16. juulil 2020 tegi Euroopa Kohus otsuse C-311/18 (Schrems II), millega kuulutati kehtetuks USA ja Euroopa Liidu vaheline andmete vahetamise turvalisust tagav sertifikaadiprogramm Privacy Shield.

Kuni selle hetkeni võis USA ettevõte, kellel oli ette näidata Privacy Shieldi sertifikaat, töödelda Euroopa Liidu elanike isikuandmeid ja seejuures ei pidanud ette näitama andmete töötlemise turvalisust tagavaid lisatagatisi. Näiteks nii Google kui ka Facebook kasutasid ja kasutavad siiamaani Euroopa Liidu elanike andmete töötlemiseks USAs Privacy Shieldi.

Tähelepanu all Facebook ja Google

Maximilian Schrems on Austria jurist, kelle tõttu on teravdatud tähelepanu all internetigigantide Facebooki ja Google’i isikuandmete töötlemise praktika. Privacy Shield on juba teine sarnane USA ja Euroopa Liidu vaheline andmete vahetamise mehhanism, mille Schrems n-ö põhja laseb. Euroopa Kohtu otsus oli selge – Privacy Shield ei taga, et USA ettevõtted, eriti need, kes on U.S. Code § 1881a (“FISA 702”) kohuslased või edastavad andmeid USA valitsusele vastavalt Executive Order 12.333-le, töötlevad Euroopa Liidu elanike isikuandmeid nii turvaliselt, nagu isikuandmete kaitse üldmäärus (IKÜM) seda nõuab. Kohtu järeldusel puuduvad USA massjälgimise praktikas adekvaatsed kaitsemeetmed ja piirangud, mis vastaksid Euroopa Liidu seadusandluse “tasakaalu” põhimõttele ja Euroopa Liidu andmesubjektidel puudub ligipääs hüvitistele või õiguskaitsevahenditele, kui nende andmeid väärkasutatakse.

Kohtuotsus on, selgust pole

Hoolimata kohtu otsusest ei ole absoluutselt selge, mida ettevõtted peavad selleks tegema, et tagada USAs andmete töötlemise turvalisus, sest Euroopa Andmekaitse Nõukogu ei ole andnud siiani juhiseid, milliseid meetmeid kasutada Privacy Shieldi asemel. Juhiste puudumine ei tähenda siiski hingamisruumi, sest kohtu otsus on rakendatav kohe.

Kaks kuud peale Euroopa Kohtu otsust tegid Schrems ja tema juhitud NOYB (my privacy is none of your business) kaebuse erinevatele andmekaitse järelevaatajatele 101 ettevõtte kohta, kes jätkuvalt kasutasid oma veebilehel Facebook Connecti ja Google Analyticsit, mis nende käsitluses on selges vastuolus Euroopa Kohtu otsusega.

Need 101 ettevõtet ei ole ainukesed, kes ei ole vastavuses Euroopa Kohtu otsusega. Rahvusvaheline advokaadibüroo Fieldfisher viis oma blogis ja LinkedInis läbi uuringu, kuidas ettevõtted plaanivad rakendada Schrems II otsusest tingitud muudatusi. Nad tuvastasid, et 75% küsitlusele vastanute volitatud või kaasvastutavad töötlejad on USAs või väljaspool Euroopa Majanduspiirkonda, mis näitab Schrems II otsuse mõju tegelikku ulatust. Hoolimata Privacy Shieldi kokkukukkumisest plaanib ainult 12% vastanutest vahetada oma olemasolevad volitatud või kaasvastutavad töötlejad Euroopa Majanduspiirkonnas olevate vastu. Kõigest 5% ütles, et nad lõpetavad andmete eksportimise. Küsitluse tulemus on selge näide sellest, et regulatiivne ja seadusandlik praktika on väga kaugel tänapäevase äri andmevahetuse praktikatest.

Eesti ettevõtted veel muretsema ei pea

Privacy Shieldi tühistamise mõjud ei lähe ka Eestist mööda, kuigi teadaolevalt ei ole andmekaitse inspektsioonile keegi esitanud kaebust, et ettevõte kasutab andmete edastamiseks USAsse veel Privacy Shieldi. Nii kaua kuni Eesti seadusandluses ei ole kasutusele võetud haldustrahvi kontseptsiooni, ei pea ka Eestis asuvad ettevõtted ülisuurte andmekaitsealaste trahvide ees hirmu tundma, kuid haldustrahvi tegemise võimalus tuleb ka Eesti seadusandlusesse.

Mida see praktiliselt ühe Eesti ettevõtte jaoks tähendab?

Tasub üle vaadata oma volitatud töötlejate nimekiri, eriti pilverakenduste pakkujad: kui paljud nendest on asukohaga USAs või ütlevad lepingus (üldtingimustes), et nad edastavad andmeid USAsse. Mis on andmeedastuse õiguslik alus? Kui see on Privacy Shield, siis tuleks kaaluda, kas on mõistlik kasutusele võtta lepingu tüüpklauslid või tasub konkreetne volitatud töötleja vahetada välja Euroopa Majanduspiirkonnas asuva töötleja vastu. Kui ettevõttes on USAsse andmete edastamiseks juba kasutusel lepingu tüüpklauslid, siis peab üle vaatama, kas tüüpklauslites kasutusel olevad turvanõuded on piisavad. Teisisõnu tuleb läbi viia mõjuhinnang ja otsustada, kas kasutusel olevad meetmed on piisavad. Hoolimata sellest, et Euroopa erinevad andmekaitse inspektsioonid ei suuda kokkuleppele jõuda, kas tüüpklauslite kasutamine on üldse seaduslik.

Kuigi andmekaitse järelevaatajate ja oportunistlike kaebajate põhifookus läheb kõigepealt globaalsetele ettevõtetele, peavad ka Eesti ettevõtted, eriti need, kes tegutsevad ka teistes Euroopa riikides või globaalselt, olema valmis selleks, et kui nad ei vii isikuandmete edastamist USAsse vastavusse Euroopa Kohtu otsusega, võivad nad silmitsi seista trahviga.