomioistuin piti tällaista laajamittaista ja kohdentamatonta tarkkailua suhteettomana ja perusteettomana puuttumisena EU:n perusoikeuskirjan 7 ja 8 artiklassa taattuihin oikeuksiin.

Schrems-ratkaisua on jo ehditty laajalti kommentoida eri tiedotusvälineissä. Se on myös perustellusti liitetty Suomessa käynnissä olevaan, peräti kolmen ministeriön voimin valmisteltavaan tiedustelulainsäädännön kehittämishankkeeseen. Ainakin hallituksen edustajien piirissä näyttäisi ennakkokäsityksenä olevan se, että ratkaisu on kyllä otettava huomioon, mutta merkittäviä vaikutuksia sillä ei olisi. Viestintäministeri Anne Bernerin mukaan ”Turvallisuusviranomaiset tarvitsevat tarkasti määriteltyä kohdennettua verkkotiedustelua” ja olisi ennenaikaista tehdä ”se johtopäätös, että kaikki verkkotiedustelu olisi mahdotonta”. Oikeusministeriön lainsäädäntöjohtaja Sami Manninen puolestaan kiitteli EU-tuomioistuimen ratkaisua oikean suuntaiseksi: ”Euroopassa ajatellaan niin, että viranomaiset eivät voi vain yleisesti kerätä ja seurata ihmisten viestintää. Sellaista ei ole suunnitteilla Suomeenkaan, ja tämä päätös vain vahvistaa käsitystä siitä, ettei niin voi tehdä.” Hänen mukaansa tarkoitus on järjestää asia niin, että ”verkkotiedustelu on mahdollista vain tietyn tunnusmerkistön mukaisesti.” Mannisen mukaan Suomeen ei ole missään vaiheessa suunniteltu massavalvontaa.

Se, onko suunniteltu tai suunnitellaanko Suomeen massavalvontaa, riippuu tietenkin olennaisesti siitä, mitä käsitteellä tarkoitetaan ja mitä hallitus on lopulta esittämässä. Sitä paitsi verkkotiedustelulain kohtalo ei edes ratkea sillä, mitä viranomaiset pitävät massavalvontana ja mitä taas jonain muuna tiedustelutoiminnan muotona. Ratkaisevaa on viime kädessä se, merkitsevätkö myöhemmin ehdotettavat tiedonhankintavaltuudet niin pitkälle menevää ja syvällekäyvää puuttumista perusoikeuksiin, ettei niitä voida yhteensovittaa mm. EU-tuomioistuimen ratkaisukäytännön kanssa. Keskeinen tulkintastandardi löytyy Schrems-tuomion kohdasta 94, jonka englanninkielisessä versiossa (ratkaisua ei ole vielä saatavilla suomeksi) todetaan seuraavasti:

”In particular, legislation permitting the public authorities to have access on a generalised basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life, as guaranteed by Article 7 of the Charter”. (korostus tässä).

Miksi juuri tämä tuomion kohta on niin keskeinen? Ainakin kahdesta syystä.

Ensinnäkin EU-tuomioistuin katsoi komission safe harbour –periaatteita koskevan päätöksen perusoikeuskirjan vastaiseksi juuri sen vuoksi, että se mahdollisti yleisen ja erottelemattoman pääsyn viestien sisältöön. Tässä johtopäätöksessään tuomioistuin yksinkertaisesti sovelsi Digital Rights Ireland-tuomiossa täsmennettyä tulkintaperiaatetta (ks. DRI-tuomion kohdat 38-40). Kysymys oli nyt perusoikeuskirjan keskeiseen sisältöön ulottuvasta rajoituksesta, mikä on jo sellaisenaan vastoin EU:n perusoikeuskirjan 52 (1.1) artiklaa. Siihen ei siis voi soveltaa suhteellisuusperiaatetta eikä rajoituksen sallittavuus niin ollen riipu sen intressin painavuudesta tai muusta merkityksestä, jolla rajoitusta on perusteltu. Tällaiset rajoitukset on aina kielletty.

Toiseksi EU-tuomioistuimen kantaa on luettava ilmauksena siitä, että jo pelkästään pääsy luottamuksellisia viestejä sisältävään viestiliikenteeseen merkitsisi puuttumista perusoikeuskirjassa turvattuihin oikeuksiin. Ja edelleen: juuri tämä pääsy voi loukata perusoikeuskirjassa turvattujen oikeuksien keskeistä sisältöä, jos se tapahtuu ”on generalised basis” ja jos sen perusteella viranomaisella on pääsy myös viestien sisältöihin.

Tätä ongelmaa ei poista edes se, että viestiliikennettä käsitellään ensivaiheessa automaattisesti. Automatisoitukin henkilötietojen käsittely on EU:n perusoikeuskirjan 8 (2) artiklassa ja unionin tietosuojalainsäädännössä tarkoitettua henkilötietojen käsittelyä. Tämän lisäksi Schmers-tuomiossa vahvistettiin se jo Digital Rights Ireland-ratkaisussa todettu periaate, että tarve henkilötietojen suojaan liittyville takeille pikemminkin kasvaa kuin laskee silloin, kun henkilötietoja käsitellään automatisoidusti (ks. tuomion k. 91.)

Miten tämä kaikki vaikuttaa kotimaiseen tiedustelulainsäädännön uudistamistyöhön? Tarkoituksena ei varmastikaan ole toimia Suomen perustuslain tai kansainvälisten velvoitteiden taikka EU-oikeuden vastaisesti eikä mitään sellaista ole saatujen kommenttien perusteella edes suunniteltu. Kysymys onkin siitä, miten hallitus nyt aikoo toteuttaa ”tietyn tunnusmerkistön” mukaisesti toteutettavan verkkotiedustelun, joka kielletyn ”massavalvonnan” sijasta olisi sellaista ilmeisesti sallituksi oletettua ”kohdennettua verkkotiedustelua”, joka ei kuitenkaan perusta tiedusteluviranomaisislle yleiseen pääsyyn palautuvaa mahdollisuutta selvittää luottamuksellisten viestien sisältöjä.

Epäilemättä näihin kysymyksiin saadaan aikanaan vakuuttava ja alun alkaenkin varmaan itsestään selvänä pidetty perusteltu vastaus viimeistään siinä vaiheessa, kun hallituksen esitys valmistuu. Silloin selviää, mitä oikeastaan ovat sellaiset tiedonhankintavaltuudet, joita voimassa oleva lainsäädäntö ei kata, jotka eivät oikeuta erittelemättömään ja yleiseen viestien verkkotiedusteluun edes ensivaiheen seulonnassa, mutta jotka kuitenkin menevät niin pitkälle, ettei tulkintakäytännössä varsin joustavaksi osoittautunut PL 10.3 §:n säännös siihen kuitenkaan enää jostain syystä taivu.

EU-tuomioistuimen eilisestä ratkaisusta voidaan joka tapauksessa jo nyt nostaa esille koko joukko sellaisia oikeudellisia näkökohtia, jotka hallituksen esityksen valmistelussa on pakko ottaa huomioon ja joiden yli ei voida kävellä edes perustuslain muutoksella. Selvää nimittäin on, ettei perustuslain muuttaminen pelasta tiedustelulainsäädäntöhanketta, jos se törmää EU:n perusoikeuskirjaan, sellaisena kuin EU-tuomioistuin on sitä tulkinnut tapauksissa Digital Rights Ireland ja Schrems.

Juha Lavapuro ja Tuomas Ojanen