Les transferts de données libérés mais encadrés

Andmeedastus on lubatud, kuid reguleeritud

Katkend Bruno DUMAY raamatust: GDPR DEKRÜPTSIOON – ettevõtete ja organisatsioonide juhtidele, strateegilistele osakondadele ja töötajatele – eessõna Gaëlle MONTEILLERilt

Kuigi see võib tunduda üllatav globaliseerunud majanduses, kus piiride mõiste tundub olevat interneti teel tehtavate tehingutega vastuolus, keelas EL isikuandmete edastamise edasiseks töötlemiseks kolmandasse riiki, st väljaspool liitu asuvasse riiki, ilma järelevalveasutuse loata.

Isikuandmete kaitse üldmäärus kaotab eelneva loa nõude. Edastuse toimumiseks on aga vaja täita teatud tingimusi. Komisjon peab olema otsusega kindlaks teinud, et ELi mittekuuluv vastuvõtja (riik, territoorium või riigi sektor, rahvusvaheline organisatsioon) „tagab piisava kaitsetaseme“ (artikkel 45-1). 

Teinee Artikli 45 esimeses lõigus loetletakse sellele piisavale kaitsetasemele vastavad kriteeriumid, sealhulgas õigusriik, inimõiguste ja põhivabaduste austamine, seadusandlus, sõltumatu järelevalveasutuse tõhus olemasolu, rahvusvahelised kohustused jne. Kui nende kriteeriumide läbivaatamine viib järeldusele, et meede on kooskõlas Euroopa eeskirjadega, võtab komisjon vastu rakendusakti, mida vaadatakse perioodiliselt läbi vähemalt iga nelja aasta tagant (artikkel 45-3). Lisaks on täpsustatud, et komisjon jälgib pidevalt arenguid kolmandates riikides (artikkel 45-4).

Siiski on edastamine võimalik, alati ilma eelneva loata, sihtkohta, mis ei ole rakendusaktiga reguleeritud. Artiklis 46 on sätestatud, et vastutav töötleja või volitatud töötleja võib edastada andmeid, „kui ta on esitanud asjakohased tagatised ja tingimusel, et andmesubjektidel on kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid“ (artikli 46 lõige 1).

Neid asjakohaseid tagatisi saab pakkuda erinevatel viisidel, millest mõnda oleme juba maininud:

  •  Avaliku sektori asutuste või -organite vaheline õiguslikult siduv ja täitmisele pööratav dokument;
  •  Siduvad kontserni eeskirjad (kontsernide puhul on nende eeskirjade tingimused, mille peab heaks kiitma järelevalveasutus, täpsustatud artiklis 47);
  • Komisjoni poolt kas otse või järelevalveasutuse kaudu heaks kiidetud tüüptingimused;
  •  Käitumisjuhend või sertifitseerimismehhanism, „millega kaasneb kolmanda riigi vastutava töötleja või volitatud töötleja siduv ja täitmisele pööratav kohustus kohaldada asjakohaseid kaitsemeetmeid“ (artikkel 46-2).

Edastuse asjakohaseid kaitsemeetmeid saab tagada, seekord pärast järelevalveasutuselt loa saamist, kahel muul viisil:

– Leping andmetöötleja või alltöövõtja ja nende kolmanda riigi partnerite vahel;

– „Avaliku sektori asutuste või avalik-õiguslike organite vahelistesse halduskokkulepetesse lisatavad sätted“ (artikkel 46-3).

Seega on igasugune edastamine keelatud väljaspool rakendusakti, mis tagab piisava kaitsetaseme või konkreetsed tagatised. Erandid on siiski ette nähtud artiklis 49 loetletud eriolukordadeks. Edastamine on eelkõige võimalik:

– Kui asjaomane isik on andnud oma selgesõnalise nõusoleku pärast seda, kui teda on kaasnevatest riskidest teavitatud; 

– Andmesubjekti ja vastutava töötleja vahelise lepingu täitmise kontekstis (või tema huvides teise füüsilise või juriidilise isikuga);

– Kui edastamine on avalikes huvides või seotud seaduslike õiguste kaitsmisega või on vajalik andmesubjekti eluliste huvide kaitsmiseks.

Need arvukad edastusvõimalusi puudutavad sätted näitavad, et isikuandmete kaitse üldmääruse algatajad soovivad tagada isikuandmete kaitse, takistamata seejuures ettevõtete ja haldusasutuste tegevust. Eelneva loa kaotamisega enamikul juhtudel panustavad nad osalejate vastutusele, kelle tööd peab saama kontrollida vastavalt kuulsale vastutuspõhimõttele.

Avastage Viqtor®
etET
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT fiFI lvLV lt_LTLT sk_SKSK sl_SISL etET