GDPR andmete edastamine kolmandatesse riikidesse

Isikuandmete edastamine kolmandatesse riikidesse

Euroopa Liidu andmekaitse üldmäärus (General Data Protection Regulation – GDPR) on kehtestanud ranged reeglid andmete edastamisel kolmandatesse riikidesse ja rahvusvahelistesse organisatsioonidesse.

Millised on kolmandad riigid?

Kolmandateks riikideks GDPR kontekstis on riigid väljaspool Euroopa Liitu, Euroopa Majanduspiirkonda, ja USA-d (mis on omakorda piiratud Privacy Shield raamistikuga). Samuti ei loeta kolmandateks riikideks järgmisi riike: Andorra, Argentina, Kanada (kaubandusorganisatsioonid), Fääri saared, Guernesey, Iisrael, Mani saar, Jersey, Uus-Meremaa, Šveits ja Uruguay. Jaapani ja Lõuna-Koreaga läbirääkimised käivad.

Kolmandatesse riikidesse isikuandmete edastamise tingimused

Kui ettevõtted edastavad isikuandmeid kolmandatesse riikidesse, peavad olema täidetud järgmised  tingimused:

GDPR artikkel 46 lg 2 lubab ettevõtetel edastada isikuandmeid kolmandatele riikidele, kui ettevõtted on rakendanud asjakohaseid kaitsemeetmeid, näiteks siduvad kontsernisisesed eeskirjad, standardsed andmekaitseklauslid, heakskiidetud toimimisjuhendid ja  sertifitseerimismehhanismid. Ettevõtetele sobiv kaitsemeede on Euroopa Komisjoni poolt vastu võetud standardsete andmekaitseklauslitega tüüplepingud. Vastavad lepingud reguleerivad andmeedastust vastutava töötleja ja volitatud töötleja vahel. Näiteks, kui ettevõte soovib kasutada väljaspool Euroopa Liitu asuvaid pilvteenuseid, saab isikuandmete edastamist ja töötlemist reguleerida standardseid andmekaitseklausleid sisaldava lepinguga (Data Processing Agreement – DPA).

 

Isikuandmete kolmandatesse riikidesse edastamise vajadus

 GDPR artikkel 49 lg 1 sätestab, et kaitse piisavuse otsuse või asjakohaste kaitsemeetmete puudumisel võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete ühekordne või korduv edastamine olla lubatud ainult teatud tingimustel:

  1. andmesubjekti selgesõnaline nõusolek, sealjuures peab ettevõte teatama andmesubjektile kõikidest riskidest, mis võivad tekkida andmete edastamisel;
  2. andmete edastamine on vajalik lepingu täitmiseks;
  3. õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

GDPR artikkel 49 alusel on isikuandmete edastamine lubatud üksnes juhul, kui see on juhuslik ja vajalik. See tähendab, et ettevõte peab hindama, kui tihti isikuandmeid edastatakse ja kas isikuandmete kolmandasse riiki saatmine on möödapäästmatu vajadus või on võimalik saavutada sama tulemus Euroopa Liidus sees. Lepingu täitmist saab kasutada õigusliku alusena näiteks reisifirmade puhul, kes edastavad klientide isikuandmeid hotellidele või teistele teenusepakkujatele, kes korraldavad  klientide välismaal viibimist.

Ettevõtted on kohustatud dokumenteerima andmete edastamist kolmandatesse riikidesse või rahvusvahelistele organisatsioonidele vastavalt artiklile 30 (isikuandmete töötlemisülevaated).

Korraldage oma vastavus asjakohaste GDPR-i tööriistadega.
Registreeru demole ja 14-päevasele prooviversioonile juurdepääsu saamiseks.

Säästa aega ja ole kindel tulemuses

Latest Posts
Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks? Euroopa Komisjon jõudis järeldusele, et Ameerika Ühendriigid...
Isikuandmete töötlemisülevaade

Isikuandmete töötlemisülevaade

Mis on isikuandmete töötlemisülevaade? Isikuandmete kaitse üldmääruse (GDPR) artikkel 30 nõuab ettevõtetelt, et nad säilitaksid ettevõttesisese isikuandmete töötlemisülevaate (andmetöötlustoimingute registri),...
Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni, mis lubaks finants-, konkurentsi- ja andmekaitseõiguse rikkumistele edaspidi tõhusamalt reageerida. Kontseptsiooniga kavandatakse Eesti õiguskorda uus...
Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Maikuu lõpus möödus aasta isikuandmete kaitse määruse jõustumisest ning kuigi Eestis on Andmekaitse Inspektsioon olnud tagasihoidlik, on mujal Euroopas määratud...
Millal võib riik koguda isikuandmeid?

Millal võib riik koguda isikuandmeid?

Riik võib isikuandmeid töödelda vaid seadusega ette nähtud piirides. Isikuandmete töötlemine võib olla mõnes õigusaktis otse reguleeritud või tuletatud sellise...
GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve

GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve

Võib öelda, et uue isikuandmete kaitse üldmäärusega (IKÜM) kaasnenud paradigma muutusega algas uus ajastu andmekaitse ja privaatsuse mõtestamisel digitaalmaailmas. Selge on see,...
DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele

DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele

9. mail 2019 tutvustati andmekaitsespetsialistidele ja IT-juhtidele tarkvaralahendusi, mida saab kasutada GDPR nõuete täitmiseks. TAMO koolitusmoodul – SAAS lahendus ettevõtete...
Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Vastavalt Isikuandmete kaitse üldmäärusele (GDPR) ja Isukuandmete Kaitse Seadusele tuleb Andmekaitseinspektsiooni (AKI) viivitamatult teavitada isikuandmetega seotud rikkumisest. Aga mida ja kuidas...
IP-aadressi anonümiseerimine Google Analytics-is

IP-aadressi anonümiseerimine Google Analytics-is

Paljud ettevõtted kasutavad Google Analytics-it abivahendina kogumaks väärtuslikku teavet klientide käitumise kohta oma veebisaitidel või mobiilirakendustes. Vaikimisi kasutab Analytics veebisaidi...
Isikuandmete edastamine kolmandatesse riikidesse

Isikuandmete edastamine kolmandatesse riikidesse

Euroopa Liidu andmekaitse üldmäärus (General Data Protection Regulation - GDPR) on kehtestanud ranged reeglid andmete edastamisel kolmandatesse riikidesse ja rahvusvahelistesse organisatsioonidesse....