dpf-blogpost-bg-image

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Komisjon jõudis järeldusele, et Ameerika Ühendriigid tagavad ELi ja USA vahelise andmekaitseraamistiku (EU-US Data Privacy Framework ehk „DPF“) alusel Euroopa Liidust USA ettevõtjatele edastatud isikuandmete piisava kaitse. Komisjoni otsus jõustus juba 10. juulil 2023. aastal, kuid ettevõtetel, mille majanduslikult soodsad tuuled sõltuvad rohkem USA valitsusest kui turust, kulub veel aega, et orienteeruda selles uues reaalsuses. Seni on DPF aga turvaline sild Euroopa Liidu ettevõtetele, kes edastavad isikuandmeid USA-sse, sellegipoolest ei tohiks automaatselt kõrvale jätta teisi lahendusi, näiteks standardseid lepinguklausleid.

Mis viis otsuse tegemiseni ja kui kauaks see püsima jääb?

Komisjon käsitles peamiselt Schrems II kohtuotsuses tõstatatud probleeme seoses USA luureteenistuse järelevalvega. President Bideni administratsiooni peamised argumendid komisjoni veenmiseks on aga tekitanud skeptilisust. Ühest küljest on USA luureorganid nüüd seotud proportsionaalsuse ja vajalikkuse põhimõtetega. Need põhimõtted on EL-ile tuttavad, kuid nende tõlgendamine võib USA õigussüsteemis olla erinev. Teisest küljest on USA loonud andmekaitsekohtu, et lahendada EL-i kodanike esitatud kaebusi ja kehtestada õiguskaitsevahendid seoses USA riiklike julgeolekuasutuste juurdepääsuga isikuandmetele. Andmekaitsekohus võib siiski pidada oma otsuseid salajaseks ja neid avalikuks kontrolliks mitte avaldada.

Arvestades tekkinud kahtlusi, on oodata, et andmekaitse piisavuse otsus vaidlustatakse tulevikus, mistõttu on vähetõenäoline, et see on püsiv lahendus Atlandi-üleseks isikuandmete edastamiseks. Komisjon kehtestas otsuse regulaarse kontrolli ja järgmine otsuse läbivaatamine toimub 2024. aasta juulis.

Kuidas DPF-i mehhanism toimib?

Ameerika Ühendriikides haldab DPF-programmi kaubandusministeeriumi rahvusvaheline kaubandusasutus (International Trade Administration ehk “ITA“) ja see võimaldab abikõlblikel Ameerika Ühendriikide ettevõtetel ise sertifitseerida oma vastavust DPF-ile ja vajaduse korral EL-USA DPF-i ja/või Šveitsi-USA DPF-i Ühendkuningriigi laiendusele.

Programmist huvitatud Ameerika Ühendriikide ettevõtted peavad end ise DPF-i veebilehe kaudu ITA-s sertifitseerima, võtma avalikult kohustuse järgida DPF-i põhimõtteid ja kord aastas end uuesti sertifitseerida. Kuigi osalemine DPF-programmis on vabatahtlik, on selle tõhus järgimine USA seaduste kohaselt jõustatav, kui ettevõtted kohustuvad DPF-i põhimõtteid järgima.

Avalikkus võib tutvuda ITA „Andmekaitseraamistiku nimekirjaga“, kus loetletud organisatsioonid teevad kättesaadavaks oma andmete kogumise eesmärgi, privaatsuspoliitikad, vaidluste lahendamise meetodid, näiteks andmekaitseametniku kontaktandmed ja õiguskaitsemehhanismi, ning muu asjakohase teabe

Reaktsioonid turul: mida USA ettevõtted kavatsevad teha?

USA organisatsioonid, kes peavad otsustama, kas osaleda programmis või mitte, analüüsivad, kas see on äriliselt kasulik, võttes arvesse nende andmevoogudes sisalduvad EL-ist pärinevaid isikuandmed. Samuti hindavad ettevõtted, kas nad suudavad pidevalt rakendada vastavuse tagamise meetodeid, mis hõlmavad tõhusa kaebuste käsitlemise protsessi kehtestamist ja siduvate vahekohtute mehhanismi eest tasu maksmist.

Eelkõige USA organisatsioonid, kes on juba EL-USA andmekaitsekilbi raames registreeritud, näiteks Google, Amazon ja Cloudflare, viidi automaatselt üle andmekaitseraamistiku programmi ja on nüüd loetletud andmekaitseraamistiku nimekirjas. Need ettevõtted peavad kasutusele võtma meetmeid, et järgida vastavus DPF-i põhimõtetele 10. oktoobriks 2023. Vastasel juhul võidakse nad kanda mitteaktiivsete ettevõtete nimekirja. Kasutusele võetavad meetmed hõlmavad uute dokumentide ja avalduste esitamist ametiasutustele ning privaatsuspoliitikate kohandamist.

Lisaks analüüsivad ettevõtted DPF-programmi muid lahendusi, näiteks lepingu tüüptingimusi (Standard Contractual Clauses ehk „SCC“) ja siduvaid ettevõtlusreegleid (Binding Corporate Rules ehk „BCR“). Selle tulemusel valitsevad turul erinevad reaktsioonid seoses andmekaitseraamistiku rakendamisega: i) mõned ettevõtted on valmis eelistama andmekaitseraamistikku kohandatud lepingutele, mille läbirääkimised võtavad kaua aega; ii) teised ettevõtted leiavad, et isegi andmekaitseraamistiku rakendamisel võivad äripartnerid nõuda täiendavaid lepinguid; seega kaasneb andmekaitseraamistiku sertifitseerimisega tarbetu regulatiivne risk; iii) teised ettevõtted leiavad, et nad on valmis andmekaitseraamistikku rakendama, säilitades samas oma äripartneritega sõlmitud olemasolevad lepingud.

Kompass Atlandi-üleste andmevoogudega tegelevatele Euroopa Liidu ettevõtetele

Euroopa Liidu ettevõtted võivad neis uuendustes navigeerida järgmisi küsimusi arvesse võttes:

  • Andmekaitseraamistiku nimekiri on läbipaistev avalik register, mille abil saab kontrollida, kas USA organisatsioon osaleb programmis aktiivselt. Aktiivsed USA organisatsioonid on teinud avalikult kättesaadavaks ja juurdepääsetavaks oma kõige olulisemad andmekaitsealased andmed. Siiski ajakohastavad nimekirja kantud USA ettevõtted oma teavet veel 10. oktoobriks 2023.
  • EL-i ettevõtted võivad kontrollida, kas USA vastuvõtjal on andmekaitseraamistiku sertifikaat. Vajaduse korral peavad EL-i äriühingud kohandama oma privaatsuspoliitikaid, et need kajastaksid nõuetekohaselt DPF-i ja asjakohaseid kirjeid nende andmetöötlusregistris.
  • DPF on USA ettevõtete jaoks selge eelis, kuigi ei tohiks jätta tähelepanuta ka muid lahendusi, nagu SCC ja BCR. Näiteks ei mõjuta andmekaitse-eeskirjade kehtivust vastavalt Schrems II kohtuotsuses sätestatud kriteeriumidele DPF-i piisavuse otsuse võimalik kehtetuks tunnistamine. Samuti kehtib DPF ainult USA organisatsioonide suhtes, seega võivad SCC-d olla asjakohased mitut jurisdiktsiooni hõlmava andmeedastuse puhul. Teisest küljest eelistatakse tõenäoliselt DPF-i SCC-dele USA organisatsioonide puhul, kes saavad EL-i klientidelt märkimisväärseid koguseid isikuandmeid, kuna see programm lihtsustab lepingute sõlmimise protsessi.
  • DPF muudab tehniliselt mittevajalikuks ülekandmise mõju hindamise (Transfer Impact Assessments ehk „TIA“) läbiviimise. Siiski on mõjuhinnangud endiselt vajalikud DPF-iga hõlmamata ülekannete puhul, olgu need siis ülekanded USA-sse või teistesse riikidesse.

 

Korraldage oma vastavus asjakohaste GDPR-i tööriistadega.
Registreeru demole ja 14-päevasele prooviversioonile juurdepääsu saamiseks.

Säästa aega ja ole kindel tulemuses

Latest Posts
Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks? Euroopa Komisjon jõudis järeldusele, et Ameerika Ühendriigid...
Isikuandmete töötlemisülevaade

Isikuandmete töötlemisülevaade

Mis on isikuandmete töötlemisülevaade? Isikuandmete kaitse üldmääruse (GDPR) artikkel 30 nõuab ettevõtetelt, et nad säilitaksid ettevõttesisese isikuandmete töötlemisülevaate (andmetöötlustoimingute registri),...
Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni, mis lubaks finants-, konkurentsi- ja andmekaitseõiguse rikkumistele edaspidi tõhusamalt reageerida. Kontseptsiooniga kavandatakse Eesti õiguskorda uus...
Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Maikuu lõpus möödus aasta isikuandmete kaitse määruse jõustumisest ning kuigi Eestis on Andmekaitse Inspektsioon olnud tagasihoidlik, on mujal Euroopas määratud...
Millal võib riik koguda isikuandmeid?

Millal võib riik koguda isikuandmeid?

Riik võib isikuandmeid töödelda vaid seadusega ette nähtud piirides. Isikuandmete töötlemine võib olla mõnes õigusaktis otse reguleeritud või tuletatud sellise...
GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve

GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve

Võib öelda, et uue isikuandmete kaitse üldmäärusega (IKÜM) kaasnenud paradigma muutusega algas uus ajastu andmekaitse ja privaatsuse mõtestamisel digitaalmaailmas. Selge on see,...
DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele

DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele

9. mail 2019 tutvustati andmekaitsespetsialistidele ja IT-juhtidele tarkvaralahendusi, mida saab kasutada GDPR nõuete täitmiseks. TAMO koolitusmoodul – SAAS lahendus ettevõtete...
Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Vastavalt Isikuandmete kaitse üldmäärusele (GDPR) ja Isukuandmete Kaitse Seadusele tuleb Andmekaitseinspektsiooni (AKI) viivitamatult teavitada isikuandmetega seotud rikkumisest. Aga mida ja kuidas...
IP-aadressi anonümiseerimine Google Analytics-is

IP-aadressi anonümiseerimine Google Analytics-is

Paljud ettevõtted kasutavad Google Analytics-it abivahendina kogumaks väärtuslikku teavet klientide käitumise kohta oma veebisaitidel või mobiilirakendustes. Vaikimisi kasutab Analytics veebisaidi...
Isikuandmete edastamine kolmandatesse riikidesse

Isikuandmete edastamine kolmandatesse riikidesse

Euroopa Liidu andmekaitse üldmäärus (General Data Protection Regulation - GDPR) on kehtestanud ranged reeglid andmete edastamisel kolmandatesse riikidesse ja rahvusvahelistesse organisatsioonidesse....