Üha enam tuleb rahvusvahelises andmeliikluses pöörata tähelepanu sellele, et riikidel on erinev lähenemine andmekaitsele ja ka sisemine õigusregulatsioon võib olla sootuks teine võrreldes meile tuttava ja Euroopale omase inimese privaatsust kaitsva lähenemisega.
Kuna piirid riikide vahel ei ole aga digimaailmas maha märgitud nii selgelt nagu seda füüsilises maailmas, soovib andmekaitse inspektsioon pöörata organisatsioonide tähelepanu turvalisuse tagamisele piiriüleses andmetöötluses kolmandate riikidega, mille hulka kuulub ka USA ning sellega seoses soovitab inspektsioon kindlasti eelistada Eesti teenusepakkujate autentimislahendusi.
Andmekaitse inspektsioon on seisukohal, et organisatsioonidel on igati mõistlik eelistada Eesti autentimislahendusi, sest need on tehtud arvestades Euroopa andmekaitsenõudeid ning järgivad parimaid infoturbepraktikaid. Tänasel päeval on valida
- Smart – ID,
- ID – kaardi või
- mobiili – IDga autentimise vahel,
- samuti on võimalik kasutada parooliga autentimist.
Inspektsioon peab oluliseks tänasel päeval oma seisukohta väljendada, kuna viimaste aastate tendents kõneleb sellest, et enamus organisatsioonidest on toonud oma teenused internetti ning e-teenuse saamise eelduseks on paljudel juhtudel autentimine USA teenusepakkujate- Facebooki ja Google kontoga.
Privacy Shield´i tühistamise mõju autentimisele Facebooki või Google kontodega
Kui aga kasutada populaarseid USA teenuseosutajate Facebooki ja Google kontodega autentimislahendusi, tuleb arvestada faktiga, et käesoleva aasta suvel, 16. juulil jõustunud Schrems II nime all tuntud Euroopa Kohtu otsus kitsendas Euroopa ja USA vahel regulaarselt liikuvate isikuandmete edastamise võimalusi, kuna enimkasutatud kaitsemeede Privacy Shield tunnistati õigustühiseks. Sellest ajast peale on tulnud Euroopa andmetöötlejatel leida alternatiivne kaitsemeede andmete edastamiseks ja seda vastavalt üleeuroopalise õigusakti isikuandmete kaitse üldmääruse artiklitele 46-49.
Igapäevaelu näite tasandil peab organisatsiooni privaatsuse kaitsmine algama peale Schremsi otsust II sellest, et kui näiteks Eesti inimesele pakutakse e-teenust ja selle saamise eelduseks on autentimine, tuleb organisatsioonil hinnata, kas autentimine Facebooki või Google kontoga on inimese privaatsust kaitsev vastavalt Euroopa andmekaitsenõuetele. Kindlasti tuleb olla teadlik, et kui Eesti või laiemalt Euroopa andmekaitseõiguses tegutsev organisatsioon võimaldab inimestele autentimist e-teenustesse USA teenusepakkuja autentimislahenduse kaudu, toimub üldjuhul inimeste andmete edastamine USA teenuseosutaja serverisse, mis asub Euroopa andmekaitseõigusest erinevas õigusruumis ning kus kehtivad Euroopast erinevad andmekaitsereeglid.
Miks on Eesti autentimislahendus parem?
Kokkuvõttes ei ole Euroopa Kohtu otsus Shrems II muutnud koostööpõhimõtteid USA ja Euroopa vahel, küll aga on see kitsendanud andmete edastamise võimalusi, mis omakorda mõjutab ka USA teenusepakkujate autentimislahenduste kasutamist. Kuna Privacy Shield enam ei kehti, nõuab muutunud olukord alternatiivseid lahendusi ja iga andmetöötleja suuremat tähelepanu turvalisuse tagamiseks. Seetõttu soovitabki inspektsioon erinevate võimalike probleemide vältimiseks kasutada Eesti oma turvalisi autentimislahendusi.
Euroopa Andmekaitsenõukogu võttis 10. novembril vastu avalikule konsultatsioonile suunatava dokumendi, mis käsitleb kaitsemeetmete kasutamist kolmandatesse riikidesse isikuandmete edastamistel peale Schrems II kohtu otsust.
Kolmandatesse riikidesse andmete edastamiseks on valmimas selgitav dokument