Advokaat Aleksander Tsuiman: isikuandmete kaitse regulatsioonides on tunda tormituuli

Isikuandmete piiriülene liikumine ehk edastamine on teema, mis on pahatihti jäänud vaeslapse rolli. Seda nii meediakajastuse kui ka ettevõtete ning kontsernide siseprotsesside kujundamisel. Viimased andmekaitse õiguse muudatused puudutavad siiski just seda valdkonda.

Esmalt tuleb väikese terminoloogilise märkusena selgitada, et isikuandmete edastamiseks ning sellest tulenevate õiguste ja kohustuste aktiveerumiseks ei ole tarvis andmeid füüsiliselt kuskile edastada - edastamise all peab Euroopa Liidu isikuandmete kaitse üldmäärus silmas muuhulgas ka isikuandmete kättesaadavaks tegemist.

Euroopa Liitu (EL) ning Euroopa Majanduspiirkonda kuuluvate riikide piires on isikuandmete edastamine suhteliselt vaba ning muretu. Probleeme ei tule ka isikuandmete edastamisega riikidesse, mille kohta on Euroopa Komisjon võtnud vastu kaitse piisavuse otsuse. Nimekiri nendest riikidest on kättesaadav siin.

Keerulisemaks muutub olukord juhul, kui soovitakse isikuandmeid edastada riikidesse, mis asuvad väljaspool EL-i ja Euroopa Majanduspiirkonda. Siis on vajalik edastamiseks rakendada teatavaid lepingulisi ning korralduslikke kaitsemeetmeid, mis on ka isikuandmete kaitse üldmääruses paika pandud. Näiteks on tarvis kaitsemeetmed kasutusele võtta olukorras, kus Eestis tegutsev ettevõte on oma IT-toe allhanke korras sisse ostnud Indiast ning sealsel teenusepakkujal on ligipääs andmetele, mis füüsiliselt asuvad Eestis.

Sama lugu on paljude pluginate ning SaaS (inglise keeles software-as-a-service) lahenduste kasutamisega ettevõtete töös - ka sel puhul võib väga lihtsalt juhtuda, et teie kontrolli all olevad isikuandmed on kättesaadavad ettevõtetele, mis asuvad kolmandates riikides.

Brexit on viimastel aastatel olude sunnil kujunenud igapäevaterminiks ning üha reaalsema ohuna on tajutav Ühendkuningriigi ning Euroopa Liidu vahelise leppeta lahkumise stsenaariumi realiseerumine. See stsenaarium võib tuua kaasa olukorra, kus Ühendkuningriik võrdsustub (vähemalt mingiks ajaks ning lihtsustatult) andmekaitseõiguse mõttes eelnevas lõigus näitena toodud Indiaga. See tähendab, et ettevõtted, kelle majandustegevus on mingil moel seotud Ühendkuningriigiga, peaksid hoolikalt läbi mõtlema, kas neil toimub ka isikuandmete edastamist Ühendkuningriiki ning kas Ühendkuningriigis olevad ettevõtted saavad ligi infole, mis puudutavad Euroopa Liidu residentide andmeid.

Juhul, kui see nii on, on soovitatav selle teemaga ennetavalt tegeleda ning kindlustada kaitsemeetmete olemasolu, et äritegevus saaks häirimatult jätkuda. Teema olulisusele ning kiireloomulisusele on juhtinud tähelepanu nii Andmekaitse Inspektsioon oma Facebooki lehel (kättesaadav siin) kui ka Euroopa Andmekaitsenõukogu oma teavituses (kättesaadav siin).