Hegle Pärna ja Merlin Liis-Toomela: ajalooline andmevahetuse otsus mõjutab ettevõtteid

Sel nädalal võttis Euroopa Komisjon vastu otsuse Euroopa Liidu ja USA vahelise andmevahetuse raamistiku ning andmete kaitse piisavuse kohta, mis kannab nime EU-US Data Privacy Framework. Uue piisavuse otsuse alusel saavad isikuandmed turvaliselt liikuda Euroopa Majanduspiirkonna (EEA) ja USA vahel ilma, et ettevõttel oleks vaja kehtestada täiendavaid andmekaitse meetmeid, kirjutavad Ellex Raidla vandeadvokaat Merlin Liis-Toomela ja jurist Hegle Pärna.

Mida kujutab endast uus otsus?

Isikuandmete kaitse üldmäärusest (IKÜM) tulenevalt saab Euroopa Komisjon pärast EAA-st väljaspool paikneva riigi (kolmanda riigi) piisava taseme hindamist langetada otsuse, mille järgi kolmas riik on taganud isikuandmete kaitse piisava taseme, mis on sisuliselt võrdne kaitse tasemega Euroopa Liidus. Selle otsuse alusel on võimalik vahetada andmeid (sh edastada) ilma takistusteta EL-i ning kolmanda riigi vahel, seejuures ei pea ettevõtted võtma täiendavaid kaitsemeetmeid, kui ettevõtted on otsusega liitunud. Nüüdseks ongi jõutud sinnamaani, kus Euroopa Komisjoni poolt on vastu võetud uus piisava taseme otsus.

Uue piisava taseme otsuse puhul on tegemist privaatsuspõhimõtteid sisaldava õigusraamistikuga, mis koosneb erinevatest õiguslikult siduvatest kaitsemeetmetest. See peaks lahendama Euroopa Kohtu poolt eelnevates kokkulepetes leitud nõrkusi Atlandi-üleses andmete edastuses.

Esialgsed privaatsuspõhimõtted andmevahetuseks lepiti Euroopa Liidu tasandil kokku ligikaudu 25 aastat tagasi. Safe Harbouri kokkulepe sätestas põhimõtted, mille alusel võis tundlike andmeid Euroopa Liidu ja Ameerika Ühendriikide vahel liigutada. Kokkulepe kehtis kuni 2015. aastani, kui Euroopa Kohus selle tühistas Schrems-nimelise lahendiga. Sama saatus tabas ka andmekaitseaktivistide töö tulemusel EU-US Privacy Shield jätkukokkulepet, mis samuti tühistati Schrems II lahendiga.

Kuna andmevahetus USA ja Euroopa vahel faktiliselt siiski toimus ja vajas reguleerimist, siis jõutigi sellel nädalal ajaloolise kokkuleppeni Euroopa Komisjoni ja USA vahel. Uue raamistiku tulemusel lisatakse USA nende kolmandate riikide hulka, kelle puhul saab teatud tingimuste täitumisel tugineda Euroopa Liidu andmekaitse reeglitele andmete edastamisel üle Atlandi. Selleni jõudmiseks tehti USA-s kolm aastat tööd, karmistades reegleid EL kodanike andmete töötlemiseks ning luues eraldi vaidluste lahendamise mehhanismid, mis võimaldaks ka EL-i kodanikel esitada sinna kaebuse, kui nende andmeid on valesti kasutatud.

Samuti üks uue vastu võetud raamistiku olulisemaid meetmeid on Ameerika Ühendriikide julgeoleku asutustele piirangute seadmine Euroopa Liidu kodanike andmete töötlemisel. Raamistiku alusel edastatud andmetele on USA ametiasutustel võimalik ligi pääseda  üksnes juhul, kui nendele juurdepääs on vajalik ning proportsionaalne riikliku julgeoleku kaitsmiseks.

Euroopa Komisjoni vastu võetud otsuse järel, alates 11. juulist 2023, saavad otsusega liitunud ettevõtted vabamalt EL-i ja USA vahel andmeid edastada. Ettevõtted peaksid siiski esmalt kaardistama kõik oma USA koostööpartnerid, kuna ettevõtete puhul, kes pole veel uue andmekaitseraamistikuga liitunud, kehtivad samasugused nõuded nagu enne sellel nädalal vastu võetud otsust – andmete edastamine on võimalik juhul, kui kohaldatakse IKÜM-is nimetatud kaitsemeetmeid, näiteks kasutatakse siduvaid kontsernisiseseid eeskirju või standardseid andmekaitseklausleid ning samuti on andmete edastamine võimalik siis, kui rakendub mõni IKÜM-is loetletud erand.

Eelnevaid andmekaitseraamistike õõnestanud aktivistid on samuti juba andnud märku, et kavatsevad uue kokkuleppega sarnaselt eelnevatele Euroopa Kohtusse minna. Seega saavad otsusega liitunud ettevõtted vähemalt mõnda aega mõlemal pool ookeani rahulikumalt hingata ning kasutada üksteise teenuseid.

Artikkel ilmus 12.07.2023 Äripäevas.

Valdkonna eksperdid

Person Item Background
Merlin Liis-Toomela
Merlin Liis-Toomela
Vandeadvokaat / Eesti
Person Item Background
Hegle Pärna
Hegle Pärna
Advokaat / Eesti