Andmekaitse Inspektsiooni logo

Isikuandmete edastamine välisriiki üldmääruse alusel

Euroopa Liidu siseselt isikuandmete edastamisel peab olema andmetöötleja veendunud, et isikuandmete edastamiseks on olemas õiguslik alus (IKÜM art 6 või art 9). Euroopa Liidust väljapoole saatmisel tuleb aga arvestada, et mistahes riiki andmete edastamisel peab lisaks säilima isikuandmete samasugune kaitse tase, nagu nendel on Euroopa Liidus.

Edastamine Euroopa Majanduspiirkonna (Norra, Island, Liechtenstein) riikidesse on võrdsustatud piisava andmekaitse tasemega riikidega ehk edastamise kord on analoogne Euroopa Liidu sisese edastusega. 

Euroopa Liidu ja Majanduspiirkonna välise, nn kolmanda riigi andmetöötlejale võib isikuandmeid edastada vaid juhul, kui täidetud on lisaks õigusliku aluse olemasolule ka IKÜM-i V peatüki tingimused, mis käsitleb isikuandmete edastamist kolmandatele riikidele. V peatüki kohaselt on isikuandmete edastamine lubatud juhul, kui füüsiliste isikute kaitse taset ei kahjustata.  

Millal ei kahjustata isikuandmete edastamine kaitse taset? 

Füüsiliste isikute kaitse taset ei kahjustata, kui olemas on kas kaitse piisavuse otsus või kohaldatakse mõnda muud asjakohast kaitsemeedet. Asjakohased kaitsemeetmed võib jagada kaheks - ühed, mis ei vaja järelevalveasutuse eriluba ning teised, mis vajavad. 

Järelevalveasutuse eriluba ei ole vaja näiteks järgnevate kaitsemeetmete kasutamisel: 

siduvad kontsenisisesed eeskirjad (BCR),  

standardsed andmekaitseklauslid (SCC),  

järelevalveasutuse poolt vastu võetud andmekaitseklauslid; 

toimimisjuhendid,  

sertifitseerimismehhanismid. 

Eriluba on vaja, kui kasutatakse allpool olevaid kaitsemeetmeid:  

nn ad-hoc lepingutingimused.  

Üldmäärus annab võimaluse ka erandite kasutamiseks, kui eeltoodud meetmeid ei ole võimalik kohaldada.  

Kaitse piisavuse otsus (üldmääruse artikkel 45) on Euroopa Komisjoni poolt tehtud otsus, mille kohaselt annab komisjon nõusoleku, et asjakohane kolmas riik tagab isikuandmete kaitse piisavuse taseme.  

Kaitse piisavuse otsused näiteks Jaapani, Kanada (erasektor), Iisraeli ja Uruguay kohta on leitavad Euroopa Komisjoni veebilehelt

Euroopa Komisjon on 10.07.2023 teinud Ameerika Ühendriikide kohta kaitse piisavuse otsuse, mille kohaselt tagab USA isikuandmete kaitse piisavuse raamistikuga Data Privacy Framework (edaspidi DPF). 

DPF on vabatahtlik raamistik, milles osalemiseks peavad USA ettevõtted ennast sertifitseerima, kohustudes järgima üksikasjalikke isikuandmete kaitse kohustusi – näiteks andmete minimeerimine, säilitamistingimused, andmeturve ja kohustused seoses andmete jagamisega kolmandate isikutega. Saadaval on ka nimekiri USA ettevõtetest, kes on liitunud DPF raamistikuga.

Euroopa Kohtus on menetlus Latombe vs EC, mille esemeks on USA kaitse piisavuse otsuse tühistamine. 03.09.25 andis Euroopa Kohus välja pressiteate, milles annab teada, et jättis tühistamiskaebuse menetlusse võtmata.  

Kui kaitse piisavuse otsus puudub, võib kolmanda riigi andmetöötlejale edastada isikuandmeid vaid juhul, kui on sätestatud asjakohased kaitsemeetmed. 

 Eriluba taotlemata võib asjakohased kaitsemeetmed ette näha: 

  1. siduvate kontsernisiseste eeskirjadega (Binding Corporate Rules, BCR); 

  1. standardsete andmekaitseklauslitega (Standard Contractual Clauses, SCC); 

  1. järelevalveasutuse poolt vastu võetud andmekaitseklauslid; 

  1. toimimisjuhendiga (Codes of Conduct, CoC); 

  1. sertifiseerimismehhanismiga. 

Järelevalveasutuse loal võib kaitsemeetmed sätestada ka EL andmetöötleja ning kolmanda riigi andmetöötleja vaheliste lepingutingimustega (nn ad-hoc lepingutingimused ehk ad-hoc SCC).  

Siduvad kontserni eeskirjad on ettevõtete grupi sise-eeskirjad, mis sätestavad kontserni üldise isikuandmete edastamise reeglid. Need eeskirjad peavad olema siduvad ja neid peavad järgima kõik grupi üksused, olenemata nende asukohariigist. Lisaks peavad need selgesõnaliselt andma üksikisikutele kohtulikult kaitstavad õigused seoses nende isikuandmete töötlemisega.  

Kui teie ettevõte on osa kontsernist, kuhu kuulub ka kolmandate riikide ettevõtteid, võiks kontrollida, kas isikuandmete edastamiseks on olemas kehtiv BCR.  

Kehtiva BCR-i olemasolul andmeedastuseks AKI eriluba vaja ei ole, kuid enne andmete edastamist tuleks kontsernisiseste eeskirjadega tutvuda. BCR peab olema kontserni emaettevõtte kodulehel osaliselt avalik, kuid kontserni kuuluvatel ettevõtetel peab olema võimalik tutvuda ka täistekstiga. 

Eesti ettevõte soovib kasutada kontsernisiseseid eeskirju andmeedastuseks 

Kui teile kuulub grupi emaettevõte Eestis ning AKI on teie ettevõtte juhtiv järelevalveasutus, tuleb kontsernisiseste eeskirjade heakskiitmiseks pöörduda AKI poole. AKI kontrollib, kas kõik üldmääruse artikli 47 lõige 2 elemendid on eeskirjades kaetud.  

Andmekaitsenõukogu on võtnud vastu soovitused elementidest, mida BCR katma peaks. Soovitused on eraldi vastutavale ning volitatud töötlejale.  

Enne otsuse väljastamist edastab AKI kontsernisiseste eeskirjade dokumendid Andmekaitsenõukogule arvamuse saamiseks. Pärast Andmekaitsenõukogus toimuvat menetlust ning AKI lubavat otsust on võimalik edastada isikuandmeid nendel tingimustel, mis olid kirjeldatud vastu võetud siduvates kontsernisisestes eeskirjades. 

Üldmääruse kohaselt saab lepingutingimusi, mis tagavad asjakohased kaitsemeetmed, kasutada alusena andmete edastamiseks EL-st kolmandatesse riikidesse. See hõlmab tüüplepingutingimusi, nn standardseid andmekaitseklausleid (edaspidi SCC), mille Euroopa Komisjon on eelnevalt heaks kiitnud.

Heaks kiidetud SCC-d sisaldavad tüüptingimusi järgmistele andmeedastustele:  

  • vastutavalt töötlejalt vastutavale töötlejale (C2C); 

  • vastutavalt töötlejalt volitatud töötlejale (C2P); 

  • Volitatud töötlejalt volitatud töötlejale (P2P); 

  • volitatud töötlejalt vastutavale töötlejale (P2C), kui volitatud töötleja on ELis ning vastutav töötleja on kolmandas riigis. 

Muudel juhtudel SCC kasutada võimalik ei ole. 

Seda, kas kolmanda riigi andmetöötlejaga on vastavad lepingud sõlmitud, ei ole võimalik avalikult kontrollida. Vastav leping peab olema sõlmitud kolmanda riigi andmetöötleja ning andmeeksportija ehk teie enda ettevõtte vahel. Kui sellist lepingut sõlmitud ei ole, ei ole võimalik andmete edastamisel SCCle toetuda.  

Üldmäärus annab võimaluse kasutada isikuandmete edastamisel ka järelevalveasutuse poolt vastu võetud andmekaitseklausleid. AKI ei ole selliseid andmekaitseklausleid vastu võtnud.  

Toimimisjuhendid (edaspidi CoC) on sektoripõhised kokkulepped, mis aitavad organisatsioonidel vastata üldmääruse nõuetele. 

Erinevalt siduvatest kontsernisisestest eeskirjadest (BCR), mida saavad koostada üksikud ettevõtete rühmad, töötavad toimimisjuhendeid välja sektoreid esindavad ühendused. Toimimisjuhendite kasutamisel tuleb lisaks luua sektoripõhiselt akrediteeritud asutuste süsteem, mis jälgiks toimimisjuhendite järgimist. 

Ehkki üldmäärus annab võimaluse edastada andmeid sertifitseerimisskeemide alusel, ei ole tänaseks loodud ühtegi skeemi, mille alusel võiks andmeid kolmandatesse riikidesse edastada. Olemasolevad sertifitseerimisskeemid ning märked, kas kolmandasse riiki andmeedastus on lubatud, on leitavad Euroopa Komisjoni veebilehel.

Andmekaitsenõukogu on andnud välja suunised, kuidas saaks sertifitseerimismehhanismi andmete edastamisel kolmandatesse riikidesse kasutada. 

Kui vastutav töötleja või volitatud töötleja otsustavad mitte kasutada Euroopa Komisjoni poolt vastu võetud andmekaitseklausleid (SCC), saavad nad koostada ise lepingutingimused (nn ad-hoc tingimused), mis pakuvad piisavaid andmekaitsemeetmeid.  

Enne andmete edastamist peab juhtiv järelevalveasutus sellised ad-hoc lepingutingimused heaks kiitma vastavalt isikuandmete kaitse üldmääruse artikli 46 lõike 3 punktile a pärast Euroopa Andmekaitsenõukogu arvamuse saamist. 

Üldmäärus annab ka võimaluse eranditeks juhul, kui puudub kaitse piisavuse otsus või muud asjakohased kaitsemeetmed. Selline edastamine on lubatud vaid juhul, kui täidetud on vähemalt üks üldmääruse artikli 49 lõike 1 tingimustest – näiteks peab olema edastamiseks andmesubjekti selgesõnaline nõusolek; edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks jm. Ühtlasi võib erandi alusel edastada vaid juhul, kui kumulatiivselt on täidetud järgnevad tingimused: 

  • edastamine ei ole korduv; 

  • puudutab vaid piiratud arvu andmesubjekte; 

  • edastamine on vajalik, et kaitsta vastutava töötleja õigustatud huve, mille suhtes andmesubjekti huvid, õigused või vabadused ei ole ülekaalus; 

  • vastutav töötleja on hinnanud kõiki andmete edastamisega seotud asjaolusid ja kehtestanud selle hinnangu põhjal sobivad kaitsemeetmed isikuandmete kaitseks.  

Erandi kasutamisest tuleb teavitada järelevalveasutust ning andmesubjekte. Andmesubjekte tuleb teavitada ka vastutava töötleja poolt kaitstavatest õigustatud huvidest. 

Erandite kasutamise kohta on Euroopa Andmekaitsenõukogu väljastanud ka suunised

Avaliku sektori asutustele annab üldmäärus võimaluse edastada andmeid õiguslikult siduva ja täitmisele pööratava dokumendiga avaliku sektori asutuste või organite vahel (üldmäärus artikkel 46 lõige 2 punkt a) ning  järelevalveasutuse eriloal halduskokkuleppega (üldmäärus artikkel 46 lõige 3 punkt b).  

Andmekaitsenõukogu on nende meetmete kasutamiseks andnud välja suunised

Palume pöörduda Andmekaitse Inspektsiooni poole, kui viimase kahe kaitsemeetme kasutamisel tekib küsimusi.  

  1. Kas andmete edastamiseks on olemas IKÜM artikli 6 või 9 õiguslik alus?  

  1. Kas tegemist on Euroopa Liidu või Euroopa Majanduspiirkonna riigiga? 

  1. Kas riigil on olemas kaitse piisavuse otsus? Mis on sellise otsuse tingimused?  

  1. Juhul, kui ettevõtted kuuluvad samasse kontserni: kas ettevõttel on olemas siduvad kontsernisisesed eeskirjad (BCR)?  

  1. Kas minu ettevõtte ja kolmanda riigi ettevõtte vahel on leping, mis sisaldab standardseid andmekaitseklausleid?  

  1. Kas kolmanda riigi ettevõttele kehtivad mõned sektoriülesed toimimisjuhendid? 

  1. Kas andmete edastamiseks võiks kohalduda mõni erand? 

Last updated: 04.09.2025