30.08.2019
Isikuandmete edastamine kolmandatesse riikidesse toimub Euroopa isikuandmete kaitse üldmääruse artiklite 44-50 alusel. Üldreegel on see, et andmeid võib edastada juhul, kui on täidetud eelviidatud artiklites sätestatud tingimused (nt rakendatud piisavad kaitsemeetmed) ning on olemas üldmääruse artiklitele 6 või 9 vastav õiguslik alus.
- Kui edastamine toimub kolmandasse riiki Euroopa Liidu siseselt, siis peab olema õiguslik alus, nagu seda on vaja igaks andmetöötluse toiminguks, kuid täiendavaid meetmeid (nt inspektsioonilt luba taotleda) rakendama ei pea.
- Kui aga edastamine toimub kolmandatesse riikidesse, siis tuleb uurida, millisele andmekaitsetasemele riik vastab ja vastavalt sellele järgida teatud nõudeid. Inspektsioonilt peab taotlema luba isikuandmete edastamiseks artikkel 46 lõige 3 kohaselt.
Isikuandmete edastamisel liigituvad riigid isikuandmete kaitse üldmääruse alusel Euroopa Liidu väliselt nelja kategooriasse
• Edastamine Euroopa Majanduspiirkonna (Norra, Island, Liechtenstein) riikidesse on võrdsustatud piisava andmekaitse tasemega riikidega ehk edastamise kord on analoogne Euroopa Liidu sisese edastusega.
• Edastamine riikidesse, mis on saanud Euroopa Komisjonilt andmekaitse taseme piisavuse otsuse, on protsess analoogne Euroopa Liidu sisese edastusega. Riikide nimekiri on saadaval Euroopa Komisjoni kodulehelt , sinna on muuhulgas arvatud näiteks Argentiina, Kanada (ainult erasektor), Šveits, Jaapan jne.
• Edastamine Ameerika Ühendriikidesse, kui ühendriikides asuv ettevõte on liitunud Privacy Shield programmiga, on loetud piisava andmekaitse tasemega edastuseks (ehk siis analoogne liidu sisese edastusega).
• Edastamist ülejäänud riikidesse, mis ei ole ülalpool loetletud, on andmete edastamine mittepiisava andmekaitsetasemega riiki ning edastamisel tuleb rakendada lisakaitsemeetmeid või see võib toimuda erandolukordades (rakendades vastavalt isikuandmete kaitse üldmääruse artikleid 46-49).
Kuidas aru saada, milline üldmääruse artikkel konkreetsele andmeedastusele kohaldub?
Kõigepealt tuleks välja selgitada, kas kolmas riik või seal asuv rahvusvaheline organisatsioon, kuhu andmeid edastada soovitakse, on saanud Euroopa Komisjonilt otsuse, et antud riigis, konkreetses sektoris või rahvusvahelises organisatsioonis on tagatud piisav andmekaitse tase.
Piisava tasemega riikide nimekirja leiab Euroopa Komisjoni veebiküljelt.
Kui komisjoni piisavuse otsus on olemas, siis ei ole vaja inspektsioonilt taotleda andmete edastamiseks eriluba.
Kui riigile või rahvusvahelisele organisatsioonile ei ole tehtud piisavuse otsust, siis üldiselt võib andmeid edastada üldmääruse artiklis 46 kirjeldatud kaitsemeetmeid kohaldades või üldmääruse artiklis 49 kirjeldatud erandite rakendumisel.
Edastamine Ameerika Ühendriikidesse
Ameerika Ühendriike loetakse mittepiisava andmekaitsetasemega riigiks. Samas on Euroopa Komisjon vastu võtnud rakendusotsuse 2016/1250 isikuandmete kaitse piisavuse kohta andmete edastamisel Euroopa Liidu ja Ameerika Ühendriikide vahel kasutades Eraelukaitse Kilbi (Privacy Shield)
andmekaitseraamistikku. Teisisõnu, nendele ettevõtetele, kes on liitunud Eraelukaitse Kilbiga programmiga, andmete edastust loetakse piisavuse otsuse alusel tehtavaks andmete edastuseks ning andmete edastamine on lubatud üldmääruse artikli 45 alusel. Inspektsiooni luba andmete edastamiseks ei ole vaja taotleda.
Eraelukaitse Kilbiga liitunud ettevõtete loetelu.
Edastamine kaitsemeetmete kohaldamisel (artikkel 46)
Üldmääruse artiklis 46 on kirjeldatud kaitsemeetmeid, mida rakendades võib isikuandmeid edastada kolmandasse riiki, mille andmekaitse taset ei ole hinnatud piisavaks. Edastada saab kasutades kas siduvaid kontsernisiseseid eeskirju, standardseid andmekaitseklausleid, õiguslikult siduvaid dokumente avaliku sektori asutuste vahel või toimimisjuhendeid vms.
Juhul, kui kasutatakse kaitsemeetmeid, mis on loetletud artikli 46 lõikes 2, siis ei pea inspektsioonilt taotlema andmete edastamiseks eriluba. Inspektsioonilt peab eriluba taotlema, edastamine toimub isikuandmete kaitse määruse artikkel 46 lõige 3 kohaselt (andmete töötleja ja kolmandas riigis asuva andmete töötleja vaheline nn ad hoc leping, avalikus sektori asutuse või organite vahelised halduskokkulepped, mis hõlmavad ka andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi). Enne loaotsuse väljastamist pöördub inspektsioon Euroopa Andmekaitsenõukogu poole arvamuse saamiseks, et kohaldada üldmääruses sätestatud järjepidevuse mehhanismi.
Kontsernisiseste eeskirjade kasutamine (artikkel 47)
Kui andmete edastamisel soovitakse kasutada siduvaid kontsernisiseseid eeskirju (Binding Corporate Rules) ja kontserni peakorter asub Eestis (st Andmekaitse Inspektsioon asub juhtiva järelevalveasutuse rolli), siis tuleb eeskirjad koostada ning viia läbi üldmääruse artikli 47 alusel toimuv hindamise protseduur (604.51 KB, PDF). Enne otsuse väljastamist kohaldab inspektsioon järjepidevuse mehhanismi (st dokumendid edastatakse ka Euroopa Andmekaitsenõukogule arvamuse saamiseks). Peale Andmekaitsenõukogus toimuvat menetlust on võimalik ilma inspektsiooni eriloata edastada isikuandmeid nendel tingimustel, mis olid kirjeldatud vastu võetud siduvates kontsernisisestes eeskirjades.
Kui aga siduvate kontsernisiseste eeskirjade kasutamisel on juhtiv järelevalveasutus mõnes muus liikmesriigis (st peakorter asub mõnes muus riigis) ning siinne andmetöötleja soovib lihtsalt andmeid edastada järjepidevuse mehhanismi kaudu vastu võetud siduvate kontsernisiseste reeglite alusel, siis kohaldub üldmääruse artikkel 46 lõige 2 punkt b ning inspektsioonilt eriluba taotleda ei tule.
Isikuandmete edastamise erandid (artikkel 49)
Juhul, kui riik, kuhu soovitakse andmeid edastada on mittepiisava andmekaitse tasemega riik, Euroopa Komisjon ei ole väljastanud kaitse piisavuse otsust ning puuduvad ka piisavad kaitsemeetmed (kirjeldatud artiklis 46), siis võib isikuandmeid edastada üldmääruse artiklis 49 välja toodud erandjuhtumitel (PDF) (nt isiku nõusolek, lepingu täitmine, avalik huvi, õigusnõuete koostamine jms).
Soovite taotleda luba?