Isikuandmete edastamist kolmandatesse riikidesse (mittepiisava andmekaitsetasemega riikidesse) reguleerib Euroopa isikuandmete kaitse üldmääruse artiklid 44-50.
Üldreegel on see, et kolmandatesse riikidesse võib andmeid edastada juhul, kui on täidetud eelviidatud artiklites sätestatud tingimused (näiteks rakendatud piisavad kaitsemeetmed) ning on olemas üldmääruse artiklitele 6 või 9 vastav õiguslik alus.
Täiendavat teavet andmete edastamise kohta välisriiki leiab ka Euroopa Komisjoni vastavalt lehelt.
Kuidas aru saada, milline üldmääruse artikkel konkreetsele andmeedastusele kohaldub?
Kõigepealt tuleks välja selgitada, kas kolmas riik või rahvusvaheline organisatsioon, kuhu andmeid edastada soovitakse on saanud Euroopa Komisjonilt otsuse, et antud riigis, konkreetses sektoris või rahvusvahelises organisatsioonis on tagatud piisav andmekaitse tase.
Piisava tasemega riikide nimekirja leiab siit.
Kui komisjoni piisavuse otsus on olemas, siis ei ole vaja inspektsioonilt taotleda andmete edastamiseks eriluba.
Kui riigile või rahvusvahelisele organisatsioonile ei ole tehtud piisavuse otsust, siis üldiselt võib andmeid edastada üldmääruse artiklis 46 kirjeldatud kaitsemeetmeid kohaldades või üldmääruse artiklis 49 kirjeldatud erandite rakendumisel.
Edastamine Ameerika Ühendriikidesse
Ameerika Ühendriike loetakse mittepiisava andmekaitsetasemega riigiks. Samas on Euroopa Komisjon vastu võtnud rakendusotsuse 2016/1250 isikuandmete kaitse piisavuse kohta andmete edastamisel Euroopa Liidu ja Ameerika Ühendriikide vahel kasutades Eraelukaitse Kilbi andmekaitseraamistikku. Teisisõnu nendele ettevõtetele, kes on liitunud Eraelukaitse Kilbiga (Privacy Shield) programmiga, andmete edastust loetakse piisavuse otsuse alusel tehtavaks andmete edastuseks ning andmete edastamine on lubatud üldmääruse artikli 45 alusel. Inspektsiooni luba andmete edastamiseks ei ole vaja taotleda.
Eraelukaitse Kilbiga liitunud ettevõtete nimekirja leiab siit.
Eraelukaitse Kilbi andmekaitseraamistiku kaebusvormid on saadaval siit.
Edastamine kaitsemeetmete kohaldamisel (artikkel 46)
Üldmääruse artiklis 46 on kirjeldatud kaitsemeetmeid, mida rakendades võib isikuandmeid edastada kolmandasse riiki, mille andmekaitse taset ei ole hinnatud piisavaks. Kasutades selleks siis siduvaid kontsernisiseseid eeskirju, standardseid andmekaitseklausleid, õiguslikult siduvaid dokumente avaliku sektori asutuste vahel, toimimisjuhendeid vms.
Juhul, kui kasutatakse kaitsemeetmeid, mis on loetletud artikli 46 lõikes 2, siis ei pea inspektsioonilt taotlema andmete edastamiseks eriluba.
Juhul, kui aga kasutatakse kaitsemeetmeid, mis on loetletud sama artikli lõikes 3 (andmete töötleja ja kolmandas riigis asuva andmete töötleja vaheline nn ad hoc leping, avalikus sektori asutuse või organite vahelised halduskokkulepped, mis hõlmavad ka andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi), siis tuleb inspektsioonilt taotleda eriluba. Enne loaotsuse väljastamist pöördub inspektsioon Euroopa Andmekaitsenõukogu poole arvamuse saamiseks, et kohaldada üldmääruses sätestatud järjepidevuse mehhanismi.
Kontsernisiseste eeskirjade kasutamine (artikkel 47)
Kui andmete edastamisel soovitakse kasutada siduvaid kontsernisiseseid eeskirju (Binding Corporate Rules) ja kontserni peakorter asub Eestis (st Andmekaitse Inspektsioon asub juhtiva järelevalveasutuse rolli), siis tuleb eeskirjad koostada ning viia läbi üldmääruse artikli 47 alusel toimuv hindamise protseduur. Enne otsuse väljastamist kohaldab inspektsioon järjepidevuse mehhanismi (st dokumendid edastatakse ka Euroopa Andmekaitsenõukogule arvamuse saamiseks). Peale Andmekaitsenõukogus toimuvat menetlust on võimalik ilma inspektsiooni eriloata edastada isikuandmeid nendel tingimustel, mis olid kirjeldatud vastu võetud siduvates kontsernisisestes eeskirjades.
Täiendavad juhendmaterjalid kontsernisiseste eeskirjade kohta on leitavad siit.
Kui aga siduvate kontsernisiseste eeskirjade kasutamisel on juhtiv järelevalveasutus mõnes muus liikmesriigis (st peakorter asub mõnes muus riigis) ning siinne andmetöötleja soovib lihtsalt andmeid edastada järjepidevuse mehhanismi kaudu vastu võetud siduvate kontsernisiseste reeglite alusel, siis kohaldub üldmääruse artikkel 46 lõige 2 punkt b ning inspektsioonilt eriluba taotleda ei tule.
Isikuandmete edastamise erandid (artikkel 49)
Juhul, kui riik, kuhu soovitakse andmeid edastada on mittepiisava andmekaitse tasemega riik, Euroopa Komisjon ei ole väljastanud kaitse piisavuse otsust ning puuduvad ka piisavad kaitsemeetmed (kirjeldatud artiklis 46), siis võib isikuandmeid edastada üldmääruse artiklis 49 välja toodud erandjuhtumitel (nt isiku nõusolek, lepingu täitmine, avalik huvi, õigusnõuete koostamine jms).
Täpsemat juhendit erandlikes olukordades edastamiste kohta saab lugeda siit.
