ECJ kohtujurist toetas andmekaitsevaidluses Facebooki seisukohta
Isikuandmete edastamine kolmandatesse riikidesse on lubatav, kui riik ja isikuandmeid edastav ettevõte tagavad andmekaitse piisava taseme, märkis Euroopa Liidu Kohtu (ECJ) kohtujurist Henrik Saugmandsgaard Oe.
Mõnes mõttes tähistab see hinnang Facebooki võitu Austria andmekaitseaktivisti Max Schremsi vastu, samas võib nõue tagada andmekaitse "piisav tase" ja selle tõlgendamine esitada Facebookile ja sarnastele ettevõtetele mitmeid keerulisi väljakutseid, kirjutab Irish Times.
Kaebaja leidis, et Facebooki edastab Euroopa Liidus elavate Facebooki kasutajate andmed serveritesse, mis asuvad USA territooriumil, kus neid töödeldakse. Ja väitis, et arvestades Edward Snowdeni paljastusi USA luureteenistuste kohta, ei taga USA piisavat kaitset sellesse riiki edastatud andmete jälgimise eest.
Schrems lootis abi Iirimaalt, kus Facebook on registreerinud oma peakorteri, rõhutades, et Iirimaa peab seisma Euroopa põhiõiguste eest.
Euroopa Liidu Kohtu otsused on üldjuhul olnud kooskõlas kohtujuristi varasema, mittesiduva hinnanguga, kuid mitte alati.
TAUST
Piiriülese isikuandmete liigutamisega tegelevad nii pangad, autotootjad kui ka tehnoloogiahiiud ning selles vallas liigub miljardeid dollareid.
Schrems on isikuandmete kaitsega tegelenud juba aastaid. 2015. aastal saatis teda edu kohtuasjas, mille lõpptulemusena peatas Euroopa Liidu Kohus USA ja Euroopa Liidu vahelise andmekaitseraamistiku Safe Harbour, kuna viimane ei suutnud tagada USA serverites hoitavate EL-i kodanike isikuandmete turvalisust. Selle asemel kutsuti ellu EL-i ja USA andmekaitseraamistik Privacy Shield, mis peaks kaitsma eurooplaste isikuandmeid, mida ettevõtted kommertslikel eesmärkidel Atlandi ookeani teisele kaldale üle kannavad, kuid Schrems on ka selle suhtes üsna kriitiline.
Hiljem võttis Schremsi sihikule Facebooki ja sarnased ettevõtted, mis ei suuda tema hinnangul nende kätte usaldatud isikuandmeid piisavalt kaitsta.
Euroopa Liidu Kohtusse jõudis juhtum seetõttu, et Iiri Vabariigi andmekaitseagentuur pöördus selles küsimuses Iiri ülemkohtu poole, mis omakorda küsis seisukohta Luksemburgis asuvalt Euroopa Liidu Kohtult. Iiri Vabariigi haldusalas on küsimus seetõttu, et Facebook on oma EL-i tegevuse sinna registreerinud.
Schremsist sai isikuandmete kaitse aktivist kaheksa aastat tagasi, kui ta juuratudengina soovis kursusetöö jaoks saada Facebookilt andmeid, mida ettevõte tema kohta omab. Vastuseks saabus CD-ROM, kus oli umbes 1200 lehekülge selle kohta, mida Schrems Facebookis on teinud: mida ta oli teinud, millistest üritustest osa võtnud ja milliseid privaatsõnumeid saatnud, kirjutas Forbes.
Lisaks kohtuasjadele on ta asutanud üleeuroopalise andmekaitseorganisatsiooni None of Your Business.
Schrems on seisukohal, et praegused reeglid ei kaitse isikuandmeid piisavalt ning seetõttu tuleks selline EL-i kodanike isikuandmete ülekandmine välisriikidesse, näiteks USA-sse lõpetada. Facebook on loomulikult vastupidisel seisukohal.
Schrems esitas esialgse kaebuse juba 2013. aastal, kui andmelekitaja Edward Snowden paljastas, et Facebook, Google ja muud USA-s tegutsevad firmad peavad loovutama oma välismaalastest kasutajate isikuandmeid Ameerika Ühendriikide luureteenistustele.
Euroopa Liit proovis eelmisel aastal olukorda parandada ja võttis vastu isikuandmete kaitse üldmääruse (GDPR), mis peals tegema läbipaistvamaks selle, kuidas veebplatvormid kasutajate andmeid kasutavad.
Turk: teema on palju suurem kui see, mida Facebook tohib või ei tohi
ERR-i raadiouudistele juulis teemat kommenteerinud vandeadvokaat Karmen Turk ütles, et tegelikult on Euroopa Kohus palju suurema küsimuse ees kui ainult see, mida Facebook võib või ei või teha.
"Tegelikult on Euroopa Kohtus juuli ainulaadne kuu sel aastal, sest neil oli eelmine nädal ühes asjas istung, mis oli siis Prantsusmaalt, ja täna toimub siis istung teises kohtuasjas, mis on pärit siis Iirimaalt ja sellega on seotud üks tuntud austerlane nimega Max Schrems. Mõlemad puudutavad siis seda, kuidas meie, Euroopa Liidu kodanike, isikuandmeid võib siit välja saata," märkis ta.
"Ehk siis isikuandmete Euroopa Liidust välja saatmiseks on väga piiratud võimalused, sest eelmisel aastal kehtima hakanud üldmäärus ütleb väga üldise põhimõtte - Euroopa Liidust meie kodanike, residentide andmete välja saatmine on keelatud. Välja arvatud, kui selleks on üks konkreetne alus, mis on siis üldmääruses kirjas. Selleks võib olla näiteks nõusolek eraldi isikult selleks, et ta lubab oma andmeid välja saata. No selliseid nõusolekuid ei võta, aga variante on veel. Kõige tihemini kasutatakse kaht varianti," jätkas Turk.
"Üks on siis selline Euroopa Komisjoni poolt kinnitatud standardlepingu põhi, mida kasutatakse hästi palju siis, kui soovitakse saata Euroopa Liidust andmeid välja. See on siis nüüd nende Prantsusmaalt ja Iirimaalt pärit kohtuasjade sisu. Ja teine võimalus on siis Privacy Shield, mis oma sisult tähendab seda, et näiteks Ameerika Ühendriikides asuvad ettevõtted võivad ise ennast hinnata ja hindavad, et nemad siis täidavad kõige kõrgemaid andmekaitse nõudeid. Kui nad on sellise enesehinnangu teinud ja seda siis ka avalikult justkui deklareerinud, siis võib nendele ettevõtetele andmeid saata. Facebook on üks selline ettevõte. Need küsimused ongi siis Euroopa Kohtu ees ehk kas selline Euroopa Liidust andmete välja saatmise alus on tegelikult kooskõlas meie kodanike ja residentide põhiõiguste ja vabadustega, kas meie andmeid seal ikka piisavalt kaitstakse ja kas see alus saab ka kehtima jääda," nentis ta.
Turk peab üsnagi tõenäoliseks, et nii Prantsusmaa kui ka Iirimaa juhtumi puhul võib Euroopa Liidu Kohus langetada otsuse tehnoloogiahiidude kahjuks ning jõuda järeldusele, et senised isikuandmete kaitset puudutavad reeglid ei ole piisavad.
Toimetaja: Laur Viirand