10.09.2020
Isikuandmete edastamine välisriikidesse toimub Euroopa isikuandmete kaitse üldmääruse (IKÜM) artiklite 44-50 alusel. Üldreegel on see, et andmeid võib edastada juhul, kui on rakendatud nõuetekohased kaitsemeetmed ning on olemas õiguslik alus vastavalt IKÜM-i artiklitele 6 või 9.
- Kui isikuandmete edastamine toimub välisriiki Euroopa Liidu siseselt, siis peab olema õiguslik alus, nagu seda on vaja igaks andmetöötluse toiminguks, kuid täiendavaid kaitsemeetmeid (nt inspektsioonilt luba taotleda) rakendama ei pea.
- Kui isikuandmete edastamine toimub välisriikidesse väljaspool Euroopa Liitu (vt parempoolsest veerust jaotust), siis tuleb uurida, millisele andmekaitsetasemele riik vastab ja vastavalt sellele järgida nõudeid.
- Inspektsioonilt on loa taotlemine kohustuslik vaid artikkel 46 lõige 3 nimetatud kaitsemeetmete kasutamisel ( üldine, nn ad-hoc leping või avaliku sektori asutuste vahelised halduskokkulepped).
Isikuandmete edastamisel liigituvad riigid Euroopa Liidu väliselt:
• Edastamine Euroopa Majanduspiirkonna (Norra, Island, Liechtenstein) riikidesse on võrdsustatud piisava andmekaitse tasemega riikidega ehk edastamise kord on analoogne Euroopa Liidu sisese edastusega.
• Edastamine riikidesse, mis on saanud Euroopa Komisjonilt andmekaitse taseme piisavuse otsuse, on protsess analoogne Euroopa Liidu sisese edastusega. Riikide nimekiri on saadaval Euroopa Komisjoni kodulehelt, sinna on muuhulgas arvatud näiteks Argentiina, Kanada (ainult erasektor), Šveits, Jaapan jne.
• Edastamine ülejäänud riikidesse, mis ei ole ülalpool loetletud, on andmete edastamine mittepiisava andmekaitsetasemega riiki ning edastamisel tuleb rakendada lisakaitsemeetmeid või see võib toimuda erandolukordades (IKÜM artikleid 46-49).
Kuidas aru saada, milline üldmääruse artikkel konkreetsele andmeedastusele kohaldub?
Kõigepealt tuleks välja selgitada, kas kolmas riik või seal asuv rahvusvaheline organisatsioon, kuhu andmeid edastada soovitakse, on saanud Euroopa Komisjonilt otsuse, et antud riigis, konkreetses sektoris või rahvusvahelises organisatsioonis on tagatud piisav andmekaitse tase.
Piisava tasemega riikide nimekirja leiab Euroopa Komisjoni veebiküljelt.
Kui komisjoni piisavuse otsus on olemas, siis ei ole vaja inspektsioonilt taotleda andmete edastamiseks eriluba.
Kui riigile või rahvusvahelisele organisatsioonile ei ole tehtud piisavuse otsust, siis üldiselt võib andmeid edastada üldmääruse artiklis 46 kirjeldatud kaitsemeetmeid kohaldades või üldmääruse artiklis 49 kirjeldatud erandite rakendumisel.
Edastamine kaitsemeetmete kohaldamisel (artikkel 46)
IKÜM-i artiklis 46 on kirjeldatud kaitsemeetmeid, mida rakendades võib isikuandmeid edastada kolmandasse riiki, mille andmekaitse taset ei ole hinnatud piisavaks. Edastada saab kasutades kas siduvaid kontsernisiseseid eeskirju, standardseid andmekaitseklausleid, õiguslikult siduvaid dokumente avaliku sektori asutuste vahel või toimimisjuhendeid vms.
Euroopa Komisjoni standardseid andmekaitseklausleid kasutades (Standard Contractual Clauses (776.03 KB, PDF)) on andmete edastamise tüüplepingu tekst ette antud ning lepingu osapooled peavad sellest lähtuma. Euroopa Kohus jättis 16.07.2020 otsuses kohtuasjas C-311/18 kehtima selle kaitsemeetme, kuid otsuses rõhutas, et andmekaitselised järelevalveasutused peavad peatama või keelama nende kaudu andmete edastamise kolmandasse riiki, kui kõiki asjaolusid arvestades leitakse, et selles kolmandas riigis ei suudeta isikuandmete kaitset tagada.
Juhul, kui kasutatakse kaitsemeetmeid, mis on loetletud artikli 46 lõikes 2, siis ei pea inspektsioonilt taotlema andmete edastamiseks eriluba. Inspektsioonilt peab eriluba taotlema, kui edastamine toimub IKÜM-i artikkel 46 lõige 3 kohaselt (andmete töötleja ja kolmandas riigis asuva andmete töötleja vaheline nn ad hoc leping, avalikus sektori asutuse või organite vahelised halduskokkulepped, mis hõlmavad ka andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi). Enne loaotsuse väljastamist pöördub inspektsioon Euroopa Andmekaitsenõukogu poole arvamuse saamiseks, et kohaldada üldmääruses sätestatud järjepidevuse mehhanismi.
Kontsernisiseste eeskirjade kasutamine (artikkel 47)
Kui andmete edastamisel soovitakse kasutada siduvaid kontsernisiseseid eeskirju (Binding Corporate Rules) ja kontserni peakorter asub Eestis (st Andmekaitse Inspektsioon asub juhtiva järelevalveasutuse rolli), siis tuleb eeskirjad koostada ning viia läbi IKÜM-i artikli 47 alusel toimuv hindamise protseduur (604.51 KB, PDF). Enne otsuse väljastamist kohaldab inspektsioon järjepidevuse mehhanismi (st dokumendid edastatakse ka Euroopa Andmekaitsenõukogule arvamuse saamiseks). Peale Andmekaitsenõukogus toimuvat menetlust on võimalik ilma inspektsiooni eriloata edastada isikuandmeid nendel tingimustel, mis olid kirjeldatud vastu võetud siduvates kontsernisisestes eeskirjades.
Kui aga siduvate kontsernisiseste eeskirjade kasutamisel on juhtiv järelevalveasutus mõnes muus liikmesriigis (st peakorter asub mõnes muus riigis) ning siinne andmetöötleja soovib lihtsalt andmeid edastada järjepidevuse mehhanismi kaudu vastu võetud siduvate kontsernisiseste reeglite alusel, siis kohaldub IKÜM artikkel 46 lõige 2 punkt b ning inspektsioonilt eriluba taotleda ei tule.
Isikuandmete edastamise erandid (artikkel 49)
Juhul, kui riik, kuhu soovitakse andmeid edastada on mittepiisava andmekaitse tasemega riik, Euroopa Komisjon ei ole väljastanud kaitse piisavuse otsust ning puuduvad ka piisavad kaitsemeetmed (kirjeldatud artiklis 46), siis võib isikuandmeid edastada IKÜM artiklis 49 välja toodud erandjuhtumitel (PDF) (nt isiku nõusolek, lepingu täitmine, avalik huvi, õigusnõuete koostamine jms).
Edastamine Ameerika Ühendriikidesse
Ameerika Ühendriike loetakse mittepiisava andmekaitsetasemega riigiks. Ettevõtetel oli võimalik kuni 16. juulini 2020 edastada isikuandmeid Ameerika Ühendriikidesse kasutades andmekaitseraamistikuna Euroopa Komisjoni rakendusotsust 2016/1250 (Privacy Shield ehk Eraelukaitse Kilp), mis reguleeris isikuandmete kaitse piisavust andmete edastamisel Euroopa Liidu ja Ameerika Ühendriikide vahel. Komisjoni rakendusotsuse kehtivuse lõpetas Euroopa Kohtu 16.07.2020 otsus kohtuasjas C-311/18, mille tulemusena on vajalik kasutada alternatiivseid kaitsemeetmeid isikuandmete edastamisel.
Ameerika Ühendriikesse isikuandmete edastamisel tuleb rakendada isikuandmete kaitse üldmääruse (IKÜM) artikli 46 ettenähtud kaitsemeetmeid või artikkel 49 erandeid. Euroopa Andmekaitsenõukogu on välja andnud täiendava selgituse (112.13 KB, PDF).
Soovite taotleda luba?