Mis muutub isikuandmete edastamises?

Väljaanded / 21. juuli 2020 / Mihkel Miidla, Liisa Maria Kuuskmaa, Ieva Andersone, Irma Kunickė

16. juulil 2020 tegi Euroopa Liidu Kohus (ELK) otsuse niinimetatud ”Schrems II“ kohtuasjas (kohtuasi nr C-311/18, kohtuotsuse täistekst kättesaadav siit ning pressiteade siit), mis avaldab märkimisväärset mõju isikuandmete edastamisele väljapoole Euroopa Liitu ja Euroopa Majanduspiirkonda. Otsus põhjustab tõenäoliselt ebakindlust ja killustatust üle Euroopa. Järelevalve andmete edastamise õiguspärasuse üle on ilmselt suurenemas, mistõttu on ettevõtjatel veelgi olulisem hinnata oma tegevuse kooskõla andmekaitsenõuetega.

Kohtuotsuse põhiseisukohad on järgnevad:

ELK tunnistas kehtetuks Euroopa Komisjoni otsuse EL-USA andmekaitseraamistiku Privacy Shield kohta, sarnaselt Safe Harbouri põhimõtete kehtetukstunnistamisega 2015. aastal. Seetõttu muutub isikuandmete edastamine Ameerika Ühendriikidesse õigusvastaseks, kui andmete edastamisel tuginetakse üksnes Privacy Shieldile.
Euroopa Komisjoni otsus andmekaitse tüüptingimuste kohta kehtib endiselt. Siiski peavad andmete edastajad konkreetse juhtumi asjaoludest lähtuvalt hindama, kas üksnes tüüptingimuste kasutamine tagab andmete kaitse piisava taseme, mis on sisuliselt samaväärne Euroopa Liidus tagatuga. Antud hinnang peab arvesse võtma kolmanda riigi õigust – eelkõige neid õigusnorme, mis reguleerivad selle riigi ametiasutuste võimalikku ligipääsu andmetele. Kui see osutub vajalikuks, peab andmete edastaja rakendama täiendavaid kaitsemeetmeid, näiteks täiendama andmekaitse tüüptingimusi. Isikuandmete edastamisel Ameerika Ühendriikidesse ei taga üksnes tüüptingimuste kasutamine tõenäoliselt piisavat kaitsetaset.
Andmete edastajad on kohustatud peatama või keelama isikuandmete edastamise kolmandasse riiki, kui andmete vastuvõtjal pole võimalik järgida andmekaitse tüüptingimusi ja/või täiendavaid kaitsemeetmeid. Kui andmete edastaja ei rakenda täiendavaid kaitsemeetmeid või ei peata ega keela andmete edastamist, kui see on vajalik, rikub andmete edastaja isikuandmete kaitse üldmäärusest (GDPR-st) tulenevaid kohustusi. Sellisel juhul on pädeval järelevalveasutusel kohustus ise peatada või keelata isikuandmete edastamine.

Loe lähemalt (inglise keeles) siit.

Meie andmekaitseõiguse eksperdid aitavad teid meeleldi, kui teil on küsimusi andmete edastamise õiguspärasuse tagamise kohta.

Pirkko-Liis Harkmaa: Enim vaidlusi põhjustab otsekohese tagasiside töökiusuna tõlgendamine

Norman Aas: Kui roppude sõnadega hümni puhul tuntakse, et nüüd on kogu riik löögi all, on midagi valesti

Norman Aas: Teoreetiliselt on võimalik, et Keskerakonna juhatus vastutab Porto Franco asjas oma varaga

Kuidas satub sportlane vahekohtusse? Riigikohtu hiljutine tõlgendus versus rahvusvaheline praktika