Skip to content 
Safe Harbor'i lepingu eesmärk oli võimaldada Ameerika ettevõtetel koguda oma klientide isikuandmeid. Andmed ELi kodanikud. Lepingu eesmärk oli säilitada ELi kodanike traditsiooniline andmekaitse, mis ei ole USAs samasugusel määral tagatud. Alates 2015. aasta septembrist on Euroopa Liit tunnistanud lepingu kehtetuks, millega lõppes enam kui 15 aastat kestnud praktika andmekaitseõiguse valdkonnas.
Turvasadam: turvaline varjupaik?
2015. aasta septembris sai Safe Harbor'i leping suure tagasilöögi. Euroopa Kohtu kohtujurist Yves Bot jõudis oma arvamuses järeldusele, et Safe Harbor'i otsus ei ole kehtiv ega siduv. Safe Harbor'i leping pärineb aastast 2000 ja kuulub andmekaitseõiguse valdkonda. Euroopa Komisjoni otsuse eesmärk oli võimaldada ettevõtetel edastada isikuandmeid Ameerika Ühendriikidesse, tingimusel et järgitakse Euroopa andmekaitse suuniseid. "Kokkulepet" selle tegelikus tähenduses ei ole - aga selline menetlus on USAga kokku lepitud, nii et võib rääkida teatud tüüpi "kokkuleppest". 6. oktoobril 2015 kuulutas Euroopa Kohus Safe Harbor'i lepingu kehtetuks.
Turvasadama lepingu ajalugu
Euroopa Liidus keelab andmekaitsedirektiiv 95/46/EÜ isikuandmete edastamise liikmesriikidest teistesse riikidesse, kus ei ole sarnase kaitsega andmekaitseseadusi. Ameerika Ühendriikides ei ole andmekaitse valdkonnas peaaegu ühtegi õigusnormi, mis oleks Euroopa Liidu standarditega võrdväärne. ELi ranged eeskirjad tõid kaasa praktilisi probleeme, mistõttu USA ja EL sõlmisid 2000. aastal lepingu. Andmekaitsedirektiivi järgimine tooks kaasa andmete liikumise seiskumise, mistõttu kehtestati Safe Harbori määrus. USA ettevõtted võivad end registreerida USA kaubandusministeeriumi nimekirjas ja seega liituda Safe Harboriga. Ühinemisega teatasid Ameerika ettevõtted oma valmisolekust järgida lepingu põhimõtteid ja eeskirju. Õigusaktidele lisandusid praktiliselt rahvusvahelisel tasandil eraõiguslikud eeskirjad. Euroopa Komisjon leidis, et on tõestatud, et vastloodud süsteemi kuuluvad ettevõtted pakuvad ELi kodanikele ja nende isikuandmetele piisavat kaitset. Selleks ajaks, kui see 2015. aasta septembris tühistati, olid paljud ettevõtted lepinguga liitunud. Nende hulgas olid General Motors, Amazon, MicrosoftIBM, Google, Facebook, Dropbox ja Hewlett-Packard.
Levinud kriitika programmi Safe Harbor Agreement'i kohta
Turvasadama lepingut on ikka ja jälle kritiseeritud. Negatiivsed hääled eitasid lepingu piisavat kaitsefunktsiooni. Ameerika ettevõtete "sõnale" ei saanud loota, mistõttu tuli esitada tõendeid. Mõne aasta pärast loodi USA patriootide seadus: Uue õigusliku olukorra tõttu võivad Ameerika julgeolekuasutused pääseda ligi kõigile andmetele, ilma et nad peaksid sellest andmete omanikku teavitama. Pärast informaator Edward Snowdeni paljastusi kutsuti 2013. aastal üles süsteemi läbivaatamist. 2013. aastal teatas ELi õigusküsimuste volinik Viviane Reding Euroopa andmekaitse reformist. Kõiki ettevõtteid tuli trahvida kuni kahe protsendi ulatuses nende aastakäibest, kui nad teostasid ebaseaduslikku andmeedastust.
Euroopa Kohtu 2015. aasta septembri otsus
2015. aasta septembris teatas Euroopa Kohtu kohtujurist Yves Bot, et Safe Harbor'i leping ei ole enam kehtiv ja siduv. Iirimaa ülemkohus küsis Euroopa Kohtult, kas ja millises ulatuses kohaldatakse Safe Harbor'i määrust. Kõnealune juhtum puudutas andmete edastamist Facebooki poolt USAsse. Kohtuotsuse põhjendustes märkis kohtujurist, et Euroopa Liidul ei ole õigust sekkuda liikmesriikide volitustesse ja neid piirata. Niipea, kui ELi hartaga tagatud põhiõiguste järgimine on liikmesriigis ohus, peab olema võimalik vastavalt tegutseda. Põhiõiguste hulka kuulub isikuandmete kaitse. USAs on ELi kodanikud andmekogujate ees kaitsetu, sest USA lubab ELi kodanike andmete kogumist märkimisväärses ulatuses. Samal ajal puuduvad tõhusad vahendid õiguskaitse taotlemiseks. USA luureteenistused tegelevad intensiivse jälgimisega, mis ei ole proportsionaalne ja võimaldab sihipärast sekkumist andmekaitsesse. Euroopa Kohus järgis kohtujuristi põhjendusi ja pitseris seega lepingu lõpu. Kohtuotsuse resolutiivosas viidati Ameerika salateenistustele. Ameerika äriühingud alluvad nendele päringutele ja on sunnitud õõnestama kõiki kaitse-eeskirju. Seega puudub tõhus isikuandmete kaitse. Ühest küljest rikutakse selle menetlusega põhiõigust eraelu austamisele, kuid teisest küljest rikutakse ka õigust tõhusale õiguskaitsele kohtus.
Saksamaa andmekaitseasutuste lähenemisviis
Pärast Euroopa Kohtu otsuse avaldamist tegutsesid Saksamaa andmekaitseasutused kiiresti. Liidumaade ja föderaalvalitsuse andmekaitse volinike koostatud seisukohavõtus selgitati, et andmete edastamine on välistatud, kui nende edastamine põhineb üksnes Safe Harbor lepingul. Uusi lepingul põhinevaid lubasid enam ei väljastata. Lisaks sellele ei tunnustata enam ettevõtte skeeme ja andmeekspordilepinguid. Ühendkuningriigis ollakse seisukohal, et andmete edastamine on endiselt võimalik, kui selleks on antud nõusolek või kui on olemas ELi standardne lepingutingimus. Saksamaa andmekaitseinspektorite arvates ei ole nõusolek piisav, sest massiline ja korduv andmeedastus ei ole enam sellises ulatuses lubatud.
Uued määrused ja soovitused
Föderaalsel tasandil tervitas Euroopa Kohtu otsust vastutav föderaalne andmekaitseinspektor. Lähitulevikus uuritakse, kas ja millisel määral mõjutab otsus siduvate ettevõtlusreeglite ja ELi tüüplepinguklauslite kohaldamist Saksamaal. 26.10.2015 avaldati föderaalvalitsuse ja liidumaade seisukoht. Järelevalveasutused teatasid, et võetakse meetmeid igasuguse Safe Harboril põhineva andmeedastuse vastu. Pärast seda otsust on täiesti selge, et varasema kokkuleppe alusel sertifitseerimine on täiesti vastuvõetamatu. Ettevõtted, kes edastavad isikuandmeid USAsse, riskivad valusa trahviga, mistõttu tuleks veebilehe tekstid, reklaammaterjalid ja andmekaitsedeklaratsioonid võimalikult kiiresti kohandada. Lisaks tuleks vaadata üle praegused andmeedastused. Tuleks selgitada siduvate ettevõtluseeskirjade ja ELi tüüplepinguklauslite kohaldatavust. Need, kes ei saa loobuda andmete edastamisest USAsse, peaksid kasutama ELi standardseid lepinguklausleid, millega saab trahvi ohtu vähemalt enamikul juhtudel oluliselt vähendada. On hädavajalik, et krüpteerimismeetodeid katsetatakse ja kohaldatakse. Kui nõusolekut on võimalik saada, võtke ühendust DPCga ja küsige, kas selline seadustamine on andmete edastamiseks lubatud. Sellise nõusoleku puhul tuleb selgelt märkida, et andmete edastamine USAsse toimub. Lisaks tuleb loetleda võimalikud tagajärjed. Sellist nõusolekut on raske rakendada püsiva ja massilise andmeedastuse puhul, näiteks kliendiandmete puhul. Parima võimaliku õiguskaitse saavutamiseks tuleks õigusküsimusi uurida iga juhtumi puhul eraldi. Tehnilised ja korralduslikud meetmed võivad oluliselt vähendada õigusrikkumiste ohtu.
