Äripäeva IT-uudised: Isikuandmete kaitsele tuleb hakata rohkem tähelepanu pöörama

12. Okt 2015
PrintPDF Jaga

Euroopa Kohus tegi sel nädalal suurt poleemikat tekitanud otsuse, millega tunnistas kehtetuks Euroopa Komisjoni nn Safe Harbor otsuse, mis võimaldas seni Euroopa Liidust edastada isikuandmeid Ameerika Ühendriikidesse kui andmete sealne vastuvõtja oli liitunud Safe Harbor programmiga.

Konkreetne kohtuasi sai alguse Iirimaal sellest, et üks Austria noormees leidis, et see, et Facebook tema isikuandmeid oma serverites Ameerika Ühendriikides hoiab, ei taga tema isikuandmete piisavat kaitset, mis on ette nähtud ELi õigusega. Kohus, tühistades Safe Harbor otsuse, leidis, et isikuandmete kaitse taset, mis on tagatud Safe Harbor põhimõtetega, ei saa pidada selliseks, mis on EL õiguse alusel nõutud.

Oluline on märkida, et Euroopa Kohtu otsus ei puuduta mitte ainult Facebooki ja teisi Ameerika suurettevõtteid, samuti ka mitte vaid IT-ettevõtteid – see otsus puudutab sisuliselt iga suuremat või väiksemat ettevõtjat, kes isikuandmeid EL-ist Ühendriikidesse edastab, kasutades näiteks mõnda pilveteenusepakkujat, kes hoiab andmeid Ameerika Ühendriikides. Seesuguseid teenusepakkujaid on palju ja nende kasutamine on äärmiselt levinud nii meil kui ka mujal Euroopas, muuhulgas oma töötajate või klientide andmete haldamiseks. Nüüd, kus Euroopa Kohus on tunnistanud Safe Harbor otsuse kehtetuks, võib neil ettevõtetel puududa õiguslik alus isikuandmete Ühendriikidesse edastamiseks.

Miks? EL-i andmekaitsedirektiiv ja selle alusel Eestis vastu võetud isikuandmete kaitse seadus sätestab isikuandmete töötlemisele kõrged standardid. Muuhulgas on lubatud isikuandmeid väljapoole Euroopa Liidu ja Euroopa Majanduspiirkonna liikmesriike edastada ainult siis, kui see riik tagab piisava andmekaitse taseme või kui kohaldub mõni erand. Vastasel juhul ei ole lubatud isikuandmeid kolmandatesse riikidesse edastada. Neid riike, mille puhul on leitud, et nad tagavad piisava andmekaitse taseme, on näputäis. Ameerika Ühendriigid tervikuna sinna nimekirja ei kuulu.

Alates 2000. aastast kuni hiljutise Euroopa Kohtu otsuseni oli Ühendriikide ettevõtetel võimalik kinnitada, et nad järgivad EL-i liikmesriikidest edastatud andmete puhul Safe Harbor programmi nõudeid ja tingimusi, tagades seeläbi piisava andmekaitse taseme. Kuigi Safe Harbor programmi on pidevalt kritiseeritud, oli selle näol tegu suhteliselt lihtsa võimalusega tagada isikuandmete õiguspärane edastamine EL ja Ühendriikide vahel ning seetõttu oli sellega liitunud ka tuhandeid ettevõtteid.

Nii ärilises kui ka juriidilises mõttes on Eesti ja Euroopa, aga loomulikult ka puudutatud Ameerika ettevõtjate jaoks tegemist keerulise olukorraga. EL-i andmekaitseasutused on lubanud anda kiiremas korras juhiseid, kuidas antud olukorras edasi minna. Ilmselt ollakse mõistvad ning antakse ettevõtetele piisav aeg oma tegevus seadusega kooskõlla viia. Loomulikult ei ole välistatud ka see, et EL ja Ühendriigid lepivad kokku uues Safe Harbor programmis, kuid see võtaks ilmselt aega, kuna Euroopa Kohtu otsuse valguses peab see tagama EL-i kodanike õiguste oluliselt tugevama kaitse.

Andmed liiguvad edasi Ühendriikidesse

On oluline märkida, et Safe Harbori kehtetuks tunnistamine ei tähenda, et andmete edastamine EL ja Ühendriikide vahel peaks täielikult seiskuma. On mitmeid teisi mehhanisme, mida kaaluda ning mille alusel võib andmeid õiguspäraselt edastada ja mida paljud ka kasutavad – näiteks vastavate lepingutingimuste või tüüptingimuste sisse seadmine (nn Standard Contractual Clauses). Eestis on sellisel juhul vaja saada andmete edastamiseks Andmekaitse Inspektsiooni luba. Isikuandmete edastamine on lubatud Andmekaitse Inspektsiooni loata näiteks siis, kui isik, kelle andmeid edastatakse, on selleks andnud nõusoleku. Selleks, et nõusolek oleks kehtiv, peab see vastama teatud tingimustele. Inglise andmekaitseasutus (ICO) on küll väljendanud seisukohta, et nõusolek ei ole sobivaim pikaajaline lahendus suurte andmemahtude edastamiseks. Mõningatel juhtudel võib olla sobilik ka kontserni sise-eeskirjade vastuvõtmine (nn Binding Corporate Rules), mis toimub samuti andmekaitseasutuste toel.

See, milline konkreetne õiguslik alus sobib konkreetsele ettevõttele, sõltub selle ettevõtte ärist ja võimalustest. Seevastu on igasuguste erandite puhul oluline aru saada, et neid tuleb tõlgendada kitsendavalt. Samuti tuleb ka nimetatud teisi mehhanisme hinnata kõnealuse Euroopa Kohtu otsuse valguses. Alternatiivina võib oma elu juriidiliselt lihtsamaks teha ka kindlustades, et isikuandmed ei liiguks EL-ist väljapoole või ei liiguks EL-ist väljapoole isikustatud, vaid anonümiseeritud kujul. Unustada ei tohi ka, et isegi kui on olemas õigus edastada andmeid väljapoole EL-i või kui andmete edastamine toimub EL-i siseselt, siis isikuandmete töötlemine peab igal juhul vastama kõigile teistele seaduses ette nähtud nõuetele, sh toimuma õiguslikul alusel.  

Euroopa Kohtu otsus näitab taas, et EL suhtub isikuandmete kaitsesse täie tõsidusega ning võiks motiveerida kõiki ettevõtjaid oma isikuandmete töötlemise protsesse kriitiliselt üle vaatama.  

 

Äripäev (IT-uudised) 9.10.2015, http://www.ituudised.ee/arvamused/2015/10/09/Ettevõtted-peavad-isikuandmete-kaitsele-rohkem-tähelepanu-pöörama

 


Päästa Liisa ID!
TerviseandmeteKaitsefoorum
targalt internetis bänner