FiComin lausunto valtioneuvoston täydentävään jatkokirjelmään komission e-Evidence-ehdotuksista
FiComin keskeiset viestit
• Suomen kanta e-Evidenceen on ollut kannatettava ja parlamentin mietinnössä on lukuisia parannuksia.
• Täytäntöönpanoviranomaisen tulee varmistaa määräysten oikeellisuus – yritys ei ole tuomioistuin.
• Dynaamisia IP-osoitteita tulee jatkossakin pitää liikennetietoina.
• Asetus ei saa murentaa vallitsevaa korkeaa tietoturvan tasoa.
• Asetuksen velvoitteista aiheutuu yrityksille merkittävää hallinnollista taakkaa sekä kustannuksia.
• Palveluntarjoajalla on oltava oikeus saada määräyksen toimittaneen viranomaisen valtiolta korvaus täytäntöönpanon kustannuksista.
Suomen aikaisemmissa asetusehdotusta koskevissa kannoissa on kiinnitetty asianmukaisesti huomiota sen lukuisiin ongelmiin ja epätarkkuuksiin. Asetuksen myötä operaattorien ja muiden palveluntarjoajien olisi aiemman toimivan kansallisen yhteistyön sijaan luotettava vastakkaisista todisteista huolimatta kaikkien EU:n 27 jäsenvaltion oikeusjärjestelmien toimivuuteen. Tämän vuoksi on tärkeää, ettei asetuksella lasketa rimaa vallitsevista korkeista turvallisuusvaatimuksista. Toisen jäsenvaltion lainvalvontaviranomaisilla ei tule olla mahdollisuutta saada suomalaisten yksityiselämän ja viestinnän luottamuksellisuuden piiriin kuuluvia tietoja tapauksissa, joissa se ei olisi Suomen perustuslain tai Euroopan unionin perusoikeuskirjan mukaan sallittua. Käyttäjien luottamusta tieto- ja viestintätekniikan infrastruktuuriin ei saa heikentää, koska se estäisi Euroopan talouden digitalisaatiota.
Suomi vastusti kannatettavasti ja täysin syystä neuvoston enemmistön hyväksymää yleisnäkemystä, jonka mukaan palveluntarjoajan sijaintivaltion viranomaisilla (täytäntöönpanoviranomainen) olisi vain rajoitetusti mahdollisuus arvioida toisen jäsenvaltion viranomaiselta tulevaa määräystä. Parlamentin mietinnössä liikenne- ja sisältötietoja koskeva eurooppalainen luovutusmääräys tulisi asetuksen 9 artiklan mukaan toimittaa palveluntarjoajan lisäksi myös täytäntöönpanoviranomaiselle, jolla on 10 päivää aikaa asetuksen ja vastaavia kansallisia tilanteita koskevan lainsäädäntönsä perusteella riitauttaa tällainen määräys ja vaikuttaa siihen, voiko määräyksen toimittanut valtio käyttää tietoa rikosprosessissa.
Kuten Euroopan parlamentti on aiemminkin tuonut esille, palveluntarjoajan sijaintivaltion viranomaisen osallisuus muiden jäsenvaltioiden toimivaltaisten viranomaisten päätösten ja määräysten vastaanottamiseen on tarpeen, jotta ehdotettu lainsäädäntö olisi EU:n perussopimusten mukainen. Täytäntöönpanoviranomaisen osallistuminen on välttämätöntä, jotta voidaan taata perusoikeuksia kunnioittava oikeusvarmuus palveluntarjoajille täytäntöön pantavasta sääntelystä sekä oikeudelliset suojakeinot, kuten ne bis in idem (10 a artiklan 1 kohdan b alakohta) tai kaksoisrangaistavuuden kielto (10 a artiklan 2 kohdan b alakohta). Ehdotetussa menettelyssä määräyksen täytäntöönpano ei viivästy, sillä palveluntarjoajan on joka tapauksessa vastattava 10 päivän kuluessa.
Dynaamisia IP-osoitteita tulee jatkossakin pitää liikennetietona
Valitettavasti parlamentti päätti olla ulottamatta täytäntöönpanoviranomaisen osallistumismahdollisuutta myös tilaajatietoihin. Parlamentin mietinnön mukaan epäillyn henkilöllisyyden selvittämiseksi hankittavat IP-osoitetiedot rinnastuisivat luovuttamismääräyksiä koskevan menettelyn kannalta tilaajatietoihin siitä huolimatta, että parlamentin mietinnön resitaalissa 22a todetaan IP-osoitteita voitavan pitää tietyissä olosuhteissa liikennetietoina. Näin on myös lukuisissa EU:n jäsenvaltioissa, joissa IP-osoitteilla on sama korkeamman tason suoja kuin muillakin liikennetiedoilla. Toisin kuin normaalin liiketoiminnan yhteydessä kerättävät, pysyvästi tiettyyn asiakkaaseen viittaavat tilaajatiedot, kuten nimi ja yhteystiedot, IP-osoite osoittaa viestintäprosessin alkuperän eli kyseessä on enemmän käyttäjän yksityisyyteen puuttuva toimi. Samaan on päätynyt myös Euroopan ihmisoikeustuomioistuin ratkaisussaan tapauksessa Benedik v. Slovenia (a. nro 62357/14, tuomio, 24. huhtikuuta 2018), jonka mukaan IP-osoitteen luovuttamisen tungettelevuutta arvioitaessa on pidettävä mielessä, että IP-osoite paljastaa paljon yksilön online-käyttäytymisestä, mukaan lukien arkaluonteisia yksityiskohtia tämän kiinnostuksen kohteista, uskomuksista ja intiimielämästä.
On sinänsä kannatettavaa eritellä tilaajatieto ja liikennetieto toisistaan sekä harmonisoida niiden määritelmät parlamentin artiklaan 2 ehdottamalla tavalla kaikessa EU-lainsäädännössä, ilman komission ehdottamaa uutta kirjautumistietojen tietoluokkaa. Ei ole kuitenkaan mitään perusteita käsitellä näitä tietoluokkia eri tavalla. Parlamentin mietinnön 7 artiklan 1 kohdan mukaan täytäntöönpanoviranomaisella on oikeus saada määräykset tietoonsa, mutta sillä tulisi olla myös mahdollisuus puuttua kaikkiin rajat ylittäviin tietopyyntöihin.
Erityisen merkittävä rajanveto on dynaamisten, väliaikaisten IP-osoitteiden suhteen. Koska valtaosaa IP-osoitteista ei ole osoitettu pysyvästi yhdelle asiakkaalle, vaan ne määritellään käyttäjän laitteelle aina käyttäjän kirjautuessa verkkoon, on palveluntarjoajan käsiteltävä arkaluontoisempia liikennetietoja selvittääkseen, mille asiakkaalle tietty dynaaminen IP-osoite on pyydettynä ajankohtana annettu. Tämän vuoksi dynaamisiin IP-osoitteisiin on sovellettava samaa suojaustasoa kuin liikennetietoihin silloin kun on kyse rajat ylittävästä tilaajatiedon luovuttamisesta. Oikeusvarmuuden varmistamiseksi uuden järjestelmän on myös oltava yhdenmukainen tietojen luovuttamista koskevan viimeisimmän oikeuskäytännön kanssa (Yhdistetyt asiat C-203/15 ja C-698/15, Tele 2 Sverige AB ja Watson ym. sekä siinä asetetut tiukat liikennetietopyyntöjen kriteerit vahvistaneet asiat C-623/17, Privacy International sekä yhdistetyt asiat C-511/18, C-512/18 ja C-520/18, La Quadrature du Net ym).
Tietoturvan korkea taso säilytettävä
Artiklaan 7a ehdotettu yhteinen eurooppalainen tiedonvaihtojärjestelmä varmistaa asetuksen mukaisen yhteydenpidon turvallisuuden ja luotettavuuden. Tiedonvaihtojärjestelmän teknisestä toteutuksesta riippuu, miten hyvin palveluntarjoajat pystyvät luottamaan kunkin kansallisen viranomaisen leiman ja allekirjoituksen aitouteen. Kansallisten järjestelmien kanssa yhteensopiva yhteinen tiedonvaihtojärjestelmä on käytännössä ainoa tapa, jolla erityisesti pienempien toimijoiden on mahdollista yrittää selviytyä sääntelyn niille asettamista uusista velvoitteista ja tiukoista määräajoista. Näin ollen riittävän turvallinen ja selkeä todentamisjärjestelmä on ehdottoman välttämätön. Sen lisäksi tulee säätää vaatimuksista tiedonsiirron turvallisuudelle ja eheydelle määräystä toteutettaessa, kuten joissain kansallisissa järjestelmissä on jo säädettykin. Määräyksen toimittaneen sekä täytäntöönpanoviranomaisen valtion keskusyhteyspisteet (yksittäiset yhteyspisteet) edistäisivät rajat ylittävien pyyntöjen sujuvuutta entisestään.
Jäsenvaltioiden välisten erojen lisäksi asetuksessa tulisi huomioida myös kolmannet maat. Monien verkkopalvelujen kansainvälisen ulottuvuuden vuoksi syntyy väistämättä tilanteita, joissa esittämismääräyksellä vaaditaan tietoja, jotka on suojattu kolmannen maan lainsäädännöllä. Asetuksessa tulisi varmistaa, että palveluntarjoajat voivat tällaisissa tilanteissa noudattaa kaikkia oikeudellisia velvoitteitaan eivätkä joudu valitsemaan EU:n tai kolmansien maiden lainsäädännön rikkomisen välillä. Komission ehdotuksen 15 artiklassa edellytetään määräyksen antaneen valtion tuomioistuinten arvioivan esittämismääräyksen mahdollisen ristiriidan asiassa sovellettavien kolmannen maan lakien kanssa, ottavan yhteyttä kolmannen maan viranomaisiin ja kumoavan määräyksen, jos kyseiset viranomaiset vastustavat esittämismääräyksen toimeenpanoa.
Neuvosto on omassa kannassaan poistanut 15 artiklan kokonaan ja velvoittaisi sen sijaan määräyksen antaneen valtion tuomioistuinten arvioimaan ristiriitaa kolmansien maiden lainsäädännön välillä, antaen niille samalla oikeuden pysyttää esittämismääräys myös siinä tapauksessa, että se pakottaisi palveluntarjoajan rikkomaan ulkomaista lainsäädäntöä. Parlamentin mietintö edellyttää määräyksen antavan viranomaisen pyytävän kolmannen maan toimivaltaiselta viranomaiselta lisätietoja sovellettavasta laista, mutta jättää lopullisen päätöksen esittämismääräyksestä täytäntöönpanoviranomaiselle (uusi 14 a artiklan 5 kohta).
EU-instituutioiden kannoista komission ehdotuksen 15 artikla tasapainottaa parhaiten lainvalvontaviranomaisten tarpeet kolmansien maiden yksityisyyden suojaa ja muita perusoikeuksia koskevien lakien noudattamisen kanssa, asettamatta palveluntarjoajia kestämättömiin, lain noudattamista koskeviin valintatilanteisiin. Sen varmistaminen, että EU-lainsäädäntö ei pakota palveluntarjoajia rikkomaan kolmansien maiden lakia, on erityisen tärkeää, kun otetaan huomioon Euroopan unionin ja Yhdysvaltojen välillä käynnissä olevat neuvottelut, jotka tähtäävät sopimukseen oikeudellisesta yhteistyöstä rikosasioissa ja rajat ylittävästä pääsystä sähköiseen todistusaineistoon. Neuvotteluissa ensisijaisena tavoitteena on varmistaa, että molempien lainkäyttöalueiden viranomaiset noudattavat toisen yksityisyyden suojaa koskevaa lainsäädäntöä.
Tilanteissa, jossa palveluntarjoaja tallentaa tai käsittelee tietoa toisen puolesta, esimerkiksi tarjotessaan yrityksille pilvipalveluita, viranomaisten tulee pyytää yritysten tiedot ensisijaisesti niiltä itseltään, ellei tämä vaarantaisi tutkimuksia. On elintärkeää, että jäsenvaltioissa toimivat yritykset voivat luottaa pilvipalveluun tallentamiensa tietojen turvallisuuteen ja että niitä informoidaan, mikäli lainvalvontaviranomaiset pyytävät pääsyä tallennettuihin tietoihin. Tältä osin komission ehdotuksen 5 artiklan 6 kohta korjaa ongelman parhaiten.
Vaikka parlamentin tekstin resitaalissa 13 a selvennetäänkin, ettei asetuksen soveltaminen saisi vaikuttaa palveluntarjoajien oikeuteen salaukseen, lopullisessa asetuksessa tulee asettaa lisäsuojaa viestinnän luottamuksellisuuden suojaamiseksi sekä selvennettävä, etteivät operaattorit ole millään tavalla vastuussa salauksen purkamisesta.
Palveluntarjoajille aiheutuu merkittävää hallinnollista taakkaa sekä kustannuksia
Ehdotetut velvoitteet ovat lähtökohtaisesti Suomen lainsäädännölle uusia, ja edellyttävät muutoksia nykyiseen järjestelmään. Ehdotus ei kuitenkaan vieläkään huomioi riittävällä tavalla eri kokoisten palveluntarjoajien mahdollisuuksia täyttää niille asetettuja velvollisuuksia. Eurooppalaisten luovuttamis- ja säilyttämismääräysten 16 tunnin määräaika kiireellisissä tapauksissa on monissa tapauksissa kohtuuton ja jopa mahdoton toteuttaa, joten sitä tulisi pidentää. Erityisen ongelmallista tämä on mikroyrityksille sekä pienille ja keskisuurille yrityksille, joilla ei välttämättä ole ympärivuorokautista päivystystä. Tämän vuoksi nopeutetun menettelyn mahdollinen väärinkäyttö on myös suurempi ongelma näille yrityksille.
Kun otetaan huomioon palveluntarjoajille ehdotettavista uudenlaisista tehtävistä aiheutuvat merkittävät kustannukset ja hallinnollinen taakka, tulee velvoitteita tai vähintäänkin niiden laiminlyönnistä annettavia seuraamuksia lieventää pienempien palveluntarjoajien osalta. Epäedullinen markkinatilanne, jossa vain suuremmat yritykset kestäisivät kiinteiden kustannusten nousun, aiheuttaisi ongelmia pienempien toimijoiden kilpailukyvylle.
Parlamentin mietinnön 13 artiklan 1 a kohdan mukaan palveluntarjoajia ei saa asettaa jäsenvaltioissa vastuuseen määräyksen noudattamisesta aiheutuneista seurauksista, sanotun kuitenkaan rajoittamatta tietosuojavelvoitteita. Uuden rajat ylittävän järjestelmän seurauksena operaattorit voivat kuitenkin joutua osallisiksi muissa kuin sijaintivaltiossaan järjestettäviin oikeudenkäynteihin. Niissä tilanteissa, joissa operaattorin osallistuminen eri jäsenvaltiossa käytävään prosessiin on välttämätöntä, tulee lainsäädännössä olla mahdollisuus etäosallistumiseen.
Parlamentin mietinnössä ehdotetaan, että palveluntarjoajille asetuksen mukaisesta toiminnasta aiheutuvien kustannusten korvaaminen harmonisoidaan siten, että asetuksen artiklan 12 mukaan palveluntarjoajalla olisi aina oikeus saada määräysten täytäntöönpanoon näkemyksensä mukaan liittyvät oikeutetut kustannukset määräyksen toimittaneen viranomaisen valtiolta. Tämä on erittäin kannatettava muutos, jota myös Suomen tulee ajaa omassa kannassaan.