Isikuandmete edastamine USA-sse lihtsustub
(4)
Juba mõnda aega on Euroopa Liidu liikmesriikides esinenud probleem seoses USA teenusepakkujate poolt eurooplaste isikuandmete töötlemisega, mis sai lahenduse äsja 10. juulil Euroopa komisjoni poolt heakskiidetud Euroopa-USA andmete privaatsuse raamlepingu heakskiitmisega ja uue nn adekvaatsusotsuse kehtestamisega.
Teadaolevalt toimub kõigi Euroopa Liidu liikmesriikide vahel isikuandmete kaitse alusel isikuandmete nö. vaba liikumine. See tähendab, et vastavalt üldmäärusele ei pea e-poed, meediaplatvormid, tervishoiuteenuse osutajad ja teised andmetöötlejad hindama teise Euroopa liidu liikmesriigi (lisaks Norra, Islandile ja Liechtensteini) tarbijate isikuandmete töötlemisel erinevate liikmesriikide isikuandmete kaitse tasemete vastavust üldmäärusele. Teisiti on asi aga USA-sse isikuandmete edastamisega.
Nimelt pole viimase paari aasta jooksul tulenevalt privaatsusaktivist Max Schremsi võidukäikudest Euroopa Kohtus peetud USA isikuandmete kaitset Euroopa kaitsetaseme kontekstis piisavaks. See on põhjustanud mitmeid probleeme muuhulgas suurte tehnoloogiahiidude andmepõhiste teenuste pakkumisel Euroopa Liidus kuni selleni välja, et Meta ähvardas olukorra jätkumisel oma Facebook teenuse eurooplastele sulgeda. Nüüd on üritatud seda olukorda parandada uue adekvaatsusotsuse vastuvõtmisega Euroopa Komisjoni poolt – EU-US Data Privacy Framework (edaspidi DPF, tõlkes EL-i ja USA vaheline andmete privaatsuse raamleping).
Kui siiani on nõutud isikuandmete kolmandatesse riikidesse (nagu USA) edastamise puhul täiendavaid kaitsemeetmed, et korvata kolmanda riigi andmekaitse puudulik tase, siis nüüd USA puhul selliste meetmete võtmise nõue kaob. Vajadus selliste meetmete kaotamise järgi on praktikas olnud ilmselge, kuna turuosalistel on sisuliselt võimatu olnud rakendada selliseid abinõusid, mis osutaksid arvestatavat vastupanu nt USA julgeolekuasutuste sekkumisvõimalustele ja teistele andmekaitsealastele puudujääkidele.
Komisjoni adekvaatsusotsuse eeltööna muutsid USA võimud mitmeid julgeolekualaseid ja isikuandmete kaitset puudutavaid õigusakte, mis tegi võimalikuks uue adekvaatsusotsuse kehtestamise.
Adekvaatsusotsuse aluseks on USA poolt antud lubadused tagada andmesubjektide huvide kaitse ja sisse viidud vaidluste lahendamise kord, juhuks kui sellise andmevahetuse käigus mõne andmesubjekti huvid peaksid saama riivatud.
Adekvaatsusotsuse alusel tuleb selleks, et EL-i andmetöötlejad saaksid USA andmetöötlejatega isikuandmeid omavahel edastada, registreerida USA andmetöötlejatel end teatud registrisse. Kuidas see täpselt toimima hakkab, pole täna veel teada.
Kuigi praegusel juhul on Euroopa Komisjon jõudnud adekvaatsusotsuse vastuvõtmiseni, st arusaamiseni, et USA andmekaitsealane regulatsioon on piisav, ei ole ka sel korral teada, kui kauaks see kehtima jääb. Võib oletada, et privaatsusorganisatsioonid testivad raamlepingu ja adekvaatsusotsuse vettpidavust kohtutes ka sel korral. Max Schrems on sellele juba vihjanud. Teine variant adekvaatsusotsuse tühistamiseks on olukord, kus Euroopa Komisjon leiab oma regulaarse järelevalve käigus, et USA-le isikuandmete edastamise pole siiski nii turvaline kui adekvaatsusotsuse vastuvõtmisel leiti. Seda eelkõige seetõttu, et ka varasemalt on peetud USA andmekaitsealast regulatsiooni ebapiisavaks just ebatõhusa järelevalve tõttu.
