Karmen Turk: Mida saab eestlane teha tema taga nuhkiva NSA vastu?
Ehk õiguskeeli – mis on igaühe subjektiivsed õigused välismaise luureorganisatsiooni ekstraterritoriaalse tegevuse vastu? Järgnev ei ole kogu advokaat-juristkonna arvamus, kuid ühe õigusharidusega inimese oma küll.
Juku soov ning vajadus õigust nõudma minna võib isegi ilma ekstreemsete näideteta olla vägagi põhjendatud – on ju Juku pildid, dokumendid ja mõtted virtuaalsel kujul võõrriigi luureameti valduses, kes seda omatahtsi võib välja jagada. Kui piltide ja Facebooki staatuse-uuenduste talletamine kusagil Utah’i osariigi kõrbes ei tee Jukut veel kuigi ärevaks, võtab Juku mure kolossaalsed mõõtmed juhul, kui Juku ettevõte kasutab enda äriinfo salvestamiseks pilvetehnoloogiat. Või kui Juku on leiutaja ning selgitab enda patendivolinikule, et tema leiutis peaks olema uudsuse tõttu kaitstav. Või kui Juku uurib konfidentsiaalsusele lootes enda advokaadilt, kuidas käituda konkurendiga, kes sunnib teda kartelli looma. Või kui Juku korraldab suguvõsa kokkutulekut, kuhu on kutsutud ka pikalt Iraagis elanud sugulased...
Olukord on Juku jaoks komplitseeritud, sest ta mõistab, et eestlasi kaitseb Eesti riigis Eesti seadus ning ameeriklasi kaitseb nende riigis nende seadus. Aga kes kaitseb eestlast, kui tema õiguste objekt (antud juhul andmed) asuvad Ameerikas? Kas saab üldse midagi teha või tuleb käed rüppe lasta ning hiljukesi oodata, kunas järgmine pauk kõlab?
Kas Jukule on kasu riikide vahelisest õigusest?
Euroopa ja Ameerika andmekaitse õigus on sarnased nagu must ja valge koer, kus ühisnimetaja „koer“ tähistab terminit „andmed“. Kes mäletab multifilmi, see mõistab edasi lugematagi ühisosa väiksust. Kes ei mäleta, sellele selgituseks – Euroopas on igaühel (ka USA kodanikul) seaduslik õigus kontrollida tema kohta olemasolevaid andmeid, kuid Ameerika Ühendriikides selline õiguslik kontseptsioon puudub.
Lisaks niigi suurtele erinevustele, otsustas USA luurekohus (Foreign Intelligence Surveillance Court of Review), et USA põhiseaduse neljas parandus, mille järgi on iga jälitustoimingu tegemiseks vaja kohtumäärust, mille saamiseks on tarvis usutavat põhjendust, kehtib vaid USA pinnal viibivate inimeste suhtes*.
Pärast luurekohtu otsust võttis Kongress vastu õigusakti „FISA § 1881a“, millega anti luba Ameerika Ühendriikide pinnal mitte asuvate mitte-ameeriklaste andmete jälgimiseks juhul, kui need andmed satuvad USA jurisdiktsiooni alla. USA jurisdiktsioon tähendab aga maakeeli: kui inimene, kes pole USA kodanik, laeb oma dokumendid üles näiteks pilveteenust pakkuvasse Dropboxi, siis on selle inimese andmed USA jurisdiktsiooni all ning jälgitavad ilma kohtumäärust küsimata.
Säärase arusaamade põrkumise tõttu ei olegi USA ja EL jõudnud koherentse ning selge õigustloova aktini, mis käsitleks andmekaitset.
Kas Juku leiab kaitset rahvusvahelisest õigusest?
Kuigi ülemaailmset andmekaitse konventsiooni ei ole, võiks ÜRO juures olev Rahvusvaheline Kohus vaagida NSA tegevuse seaduslikkust. Esiteks saaks uurida, kas säärane andmete kogumine on teise riigi suveräänsuse rikkumine ning teiseks, kas see on rahvusvahelise õiguse järgi tõlgendatav inimõiguste rikkumisena.
Tuues jälle mängu Juku, on tema võimalused nende meetmete kasutamiseks pehmelt öeldes piiratud, sest ÜRO Rahvusvahelise Kohtu poole saavad pöörduda vaid riigid… Aga Juku suutlikkus veenda meie valitsust kaitsma tema õigusi on küsitav.
Kuna rahvusvahelise õiguse käed on lühikesed, ongi võimalik olukord, kus eurooplase kontroll tema enda andmete üle lakkab eksisteerimast hetkest, mil andmed transporditakse Euroopast välja. Seega pole rahvusvahelisest õigusest Jukule palju abi.
Selleks, et nõuda NSA-lt andmete kogumise lõpetamist või tehtud kahjude hüvitamist, ei leia Juku õiguslikult pädevaid argumente ka Euroopa Liidu õigusest. Seda põhjusel, et ei ELil ega selle liikmesriikidel pole kombeks võtta vastu seadusi, mis kehtivad teiste riikide pinnal. Erinevalt artikli teisest peategelasest USAst**.
Kas Jukul on kasu Eesti seadustest?
Kui Euroopa Liidu ja tema liikmete seadused ei ulatu Ameerika mandrile, siis Ameerika ettevõtted, kelle kombitsad ulatuvad siia mandrile, peavad lähtuma sel mandril kehtivatest seadustest. Kuigi Euroopa riikide andmekaitse regulatsioon pole just vabameelsete killast, sisaldavad need suurt halli ala.
Eestis on piisavalt selgelt reguleeritud see, kuidas näiteks IT-ettevõte võib andmeid koguda ja töödelda, kuid Eesti andmekaitse seaduse aluseks olev Euroopa Liidu direktiiv 95/46/EÜ art 3(2) välistab andmete hilisema kasutamise reguleerimise näiteks riigi julgeoleku aspektist. Seega ongi PRISM justkui hallis alas ka ELi õigusmaastikul.
Siiski ei asu Juku õigusvaakumis. Juku võib kaaluda kohtu või Andmekaitse Inspektsiooni poole pöördumist. Kohtus saaks Juku vaielda teenuse osutajaga eelnevalt mainitud seaduste pinnalt aga ka lepingu rikkumise osas.
Näiteks, kui Juku kasutab Microsofti teenuseid e-kirjade saatmiseks, sotsiaalseks suhtluseks või andmete talletamiseks pilves, on Juku nõustunud Microsofti isikuandmete tingimustega. Nende kohaselt kasutab Microsoft Juku andmeid eelkõige Microsoft teenuste parandamiseks, Jukuga suhtlemiseks ning reklaamivaldkonnas***.
Microsofti isikuandmete tingimustes ei ole ühtegi sõna NSAst, PRISMist ega mõnest muust akronüümist. Seega võib Microsoft, edastades Juku andmed NSA-le, rikkuda Juku kontrolliõigust enda andmete üle.
Kas Microsoft on käitunud Juku õigusi austavalt või mitte?
Juku õigus pöörduda Microsofti vastu Eesti kohtusse tuleneb olemasolevast Euroopa Liidu kohtupraktikast. Selle kohaselt võib kannatanu internetis teenuse pakkuja vastu pöörduda oma asukohariigi kohtusse, aga seda ainult juhul, kui ettevõte on kannatanu asukohariigis registreeritud või on enda tegevuse suunanud sellesse riiki. See tähendab: on sinna rajanud tütarettevõtte või omab ametlikku vahendajat, on registreerinud riigitunnusega domeeni või muud säärast.
Suuremal osal NSA-ga lepingu sõlminud suurkorporatsioonidest on Eestis tütarettevõte, vahendaja, kaubamärk või domeen. Nende firmade teenused on suunatud eestlasele ja mõned neist on tõlgitud vaid meie riigis räägitavasse keelde ****. Just see annabki Eesti kohtule võimaluse vaagida, kas Microsoft on käitunud Juku õigusi austavalt või mitte.
Kui peaks juhtuma, et Juku läbib oma vaidluses kõik kolm kohtuastet ning ka Riigikohtu otsus Jukule meeltmööda ei ole, on tal võimalus pöörduda Euroopa Inimõiguste Kohtusse. EIK saab anda hinnangu sellele, kas riik (ka selle kohtusüsteem) on täitnud enda kohustuse tagada Jukule tema andmete kaitse.
Nimelt sätestab Euroopa Inimõiguste Konventsiooni artikkel 8 erealu ning andmete puutumatuse põhiõigusena. Selle põhiõiguse riivamiseks peab alati ja iga kord olema õiguslik alus ja sellel peab olema legitiimne eesmärk. Lisaks peab demokraatlikus ühiskonnas iga riive olema vajalik ehk olemas peab olema „rõhuv sotsiaalne vajadus“. Sellise põhiõiguse tagamiseks on sätestatud riigi „positiivne kohustus“ vältida õiguse rikkumine. Kui riik oleks Euroopa Inimõiguste Kohtu hinnangul seda kohustust rikkunud, võidutseks Juku jaoks õiglus.
Lõppeks...
...tõden kurvastusega, et ainus, mida Juku konkreetselt NSA-ga teha saab, on vaadata Google Mapsist, kui suur on NSA serveripark. Siiski võib Juku – vähemasti esmapilgul – loota Eesti ja rahvusvahelisele õigusele esitades hagi Eesti kohtusse konkreetse NSA-le andmeid edastanud teenusepakkuja vastu.
Tegemist on advokaadi isikliku arvamusega, mille puhul kehtib vanarahva tarkus: „Kus on kaks advokaati, on kolm arvamust“.
* Algselt on Ameerika Ühendriikide Ülemkohus seda meelt olnud juba aastal 1990 otsuses United States v. Verdugo-Urquidez, 494 U.S. 259, 267 (1990). Viidatud otsus on kättesaadav: http://www.fas.org/irp/agency/doj/fisa/fiscr082208.pdf
** Siinkirjutaja mõtleb selle all erinevaid Ameerika Ühendriikide seadusandlikke katseid kehtestada enda õiguskord eksterritoriaalselt. Näitena saab tuua lennu- ja turismiettevõtetele pandud kohustuse edastada USA ametkondadele Euroopa lennureisijate isikuandmed. Lisaks on USAs praegu menetluses eelnõu seoses Euroopa pankadele ja finantsasutustele pandava kohustusega edastada isikuandmeid USA maksuametkondadele.
*** http://www.microsoft.com/privacy/default.aspx; http://privacy.microsoft.com/en-us/fullnotice.mspx#use
**** Näiteks Microsoft puhul on Eestis registreeritud OÜ Microsoft Estonia OÜ ja alamdomeen Microsoft.ee. Lehekülg on eestikeelne.
