Deep Dive: Miten Facebook yrittää sivuuttaa EU:n tuomioistuimen - kahdesta tuomiosta huolimatta.

Dec 19, 2021

Syväsukellus: Miten jättää huomiotta EUT:n päätökset kolmessa vaiheessa. Facebookin siirtovaikutusten arviointi selitetty.

Yksityisyydensuojaan perehtyneille, jotka haluavat tietää enemmän kuin sen, mitä olemme tiivistäneet 4. adventtilukemuksessamme, tarjoamme tällä sivulla syvällisemmän sukelluksen Facebookin siirtovaikutusten arvioinnin (TIA) neljään osatekijään.

Lähestymistapamme näihin ilmoituksiin. Välttääksemme kalliit SLAPP-kanteet jotkin elementit eivät ole saatavilla joillakin lainkäyttöalueilla, ja olemme päättäneet tehdä asiakirjoista yhteenvedon videolla sen sijaan, että julkaisisimme ne suoraan. Jos asiakirjan sisältö on olennaisempi, selitämme sitä yksityiskohtaisemmin ja lainaamme osia siitä. Jokaista asiakirjaa kohden on yksi video. Yksityiskohdat siitä, miksi voimme käyttää asiakirjaa laillisesti, voit lukea sivun alalaidasta.

Asiakirja 1: pääpiirteittäinen asiakirja

Pääasiallinen asiakirja viittaa periaatteessa kolmeen muuhun asiakirjaan, joita käsitellään jäljempänä. Siinä on 7 sivua, ja se on jokseenkin mielenkiintoinen, koska se näyttää olevan muiden asiakirjojen "yhteenveto" ja antaa yleiskatsauksen. TIA:n tärkein osa on selvästi "vastaavuusarviointi", jossa Facebook jättää täysin huomiotta EU:n tuomioistuimen tuomiot ja päätyy siihen tulokseen, että EU:n ja Yhdysvaltojen lainsäädäntö on "vastaavaa". Kaksi muuta asiakirjaa esitetään vain lisäresursseina. Factors Assessment -asiakirjassa kuvataan lähinnä sitä, että tietoja lähetetään Yhdysvaltoihin ja mitä tietoja ne ovat, sekä sitä, että Yhdysvaltain hallitus voi käyttää niitä FISA 702 -lain nojalla. "Record of Safeguards" sisältää myös väitetyt "täydentävät toimenpiteet", vaikka mikään toimenpide ei selvästi koske Yhdysvaltojen valvontalakia tai EU:n tuomioistuimen tuomiota. Loppujen lopuksi kyseessä on vain luettelo alan vakiokäytännöistä.

Yhteenvetona voidaan todeta, että väite, jonka mukaan EU:n ja Yhdysvaltojen lainsäädäntö on "vastaava", on Facebookin lähestymistavan selkäranka ja ainoa tukipilari.

Asiakirja 2: Yhdysvaltain lakien vastaavuuden arviointi

"Equivalence Assessement" ("EA") on 58-sivuinen asiakirja, jonka Facebookin lakiasiaintoimistot Mason Hayes & Curran LLP ja Perkins Coie LLP ovat nimenomaisesti hyväksyneet (EA:n kohta 1.4). Asiakirja on parhaiten tiivistetty Facebookin omilla sanoilla (Outline-asiakirjan sivu 7):

Facebook väittää, että EU:lla ei ollut kaikkia asiaankuuluvia seikkoja päätelmänsä tekemiseksi, vaikka Facebook toimitti menettelyssä noin 45 000 sivua. Facebook väittää lisäksi, että EUT hylkäsi vain Euroopan komission arvion Privacy Shield -hankkeessa, mutta ei käsitellyt yksityiskohtaisesti Facebookin arviota. Facebookin mielestä EUT ei siis olisi koskaan tehnyt päätöstä Facebookin SCC:n mukaisista siirroista. Tämä on itse asiassa virheellistä, sillä EUT on tuomion 168 kohdassa hahmotellut, että se tukeutui Irlannin korkeimman oikeuden huolenaiheisiin ja komission Privacy Shield -suojaan. Facebook ja Yhdysvaltojen hallitus toimittivat näistä asioista merkittäviä huomautuksia EUT:lle. Tuomioistuin katsoi kuitenkin selvästi, että Yhdysvaltojen lainsäädäntö ei ole pelkästään "vastaavaa" vaan rikkoo perusoikeuskirjan 7, 8 ja 47 artiklaa.

Facebook vähättelee EU:n lainsäädäntöä edelleen sekoittamalla pääasiassa Strasbourgissa sijaitsevan Euroopan ihmisoikeustuomioistuimen (joka on osa Euroopan neuvostoa, johon kuuluu 47 jäsenvaltiota, Turkki ja Venäjä mukaan luettuina) tuomiot, jotka perustuvat Euroopan ihmisoikeussopimuksen 6 ja 8 artiklan alhaisiin vaatimuksiin, Euroopan unionin tuomioistuimen (EUT) tuomioihin ja sen paljon korkeampiin vaatimuksiin, jotka perustuvat Euroopan unionin perusoikeuskirjaan (CFR).

Toisin kuin EU:n lainsäädäntöä koskevassa lähestymistavassa, Facebook "suurentaa" Yhdysvaltojen lainsäädännön mukaisia suojatoimia, jotka se on jo esittänyt lukemattomia kertoja Irlannin korkeimmassa oikeudessa ja yhteisöjen tuomioistuimessa Schrems II -oikeudenkäynnissä. Ne kaikki hylättiin. Facebook vetoaa kuitenkin jälleen kerran näihin seikkoihin päätellessään, että Yhdysvaltain lainsäädäntö tarjoaisi suojaa muille kuin Yhdysvaltain henkilöille.

Tämä yhdistelmä, jossa EU:n tuomioistuimen tuomio hylätään kokonaan, EU:n lainsäädäntö jätetään huomiotta ja Yhdysvaltojen lakia suurennetaan, oikeuttaa jotenkin laittomat EU:n ja Yhdysvaltojen väliset tiedonsiirrot.

Asiakirja 3: Tekijöiden arviointi

Seitsemänsivuisessa"tekijäarvioinnissa" Facebook ei oikeastaan väitä, että tietyt tekijät jotenkin rajoittavat EU:n ja Yhdysvaltojen välisten tiedonsiirtojen vaikutusta.

Sen sijaan johdannossa selitetään, että "Equivalence Assessment" -arvioinnissa Facebook tulee siihen tulokseen, että EU:n ja Yhdysvaltojen lainsäädäntö on vastaavaa (toisin kuin EU:n tuomioistuimen tuomiot). Siksi Facebook sanoo, että tekijöiden arviointi on pikemminkin "tapauskohtainen" kuvaus EU:n ja Yhdysvaltojen välisistä tiedonsiirroista kuin valvontaa rajoittavia tekijöitä.

Rajoitettuja tekijöitä, jotka Facebookin mielestä viittaisivat EU:n perusoikeuksien vähäisempään loukkaamiseen, ovat esimerkiksi Yhdysvaltain viranomaisten pyyntöjen määrä Facebookin oman avoimuusraportin mukaan. Muut "tekijät" kuvaavat vain tosiasioita, kuten sitä, että vastaanottaja on Facebook Inc. tai että Facebook Inc. saa FISA-pyyntöjä Yhdysvaltain hallitukselta (Factor Assessment -asiakirjan sivu 7):

On epäselvää, miten nämä "tekijät" voivat auttaa tekemään siirrosta laillisen. Itse asiassa Facebook ei näytä luottavan näihin "tekijöihin" perustellakseen, että siirto olisi laillinen, vaan suunnitteli asiakirjan pelkäksi tosiseikkojen kuvaukseksi. Pääargumentti on edelleen se, että EU:n tuomioistuin on väärässä ja että EU:n ja Yhdysvaltojen lainsäädäntö vastaavat toisiaan.

Asiakirja 4: Suojatoimia ja lisätoimenpiteitä koskeva asiakirja

Lopuksi Facebook laati 14-sivuisen asiakirjan nimeltä"Record of Safeguards", joka on lähinnä pitkä taulukko "toimenpiteistä", mukaan lukien "organisatoriset toimenpiteet" ja "tekniset toimenpiteet". Ne ovat itse asiassa kaikki peruskäytäntöjä, joita edellytetään esimerkiksi yleisen tietosuoja-asetuksen 32 artiklassa, kuten "mobiililaitteiden hallinta" tai sisäiset käytännöt siitä, miten hallituksen pyyntöihin reagoidaan.

Mielenkiintoista on, että Facebook työllistää vain 130 henkilöä vastaamaan kaikkiin hallitusten pyyntöihin maailmanlaajuisesti. Tämä tarkoittaisi sitä, että laillista pyyntöä tarkastetaan keskimäärin noin 10-15 minuuttia. Toimenpiteenä, jolla suojaudutaan väärennetyiltä viranomaispyynnöiltä, Facebook korostaa lähinnä sitä, että se tarkistaa, onko sähköpostiosoite peräisin hallituksen verkkotunnuksesta. On epäselvää, tarkistetaanko Facebookissa, onko tietyllä valtiollisella taholla oikeus vaatia tilinomistajien henkilötietoja.Millään luetelluista toimenpiteistä ei näytä olevan suoraa yhteyttä Yhdysvaltojen valvontalakiin.

Ainoa elementti, jossa mainitaan FISA 702 ja EO 12.333, korostaa, että Facebook käyttääkauttakulussa alan standardien mukaisia salausalgoritmeja ja -protokollia. Nämä standardit ovat TLS-salaus (kuten tavallisesti kaikilla verkkosivustoilla) ja AES-salaus (kuten kaikissa älypuhelimissa). Facebook myöntää, että kaikkia tietoja ei salata, sillä se mainitsee, että vain lähes kaikki Facebookin liikenne on TLS-salattua. Itse asiassa ei ole mitään toimenpidettä, joka suojaisi millään tavalla FISA 702 PRISM / DOWNSTREAM -määräyksen mukaiselta määräykseltä (eli valvonta suoraan Facebookissa), vaan ne on liitetty vain "UPSTREAM" (eli valvonta Internetin runkoverkon kautta). Koska Facebookilla on hallussaan kaikki salausavaimet ja sillä on pääsy kaikkiin tietoihin avoimesti, TLS ja AES eivät ole millään tavoin asianmukainen suoja:

Facebook päättää asiakirjan "ennakoivilla" toimenpiteillä, kuten lobbaamalla ja osallistumalla Yhdysvaltain lainsäädännön kehittämiseen sekä antamalla käyttäjille lisää tietoa usein kysytyistä kysymyksistä.

Kysyimme epic.orgin Alan Butlerilta "Record of Safeguards" -asiakirjasta:

Julkaisun oikeusperusta. Kuten ensimmäisessä adventtilukemassamme todettiin, neljä noybin adventtilukemista ovat vastalause DPC:n laittomalle noybin poistamiselle vireillä olevassa menettelyssä. Kaikki asiakirjat toimitettiin Schremsin valitusmenettelyn kautta, joka on ollut vireillä Irlannin DPC:ssä 8,5 vuotta.

Schremsin asianajajien hahmotteleman ja DPC:n hyväksymän järjestelmän mukaan Schrems saa vapaasti käyttää menettelyn asiakirjoja tapauksissa, joissa Facebookilla on lakisääteinen velvollisuus toimittaa nämä asiakirjat, mikä on selvästi tilanne tässä tapauksessa:

Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa edellytetään, että Facebook on avoin. Yleisen tietosuoja-asetuksen 13 artiklan 1 kohdan f alakohdassa edellytetään, että Facebook ilmoittaa käyttäjille, miten he voivat saada jäljennöksen toimenpiteistä, joilla perustellaan kansainvälinen siirto, ja yleisen tietosuoja-asetuksen 15 artiklan 2 kohdassa säädetään nimenomaisesti oikeudesta saada jäljennös niistä. Käyttäjät eivät itse asiassa voi kyseenalaistaa tietojen siirtoa, jos heille ei kerrota olemassa olevista suojatoimista. SCC-sopimuksissa on samankaltaisia määräyksiä, koska niissä annetaan käyttäjille oikeus panna SCC-sopimukset täytäntöön (SCC-sopimusten 3, 8.9 ja 14 lauseke). Vaikuttaa siltä, että kaikille yrityksille, jotka käyttävät Facebookia henkilötietojen käsittelijänä tai yhteisenä rekisterinpitäjänä, olisi myös toimitettava TIA.

Facebookin ja Irlannin tietosuojaviranomaisen kanta on kuitenkin se, että tietosuoja-asetuksen ja SCC-sopimusten mukaan käyttäjät eivät voi saada kopiota Facebookin TIA:sta, vaan ne ovat vain asianomaisen valvontaviranomaisen (eli tässä tapauksessa vain tietosuojaviranomaisen) saatavilla.

Asiakirjat eivät edes sisällä kaupallisesti tai teknisesti arkaluonteisia tietoja, eivätkä ne ole minkään asiaa koskevan lain nojalla suojattuja.