Euroopa Andmekaitsenõukogu

Euroopa Andmekaitsenõukogu – 34. täiskogu istung: Schrems II, teise makseteenuste direktiivi ja isikuandmete kaitse üldmääruse koostoime ning kiri Euroopa Parlamendi liikmele Ďuriš Nicholsonovále kontaktide jälgimise, rakenduste koostalitlusvõime ja andme

Monday, 20 July, 2020

Brüssel, 20. juuli – Euroopa Andmekaitsenõukogu võttis täiskogu 34. istungil vastu avalduse Euroopa Liidu Kohtu otsuse kohta kohtuasjas Facebook Ireland vs. Schrems. Andmekaitsenõukogu võttis vastu suunised teise makseteenuste direktiivi (PSD2) ja isikuandmete kaitse üldmääruse koostoime kohta ning vastuskirja Euroopa Parlamendi liikmele Ďuriš Nicholsonovále kontaktide jälgimise, rakenduste koostalitlusvõime ja andmekaitse mõjuhinnangute kohta.

Euroopa Andmekaitsenõukogu võttis vastu avalduse Euroopa Liidu Kohtu otsuse kohta kohtuasjas C-311/18 – Data Protection Commissioner vs. Facebook Ireland ja Maximillian Schrems, millega tunnistatakse kehtetuks otsus 2016/1250 ELi–USA andmekaitseraamistikuga Privacy Shield pakutava kaitse piisavuse kohta ning peetakse kehtivaks komisjoni otsust 2010/87 kolmandates riikides asuvatele andmete töötlejatele standardsete andmekaitseklauslite alusel isikuandmete edastamist.

Seoses andmekaitseraamistikuga Privacy Shield juhib Euroopa Andmekaitsenõukogu tähelepanu, et kooskõlas kohtuotsusega peaksid EL ja USA saavutama täieliku ja tõhusa raamistiku, millega tagatakse, et USAs isikuandmetele tagatud kaitse tase on sisuliselt samaväärne ELis tagatud tasemega. Euroopa Andmekaitsenõukogu kavatseb jätkuvalt täita konstruktiivset rolli isikuandmete Atlandi-ülese edastamise tagamisel, millest saavad kasu EMP kodanikud ja organisatsioonid, ning on valmis andma Euroopa Komisjonile abi ja suuniseid, et aidata tal koos USAga luua uus raamistik, mis vastab täielikult ELi andmekaitse õigusaktidele.

Seoses standardsete andmekaitseklauslitega võtab Euroopa Andmekaitsenõukogu teadmiseks eksportija ja importija esmavastutuse, kui nad kaalutlevad standardsete andmekaitseklauslite kasutamist, et tagada kaitsetaseme säilitamist, mis on sisuliselt samaväärne isikuandmete kaitse üldmäärusega tagatud tasemega ELi harta kontekstis. Sellisel eelhindamisel arvestab eksportija (vajaduse korral importija abiga) standardsete andmekaitseklauslite sisu, edastamise konkreetseid asjaolusid ning importija riigis kohaldatavat õiguskorda. Kohus rõhutab, et eksportijal võib olla vaja kaalutleda täiendavate meetmete kehtestamist lisaks andmekaitseklauslitele. Euroopa Andmekaitsenõukogu uurib lähemalt, millest need täiendavad meetmed võivad koosneda.

Euroopa Andmekaitsenõukogu võtab samuti teadmiseks pädevate järelevalveasutuste kohustused peatada või keelata standardsete andmekaitseklauslite kohane andmete edastamine kolmandale riigile, kui pädeva järelevalveasutuse arvates ja kõiki edastamise asjaolusid arvestades ei ole need tingimused selles kolmandas riigis täidetud või neid ei ole võimalik täita ning edastatud andmete kaitset ei ole võimalik tagada muude vahenditega, eelkõige kui vastutav töötleja või volitatud töötleja ei ole juba ise andmete edastamist peatanud või lõpetanud.

Euroopa Andmekaitsenõukogu tuletab meelde, et ta andis välja suunised isikuandmete kaitse üldmääruse artikli 49 kohta ning selliseid erandeid tuleb kohaldada igal üksikjuhul eraldi

Euroopa Andmekaitsenõukogu hindab otsust üksikasjalikumalt ning annab sidusrühmadele täiendavaid selgitusi ja suuniseid, kuidas kasutada vahendeid isikuandmete edastamiseks kolmandatesse riikidesse vastavalt kohtuotsusele. Nagu Euroopa Liidu Kohus märkis, on Euroopa Andmekaitsenõukogu ja tema Euroopa järelevalveasutused valmis tagama järjepidevuse kogu EMPs.

Avalduse täistekst on siin: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_et

Euroopa Andmekaitsenõukogu võttis vastu suunised teise makseteenuste direktiivi kohta (PSD2). Teine makseteenuste direktiiv nüüdisajastab makseteenuste turu õigusraamistiku. On tähtis, et teine makseteenuste direktiiv loob õigusraamistiku uutele maksete alustamise teenustele ja kontoteabe teenustele. Kasutajad saavad nõuda, et nendele uute makseteenuste osutajatele antakse juurdepääs nende maksekontodele. Pärast sidusrühmade seminari veebruaris 2019 koostas Euroopa Andmekaitsenõukogu nendele uutele makseteenustele isikuandmete kaitse üldmääruse kohaldamise suunised.

Suunistes märgitakse, et selles kontekstis on isikuandmete eriliikide töötlemine üldiselt keelatud (kooskõlas isikuandmete kaitse üldmääruse artikli 9 lõikega 1), v.a kui andmesubjekt annab selgesõnalise nõusoleku (isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkt a) või töötlemine on vajalik olulise avaliku huviga seotud põhjustel (isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkt g).

Suunistes käsitletakse ka tingimusi, millega kontoteenuste makseteenuste osutajad annavad maksete alustamise teenustele ja kontoteabe teenustele juurdepääsu kontoteabele, eelkõige granulaarse juurdepääsu maksekontodele.

Suunistes selgitatakse, et teise makseteenuste direktiivi artikli 66 lõike 3 punkt g ega artikli 67 lõike 2 punkt f ei luba mis tahes edasist töötlemist, v.a kui andmesubjekt on andnud isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti a kohase nõusoleku või kui töötlemist sätestab liidu või liikmesriigi õigus. Suunised esitatakse avalikule arutelule.

Andmekaitsenõukogu võttis vastu ka vastuskirja Euroopa Parlamendi liikme Ďuriš Nicholsonová küsimustele andmekaitse kohta COVID-19 tõrje kontekstis. Kiri käsitleb kontaktide jälgimise rakenduste ühtlustamist ja koostalitlusvõimet, sellise töötluse andmekaitse mõjuhinnangu nõuet ja töötluse võimalikku kestust.

EDPB_Press Release_2020_12