- Kui isikuandmete edastamine toimub välisriiki Euroopa Liidu siseselt, siis peab olema õiguslik alus, nagu seda on vaja igaks andmetöötluse toiminguks, kuid täiendavaid kaitsemeetmeid (nt inspektsioonilt luba taotleda) rakendama ei pea.
- Kui isikuandmete edastamine toimub välisriikidesse väljaspool Euroopa Liitu (vt parempoolsest veerust jaotust), siis tuleb uurida, millisele andmekaitsetasemele riik vastab ja vastavalt sellele järgida nõudeid.
- Inspektsioonilt on loa taotlemine kohustuslik vaid artikkel 46 lõige 3 nimetatud kaitsemeetmete kasutamisel ( üldine, nn ad-hoc leping või avaliku sektori asutuste vahelised halduskokkulepped).
Isikuandmete edastamisel liigituvad riigid Euroopa Liidu väliselt:
• Edastamine Euroopa Majanduspiirkonna (Norra, Island, Liechtenstein) riikidesse on võrdsustatud piisava andmekaitse tasemega riikidega ehk edastamise kord on analoogne Euroopa Liidu sisese edastusega.
• Edastamine riikidesse, mis on saanud Euroopa Komisjonilt andmekaitse taseme piisavuse otsuse, on protsess analoogne Euroopa Liidu sisese edastusega. Riikide nimekiri on saadaval Euroopa Komisjoni kodulehelt, sinna on muuhulgas arvatud näiteks Argentiina, Kanada (ainult erasektor), Šveits, Jaapan jne.
• Edastamine ülejäänud riikidesse, mis ei ole ülalpool loetletud, on andmete edastamine mittepiisava andmekaitsetasemega riiki ning edastamisel tuleb rakendada lisakaitsemeetmeid või see võib toimuda erandolukordades (IKÜM artikleid 46-49).
Mittepiisava andmekaitsetasemega riikide kategooriasse kuuluvad Ameerika Ühendriigid. USAsse edastamisel tuleb rakendada IKÜM art. 46 ettenähtud kaitsemeetmeid või art. 49 erandeid.
Kõigepealt tuleks välja selgitada, kas kolmas riik või seal asuv rahvusvaheline organisatsioon, kuhu andmeid edastada soovitakse, on saanud Euroopa Komisjonilt otsuse, et antud riigis, konkreetses sektoris või rahvusvahelises organisatsioonis on tagatud piisav andmekaitse tase.
Piisava tasemega riikide nimekirja leiab Euroopa Komisjoni veebiküljelt.
Kui komisjoni piisavuse otsus on olemas, siis ei ole vaja inspektsioonilt taotleda andmete edastamiseks eriluba.
Kui riigile või rahvusvahelisele organisatsioonile ei ole tehtud piisavuse otsust, siis üldiselt võib andmeid edastada üldmääruse artiklis 46 kirjeldatud kaitsemeetmeid kohaldades või üldmääruse artiklis 49 kirjeldatud erandite rakendumisel.
IKÜM-i artiklis 46 on kirjeldatud kaitsemeetmeid, mida rakendades võib isikuandmeid edastada kolmandasse riiki, mille andmekaitse taset ei ole hinnatud piisavaks. Edastada saab kasutades kas siduvaid kontsernisiseseid eeskirju, standardseid andmekaitseklausleid, õiguslikult siduvaid dokumente avaliku sektori asutuste vahel või toimimisjuhendeid vms.
Euroopa Komisjoni standardseid andmekaitseklausleid kasutades Standard Contractual Clauses on andmete edastamise tüüplepingu tekst ette antud ning lepingu osapooled peavad sellest lähtuma. Euroopa Komisjon kaasajastas standardsed andmekaitseklauslid 4.06.2021.
Euroopa Kohtu 16.07.2020 otsusega kohtuasjas C-311/18 jäeti kehtima selle kaitsemeetme võimalus, kuid otsuses rõhutati, et andmekaitse järelevalveasutused peavad peatama või keelama nende kaudu andmete edastamise kolmandasse riiki, kui kõiki asjaolusid arvestades leitakse, et selles kolmandas riigis ei suudeta isikuandmete kaitset tagada.
Juhul, kui kasutatakse kaitsemeetmeid, mis on loetletud artikli 46 lõikes 2, siis ei pea inspektsioonilt taotlema andmete edastamiseks eriluba. Inspektsioonilt peab eriluba taotlema, kui edastamine toimub IKÜM-i artikkel 46 lõige 3 kohaselt (andmete töötleja ja kolmandas riigis asuva andmete töötleja vaheline nn ad hoc leping, avalikus sektori asutuse või organite vahelised halduskokkulepped, mis hõlmavad ka andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi). Enne loaotsuse väljastamist pöördub inspektsioon Euroopa Andmekaitsenõukogu poole arvamuse saamiseks, et kohaldada üldmääruses sätestatud järjepidevuse mehhanismi.
Kui andmete edastamisel soovitakse kasutada siduvaid kontsernisiseseid eeskirju (Binding Corporate Rules) ja kontserni peakorter asub Eestis (st Andmekaitse Inspektsioon asub juhtiva järelevalveasutuse rolli), siis tuleb eeskirjad koostada ning viia läbi IKÜM-i artikli 47 alusel toimuv hindamise protseduur. Enne otsuse väljastamist kohaldab inspektsioon järjepidevuse mehhanismi (st dokumendid edastatakse ka Euroopa Andmekaitsenõukogule arvamuse saamiseks). Peale Andmekaitsenõukogus toimuvat menetlust on võimalik ilma inspektsiooni eriloata edastada isikuandmeid nendel tingimustel, mis olid kirjeldatud vastu võetud siduvates kontsernisisestes eeskirjades.
Kui aga siduvate kontsernisiseste eeskirjade kasutamisel on juhtiv järelevalveasutus mõnes muus liikmesriigis (st peakorter asub mõnes muus riigis) ning siinne andmetöötleja soovib lihtsalt andmeid edastada järjepidevuse mehhanismi kaudu vastu võetud siduvate kontsernisiseste reeglite alusel, siis kohaldub IKÜM artikkel 46 lõige 2 punkt b ning inspektsioonilt eriluba taotleda ei tule.
Juhul, kui riik, kuhu soovitakse andmeid edastada on mittepiisava andmekaitse tasemega riik, Euroopa Komisjon ei ole väljastanud kaitse piisavuse otsust ning puuduvad ka piisavad kaitsemeetmed (kirjeldatud artiklis 46), siis võib isikuandmeid edastada IKÜM artiklis 49 välja toodud erandjuhtumitel, nt isiku nõusolek, lepingu täitmine, avalik huvi, õigusnõuete koostamine jms.
Ameerika Ühendriike loetakse piisava andmekaitsetasemega riigiks. Euroopa Komisjoni rakendusotsus isikuandmete kaitse piisavuse kohta andmete edastamisel Ameerika Ühendriikidesse jõustus 10. juulil 2023.
Otsuse kohaselt võivad Euroopa Majanduspiirkonnas (EMP) asuvad organisatsioonid edastada isikuandmeid sertifitseeritud USA organisatsioonidele, kes on võtnud kohustuse järgida kaitse piisavuse otsuses sätestatud kaitsemeetmeid. Isikuandmeid võib kaitse piisavuse otsuse alusel edastada otse, ilma et selleks oleks vaja näiteks andmekaitseasutuse luba.
Kui leiate, et mõni äriühing on Teie isikuandmete Ameerika Ühendriikidesse edastamisel rikkunud EL-USA andmekaitseraamistikku, siis on Teil võimalik esitada kaebus.
Eraisikuna võite esitada kaebuse
- otse teie isikuandmeid töötlevale ettevõttele;
- sõltumatule vahekohtule,
- Andmekaitse Inspektsioonile,
- Ameerika Ühendriikide kaubandusministeeriumile (DoC) või
- USA Föderaalsele Kaubanduskomisjonile (FTC).
Te ei ole kohustatud valima konkreetset mehhanismi ega tegutsema kindlas järjekorras, kuid esmase abinõuna on soovitatav kaebusega pöörduda otse väidetava rikkumise toime pannud ettevõtte poole. Kui ettevõtte pakutud lahendus Teid ei rahulda, on Teil võimalik pöörduda ka teiste ülaltoodud asutuste poole.
Kui Teil on kahtlus, et mõni USA luureasutus on Teie isikuandmeid ebaseaduslikult töödelnud, on Teil samuti kaebuse esitamise õigus. Kaebuse võite esitada Andmekaitse Inspektsioonile.
Andmekaitse Inspektsioon edastab Teie kaebuse Euroopa Andmekaitsenõukogule, kes edastab selle Ameerika Ühendriikidele.
Isikuandmete edastamine kolmandatesse riikidesse toimub Euroopa isikuandmete kaitse üldmääruse artiklite 44-50 alusel. Üldreegel on see, et andmeid võib edastada juhul, kui on täidetud eelviidatud artiklites sätestatud tingimused (nt rakendatud piisavad kaitsemeetmed) ning on olemas üldmääruse artiklitele 6 või 9 vastav õiguslik alus.
Kui edastamine toimub kolmandasse riiki Euroopa Liidu siseselt, siis peab olema õiguslik alus, nagu seda on vaja igaks andmetöötluse toiminguks, kuid täiendavaid meetmeid (nt inspektsioonilt luba taotleda) rakendama ei pea.
Kui aga edastamine toimub kolmandatesse riikidesse, siis tuleb uurida, millisele andmekaitsetasemele riik vastab ja vastavalt sellele järgida teatud nõudeid. Inspektsioonilt peab taotlema luba isikuandmete edastamiseks üldmääruse artikkel 46 lõige 3 kohaselt.
Täidetud vorm tuleb edastada e-posti aadressile [email protected]
Euroopa Andmekaitsenõukogu soovitused:
Last updated: 19.07.2024