Yritykset kauppapakotteiden ja tietosuojanormien puristuksessa – miten toimia?

Yritykset ovat joutuneet hankalaan välikäteen kauppapakotteiden ja tietosuojasääntelyn noudattamisessa. Ristiriita syntyy Yhdysvaltojen asettamista kauppapakotteista, joita Euroopan unionissa toimivat yritykset eivät unionin oikeuden tai EU:n jäsenvaltioiden kansallisten lakien nojalla pääsääntöisesti ole velvollisia seuraamaan ja noudattamaan. Yhdysvalloissa pakotteiden soveltamisala on kuitenkin määritelty hyvin laajaksi. Jos ulkomaisella yrityksellä on vähäinenkin kytkös Yhdysvaltoihin, siihen sovelletaan pakotteita koskevaa Yhdysvaltojen sääntelyä. Yhtiö on tavallisesti Yhdysvaltojen pakotteiden alainen, jos sen emoyhtiö on yhdysvaltalainen tai sillä on yhdysvaltalaisia työntekijöitä.

Seuraamukset pakotteiden rikkomisesta ovat ankaria, mikä herättää aitoa pelkoa kansainvälisellä pelikentällä. Riskin uhatessa yritykset ovat usein päätyneet seuraamaan pakotelistauksia. Näin ne kuitenkin saattavat päätyä loukkaamaan yksityisyydensuojaa ja tietosuojanormeja.

Länsinaapurissa tietosuojaviranomaiset ovat puuttuneet asiaan

Yritysten intressien ja yksilön oikeuksien välisessä punninnassa vaaka näyttää Ruotsissa kallistuneen yksilön oikeuksien suuntaan. GE Healthcare Group haki Ruotsin tietosuojaviranomaiselta erityistä lupaa Yhdysvaltojen asettamien pakotteiden seuraamiseen, ja tietosuojaviranomaisen kielteisen päätöksen jälkeen asia päätyi oikeuteen asti. Myös kamarioikeus katsoi, ettei yhtiöillä ollut oikeutta seurata osittain arkaluonteisiksi tiedoiksi katsottuja pakotelistauksia.[1] Viranomaiset ja kamarioikeus kyllä tiedostivat, että yhtiöllä oli oikeutettu intressi tarkistaa Yhdysvaltojen asettamat OFAC-pakotteet, mutta intressi ei ollut riittävän vahva, jotta sen nojalla voitaisiin syrjäyttää listalle joutuneiden yksilöiden yksityisyydensuoja.

Suomessa epäselvä tilanne

Suomen osalta vastaavia tilanteita ei ole vielä käsitelty tuomioistuimissa. Suomi on sisäisessä lainsäädännössään sitoutunut noudattamaan YK:n ja EU:n asettamia pakotteita, joten esimerkiksi EU:n pakotelistojen seuraaminen on suomalaisille yrityksille pakollista. Yhdysvaltojen pakotteiden noudattamisesta Suomen lainsäädäntö sen sijaan vaikenee. Kotimainen tietosuojasääntely lähtee siitä, että pakotteiden tarkistuksen pitäisi perustua Yhdysvaltojen sääntelyn sijaan Suomen tai EU-tason sääntelyyn. Pelkästään Yhdysvaltojen pakotesääntelyyn perustuva henkilötietojen käsittely voitaisiin siis katsoa perusteettomaksi ja kotimaisen tietosuojasääntelyn vastaiseksi.

Yritykset ristivedossa

Otetaan pieni kertaus monimutkaisessa normiviidakossa. US-pakotteiden noudattaminen perustuu siis vain Yhdysvaltain sääntelyn noudattamiseen. Tietosuojalasien läpi katsottaessa henkilötietojen käsittelylle on kuitenkin oltava asiallinen, Suomessa voimassa olevan tietosuojasääntelyn mukainen peruste, joka on pakotetietojen osalta joko kotimainen tai EU-tason lainsäädäntö. Henkilötietoja voidaan toki lainsäädännöllisen perusteen puuttuessa käsitellä tutkittavan kohteen nimenomaisella suostumuksella, mutta se on harvoin pakotetarkistuksissa käytännöllinen ratkaisumalli. Kun lainsäädännöllistä perustetta tai suostumusta ei ole, onko kuitenkin olemassa vielä jokin takaportti amerikkalaispakotteiden seurantaan?

Apua oikeutetusta edusta?

Uusi tietosuoja-asetus, joka tulee voimaan toukokuussa 2018, mahdollistaa henkilötietojen käsittelyn silloin, jos yrityksellä on siihen oikeutettu etu[2]. Tähän perusteeseen myös GE Healthcare Group Ruotsissa poikkeuslupahakemuksensa tueksi vetosi. Ainakin Ruotsissa ratkaisu kuitenkin oli, että henkilön yksityisyydensuoja on merkittävämpi oikeus kuin yrityksen velvoite noudattaa ulkomaisia pakotteita. Suomalaisetkaan yritykset eivät siten voi automaattisesti luottaa siihen, että oikeutettu etu on autuaaksi tekevä termipari, joka antaa luvan yhdysvaltalaispakotteiden seurantaan. Ratkaisun etsimistä on siis jatkettava muualta.

Lainsäädännöstä tuleva velvollisuus tunnistaa liikekumppanit

Kun oikeutettu etukaan ei välttämättä tuo apua ristiriidan ratkaisuun, on palattava takaisin lainsäädäntöperusteen arviointiin ja haettava ratkaisua erityislainsäädännöstä. Finanssialalla sovelletaan rahanpesun ja terrorismin rahoittamisen estämisestä annettua lakia, jonka mukaan laissa määriteltyjen ilmoitusvelvollisten on tunnettava asiakkaansa. Myös Finanssivalvonta edellyttää, että sen valvonnassa olevat yhteisöt seuraavat Yhdysvaltojen pakotteita. Finanssialalla toimivat yritykset pääsevät tällä perusteella luovimaan karikosta. Ilmoitusvelvollisten piirin ulkopuolelle jää kuitenkin suuri osa yhtiöistä. Mistä löydetään heille lainmukainen väylä?

Ratkaisua hakemassa

Muiden kuin ilmoitusvelvollisten osalta yksiselitteistä vastausta ei tässä vaiheessa voida antaa, vaan merikartan lukemista pitää jatkaa. Suositeltavaa onkin käydä läpi toimialakohtainen erityissääntely ja etsiä ratkaisua sieltä. Tilannetta kuitenkin helpottaisi selkeä viranomaisohjeistus tai jopa lainsäädännön muutos.

Tyyrpuuri, paapuuri?

Tilanne on Suomessa ja muissa EU-maissa toimivien yritysten näkökulmasta erittäin epäkiitollinen. Yritys joutuu tällä hetkellä valitsemaan, rajoittaako se liiketoimintaansa maantieteellisesti vai rikkooko se kenties tietosuojavaatimuksia.

Yhdysvaltojen OFAC-pakotteiden noudattamatta jättämisestä koituvien seuraamusten vuoksi tietosuojavaatimusten rikkominen lienee yritysten näkökulmasta tällä hetkellä kahdesta pahasta pienempi. Tilanne voi kuitenkin olla kääntymässä lähitulevaisuudessa toisin päin. Ensi vuoden toukokuussa sovellettavaksi tuleva EU:n tietosuoja-asetus mahdollistaa viranomaisseuraamusten ja hallinnollisten sanktioiden määräämisen myös tietosuojarikkomuksista. Yritysten kohtaamaa ristipainetta helpottaisikin huomattavasti, jos ongelmalliseen tilanteeseen saataisiin tukea viranomaisten tai päättäjien taholta jo ennen toukokuuta 2018. 

[1] Tuomio luettavissa osoitteessa http://www.kammarrattenistockholm.domstol.se/Domstolar/kammarrattenistockholm/Domar/Domar%202016/Dom%20i%20m%c3%a5l%20nr%203946–3958-15.pdf.