Isikuandmete edastamine väljapoole EL-i vajab selle aasta lõpuks dokumentide uuendamist

Vastavalt isikuandmete kaitse üldmäärusele (GDPR) saab EL-ist kolmandatesse riikidesse andmete edastamise alusena kasutada standardseid lepinguklausleid, mis tagavad asjakohased andmekaitse meetmed – nn SCC-d (Standard Contractual Clauses).

4. juunil 2021 väljastas Euroopa Komisjon GDPR-i alusel ajakohastatud lepingu tüüptingimused andmete edastamiseks EL/EMP-s asuvatelt vastutavatelt või volitatud töötlejatelt vastutavatele töötlejatele või volitatud töötlejatele, kes on asutatud väljaspool EL-i/EMP-d (ja ei allu GDPR-ile).

Need ajakohastatud SCC-d asendavad eelmise andmekaitsedirektiivi alusel vastu võetud kolme SCC-de komplekti. Ettevõtted peavad 27. detsembriks 2022 viima üle kõik vanu SCC-sid kasutavad lepingud uutele SCC-dele.

Uute SCC-de kohaselt peavad andmete vastuvõtjad kinnitama, et nad avaldavad isikuandmeid kolmandale osapoolele väljaspool EMP-d ainult juhul kui (i) kolmas isik on nõustunud end nende klauslitega siduma või (ii) kehtib konkreetne erand. Euroopa Andmekaitsenõukogu (EDPB) on eelnevates juhistes selgelt ütelnud, et süstemaatilise edastamise puhul ei ole erandid saadaval.

Selle tulemusel, kui edastamine toimub süstemaatiliselt uute SCC-de alusel, peab vastuvõtja tagama, et kõik töötlemisega seotud kolmandad isikud, näiteks (all)töötlejad, on samuti uutele SCC-dele allakirjutanud. See tähendab, et vastuvõtjad peaksid oma tarneahelad üle vaatama ja kehtestama uued SCC-d, et katta selline andmete edastamine. Arvestades seda perspektiivi ei ole aasta lõpp kaugel.

Euroopa Komisjonil on õigus GDPR-i artikli 45 alusel kindlaks teha, kas väljaspool EL-i asuv riik pakub piisavat andmekaitse taset sarnaselt EL-iga. Kui see nii on, siis ei nõuta isikuandmete edastamiseks täiendavaid kaitsemeetmeid ehk SCC-sid. Euroopa Komisjon on seni tunnustanud Andorrat, Argentiinat, Kanadat (äriorganisatsioonid), Fääri saari, Guernsey saart, Iisraeli, Mani saart, Jaapanit, Jerseyt, Uus-Meremaad, Korea Vabariiki, Šveitsi, Ühendkuningriiki ja Uruguayd piisava kaitse pakkujana.

Data transfer outside EU

Kuidas on lood EL-USA andmeedastusega?

Seni on peamiseks murekohaks, potentsiaalse majandusliku mõju tõttu, olnud andmete edastamine EL-ist USA-sse, kuna USA ei oma senini andmekaitse piisavat taset ning EL-i kohtu otsuste kohaselt on EL-l ja USA-l eraelu puutumatuse printsiipide rakendamise vahel põhimõttelised õiguslikud erinevused. Ettevõtted on puutunud kokku juriidilise ebakindlusega andmete edastamisel üle Atlandi eelkõige pilveteenuste, tööjõuandmete, turunduse ja reklaami valdkonnas, sest pikalt on olnud teemaks EL-i kodanike andmete ebapiisav kaitsmine teisel pool ookeani.

Uued SCC-d võivad aidata neist probleemidest üle saada, kuid nüüd, viimaste uudiste valguses, on küsimus selles, kas EL-i ettevõtted peaksid kiirustama, et SCC-d USA ettevõtetega aasta lõpuks välja vahetada või oleks targem oodata võimalikke arenguid USA andmekaitse piisavuse otsuse osas?

Viimased uudised 25. märtsist on, et USA valitsuse ja Euroopa Komisjoni intensiivistunud läbirääkimiste tulemusena jõudsid EL ja USA põhimõttelisele kokkuleppele uue Atlandi-ülese andmekaitseraamistiku osas. Põhimõtteline leping tõlgitakse nüüd juriidilisteks dokumentideks ning USA kohustused lisatakse täidesaatvasse korraldusse, mis on uue raamistiku kehtestamisel Euroopa Komisjonile andmekaitse piisavuse otsuse eelnõu aluseks.

Kui uus raamistik ja vaidlustusmehhanism on loodud, testivad seda kindlasti üksikisikud ja koheselt kontrollivad seda ka EL-i andmekaitseasutused, kohtud ja avalikkus. Seega on andmekaitseeksperdid ja privaatsusaktivistid hoiatanud, et uus lahendus võib seista silmitsi sarnaste juriidiliste väljakutsetega nagu varasemad. Nii ei ole veel täit kindlust, milliseks kujuneb kogu selle uue lahenduse rakendamise ajaraam.

Aastaid kestnud vaidlus tuleneb kartusest, et USA ametnikud võivad ebaseaduslikult tutvuda tehnoloogiafirmade nagu Facebooki emaettevõtte Meta Platforms Inc. ja teiste kogutud isikustatud massandmetega.

Uue Atlandi-ülese andmekaitseraamistiku peamised põhimõtted

  • Uue raamistiku alusel saavad andmed vabalt ja turvaliselt liikuda EL-i ja osalevate USA ettevõtete vahel;
  • Uued reeglid ja siduvad kaitsemeetmed, et piirata USA luureasutuste juurdepääsu andmetele riigi julgeoleku kaitsmiseks vajalikkuse ja proportsionaalsuse printsiipidega. USA luureasutused võtavad kasutusele protseduurid, et tagada tõhus järelevalve uute eraelu puutumatuse ja kodanikuvabaduste standardite üle;
  • Uus kaheastmeline vaidlustusmehhanism eurooplaste kaebuste uurimiseks ja lahendamiseks USA luureasutuste andmetele juurdepääsu kohta, mis hõlmab andmekaitse kontrollikohtu loomist;
  • Tugevad kohustused ettevõtetele, kes töötlevad EL-ist edastatud andmeid, mis hõlmavad ka; edaspidi nõuet, et põhimõtete järgimist tuleb USA kaubandusministeeriumi kaudu tõendada
  • Spetsiifilised järelevalve- ja läbivaatamismehhanismid.

Miks on see vajalik?

  • USA-sse edastatud eurooplaste andmete piisav kaitse, võttes arvesse Euroopa Kohtu otsust (Schrems II);
  • Ohutu ja turvaline andmevoog;
  • Vastupidav ja usaldusväärne õiguslik alus;
  • Konkurentsivõimeline digimajandus ja majanduskoostöö;
  • Jätkuvad andmevood, mis toetavad igal aastal 900 miljardi euro väärtuses piiriülest kaubandus.

Kuidas edasi?

Kokkuvõtteks võib öelda, et EL-i ettevõtetest kolmandatesse riikidesse isikuandmete edastamisel on SCC-de uuendamine kindlasti vajalik ning see võib olla keeruline ja aeganõudev ülesanne, isegi kui seda viivad läbi professionaalid. Mis puudutab aga konkreetselt Eli ja USA vahelist andmeedastus, siis võib öelda, et uue õigusliku raamistiku arengud võivad päeva päästa.

« Tagasi
Hedman

Meie kuuluvused:
FinanceEstonia,
Teenusmajanduse Koda,
Eesti Kaubandus-Tööstuskoda,
EstVCA, EstBan, FECC,
IBA & IBA European regional Forum