Isikuandmete turvaline edastamine Euroopa Majanduspiirkonnast (EMP) kolmandatesse riikidesse on olnud aktuaalne ning kiirelt arenev teema juba mitu aastat.

Andmekaitse üldmäärus (GDPR) kehtestab isikuandmete vaba liikumise Euroopa Majanduspiirkonnas (EMP). Isikuandmetele tagatud kaitse peab aga nende andmetega kaasa liikuma, olenemata sellest, kuhu andmed liiguvad.

Euroopa Majanduspiirkonna andmeedastajad ja nende importijad kolmandates riikides on kohustatud rakendama andmete ülekandmismehhanisme ning järgima GDPR-is sätestatud andmekaitsemeetmeid, et tagada isikuandmete piisav kaitse.

Üleminek uutele lepingu tüüptingimustele on nõutav 27. detsembriks 2022

Nende andmeedastusmehhanismide hulka kuuluvad standardsed lepinguklauslid (SCC) – andmekaitse näidisklauslid, mille on eelnevalt heaks kiitnud Euroopa Komisjon. Ettevõtted, kelle äritegevus hõlmab isikuandmete edastamist kolmandatesse riikidesse, võivad lisada SCC klauslid andmeimportijatega sõlmitavatesse lepingutesse ja kasutada neid vastavalt GDPR-iga ühilduva andmeedastusmehhanismina.

4. juunil 2021 andis Euroopa Komisjon välja uued ajakohastatud SCC-d isikuandmete edastamiseks kolmandatesse riikidesse (saadaval siin). Lähenemas on tähtaeg vanade SCC klauslite asendamiseks uutega: 27. detsembriks 2022 peavad kõik vanu lepinguklausleid kasutavad ettevõtted need uute vastu välja vahetama, olenemata andmeedastuslepingute sõlmimise ajast.

Selle kohustuse rikkumine võib kaasa tuua andmekaitseasutuste poolsed nõuded ja märkimisväärsed trahvid. Seetõttu on ettevõtetel viimane aeg vaadata üle ja uuendada olemasolevad andmeedastuslepingud ning tagada, et uued SCC-d ei jääks äripartneritega uute lepingute sõlmimise läbirääkimistel märkamata.

Vaja on ka täiendavaid mõjuhinnanguid

Ainult SCC-de kaasajastamine ei pruugi olla piisav: 16. juulil 2020 tegi Euroopa Liidu Kohus nn Schrems II otsuse (vt meie eelmist artiklit), milles rõhutas, et andmete eksportijad peavad iga juhtumi puhul eraldi hindama kolmandate riikide seadusi, mis võivad rikkuda privaatsusõigusi.

Selleks peavad lepingu pooled enne SCC sõlmimist läbi viima andmeedastuse mõjuhinnangu, veendumaks, et sihtriigiks oleva kolmanda riigi seadused ja tavad ei takista andmete importijal SCC täitmist.

Sellise ohu korral võivad olla vajalikud täiendavad meetmed, näiteks tehnilised turvameetmed või lepingulised kaitsemeetmed, et tagada GDPR-i kohane andmekaitse kõrge tase. Kui täiendavatest kaitsemeetmetest ei piisa GDPR-iga võrdväärse isikuandmete kaitse taseme tagamiseks, tuleks isikuandmete edastamine peatada.

Andmete eksportijate ja importijate abistamiseks sedalaadi nüansirikaste analüüside läbiviimisel on Euroopa Andmekaitsenõukogu koostanud soovitused koos põhjalike juhistega, mille leiate siit.

Isikuandmete edastamine Ameerika Ühendriikidesse

Eespool kirjeldatud analüüs tuleb teha olenemata sellest, millisesse kolmandasse riiki andmeid kavatsetakse edastada. Andmete edastamine Ameerika Ühendriikidesse (USA) on aga pälvinud eraldi tähelepanu, kuna paljudel Euroopa ettevõtetel on tarnijad või teenusepakkujad just seal.

Schrems II kohtuasjas andis kohus selgelt mõista, et enamasti ei piisa Ameerika Ühendriikidesse andmete edastamisel ainult SCC kasutamisest, et tagada isikuandmete piisav kaitse. Kohus märkis, et USA riikliku julgeoleku seadused, mis kasutavad massilist, valimatut või tagatiseta andmete kogumist, seavad Euroopa Liidu kodanike isikuandmed ja eraelu puutumatuse ohtu (EO 12333, FISA § 702, PPD-28, USA PATRIOT Act).

Ettevõtted peaksid hindama, kas nende andmed on USA riikliku julgeoleku seaduste kohaselt haavatavad. Kuigi riiklik julgeolek hõlmab kõiki andmeid, võib näiteks kahesuguse kasutusega tehnoloogiat müüv ettevõte olla eriti ohus. Samamoodi peaksid telefoniandmeid edastavad ettevõtted hindama USA PATRIOT Act § 215, mis sätestab, et edastatud andmete koopiad on kohtumääruse alusel automaatselt valitsustele kättesaadavad.

Andmete Euroopa Majanduspiirkonnast välja edastamine

Kui ettevõte edastab isikuandmeid kolmandatesse riikidesse (näiteks kasutades EMP väliste ettevõtete teenuseid), tuleks silmas pidada:

  1. Veenduge, et andmeedastusel kohaldatakse GDPR-i 5. peatükile vastavaid andmekaitsemehhanisme.
  2. Kasutades andmekaitsemehhanismina SCC klausleid, veenduge, et kasutate kõige värskemat versiooni. Kui ei, siis asendage vanad SCC klauslid uutega hiljemalt 27. detsembriks 2022.
  3. Viige läbi andmeedastuse mõjude hindamine, et vältida olukorda, kus andmeedastuse sihtriigiks oleva kolmanda riigi seadused ja tavad takistavad andmete importijal SCC täitmist. Hindamise läbiviimisel tuleks erilist tähelepanu pöörata järgmisele:
    • Tööstusharu ja andmetüüpide riskide ning asutuste regulatsioonide hindamine (näiteks kahesuguse kasutusega kaupade tootjate andmed võivad olla USA päringute suhtes haavatavamad);
    • Volitustele ja massilistele või valimatu andmete kogumisega seotud juhtumitele erandite otsimine. USA-sse andmete edastamisel pöörake erilist tähelepanu: EO 12333, FISA 702, PPD-28, USA PATRIOT Act;
    • Igas lepingueelses hindamisetapis erinevate allikate kasutamine (sh valitsus, valitsusvälised organisatsioonid, akadeemilised allikad);
    • Kõigi kohaldatavate seaduste märkimine (meeles tuleb pidada seda, et riiklikud julgeolekuseadused on teoreetiliselt kohaldatavad kõigile andmetele).
  1. Looge täiendavate meetmete süsteem, mille järgi riskide ilmnemisel erinevaid andmekaitsemeetmeid rakendada. Kui täiendavatest meetmetest ei piisa, peatage andmete ülekanne.
  2. Kui ei ole põhjust arvata, et kolmanda riigi õigusaktid on problemaatilised või et probleemseid õigusakte hakatakse kohaldama, dokumenteerige selle järelduse põhjused ilma täiendavaid meetmeid rakendamata. Ettevõtted, kes usuvad, et USA-s kehtivad riikliku julgeoleku seadused ei ohusta nende andmeid, peaksid tuginema Schrems II kohtuasja selgitustele, mille koostasid USA kaubandusministeerium, justiitsministeerium ja riikliku luuredirektori büroo.