EU-tuomioistuimen tiistaina (6.10) tekemää Schrems-ratkaisua voidaan pitää yhtenä aikamme merkittävimmistä oikeudellisista päätöksistä. Se edustaa yhtäältä jatkoa reilu vuosi sitten annetulle Digital Rights Ireland-tuomiolle vahvistamalla siinä omaksuttuja tulkintoja yksityiselämän, henkilötietojen ja luottamuksellisen viestinnän suojan sisällöstä. Toisaalta se sisältää myös uusia linjauksia ja perusoikeuskirjan sovelluksia. Koska tuomioistuimen ratkaisu on Digital Rights Ireland-tuomion tapaan annettu nytkin suuren jaoston toimesta, tuomio on tarkoitettu hyvin merkittäväksi linjaukseksi verkkovalvonnan oikeudellisista rajoista perusoikeuksien kannalta EU-oikeuden nykytilassa.
Kun Digital Rights Ireland-tuomiossa EU-tuomioistuin katsoi ns. teletunnistetietojen tallentamisvelvollisuutta koskeneen direktiivin pätemättömäksi perusoikeuksien vastaisena, nyt EU-tuomioistuin julisti samojen perusoikeuksien perusteella pätemättömäksi komission päätöksen vuodelta 2000 siitä, että Yhdysvaltojen oikeusjärjestys ja ns. safe harbour –periaatteet takasivat ”riittävän” tietosuojan tason EU:n henkilötietolainsäädännön edellyttämällä tavalla.
Schremsin kantelun taustalla oli Snowdenin paljastusten myötä selväksi tullut tieto siitä, että USA:n lainsäädännön perusteella NSA:lla ja muilla Yhdysvaltojen turvallisuuspalvelun yksiköillä oli yleisesti pääsy tietoihin, joita on tallennettu Facebook USA:n haltuun. Pääsy siirrettyihin tietoihin koski yleisesti sähköistä viestintää ilman että olisi edellytetty, että tiedustelutoimintaa kohdistettaisiin vain kansallista turvallisuutta uhkaaviin tahoihin ja heidän harjoittamaansa viestintään. EU-tuomioistuin piti tällaista laajamittaista ja kohdentamatonta tarkkailua suhteettomana ja perusteettomana puuttumisena EU:n perusoikeuskirjan 7 ja 8 artiklassa taattuihin oikeuksiin.
Schrems-ratkaisua on jo ehditty laajalti kommentoida eri tiedotusvälineissä. Se on myös perustellusti liitetty Suomessa käynnissä olevaan, peräti kolmen ministeriön voimin valmisteltavaan tiedustelulainsäädännön kehittämishankkeeseen. Ainakin hallituksen edustajien piirissä näyttäisi ennakkokäsityksenä olevan se, että ratkaisu on kyllä otettava huomioon, mutta merkittäviä vaikutuksia sillä ei olisi. Viestintäministeri Anne Bernerin mukaan ”Turvallisuusviranomaiset tarvitsevat tarkasti määriteltyä kohdennettua verkkotiedustelua” ja olisi ennenaikaista tehdä ”se johtopäätös, että kaikki verkkotiedustelu olisi mahdotonta”. Oikeusministeriön lainsäädäntöjohtaja Sami Manninen puolestaan kiitteli EU-tuomioistuimen ratkaisua oikean suuntaiseksi: ”Euroopassa ajatellaan niin, että viranomaiset eivät voi vain yleisesti kerätä ja seurata ihmisten viestintää. Sellaista ei ole suunnitteilla Suomeenkaan, ja tämä päätös vain vahvistaa käsitystä siitä, ettei niin voi tehdä.” Hänen mukaansa tarkoitus on järjestää asia niin, että ”verkkotiedustelu on mahdollista vain tietyn tunnusmerkistön mukaisesti.” Mannisen mukaan Suomeen ei ole missään vaiheessa suunniteltu massavalvontaa.
Se, onko suunniteltu tai suunnitellaanko Suomeen massavalvontaa, riippuu tietenkin olennaisesti siitä, mitä käsitteellä tarkoitetaan ja mitä hallitus on lopulta esittämässä. Sitä paitsi verkkotiedustelulain kohtalo ei edes ratkea sillä, mitä viranomaiset pitävät massavalvontana ja mitä taas jonain muuna tiedustelutoiminnan muotona. Ratkaisevaa on viime kädessä se, merkitsevätkö myöhemmin ehdotettavat tiedonhankintavaltuudet niin pitkälle menevää ja syvällekäyvää puuttumista perusoikeuksiin, ettei niitä voida yhteensovittaa mm. EU-tuomioistuimen ratkaisukäytännön kanssa. Keskeinen tulkintastandardi löytyy Schrems-tuomion kohdasta 94, jonka englanninkielisessä versiossa (ratkaisua ei ole vielä saatavilla suomeksi) todetaan seuraavasti:
”In particular, legislation permitting the public authorities to have access on a generalised basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life, as guaranteed by Article 7 of the Charter”. (korostus tässä).
Miksi juuri tämä tuomion kohta on niin keskeinen? Ainakin kahdesta syystä.
Ensinnäkin EU-tuomioistuin katsoi komission safe harbour –periaatteita koskevan päätöksen perusoikeuskirjan vastaiseksi juuri sen vuoksi, että se mahdollisti yleisen ja erottelemattoman pääsyn viestien sisältöön. Tässä johtopäätöksessään tuomioistuin yksinkertaisesti sovelsi Digital Rights Ireland-tuomiossa täsmennettyä tulkintaperiaatetta (ks. DRI-tuomion kohdat 38-40). Kysymys oli nyt perusoikeuskirjan keskeiseen sisältöön ulottuvasta rajoituksesta, mikä on jo sellaisenaan vastoin EU:n perusoikeuskirjan 52 (1.1) artiklaa. Siihen ei siis voi soveltaa suhteellisuusperiaatetta eikä rajoituksen sallittavuus niin ollen riipu sen intressin painavuudesta tai muusta merkityksestä, jolla rajoitusta on perusteltu. Tällaiset rajoitukset on aina kielletty.
Toiseksi EU-tuomioistuimen kantaa on luettava ilmauksena siitä, että jo pelkästään pääsy luottamuksellisia viestejä sisältävään viestiliikenteeseen merkitsisi puuttumista perusoikeuskirjassa turvattuihin oikeuksiin. Ja edelleen: juuri tämä pääsy voi loukata perusoikeuskirjassa turvattujen oikeuksien keskeistä sisältöä, jos se tapahtuu ”on generalised basis” ja jos sen perusteella viranomaisella on pääsy myös viestien sisältöihin.
Tätä ongelmaa ei poista edes se, että viestiliikennettä käsitellään ensivaiheessa automaattisesti. Automatisoitukin henkilötietojen käsittely on EU:n perusoikeuskirjan 8 (2) artiklassa ja unionin tietosuojalainsäädännössä tarkoitettua henkilötietojen käsittelyä. Tämän lisäksi Schmers-tuomiossa vahvistettiin se jo Digital Rights Ireland-ratkaisussa todettu periaate, että tarve henkilötietojen suojaan liittyville takeille pikemminkin kasvaa kuin laskee silloin, kun henkilötietoja käsitellään automatisoidusti (ks. tuomion k. 91.)
Miten tämä kaikki vaikuttaa kotimaiseen tiedustelulainsäädännön uudistamistyöhön? Tarkoituksena ei varmastikaan ole toimia Suomen perustuslain tai kansainvälisten velvoitteiden taikka EU-oikeuden vastaisesti eikä mitään sellaista ole saatujen kommenttien perusteella edes suunniteltu. Kysymys onkin siitä, miten hallitus nyt aikoo toteuttaa ”tietyn tunnusmerkistön” mukaisesti toteutettavan verkkotiedustelun, joka kielletyn ”massavalvonnan” sijasta olisi sellaista ilmeisesti sallituksi oletettua ”kohdennettua verkkotiedustelua”, joka ei kuitenkaan perusta tiedusteluviranomaisislle yleiseen pääsyyn palautuvaa mahdollisuutta selvittää luottamuksellisten viestien sisältöjä.
Epäilemättä näihin kysymyksiin saadaan aikanaan vakuuttava ja alun alkaenkin varmaan itsestään selvänä pidetty perusteltu vastaus viimeistään siinä vaiheessa, kun hallituksen esitys valmistuu. Silloin selviää, mitä oikeastaan ovat sellaiset tiedonhankintavaltuudet, joita voimassa oleva lainsäädäntö ei kata, jotka eivät oikeuta erittelemättömään ja yleiseen viestien verkkotiedusteluun edes ensivaiheen seulonnassa, mutta jotka kuitenkin menevät niin pitkälle, ettei tulkintakäytännössä varsin joustavaksi osoittautunut PL 10.3 §:n säännös siihen kuitenkaan enää jostain syystä taivu.
EU-tuomioistuimen eilisestä ratkaisusta voidaan joka tapauksessa jo nyt nostaa esille koko joukko sellaisia oikeudellisia näkökohtia, jotka hallituksen esityksen valmistelussa on pakko ottaa huomioon ja joiden yli ei voida kävellä edes perustuslain muutoksella. Selvää nimittäin on, ettei perustuslain muuttaminen pelasta tiedustelulainsäädäntöhanketta, jos se törmää EU:n perusoikeuskirjaan, sellaisena kuin EU-tuomioistuin on sitä tulkinnut tapauksissa Digital Rights Ireland ja Schrems.
Juha Lavapuro ja Tuomas Ojanen
Perustuslakiblogi 
Ojasen ja Lavapuron siteraaman Schrems-tuomion 93 artiklan lause jatkuu seuraavalla tekstillä:
in the light of the objective pursued and without an objective criterion being laid down by which to determine the limits of the access of the public authorities to the data, and of its subsequent use, for purposes which are specific, strictly restricted and capable of justifying the interference which both access to that data and its use entail
Eli lainsäädännössä pitäisi määritellä rajat viranomaisten tietoon pääsylle ja käytölle tarkoitusperiin, jotka ovat erityisesti määriteltyjä ja tarkkarajaisia ja oikeuttavat puuttumisen sekä dataan että sen höydyntämisen.
Ojasen ja Lavapuron Schrems-tuomion johtopäätöksillä poliisin rikosepäilyyn perustuva telekuuntelu ja televalvonta sekä tietoyhteiskuntakaaren 272 §:n tietoturvaloukkausten torjunta tulisivat massavalvontaa tarkoittavaksi kielletyksi puuttumiseksi viestintään. Jos yleinen pääsy kiellettäisiin kokonaan, kohdennettuja viestejä ei olisi mahdollista poimia. Digital Rights Ireland tuomiossa on todettu, että kansianvälisen terrorismin ja vakavan rikollisuuden torjunta ovat unioinin yleisen edun mukaisia tavoitteita. Tallennusta koskevan direktiivin julistaminen pätemättömäksi perustui siihen, ettei direktiivissä itsessään asetettu rajoituksia tietojen käytölle ja höydyntämiselle. Suomessa tunnistetietojen käyttö oli kuitenkin mahdollista vain pakkokeinolain perusteella rikostutkintaan.
Schrems-tuomion perusteella ei voi päätellä, että esim. Ruotsin, Saksan tai muiden euroopalaisten maiden tiedustelulainsäädäntö olisi EU:n perusoikeusasiakirjan 7 ja 8 artikloiden vastaista. Ojanen ja Lavapuro pyrkivät äärimmäisillä tulkinnoillaan torjumaan tiedustelulainsäädännön valmistelun yleensä.
Valitettavasti Riitta Ollillan kommentti perustuu sellaisiin väärinkäsityksiin, epäjohdonmukaisuuksiin ja virheellisiin yleistyksiin, että siihen on käytännössä mahdotonta vastata millään mielekkäällä tavalla. Epäselväksi jäävät mm.:
– Millä perusteella mistään esittämästämme seuraisi, että ”poliisin rikosepäilyyn perustuva telekuuntelu [ym.]… tulisivat massavalvontaa tarkoittavaksi kielletyksi puuttumiseksi viestintään? (mielestämme on päivänselvää, ettei Schrems vaikuta mitenkään nykyisin voimassaolevien rikosepäilyyn perustuvien salaisten pakkokeinojen laillisuuteen)
– Millä perusteella rikosepäilyyn perustuva valvonta olisi ylipäätään tulkittavissa massavalvonnaksi? Sehän nimenomaan ei lähtökohtaisesti ole sitä.
– Miten siitä, että ”yleinen pääsy kiellettäisiin kokonaan” seuraa se, että ”kohdennettuja viestejä ei olisi mahdollista poimia”?
– Mitä sitten, että ”[kansainvälisen] terrorismin ja vakavan rikollisuuden torjunta ovat unioinin yleisen edun mukaisia tavoitteita.”? Ei kai kukaan ole tätä kiistänyt?
– Mitä kommentissa oikeastaan haluataan sanoa suhteellisuusvaatimuksesta seuraavia vaatimuksia koskevalla osittaisella lainauksella (Schrems-tuomion kohta 93)?
On sinällään ymmärrettävää, että totaalisten väärinkäsitysten perspektiivistä aivan normaali oikeudellinen kommentointi saattaa vaikuttaa ääritulkinnalta. Sen vuoksi on selvyyden vuoksi korostettava, ettei kirjoituksessa miltään osin pyritty ”torjumaan tiedustelulainsäädännön valmistelun yleensä”. Päinvastoin, siinä nimenomaan peräänkuulutettiin vastausta yksinkertaiseen kysymykseen: Mitä olisivat sellaiset tiedonhankintavaltuudet, joita voimassa oleva lainsäädäntö ei kata, jotka eivät oikeuta erittelemättömään ja yleiseen viestien verkkotiedusteluun edes ensivaiheen seulonnassa, mutta jotka kuitenkin jostain syystä menisivät niin pitkälle, ettei PL 10.3 §:n säännös sitä enää kattaisi vaan tarvittaisiin perustuslain muutos?
Tämän kysymyksen ymmärtämisen ei pitäisi olla mitään rakettitiedettä. Selvää myös on, että tiedustelulainsäädännön valmistelussa on otettava kysymykseen jokin kanta.
On tietysti mahdollista, että kommentoija osaa jo nyt antaa kysymykseen täsmällisen ja yksiselitteisen vastauksen. Ole hyvä vaan ja mielellämme julkaisemme vastauksen heti, kun sen saamme. Me emme siihen nyt ainakaan heti kylmiltään välittömästi Schrems -tuomion jälkeen pystyneet. Eikä se oikeastaan ole ensijaisesti meidän tehtävämmekään. Sitä vastoin vastaus- ja perusteluvelvollisuus on nyt sillä taholla, joka tällaisia toimivaltuuksia haluaa viranomaisille antaa – ja vieläpä tarvittaessa perustuslakia muuttamalla.
-JL ja TO
Ojanen ja Lavapuro esittävät blogissaan ja muutenkin tiedotusvälineissä, että Schrems-tuomion mukaan jo pääsy luottamuksellista viestintää sisältävään liikenteeseen merkitsisi puuttumista perusoikeuksiin eikä automaattinen käsittely poistaisi tätä ongelmaa. Ojasen ja Lavapuron mukaan tämä estäisi tiedustelulainsäädännön säätämisen.
Tietoyhteiskuntakaaren 272 §:n tietoturvan toteuttamista koskevat toimenpiteet voivat käsittää
1) viestin sisältöä koskevan automaattisen selvittämisen;
2) viestien välittämisen ja vastaanottamisen automaattisen estämisen tai rajoittamisen;
3) tietoturvaa vaarantavien haitallisten tietokoneohjelmien automaattisen poistamisen viesteistä;
4) muut 1–3 kohdassa tarkoitettuihin rinnastettavat teknisluonteiset toimenpiteet.
Tämän toteuttamiseksi koko viestiliikenne pitää automaattisesti lukea. Tietoyhteiskuntakaaren 40 luvussa on viranomaisten tiedonsaantioikeutta ja 323 §:ssä poliisin pakkokeinojen toteuttamista koskevia säännöksiä. Nämä voivat edellyttää tietoliikenteen automaattista käsittelyä. Näyttää että Ojaselle ja Lavapurolle ei ole oikein selvää, miten viestin sisällön automaattinen käsittely ja kohdennettu haku toimivat. Kohdennettu haku voi edellyttää automaattista käsittelyä.
Mark Klambergin artikkeli Svensk Juristidning 2009 selvittää tätä automaattisen käsittelyn ja yksittäisten viestien haun välistä eroa.
FRA:s signalspaning ur ett rättsligt perspektiv | SvJT
RO
Riitalla on joko sekä ensimmäinen että kolmas kotimainen vähän hakusessa tai oma lehmä ojassa. Taikasana on nimittäin generalized ja lain sallima jo tuossa sopivasti tulikin listattua.
Ensinnäkin noissa kohdissa kyse on tietoturvasta, mikä rajaa tiedon käyttötarkoitusta sekä myöskin sen ”lukijat” organisaation jäseniksi. Toisekseen kyse on vain noista kolmesta automatisoidusta tai niiden kaltaisesta toimenpiteestä. Toimenpiteet saattavat johtaa esitutkintaan, joka taas ei ole massavalvontaa vaan kohdennettua tutkintaa. Kolmanneksi manuaaliset toimenpiteet tulee aina ilmoittaa lähettäjälle tai saajalle.
Lakitekstin lainauksestasi unohtui samasta pykälästä: ”Toimenpiteitä toteutettaessa ei saa rajoittaa sananvapautta taikka luottamuksellisen viestin tai yksityisyyden suojaa enempää kuin on välttämätöntä 1 momentissa tarkoitettujen tavoitteiden turvaamiseksi. Toimenpiteet on lopetettava, jos niiden toteuttamiselle ei enää ole tässä pykälässä säädettyjä edellytyksiä.”. Lisäksi kaaressa on muita yksityisyyden suojaan littyviä pykäliä.
Eli ohi meni ja pahasti. Suosittelen kertausta kielitaitoon, sisälukutaitoon ja luetun ymmärtämiseen.
Minusta on kummallista, että Suomessa ei ole kansallista ajantasaista lainsäädäntöä, joka sääntelisi verkkotiedustelua. Kun sellaista valmistellaan, paine ei tule Suomesta, vaan EU:sta.
Julkisuudessa ja oikeusoppineitten keskustelussa esillä ovat poliisi ja Suojelupoliisi.
Kuitenkin Suomessa on ollut yli 60 vuotta Viestikoelaitos, joka 2014 muutettiin SotilastiedustelulaitokseksI (vrt. Ruotsin FRA). Se ei koskaan ole julkaissut vuosikertomuksia eikä tiedota toiminnastaan. Julkisesti saatavien vähäisten tietojen mukaan sillä on yli 150 työntekijää ja 15 mE budjetti. On vaikea kuvitella, että noin suuri organisaatio tekisi mitään muuta kuin harjoittaisi laajamittaista massavalvontaa.
Tietoyhteiskuntakaaressa mainitaan useassa kohdassa selvästi, että ”puolustusvoimat ja rajavartiolaitos eivät ole velvollisia antamaan tietoja yksinomaan sotilaallisessa maanpuolustustarkoituksessa hallussa pidettävän tai käytettävän radiolaitteen rakenteesta, käytöstä ja sijainnista… ” (esim. §315 ym.).
Minusta oikeusoppineiden kiistely EU-tuomioistuimen Schrems-tuomiosta on hiusten halkomista, kun koko ajan yksi suuri yksikkö on Suomessa kaiken demokraattisen valvonnan ulkopuolella.
Ensinnäkin… 15 millieuroa aika vähän.
Toisekseen, emme tosiaan tiedä, mitä Sotilastiedustelulaitos (ja SuPo jne.) tekevät, mutta vaikka oletettaisiin budjetiksi 15 miljoonaa euroa, sillä rahalla ei kummoistakaan massavalvontaa saane aikaiseksi tai ainakaan saa kaikkia tietoja säilytettyä ikuisuuteen asti. Pikemminkin tuolla rahalla voi tehdä jonkinlaista kohdennettua valvontaa, joka onkin jo eri asia.