Isikuandmete edastamine välisriikidesse toimub Euroopa isikuandmete kaitse üldmääruse (IKÜM) artiklite 44-50 alusel. Üldreegel on see, et andmeid võib edastada juhul, kui on rakendatud nõuetekohased kaitsemeetmed ning on olemas õiguslik alus vastavalt IKÜM-i artiklitele 6 või 9.
- Kui isikuandmete edastamine toimub välisriiki Euroopa Liidu siseselt, siis peab olema õiguslik alus, nagu seda on vaja igaks andmetöötluse toiminguks, kuid täiendavaid kaitsemeetmeid (nt inspektsioonilt luba taotleda) rakendama ei pea.
- Kui isikuandmete edastamine toimub välisriikidesse väljaspool Euroopa Liitu (vt parempoolsest veerust jaotust), siis tuleb uurida, millisele andmekaitsetasemele riik vastab ja vastavalt sellele järgida nõudeid.
- Inspektsioonilt on loa taotlemine kohustuslik vaid artikkel 46 lõige 3 nimetatud kaitsemeetmete kasutamisel ( üldine, nn ad-hoc leping või avaliku sektori asutuste vahelised halduskokkulepped).
Isikuandmete edastamisel liigituvad riigid Euroopa Liidu väliselt:
• Edastamine Euroopa Majanduspiirkonna (Norra, Island, Liechtenstein) riikidesse on võrdsustatud piisava andmekaitse tasemega riikidega ehk edastamise kord on analoogne Euroopa Liidu sisese edastusega.
• Edastamine riikidesse, mis on saanud Euroopa Komisjonilt andmekaitse taseme piisavuse otsuse, on protsess analoogne Euroopa Liidu sisese edastusega. Riikide nimekiri on saadaval Euroopa Komisjoni kodulehelt, sinna on muuhulgas arvatud näiteks Argentiina, Kanada (ainult erasektor), Šveits, Jaapan jne.
• Edastamine ülejäänud riikidesse, mis ei ole ülalpool loetletud, on andmete edastamine mittepiisava andmekaitsetasemega riiki ning edastamisel tuleb rakendada lisakaitsemeetmeid või see võib toimuda erandolukordades (IKÜM artikleid 46-49).
Kuidas aru saada, milline üldmääruse artikkel konkreetsele andmeedastusele kohaldub?
Edastamine kaitsemeetmete kohaldamisel (artikkel 46)
Euroopa Komisjoni standardseid andmekaitseklausleid kasutades Standard Contractual Clauses on andmete edastamise tüüplepingu tekst ette antud ning lepingu osapooled peavad sellest lähtuma. Euroopa Komisjon kaasajastas standardsed andmekaitseklauslid 4.06.2021.
Euroopa Kohtu 16.07.2020 otsusega kohtuasjas C-311/18 jäeti kehtima selle kaitsemeetme võimalus, kuid otsuses rõhutati, et andmekaitse järelevalveasutused peavad peatama või keelama nende kaudu andmete edastamise kolmandasse riiki, kui kõiki asjaolusid arvestades leitakse, et selles kolmandas riigis ei suudeta isikuandmete kaitset tagada.
Juhul, kui kasutatakse kaitsemeetmeid, mis on loetletud artikli 46 lõikes 2, siis ei pea inspektsioonilt taotlema andmete edastamiseks eriluba. Inspektsioonilt peab eriluba taotlema, kui edastamine toimub IKÜM-i artikkel 46 lõige 3 kohaselt (andmete töötleja ja kolmandas riigis asuva andmete töötleja vaheline nn ad hoc leping, avalikus sektori asutuse või organite vahelised halduskokkulepped, mis hõlmavad ka andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi). Enne loaotsuse väljastamist pöördub inspektsioon Euroopa Andmekaitsenõukogu poole arvamuse saamiseks, et kohaldada üldmääruses sätestatud järjepidevuse mehhanismi.
Kontsernisiseste eeskirjade kasutamine (artikkel 47)
Isikuandmete edastamise erandid (artikkel 49)
Edastamine Ameerika Ühendriikidesse
Soovite taotleda luba?
Euroopa Andmekaitsenõukogu soovitused