Isikuandmete edastamine väljaspool Euroopa Majanduspiirkonda (EMP) asuvatesse riikidesse on sageli rahvusvahelise kaubanduse või koostöö seisukohast hädavajalik. Teie VKE peab võib-olla edastama isikuandmeid oma tegevuse käigus EMP-välisesse riiki, näiteks kui teil on vaja jagada isikuandmeid oma äripartneritega või väljaspool EMP-d asuvate tarnijatega.

Isikuandmete kaitse üldmäärus (IKÜM) sisaldab erisätteid sellise edastamise kohta. Nende sätetega on IKÜM-i eesmärk tagada samaväärne kaitse, kui isikuandmeid edastatakse neile EMP-s.

Millal toimub isikuandmete edastamine väljapoole Euroopa Majanduspiirkonda?

IKÜM ei ole sellise edastamise määratlust sätestanud. Euroopa Andmekaitsenõukogu on siiski kindlaks määranud kolm kumulatiivset kriteeriumit, et teha kindlaks, millal toimub edastamine väljapoole Euroopa Majanduspiirkonda:

  • Vastutava- või volitatud andmetöötleja suhtes kohaldatakse konkreetse töötlemise puhul IKÜM;
  • vastutav- või volitatud töötleja avaldab isikuandmeid edastamise teel või teeb muul viisil kättesaadavaks teisele organisatsioonile (vastutav- või volitatud töötleja);
  • teine organisatsioon asub väljaspool Euroopa Majanduspiirkonda või on rahvusvaheline organisatsioon.

Kuidas edastada isikuandmeid Euroopa Majanduspiirkonnast väljapoole?

Lühidalt öeldes kehtestatakse IKÜM-iga piirangud isikuandmete edastamisele väljapoole EMP-d, EMP-välistele riikidele või rahvusvahelistele organisatsioonidele tagamaks, et IKÜM-iga tagatud üksikisikute kaitse tase jääb samaks.

Isikuandmeid võib edastada väljapoole Euroopa Majanduspiirkonda üksnes kooskõlas IKÜM-i peatükis V sätestatud sellise edastamise tingimustega.

Lisaks muudele IKÜM-i eeskirjadele, tuleb järgida ka andmete edastamise tingimusi. Need tingimused kujutavad endast näiteks täiendavat nõuet lisaks peamistele töötlemispõhimõtetele, mida tuleb järgida ka rahvusvahelise edastamise korral. Isikuandmete edastamisel peate siiski veenduma, et teil on töötlemiseks sobiv õiguslik alus; vajalike turvameetmete rakendamine; et te töötlete ainult selle konkreetse töötlemistoimingu jaoks vajalikke isikuandmeid (minimaalsete andmete kogumise põhimõte) jne. Kui isikuandmete vastuvõtja tegutseb andmetöötlejana, olete endiselt õiguslikult kohustatud sõlmima lepingu. Just nagu oleksite volitatud töötleja EMP-s. 

IKÜM-i kohaselt on põhimõtteliselt kaks peamist viisi isikuandmete edastamiseks EMP-välisele riigile või rahvusvahelisele organisatsioonile. Edastamine võib toimuda piisava kaitse otsuse alusel või sellise otsuse puudumisel asjakohaste kaitsemeetmete alusel, sealhulgas üksikisikute kohtulikult kaitstavate õiguste ja õiguskaitsevahendite alusel. Kaitse piisavuse otsuse või asjakohaste kaitsemeetmete puudumise korral võimaldab IKÜM teatavates olukordades teha mõningaid erandeid.
Siit leiate lisateavet erinevate võimaluste kohta.

Andmete edastamine kaitse piisavuse otsuse alusel

Euroopa Komisjonil on võimalus võtta vastu kaitse piisavuse otsuseid, et EMP riikide jaoks siduvalt kinnitada, et andmekaitse tase EMP-välises riigis või rahvusvahelises organisatsioonis on sisuliselt samaväärne kaitse tasemega Euroopa Majanduspiirkonnas.

Kaitse taseme piisavuse hindamisel võtab Euroopa Komisjon arvesse selliseid elemente nagu õigusriik, inimõiguste ja põhivabaduste austamine ning see, kas andmesubjektide õigused on tõhusad ja jõustatavad või mitte, sõltumatu andmekaitseasutuse olemasolu ja tõhus toimimine EMP-välises riigis ning riigi või rahvusvahelise organisatsiooni võetud rahvusvahelised kohustused.

Kui Euroopa Komisjon otsustab, et riik pakub piisavat kaitsetaset ja võetakse vastu kaitse piisavuse otsus, võib isikuandmeid edastada kõnealuse EMP-välise riigi teisele äriühingule või organisatsioonile, ilma et andmeeksportija, st andmeid edastav üksus oleks kohustatud tagama täiendavaid kaitsemeetmeid või lisatingimusi, mida kohaldada seoses rahvusvahelise edastusega. Teisisõnu on edastamine „piisavale“ EMP-välisele riigile võrreldav andmete edastamisega EMP-s. Teie organisatsioon peab siiski järgima muid IKÜM-i aluspõhimõtteid, nagu eespool selgitatud.

Kaitse piisavuse otsused võivad hõlmata riiki tervikuna või piirduda ühe osaga (st piirkonnaga). Kaitse piisavuse otsused võivad hõlmata kõiki andmeedastuse riike või piirduda teatavat liiki edastamisega (nt ühes sektoris).

Riigid, kus Euroopa Komisjon on seni kaitse piisavuse otsused vastu võtnud:

  • Andorra,
  • Argentina,
  • Kanada (kaubandusorganisatsioonid),
  • Fääri saared,
  • Guernsey,
  • Iisrael,
  • Mani saar,
  • Jaapan,
  • Jersey,
  • Uus-Meremaa,
  • Korea Vabariik,
  • Šveits,
  • Ühendkuningriik,
  • Ameerika Ühendriigid (ELi-USA andmekaitseraamistikus osalevad kommertsorganisatsioonid),
  • ja Uruguay.

Euroopa Komisjon avaldab kaitse piisavuse otsuste loetelu oma veebisaidil.

Andmeeksportijate ülesanne on jälgida, kas nende edastamisega seotud kaitse piisavuse otsused on endiselt jõus ega ole tühistamisel või kehtetuks tunnistamisel.

Pange tähele, et kaitse piisavuse otsused ei takista üksikisikuid kaebust esitamast. Samuti ei takista need andmekaitseasutusi kasutamast oma IKÜM-ist tulenevaid volitusi.

Andmete edastamine asjakohaste kaitsemeetmete alusel

Kaitse piisavuse otsuse puudumisel võivad organisatsioonid edastada isikuandmeid ka siis, kui on võimalik pakkuda asjakohaseid kaitsemeetmeid isikuandmeid vastu võtva organisatsiooni suhtes. Lisaks peab üksikisikutel olema võimalik kasutada oma õigusi ja neile peavad olema kättesaadavad tõhusad õiguskaitsevahendid.

IKÜM-i artiklis 46 on loetletud mitmed edastamisvahendid, mis sisaldavad asjakohaseid kaitsemeetmeid, mida võite kasutada isikuandmete edastamiseks EMP-välistesse riikidesse kaitse piisavuse otsuste puudumise korral. IKÜM artikli 46 peamised edastamisvahendid, mis on seotud eraõiguslike organisatsioonidega, on järgmised:

  • Standartsed andmekaitseklauslid;
  • Siduvad kontsernisisesed eeskirjad;
  • Tegevusjuhendid;
  • Sertifitseerimismehhanismid;
  • Ad hoc lepingutingimused.

Lepingu tüüptingimused

Lepingu tüüptingimused on standardlepingute kogum, mis võimaldab andmeeksportijatel tagada asjakohased kaitsemeetmed. See on vahend, mida paljud organisatsioonid tavaliselt kasutavad. Euroopa Komisjonil on õigus võtta IKÜM artikli 46 lõike 2 punkti c alusel vastu lepingu tüüptingimused kui sobiv kaitsemeede isikuandmete edastamiseks EMP-välistele riikidele.

4. juunil 2021 võttis Euroopa Komisjon vastu rakendusotsuse lepingu tüüptingimuste kohta isikuandmete edastamisel EMP-välistele riikidele IKÜM-i alusel. Euroopa Komisjon esitab oma veebisaidil ka lepingu tüüptingimused. Lisateave lepingu tüüptingimuste kohta. 

Lepingu tüüptingimused käsitlevad erinevaid üleandmisstsenaariume ja kaasaegsete töötlemisahelate keerukust. Vastutavad- ja volitatud töötlejad võivad olenevalt edastamise konkreetsetest asjaoludest kasutada mitut võimalust, mis hõlmavad järgmist:

  • kontroller-vastutav töötleja (C2C);
  • vastutav töötlejalt-töötlejale (C2P);
  • protsessor-protsessor (P2P);
  • volitatud töötlejalt vastutavale töötlejale (P2C), volitatud töötleja on ELis ja vastutav töötleja kolmandas riigis.

Lepingu tüüptingimuste muud olulised aspektid on järgmised:

  • võimalus rohkem kui kahel poolel nendest tingimustest kinni pidada;
  • võimalus (mõne erandiga) kasutada lepingu tüüptingimusi, kui edastatakse isikuandmeid EMP-välise riigi alamtöötlejale;
  • võimalus üksikisikul teatud eranditega tugineda tingimustele, kui kolmandast osapoolest kasusaajad/soodustatud;
  • eeskirjad pooltevahelise vastutuse kohta üksikisikute õiguste rikkumise korral;
  • Üksikisikute õigus saada hüvitist kantud kahju eest, kui on rikutud nende õigusi soodustatud isikuna;
  • nõue viia läbi üleandmise mõju hindamine, milles dokumenteeritakse edastamise konkreetsed asjaolud, sihtriigi õigusaktid ja isikuandmete kaitseks kehtestatud täiendavad kaitsemeetmed;
  • kohustused seoses ametiasutuste juurdepääsuga edastatud andmetele, nt kohustus anda teavet andmeeksportijatele ja vaidlustada ebaseaduslikud taotlused.

Siduvad kontsernisisesed eeskirjad

Siduvad kontsernisisesed eeskirjad aitavad tagada nii EMP-s kui ka sellest väljaspool asuvate kontsernisiseste vahetatavate andmete kaitse piisava taseme ning sobivad paremini piiriülesele kontsernile, mis teostab suurt hulka andmeedastusi.

Siduvad kontsernisisesed eeskirjad on kontserni kehtestatud sise-eeskirjad, milles sätestatakse nende isikuandmete edastamise üldine poliitika. Need eeskirjad peavad olema siduvad ja neid peavad järgima kõik kontserni üksused, olenemata nende asukohariigist. Lisaks peavad nad sõnaselgelt andma üksikisikutele kohtulikult kaitstavad õigused seoses nende isikuandmete töötlemisega.

Tingimused, mida tuleb järgida, et saada pädeva andmekaitseasutuse poolt heaks kiidetud siduvad kontsernisisesed eeskirjad, on loetletud IKÜM-i artiklis 47 ning neid on täiendavalt selgitatud Euroopa Andmekaitsenõukogu poolt heaks kiidetud ja artikkel 29 töörühma poolt vastu võetud soovitustes. Siduvate kontsernisiseste eeskirjade vastutavate töötlejate ja volitatud töötlejate jaoks on ette nähtud teistsugune komplekt.

Tegevusjuhendid

IKÜM-iga võetakse see uus andmeedastusvahend kasutusele. Erinevalt siduvatest kontsernisisestest eeskirjadest, mida saavad koostada üksikud kontsernid, on tegevusjuhendid valdkondlikud ja välja töötatud organisatsioonide kategooriaid esindavate ühenduste poolt. Kasutusele tuleb võtta akrediteeritud asutuste süsteem, mis jälgib tegevusjuhendi järgimist. Euroopa Andmekaitsenõukogu on algatanud selle, et selgitada tingimusi, mille alusel võivad pädevad asutused toimimisjuhendeid kasutada ja heaks kiita. Lisaks sellele vastutab Euroopa Andmekaitsenõukogu ka järelevalveasutuste akrediteerimise tingimuste järjepidevuse tagamise eest.

Sertifitseerimine

IKÜM-iga võetakse kasutusele see uus vahend andmete edastamiseks organisatsioonidele, kelle on sertifitseerinud sertifitseerimisasutused või EMP andmekaitseasutused.
Euroopa Andmekaitsenõukogu on vastu võtnud suunised, et selgitada sertifitseerimismehhanismi kehtestamise tingimusi. See tööriist on alles väljatöötamisel.
Euroopa Andmekaitsenõukogu vastutab ka sertifitseerimisasutuste akrediteerimise tingimuste järjepidevuse tagamise eest.

Ajutised lepingutingimused

Kui vastutavad töötlejad või volitatud töötlejad otsustavad mitte kasutada Euroopa Komisjoni lepingu tüüptingimusi, võivad nad koostada oma lepingutingimused (ad hoc klauslid), mis pakuvad piisavaid andmekaitsemeetmeid. Enne andmete edastamist peab pädev riiklik andmekaitseasutus andma loa selliste ajutiste lepingutingimuste kasutamiseks kooskõlas IKÜM-i artikli 46 lõike 3 punktiga a pärast Euroopa Andmekaitsenõukogu arvamuse saamist.

Täiendavad meetmed pärast Schrems II kohtuotsust

Euroopa Liidu Kohus rõhutas oma 2020. aasta otsuses C-311/18 (Schrems II) võimalikku vajadust, et organisatsioonid näeksid isikuandmete edastamisel väljapoole EMP-d ette täiendavaid meetmeid lisaks asjakohastele kaitsemeetmetele. 

Tarbijaohutuse komitee ja muud IKÜM-i artiklis 46 nimetatud edastusvahendid ei toimi vaakumis. Euroopa Liidu Kohus märkis, et vastutavad töötlejad või volitatud töötlejad, kes tegutsevad eksportijatena, vastutavad juhtumipõhiselt selle kontrollimise eest, kas EMP-välise riigi õigus või tava takistab näiteks andmetele juurdepääsu kehtestavate õigusaktide tõttu IKÜM-i artiklis 46 sätestatud asjakohaste kaitsemeetmete tõhusust.

Selleks, et aidata eksportijatel täita  andmeid vastu võtvate riikide hindamise keerulise ülesandega ja määrata vajaduse korral kindlaks asjakohased täiendavad meetmed, on Euroopa Andmekaitsenõukogu vastu võtnud soovitused.

Andmete edastamine erandite alusel

Lisaks kaitse piisavuse otsustele ja IKÜM artikli 46 kohastele edastusvahenditele sisaldab IKÜM kolmandat võimalust, mis võimaldab teatud olukordades isikuandmeid edastada. Teatavatel tingimustel võib teil siiski olla võimalik isikuandmeid IKÜM artiklis 49 loetletud erandite alusel edastada.

IKÜM-i artikkel 49 on erandlik. Erandeid tuleb tõlgendada viisil, mis ei ole vastuolus erandite olemusega, kuna need on erandid reeglist, et isikuandmeid ei tohi edastada EMP-välisesse riiki, välja arvatud juhul, kui see riik näeb ette piisava andmekaitse taseme või teise võimalusena kehtestatakse asjakohased kaitsemeetmed. Erandid ei saa praktikas muutuda reegliks, vaid neid tuleb piirata konkreetsete olukordadega.

IKÜM artikli 49 kohaselt võib edastamise või edastamised teha juhul, kui need on:

  • tehtud isiku selgesõnalisel nõusolekul;
  • vajalik üksikisiku ja organisatsiooni vahelise lepingu täitmiseks või isiku taotlusel võetavate lepingueelsete meetmete võtmiseks;
  • vajalik vastutava töötleja ja teise isiku vahel üksikisiku huvides sõlmitud lepingu täitmiseks;
  • vajalik avalikust huvist tulenevatel kaalukatel põhjustel;
  • vajalikõigusnõuete koostamiseks, esitamiseks või kaitsmiseks;
  • vajalik, et kaitsta asjaomase isiku või teiste isikute elulisi huve, kui isik on füüsiliselt või õiguslikult võimetu nõusolekut andma; või
  • koostatud registrist, mille eesmärk on EMP riigi õiguse või ELi õiguse kohaselt anda üldsusele teavet (ning mis on tutvumiseks avatud kas üldsusele üldiselt või isikutele, kes suudavad näidata üles õigustatud huvi registrit kontrollida).

Edastamise vajalikkuse hindamiseks tuleb kohaldada teatav vajalikkuse kriteeriumeid hindav „vajalikkuse test“. See test nõuab hinnangut selle kohta, kas isikuandmete edastamist võib pidada vajalikuks kõnealuse erandi konkreetsel eesmärgil.

Kui ükski eespool nimetatud eranditest ei ole konkreetses olukorras kohaldatav, on võimalik edastada andmeid vastutava töötleja ülekaalukate õigustatud huvide nimel.

Selline edastamine on lubatud ainult juhul, kui:

  • edastamine ei ole korduv (sarnaseid ülekandeid ei tehta regulaarselt);
  • edastamine hõlmab andmeid, mis on seotud ainult piiratud arvu üksikisikutega;
  • edastamine on vajalik organisatsiooni mõjuvate õigustatud huvide saavutamiseks (tingimusel, et üksikisiku huvid ei kaalu selliseid huve üles);
  • edastamise suhtes kohaldatakse asjakohaseid kaitsemeetmeid, mille organisatsioon on isikuandmete kaitseks kehtestanud (võttes arvesse kõiki edastamisega seotud asjaolusid); ja
  • avalik-õiguslik asutus ei tee seda oma avaliku võimu teostamisel.

Sellistel juhtudel on organisatsioonid kohustatud teavitama asjaomast andmekaitseasutust edastamisest ja andma üksikisikutele lisateavet.

Üldiselt tuleks erandeid kasutada ainult viimase abinõuna andmeedastuse määratlemisel – organisatsioonid peaksid kõigepealt hindama, kas ei ole võimalik kasutada kaitse piisavuse otsust ega asjakohast kaitsemeedet.

IKÜM-i artikli 49 eranditele tuginedes peate meeles pidama, et andmeid edastavad organisatsioonid peavad järgima ka muid IKÜM-i sätteid (omama õiguslikku alust andmete edastamiseks, rakendama turvameetmeid, võimalikult väheste andmete kogumist, sõlmima lepingu, kui vastuvõtja on andmetöötleja jne).