Augusti alguses kiitis Andmekaitse Inspektsioon esimest korda pädeva asutusena heaks kontsernisisesed eeskirjad. Tegemist oli volitatud töötlejatele suunatud kontsernisiseste eeskirjadega. Heakskiidu andmiseks tuli esmalt läbida siseriiklik etapp ning seejärel koostööetapid, kuhu olid kaasatud ka teised Euroopa Andmekaitsenõukogu liikmed. Enne heakskiitva otsuse tegemist oli vajalik oodata ära ka andmekaitsenõukogu arvamus, mida tuli lõpliku otsuse tegemisel järgida. Käesolevas artiklis antakse ülevaade kontsernisiseste eeskirjade olemusest ning nende heakskiitmisele eelnevast menetlusest.
Isikuandmete edastamisel EList kolmandasse riiki kohaldatakse isikuandmete kaitse üldmääruse 5. peatükki. Kolmandat riiki hõlmava kaitse piisavuse otsuse puudumise korral võib isikuandmeid edastada üksnes juhul, kui kohaldatakse asjakohaseid kaitsemeetmeid ning tingimusel, et andmesubjektidele on tagatud kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid. Üheks isikuandmete edastamise vahendiks, mis tagab asjakohased kaitsemeetmed isikuandmete edastamisel kolmandatesse riikidesse, on siduvad kontsernisisesed eeskirjad (ingl binding corporate rules ehk BCR).
Siduvad kontsernisisesed eeskirjad kui edastamisvahend on konkreetsemalt suunatud piiriülestele kontsernidele, millel on palju üksusi, mis asuvad mitmes riigis, nii ELis kui ka väljaspool ELi. Siduvaid kontsernisiseseid eeskirju võib kasutada ainult samasse kontserni kuuluvate üksuste vaheliste andmeedastuste puhul. Kontsernid võivad olla huvitatud siduvate kontsernisiseste eeskirjade kehtestamisest, sest nad saavad kasutada isikuandmete edastamiseks ühte eeskirjade kogumit selle asemel, et sõlmida kontserni üksuste vahel mitu lepingut (näiteks IKÜM-i artikli 46 lõige 2 p c kohased standardsed andmekaitseklauslid). Kontsernisisesed eeskirjad võivad samuti anda ärilise ja mainega seotud eelise ning aidata tõendada nõuete täitmist nii järelevalveasutustele kui ka andmesubjektidele. Siduvad kontsernisisesed eeskirjad peavad sisaldama kohustusi, mis aitavad tagada andmesubjektide täitmisele pööratavaid õigusi, näevad ette isikuandmeid käitlevatele kontserni töötajatele nõuetekohase andmekaitsekoolituse korraldamise, aitavad vältida isikuandmete edastamist riikidesse, kus kehtivad õigusaktid, mis takistavad siduvate kontsernisiseste eeskirjade nõuete täitmist jne.
Siduvate kontsernisiseste eeskirjade heakskiitmiseks tuleb läbi viia koostöömenetlus. Tegemist on küllaltki mahuka menetlusega, mis võib kesta mitu aastat. Menetlust alustatakse siduvate kontsernisiseste eeskirjade heakskiitmist sooviva poole taotlusel. Esimese sammuna tuleb kinnitada pädev järelevalveasutus. Selleks võetakse arvesse mitmesuguseid tegureid, mh arvestatakse kontserni peakontori asukohta, kus tehakse enamik otsuseid andmeedastuste kohta. Kui taotluse saanud järelevalveasutus nõustub olema pädevaks asutuseks ja teised järelevalveasutused ei esita vastuväiteid, kinnitatakse pädev järelevalveasutus, kes võib alustada koos taotleva ettevõttega tööd siduvate kontsernisiseste eeskirjade väljatöötamiseks.
Siduvate kontsernisiseste eeskirjade pädev asutus vastutab kontsernisiseste eeskirjade koostöömenetluse koordineerimise eest. Esmalt teeb taotleja selle asutusega koostööd siseriiklikus etapis, et koostada siduvate kontsernisiseste eeskirjade esialgne kavand. See võib hõlmata mitut ringi eeskirjade kavandi vahetamist taotleja ja pädeva asutuse vahel ning sageli on just see etapp kõige pikem. Kui pädev järelevalveasutus leiab, et eeskirjades on olemas kõik nõutavad elemendid ning kitsaskohad on eemaldatud, siis liigutakse edasi järgmise etapiga, mille raames kaasläbivaatajad hindavad eeskirju ja sellega seonduvaid dokumente ning juhivad pädeva asutuse tähelepanu võimalikele allesjäänud kitsaskohtadele. Kaasläbivaatajateks on üldjuhul kaks mõne teise riigi järelevalveasutust, kes on end vabatahtlikult menetlusse kaasumiseks üles andnud. Neil ei ole taotlejaga otsest kontakti ning pädev asutus tegutseb vahendava poolena taotleja ja kaasläbivaatajate vahel.
Pädev asutus peab taotlejale toimiku kohta saadud märkused edastama ja andma nõu siduvate kontsernisiseste eeskirjade ümbersõnastamise kohta, kuni kõik märkused on lahendatud. See võib hõlmata mitut kommentaaride ringi kaasläbivaatajate ja taotlejaga ning võib kesta mitu kuud. Kui kaasläbivaatajate kommentaarid on lahendatud, liigutakse edasi koostööetapiga, mille raames esitatakse siduvate kontsernisiseste eeskirjade kavand kõigile kaasatud järelevalveasutustele, kellel on märkuste esitamiseks aega üks kuu. Seejärel peab taotleja eeskirjade kavandi järgmises versioonis adresseerima kõiki asjakohaseid märkusi. Kui kõik märkused on lahendatud ja valminud on siduvate kontsernisiseste eeskirjade lõplik kavand, algab viimane piiriülene etapp.
Pädev asutus peab siduvate kontsernisiseste eeskirjade heakskiitmise kohta koostama riikliku otsuse eelnõu, mille ta esitab rahvusvahelise teabevahetusplatvormi kaudu Euroopa Andmekaitsenõukogu sekretariaadile. Seejärel koostab andmekaitsenõukogu arvamuse riikliku otsuse kohta, märkides, kas otsuse saab vastu võtta sellisena, nagu see on, või on soovitatav teha muudatusi.
Pärast Euroopa Andmekaitsenõukogu arvamuse vastuvõtmist peab pädev järelevalveasutus seda lõpliku otsuse koostamisel arvesse võtma ning vajadusel otsuses vastavad muudatused sisse viima. Lõpliku otsuse taotlejale edastamisega kiidab pädev asutus kontsernisisesed eeskirjad heaks. Sellega on menetlus lõpule viidud ning kontsern võib kasutada siduvaid kontsernisiseseid eeskirju vahendina isikuandmete edastamiseks kolmandates riikides asuvatele kontserniüksustele. Siiani on AKI tegutsenud juhtiva järelevalveasutusena siduvate kontsernisiseste eeskirjade menetluses ühel korral.
- Kommenteerimiseks logi sisse või registreeru