Facebooki kasutaja lõhkus andmevahetuse aluse

Kohtuasi sai alguse Austria kodaniku Maximilian Schremsi esitatud kaebusest, milles Schrems palus keelata Facebooki Iirimaal registreeritud Euroopa üksusel tema isikuandmete edastamine Ameerika Ühendriikidesse. Euroopa Liidu territooriumil on Facebooki konto registreerimise eelduseks lepingu sõlmimine Ameerika Ühendriikides asuva Facebooki tütarühinguga Facebook Ireland.

Lepingu sõlmimisel annab kasutaja Facebook Irelandile õiguse oma isikuandmete (sh nime, vanuse, isiklike sõprade ringi jm andmete) töötlemiseks, mis konto loomise järgselt edastatakse töötlemiseks hoopis Ameerika Ühendriikidesse - Facebook Inc’i serveritesse. Kaebuses põhjendas Schrems, et Ameerika Ühendriikides kehtiv õigus ei taga isikuandmete kaitset piisaval tasemel, nagu on nõutav Euroopa Liidu andmekaitse direktiivis.

Ranged reeglid

Euroopa Liidus on eraelu ja isikuandmete kaitseks sätestatud range reeglistik. Ameerika Ühendriikides on eraelu kaitse reeglid oluliselt leebemad ning riigil on laiemad õigused isikute andmeid töödelda. Eriti puudutab see Ameerika Ühendriikide föderaalsete luure- ja julgeolekuasutuste võimalusi ka otsese süüteokahtluseta isikute järel nuhkida.

Euroopa Liidu andmekaitse direktiivi kohaselt, mille alusel on välja töötatud ka Eestis kehtiv isikuandmete kaitse seadus, on isikuandmeid edastada lubatud üksnes sellistesse riikidesse, kus on piisav andmekaitse tase. Piisava andmekaitse tasemega riikideks on Euroopa majanduspiirkonna riigid ja riigid, mille andmekaitse taset on Euroopa Komisjon hinnanud piisavaks.

Sellegipoolest, ka sellistesse piisava andmekaitse tasemega riikidesse ei ole isikuandmete edastamine Euroopa Liidus lubatud piiramatult, vaid üksnes õigusliku aluse olemasolul. Selliseks õiguslikuks aluseks võib olla näiteks isikuga sõlmitud leping, millisel juhul on isikuandmete töötlemine lubatud üksnes rangelt konkreetse lepingu täitmise eesmärgil ning andmete töötlemine laiemalt pole lubatud.

Ameerika Ühendriikide asjus kehtis seni reegel, mille kohaselt loeti andmekaitse tase piisavaks üksnes nn safe harbuor’i programmiga liitunud ettevõtted. Programmi põhimõtted hõlmasid Ameerika Ühendriikide kaubandusministeeriumi välja töötatud isikuandmete kaitse reegleid, eesmärgiga saavutada selline andmekaitse tase, mis oleks kooskõlas Euroopa Liidus kehtivate reeglitega.

Programmi põhimõtete eesmärk oli ületada erinevused Ameerika Ühendriikides ja Euroopa Liidus kehtivate põhimõtete vahel seoses eraelu puutumatusega. Seega Ameerika Ühendriikide ettevõtete puhul, kes olid andnud vabatahtliku kinnituse, et järgivad safe harbuour’i reegleid, loeti andmekaitse tase piisavaks. Kinnituse andnute hulgas on kõik suuremad Ühendriikide Euroopas tegutsevad ettevõtted, näiteks Facebook, Google, Microsoft, Apple, Amazon, Twitter, Yahoo ning isegi Coca-Cola, Adidas ja Nike.

Pärast Ameerika Ühendriikide ülisalajase jälgimisprogrammi PRISM avalikukstulekut selgus aga, et sisuliselt kõik äriühingud, kes on andnud kinnituse safe harbor reeglite järgimise kohta, osalevad ka PRISM-programmis, mille raames edastatakse oma kasutajate isikuandmed Ühendriikide luureasutustele.

Kohtu järeldus

Kokkuvõttes järeldas kohus, et siseriiklikud andmekaitseasutused saavad ja peavad ise hindama, kas igal andmete edastamise juhul on piisav andmekaitse tase tagatud ning isikute eraelu kaitstud. Kohus otsustas, et Euroopa Komisjoni otsusega ei ole võimalik ette kirjutada, et andmekaitse tase loetakse igal juhul piisavaks, nagu see seni safe harbor ettevõtete osas kehtis. Otsusega andis kohus ka selge hinnangu, et Ameerika Ühendriikide õigus ei taga Euroopa standarditele vastavat andmekaitse taset.

Näiteks kui Euroopa Liidus kehtivate reeglite kohaselt on isikutel õigus oma andmetele juurdepääsu saamiseks, õigus teha andmetesse parandusi, õigus nõuda andmete kustutamist ning õigus kasutada muid (ka kohtulikke) õiguskaitsevahendeid seoses nende isikuandmete töötlemisega, siis Ühendriikide jälgimisprogrammide raames isikutel sellised õigused puuduvad.

Mis edasi?

Kui siiani kehtis eeldus, et safe harbour'i programmi ettevõtete puhul on piisav andmekaitse tagatud ning isikuandmete edastamine oli õigusliku aluse olemasolul lubatud, siis nüüd tuleb isikuandmete edastamisel Ameerika Ühendriikidesse rakendada andmesubjektide õiguste kaitseks lisagarantiisid, millega tagatakse isikuandmete nõuetekohane kaitse pärast nende jõudmist sihtriiki.

Üldreegli kohaselt võib nüüd Ühendriikidesse isikuandmeid edastada üksnes andmekaitseinspektsiooni loa alusel ja tingimusel, et konkreetsel juhul on Ameerika Ühendriikides sellele isikule, kelle andmeid edastatakse, tagatud õiguste ja eraelu puutumatuse kaitse. Sõltuvalt inspektsiooni äsjase kohtuotsuse valguses kujundatavast seisukohast võib osutuda vajalikuks selle tingimuse täitmist eraldi tõendada.

Inspektsiooni loataotluse protsess on aga küllaltki keerukas ning loa andmise järel on inspektsioon kohustatud teavitama loa andmisest Euroopa Komisjoni. Seega on väheusutav, et ettevõtted asuks lubasid taotlema. Loa saamise eeldusena võib muu hulgas osutuda vajalikuks, et isikuandmete Euroopa Liidus asuv eksportija on sõlminud välisriigis asuva andmete vastuvõtjaga lepingu, millega on tagatud, et andmete vastuvõtja täidab isikuandmete kaitse nõudeid. Samuti on andmekaitse inspektsioonil õigus küsida täiendavaid tõendeid, mis näitavad, et konkreetsel juhul on piisav andmekaitse tase tagatud ja isikute eraelu kaitstud.

Andmekaitse inspektsiooni luba ei ole nõutav, kui isik on andnud oma andmete töötlemiseks nõusoleku. Nõusolekule on aga kehtestatud täpsed tingimused. Kui nõusolek nendele ei vasta, on see kehtetu.

Muu hulgas peavad nõusolekus olema selgelt määratletud kõik andmed, mille töötlemiseks luba antakse, andmete töötlemise eesmärk ja kõik isikud, kellele andmete edastamine on lubatud. Nõusoleku võtmisel tuleb isikule teatavaks teha ka tema õigused seoses tema andmete töötlemisega, sh õigus nõusolek igal ajal tagasi võtta ning andmete töötlemine keelata, nõusolek peab olema antud enne, kui isiku andmeid töötlema hakatakse jne. Kui isik annab nõusoleku oma andmete töötlemiseks koos mõne teise tahteavaldusega, siis peab nõusolek, mis on antud isikuandmete töötlemiseks, olema selgelt eristatav. See tähendab, et kui isik on nõusoleku oma andmete töötlemiseks andnud n-ö muuseas, koos üldiste kasutustingimuste aktsepteerimisega, siis sellisel juhul ei ole nõusoleku eristatavuse nõue täidetud.

Ettevõtted, kes on küsinud andmete töötlemiseks nõuetekohased nõusolekud, võivad kergemalt hingata ega pea erilisi muudatusi ellu viima. Tõenäoliselt ei vasta küsitud nõusolekud paljudel juhtudel siiski kehtestatud detailsetele nõuetele, mistõttu võib andmete edastamine Ameerika Ühendriikidesse olla õigusvastane.

Igal juhul on olukord veel äärmiselt ebaselge ning tekkinud olukorda koguneb järgmisel nädalal erakorraliselt arutama ka Euroopa andmekaitseasutuste töörühm. Huvitav saab olema ka see, kas ja kuidas mõjutab Euroopa Kohtu otsus andmekaitse reformi ja Euroopa Liidu ühtse andmekaitsemääruse väljatöötamist.