Vastus selgitustaotlusele

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee

Registrikood 70004235

AVALIK

Lp Regina Reelend

Sveba-Dahlen Baltic OÜ

[email protected]

Teie 29.08.2025 nr Meie 02.09.2025 nr 2.2-9/25/2817-2

Vastus selgitustaotlusele

Andmekaitse Inspektsioon on saanud Sveba-Dahlen Baltic OÜ-lt kirja, milles soovivad teada, kas

neil on lubatud üles laadida ja edastada töötajate töölepingud Middleby Corporationile, kes asub

USAs. Sveba-Dahlen Baltic OÜ selgitas, et viimane allub Sveba-Dahlen AB-le Rootsis, kes

kuulub Middleby Sweden Holdingusse ja sealt edasi Middleby Corporationisse Ameerikas.

Selgitan, et kolmanda riigi andmetöötlejale, nagu teie puhul on Middleby Corporation USA-s, võib

isikuandmeid edastada vaid juhul, kui täidetud on isikuandmete kaitse üldmääruse (edaspidi

üldmäärus) V peatüki tingimused, mis käsitleb isikuandmete edastamist kolmandatele riikidele. V

peatüki kohaselt on isikuandmete edastamine lubatud juhul, kui füüsiliste isikute kaitse taset ei

kahjustata. Füüsiliste isikute kaitse taset ei kahjustata, kui olemas on kas kaitse piisavuse otsus või

kohaldatakse mõnda muud asjakohast kaitsemeedet.

Kaitse piisavuse otsus

Kaitse piisavuse otsus (üldmääruse artikkel 45) on Euroopa Komisjoni poolt tehtud otsus, mille

kohaselt annab komisjon nõusoleku, et asjakohane kolmas riik tagab isikuandmete kaitse piisavuse

taseme. Euroopa Komisjon on USA kohta teinud kaitse piisavuse otsuse, mille kohaselt tagab USA

isikuandmete kaitse piisavuse raamistikuga Data Privacy Framework (edaspidi DPF).

DPF on vabatahtlik raamistik, milles osalemiseks peavad USA ettevõtted ennast sertifitseerima,

kohustudes järgima üksikasjalikke isikuandmete kaitse kohustusi – näiteks andmete

minimeerimine, säilitamistingimused, andmeturve ja kohustused seoses andmete jagamisega

kolmandate isikutega. USA ettevõtted, kes on liitunud DPF raamistikuga, on leitavad siit.

Muud asjakohased kaitsemeetmed

Kui kaitse piisavuse otsus puudub, võib kolmanda riigi andmetöötlejale saata isikuandmeid vaid

juhul, kui on sätestatud asjakohased kaitsemeetmed. Eriluba taotlemata võib asjakohased

kaitsemeetmed ette näha:

1) siduvate kontsernisiseste eeskirjadega (Binding Corporate Rules, BCR);

2) standardsete andmekaitseklauslitega (Standard Contractual Clauses, SCC);

3) toimimisjuhendiga (Codes of Conduct, CoC);

2 (3)

4) sertifiseerimismehhanismiga.

Järelevalveasutuse loal võib kaitsemeetmed sätestada ka EL andmetöötleja ning kolmanda riigi

andmetöötleja vaheliste lepingutingimustega.

Siduvad kontsernisisesed eeskirjad

Siduvad kontsernisisesed eeskirjad (üldmääruse artikkel 47, edaspidi BCR) on õiguslikult siduvad

kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma asjaomaste liikmete

suhtes. Seega, kuivõrd Sveba-Dahlen Baltic OÜ on osa Middleby Corporation kontsernist, võiks

kontrollida, kas isikuandmete edastamiseks on olemas BCR. Kehtivaid BCRe on võimalik näha

siit.

Standardsed andmekaitseklauslid

Üldmääruse kohaselt saab lepingutingimusi, mis tagavad asjakohased kaitsemeetmed, kasutada

alusena andmete edastamiseks EList kolmandatesse riikidesse. See hõlmab tüüplepingutingimusi,

nn standardseid andmekaitseklausleid (edaspidi SCC), mille Euroopa Komisjon on eelnevalt heaks

kiitnud. Euroopa Komisjoni heaks kiidetud SCCd on leitavad siit. Seda, kas kolmanda riigi

andmetöötlejaga on vastavad lepingud sõlmitud, ei ole võimalik avalikult kontrollida. Vastav

leping peab olema sõlmitud kolmanda riigi andmetöötleja ning andmeeksportija ehk teie enda

ettevõtte vahel. Kui sellist lepingut sõlmitud ei ole, ei ole võimalik andmete edastamisel SCCle

toetuda.

Toimimisjuhendid

Toimimisjuhendid (edaspidi CoC) on sektoripõhised kokkulepped, mis aitavad organisatsioonidel

vastata üldmääruse nõuetele. Sektoripõhised toimimisjuhendid on leitavad siit.

Sertifitseerimismehhanism

Ehkki üldmäärus annab võimaluse edastada andmeid sertifitseerimisskeemide alusel, ei ole

tänaseks loodud ühtegi skeemi, mille alusel võiks andmeid kolmandatesse riikidesse edastada.

Olemasolevad sertifitseerimisskeemid ning märked, kas kolmandasse riiki andmeedastus on

lubatud, on leitavad siit.

Erandid

Üldmäärus annab ka võimaluse eranditeks juhul, kui puudub kaitse piisavuse otsus või muud

asjakohased kaitsemeetmed. Selline edastamine on lubatud vaid juhul, kui täidetud on vähemalt

üks üldmääruse artikli 49 lõike 1 tingimustest – näiteks peab olema edastamiseks andmesubjekti

selgesõnaline nõusolek; edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise

lepingu täitmiseks jm. Ühtlasi võib erandi alusel edastada vaid juhul, kui kumulatiivselt on

täidetud järgnevad tingimused:

- edastamine ei ole korduv;

- puudutab vaid piiratud arvu andmesubjekte;

- edastamine on vajalik, et kaitsta vastutava töötleja õigustatud huve, mille suhtes

andmesubjekti huvid, õigused või vabadused ei ole ülekaalus;

3 (3)

- vastutav töötleja on hinnanud kõiki andmete edastamisega seotud asjaolusid ja kehtestanud

selle hinnangu põhjal sobivad kaitsemeetmed isikuandmete kaitseks.

Erandi kasutamisest tuleb teavitada järelevalveasutust ning andmesubjekte. Andmesubjekte tuleb

teavitada ka vastutava töötleja poolt kaitstavatest õigustatud huvidest.

Kokkuvõte

Juhul, kui Middleby Corporation nime ei ole DPF listis; ettevõttel puudub BCR; teie ning

Middleby Corporation vahel ei ole sõlmitud SCC; puuduvad sektoripõhised toimimisjuhendid

ning erandite kohaldamine ei ole võimalik, ei ole isikuandmete edastamine Middleby

Corporationile üldmääruse kohaselt lubatud. Sellisel juhul tuleks töölepingute edastamisel katta

kinni kõik töötajate isikuandmed (nimi, isikukood, elukoht, telefoninumber, e-mailiaadress jm,

mille järgi on võimalik isikut identifitseerida).

Loodan, et selgitusest on teile abi. Olen valmis vastama ka tekkinud lisaküsimustele.

Lugupidamisega

(allkirjastatud digitaalselt)

Kirsika Nigul

nõunik

peadirektori volitusel