Euroopa Liidu Kohus tegi 16. juulil 2020 otsuse asjas nr C-311/18, milles seisid vastakuti tuntud Austria päritolu privaatsusõiguse aktivist Maximillien Schrems ja Facebook Ireland Ltd. Seetõttu oli kohtuasi juba enne lahendi saamist tuntud kui „Schrems II“ kohtuasi.
Max Schremsi algatatud kohtuasjade ajalugu viib tagasi aastasse 2013 ning sisaldab hulgaliselt põnevaid juriidilisi vaidlusi ning isikuandmete kaitse maailma muutvaid otsuseid. Selge on see, et pärast „Schrems II“-e kohtuotsust ei ole see maailm enam endine.
Euroopa Liidu, Šveitsi ja USA vahel kokku lepitud Privacy Shield ei ole enam legaalne lahendus isikuandmete edastamiseks USA-sse ning vajaduse korral tuleb kasutada teisi õiguslikke võimalusi.
Kokkuvõte kohtuotsusest on leitav siin:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091et.pdf
Kohtuotsus asjas C-311/18 on leitav siin:
„Privacy Shield“ on EL-USA andmekaitseraamistik (lisaks osaleb seal ka Šveits), mis pakkus ettevõtetele mõlemal pool Atlandi ookeani mehhanismi isikuandmete edastamiseks Euroopast USA-sse kooskõlas GDPR-ga. 12.juulil 2016 võttis Euroopa Komisjon vastu otsuse 2016/1250, mis GDPR nõuete kohaselt kinnitas isikuandmete kaitse piisavust selles raamistikus.
Justnimelt selle otsuse EL kohus Schrems II otsusega tühistas, st hindas isikuandmete kaitse Privacy Shield mehhanismi raames ebapiisavaks. Teisisõnu ei ole Privacy Shield’i raames isikuandmete edastamine enam kooskõlas GDPR nõuetega. Ameerika Ühendriikide Kaubanduskoda (U.S. Department of Commerce) seda tõsiasja Privacy Shield’i kodulehel ka sedastab https://www.privacyshield.gov/Program-Overview, kuid kinnitab, et jätkab raamistiku administreerimist ning rõhutab, et osalejate poolt võetud kohustused jäävad kehtima.
16.juulil 2020 avaldas U.S. Department of Commerce pressiteate, milles kutsub Euroopa partnereid ja USA administratsiooni üles raamistikku kaasajastama ning tervitab andmekaitse tüüptingimuste (nn SCC) EL Kohtu poolt kehtima jätmist.
Selleks, et kaaluda lahendusi, mille abil oleks andmeedastus siiski seaduspärane, tuleb vaadelda, millised on GDPR-ga kooskõlas olevad isikuandmete kolmandatesse riikidesse (ehk väljaspoole EL-i) edastamise reeglid.
Isikuandmete edastamist kolmandatesse riikidesse ja rahvusvahelistele organisatsioonidele reguleerib, sh sätestab teatavad erandid (artikkel 49) GDPR peatükk V.
Ajalooks muutunud raamistik „Privacy Shield“ tugines selle peatüki artiklile 45, mis lubab isikuandmete edastamist kolmandatesse riikidesse ja rahvusvahelistele organisatsioonidele Euroopa Komisjoni kaitse piisavuse otsuse alusel. Justnimelt selle otsuse 2016/1250 EL kohus 16.juulil tühistaski. Täpsuse huvides tuleb märkida, et kuna otsus pärineb GDPR- eelsest ajajärgust, siis tugines see GDPR-i õiguslikuks eellaseks olnud andmekaitsedirektiivile 95/46/EC.
Privacy Shield oli ettevõtetele kahtlemata mugav lahendus – selle asemel praeguseks alles jäänud muud võimalused isikuandmete edastamiseks ja väljaspool EL territooriumi töötlemiseks on keerukamad ning eeldavad rohkem kaalumist – ja ka riskimist – nii andmetöötlejate kui ja järelevalveasutuste poolt.
EL kohus mainib ühe võimaliku lahendusena GDPR artiklit 49, mis sätestab erandid konkreetsetes olukordades. Samas tõlgendab Euroopa Liidu Andmekaitsenõukogu (European Data Protection Board) neid erandeid väga kitsalt, mistõttu on ka nende kasutamine vaja hoolega läbi mõelda.
Euroopa Andmekaitsenõukogu (EDPB) on avaldanud seisukohta, et enne nende erandite kasutamist tuleb esmalt kaaluda andmekaitse tüüptingimuste (Standard Contractual Clauses – SCC) kasutamist, kuna EL kohus ei tühistanud Euroopa Komisjoni 5. veebruari 2010 otsust kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta. Kohus leidis, et otsus sisaldab tõhusaid mehhanisme, mis praktikas võimaldavad tagada, et järgitakse EL õigusega (eeskätt GDPR-ga) nõutavat taset isikuandmete kaitseks privaatsuse tagamise eesmärgil. Kuid andmekaitse tüüptingimuste alusel andmete edastamine tuleb juhul, kui neid tingimusi tegelikult rikutakse või kui neid ei ole praktikas siiski võimalik täita – kohe lõpetada.
Kohus rõhutab, et andmete eksportijal (nt EL ettevõttel) ja ka Euroopa Liidust väljaspool asuval vastuvõtjal on kohustus enne andmete liigutamist kontrollida, kas asjaomases (nn. kolmandas) riigis on tagatud EL õigusega nõutav kaitsetase. Andmete vastuvõtjal on kohustus andmeeksportijat teavitada asjaolust, et tal võib osutuda võimatuks neid tüüptingimusi täita, mispeale andmeeksportijal on kohustus andmete edastamine peatada ja/või andmete vastuvõtjaga sõlmitud leping üles öelda.
Edasiste arengute osas, eriti kui pidada silmas EL-USA andmevahetuse mahtusid, on küsimärke rohkem kui vastuseid.
U.S. Chamber of Commerce on väljendanud soovi läbirääkimisi pidada, Euroopa Komisjon töötab andmekaitse tüüptingimuste täiustamise kallal. Erinevate riikide järelevalveasutused on väljendanud edasiste arengu suhtes rohkem ja vähem kategoorilisi seisukohti. Näiteks on Saksamaa järelevalveasutus avaldanud arvamust, et Saksa ettevõtted, kes isikuandmeid USA-s hoiavad, peaks need koheselt EL-i tagasi tooma ja mitte enam USA-sse eksportima kuni olukord muutub ja selgineb. Samuti soovitab Saksamaa järelevalveasutus tungivalt kasutada EL-i või samaväärset kaitset pakkuvate riikide pilveteenuse pakkujaid. Iirimaa järelevalveasutus on küsimuse alla seadnud ka andmekaitse tüüptingimuste kasutamise kujunenud olukorras.
Omapoolse selgituse ja juhendi on kohe peale kohtuotsuse väljakuulutamist koostanud Andmekaitse Inspektsioon, mis on leitav siin: https://www.aki.ee/et/teenused-poordumisvormid/andmete-edastamine-valisriiki
Kuidas edasi?
Isikuandmete töötlemist USA ettevõtete pakutavate tarkvaralahenduste abil on vaatamata kujunenud olukorrale siiski võimatu päevapealt lõpetada ning see pole ka nõutav. Ka selles uues ja veidi äraootav-ärevas olukorras on võimalik leida seaduspäraseid lahendusi.
Konsulteerimiseks, lisateabe saamiseks ja uues olukorras õigete lahenduste leidmiseks on alati võimalik meile kirjutada – info@gdpr24.ee.
