Eksperdid: isikuandmete vahetamine Euroopa Liidu ja USA vahel vajab suuremat selgust

ELi ja USA ettevõtted peavad sageli äritegevuseks ja klientidele teenuste osutamiseks isikuandmeid jagama. See võib olla vajalik nii administratiivsetel, tehnilistel või muudel põhjustel. Näiteks soovib ettevõte oma majandustegevuses kasutada tarkvaralahendust, mille loonud tehnoloogiaettevõtte peakontor ja peamine arendustegevus asub USA-s.

Iga ettevõtte, mis kasutab USAs arendatud või USA peakorteritega seotud rakendusi, peab arvestama nende kasutamisel GDPR-st tulenevate võimalike piirangutega. Euroopa ja Ameerika vahelise andmevahetuse õiguspärasuse tagamisega seotud regulatsioonid ja kokkulepped on olnud aga pidevas muutuses.

Kuna Ameerika Ühendriigid on Euroopa Liidu mõistes ebapiisava andmekaitse tasemega riigiks, siis on Euroopa Komisjon ja Ameerika Ühendriik püüdnud ajalooliselt sõlmida erinevaid kokkuleppeid, mis võimaldaksid õiguspärast andmevahetust. Varasemad õigusraamistikud on tunnistatud kehtetuks või koguni tühiseks, nagu näiteks Privacy Shield ja Safe Harbor raamistik. Tühiseks on tunnistatud põhjusel, et raamistikud ei taganud ELi kodanike isikuandmetele piisavat kaitset USA-sse edastamisel. Safe Harbor kehtis aastatel 2000-2015 ning Privacy Shield aastatel 2016-2020. Privacy Shield raamistik tunnistati kehtetuks 16. juuli 2020. aasta Euroopa Kohtu otsusega, mida on tuntud ka Schrems II nime all. Kirjeldatud Schrems II nime kandvas lahendis leidis Euroopa Kohus, et isegi olukorras, kus USA ettevõtjad kohaldaksid Privacy Shield raamistikus kokkulepitud kaitsemeetmeid, ei ole Euroopa kodanike andmed ja privaatsus Ameerika Ühendriikides sellegipoolest kaitstud. Põhiliseks probleemiks oli asjaolu, et USA föderaalseadused võimaldavad kohalikel luureasutustel väga lihtsalt isikuandmetele ligipääsu.

Pärast Safe Harbor programmi tühistamist ei ole head ja mugavat õiguslikku raamistikku, mis võimaldaks sujuvat andmevahetust Ameerika Ühendriikide ja Euroopa Liidu vahel. Võimalik on küll kasutada Euroopa Komisjoni poolt väljatöötatud mudelklausleid, kuid nende kasutamine on kohmakas ning andmeedastuse õiguspärasus üksnes mudelklauslite alusel tihti küsitav. Kuna aga Euroopa Liidu ja Ameerika Ühendriikide vaheline andmevahetus moodustab ligikaudu poole kogu USAga seotud globaalsest andmeliiklusest, siis on nii Euroopa kui Ameerika ettevõtjate ja poliitikute selge huvi ja tahe sõlmida ELi ja USA vahel kokkulepe, mis hõlbustaks andmevahetust.

Möödunud aastal alustaski Euroopa Komisjon andmevahetusraamistikku uuendama. Viimati saavutasid eelmise aasta lõpus Euroopa Komisjon ja Ameerika Ühendriigid esialgse kokkuleppe transatlantilise andmevahetusraamistiku osas. Uue raamistiku eesmärgiks on võimaldada andmete jagamist ELi ja USA mõneti lihtsustatud korras. Viimase aasta lõpus saavutatud kokkulepe on juba mitmes katse ühtse andmevahetuse õigusraamistiku loomiseks. Uuendused peaksid lahendama ka Schrems II lahendis välja toodud murekohad. Näiteks piiravad uuendused muuhulgas USA luureasutuste juurdepääsu andmetele, pakuvad täiendavaid võimalusi kahju hüvitamiseks ning panevad uusi kohustusi ettevõtetele, kes töötlevad andmesubjektide andmeid.

28. veebruaril andis uue raamistiku projektile hinnangu ka Euroopa Andmekaitsenõukogu (EAKN). EAKN küll tervitas uue raamistiku loomist, kuid leidis selles ka mitmeid ohukohti ja probleeme, mis võivad seada ohtu kõnealuse andmevahetusraamistiku vastuvõtmise. See võib omakorda mõjutada ka kohalikke ettevõtjaid, kes teevad koostööd USA ettevõtjatega.

Uue andmekaitseraamistiku peab nüüd heaks kiitma ELi liikmesriikide esindajatest koosnev komitee. Kuigi EAKN arvamus ei ole siduv, mõjutab see eeldatavasti nii liikmesriikide esindajaid kui ka Euroopa Parlamenti. Arvestades, et varasemaid andmevahetusraamistike on tühiseks tunnistatud ning EAKN on ka kõnealuse uuenduskuuri läbiva raamistiku küsimärgi alla seadnud, on suur tõenäosus, et uut andmekaitseraamistikku veel nii pea vastu ei võeta. Seetõttu tuleb veel vähemalt praegu olla isikuandmete edastamisel Ameerika Ühendriikidesse äärmiselt ettevaatlik ning igal konkreetsel juhul analüüsida, kas andmevahetus toimub õiguspäraselt.