Euroopa Liidu kohus tegi 16. juulil 2020 otsuse asjas nr C-311/18, mis oli juba enne lahendi saamist tuntud kui „Schrems II“ kohtuasi.
Euroopa Liidu, Šveitsi ja USA vahel kokku lepitud Privacy Shield ei ole enam legaalne lahendus isikuandmete edastamiseks USA-sse ning vajaduse korral tuleb kasutada teisi õiguslikke võimalusi.
Kokkuvõte kohtuotsusest on leitav siin:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091et.pdf
Aga millised on võimalused?
Soome andmekaitse järelevalveasutus saatis äsja Soome firmadele järelepärimised seoses nende andmeedastuse kohta USA-sse. Järelevalveasutust huvitab, kas need firmad edastavad isikuandmeid USA-sse Privacy Shield’i või andmekaitse tüüptingimuste (Standard Contractual Clauses) alusel ning kui jah, siis milliseid meetmeid on nad kasutusele võtnud, et tegutseda Schrems II järgses õigusruumis ning millist tuge ootavad nad järelevalveasutuselt.
Euroopa Andmekaitsenõukogu (EDBP) avaldas 23. juulil 2020 sellesisulise KKK dokumendi.
https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf
Näiteks selgitab EDPB, et mingit „armuaega“, mille vältel võib veel andmete USA-sse edastamist jätkata, ei ole. Kohus tühistas Privacy Shield’i otsuse koheselt ja tervikuna, kuna kohtu hinnangul ei taga USA seadused EL reeglitega võrdväärset kaitset. Kohus on välja toonud, et USA seadused nagu FISA säte nr 702 ja EO 12333 (vt ka meie 17.08.20 postitust: http://localhost/projects/gdpr24/usa-signaalluure-vs-privaatsus-ehk-millised-on-teatavad-jalgimisprogrammid-mille-kasutamine-toi-kaasa-el-usa-vahelise-andmevahetusmehhanismi-privacy-shieldi-keelamise-euroo/) hõlmab kõiki USA-sse tehtavaid andmeedastusi sõltumata edastamise vahendist ja meetodist.
Seega kehtivad kohtu poolt seatud piirangud igasugustele andmeedastustele USA-sse.
Need, kes edastasid isikuandmeid USAsse Privacy-Shield’iga liitunud partnerile, ei saa seda enam jätkata, sest see on muutunud ebaseaduslikuks. Kui siiski on jätkuvalt vajadus isikuandmeid USA-sse saata, tuleb kasutada teisi võimalusi. EDPB rõhutab, et kohtu otsus puudutab tegelikult kõiki kolmandatesse riikidesse toimuvaid andmeedastusi, sh ka neid, mis toimuvad GDPR artikkel 46 alusel.
EDPB juhib tähelepanu, et andmete edastus Euroopa Liidust USA-sse saab jätkuvalt toimuda GDPR artikkel 46 alusel, kuid kuna artikkel 46 asub GDPR peatükis V, tuleb seda aretiklit kohaldada koos artikliga 44, kus on öeldud, et „kõiki käesoleva peatüki sätteid kohaldatakse selleks, et tagada, et käesoleva määrusega tagatud füüsiliste isikute kaitse taset ei kahjustata“.
Andmekaitse tüüptingimuste kohta arvab EDBP, et nende kasutamise võimalikkust peab andmetöötleja juhtumipõhiselt hindama, võttes seejuures arvesse edastuse asjaolud ning kasutatavad täiendavad meetmed. Ka EL Kohus nägi oma otsuses seda ette andmetöötleja esmase kohustusena. EDPB tegeleb kohtuotsuse analüüsimisega ning loodab edaspidi pakkuda nõuandeid, milliseid täiendavaid meetmeid sobiks andmekaitse tüüptingimuste või siduvate kontsernisiseste eeskirjadega kombineerida.
Kui andmetöötleja jõuab järeldusele, et edastuse asjaolusid ja täiendavaid meetmeid arvesse võttes ei ole siiski võimalik isikuandmete piisavat kaitset tagada, tuleb edastamine peatada või lõpetada. Kui aga andmetöötleja siiski soovib jätkata, tuleb sellest teavitada pädevat järelevalveasutust ehk Eestis Andmekaitse Inspektsiooni.
Omaette teemana käsitleb EDPB vastutava-volitatud töötleja vahelist andmetöötluslepingut olukorras, kus volitatud töötleja edastab või soovib edaspidi edastada isikuandmeid USA-sse või kolmandasse riiki.
EDPB on seisukohal, et vastutava ja volitatud töötleja vaheline leping peab sisaldama tingimusi andmeedastuse lubamise või keelamise ning kolmandates riikides asuvate all-töötlejate kasutamise kohta. Edastamisega on seejuures tegu ka siis kui andmeid kolmandas riigis ainult administreeritakse või säilitatakse.
