Isikuandmete edastamisest kolmandatesse riikidesse

8. Mai 2019
PrintPDF Jaga
Andmekaitse valdkonnas tekivad tihti küsimused, mis saab siis, kui mul on andmeid vaja saata väljaspool Eestit asuvale ettevõttele, asutusele või organisatsioonile? 
 
Üldjoontes käib andmete edastamine välisriiki nii enne isikuandmete kaitse üldmääruse kehtima hakkamist kui ka peale seda sarnase põhimõtte järgi.  Kui edastamine toimub Euroopa Liidu siseselt, siis peab olema küll õiguslik alus, nagu seda on vaja igaks andmetöötluse toiminguks, kuid täiendavaid meetmeid (nt inspektsioonilt luba taotleda) rakendama ei pea. Kui aga edastamine toimub kolmandasse riiki, siis tuleb uurida, millisele andmekaitsetasemele riik vastab ja järgida teatud nõudeid.
 
Variante on neli
 
Edastamine Euroopa Majanduspiirkonna (Norra, Island, Liechtenstein) riikidesse on võrdsustatud piisava andmekaitse tasemega riikidega ehk edastamise kord on analoogne Euroopa Liidu sisese edastusega.
Edastamine riikidesse, mis on saanud Euroopa Komisjonilt andmekaitse taseme piisavuse otsuse, on protsess analoogne Euroopa Liidu sisese edastusega. Riikide nimekiri on saadaval Euroopa Komisjoni kodulehelt , sinna on muuhulgas arvatud näiteks Argentiina, Kanada (ainult erasektor), Šveits, 2019 lisandub Jaapan jne.  
Edastamine Ameerika Ühendriikidesse, kui ühendriikides asuv ettevõte on liitunud Privacy Shield programmiga, on loetud piisava andmekaitse tasemega edastuseks (ehk siis analoogne liidu sisese edastusega).
Edastamist ülejäänud riikidesse, mis ei ole ülalpool loetletud, on andmete edastamine mittepiisava andmekaitsetasemega riiki ning edastamisel tuleb rakendada lisakaitsemeetmeid või see võib toimuda erandolukordades (rakendades vastavalt isikuandmete kaitse üldmääruse artikleid 46-49).
 
Enne isikuandmete kaitse üldmääruse kehtima hakkamist reguleeris andmete edastamist nö vana isikuandmete kaitse seadus, mis nägi ette, et mittepiisava andmekaitsetasemega riikidesse edastamisel tuleb selleks taotleda inspektsioonilt vastav luba. Luba väljastades hindas inspektsioon andmeeksportija ja andmeimportija vahel sõlmitud andmeedastuslepinguid (enamasti kasutati selleks Euroopa Komisjoni loodud standardseid andmekaitseklausleid – Standard Contractual Clauses). Lisaks kasutasid suurkorporatsioonid siduvaid kontsernisiseseid eeskirju (Binding Corporate Rules), mille hindamine toimus andmekaitseasutuste vahel vastastikuse tunnustamise põhimõttel (nö emakontori riigis asuv juhtiv järelevalveasutus koos kaasatud asutustega hindas eeskirju, ülejäänud asjassepuutuvad järelevalveasutused tunnustasid juhitva asutuse tehtud otsust).
 
Isikuandmete kaitse üldmääruse tulemisega on toimunud mõningane muudatus just loataotlemise kohustuse osas. Kui edastamine toimub kasutades artikli 46 lõikes 2 ettenähtud kaitsemeetmeid (nt standardse andmekaitseklauslid, toimimisjuhendid, sertifitseerimine, siduvad kontsernisisesed eeskirjad (kuigi nende puhul on säilinud järelevalveasutuste vaheline tunnustamise protseduur)) ei ole vaja inspektsioonilt enam andmete edastamise luba taotleda.  Seega võib öelda, et isikuandmete kaitse üldmäärusega on andmete töötlejatele pandud kohustus ise tagada täielik kaitsemeetmete vastavus kehtivale õigusele ning neid inspektsioon eraldi ei hinda. 
 
Erandiks, mil peab luba taotlema, on olukord, kui edastamine toimub andmeeksportija ja -importija  vahel sõlmitud üldise lepingu alusel või avaliku sektori asutuste vahelise halduskokkuleppe alusel. Sellistel juhtudel tuleb inspektsioonilt taotleda luba ning enne otsuse tegemist peab inspektsioon läbi viima järjepidevuse mehhanismiga seotud protseduurid (esitama lepingud ja otsuse Euroopa Andmekaitsenõukogu liikmetele heakskiitmiseks).
 
Üldmääruse artikkel 49 loetleb erandid, mil võib mittepiisava andmekaitsetasemega riiki edastada andmeid ilma inspektsiooni loata või artiklis 46 loetletud kaitsemeetmeid rakendamata. Sellisteks erandjuhtumiteks on näiteks isiku nõusolek (selgesõnaline nõusolek edastamise lubamiseks), isiku ja andmetöötleja vaheline leping, avalik huvi jms.
Seega võib kokku võtta, et isikuandmete kaitse üldmääruse kehtima hakkamine on vähendanud inspektsioonilt loa taotlemise vajadust. Andmetöötlejatel on rohkem võimalusi andmete edastamise aluste valiku osas (võrreldes varasemalt kehtinud korraga) – näiteks on võimalus kasutada toimimisjuhendeid, sertifitseerimist ja ka erandite kasutamine on võrreldes varasemaga laiem.
 
Kontsernisisesed eeskirjad
 
Töövoogudest rääkides, siis aastal 2017 väljastas inspektsioon 22 otsust andmete edastamiseks välisriiki. Antud number on põhjendatav isikuandmete kaitse üldmääruse jõustumisega, kuna andmetöötlejad soovisid enne õigusakti tulekut oma dokumentatsiooni korrastada. Nimelt varasemalt antud load jäid kehtima ka peale isikuandmete kaitse üldmääruse kehtima hakkamist. Aastal 2018 esitati inspektsioonile 3 loataotlust,  millest ühele väljastati luba. Küll aga oli sel perioodil inspektsioon esmakordselt kaasatud siduvate kontsernisiseste eeskirjade läbivaatamise protseduuri kui kaasläbivaataja. Sellest kogemusest võib öelda, et tegemist on aja- ja ressursimahuka protseduuriga, mille puhul tavaliselt 3 andmekaitseasutust korraga hindavad korporatsiooni andmetöötlusega seonduvat dokumentatsiooni. Lisaks esimesele läbivaatusele, järgneb ka järelläbivaatus ning eeskirjade osas tehtud otsus esitatakse kõikidele teistele asjassepuutuvatele järelevalveasutustele vastuväidete esitamiseks. Kui vastuväiteid ei ole, võetakse otsus vastu ehk siis siduvad kontsernisisesed eeskirjad kiidetakse heaks. Ajaliselt võtab kogu protseduur aega minimaalselt pool aastat kuni aasta.
 
Maarja Kirss
koostöödirektor
 
 
 

Päästa Liisa ID!
TerviseandmeteKaitsefoorum
targalt internetis bänner