Uudised
Edastad klientide isikuandmeid Suure Lombi taha? Arvesta uusima Euroopa Liidu kohtu praktikaga!
See, et populaarseim sotsiaalmeediavõrgustik edastab ja töötleb kasutajaandmeid Ameerika Ühendriikides asuvates serverites, ei tohiks kellelegi uudisena tulla. Facebooki kasutaja, Austria kodanik Maximillian Schrems, püüdis seesugust andmeedastust kohtusüsteemi toel takistada, väites, et Ameerika Ühendriigid kui kolmas riik ei suuda tagada Euroopast edastatud isikuandmete piisavat kaitstavust. Kui esimeses kohtuasjas saatis hr Schremsi ebaedu, siis uues vaidluses langetatud otsusega muutis Euroopa Liidu Kohus oma senist seisukohta. Verivärske lahendi seisukohad peaksid huvi pakkuma nii ettevõtjatele, kes edastavad andmeid väljaspool Euroopa Liitu asuvatesse serveritesse kui ka igale keskmisele internetikasutajale.
Lühidalt kokku võttes võib lahendist välja tuua järgmised olulised asjaolud:
Esiteks – juhul, kui EL liikmesriigis asuv ettevõtja edastab isikuandmeid ärilistel eesmärkidel kolmandas riigis asuvale koostööpartnerile, kohalduvad sellisele andmeedastusele isikuandmete kaitse üldmäärusest (General Data Protection Regulation, GDPR) tingitud nõuded. Seda isegi juhul, kui andmeedastuse jooksul töödeldakse isikuandmeid avaliku julgeoleku, kaitse või riigi turvalisuse huvides. Teisisõnu, andmesubjektile (füüsilisele isikule, kelle andmeid edastatakse) peavad olema tagatud GDPR-ist tulenevad kaitsemeetmed ja õiguskaitsevahendid.
Andmete kaitstuse tase peab vastama GDPR-i nõuetele. Sealjuures tuleb andmeedastuse kaitstuse taseme hindamisel arvesse võtta nii (i) andmete edastaja ja vastuvõtja vahelisi lepingutingimusi kui ka (ii) kolmanda riigi (andmeedastuse sihtkohariigi) asjakohaseid seadusesätteid. Juhul, kui andmete kaitstuse piisavat taset ei ole võimalik tagada, kohustub liikmesriigi asjakohane järelevalveasutus isikuandmete eksportimise peatama või keelama.
Teiseks ning eelneva valguses tunnistas Euroopa Liidu kohus kehtetuks EL ja USA vahelist andmeedastust reguleeriva raamistiku EU-US Privacy Shield. Seda põhjusel, et Ameerika Ühendriikide seadused ei suuda tagada GDPR-iga võrdväärset andmete kaitstuse taset, võimaldades julgeolekuorganitel ebaproportsionaalsel määral sekkuda isikuandmete töötlemisse.
Mis edasi? Nn privaatsuskilbi kehtetuks tunnistamine ei tähenda, et Ameerika ja EL-i vaheline andmeedastus oleks edaspidi igal juhul keelatud. Andmeedastuse nõuetekohasuse tagamiseks saab kasutada Euroopa Komisjoni poolt välja töötatud isikuandmete edastamise lepingu tüüptingimusi (Standard Contractual Clauses, SCC). Need tüüptingimused kujutavad endast läbirääkimisvõimalusteta lepingut, mis sõlmitakse andmeeksportija ja andmeimportija vahel ning mille eesmärgiks on tagada andmeedastuse vastavus GDPR-i nõuetele.
Juhul, kui Teil tekkis eelneva pinnalt küsimusi, võtke ühendust LEADELL Pilv Advokaadibüroo advokaat Katarina Talumäega.
