Isikuandmete edastamine välisriiki

PrintPDF Jaga

Isikuandmete edastamist välisriiki reguleerib isikuandmete kaitse seaduse § 18.

Selgitav tekst ja juhis reguleerivad ainult eraõiguslike juriidiliste isikute poolt isikuandmete edastamist välisriiki.

Isikuandmete edastamine Eestist on lubatud üksnes sellisesse riiki, kus on piisav andmekaitsetase. Piisav andmekaitsetase on Euroopa Liidu liikmesriikides, Euroopa Majanduspiirkonna lepinguga ühinenud riikides ja riikides, mille andmekaitsetaset on Euroopa Komisjon hinnanud piisavaks.

Euroopa Komisjon on vastu võtnud rakendusotsuse 2016/1250 isikuandmete kaitse piisavuse kohta andmete edastamisel Euroopa Liidu ja Ameerika Ühendriikide vahel kasutades Privacy Shield andmekaitseraamistikku.

Välisriiki, mis ei ole piisava andmekaitsetasemega, võib isikuandmeid edastada üksnes Andmekaitse Inspektsiooni loal kui:

  • andmete vastutav töötleja garanteerib konkreetsel juhul inimeste õiguste ja eraelu puutumatuse kaitse välisriigis;
  • konkreetsel isikuandmete edastamise juhul on välisriigis tagatud piisav andmekaitsetase.

Andmekaitse taseme hindamisel võetakse arvesse kõiki isikuandmete edastamisega seotud asjaolusid, sealhulgas andmete koosseisu, töötlemise eesmärki ja perioodi, andmete edastamise siht- ja lõppriiki ning riigis kehtiv õigust.

Loa saamiseks tuleb Eestis tegutseval isikuandmete vastutaval töötlejal esitada Andmekaitse Inspektsioonile alljärgnevad dokumendid ja teave:

  • taotlus loa saamiseks isikuandmete edastamiseks kolmandas riigis asuvale isikuandmete töötlejale, millest nähtub taotleja (andmeeksportija) ja kolmandas riigis asuva isikuandmete töötleja (andmeimportija) andmed, kolmanda riigi nimetus, andmete edastamise koosseis, eesmärk ja periood (maksimum 5 aastat), milleks luba taotletakse;
  • kinnitus selle kohta, et kolmandas riigis asuva isikuandmete töötleja poolt toimub isikuandmete töötlemine eesmärgil ja ulatuses, milleks on olemas õiguslik alus;
  • kinnitus selle kohta, et vastutav töötleja garanteerib konkreetsel juhul inimeste õiguste kaitse kolmandas riigis ning et konkreetsel isikuandmete edastamise juhul on riigis tagatud piisav andmekaitse tase.

Piisava andmekaitse taseme garantii annavad lepingu tüüptingimused (vastutavalt töötlejalt vastutavale töötlejale 2001/497/EÜ, 2004/915/EÜ või vastutavalt töötlejalt volitatud töötlejale 2010/87/EÜ), kontserni sise-eeskirjad (Binding Corporate rules) või ad hoc andmekaitselepingud.

Eesti on ühinenud ka vastastikuse tunnustamise grupiga (mutual recognition), millega on ühinenud 21 Euroopa riiki.

Loa taotlus peab olema esitatud Eesti keeles ja see vaadatakse läbi, ja vajadusel küsitakse lisateavet, 30 päeva jooksul. Taotluse läbivaatamise tähtaega saab pikendada 60 päevani. Taotluse juurde kuuluv lisadokumentatsioon võib olla inglise keeles.

Ilma Andmekaitse Inspektsiooni loata on isikuandmete edastamine kolmandatesse riikidesse lubatud vaid: isikuandmete kaitse seaduse § 12 kohase nõusoleku alusel; üksikjuhtumil andmesubjekti või muu isiku elu, tervise või vabaduse kaitseks; või juhul kui kolmas isik taotleb teavet, mis on saadud või loodud seaduse või selle alusel antud õigusaktides sätestatud avalikke ülesandeid täites ja taotletav teave ei sisalda delikaatseid isikuandmeid.


Päästa Liisa ID!
TerviseandmeteKaitsefoorum
targalt internetis bänner