Ensimmäinen GDPR-ennakkotapaus Saksasta
Meidän suomalaisten viettäessä EU:n yleisen tietosuoja-asetuksen (GDPR) voimaantulon jälkeistä kesälomaa Saksasta on saatu kesän 2018 aikana ensimmäinen merkittävä GDPR-ennakkotapaus. Suomalaista käräjäoikeutta vastaava Bonnin ensimmäisen asteen tuomioistuin antoi kesällä päätöksen koskien GDPR-asetuksen vaikutuksista sopimukseen, johon sisältyi asetuksen kanssa ristiriitainen velvollisuus kerätä henkilötietoja.
Asiassa on kyse Internet Corporation for Assigned Names and Numbers -järjestön (ICANN) sekä saksalaisen EPAG Domainservices GmbH:n välisestä sopimuksesta. ICANN on yhdysvaltalainen voittoa tuottamaton järjestö, joka kehittää internetin käyttäjien hallintapolitiikkaa sekä valvoo rekisteröityjen domain-nimien tietokantaa. EPAG puolestaan on ICANNin paikallinen yhteistyökumppani, joka keräsi osapuolten välisen sopimuksen perusteella ICANNille sen tarvitsemia tietoja.
Taustalla merkittävää kiistelyä
Jo GDPR-asetuksen valmisteluvaiheessa ICANN on yhdessä Yhdysvaltain hallituksen kanssa vaatinut Euroopan Tietosuojaneuvostolta GDPR-asetuksen valmistelun keskeyttämistä ja sitä koskevia muutoksia, koska se on katsonut asetuksen vaikeuttavan ICANNin toiminnan tarkoituksia – käytännössä ns. WHOIS-palvelun ylläpitoa. WHOIS-palvelu taas on julkinen ja läpinäkyvänä domainien hallinnan tarkistamisen työkalu, jota on voitu käyttää IP-oikeuksien loukkauksia selvitettäessä ja jonka on sinänsä katsottu lisäävän läpinäkyvyyttä lainvalvonnan ja luotettavan tiedonsaannin kannalta. Toisaalta, vaikka ICANNin tarkoitus on toimia voittoa tuottamattomana yhteisönä internetin käytön turvaamisen, läpinäkyvyyden ja luotettavuuden edistämiseksi, on kyse kuitenkin yhdysvaltalaisesta järjestöstä, joka pyrkii keräämään itselleen mahdollisimman paljon tietoa Yhdysvaltojen ulkopuolelta.
EU:n Tietosuojaneuvoston hylättyä vaatimuksen ICANN on sittemmin ilmoittanut, ettei se voi jatkossa sallia WHOIS-datan julkista saatavuutta, koska sillä ei ole kaikkien tietojen julkaisemiseen liittyviä henkilötietojen haltijan suostumusta. ICANNin mukaan WHOIS-palvelun ylläpito on ristiriidassa GDPR-asetuksen kanssa.
Asetus vai sopimuksen velvoitteet?
Oikeusistuimen päätöksen sekä asiasta julkaistujen uutisten mukaan ICANNin käyttämä ”Registrar Accreditation Agreement” -niminen sopimus edellytti EPAGia keräämään domainosoitteen rekisteröineen tahon hallintohenkilöstön sekä teknisen henkilöstön yhteystietoja. ICANN halusi siis mm. WHOIS-protokollan tarkistusmenetelmän ylläpidon varmistamiseksi kerätä henkilötietoja ihmisistä, jotka ovat yksittäisen rekisteröinnin tehneen tahon palveluksessa. EPAG puolestaan katsoi, että näiden tietojen kerääminen – ilman kunkin henkilön suostumusta – rikkoisi asetuksen artiklaa 5, koska tietojen keräämiselle ei ollut ICANNin toiminnan kannalta asianmukaista tarvetta. EPAG kieltäytyi toimittamasta yksityishenkilöiden henkilötietoja siltä osin kuin se katsoi tietojen keräämisen ja toimittamisen olevan asetuksen vastaista asetuksen artiklan 5 sisältävän tietojen minimointivaatimuksen mukaisesti.
ICANN vaati oikeusistuinta velvoittamaan EPAGin toimittamaan myös nämä mainitut henkilötiedot. ICANN väitti, että kyseiset henkilötiedot olivat tarpeellisia domainien rekisteröinnin yhteydessä mahdollisesti ilmenevien ongelmien ratkaisemiseksi. Käytännössä kyse olisi siis henkilötietojen ennakollisesta keräämisestä. Tuomioistuin päätyi hylkäämään ICANNin vaatimuksen ja perusteli päätöstään sillä, että tällaisten tietojen kerääminen loukkaisi asetuksen artiklaa 5 ja eritysesti siellä olevaa tietojen minimoinnin vaatimusta. Tuomioistuin myös lausui, että velvollisuus noudattaa sopimusta voi olla velvoittava vain siltä osin kuin sopimusvelvoite ei ole ristiriidassa voimassaolevan lainsäädännön kanssa. Artiklassa 5 oleva ns. tietojen minimoinnin vaatimus edellyttää, että ”
henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.” Tuomioistuimen mukaan ICANN ei kyennyt osoittamaan asetuksen kannalta riittävää selvitystä tai perustetta siihen, miksi tällaisten henkilötietojen kerääminen on tarpeen. Tuomioistuin otti kantaa myös siihen, että domainien rekisteröineen tahon yksilöinti (ilman tarkempia henkilötietoja) on riittävä ICANNin toiminnan tarkoituksen eli rikollisen toiminnan ja turvallisuusongelmien estämisen toteuttamiseksi.
Lainvoimaa vailla olevasta päätöksestä ei ole syytä tehdä liian pitkälle meneviä johtopäätöksiä. Jo tässä vaiheessa on kuitenkin selvää se, että asia tulee etenemään ylempiin oikeusasteisiin ja lopulta EU:n tuomioistuimeen. ICANN on nimittäin jo valitusvaiheessa julkaisut tiedotteen, jonka mukaan se tulee viemään asian niin pitkälle kuin mahdollista saadakseen itselleen suotuisan ratkaisun. Riidassa on hieman jopa suurvaltapolitiikan elementtejä, kun GDPR-asetuksen ulkopuolella oleva suurvalta haluaa varmistaa mahdollisimman laajan tietojen saannin ja EU:n alueella oleva tuomioistuin odotetusti päätti asian asetuksen sanamuodon ja tarkoituksen mukaisesti.
Eurooppalaisesta näkökulmasta tuomio vaikuttaa oikealta, koska sen keskeisenä perusteena on tarpeellisen tiedon määrän arviointi suhteessa tiedon käytön tarkoitukseen. Lisäksi se perustuu asetuksen sanamuotoon eikä reaalisiin argumentteihin. On helppo olla samaa mieltä siitä, että muiden kuin domainien todellisten haltijoiden yleisten tietojen luovuttaminen ylläpidon turvaamistarkoituksessa olisi liioittelua. Oletettavasti ylemmät tuomioistuimet eivät tuo mitään uutta tähän arviointiin, mutta se selviää vasta myöhemmin.