Andmekaitse soovitab hoiduda USA autentimisvahenditest

 (12)
Wolt, Bolt, Bolt food, TikTok
Wolt, Bolt, Bolt food, TikTokFoto: Karl-Eerik Pink

Andmekaitse Inspektsioon andis Eesti ettevõtetele välja soovituse hoiduda e-teenuste autentimisvahendite valikul USA lahendustest ja eelistada nende asemel kodumaiseid.

„Peale Schrems II kohtu otsuse jõustumist tänavu juulis muutus USA tervenisti Euroopa suhtes kolmandaks riigiks, sest kadus ära isikuandmete edastamise kaitsemehhanism Privacy Shield," ütles Fortele AKI peadirektor Pille Lehis.

Ta viitas 16. juulil jõustunud Schrems II nime all tuntud Euroopa Kohtu otsusele, mis kitsendas Euroopa ja USA vahel regulaarselt liikuvate isikuandmete edastamise võimalusi.

Viimaste aastate tendents kõneleb aga sellest, et enamus organisatsioonidest on toonud oma teenused internetti ning e-teenuse saamise eelduseks on paljudel juhtudel autentimine USA teenusepakkujate - Facebooki ja Google kontoga.

AKI on seisukohal, et organisatsioonidel on igati mõistlik nende asemel eelistada Eesti autentimislahendusi, sest need on tehtud arvestades Euroopa andmekaitsenõudeid ning järgivad parimaid infoturbepraktikaid. Tänasel päeval on valida Smart-ID, ID-kaardi või mobiili -IDga autentimise vahel.

„Kui soovitakse teha koostööd USA ettevõttega, tuleb sõlmida andmete edastamiseks standardseid andmekaitseklausleid sisaldav leping või leida teine kaitsemeede vastavalt isikuandmete kaitse üldmäärusele," rääkis Pille Lehis.

Sama kehtib ka muude kolmandate riikide suhtes, kelle andmekaitse taset ei ole EL poolt piisavaks tunnistatud.

AKI juhib tähelepanu, et kui Eesti või laiemalt Euroopa andmekaitseõiguses tegutsev organisatsioon võimaldab inimestele autentimist e-teenustesse USA teenusepakkuja autentimislahenduse kaudu, toimub üldjuhul inimeste andmete edastamine USA teenuseosutaja serverisse, mis asub Euroopa andmekaitseõigusest erinevas õigusruumis ning kus kehtivad Euroopast erinevad andmekaitsereeglid.

Pille Lehis lisas, et Iirimaa andmekaitseasutus (DPC) on esitanud tänavu septembris Facebookile nõude tuua eurooplaste isikuandmete töötlus Euroopa õigusruumi. Facebook on Iirima DPC nõudmise kaevanud kohtusse, et leida kompromissi kuni õiglase seadusliku lahenduse loomiseni.