25.mail tähistasime kolme aasta möödumist isikuandmete kaitse üldmääruse (GDPR) jõustumisest. Selle valguses tahaksime teile meelde tuletada mõningaid teemasid, mida andmete edastamisel välismaale silmas pidada. GDPR jagab maailma kaheks osaks:
a) Euroopa Majanduspiirkond (EMP), mille siseselt puuduvad kindlad takistused isikuandmete edastamisele;
b) väljaspool Euroopa Majanduspiirkonda asuvad riigid, kus andmete edastamine (sh pilveteenused, jagatud ligipääs andmebaasidele jne) on rangelt reguleeritud ning allub asjakohasetele kaitsemeetmetele.
Tänases digitaalses maailmas asuvad ettevõtete tarnijad sageli maailma eri paikades või ollakse näiteks osa suuremast üleilmsest grupist. Sellistel puhkudel on ettevõtte globaalse edu taga muuhulgas ka oma personali ja klientide andmete tõhus haldamine. Seda aitavad ettevõtetel teha näiteks jagatud siseandmebaasid – küll aga eeldab niisuguste andmebaaside kasutamine ka isikuandmete piiriülest edastamist.
Andmekaitse-maailm on pidevas muutumises. Euroopa Majanduspiirkonnast väljaspool asuvatesse riikidesse isikuandmete edastamist mõjutavad ka sündmused nagu näiteks Brexit või Euroopa Kohtu otsus Schrems II kohtuasjas tunnistada kehtetuks Euroopa Liidu ja Ameerika Ühendriikide vaheline andmekaitseraamistik Privacy Shield.
Uued lepingu tüüptingimused
Lisaks võttis Euroopa Komisjon äsja vastu uued tüüptingimused lepingutele, mis hõlmavad isikuandmete edastamist kolmandatesse riikidesse. Kuna lepingu tüüptingimusi kasutatakse andmeedastusel väga laialdaselt, mõjutab Komisjoni otsus paljusid ettevõtteid. Uued tüüptingimused leiate siit. Juhul, kui teie ettevõte kasutab vanu tüüptingimusi, tuleks need uutega asendada hiljemalt 27. detsembriks 2022. Pikem üleminekuperiood ei kehti uutele lepingutele ehk pärast 27. septembrit 2021 ei tohi uusi lepinguid enam vanade tüüptingimustega allkirjastada.
Et teie ettevõte tegutseks GDPR nõuetele vastavalt, olemegi koostanud kokkuvõtliku nimekirja näpunäidetest, mida andmete töötlemisel ja edastamisel silmas pidada:
1) oma andmevoogude hindamiseks on oluline hoolikalt üle kontrollida kõik koostööpartnerid (IT, pilveteenused) ning teha kindlaks, kas koostöö jätkamine on võimalik ning milliseid samme tuleks ehk veel astuda;
2) andmete edastamisel riikidesse väljaspool EMP-d tuleks kaaluda vajadust asjakohaste kaitsemeetmete järele;
3) koostööpartneritega tehtud kokkulepped võiks üle vaadata ning vajadusel teha muudatusi (üldiselt on üheks tingimuseks see, et andmeid ei tohi Euroopa Majanduspiirkonnast välja edastada). Kui kokkulepped koostööpartneritega sisaldavad vanu tüüptingimusi, tuleb need lepingutes asendada uutega hiljemalt 27. detsembriks 2022.
4) kontrollida tuleks ka oma privaatsusteatiseid, milles kinnitatakse sageli, et andmeid ei edastata EMP-st välja või viidatakse andmekaitseraamistikus Privacy Shield olevatele meetmetele.
Kui vajate nende tegevustega tuge, siis võtke julgelt meiega ühendust. Soraineni ekspertidel on kogemus hindamaks klientide võimalikku vajadust kaitsemeetmete järele. Ühtlasi oleme klientidel aidanud välja töötada isikuandmete kaitse üldmääruse artiklile 47 vastavaid koostööreegleid.
