Andmekaitseuudised

Euroopa Andmekaitsenõukogu (EDBP) nõuanded andmeedastuseks „Schrems II“ kohtuotsuse järgses maailmas

Postitatud

  1. novembril 2020 avalikustas Euroopa Andmekaitsenõukogu kaks olulist dokumenti seoses EL- st väljapoole liikuvate isikuandmetega:

Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data

https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf

ja

Recommendations 02/2020 on the European Essential Guarantees for surveillance measures Adopted on 10 November 2020

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf

Need dokumendid selgitavad, kuidas toimida siis kui isikuandmeid edastatakse välismaale ning pakuvad meetmed, mida kasutada kui isikuandmete kaitse välismaal on nõrgem kui GDPR nõuab.

Andmetöötleja:

esimene samm on omada selget ülevaade kõigist välismaale suunatud andmeedastustest;

– teine samm on selgitada välja, millisele GDPR V peatükis sätestatud alusele tema poolt isikuandmete välismaale edastamine tugineb;

– kolmanda sammuna tuleb hinnata, kas midagi selle välisriigi (kolmanda riigi) õiguses või halduspraktikas võib mõjutada tema poolt isikuandmete kaitseks rakendatavaid meetmeid;

Võõra õiguskorra hindamisel tuleb EDPB hinnangul arvesse võtta järgmist:

  • Kas isikuandmete töötlemine selles riigis tugineb selgelt sõnastatud ning kergelt kättesaadavatel reeglitel;
  • Kas andmetöötluse eesmärkide saavutamise vajalikkus on sätestatud;
  • Kas vastavas riigis toimib sõltumatu andmekaitse järelevalvesüsteem;
  • Kas füüsilisel isikul on võimalik kasutada kohtulikke õiguskaitsevahendeid.

EDPB soovitab vältida subjektiivseid oletusi (tõenäosust), et teise riigi asutused pääsevad edastatud andmetele ligi EL reeglitega mitte kokku sobival viisil, vaid sisuliselt analüüsida selles riigis kehtivaid isikuandmetele ligipääsu ja nende kaitset reguleerivaid õigusnorme.

Lisaks pakub EDBP nimekirja allikatest, mida sellise analüüsi jaoks kasutada –  EL Kohtu ja Euroopa Inimõiguste Kohtu otsused, Euroopa Komisjoni otsused, mitmesuguste valitsusväliste organisatsioonide raportid, siseriiklik kohtupraktika, akadeemiliste ringkondade või kodanikuühiskonna esindajate poolt avaldatud materjalid.

Neljandaks sammuks on määratleda ja võtta kasutusele täiendavad meetmed edastatavate isikuandmete kaitse  viimiseks EL-ga võrreldavale tasemele (essential equivalence).

Kui täiendavad meetmed ei suuda puudujääke korvata, tuleb EDPB hinnangul isikuandmete edastamine lõpetada.

EDPB poolt soovitatavad täiendavad meetmed jagunevad tehnilisteks, lepingulisteks ja organisatoorseteks.

Tehnilised kaitsemeetmed

Kõige esmane on soovitus kasutada krüpteerimist. EDBP kirjeldab krüpteerimisprotokolli kuute erinevat elementi, mis peaksid tagama krüpteerimise tõhususe.

Andmetöötlejate tähelepanu juhitakse ka juhtudele, mille puhul tõhusaid tehnilisi kaitsemeetmeid pole leitud, nt a) krüpteerimiseta töötlemine pilveteenuse pakkuja poolt või b) kaugligipääs isikuandmetele kolmandast riigist nt personalitöö tarbeks.

Lepingulised kaitsemeetmed

EDPB ütleb otse, et kuna andmetöötlejate omavahelised lepingud ei ole ametivõimudele siduvad, siis on lepingulistest kaitsemeetmetest kasu ainult laiema kaitsemeetmete paketi koosseisus. Lepinguliste kaitsemeetmete hulka kuulub andmete saaja läbipaistva tegutsemise kohustus. Näitena võib siin tuua mõnede USA tehnoloogiaettevõtete tava avalikustada nn läbipaistvuse aruandeid (transparency reports). Siia juurde sobivad vastuvõtjariigi seadusandluse läbipaistvuse nõuded ning andmete importija kinnitus infosüsteemides „tagauste“ puudumise kohta. Näiteks on toodud ka andmete importija kohustus teavitada eksportijat siis kui seadusandluse või halduspraktika muudatuse tõttu ei ole enam võimalik eksportija ees võetud kohustusi tulevikus täita. EL – s asuv isikuandmete eksportija peab sellest teada saama enne importija poolt välisriigi ametivõimudele ligipääsu andmist.

Välja on pakutud ka importija kohustamine ametivõimude juurdepääsu soovi vaidlustamiseks välisriigi kohtus enne andmetele juurdepääsu andmist.

Organisatoorsed kaitsemeetmed

EDPB on seisukohal, et organisatoorseid meetmeid tuleb kombineerida lepinguliste ja tehniliste meetmetega, mööndes seejuures, et kaitse ebapiisavuse ületamine täiendavate kaitsemeetmete abil ongi küllaltki keeruline ja valmis lahendusi ei olegi tegelikult olemas.