Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?
Euroopa Komisjon jõudis järeldusele, et Ameerika Ühendriigid tagavad EL–i ja USA vahelise andmekaitseraamistiku (EU-US Data Privacy Framework ehk „DPF“) alusel Euroopa Liidust USA ettevõtjatele edastatud isikuandmete piisava kaitse. Komisjoni otsus jõustus juba 10. juulil 2023. aastal, kuid ettevõtetel, mille majanduslikult soodsad tuuled sõltuvad rohkem USA valitsusest kui turust, kulub veel aega, et orienteeruda selles uues reaalsuses. Seni on DPF aga turvaline sild Euroopa Liidu ettevõtetele, kes edastavad isikuandmeid USA-sse, sellegipoolest ei tohiks automaatselt kõrvale jätta teisi lahendusi, näiteks standardseid lepinguklausleid.
Mis viis otsuse tegemiseni ja kui kauaks see püsima jääb?
Komisjon käsitles peamiselt Schrems II kohtuotsuses tõstatatud probleeme seoses USA luureteenistuse järelevalvega. President Bideni administratsiooni peamised argumendid komisjoni veenmiseks on aga tekitanud skeptilisust. Ühest küljest on USA luureorganid nüüd seotud proportsionaalsuse ja vajalikkuse põhimõtetega. Need põhimõtted on EL-ile tuttavad, kuid nende tõlgendamine võib USA õigussüsteemis olla erinev. Teisest küljest on USA loonud andmekaitsekohtu, et lahendada EL-i kodanike esitatud kaebusi ja kehtestada õiguskaitsevahendid seoses USA riiklike julgeolekuasutuste juurdepääsuga isikuandmetele. Andmekaitsekohus võib siiski pidada oma otsuseid salajaseks ja neid avalikuks kontrolliks mitte avaldada.
Arvestades tekkinud kahtlusi, on oodata, et andmekaitse piisavuse otsus vaidlustatakse tulevikus, mistõttu on vähetõenäoline, et see on püsiv lahendus Atlandi-üleseks isikuandmete edastamiseks. Komisjon kehtestas otsuse regulaarse kontrolli ja järgmine otsuse läbivaatamine toimub 2024. aasta juulis.
Kuidas DPF-i mehhanism toimib?
Ameerika Ühendriikides haldab DPF-programmi kaubandusministeeriumi rahvusvaheline kaubandusasutus (International Trade Administration ehk “ITA“) ja see võimaldab abikõlblikel Ameerika Ühendriikide ettevõtetel ise sertifitseerida oma vastavust DPF-ile ja vajaduse korral EL-USA DPF-i ja/või Šveitsi-USA DPF-i Ühendkuningriigi laiendusele.
Programmist huvitatud Ameerika Ühendriikide ettevõtted peavad end ise DPF-i veebilehe kaudu ITA-s sertifitseerima, võtma avalikult kohustuse järgida DPF-i põhimõtteid ja kord aastas end uuesti sertifitseerida. Kuigi osalemine DPF-programmis on vabatahtlik, on selle tõhus järgimine USA seaduste kohaselt jõustatav, kui ettevõtted kohustuvad DPF-i põhimõtteid järgima.
Avalikkus võib tutvuda ITA „Andmekaitseraamistiku nimekirjaga“, kus loetletud organisatsioonid teevad kättesaadavaks oma andmete kogumise eesmärgi, privaatsuspoliitikad, vaidluste lahendamise meetodid, näiteks andmekaitseametniku kontaktandmed ja õiguskaitsemehhanismi, ning muu asjakohase teabe
Reaktsioonid turul: mida USA ettevõtted kavatsevad teha?
USA organisatsioonid, kes peavad otsustama, kas osaleda programmis või mitte, analüüsivad, kas see on äriliselt kasulik, võttes arvesse nende andmevoogudes sisalduvad EL-ist pärinevaid isikuandmed. Samuti hindavad ettevõtted, kas nad suudavad pidevalt rakendada vastavuse tagamise meetodeid, mis hõlmavad tõhusa kaebuste käsitlemise protsessi kehtestamist ja siduvate vahekohtute mehhanismi eest tasu maksmist.
Eelkõige USA organisatsioonid, kes on juba EL-USA andmekaitsekilbi raames registreeritud, näiteks Google, Amazon ja Cloudflare, viidi automaatselt üle andmekaitseraamistiku programmi ja on nüüd loetletud andmekaitseraamistiku nimekirjas. Need ettevõtted peavad kasutusele võtma meetmeid, et järgida vastavus DPF-i põhimõtetele 10. oktoobriks 2023. Vastasel juhul võidakse nad kanda mitteaktiivsete ettevõtete nimekirja. Kasutusele võetavad meetmed hõlmavad uute dokumentide ja avalduste esitamist ametiasutustele ning privaatsuspoliitikate kohandamist.
Lisaks analüüsivad ettevõtted DPF-programmi muid lahendusi, näiteks lepingu tüüptingimusi (Standard Contractual Clauses ehk „SCC“) ja siduvaid ettevõtlusreegleid (Binding Corporate Rules ehk „BCR“). Selle tulemusel valitsevad turul erinevad reaktsioonid seoses andmekaitseraamistiku rakendamisega: i) mõned ettevõtted on valmis eelistama andmekaitseraamistikku kohandatud lepingutele, mille läbirääkimised võtavad kaua aega; ii) teised ettevõtted leiavad, et isegi andmekaitseraamistiku rakendamisel võivad äripartnerid nõuda täiendavaid lepinguid; seega kaasneb andmekaitseraamistiku sertifitseerimisega tarbetu regulatiivne risk; iii) teised ettevõtted leiavad, et nad on valmis andmekaitseraamistikku rakendama, säilitades samas oma äripartneritega sõlmitud olemasolevad lepingud.
Kompass Atlandi-üleste andmevoogudega tegelevatele Euroopa Liidu ettevõtetele
Euroopa Liidu ettevõtted võivad neis uuendustes navigeerida järgmisi küsimusi arvesse võttes:
- Andmekaitseraamistiku nimekiri on läbipaistev avalik register, mille abil saab kontrollida, kas USA organisatsioon osaleb programmis aktiivselt. Aktiivsed USA organisatsioonid on teinud avalikult kättesaadavaks ja juurdepääsetavaks oma kõige olulisemad andmekaitsealased andmed. Siiski ajakohastavad nimekirja kantud USA ettevõtted oma teavet veel 10. oktoobriks 2023.
- EL-i ettevõtted võivad kontrollida, kas USA vastuvõtjal on andmekaitseraamistiku sertifikaat. Vajaduse korral peavad EL-i äriühingud kohandama oma privaatsuspoliitikaid, et need kajastaksid nõuetekohaselt DPF-i ja asjakohaseid kirjeid nende andmetöötlusregistris.
- DPF on USA ettevõtete jaoks selge eelis, kuigi ei tohiks jätta tähelepanuta ka muid lahendusi, nagu SCC ja BCR. Näiteks ei mõjuta andmekaitse-eeskirjade kehtivust vastavalt Schrems II kohtuotsuses sätestatud kriteeriumidele DPF-i piisavuse otsuse võimalik kehtetuks tunnistamine. Samuti kehtib DPF ainult USA organisatsioonide suhtes, seega võivad SCC-d olla asjakohased mitut jurisdiktsiooni hõlmava andmeedastuse puhul. Teisest küljest eelistatakse tõenäoliselt DPF-i SCC-dele USA organisatsioonide puhul, kes saavad EL-i klientidelt märkimisväärseid koguseid isikuandmeid, kuna see programm lihtsustab lepingute sõlmimise protsessi.
- DPF muudab tehniliselt mittevajalikuks ülekandmise mõju hindamise (Transfer Impact Assessments ehk „TIA“) läbiviimise. Siiski on mõjuhinnangud endiselt vajalikud DPF-iga hõlmamata ülekannete puhul, olgu need siis ülekanded USA-sse või teistesse riikidesse.