Oma 16.juuli 2020 otsuses asjas nr C-311/18 leidis EL kohus, et isikuandmete kaitse piirangud, mis tulenevad USA-sisestest õigusaktidest, mis reguleerivad USA riigiasutuste õigusi pääseda juurde EL-st USA-sse edastatavatele isikuandmetele ja neid andmeid kasutada – ei taga  EL inimeste isikuandmetele samaväärset kaitset, kuna nendel õigusaktidel põhinevad andmejälgimisprogrammid ei piirdu rangelt vajalikuga.

Euroopa Kohus märgib, et jälgimisprogrammide kohta ei nähtu õigusaktidest tulenevaid piiranguid jälgimisprogrammide rakendamisele ja need õigusaktid ei  anna andmesubjektidele õigusi,  millele saaks USA ametiasutuste vastu kohtus tugineda.

Mida need „teatavad jälgimissüsteemid“ – FISA säte nr 702, EO 12333,  PRISM,  UPSTREAM – endast kujutavad?

FISA on akronüüm pealkirjast „Foreign Intelligence Surveillance Act“, mis võeti 1978.a. vastu eesmärgiga reguleerida USA valitsuse poolt välisluure eesmärkidel läbi viidavat suhtluskanalite jälgimist elektrooniliste ja füüsiliste meetmete abil. Seadust on hiljem korduvalt täiendatud ja parandatud. FISA võimaldab jälgimist mitmesugusel viisil: elektrooniline jälgimine, füüsiline läbiotsimine, äridokumentide läbiotsimine jne. FISA alusel tegutsemist jälgib erikohus FISC (Foreign Intelligence Surveillance Court).

Algselt oli FISA eesmärk jälgida USA-s viibivaid isikuid, kuid alates 2008.a. annab seadus USA valitsusele õiguse koguda luureandmeid ka väljaspool USA-d viibivate mitte-USA isikute kohta. „Mitte-USA isik“ on isik, kes pole USA kodanik ega elanik.

Säte nr 702 (Section 702) on väidetavalt õiguslikuks aluseks enam kui veerandile USA poolt terrorismivastase luure käigus kogutud andmetest. Kuigi jälgimine on suunatud mitte-USA isikutele, kogutakse „möödaminnes“ ka miljonite ameeriklaste suhtlusandmeid.

Kui tavajuhul peab valitsus FISA alusel jälgimisluba taotlema ning taotlust põhjendama, siis säte nr 702 võimaldab erikohtul anda jälgimisloa kuni aastaks ette. Taotluses ei pea selgitama, milliseid mitte-USA isikuid jälgida kavatsetakse ega jälgimise põhjust. FISC loa alusel annab valitsus vastavad suunised elektroonilise side teenuse osutajatele, kes peavad „koheselt võimaldama valitsusele kogu informatsiooni, vahendid või abi“ mis on sideandmete saamiseks vajalik.

Praktikas näeb see välja nii, et valitsus annab teenuseosutajatele mõne isiku (mitte-USA era-või juriidiline isik) isikuandmed (nt telefoninumber või e-posti aadress) ning teenuseosutajad ei tohi vastavaid isikuid sellest teavitada.

Mõiste „elektroonilise side teenuse osutaja“ on määratletud sedavõrd laialt, et potentsiaalselt hõlmab see ka nt ettevõtet, kes annab oma töötajale kasutada tööalase  e-postkasti, sõltumata selle ettevõtte põhitegevusalast.

Kui FISA reguleerib jälgimist USA territooriumil, siis EO 12333 (Executive Order 12333) alusel võib valitsus jälgimist teostada ka väljaspool USA territooriumi.

Laias laastus annab EO 12333 USA luureametitele õiguse koguda mistahes „välismaiseid signaale“, mis liiguvad või on juurdepääsetavad raadio, kaabli või muu elektromagnetlaineid edastava või vastuvõtva vahendi abil.

EO 12333 alusel toimuv jälgimine ei eelda elektroonilise side teenuse osutajate kohustuslikku kaastööd. Selle jälgimismeetodi tehnilised üksikasjad on salastatud, kuid NSA (National Security Agency) on maininud, et kasutatakse ära telekommunikatsiooni taristu nõrku kohti.

„Signaalluure“ kasutamise kohta US valitsuse poolt on olemas ka reeglid. President Obama andis 2014 välja suunised Presidential Policy Directive 28 (PPD-28), mis suunas USA luureasutusi oma mitte-USA isikute jälgimist puudutavaid poliitikaid üle vaatama. Suunised seavad signaalluure alasele, sh FISA sätte nr 702  ja EO 12333 alusel toimuvale tegevusele piiranguid sõltumata jälgimisaluse isiku päritolust või asukohast.

Kohtuasjas Schrems II leidis EL kohus, et PPD-28 poolt pakutav kaitse ei ole piisav.

PRISM ja UPSTREAM on tuntud E. Snowden’i „vilepuhumisest“ 2013. aastal. Mõlemad programmid tuginevad FISA sättele nr 702, kuid toimivad erinevalt.

PRISM hõlmab otsest olemilt väljapoole liikuvate (downstream) suhtlusandmete kogumist koostöös elektroonilise side teenuse osutajatega. Valitsus annab teenuseosutajale ette nö. selektori, nagu nt e-posti aadressi, millega seotud kogu meilivahetuse peab teenuseosutaja valitsusele edastama.

UPSTREAM, nagu nimestki tuletatav, tähendab otsest olemi suunas liikuva (upstream) info kogumist suurte elektroonilise side teenuse osutajate (nt AT&T, Verizon) kohustusliku koostöö abil.

Põhimõtteliselt  kopeerib ja filtreerib NSA  interneti moodustavas globaalses andmesidevõrgus, sh kaablites, ühendusseadmetes ja ruuterites liikuvat andmemassi. Kuna andmeid kogutakse teenuseosutajate teadmata ja kaasabita, nimetatakse UPSTREAM’i ka „tagaukse kaudu jälgimiseks“.

Selle kohta, kuidas PRISM ja UPSTREAM funktsioneerivad, on küllaltki vähe teada. Parim sellekohane infoallikas on 2014.a. Privacy and Civil Liberties Oversight poolt koostatud raport, millel oli tähtis roll ka eelmainitud Schrems II kohtuotsuse kujunemisel.

FISA säte nr 702 on USA-s andnud ainest mitmeteks kohtuasjadeks, milledest tuntumad on Clapper v Amnesty International USA (2013) ja Wikimedia Foundation v NSA (2020). Hagid ei ole olnud edukad, mis näitab ilmekalt kui keeruline on vaidlustada sätte nr 702 alusel toimuvat või selle sätte enda seaduslikkust olukorras kui hagejal puudub tõendusmaterjal selle kohta, et tema elektroonilist suhtlust on üldse jälgitud. Ka see tõdemus suunas Schrems II kohtuasja kulgu, näidates kui keeruline oleks mitte-USA isikul USA-s luureasutuste vastu kohtus õigust nõuda.

Pärast E. Snowden’i paljastusi 2015.a. võttis USA Kongress vastu USA FREEDOM Act’i. See õigusakt võimaldab piiratud ülevaate saamist FISC’le esitatud taotlustest ning lubab ettevõtetel avaldada neile FISA alusel antud korralduste arvu. Valitsus esitab oma aruande ning ettevõtted koostavad läbipaistvuse tagamiseks endapoolseid aruandeid.

Märkus: Artikli kirjutamisel on kasutatud Briti advokaadibüroo Fieldfisher LLP avalikke materjale.