SCHREMS II, un final attendu et redouté

SCHREMS II, oodatud ja kardetud finaal

SCHREMS II, oodatud ja kardetud finaal16. juulil 2020 tunnistas Euroopa Liidu Kohus kehtetuks Privaatsuskilbi, mis oli oluline leping, mis moodustas õigusliku aluse isikuandmete edastamiseks Euroopa ja Ameerika Ühendriikide vahel.

Üle 5300 USA ettevõtte kasutas andmetöötluseks Kilpi ja peavad nüüd oma edastuste õiguslikku alust muutma.

Otsuse ajendiks oli Austria kodaniku Max Schremsi kaebus, kes oli juba algatanud kilbile eelnenud lepingu ehk nn turvasadama põhimõtete tühistamise.

Kaebaja vaidlustas tingimused, mille alusel Facebooki töödeldud andmeid Ameerika Ühendriikidesse edastati.

Selle vaidluse põhjal analüüsis kohus oma otsuses, mida sageli nimetatakse ka „Schrems II“, kahe Euroopa Liidust väljapoole edastamist lubava õigusakti kehtivust:

  • Tüüpilised lepingutingimused, mida saab põhimõtteliselt kasutada mis tahes kolmanda riigiga, ja
  • Euroopa Komisjoni otsus 2016/1250 Privacy Shieldi kohta, mis on Ameerika Ühendriikidesse edastamiseks kohandatud leping.

Kohus ei tunnistanud tüüptingimusi kehtetuks – stsenaarium, mis ajas paljudele ettevõtetele ja juristidele külma higi peale.

Nende kasutamine sõltub aga andmeeksportija konkreetsest hinnangust selle kohta, kuidas klausleid kolmandas riigis tegelikult kohaldatakse, võttes eelkõige arvesse avaliku sektori asutuste, näiteks luureteenistuste, võimalusi andmetele juurde pääseda.

Juhul kui juurdepääs andmetele on vastuolus klauslite põhimõtetega, on eksportija kohustus ja kui ta seda ei tee, siis järelevalveasutuse (mis on samaväärne CNIL-iga) kohustus edastuse peatada.

 

Privaatsuskilbi puhulotsustas kohus, et isegi kui lepingu põhimõtted tagavad põhimõtteliselt Euroopa Liidu omaga sisuliselt samaväärse kaitsetaseme, muudavad riigi julgeoleku, avaliku huvi ja Ameerika õigusaktide järgimisega seotud konkreetsed nõuded need põhimõtted ebatõhusaks.

Ta leidis, et USA ametivõimude jälitusvolituste ulatus oli Euroopa õiguse kohaselt liigne ning et mitte-USA kodanike õigus pöörduda sõltumatute kohtute poole ei olnud tagatud.

Need järeldused viisid otsuse kehtetuks tunnistamiseni.

Ja nüüd?

Ülekanded Ameerika Ühendriikidesse ei saa enam Kilbi põhjal toimuda.

Kuigi mõned pöörduvad tüüptingimuste poole, tekitab see lahendus kahtlusi: need klauslid kehtivad põhimõtteliselt endiselt, kuid seisavad silmitsi sama probleemiga nagu USA-sse edastamisel Shieldiga: Ameerika pinnal rakendatavate jälgimismeetmete ulatus ja asjaomaste isikute ebapiisavad õiguskaitsevahendid.

Mõned inimesed räägivad võimalusest andmeid enne edastamist krüpteerida, et takistada nende kasutamist USA ametivõimude poolt, kuid see ei võta arvesse võimalust, et ametivõimud saavad seaduslikult nõuda nende dekrüpteerimist.

Euroopa Andmekaitsenõukogu (EDPB) avaldas 17. juulil pressiteate, milles võtab kokku oma esialgsed järeldused ja kuulutab välja täiendavad suunised.

Võib märkida järgmisi tähelepanekuid:

– Kohtu otsus mõjutab otseselt ülekandeid Ameerika Ühendriikidesse, aga see mõjutab ka kõiki rahvusvahelisi ülekandeid;

– Kolmandasse riiki edastamisel on endiselt võimalik kasutada tüüptingimusi, kuid eksportija peab selle suhtes tegema konkreetseid kontrolle tingimuste sisu, edastamise konteksti ja kolmandas riigis kohaldatava õiguskorra (eelkõige riigi julgeoleku osas) kohta.

– Kui olukord kujutab endast erilisi riske, tuleb võtta lisameetmeid: Euroopa Andmekaitsenõukogu töötab praegu nende meetmete täpsustamise nimel.

– Tuletatakse meelde, et importijal on kohustus teavitada eksportijat mis tahes õigusaktide muudatustest, mis võivad mõjutada klauslite kohaldamist ja mis võivad seega kaasa tuua nende peatamise.

Euroopa Komisjon on teatanud, et on alustanud dialoogi oma Ameerika kolleegidega, et jõuda kokkuleppele, mis näeb ette kõrgema andmekaitse taseme.

 

Samal ajal on Max Schremsi ühing NOYB („None Of Your Business“ ehk „Teie asi pole“) esitanud 101 kohtuasja Euroopa Liidus tegutsevate ettevõtete, sealhulgas Google'i, Facebooki ja Microsofti või Google Analyticsi ja Facebook Connecti kasutavate ettevõtete vastu, võtmata kohtu otsusele mingeid meetmeid.

Andmete edastamiseks on lisaks tüüptingimustele ka muid võimalusi.

Neid selgitati selle uudiskirja märtsikuu juhtkirjas.

Alternatiiviks on andmete haldamine Euroopa pinnal, mitte nende edastamine.

Loodetavasti soodustab see otsus selliste kohalike teenuste arengut.

Ja ka

Prantsusmaa:

  • CNIL (Prantsuse andmekaitseamet) algatab TikToki suhtes uurimise: lisaks Hiina ettevõtte ja Ameerika Ühendriikide vahelisele patiseisule on Euroopas käimas uurimised rakenduse vastavuse kohta isikuandmete kaitse üldmäärusele (GDPR). CNIL koordineerib oma tööd teiste järelevalveasutustega Euroopa Andmekaitsenõukogu (EDPB) raames.
  • Koostöös oma Euroopa kolleegidega määras CNIL 5. augustil veebimüügiettevõttele Spartoo 250 000 euro suuruse trahvi isikuandmete kaitse üldmääruses sätestatud andmete minimeerimise, säilitamise, teabe ja turvalisuse põhimõtete mittetäitmise eest.

Euroopa:

  • Briti järelevalveasutust ICO on parlamendiliikmed kritiseerinud ebapiisava tegutsemise pärast isikuandmete kaitse üldmääruse (GDPR) rikkumiste valguses, eriti COVID-19 pandeemia kontekstis.
  • Samuti Ühendkuningriigis otsustas apellatsioonikohus 11. augustil, et Lõuna-Walesi politsei poolt näotuvastustehnoloogia kasutamine rikub põhiõigusi, sealhulgas õigust andmekaitsele.
  • Euroopa Komisjon töötab praegu digitaalteenuste määruse kallal, et tugevdada neid teenuseid siseturul ja selgitada väikeettevõtete õigusraamistikku. Euroopa Parlament koostab selles kontekstis soovitust, mis peaks käsitlema mitmeid andmekaitsega seotud probleeme, sealhulgas teabe krüpteerimist, algoritmide auditeeritavust ja biomeetriliste andmete kaitset.
  • Euroopa Komisjon teatas 4. augustil, et alustab uurimist Google'i kavandatava Fitbiti omandamise kohta. Komisjoni mured on peamiselt seotud andmete, eriti terviseandmete koondumisega domineeriva ettevõtte kätte.

Rahvusvaheline:

  • Ameerika Ühendriigid: 30. juulil dateeritud mõjuhinnangus kirjeldab Sisejulgeolekuministeerium (Department of Homeland Security) aastaid riigi välispiiridel täheldatud tavasid, mis võimaldavad agentidel kopeerida Ameerika Ühendriikidesse sisenevate inimeste telefonide ja arvutite sisu ning säilitada seda 75 aastat.
  • Twitter kinnitas augusti alguses, et USA föderaalne kaubanduskomisjon uurib ettevõtet seoses kliendiandmete kasutamisega reklaami eesmärgil.
  • Brasiilia: Isikuandmete kaitse seadus jõustub 27. augustil. Samuti on äsja loodud järelevalveasutus.
  • Samuti Ladina-Ameerikas kaasajastab Tšiili oma andmekaitseseadust ning regulatiivsed projektid on käimas Paraguays ja Ecuadoris.
  • Egiptus võttis isikuandmete kaitse seaduse vastu 17. juunil.

 

Avastage Viqtor®
etET
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT fiFI lvLV lt_LTLT sk_SKSK sl_SISL etET