Isikuandmete edastamisest kolmandatesse riikidesse

2019. aasta läbivaks märksõnaks võiks olla uue praktika paika loksumine.

Isikuandmete kaitse üldmääruse (IKÜM) kehtima hakkamine kaotas ära praktiliselt kohustuse taotleda järelevalveasutustelt luba andmete edastamiseks kolmandasse, mittepiisava andmekaitsetasemega välisriiki (edaspidi välisriiki) .

Uueks praktikaks on saanud see, et andmete edastamisel välisriiki ei ole kõige olulisem taotleda luba inspektsioonilt, vaid kui edastamine on vajalik, peab andmetöötleja kõigepealt endale selgeks tegema, milline on isikuandmete edastamise õiguslik alus. Andmetöötluse õiguslikud alused on loetletud IKÜM artiklis 6, eriliigiliste isikuandmete töötlemise õiguslikud alused on loetletud artiklis 9.

Seejärel tuleb kindlaks teha, kas edastamisel rakendatakse piisavalt kaitsemeetmeid ning millised on andmete edastaja ja saaja kohustused, kuidas rakendada andmete edastamisel minimaalsuse ja eesmärgipärasuse põhimõtteid jne.

Järgmisena tuleks vaadelda riiki, kuhu plaanitakse andmeid edastada. Kui andmeid edastatakse Euroopa Liidu ja Euroopa Majanduspiirkonna siseselt või riikidesse, mille puhul Euroopa Komisjon on andnud adekvaatsusotsuse[1], siis edastamine on analoogne Eesti-sisese edastamisega (st ei ole vaja rakendada IKÜM 5. peatükki).

„Uueks praktikaks on saanud see, et andmete edastamisel välisriiki ei ole kõige olulisem taotleda luba inspektsioonilt, vaid kui edastamine on vajalik, peab andmetöötleja kõigepealt endale selgeks tegema, milline on isikuandmete edastamise õiguslik alus.“

Kui aga soovitakse andmeid edastada riiki, mis ei kuulu eelnimetatud erandite alla, siis peab andmetöötleja uurima täpsemalt IKÜM 5. peatükki ning vajadusel rakendama artiklist 46 tulenevaid lisakaitsemeetmeid. Erandolukordades, üksikujuhtumite puhul, tuleks rakendada IKÜM-i artiklit 49.

Ka juhul, kui andmetöötleja valib ühe IKÜM artiklis 46 nimetatud lisakaitsemeetmest, ei tule alati inspektsioonilt luba taotleda. Loa taotlemine on kohustuslik vaid artikli 46 lõikes 3 nimetatud kaitsemeetmete kasutamisel (üldine, nn ad-hoc leping või avaliku sektori asutuste vahelised halduskokkulepped).

Mida tähendab inspektsioonilt loa taotlemise protseduur?

Inspektsioonil tuleb loa taotlemise menetlemisel rakendada järjepidevuse mehhanismi, mis tähendab, et esitatud andmete edastamise lepingu ja inspektsiooni otsuse mustandi peame edastama Euroopa Andmekaitsenõukogule otsuse tegemiseks. Taoline protseduur on ajaliselt mahukas ning peab arvestama, et kõik andmekaitsenõukogu liikmed saavad võimaluse avaldada lepingu ja inspektsiooni otsuse mustandi osas arvamust ning hääletama andmekaitsenõukogu otsuse osas.

Seega on pigem mõistlik teha valik üldmääruse artikli 46 lõikes 2 kirjeldatud kaitsemeetmete hulgast. Kõige enam kasutavam kaitsemeede ongi selle artikli punktis c nimetatud Euroopa Komisjoni koostatud standardsed andmekaitseklauslid (standard contractual clauses)[2]. Selle kaitsemeetme puhul on andmete edastamise tüüplepingu tekst etteantud ning lepingu osapooled lähtuvad sellest.

„Loa taotlemine on kohustuslik vaid artikli 46 lõikes 3 nimetatud kaitsemeetmete kasutamisel.“

Teine väga tihti kasutatav kaitsemeede on siduvad kontsernisisesed eeskirjad[3] (binding corporate rules), mille kasutamine nõuab ka IKÜM  artiklis 47 kirjeldatud protseduuride läbimist. Siduvad kontsernisisesed eeskirjad, nagu nimigi ütleb, on mõeldud suurtele ülemaailmsetele kontsernidele, kellel on tütarettevõtteid ning andmete liikumist väga paljudes eri riikides üle maailma.

Üldine kontsernisiseste eeskirjade heakskiitmise protseduur toimub analoogse järjepidevusse mehhanismi alusel, kuid on veel detailsem ja pikemaajalisem protseduur. Juhtival andmekaitseasutusel on kohustus enne järjepidevuse mehhanismi käivitamist kaasata dokumentatsiooni läbivaatamiseks vähemalt 2 andmekaitseasutust, aga kui eeskirjad saavad andmekaitsenõukogus lõpliku heakskiidu, saavad seda kaitsemeedet kasutada kõik eeskirjades nimetatud ettevõtted ilma eraldi lepinguid sõlmimata või täiendavaid lube taotlemata.

Siduvate kontsernisiseste eeskirjade protseduuri vastavalt artiklike 47 algatab ja viib läbi juhtiv andmekaitse järelevalveasutus ehk selle liikmesriigi asutus, kus asub kontserni (Euroopa) peakontor või kontor, kus tehakse andmekaitsealaseid otsuseid, mis on teistele kontserni liikmetele siduvad.

Seega saab andmete välisriiki edastamise loa taotlemise vajaduse osas öelda, et IKÜM-i tulekuga on eelkõige andmetöötlejale endale pandud vastutus tagada andmete õiguspärane välisriiki edastamine ning eelnevat luba ja järelevalveasutuse hinnangut enamasti taotlema ei pea.

IKÜM annab andmetöötlejatele rohkem võimalusi andmete edastamise kaitsemeetmete valiku osas (võrreldes varasemalt kehtinud korraga) – näiteks on võimalus kasutada toimimisjuhendeid, sertifitseerimist ja ka erandite kasutamine on võrreldes varasemaga laiem.

„Artikkel 49 kasutamisel on vaja silmas pidada põhitõde – tegemist on eranditega ehk eriolukorras andmete ühekordse (või ka vajadusel korduva) edastamisega.“

Mida tähendab erandolukordades andmete välisriiki edastamine?

IKÜM-i artikkel 49 loetleb erandid, mil võib mittepiisava andmekaitsetasemega riiki edastada andmeid ilma inspektsiooni loata ja artiklis 46 kaitsemeetmeid rakendamata. Sellisteks erandjuhtumiteks on isiku nõusolek, isiku ja andmetöötleja vaheline leping, avalikust huvist tulenevad põhjused, õigusnõuete koostamised või teatud juhtudel ka õigustatud huvi jms. Artikkel 49 kasutamisel on vaja silmas pidada põhitõde – tegemist on eranditega ehk eriolukorras andmete ühekordse (või ka vajadusel korduva) edastamisega. Kui on vajadus andmeid pidevalt ja püsivalt edastada, siis ei ole tegemist erandolukorraga ning artiklit 49 rakendada ei saa.

Euroopa Andmekaitsenõukogu on avaldanud ka soovituse koos praktiliste näidetega erandolukordades toimuva andmete edastamise osas, mille leiab https://edpb.europa.eu/our-work-tools