Schrems II kohtuotsuse mõju Euroopa Liidu ja Ameerika Ühendriikide vahelisele andmevahetusele
Südasuvisel ajal leidis vähe kajastamist üks märgilise tähendusega Euroopa Kohtu otsus. Nimelt tunnistas Euroopa Kohus 16. juulil 2020 Schrems II kohtuasjas C-311/18 kehtetuks Euroopa Liidu ja Ameerika Ühendriikide vahelise andmekaitseraamistiku Privacy Shield (õiguslik raamistik ärilistel eesmärkidel isikuandmete vahetamise reguleerimiseks Euroopa Liidu ja Ühendriikide vahel).
Euroopa Liidu ja Ühendriikide vaheline Privacy Shield oli üks enam kasutatud mehhanisme isikuandmete edastamiseks EL-ist USA-sse. Raamistikule tugines üle 5000 ettevõtte, sealhulgas paljud Eesti ettevõtted, kes USA ettevõtete teenuseid kasutades sinna andmeid edastasid.
Euroopa Kohtu otsus jõustus kohe, muutes Privacy Shieldile tuginenud andmeedastused ebaseaduslikuks, andmata ettevõtetele mingitki armuaega olukorra ümberkorraldamiseks.
Mõistmaks otsuse sisu, selgitame veidi õiguslikku tausta. Isikuandmeid võib kolmandasse riiki (s.o väljapoole Euroopa Majanduspiirkonda, EMP) edastada üldjuhul ainult siis, kui see kolmas riik tagab andmete kaitse piisava taseme ehk on sarnane EL-i andmekaitse tasemega. Euroopa Komisjonil on õigus otsustada, et mõni kolmas riik või selle teatud sektorid või organisatsioonid tagavad riigisisese õigusega või endale võetud rahvusvaheliste kohustustega andmekaitse piisava taseme. Euroopa Komisjoni kaitse piisavuse otsuse puudumisel võib isikuandmeid kolmandale riigile edastada üksnes juhul, kui andmeid edastav vastutav või volitatud andmete töötleja on sätestanud asjakohased kaitsemeetmed ning tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad. Sellised asjakohased kaitsemeetmed on näiteks sätestatud Euroopa Komisjoni vastu võetud standardsetes andmekaitseklauslites (SCC, standard contractual clauses) – tegemist on andmekaitse tüüplepinguga, mille andmete eksportija ja importija peavad muutmata kujul allkirjastama ning mille tingimusi nad peavad täitma.
Euroopa Komisjon otsustas 2016. aastal, et isikuandmete kaitse on piisav Euroopa Liidu ja Ühendriikide vahelises andmekaitseraamistikus Privacy Shield ehk andmete edastamine EL-ist Privacy Shieldi raames sertifitseeritud USA teenuse osutajale oli lubatud.
Austria andmekaitseaktivist Maximillian Schrems esitas 2015. aastal kaebuse Iiri järelevalveasutusele, seades kahtluse alla Facebook Irelandi poolt SCC alusel oma isikuandmete edastamise Facebook Inc’ile Ühendriikides, väites, et USA luureagentuuride jälitustegevuse tõttu ei ole tagatud isikuandmete piisav kaitse. Iirimaa järelevalveasutus leidis, et tegemist on Euroopa andmekaitseõiguse üldisema teemaga ning palus Iirimaa High Courtil pöörduda SCC-de ja Privacy Shieldi kehtivuse küsimustega Euroopa Kohtu poole.
Euroopa Kohus leidis, et isikuandmete kaitse piirangud, mis tulenevad Ühendriikide-sisestest õigusaktidest ning mis annavad USA avaliku võimu asutustele õiguse ligi pääseda EL-ist USA-sse edastatavatele isikuandmetele ja neid andmeid kasutada, ei piirdu vaid rangelt vajalikuga ega ole seetõttu sisuliselt samaväärsed EL-i õiguse proportsionaalsuse põhimõttega. Samuti leidis kohus, et Ühendriikide-sisestest õigusaktidest ei tulene ka andmesubjektidele õigusi, millele nad saaks USA ametiasutuste vastu kohtus tugineda, kui nt USA jälgimisprogrammide (nt PRISM, UPSTREAM) rakendamisel isikute õigusi rikutakse. Seetõttu tunnistas Euroopa Kohus EL-i ja USA vahelise Privacy Shieldi kehtetuks.
Teisalt kinnitas Euroopa Kohus SCC-de kehtivust kui EL-i isikuandmetele piisavat kaitset pakkuvat meedet, kuid rõhutas, et teatavad lisatingimused peavad olema täidetud, et andmete eksportijad saaksid SCC-dele tugineda:
1) SCC-le tuginevatel andmete eksportijatel ja importijatel on kohustus case by case enne isikuandmete edastamist hinnata, kas imporditavas jurisdiktsioonis on isikuandmete kaitse piisaval tasemel ning juhul kui pole, siis tuleb kasutada täiendavaid kaitsemeetmeid või andmete edastamine peatada. Kuidas peaks selline hindamine toimuma ja millised võiksid olla täiendavad kaitsemeetmed, seda Euroopa Kohus ei täpsustanud.
2) EL-i järelevalveasutustel on kohustus hinnata ning vajaduse korral peatada ja keelata isikuandmete edastamine riiki, kus SCC-sid ei järgita või kui neid ei saa järgida ja EL-i õigusaktides nõutud isikuandmete kaitset ei saa tagada muul viisil.
Kuigi Schrems II otsusest on möödunud juba kaks ja pool kuud, ei ole Euroopa Liidu tasandilt siiani juhiseid, kuidas EL-i ja USA vahelist andmevahetust parimal moel korraldada. Küll aga teatas Euroopa Andmekaitsenõukogu septembri alguses, et Schrems II otsuse järelmeetmena on loodud töörühm, mis koostab soovitused, et aidata vastutavatel töötlejatel ja volitatud töötlejatel teha kindlaks ja rakendada asjakohaseid täiendavaid meetmeid, et tagada piisav kaitse andmete edastamisel kolmandatesse riikidesse. Veel ei ole teada, millal soovitused valmivad.
Elu läheb aga edasi ning praktikas on paljud ettevõtted oma privaatsusteadetes siiski asendanud viited Euroopa Liidu – Ameerika Ühendriikide Privacy Shieldile viidetega SCC-dele. Kas ja kui palju hinnatakse enne SCC-de kasutuselevõtmist andmeid vastuvõtva riigi andmekaitse taseme piisavust ja võetakse tarvitusele täiendavaid kaitsemeetmeid on raske öelda. Ilmselt mitte piisavalt, sest Schrems II otsuse järgselt esitati EMP andmekaitseasutustele 101 identset kaebust mitme EMP liikmesriigi vastutava töötleja vastu seoses sellega, et need jätkuvalt kasutavad Google’i ja Facebooki teenuseid, mis omakorda edastavad isikuandmeid USA-sse, tuginedes Euroopa Liidu ja Ühendriikide vahelisele Privacy Shieldile või SCC-dele, suutmata seejuures tagada isikuandmete piisavat kaitset. Ka nimetatud kaebuste analüüsimiseks on Euroopa Andmekaitsenõukogu loonud eraldi töörühma.
Euroopa Kohtu otsusega Schrems II kohtuasjas C-311/18 on võimalik lähemalt tutvuda veebilehel: curia.europa.eu/juris/ document/document.jsf;jsessionid=9CFCA59E123AC74931E5 D5EF8775BFFA?text=&docid=228677&pageIndex=0&doclang =ET&mode=req&dir=&occ=first&part=1&cid=5088716.
Kahju hüvitamine PRIA toetusest ilmajätmisel
Riigikohus asus oma 11. augusti 2020. a lahendis nr 3-18830/23 seisukohale, et kui isikule on õigusvastaselt jäetud toetus määramata, on tal õigus nõuda toetusest ilmajäämise tõttu saamata jäänud tulu hüvitamist.
Nimetatud lahendi asjaolude kohaselt esitas äriühing (edaspidi kaebaja) Põllumajanduse Registrite ja Informatsiooni Ametile (edaspidi PRIA) taotluse investeeringutoetuse saamiseks, kuid PRIA jättis taotluse rahuldamata. Kaebaja pöördus halduskohtusse ning halduskohus tühistas PRIA otsuse ja kohustas kaebaja taotluse uuesti läbi vaatama. PRIA jättis ka teistkordsel läbivaatamisel kaebaja taotluse rahuldamata, mistõttu kaebaja vaidlustas uuesti PRIA otsuse, mille Riigikohus tühistas ning kohustas PRIA-t kaebaja taotlust uuesti läbi vaatama. PRIA jättis taotluse ka kolmandal läbivaatamisel uuesti rahuldamata, sest investeeringutoetuse meetme rahalised vahendid olid ära kasutatud ja järgmise programmiperioodi raha arvel ei ole lubatud eelmise perioodi taotlusi rahuldada. Samuti ei rahuldanud PRIA kaebaja järjekordset vaiet, mistõttu esitas kaebaja halduskohtule kaebuse PRIA otsuse tühistamiseks ning 1 899 400 euro suuruse kahju hüvitamiseks.
Kaebaja hinnangul pidanuks PRIA vaidluse ajaks reserveerima toetussummad, mis tuleks kohtuvaidluse kaotamise korral kaebajale välja maksta. Seetõttu leidis kaebaja, et juhul, kui vaidlustatud otsus on õiguspärane, on PRIA tekitanud kaebajale kahe varasema õigusvastase haldusaktiga kahju, kuivõrd PRIA pidanuks kaebajale juba 2012. aastal toetuse määrama, ent keeldus alusetult seda tegemast. Kahjuna käsitles kaebaja toetuse summat, mis jäi tal PRIA õigusvastase tegevuse tõttu saamata või alternatiivselt toetuse taotlemisega seotud kulusid ning toetustaotlusele lisatud äriplaani elluviimise võimatuse tõttu saamata jäänud äritulu.
PRIA hinnangul ei ole PRIA kaebajale kahju tekitanud, kuivõrd kaebaja taotlus oleks jäänud rahuldamata ka siis, kui PRIA ei oleks teinud varasemates kohtuasjades tuvastatud vigu, sest kaebajal ei ole subjektiivset õigust toetust saada.
Halduskohus jättis kaebuse rahuldamata, selgitades, et kaebajale tekkinud kahjuks ei saa olla taotletud toetussumma. Sellise käsitluse korral rikastuks kaebaja alusetult, sest saaks toetussumma kahjuhüvitisena ilma kohustusi täitmata. Haldus kohus lisas, et kaebaja kahju võiks seonduda eelkõige tema taotluse menetlusega, kuid kaebaja ei ole selliseid kulusid välja toonud. Kaebaja esitas apellatsioonikaebuse, millega seotud menetlusdokumendis märkis, et talle tekkinud kahjuks on toetuse taotlemise kulu 1000 eurot ja aastatel 2013−2015 saamata jäänud äritulu kokku 1 532 741 eurot. Ringkonnakohus pidas sellist nõuet kaebuse muutmiseks ja keeldus selle vastuvõtmisest ning jättis apellatsioonkaebuse rahuldamata ja halduskohtu otsuse muutmata.
Riigikohus ei nõustunud haldus- ja ringkonnakohtu seisukohtadega. Riigikohus leidis, et alternatiivsete nõuete esitamine on põhjendatud, et tagada toetuse taotlemisega kaasnenud kulude hüvitamine juhul, kui kohus tuvastab, et saamata jäänud tulu hüvitamise eeldused ei ole täidetud. Sel juhul võib toetuse taotlemisega seotud kulude hüvitamine otsese varalise kahjuna olla kohane hüvitis kaebaja õiguste rikkumise eest toetustaotluse menetluses. Kahjuhüvitise määramise asjus asus Riigikohus seisukohale, et juhul, kui isikule on õigusvastaselt jäetud toetus määramata, on tal õigus nõuda toetusest ilmajäämise tõttu saamata jäänud tulu hüvitamist. Kahju suuruse hindamisel saab aluseks võtta lähtekoha, et kui toetuse taotleja oleks toetuse saanud, oleks tema varaline olukord võrreldes praegusega saamata jäänud toetuse võrra soodsam. Saamata jäänud tulust tuleb maha arvata sellised kulutused, mida toetuse taotleja oleks pidanud kandma toetuse saamise puhul, aga mida ta toetuse saamata jäämise tõttu ei kandnud.
Lahendiga on võimalik tutvuda veebilehel: rikos.rik.ee/?asjaNr=3-18-830/23.
Marit Savi
Partner, vandeadvokaat
**************
Uudised ilmusid algselt Äripäeva 2020. aasta oktoobrikuu väljaandes Õigusuudised
