Päätös kieltää Yangon henkilötietojen siirto Venäjälle on hyvin poikkeuksellinen
Tietosuojavaltuutettu ilmoitti tiistaina kieltävänsä Yango-taksipalvelua siirtämästä keräämiään henkilötietoja Suomesta Venäjälle. Lisäksi se määräsi Yangon lopettamaan kerättyjen henkilötietojen käsittelyn niiden siirtämiseksi Venäjälle.
Myös Norjan tietosuojaviranomainen Datatilsynet julkaisi samankaltaisen päätöksen tiistaina. Yangon taksipalvelu toimii sekä Suomessa että Norjassa.
Nyt tehty päätös on hyvin poikkeuksellinen, sanoo tietosuojavaltuutettu Anu Talus STT:lle.
– Tämä on hyvin ainutlaatuista, ainutkertainen päätös.
Taluksen mukaan vain Facebookille on annettu tietojensiirtojen lopettamista koskeva, vastaavansisältöinen päätös Euroopan tietosuojaneuvoston kautta.
Sen suhteen tilanne on kuitenkin jo muuttunut hyvin paljon, koska EU:n ja Yhdysvaltojen välillä on nyt uusi tiedonsiirtosopimus (Data Privacy Framework), jonka pitäisi taata riittävä tietosuoja ja henkilötietojen vapaa liikkuvuus.
Jo aiemmin on ollut tiedossa, että Yango-sovelluksen käyttäjien henkilötietoja siirretään Venäjälle. Lisäksi Venäjällä tulee 1. syyskuuta voimaan lainsäädäntö, joka sallii Venäjän turvallisuuspalvelun FSB:n rajoittamattoman ja ympärivuorokautisen pääsyn taksimatkustajien henkilötietoihin. Tämä vaarantaa vakavasti Yangoon rekisteröityneiden perusoikeudet ja -vapaudet Suomessa, tietosuojavaltuutetun päätöksessä sanotaan.
Päätöksessä korostetaan myös, että tämänkaltainen rajoittamaton pääsy henkilötietoihin rikkoo Suomen perustuslain 10. pykälää ja EU:n perusoikeuskirjan 8. artiklaa.
Tietosuojavaltuutetun väliaikainen määräys astuu voimaan syyskuun alussa ja on lähtökohtaisesti voimassa kolme kuukautta. Päätöksestä on kuitenkin tarkoitus tehdä pysyvä, Talus sanoo.
Yango-sovelluksen tietojensiirto Venäjälle on ollut jo pitkään viranomaisten tarkastelussa. Venäjän muuttuva lainsäädäntö antoi kuitenkin mahdollisuuden kiireelliseen menettelyyn ja loi kansalliselle viranomaiselle nopean toimivallan tässä tilanteessa, Talus sanoo. Väliaikainen päätös voidaan tehdä asianomaista kuulematta.
Talus kertoo saaneensa tiedon Venäjällä voimaan astuvasta lainsäädännöstä Helsingin Sanomien puhelinhaastattelussa viime viikon torstaina.
– Lähtökohtaisesti tilanteessa, jossa asiasta vastaa useampi eurooppalainen valvontaviranomainen, päätöksiä tehdään koordinoidusti viranomaisten välisessä yhteistyömenettelyssä. Mutta jos on kyse poikkeuksellisista olosuhteista, kansallinen valvontaviranomainen voi tehdä itsenäisesti tällaisen välipäätöksen.
Miten päätöksestä sitten tehdään pysyvä? Siihen on Taluksen mukaan useita vaihtoehtoja, ja niitä käsitellään eri maiden viranomaisten kesken ennen lopullista päätöstä. Asian parissa on tehty tiivistä työtä myös keskiviikkona, Talus sanoo.
Yksi vaihtoehto on, että Hollannin tietosuojaviranomainen tekee asiassa päätöksen. Yangon mukaan henkilötietojen käsittelystä vastaa Hollannissa sijaitseva Ridetech International B.V., joka on Yango-sovelluksen palveluntarjoaja EU-alueella.
Taluksen mukaan Yangon toimintaan liittyvien yritysten sisällä on kuitenkin tehty yritysjärjestelyjä, joista on saatu tietoja vasta tässä kuussa. Jos niiden pohjalta katsotaan, että Hollannin viranomainen ei ole enää johtava valvontaviranomainen, Suomen ja Norjan valvontaviranomaiset voivat mahdollisesti tehdä omat, itsenäiset päätökset asiassa.
Tietosuojavaltuutetun toimisto voi myös pyytää Euroopan tietosuojaneuvostoa antamaan Yangolle sitovan määräyksen tiedonsiirron lopettamisesta.
– Asia etenee yhteistyössä kohti pysyvän päätöksen tekemistä.
Tietosuojaviranomaisilla on useita keinoja valvoa määräyksien toteutumista, Talus sanoo.
– Meillä on ollut koko ajan tiedossa, että tietoja siirtyy Venäjälle, eikä ole lainkaan poikkeuksellista, että Euroopassa käytetyn applikaation tietoja siirtyy kolmanteen maahan, joka voi olla hyvin autoritaarinen.
Hyvänä esimerkkinä Talus mainitsee Tiktokin. Sen tiedonsiirto EU:sta Kiinaan on EU-komission puheenjohtajan Ursula von der Leyenin viime vuonna kertoman mukaan usean tutkinnan alla. Tiktokin toimintaa valvoo Irlannin tietosuojaviranomainen.
Euroopan tietosuojaneuvosto on myös vastikään käsitellyt kiistanratkaisumenettelyssään Tiktokia koskevan asian. Tiktok on Guardian-lehden mukaan saamassa EU-viranomaisen päätöksellä miljoonien eurojen sakot lasten yksityisyyden rikkomisesta.
Talus mainitsee myös, että Meta eli Facebookin, Instagramin ja Whatsappin emoyhtiö sai toukokuussa 1,2 miljardin euron sakot EU:n yksityisyyttä koskevien säädösten rikkomisesta.
– Sakot ovat vain yksi keino. Toinen esimerkki keinovalikoimasta ovat tarkastukset. Toimivaltuuksia on hyvin laajasti.
Mikäli Yangon nykyisiä tai viimeaikaisia käyttäjiä huolettaa Venäjän uusi lainsäädäntö, he voivat vaatia tietojensa poistoa rekistereistä EU:n yleisen tietosuoja-asetuksen (GDPR) nojalla. Varmuutta vaatimuksen noudattamisesta Venäjällä ei kuitenkaan ole.
– Meidän tietomme on, että Yango on käyttänyt tietosuoja-asetuksissa määrättyjä suojamekanismeja tietojen siirroissa. Tässä vaiheessa en kuitenkaan pysty arvioimaan tarkemmin, miten GDPR:ää on tosiasiallisesti noudatettu.
Lähtökohtaisesti Yangon käyttöä olisi ehkä alusta asti pitänyt välttää.
– Harkitsisin itse hyvin tarkkaan, käyttäisinkö sovellusta, Talus sanoo.
Talus sanoo myös yleisesti, että erilaisten sovellusten tiedonkeruu on hyvin laajaa aina, kun niitä käytetään. Yleinen tietoisuus tästä ei ole niin suurta kuin sen pitäisi olla.
– Laaja tiedonkeruu aiheuttaa meille jatkuvaa huolta.