Global menu

Our global pages

Close

Ühe Facebook`i kasutaja juhtum lõhkus üleatlandilise andmevahetuse vundamendi

  • Estonia
  • Other

07-10-2015

Euroopa kohtu suurkoja 06.10.2015 tehtud otsusega muutus kehtetuks Ameerika Ühendriikide ja Euroopa Liidu vaheline Euroopa Komisjoni otsusele rajatud nn Safe Harbor kokkulepe. See võib tuua kaasa suured muutused ettevõtetele, kelle serverid asuvad Ameerika Ühendriikides või kes kasutavad pilveteenuseid.

Kohtuasi sai alguse Austria kodaniku Maximillian Schrems`i esitatud kaebusest, milles Schrems palus keelata Facebook`i Iirimaal registreeritud Euroopa üksusel Facebook Ireland`il tema isikuandmete edastamine Ameerika Ühendriikidesse. Euroopa Liidu territooriumil on Facebook`i konto registreerimise eelduseks lepingu sõlmimine Ameerika Ühendriikides asuva Facebook Inc. tütarühinguga Facebook Ireland. Lepingu sõlmimisel annab kasutaja Facebook Ireland`ile õiguse oma isikuandmete (sh nime, vanuse, isiklike sõprade ringi jm andmete) töötlemiseks, mis konto loomise järgselt edastatakse edasiseks töötlemiseks hoopis Ameerika Ühendriikidesse - Facebook Inc. serveritesse. Kaebuses põhjendas Schrems, et Ameerika Ühendriikides kehtiv õigus ei taga isikuandmete kaitset piisaval tasemel nagu nõutav Euroopa Liidu andmekaitse direktiivis.

Euroopa Liidus on eraelu ja isikuandmete kaitseks sätestatud range reeglistik. Ameerika Ühendriikides on eraelu kaitse reeglid oluliselt leebemad ning riigil on laiemad õigused isikute andmete töötlemiseks. Eriti puudutab see Ameerika Ühendriikide föderaalsete luure- ja julgeolekuasutuste võimalusi ka otsese süüteokahtluseta isikute järel nuhkida.

Euroopa Liidu andmekaitse direktiivi kohaselt, mille alusel on välja töötatud ka Eestis kehtiv isikuandmete kaitse seadus, on isikuandmete edastamine lubatud üksnes sellistesse riikidesse, kus on piisav andmekaitse tase. Piisava andmekaitse tasemega riikideks on Euroopa Majanduspiirkonna riigid ja riigid mille andmekaitse taset on Euroopa Komisjon hinnanud piisavaks. Sellegipoolest, ka sellistesse piisava andmekaitse tasemega riikidesse ei ole isikuandmete edastamine Euroopa Liidus lubatud piiramatult, vaid üksnes õigusliku aluse olemasolul. Selliseks õiguslikuks aluseks võib olla näiteks isikuga sõlmitud leping, millisel juhul on isikuandmete töötlemine lubatud üksnes rangelt konkreetse lepingu täitmise eesmärgil ning andmete töötlemine laiemalt pole lubatud.

Ameerika Ühendriikide osas kehtis senini reegel, mille kohaselt loeti andmekaitse tase piisavaks üksnes nn Safe Harbor programmiga liitunud ettevõtted. Safe Harbor programmi põhimõtted hõlmasid Ameerika Ühendriikide kaubandusministeeriumi väljatöötatud isikuandmete kaitse reegleid, eesmärgiga saavutada selline andmekaitse tase, mis oleks kooskõlas Euroopa Liidus kehtivate reeglitega. Programmi põhimõtete eesmärgiks oli ületada erinevused Ameerika Ühendriikide ja Euroopa Liidus kehtivate põhimõtete vahel seoses eraelu puutumatusega. Seega Ameerika Ühendriikide ettevõttete osas, kes olid andnud vabatahtliku kinnituse, et järgivad Safe Harbor reegleid, loeti andmekaitse tase piisavaks. Kinnituse andnute hulgas on kõik suuremad Ühendriikide Euroopas tegutsevad ettevõtted nagu näiteks Facebook, Google, Microsoft, Apple, Amazon, Twitter, Yahoo ning isegi sellised ettevõtted nagu Coca-Cola, Adidas ja Nike.

Pärast Ameerika Ühendriikide ülisalajase jälgimisprogrammi PRISM avalikuks tulekut selgus aga, et sisuliselt kõik äriühingud, kes on andnud kinnituse Safe Harbor reeglite järgimise kohta, osalevad ka PRISM programmis, mille raames edastatakse oma kasutajate isikuandmed Ameerika Ühendriikide luureasutustele.

Kokkuvõttes järeldas kohus, et siseriiklikud andmekaitseasutused saavad ja peavad ise hindama, kas igal andmete edastamise juhul on piisav andmekaitse tase tagatud ning isikute eraelu kaitstud. Kohus otsustas, et Euroopa Komisjoni otsusega ei ole võimalik ette kirjutada, et andmekaitse tase loetakse igal juhul piisavaks, nagu see senini Safe Harbor ettevõtete osas kehtis. Otsusega andis kohus ka selge hinnangu, et Ameerika Ühendriikide õigus ei taga Euroopa standarditele vastavat andmekaitse taset. Näiteks kui Euroopa Liidus kehtivate reeglite kohaselt on isikutel õigus oma andmetele juurdepääsu saamiseks, õigus teha andmetesse parandusi, õigus nõuda andmete kustutamist ning õigus kasutada muid (ka kohtulikke) õiguskaitsevahendeid seoses nende isikuandmete töötlemisega, siis Ameerika Ühendriikide jälgimisprogrammide raames isikutel sellised õigused puuduvad.

Mis edasi?

Kui siiani kehtis eeldus, et Safe Harbor programmi ettevõtete puhul on piisav andmekaitse tase tagatud ning isikuandmete edastamine oli õigusliku aluse olemasolul lubatud, siis nüüd tuleb isikuandmete edastamisel Ameerika Ühendriikidesse rakendada andmesubjektide õiguste kaitseks täiendavaid garantiisid, millega tagatakse isikuandmete nõuetekohane kaitse pärast nende jõudmist sihtriiki.

Üldreegli kohaselt võib nüüd Ameerika Ühendriikidesse isikuandmeid edastada üksnes Andmekaitse Inspektsiooni loa alusel ja tingimusel, et konkreetsel juhul on Ameerika Ühendriikides tagatud isiku, kelle andmeid edastatakse, õiguste ja eraelu puutumatuse kaitse. Sõltuvalt Andmekaitse Inspektsiooni poolt äsjase kohtuotsuse valguses kujundatavast seisukohast, võib osutuda vajalikuks selle tingimuse täitmist eraldi tõendada.

Inspektsiooni loataotluse protsess on aga küllalt keerukas ning loa andmise järel on inspektsioon kohustatud teavitama loa andmisest Euroopa Komisjoni. Seega on väheusutav, et ettevõtted asuks oma praktikas lubasid taotlema. Loa saamise eeldusena võib muuhulgas osutuda vajalikuks, et isikuandmete Euroopa Liidus asuv eksportija on sõlminud välisriigis asuva andmete vastuvõtjaga lepingu, millega on tagatud, et andmete vastuvõtja täidab isikuandmete kaitse nõudeid. Samuti on Andmekaitse Inspektsioonil õigus küsida täiendavaid tõendeid, mis tõendaksid, et konkreetsel juhul on piisav andmekaitse tase tagatud ja isikute eraelu kaitstud.

Andmekaitse Inspektsiooni luba ei ole nõutav kui isik on andnud oma andmete töötlemiseks nõusoleku. Nõusolekule on aga kehtestatud täpsed nõuded. Kui nõusolek nendele nõuetele ei vasta, on see kehtetu.

Muuhulgas peavad nõusolekus olema selgelt määratletud kõik andmed, mille töötlemiseks luba antakse, andmete töötlemise eesmärk ja kõik isikud, kellele andmete edastamine on lubatud. Nõusoleku võtmisel tuleb isikule teatavaks teha ka tema õigused seoses tema andmete töötlemisega, sh õigus nõusolek igal ajal tagasi võtta ning andmete töötlemine keelata, nõusolek peab olema antud enne, kui isiku andmeid töötlema hakatakse jne. Oluline on siinjuures tähelepanu pöörata sellele, et kui isik annab nõusoleku oma andmete töötlemiseks koos mõne teise tahteavaldusega, siis peab nõusolek, mis on antud isikuandmete töötlemiseks, olema selgelt eristatav. See tähendab, et kui isik on nõusoleku oma andmete töötlemiseks andnud n-ö muuseas, koos üldiste kasutustingimuste aktsepteerimisega, siis sellisel juhul ei ole nõusoleku eristatavuse nõue täidetud.

Ettevõtted, kes on küsinud andmete töötlemiseks nõuetekohased nõusolekud, võivad kergemalt hingata ega pea erilisi muudatusi ellu viima. Tõenäoliselt ei vasta küsitud nõusolekud paljudel juhtudel siiski kehtestatud detailsetele nõuetele, mistõttu võib andmete edastamine Ameerika Ühendriikidesse olla õigusvastane.

Igal juhul on olukord praegu veel äärmiselt ebaselge ning tekkinud olukorda koguneb järgmisel nädalal erakorraliselt arutama ka Euroopa andmekaitseasutuste töörühm. Huvitav saab olema ka see, kas ja kuidas mõjutab Euroopa Kohtu otsus käimasolevat andmekaitse reformi ja Euroopa Liidu ühtse andmekaitsemääruse väljatöötamist.

 

For more information contact

< Go back

Print Friendly and PDF
Subscribe to e-briefings