Tämänkin blogin sivuilla ehdittiin jo uutisoida Euroopan unionin tuomioistuimen tiistaisesta Digital Rights Ireland -tuomiosta, jolla se kumosi vuonna 2006 säädetyn direktiivin teletunnistetietojen säilyttämisvelvollisuudesta. Direktiivi velvoitti eurooppalaiset teleoperaattorit säilyttämään puhelin- ja Internet-viestinnän tunnistamis- ja paikkatietoja 6-24 kuukauden ajaksi vakavan rikollisuuden torjuntaa, tutkintaa, selvittämistä ja syyteharkintaa varten. Direktiivin säätämisen taustalla olivat vuoden 2001 World Trade Centerin tapahtumat. Vakavalla rikollisuudella viitattiin siten erityisesti terrorismiin. Suomessa ja muualla Euroopassa, kuten Ruotsissa, EUT:n päätös on herättänyt erilaisia, aika lailla jännitteisiäkin reaktioita. Itä-Suomen yliopiston informaatio- ja tietotekniikan professori Tomi Voutilaisen mielestä muutoksella ei ole juuri merkitystä tavalliselle ihmiselle. Ruotsalainen internetpalveluntarjoaja taas on jo ilmoittanut tuhonneensa kaikki direktiivissä tarkoitetut ihmisten yksityistä viestintää koskevat tallennetut tiedot. Mistä siis oikeastaan on kysymys?
Muodollisesti ottaen direktiivi ei velvoita tallentamaan viestinnän sisältöä. Tosiasiassa tunnistetietoja analysoimalla ja yhdistelemällä niitä muihin tietoihin voidaan kuitenkin päätellä paljon viestinnän osapuolista. Viestintää ja sijaintia koskevista tiedoista voidaan esimerkiksi päätellä sosiaalisia verkostoja, asuin-, opiskelu- tai työpaikka ja harrastuksia. Analyysillä voidaan saada tietoja sairauksista, seksuaalisuudesta, uskonnosta tai poliittisesta ja yhteiskunnallisesta toiminnasta. Direktiivi puuttuu siten Euroopan unionin perusoikeuskirjan 7 artiklassa turvattuun yksityiselämän suojaan ja sitä koskee myös henkilötietojen suojaa koskeva 8 artikla.
Tietojen säilyttäminen kohdistuu yleisluontoisesti kaikkien henkilöiden kaikkeen viestintään ilman erityisiä perusteita. Direktiivi ei edellytä, että kohdehenkilöillä olisi jokin, edes epäsuora, yhteys rikokseen. Tietojen säilyttämisestä ei ole poikkeuksia, vaan se koskee esimerkiksi asianajajan, lääkärin tai papin kanssa käytyä viestintää. Tallennettavilta tiedoilta ei edellytetä esimerkiksi ajallista tai maantieteellistä yhteyttä vakavaan rikollisuuteen tai turvallisuutta uhkaavaan tilanteeseen.
Kun perusoikeuskirjan 52 artikla edellyttää perusoikeusrajoituksilta suhteellisuusperiaatteen noudattamista, perusoikeusvaa’an toisesta kupista voi edellyttää löytyvän hyvin painavia vasta-argumentteja oikeuttamaan näin vakavan ja laajamittaisen puuttumisen yksityiselämän suojaan. Toisessa kupissa on kuitenkin vain yleisluontoinen viittaus terrorismiin ja turvallisuuden takaamiseen.
Kun direktiiviä tarkastellaan, huomataan että tietyt perusoikeusrajoituksilta edellytettävät perusedellytykset eivät täyty. Vaikka direktiivin poliittinen perustelu oli, että tietoja tarvitaan vakavan rikollisuuden torjumiseksi, itse direktiivi ei aseta rajoja sille, mihin tietoja käytetään. Käytännössä tietoja on käytetty myös vähemmän vakavien rikosten selvittämiseen. Esimerkiksi Suomessa (ks. sähköisen viestinnän tietosuojalain 14 a-c §) tietojen käyttäminen on sidottu pakkokeinolain televalvontaa koskevaan säännökseen (10 luvun 6 §) ja vaikka perusterikosten luettelo pitääkin selvästi sisällään erilaisia törkeitä rikoksia, tietojen käyttäminen on kuitenkin sallittu myös silloin kun on syytä epäillä rikoksesta, joka on tehty teleosoitetta tai telepäätelaitetta käyttäen ja josta säädetty ankarin rangaistus on vähintään kaksi vuotta vankeutta. Seurauksena on, että tietoja saadaan käyttää esimerkiksi syytettäessä netissä tehdystä törkeästä kunnianloukkauksesta tai uutuuslevyn jakamisesta vertaisverkossa (tekijänoikeusrikos). On vaikea nähdä, miten näiden rikosten selvittämisintressillä voitaisiin perustella tarvetta säilyttää kaikkien ihmisten kaikki viestintätiedot.
Vastaava epätäsmällisyysongelma liittyy siihen, keillä on pääsy tietoihin. Direktiivi ei aseta muuta edellytystä kuin ”toimivaltainen kansallinen viranomainen”. Tuomioistuinkontrollia ei myöskään edellytetä. Direktiivi määrittelee tallennusajaksi 6-24 kuukautta, mutta ei esimerkiksi edellytä tallennusajan suhteuttamista siihen, kuinka pitkään tiedot ovat hyödyllisiä vakavien rikosten selvittämiseksi.
Juuri direktiivin tarkkarajaisuus- ja ennakoitavuusongelmien vuoksi tuomioistuin totesi direktiivin perusoikeuskirjan suhteellisuusperiaateen vastaiseksi. Se ei sinänsä tarkastellut kysymystä siitä, olisiko kaikkiin kansalaisiin kohdistuva valvonta ylipäänsä hyväksyttävissä ja voiko se toteuttaa suhteellisuusperiaatetta vaikka tarkkarajaisuus- ja ennakoitavuusongelmat ratkaistaisiinkin. Seuraavalla toimikaudellaan EU:n komissio antaneekin esityksen uudeksi säilytysvelvollisuusdirektiiviksi. Digital Rights Ireland -tuomiota voi kuitenkin pitää merkittävänä kannanottona siihen, mitä EU:n turvallisuuslainsäädännöltä tulee edellyttää.
Mitä tuomio tarkoittaa Suomelle?
Tuomiolla on suora vaikutus ainakin kahteen Suomessa vireillä olevaan lainsäädäntöhankkeeseen. Sähköiseen viestintään liittyvää lainsäädäntöä ollaan kokoamassa uudeksi tietoyhteiskuntakaareksi (HE 221/2013 vp), johon säilyttämisvelvollisuutta koskeva sääntelykin oltaisiin siirtämässä. Lakiehdotus on juuri eduskunnan valiokuntien käsiteltävänä. Nyt kun teletunnistetietojen säilyttämisvelvollisuutta koskeva direktiivi on kumottu, teletunnistetietojen säilyttämistä pitää tarkastella toisaalta EU:n henkilötietodirektiivin (95/46/EY) ja toisaalta sähköisen viestinnän tietosuojadirektiivin (2002/58/EY) kautta. Sähköisen viestinnän tietosuojadirektiivin 15 artikla sallii jäsenvaltioiden toteuttaa lainsäädäntöä, jolla poiketaan viestinnän yksityisyyttä koskevasta perusperiaatteesta ”jos tällaiset rajoitukset ovat välttämättömiä, asianmukaisia ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä kansallisen turvallisuuden (valtion turvallisuus) sekä puolustuksen, yleisen turvallisuuden tai rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi direktiivin 95/46/EY 13 artiklan 1 kohdan mukaisesti”. Nyt kun EU-tuomioistuin on katsonut säilyttämisvelvollisuusdirektiivin suhteellisuusperiaatteen vastaiseksi, ei vastaavaa kansallista lainsäädäntöäkään voine pitää sähköisen viestinnän tietosuojadirektiivin mukaisena. Eduskunnalla onkin mahdollisuus toimia ripeästi asian korjaamiseksi.
Toinen valmistelussa oleva lakihanke lisäisi turvallisuusviranomaisten toimivaltuuksia seurata verkkoliikennettä. Hanketta perusteellaan tarpeella parantaa viranomaisten kykyä vastata kyberympäristön uhkiin. Lehtitietojen perusteella sääntely tarkoittaisi vielä pidemmälle menevää rajoitusta yksityisyyteen kuin teletunnistetietojen säilyttäminen. Sähköisen viestinnän tietosuojadirektiivi, EU:n perusoikeuskirja ja EU-tuomioistuimen nyt luoma linjaus asettavat kuitenkin yhtä lailla rajat turvallisuusviranomaisten suorittamalle valvonnalle.
Lisäksi on tietysti selvää, että nykyisin voimassaolevaan lainsäädäntöön perustuvaa tietojen tallentamista tulee nyt arvioida aivan uudelta pohjalta.
Niklas Vainio
tohtorikoulutettava, Turun yliopisto
Kuva: Markus Sommers
Perustuslakiblogi 
[…] hyvinkin yksityiskohtaisia tietoja ihmisten yksityiselämästä, mikä vaikutti merkittävästi tässäkin blogissa kommentoituun EU:n tuomioistuimen Digital Rights Ireland –ratkaisuun. Eräässä USA:n korkeimman […]