Vastavalt isikuandmete kaitse üldmäärusele (GDPR) saab Euroopa Liidust kolmandatesse riikidesse andmete edastamise alusena kasutada standardseid lepinguklausleid, mis tagavad asjakohased andmekaitse meetmed – nn SCC-d (Standard Contractual Clauses).

4. juunil 2021. aastal väljastas Euroopa Komisjon isikuandmete kaitse üldmääruse alusel ajakohastatud lepingu tüüptingimused andmete edastamiseks Euroopa Liidus/Euroopa Majanduspiirkonnas asuvatelt vastutavatelt või volitatud töötlejatelt vastutavatele töötlejatele või volitatud töötlejatele, kes on asutatud väljaspool Euroopa Liitu/Euroopa Majanduspiirkonda (ei allu GDPR-ile).

Need ajakohastatud SCC-d asendavad eelmise andmekaitsedirektiivi alusel vastu võetud kolme SCC-de komplekti. Ettevõtted peavad 27. detsembriks 2022 viima üle kõik vanu SCC-sid kasutavad lepingud uutele SCC-dele.

Uute SCC-de kohaselt peavad andmete vastuvõtjad kinnitama, et nad avaldavad isikuandmeid kolmandale osapoolele väljaspool Euroopa Majanduspiirkonda ainult juhul kui

• kolmas isik on nõustunud end nende klauslitega siduma või
• kehtib konkreetne erand.

Euroopa Andmekaitsenõukogu (EDPB) on eelnevates juhistes selgelt ütelnud, et süstemaatilise edastamise puhul ei ole erandid saadaval.

Selle tulemusel, kui edastamine toimub süstemaatiliselt uute SCC-de alusel, peab vastuvõtja tagama, et kõik töötlemisega seotud kolmandad isikud, näiteks (all)töötlejad, on samuti uutele SCC-dele alla kirjutanud. See tähendab, et vastuvõtjad peaksid oma tarneahelad üle vaatama ja kehtestama uued SCC-d, et katta selline andmete edastamine. Arvestades seda perspektiivi ei ole aasta lõpp kaugel.

Euroopa Komisjonil on õigus GDPR-i artikli 45 alusel kindlaks teha, kas väljaspool Euroopa Liitu asuv riik pakub piisavat andmekaitse taset sarnaselt Euroopa Liiduga. Kui see nii on, siis ei nõuta isikuandmete edastamiseks täiendavaid kaitsemeetmeid ehk SCC-sid. Euroopa Komisjon on seni tunnustanud Andorrat, Argentiinat, Kanadat (äriorganisatsioonid), Fääri saari, Guernsey saart, Iisraeli, Mani saart, Jaapanit, Jerseyt, Uus-Meremaad, Korea Vabariiki, Šveitsi, Ühendkuningriiki ja Uruguayd piisava kaitse pakkujana.

Kuidas on lood Euroopa Liidu ja Ameerika Ühendriikide andmeedastusega?

Seni on peamiseks murekohaks, potentsiaalse majandusliku mõju tõttu, olnud andmete edastamine Euroopa Liidust USA-sse, kuna USA ei oma senini andmekaitse piisavat taset ning Euroopa Liidu kohtu otsuste kohaselt on EL-l ja USA-l eraelu puutumatuse printsiipide rakendamise vahel põhimõttelised õiguslikud erinevused. Ettevõtted on puutunud kokku juriidilise ebakindlusega andmete edastamisel üle Atlandi eelkõige pilveteenuste, tööjõuandmete, turunduse ja reklaami valdkonnas, sest pikalt on olnud teemaks Euroopa Liidu kodanike andmete ebapiisav kaitsmine teisel pool ookeani.

Uued SCC-d võivad aidata neist probleemidest üle saada, kuid nüüd, viimaste uudiste valguses, on küsimus selles, kas Euroopa Liidu ettevõtted peaksid kiirustama, et SCC-d USA ettevõtetega aasta lõpuks välja vahetada või oleks targem oodata võimalikke arenguid USA andmekaitse piisavuse otsuse osas?

Viimased uudised 25. märtsist on, et USA valitsuse ja Euroopa Komisjoni intensiivistunud läbirääkimiste tulemusena jõudsid Euroopa Liit ja USA põhimõttelisele kokkuleppele uue Atlandi-ülese andmekaitseraamistiku osas. Põhimõtteline leping tõlgitakse nüüd juriidilisteks dokumentideks ning USA kohustused lisatakse täidesaatvasse korraldusse, mis on uue raamistiku kehtestamisel Euroopa Komisjonile andmekaitse piisavuse otsuse eelnõu aluseks.

Kui uus raamistik ja vaidlustusmehhanism on loodud, testivad seda kindlasti üksikisikud ja koheselt kontrollivad seda ka Euroopa Liidu andmekaitseasutused, kohtud ja avalikkus. Seega on andmekaitseeksperdid ja privaatsusaktivistid hoiatanud, et uus lahendus võib seista silmitsi sarnaste juriidiliste väljakutsetega nagu varasemad. Nii ei ole veel täit kindlust, milliseks kujuneb kogu selle uue lahenduse rakendamise ajaraam.

Aastaid kestnud vaidlus tuleneb kartusest, et USA ametnikud võivad ebaseaduslikult tutvuda tehnoloogiafirmade nagu Facebooki emaettevõtte Meta Platforms Inc. ja teiste kogutud isikustatud massandmetega.

Uue Atlandi-ülese andmekaitseraamistiku peamised põhimõtted

• Uue raamistiku alusel saavad andmed vabalt ja turvaliselt liikuda Euroopa Liidu ja osalevate USA ettevõtete vahel.
• Uued reeglid ja siduvad kaitsemeetmed, et piirata USA luureasutuste juurdepääsu andmetele riigi julgeoleku kaitsmiseks vajalikkuse ja proportsionaalsuse printsiipidega. USA luureasutused võtavad kasutusele protseduurid, et tagada tõhus järelevalve uute eraelu puutumatuse ja kodanikuvabaduste standardite üle.
• Uus kaheastmeline vaidlustusmehhanism eurooplaste kaebuste uurimiseks ja lahendamiseks USA luureasutuste andmetele juurdepääsu kohta, mis hõlmab andmekaitse kontrollikohtu loomist.
• Tugevad kohustused ettevõtetele, kes töötlevad Euroopa Liidust edastatud andmeid, mis hõlmavad ka edaspidi nõuet, et põhimõtete järgimist tuleb USA kaubandusministeeriumi kaudu tõendada.
• Spetsiifilised järelevalve- ja läbivaatamismehhanismid.

Miks on see vajalik?

USA-sse edastatud eurooplaste andmete piisav kaitse, võttes arvesse Euroopa Kohtu otsust (Schrems II).

• Ohutu ja turvaline andmevoog.
• Vastupidav ja usaldusväärne õiguslik alus.
• Konkurentsivõimeline digimajandus ja majanduskoostöö.
• Jätkuvad andmevood, mis toetavad igal aastal 900 miljardi euro väärtuses piiriülest kaubandus.

Kuidas edasi?

Kokkuvõtteks võib öelda, et Euroopa Liidu ettevõtetest kolmandatesse riikidesse isikuandmete edastamisel on SCC-de uuendamine kindlasti vajalik ning see võib olla keeruline ja aeganõudev ülesanne, isegi kui seda viivad läbi professionaalid. Mis puudutab aga konkreetselt Euroopa Liidu ja USA vahelist andmeedastus, siis võib öelda, et uue õigusliku raamistiku arengud võivad päeva päästa.