Ajalooline Schrems II kohtuotsus

Euroopa Kohus võttis 2020. aasta juulis vastu ajaloolise kohtuotsuse, millega tühistas Privacy Shield programmi kehtivuse, kuid mida see endaga kaasa tõi?
Nimelt Ameerika Ühendriike loetakse mittepiisava andmekaitsetasemega riigiks, kuhu andmete edastamisel tuleb kohaldada isikuandmete kaitse üldmääruse (IKÜM) 5. peatükis toodud tingimusi. Küll aga oli loodud erandtingimus – kasutades Privacy Shield programmi (USAs asuv ettevõte liitus programmiga ja tagas Euroopa Liiduga samaväärse andmekaitsetaseme), siis loeti sellist edastamist piisava tasemega edastamiseks ning andmetöötleja ei pidanud kohaldama eelmainitud 5. peatükki. 
Privacy Shield eelkäija Safe Harbour programm tühistati Euroopa Kohtu otsusega aastal 2016. Safe Harbour on tuntud kui Schrems I otsus. Mõlema kohtuvaidluse hagejaks on olnud andmekaitseadvokaat Max Schrems.
Schrems II otsuse juures oli  üks tähelepanuvääriv asjaolu – nimelt viitas ka kohus, et muude andmete edastamisel kasutavate lisakaitsemeetemete (loetletud IKÜM artiklis 46) puhul tuleb hinnata, kas andmete edastamisega on tagatud piisav andmekaitsetase ning andmesubjekti õigused. See tähendab, et kasutades andmete edastamiseks näiteks standardseid andmekaitseklausleid, mis on ühtlasi ka enimkasutatavaks kaitsemeetmeks andmete edastamisel, on vaja nende piisavust igakordselt eraldi hinnata. Vajadusel tuleb võtta kasutusele täiendavad kaitsemeetmed ning kui seda ei suudeta, siis ei tohi andmeid edastada. 
Euroopa Andmekaitsenõukogule pandi kohustus antud teema täpsemalt sisustada ning selles osas on praeguseks koostatud kaks soovitust.

Schrems II otsuse järgselt anti välja

I  „Soovitused edastusvahendeid täiendavate meetmete kohta, et tagada vastavus isikuandmete kaitse ELi tasemega“ Dokument EAKN veebis.
II  „Soovitused Euroopa oluliste tagatiste kohta jälgimismeetmete kontekstis“ Dokument EAKN veebis.

Euroopa Komisjon hakkas koostama uusi, täiendatud standardseid andmekaitseklausleid, mis peaksid arvestama nii kohtuotsuses toodud asjaoludega kui ka Euroopa Andmekaitsenõukogu soovitustega. Siiski ei saa veel öelda, et antud teema oleks aastaraamatu välja andmise ajaks  lõppenud ning kindlasti ei saa öelda, et nende juhendite ja uute andmekaitseklauslitega on andmete USA-sse edastamise probleem lahendatud. Senikaua soovitab inspektsioon andmetöötlejatele, kel on USAs asuvad partnerid (olgu need siis vastutavad töötlejad või volitatud töötlejad), kriitiliselt hinnata andmete edastamise vajadust ning kui see siiski peaks olema vältimatult vajalik, siis kohaldada eeltoodud soovituste sätteid.

Brexiti andmekaitse aspekt

Ühendkuningriigi (UK) lahkumisel Euroopa Liidust saab temast mittepiisava andmekaitsetasemega riik, kui käesoleva aasta 30. juuniks ei tehta UK-le piisavusotsust. Kuni 30. juunini toimub andmeedastus nagu varem, s.t et UK-d käsitletakse  piisava andmekaitsetasemega riigina ning IKÜM 5. peatükki ei pea kohaldama. 
Pärast lahkumist Euroopa Liidust hakkas UK taotlema kohe Euroopa Komisjonilt nimetatud piisavusotsust, kuid see on ajaliselt väga mahukas protseduur. Mõnel eelneval juhul on see võtnud aega aastaid. 

Seega sel perioodil, kui UK-l ei ole piisavusotsust, oleks tegemist mittepiisava andmekaitsetasemega riigiga, kuhu andmeid edastades tuleb kohaldada isikuandmete kaitse üldmääruse (IKÜM) artiklis 46 ja 47 lisakaitsemeetmeid või artiklis 49 loetletud erandeid. See tähendab andmetöötlejale suurenenud koormust näiteks lisalepingute (standardsete andmekaitseklauslite) sõlmimise või siduvate korporatsiooni reeglite (artikkel 47) loomise näol. 
Viimased uudised sel teemal leiab Euroopa Andmekaitsenõukogu veebilehelt.