article banner
Isikuandmete kaitse

Isikuandmete edastamine USA-sse – võimatu missioon?

Autor: Maili Torma

16. juulil 2020 tegi Euroopa Kohus otsuse C-311/18 (Schrems II), millega kuulutati kehtetuks USA ja Euroopa Liidu vaheline andmete vahetamise turvalisust tagav sertifikaadiprogramm Privacy Shield.

Kuni selle hetkeni võis USA ettevõte, kellel oli ette näidata Privacy Shieldi sertifikaat, töödelda Euroopa Liidu elanike isikuandmeid ja seejuures ei pidanud ette näitama andmete töötlemise turvalisust tagavaid lisatagatisi. Näiteks nii Google kui ka Facebook kasutasid ja kasutavad siiamaani EL-i elanike andmete töötlemiseks USA-s Privacy Shieldi.

Tähelepanu all Facebook ja Google

Maximilian Schrems on Austria jurist, kelle tõttu on teravdatud tähelepanu all internetigigantide Facebooki ja Google’i isikuandmete töötlemise praktika. Privacy Shield on juba teine sarnane USA ja Euroopa Liidu vaheline andmete vahetamise mehhanism, mille Schrems nii-öelda põhja laseb. Euroopa Kohtu otsus oli selge – Privacy Shield ei taga, et USA ettevõtted, eriti need, kes on U.S. Code § 1881a („FISA 702”) kohuslased või edastavad andmeid USA valitsusele vastavalt Executive Order 12.333-le, töötlevad EL-i elanike isikuandmeid nii turvaliselt, nagu isikuandmete kaitse üldmäärus (IKÜM) seda nõuab. Kohtu järeldusel puuduvad USA massjälgimise praktikas adekvaatsed kaitsemeetmed ja piirangud, mis vastaksid Euroopa Liidu seadusandluse „tasakaalu“ põhimõttele ja Euroopa Liidu andmesubjektidel puudub ligipääs hüvitistele või õiguskaitsevahenditele, kui nende andmeid väärkasutatakse.

Kohtuotsus on, selgust pole

Hoolimata kohtu otsusest ei ole absoluutselt selge, mida ettevõtted peavad selleks tegema, et tagada USA-s andmete töötlemise turvalisus, sest Euroopa Andmekaitse Nõukogu ei ole andnud siiani juhiseid, milliseid meetmeid kasutada Privacy Shieldi asemel. Juhiste puudumine ei tähenda siiski hingamisruumi, sest kohtu otsus on rakendatav kohe.

Kaks kuud peale Euroopa Kohtu otsust tegid Schrems ja tema juhitud NOYB (my privacy is none of your business) kaebuse erinevatele andmekaitse järelevaatajatele 101 ettevõtte kohta, kes jätkuvalt kasutasid oma veebilehel Facebook Connecti ja Google Analyticsit, mis nende käsitluses on selges vastuolus Euroopa Kohtu otsusega.

Need 101 ettevõtet ei ole ainukesed, kes ei ole vastavuses Euroopa Kohtu otsusega. Rahvusvaheline advokaadibüroo Fieldfisher viis oma blogis ja LinkedInis läbi uuringu, kuidas ettevõtted plaanivad rakendada Schrems II otsusest tingitud muudatusi. Nad tuvastasid, et 75% küsitlusele vastanute volitatud või kaasvastutavad töötlejad on USA-s või väljaspool Euroopa Majanduspiirkonda, mis näitab Schrems II otsuse mõju tegelikku ulatust. Hoolimata Privacy Shieldi kokkukukkumisest plaanib ainult 12% vastanutest vahetada oma olemasolevad volitatud või kaasvastutavad töötlejad Euroopa Majanduspiirkonnas olevate vastu. Kõigest 5% ütles, et nad lõpetavad andmete eksportimise. Küsitluse tulemus on selge näide sellest, et regulatiivne ja seadusandlik praktika on väga kaugel tänapäevase äri andmevahetuse praktikatest.

Eesti ettevõtted veel muretsema ei pea

Privacy Shieldi tühistamise mõjud ei lähe ka Eestist mööda, kuigi teadaolevalt ei ole andmekaitse inspektsioonile keegi esitanud kaebust, et ettevõte kasutab andmete edastamiseks USA-sse veel Privacy Shieldi. Nii kaua kuni Eesti seadusandluses ei ole kasutusele võetud haldustrahvi kontseptsiooni, ei pea ka Eestis asuvad ettevõtted ülisuurte andmekaitsealaste trahvide ees hirmu tundma, kuid haldustrahvi tegemise võimalus tuleb ka Eesti seadusandlusesse (lähemalt saab lugeda siit).

Mida see praktiliselt ühe Eesti ettevõtte jaoks tähendab? Tasub üle vaadata oma volitatud töötlejate nimekiri, eriti pilverakenduste pakkujad: kui paljud nendest on asukohaga USA-s või ütlevad lepingus (või üldtingimustes), et nad edastavad andmeid USA-sse? Mis on andmeedastuse õiguslik alus? Kui see on Privacy Shield, siis tuleks kaaluda, kas on mõistlik kasutusele võtta lepingu tüüpklauslid või tasub konkreetne volitatud töötleja vahetada välja Euroopa Majanduspiirkonnas asuva töötleja vastu. Kui ettevõttes on USA-sse andmete edastamiseks juba kasutusel lepingu tüüpklauslid, siis peab üle vaatama, kas tüüpklauslites kasutusel olevad turvanõuded on piisavad. Teisisõnu tuleb läbi viia mõjuhinnang ja otsustada, kas kasutusel olevad meetmed on piisavad. Hoolimata sellest, et Euroopa erinevad andmekaitse inspektsioonid ei suuda kokkuleppele jõuda, kas tüüpklauslite kasutamine on üldse seaduslik.

Kuigi andmekaitse järelevaatajate ja oportunistlike kaebajate põhifookus läheb kõigepealt globaalsetele ettevõtetele, peavad ka Eesti ettevõtted, eriti need, kes tegutsevad ka teistes Euroopa riikides või globaalselt, olema valmis selleks, et kui nad ei vii isikuandmete edastamist USA-sse vastavusse Euroopa Kohtu otsusega, võivad nad silmitsi seista trahviga.

Võtke meiega ühendust ja räägime lähemalt Teie ettevõttest ning meie andmekaitseteenuste võimalustest!