Võlaõigusseaduse ja sellega seonduvalt teiste seaduste muutmise seadus (pettuste tõkestamise eelnõu)
| Dokumendiregister | Tartu Ringkonnakohus |
| Viit | 10-3/26/48-1 |
| Registreeritud | 24.04.2026 |
| Sünkroonitud | 27.04.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 10 Õigusemõistmise üldküsimused ja õigusteabe analüüs |
| Sari | 10-3 Arvamused õigusaktide eelnõude kohta |
| Toimik | 10-3/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Mai Kurul (Tartu Ringkonnakohus, Kohtudirektori juhtimisvaldkond, Kantselei) |
| Originaal | Ava uues aknas |
Failid
From: Jarmo
Lilium - RAM <[email protected]>
Sent: Friday, April 24, 2026 12:45 PM
To: Kohtute Infoteenistus - KOHTUD <[email protected]>; [email protected]
Subject: Võlaõigusseaduse ja sellega seonduvalt teiste seaduste muutmise seadus (pettuste tõkestamise eelnõu)
Tere!
Edastan teisele kooskõlastusringile Justiits- ja Digiministeeriumisse läinud pettuste tõkestamise eelnõu, seletuskirja ja kooskõlastustabeli.
Eelnõude infosüsteemi link: https://eelnoud.valitsus.ee/main/mount/docList/6fb58fe6-3866-4208-980d-ddb13fb465a2
Kui Teil on märkusi, siis ootame neid 7. maiks.
|
|
Jarmo Lilium |
|
Käesolev
e-kiri võib
sisaldada asutusesiseseks
kasutamiseks tunnistatud
teavet. |
1
Aprill, 2026
MÄRKUSTE TABEL
Võlaõigusseaduse ja krediidiasutuste seaduse muutmise seadus
Nr
Märkused
Arvestatud/
Mitte-
arvestatud/
Selgitatud
RaM märkused
Justiitsministeerium
1 Eelnõu §-ga 1 antakse makseteenuse pakkujatele
tööriistad finantspettuste tõkestamiseks, mh sätestatakse
õiguslik alus maksejuhise täitmisest keeldumiseks juhul,
kui esineb kuritarvituse kahtlus.
A. Tegu on valdkonnaga, kus eksisteerib tugev EL õiguse
komponent, kuivõrd makseteenuste toimimine siseturul
on reguleeritud EL määrustega (Euroopa Parlamendi ja
nõukogu direktiiv (EL) 2015/2366 makseteenuste kohta
siseturul ja Euroopa Parlamendi ja nõukogu määrus (EL)
nr 260/2012). Eelnõukohase võlaõigusseaduse (VÕS)
muudatusega jäetakse finantsteenuse pakkujale küllaltki
suur otsustusvabadus selle jaoks, mis asjaoludel keelduda
maksejuhise täitmisest. Nähakse ette, et makseteenuse
pakkuja võib keelduda autoriseeritud maksejuhise
täitmisest, kui pärast komisjoni delegeeritud määruses
(EL) 2018/3899 ette nähtud turvameetmete täiendavat
rakendamist on makseteenuse pakkujal põhjendatud
kahtlus, et maksetehingu täitmiseks antud nõusolek on
saadud andmete väärkasutamise, pettuse või maksja
manipuleerimise teel. Samas ei direktiiv (EL) 2015/2366
ega määrus (EL) nr 260/2012 otseselt sellist võimalust ega
kohustust teenusepakkujatele ette ei näe. Eeldusel, et
direktiiv (EL) 2015/2366 ei ole maksimumharmoneeriv,
on liikmesriikidel ilmselt võimalik minna kaugemale ja
täpsemaks direktiivis sätestatust, kuid sellisel juhul
palume, et seletuskirjas oleks rohkem selgitusi ja
Arvestatud A. Seletuskirjas on täiendavalt selgitatud kooskõla makseteenuste
diretiivi ja välkmaksete määrusega.
B. Seletuskirjas on selgitatud maksejuhise täitmiseks antud
nõusoleku seost tsiviisseadustiku üldosa seadusega.
C. Seletuskirjas on selgitatud kooskõla välkmaksete määrusega. Ka
välkmaksete puhul kehtib makseteenute direktiivi artiklis 64
sätestatud maksetehingute autoriseerimise põhimõtted. Selle atikli
lõike 1 kohaselt maksetehing loetakse autoriseerituks ainult siis, kui
maksja on andnud nõusoleku maksetehingu täitmiseks. Kui
nõusolek puudub, käsitatakse maksetehingut autoriseerimata
maksetehinguna. Makseteenuse pakkujal on õigus keelduda
autoriseerimata maksejuhise täitmisest.
D. Seletuskirja on täiendatud selgitusega vastutusest vabastamise
kohta, kui makseteenuse pakkuja viivitab maksekorralduse
elluviimisega selleks, et täita täiendavaid turvameetmeid
2
pidepunkte olukordadeks, mil maksejuhis jääb täitmata.
Pettustega võitlemine on küll vajalik, kuid praktikas võib
ette tulla ka olukordi, mil konto omaja ja maksja ei pruugi
olla rahul sellega, et tema poolt soovitud makse viibib või
jääb täitmata. Maksja vaatenurgast on oluline, et
makseteenuse pakkuja tegutsemispraktikad ei muutuks
ebamõistlikult konservatiivseks. Seletuskirjas võiks
kinnitada, et liikmesriigil ei ole keelatud kehtestada
maksejuhiste täitmata jätmise ja pettuste vältimise puhuks
reegleid, mis on põhjalikumad, kui praegune EL
regulatsioon ette näeb.
B. Eelnõuga nähakse ette, et makseteenuse pakkuja võib
keelduda autoriseeritud maksejuhise täitmisest, kui pärast
komisjoni delegeeritud määruses (EL) 2018/3899
(edaspidi komisjoni delegeeritud määrus) ette nähtud
turvameetmete täiendavat rakendamist on makseteenuse pakkujal põhjendatud kahtlus, et maksetehingu täitmiseks
antud nõusolek on saadud andmete väärkasutamise,
pettuse või maksja manipuleerimise teel. Samas on
nõusoleku andmine käsitatav ühepoolse tehinguna,
millele sellisel juhul peaks kohalduma ka tsiviilseadustiku
üldosa seaduse (TsÜS) reeglid seoses tehingutega. Tekib
küsimus, kuidas seostub see alus nõusoleku/tehingu
„tunnustamisest“ keeldumiseks TsÜS § 90 lõikes 1
sätestatud tehingu tühistamise aluste (oluline eksimus,
pettus, ähvardus või vägivalla mõju) või esindusõiguseta
isiku tehtud tehingu tühisuse regulatsiooniga (TsÜS §
128). Paremini võiks sobituda tsiviilõiguse süsteemi
konstruktsioon, mille puhul saab rääkida sellest, et
eksisteerib põhjendatud kahtlus, et maksetehingu
täitmiseks antud nõusolek võib kas osutuda tühiseks või
olla tühistatav vastavalt TsÜS-s tehingute kohta
sätestatule.
C. Täiendavad küsitavused ilmnevad
välkmaksekorralduste puhul (mis Eestis on hetkel
3
valdavad). VÕS-i muudatustega sätestatakse, et
välkkreeditkorralduse puhul tuleb maksejuhise täitmisest
keelduda kooskõlas Euroopa Parlamendi ja nõukogu
määrusega (EL) nr 260/2012 (eelnõu § 1 p 1, lg 43). See
määrus (konsolideeritud kujul, koos määrusest nr (EL)
2024/886 tulenevate muudatustega) keskendub aga
maksejuhise täitmisest keeldumise reguleerimisel
asjaoludele, mis seonduvad makse saaja isikuga. Määrus
sätestab korra, kuidas tuleb kontrollida makse saaja isikut
(art 5c) ning lisaks kehtib eraldi regulatsioon selle kohta,
kuidas välkkreeditkorraldusi pakkuvad makseteenuse
pakkujad kontrollivad, kas mõni nende makseteenuse
kasutajatest on isik või üksus, kelle suhtes kohaldatakse
sihipäraseid piiravaid finantsmeetmeid (art 5d). Määrus ei
näe ette selgeid aluseid maksejuhise täitmisest
keeldumiseks olukordadeks, mil pettus või kuritarvitus
seisneb maksekorralduse andja isiku identiteedivarguses,
või siis kui isik, kes annab maksekorralduse, on viidud
kolmandate isikute poolt eksitusse ja tegutseb nende poolt
saadud pahatahtlike suuniste alusel. Juhul, kui eelnõu
autorite hinnangul EL määrus ei takista siseriiklike
täpsustatud reeglite kehtestamist, võiks seda seletuskirjas
üle kinnitada.
D. Juhime tähelepanu ka makseteenuse pakkuja
vastutusest vabastamisele juhul, kui viimane viivitab
maksekorralduse elluviimisega selleks, et täita
täiendavaid turvameetmeid (VÕS § 7339 lg 3). Kuivõrd
makseteenuse pakkujal on lai diskretsioon selle
hindamiseks, kas täiendavad turvameetmed on vajalikud,
tekib küsimus, kas on õigustatud teenusepakkuja
vastutusest vabastamine. Lisaks näib vähemalt
esmapilgul, et see on küsimus, mida eelloetletud EL
õigusaktid ei reguleeri sellisel kujul (erinevalt nt
olukorrast, mil määrus ütleb, et makseteenuse pakkuja ei
vastuta valele makse saajale direktiivi (EL) 2015/2366
artiklis 88 sätestatud väära kordumatu tunnuse alusel
4
suunatud kreeditkorralduse täitmise eest, tingimusel et ta
on täitnud käesoleva artikli nõuded). Jällegi, kui EL
regulatsioon Eesti seaduste detailsemaks minemisele
takistusi ei sea, võiks selle seletuskirjas kirja panna.
2 Eelnõu §-ga 2 täiendatakse krediidiasutuste seadust
(KAS) §-ga 894, nähes ette andmete avaldamise
tingimused pettuste tõkestamise eesmärgil.
A. Viidatud paragrahvis on ette nähtud ulatuslik andmete
ja teabe avaldamise õigus, sh ka maksekonto kohta.
Toetame ja mõistame vajadust tõhustada finantspettuste
ennetamise ja tõkestamise meetmeid. Samas peame
oluliseks, et isiku põhiõiguste ja -vabaduste riive analüüs
oleks andmete avaldamiseks ulatuslike õiguste andmisel
läbi viidud põhjalikult ning tagatud riivete
proportsionaalsus. Seletuskirjas on küll lühidalt
analüüsitud üksikute riivete põhiseaduspärasust, kuid
JDM hinnangul on analüüs pinnapealne ning üldistatud
erinevate riivete kontekstis ning vajalik on teostada ja
esitada seletuskirjas põhjalikum analüüs iga riive kohta
eraldiseisvalt. Mõõdukuse hindamisel tuleb põhjalikult
kaaluda, kas riive abil saavutatav legitiimne eesmärk
kaalub üles põhiõiguse kandjale tekitatava kahju,
tagamaks, et riive ei moonuta põhiõiguse olemust (PS §
11 teine lause). Ei piisa üksnes väitest, et meetmed on
mõõdukad, kuna need on piiritletud, vaid vajalik on
mõlema kaalukausi sisuline põhjendamine. Paralleelselt
tuleb hinnata riive intensiivsust ja võimalikku mõju
põhiõiguse olemusele, et seletuskirja lugeja saaks
eesmärgi ja riive tasakaalu mõistlikult hinnata. Samuti
tuleb vajalikkuse all selgitada täpsemalt, kas ei leidu
muud, põhiõigusi vähem piiravat, end sama efektiivset
meedet. Viitame ka õiguskantsleri poolt maksukorralduse
seaduse ning rahapesu ja terrorismi rahastamise
tõkestamise seaduse muutmise seaduse eelnõu (EIS-is
eelnõu toimiku number: 25- 1000) raames viidatud
murekohtadele, mh et nt kui pangakontode väljavõtetele
Arvestatud
osaliselt
A. Seletuskirja mõjude osas on teostatud põhjalikum analüüs iga
riive (andmekoosseisu osas, mida jagatakse) kohta eraldiseisvalt.
B. Eelnõust on välja jäetud ennetuse eesmärgil panagasaladuse
andmete jagamine.
C. Krediidiasutuste seaduse § 88 on täiendatud ning ette nähtud, et
andmeid võib jagada lisaks ka eelnõuga seadusesse lisatava KAS §
894 lõike 2 alusel.
Eelnõus ei ole peetud vajalikuks eristada andmeid, mida võib
edastada teisele krediidiasutusele ning mida PPA-le, kuivõrd
nimetatud andmekoosseisud on samad.
Eelnõu on täiendatud makseasutuste ja e-raha asutuste seaduse
muutmisega. Ette on nähtud, et ka makseasutused ja e-raha asutused
võivad avaldada samu andmeid nagu krediidiasutused, kuna ka
makseasutused ja e-raha asutused osutavad makseteenuseid.
Seletuskirja on täiendatud selgitusega, milliseid andmeid võib
edastada kliendi tuvastamiseks.
Eriliiki isikuandmete jagamine ei ole eelnõu kohaselt lubatud,
pangakonto väljavõtte avaldamine ei ole lubatud, maksekonto all on
peetud silmas selle IBAN-i. Selguse mõttes on paragrahvi
täiendatud uue lõikega ning sätestatud, et eriliiki isikuandmete
avaldamine ei ole lubatud.
5
juurdepääsu laiendatakse seaduses, peab sellega
kaasnema põhjalik proportsionaalsuse analüüs
(õiguskantsleri 1. juuli 2025. a kirja nr 7-
7/250081/2504808 kokkuvõtte p 3). Kui eelnõu tulemusel
on võimalik ka pangakonto väljavõtetele ja
pangasaladusele juurdepääs, tuleb analüüsi täiendada
õiguskantsleri kirjas viidatu valguses, analüüsides
sealviidatud põhiõiguste ja -vabaduste riiveid ning
täpsustades vastavalt ka eelnõu. Eeltoodust tulenevalt
palume seletuskirjas põhiseaduspärasuse analüüsi
täiendada, pidades silmas ka eelnimetatud õiguskantsleri
1. juuli 2025. a kirjas viidatut. Palume eelnõu seletuskirjas
põhiseaduspärasuse analüüs esitada seletuskirja 3. osas
“Eelnõu sisu ja võrdlev analüüs” eraldi viimase
alajaotusena. Kui loetavuse huvides on mõttekam esitada
põhiseaduspärasuse põhjalik analüüs konkreetse sätte
põhjenduse juures, saab seletuskirja 3. osa viimases
alajaotuses esitada viite vastavale argumenteeritud
analüüsile ning alajaotuses esitada üksnes kokkuvõtlik
järeldus. Või vastupidi, põhjalik analüüs esitatakse
viimases alajaotuses ning vastavat piirangut sisaldavate
normide juures on viide eraldi alaosas esitatud
põhiseaduspärasuse analüüsile.
B. KAS § 894 lg 1 näeb ette, et krediidiasutusel on õigus
avaldada andmeid ja teavet teisele krediidiasutusele ning
Politsei- ja Piirivalveametile (PPA) maksetehingutega
seotud pettuste avastamiseks, väljaselgitamiseks ja
ennetamiseks juhul, kui krediidiasutusel on objektiivselt
põhjendatud alus kahtlustada, et klient või maksetehing
võib olla seotud pettusega. Leiame, et ennetuseks
sedavõrd tundlike andmete töötlemise õiguse andmine ei
ole proportsionaalne meede (st meede ei pruugi olla
kooskõlas eesmärgipärasuse ja minimaalsuse
põhimõttega). Palume piirduda üksnes pettuste
avastamise ja väljaselgitamisega ning välja jätta üldine
ennetus.
6
C. KAS § 88 lg 3 p 1 sätestab, et krediidiasutusel on õigus
avaldada klienti puudutav pangasaladus kolmandale
isikule, kui krediidiasutuse õigus või kohustus avaldada
pangasaladust tuleneb käesolevas paragrahvis sätestatust
[…]. Kuna kõnealune säte näeb selgelt ette, et
pangasaladust võib jagada ainult paragrahvis 88
sätestatud juhul, tuleks täiendada ka KAS § 88 lg 3 p 1 ja
näha ette, et „krediidiasutuse õigus või kohustus avaldada
pangasaladust tuleneb käesolevas paragrahvis ja
käesoleva seaduse § 894 sätestatust […]“. D. KAS § 894
lg 2 sätestab teabe, mida võib jagada teistele
krediidiasutustele ning PPA-le. Palume eristada, millist
teavet jagatakse PPA-ga ning millist teiste
krediidiasutustega. Lisaks tuleks KAS § 894 lg 2 p-s 1
täpsustada, milliseid andmeid võib edastada kliendi
tuvastamiseks. Samuti on KAS § 894 lg 2 p-s 3 ilmselt
puudu eriliiki isikuandmed, kuna pangakonto väljavõttelt
nähtub rohkem isikuandmeid kui vaid tundlikud
makseandmed (nt terviseandmed, kuuluvus kuhugi
organisatsiooni, poliitilised vaated jne).
3 II. Märkused normitehnika, keele ja mõju kohta Palume
arvestada ka käesoleva kirja lisades esitatud eelnõu ja
seletuskirja failis jäljega tehtud normitehniliste ja
keelemärkustega ning märkustega eelnõu mõjuanalüüsi
kohta.
Arvestatud Eelnõus ja seletuskirjas on arvestatud esitatud märkustega.
Siseministeerium
4 Eelnõuga on kavas täiendada ja muuta krediidiasutuste
seaduse 7. peatüki 3 jagu §-ga 894 järgmises sõnastuses:
„§ 894. Andmete avaldamine pettuste tõkestamise
eesmärgil
(1) Krediidiasutusel on õigus avaldada andmeid ja teavet
teisele krediidiasutusele ning Politsei- ja Piirivalveametile
maksetehingutega seotud pettuste avastamiseks,
väljaselgitamiseks ja ennetamiseks juhul, kui
krediidiasutusel on objektiivselt põhjendatud alus
Mittearvestatud Ettepanek kasutada mõiste „pettus” asemel mõistet „kelmus” ei ole
põhjendatud. Kavandatav säte ei reguleeri konkreetse
karistusõigusliku koosseisu kvalifitseerimist, vaid
maksetehingutega seotud pettusjuhtumite avastamist,
väljaselgitamist. Seetõttu on mõiste „pettus” käesolevas kontekstis
sisuliselt täpsem ja ulatuslikum kui mõiste „kelmus”, mis viitab
kitsamalt KarS-s sätestatud konkreetsele süüteokoosseisule. Säte
peab hõlmama ka nt pettusekatseid, manipulatsioonitehnikaid ja
muid maksepettustele viitavaid asjaolusid, mille puhul ei pruugi
andmevahetuse hetkel olla veel võimalik või vajalik anda lõplikku
7
kahtlustada, et klient või maksetehing võib olla seotud
pettusega.
(2) Käesoleva paragrahvi lõikes 1 nimetatud isikutele on
lubatud avaldada andmeid ja teavet:
1) kliendi tuvastamiseks;
2) makse saaja ja maksekonto kohta;
3) maksetehingute kohta, sealhulgas tundlikke
makseandmeid;
4) pettuse teel tehtud tehingute või pettusekatsete ja nende
asjaolude kohta;
5) maksetehinguga seotud pettuse või muu süüteo
tunnustele vastava teo tuvastamiseks, sealhulgas
kasutatud seadmete, makseinstrumendi või
turvaelementide kohta.
(3) Krediidiasutusel on õigus Riigi Infosüsteemi Ametile
avaldada küberturvalisuse seaduse § 5 lõike 3 punktist 3
tulenevate ülesannete täitmise eesmärgil käesoleva
paragrahvi lõike 2 punktides 4 ja 5 sätestatud andmeid ja
teavet.“.
Kommentaar:
Paragrahvi pealkirjas sõna „pettus“ kasutamine.
Nimelt tekib küsimus, kas on õige kasutada mõistet
„pettus“. PPA-le teabe edastamise eesmärk peaks olema
seotud süütegude ennetamise, avastamise, tõkestamise
või menetlemisega, KarS-s sellise nimetusega
süüteokoosseisu kui „pettus“ ei ole. KrMS 13. peatüki 2.
jao 1. jaotise pealkiri on „Kelmus“, sellesse jaotisse
kuuluvad kelmuste alaliigid, nt § 209. Kelmus, § 211.
Investeerimiskelmus, § 213. Arvutikelmus.
KarS § 209 lõike 1 kohaselt loetakse kelmuseks teisele
isikule varalise kahju tekitamise eest tegelikest
asjaoludest teadvalt ebaõige ettekujutuse loomise teel
varalise kasu saamise eesmärgil.
karistusõiguslikku kvalifikatsiooni. Mõiste „pettus” on ühtlasi
kooskõlas makseteenuste valdkonnas kasutatavate mõistetega.
8
Inglise keeles on jaotise ning § 209 pealkirjaks „Fraud“.
Kui KarS-i mõnedes koosseisudes (nt § 133.
Inimkaubandus, § 134. Isikuvabadust piiravasse riiki
toimetamine jne) kasutatakse mõistet „pettus“, siis see on
tõlgitud „deceit“.
Ettepanek I: Kaaluda, kas mõiste „pettus“ asemel oleks
korrektsem kasutada mõistet „kelmus“.
5 Eesmärgi sõnastus. Viidatud sätte pealkiri on andmete
avaldamine pettuste tõkestamise eesmärgil, samas lõike 1
kohaselt on krediidiasutusel õigus avaldada andmeid
pettuste avastamiseks, väljaselgitamiseks ja
ennetamiseks, mida ei saa käsitada pettuste
tõkestamisena. Ka seletuskirjas kasutatakse läbisegi
mõisteid ennetamine, tõkestamine, avastamine ja
väljaselgitamine.
Näiteks seletuskirjas: „…Teiseks, eelnõuga muudetakse
krediidiasutuste seadust (edaspidi KAS), millega antakse
krediidiasutustele õigus jagada vajalikku teavet pettuste
avastamiseks, väljaselgitamiseks ja ennetamiseks. Seda
juhul, kui krediidiasutusel on objektiivselt põhjendatud
alus kahtlustada, et klient või maksetehing võib olla
seotud pettusega. Eelnimetatud teave võib mh
kvalifitseeruda ka pangasaladuseks. Krediidiasutusel saab
olema õigus omal initsiatiivil jagada vajalikku teavet
teiste krediidiasutustega, Politsei- ja Piirivalveametiga
(edaspidi PPA) ning Riigi Infosüsteemi Ametiga (edaspidi
RIA). Kehtivas õiguses selline õigus puudub ning see on
osutunud probleemiks pettuste avastamisel ja
tõkestamisel. Praktikas tähendab see, et näiteks
olukordades, kus krediidiasutusel on kahtlus, et
konkreetne maksekonto (lihtsustatult arvelduskonto) on
seotud pettuste toimepanemisega, siis seda teadmist teiste
krediidiasutustega jagada ei tohi. Sellise õiguse
Arvestatud Eelnõua on ühtlustatud mõistete kasutust.
9
puudumine on takistuseks tõhusamalt ennetada pettuste
toimepanemist….“.
Tegemist on oma sisult erinevate mõistetega. Ennetamine
ja väljaselgitamine tulenevad KorS-st, neile laieneb
Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679
füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja
selliste andmete vaba liikumise ning direktiivi 95/46/EÜ
kehtetuks tunnistamise kohta (isikuandmete kaitse
üldmäärus), avastamisele ja tõkestamisele aga Euroopa
Parlamendi ja nõukogu direktiiv (EL) 2016/680, mis
käsitleb füüsiliste isikute kaitset seoses pädevates
asutustes isikuandmete töötlemisega süütegude
tõkestamise, uurimise, avastamise ja nende eest
vastutusele võtmise või kriminaalkaristuste täitmisele
pööramise eesmärgil ning selliste andmete vaba liikumist
ning millega tunnistatakse kehtetuks nõukogu raamotsus
2008/977/JSK (õiguskaitseasutuste direktiiv).
Avastamise ja tõkestamise legaaldefinitsioon seaduses
puudub, v.a JAS, mille § 4 kohaselt on kuriteo
tõkestamine JAS tähenduses kuriteo ärahoidmine mis
tahes seaduslikul viisil enne selle toimepanemist.
Ennetamise mõiste on toodud KorS § 4 lõikes 7, mille
kohaselt on ohu ennetamine see osa korrakaitsest, kus
puudub ohukahtlus, kuid saab pidada võimalikuks
olukorda, mille realiseerumisel tekib ohukahtlus või oht.
Ohu ennetamine on muu hulgas teabe kogumine,
vahetamine ja analüüs, toimingute kavandamine ja
elluviimine ning riikliku järelevalve meetmete
kohaldamine avalikku korda tulevikus ähvardada võivate
ohtude tõrjumiseks, sealhulgas süütegude ennetamine.
Praeguse käsitluse juures jäävad õhku küsimused: mis
vahe on avastamisel ja väljaselgitamisel?; kas saab
rääkida ennetamisest, kui krediidiasutusel on juba kahtlus
tekkinud?
10
Ettepanek II: Pöörata tähelepanu terminite kasutamisele
pealkirjas ning sisus, et need oleksid kohased ning
kaaluda, kas lõikes 1 tuleks täpsustada, mis eesmärgil
krediidiasutus andmeid edastada võib.
6 Asutusele viide. Lõikes 2 sätestatakse: „Käesoleva
paragrahvi lõikes 1 nimetatud isikutele on lubatud
avaldada andmeid ja teavet:…“. Samas pöörame
tähelepanu, et pole ilmselt kõige korrektsem mainida, et
Politsei- ja Piirivalveamet on isik.
Ettepanek III: Kaaluda tekstis sõna „isik“ asendamist.
Mittearvestatud Mõkste „isik“ kasutamine on seaduse tekstides sellistel puhkudel
tavapärane.
7 Indikaatorid. Lõike 2 punkti 4 kohaselt võib
krediidiasutus edastada andmeid pettuse teel tehtud
tehingute või pettusekatsete ja nende asjaolude kohta.
Kui edastatakse andmeid kelmuse/pettuse teel tehtud
tehingute kohta, siis valdavalt ei saa süütegu enam
ennetada, avastada ega tõkestada. Lisaks jääb sellise
sõnastuse korral õhku küsimus: kas krediidiasutus on
pädev hindama, kas just kelmus/pettus on toime pandud?
Seletuskirja järgi on selle punkti all peetud silmas pigem
pettuseindikaatoreid – „Punktiga 4 nähakse ette andmete
ja teave jagamine pettuse teel tehtud tehingute või
pettusekatsete ja nende asjaolude kohta. Need on nn
pettuseindikaatorid, mis kirjeldavad petuskeemi
toimimist, nagu näiteks tehingu ajastus ja korduvad
summad ning mitme isiku samasugused käitumisjooned.
See aitab pettuste toimepanemist avastada näiteks
olukorras, kus mitmed kliendid saavad samal päeval
panga nimel petukõnesid, siis on võimalik jagada
pettusekatsete mustreid teiste krediidiasutustega ning
tuvastada nn saripettuse toimepanemine võimalikult vara
ka teistel krediidiasutustel ning seeläbi kahjusid
vähendada. Eeltoodu võib olla ka makseteenuse
Mittearvestatud Mõiste „indikaatorid” kasutamine ei ole põhjendatud. Punkti 4
eesmärk on määrata andmekategooria, mida võib pettuste
avastamiseks ja väljaselgitamiseks jagada. Sõnastus „pettuse teel
tehtud tehingute või pettusekatsete ja nende asjaolude kohta”
hõlmab nii juba toime pandud juhtumeid kui ka katseid ning nende
faktilisi asjaolusid. Juba toime pandud pettusjuhtumi kohta käiva
teabe jagamine ei ole suunatud üksnes tagasiulatuvale
tuvastamisele, vaid võimaldab ära hoida sama skeemi jätkumist,
seostada omavahel korduvaid juhtumeid ja vähendada edasist
kahju. Samuti ei tähenda see sõnastus, et krediidiasutus annaks
lõpliku karistusõigusliku hinnangu süüteo toimepanemise kohta;
tegemist on objektiivselt põhjendatud pettusekahtlusega seotud
faktiliste asjaolude kirjeldamisega. Mõiste „indikaatorid”
kasutamine seaduse tekstis oleks kitsam ja ebaselgem ning ei
hõlmaks sama selgelt konkreetseid pettuse teel tehtud tehinguid,
pettusekatseid ega nende asjaolusid.
11
osutamisel tuvastatud manipulatsioonitehnikaid või muud
pettuslikud võtted. Pettuse toimepanijate nn töövõtted on
näiteks krediidiasutuse töötajana esinemise legend, kiire
tegutsemise surve kindlate pettuse liikide puhul, pahavara
allalaadimise juhendamine jne. Näiteks krediidiasutusele
teavitavad mitmed isikud samasuguse sisuga
krediidiasutuse töötajana esinenud pettuslikust kõnest.“
Ettepanek IV: Kaaluda tekstis sõna „…indikaatorid“
kasutamist.
8 Sõnastus. Sõnastuse juures tekib küsimus, kas
krediidiasutus peaks avaldama andmeid ja teavet üksnes
juhul, kui krediidiasutusel on alus kahtlustada, et tegemist
on kelmuse/pettusega? Tegelikult tuleks PPA-d teavitada
ka teiste kuritegude kahtlusest (nt omastamine).
Sellisele võimalusele viitab ka kõnealuse paragrahvi lõike
2 punkt 5:
5) maksetehinguga seotud pettuse või muu süüteo
tunnustele vastava teo tuvastamiseks, sealhulgas
kasutatud seadmete, makseinstrumendi või
turvaelementide kohta.
Ettepanek V: Kaaluda kõnealuse paragrahvi sõnastamist
järgmiselt:
§ 894. Andmete avaldamine kuritegude ennetamise,
avastamise ja tõkestamise eesmärgil
(1) Krediidiasutusel on õigus avaldada andmeid ja teavet
teisele krediidiasutusele ning Politsei- ja Piirivalveametile
maksetehingutega seotud kuritegude ennetamiseks,
avastamiseks ja tõkestamiseks.
(2) Käesoleva paragrahvi lõikes 1 nimetatud eesmärgil
võib avaldada andmeid ja teavet:
1) kliendi tuvastamiseks;
2) makse saaja ja maksekonto kohta;
3) maksetehingute kohta, sealhulgas tundlikke
makseandmeid;
Mittearvestatud Ettepanek asendada pettustele viitav sõnastus üldise kuritegude
ennetamisele, avastamisele ja tõkestamisele ei ole põhjendatud.
Kavandatav säte on suunatud kitsamalt maksetehingutega seotud
pettuste avastamisele ja väljaselgitamisele ning selline eesmärk
vastab ka makseteenuste direktiivi artiklis 94 kasutatud andmete
avaldamise eesmärgile, milleks on: liikmesriigid lubavad
maksesüsteemidel ja makseteenuse pakkujatel töödelda
isikuandmeid, kui see on vajalik maksepettuste ärahoidmise,
uurimise ja avastamise tagamiseks. Mõiste „kuriteod” laiendaks
normi eset oluliselt ja muudaks selle üldiseks süütegude kohta teabe
vahetamise sätteks, milleks eelnõu ei ole mõeldud. See oleks
problemaatiline ka põhiõiguste riive proportsionaalsuse vaatest,
kuna lubatud andmevahetuse eesmärk muutuks liiga avaraks.
Asjaolu, et üksikute andmekategooriate kirjelduses viidatakse ka
muu süüteo tunnustele vastavale teole, ei muuda paragrahvi
põhieesmärki, vaid võimaldab pettusekahtluse faktilisi asjaolusid
kirjeldada piisava täpsusega.
12
4) maksetehinguga seotud kuriteo tunnustele vastava teo
tuvastamiseks, sealhulgas kasutatud seadmete,
makseinstrumendi või turvaelementide kohta.
5) makseteenuse osutamisel tuvastatud kuriteomustrite ja
-skeemide ning manipulatsioonivõtete kohta.
9 Seletuskirjas selgitatakse: „Kehtiv KAS § 88 lg 5 p 2
võimaldab pangasaladuse avaldamist uurimisasutusele
üksnes kriminaalmenetluse raames. Seega on politseil
küll võimalik saada pettuste uurimisel informatsiooni,
kuid see on piiratud, sest andmete avaldamine eeldab
kriminaalmenetluse algatamist. Eelnõuga kavandatav
paragrahv loob õigusliku aluse, mis võimaldab
krediidiasutusel objektiivselt põhjendatud pettuse
kahtluse korral edastada andmeid enne
kriminaalmenetluse algatamist. See võimaldab kiiremat
reageerimist ja kahju ennetamist olukordades, kus
menetluse alustamine võib toimuda alles pärast esmast
juhtumi analüüsi ning pettuse ennetamise ja ärahoidmise
vaatest seega liiga hilja.“
Kriminaalmenetlust ei algatata, vaid tulenevalt KrMS §
193 lõikest 1 alustatakse seda esimese uurimis- või muu
menetlustoiminguga.
Ettepanek VI: Kaaluda sõna „algatamine“, asendamist
sõnaga „alustamine“.
Arvestatud Seletuskirja on vastavalt muudetud.
10 KAS § 88 lõike 5 punkt 2 sõnastus. Kehtiva KAS § 88
lõike 5 punkt 2 sõnastus on ebaselge, mistõttu praktikas
on see tekitanud tõlgendamise probleeme:
„2) kohtueelse uurimise asutusele ja prokuratuurile
alustatud kriminaalmenetluses, sealhulgas välislepingus
sätestatud korras välisriigist saabunud õigusabi taotluse
alusel või Euroopa Liidu õiguses sätestatud kohustuse
täitmiseks rahvusvahelise konventsiooni või muu
välislepingu või politsei või muu sellesarnase pädeva
asutuse koostöölepingu täitmiseks;“
Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse
pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt
maksepettustega seotud. Toome siinkohal välja, et
rahandusministeeriumil on välja töötamisel eelnõu, millega
muudetakse viidatud KAS §-i 88 tervikuna.
13
Muudatuse eesmärk on tagada kõnealuse sätte
õigusselgus, viies see mh kooskõlla kehtivates
õigusaktides kasutatavate mõistetega. Sätte sisu ei
muudeta ega kellelegi täiendavaid õigusi ei anta.
KrMS ei kasuta sellist mõistet kui „kohtueelse uurimise
asutus“ vaid „uurimisasutus“. KrMS 19. peatüki
„Rahvusvaheline koostöö kriminaalmenetluses“ 3. jao
kohaselt toimub vastastikune abistamine
kriminaalmenetluses abistamistaotluse, mitte õigusabi
taotluse alusel. Koostööd kriminaalmenetluses Euroopa
Liidu liikmesriikide vahel reguleerib 8. jagu, millest
tulenevalt taotletakse teises liikmesriigis
menetlustoimingu tegemist, kui eesmärgiks on hankida
tõendeid või teises liikmesriigis asuvad tõendid üle anda
või hoiule võtta, Euroopa uurimismäärusega.
Lisaks siseriiklikus kriminaalmenetluses ning välisriigist
saabunud abistamistaotluse või Euroopa uurimismääruse
alusel tehtavatele päringutele nähakse ka kehtivas sättes
ette päringu tegemise võimalus välislepingutes,
rahvusvahelistes konventsioonides ning Euroopa Liidu
õigusaktis sätestatud kohustuse täitmiseks. 2014. aastal
muudeti sellega seonduvalt KAS-i, mille kohta on
seletuskirjas märgitud:
„Olulisema muudatusena tuleb välja tuua punkti 2
sõnastus, millega on laiendatud pangasaladuseks oleva
teabe saamise võimalusi seoses rahvusvahelise koostööga
kriminaalmenetlustes. Teised riigid esitavad Eesti
õiguskaitseasutustele konkreetsetes kriminaalasjades
taotlusi ka Euroopa Liidu Nõukogu 6. detsembri 2007.
aasta otsuse 2007/845/JSK, mis käsitleb kriminaaltulu
jälitamise talituste vahelist koostööd kuritegelikul teel
saadud tulu või kuritegevusega seotud muu vara
jälitamise ja tuvastamise valdkonnas, alusel läbi riiklike
kriminaaltulu üksuste. Tegemist ei ole rahvusvahelise
14
abistamistaotlusega KrMS 19. peatüki 3. jao mõistes.
Samuti ei ole tegemist mitte Eesti Vabariigis, vaid
välisriigis alustatud kriminaalmenetlusega. Kui taotlus on
välisriigis alustatud kriminaalmenetluse raames esitatud
eelnimetatud otsuse 2007/845/JSK alusel läbi riikliku
kriminaaltulu üksuse ilma õigusabitaotlust tegemata, ei
tohi kehtiva regulatsiooni kohaselt pangasaladust
edastada. Tulenevalt eelnimetatud raamotsusest toimub
koostöö kriminaaltulu jälitamise talituste vahel ning
kriminaaltulu jälitamise talituste ja teiste asutuste vahel,
mille ülesanne on kuritegelikul teel saadud tulu
kindlakstegemise ja uurimise hõlbustamine, nõukogu 18.
detsembri 2006. aasta raamotsuses 2006/960/JSK
(Euroopa Liidu liikmesriikide õiguskaitseasutuste
vahelise teabe ja jälitusteabe vahetamise lihtsustamise
kohta) sätestatud menetluste ja tähtaegade alusel, kaasa
arvatud seal toodud keeldumise põhjused. Seega tuleb
KrAS § 88 lõike 7 punkt 2 sõnastada selliselt, et oleks
mõistetav, et Politsei- ja Piirivalveameti
keskkriminaalpolitsei kriminaaltulu tuvastamise bürool
on võimalus saada pangasaladust puudutavat teavet
raamotsuse 2007/845/JSK alusel esitatud päringutele
vastamisel.“
Käesolevaks ajaks on raamotsus 2006/960/JSK kehtetu,
koostööd tehakse Euroopa parlamendi ja nõukogu
direktiiviga (EL) 2023/977, mis käsitleb liikmesriikide
õiguskaitseasutuste vahelist teabevahetust ja millega
tunnistatakse kehtetuks nõukogu raamotsus
2006/960/JSK, sätestatud tingimustel ja korras.
Rahvusvahelise konventsioonina võib välja tuua nt
Rahvusvahelise organiseeritud kuritegevuse vastu
võitlemise Ühinenud Rahvaste Organisatsiooni
konventsiooni, mille artikkel 12 „Konfiskeerimine ja
arestimine“ sõnastab: „1. Osalisriik võtab oma seaduse
15
alusel võimalikult suures ulatuses meetmeid, mis
võimaldavad konfiskeerida:
a) konventsioonis nimetatud kuriteo toimepanemisega
saadud vara või vara, millel on sama väärtus;
2. Osalisriik võtab meetmeid, et tagada lõikes 1 nimetatud
eseme kindlakstegemine, jälgimine ja arestimine selle
võimalikuks konfiskeerimiseks.
6. Käesoleva artikli ja artikli 13 kohaselt volitab osalisriik
oma kohtu või muu pädeva asutuse andma panga- või
muu finantsdokumendi või äridokumendi esitamise või
arestimise määruse. Osalisriik ei või käesoleva lõike
täitmisest keelduda, viidates pangasaladuse hoidmisele.“
Ettepanek VII: Kaaluda paragrahvi 88 lõike 5 punkt 2
muutmist ja sõnastamist järgmiselt:
„2) uurimisasutusele ja prokuratuurile alustatud
kriminaalmenetluses, sealhulgas välisriigist saabunud
abistamistaotluse või Euroopa uurimismääruse alusel või
välislepingus, rahvusvahelises konventsioonis või
Euroopa Liidu õigusaktis sätestatud kohustuse täitmiseks.
11 Väärteomenetlus, teadmata kadunud isiku asukoha
tuvastamine. Käesoleval ajal väärteomenetluses
krediidiasutusele päringu tegemine ei ole võimalik, v.a
kõnealuses paragrahvis toodud erisused. Teatud juhtudel
on aga väärtegude tõendamine pangasaladust
(pangatehingute andmeid) avaldamata võimatu või
ebamõistlikult koormav. Nt KarS §-s 213 (Arvutikelmus)
sätestatud teo toimepanemisel, kui kahju on alla 200 euro
(teise isiku pangakaardiga võetakse välja raha alla 200
euro), kvalifitseeritakse see § 218 alusel väärteona.
Sarnaselt VTMS § 312 lõikes 3 ette nähtud
regulatsiooniga võiks päringu krediidiasutusele teha
üksnes siis, kui see on vältimatult vajalik
väärteomenetluse eesmärgi saavutamiseks. Esitatud
sättega soovime rõhutada ultima ratio põhimõtte
Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse
pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt
maksepettustega seotud. Toome siinkohal välja, et
rahandusministeeriumil on välja töötamisel eelnõu, millega
muudetakse viidatud KAS §-i 88 tervikuna.
16
kasutamist – päringu saab teha üksnes siis, kui see on
vajalik ja põhjendatud.
KAS-i täiendamisega teadmata kadunud isikute asukoha
tuvastamisega seonduvalt luuakse PPA-le võimalus saada
põhjendatud taotluse alusel ning kohtu loal ja ulatuses
teavet pangatehingute kohta, mis on vajalik teadmata
kadunud isiku asukoha tuvastamiseks, et välja selgitada
oht isiku elule ja kehalisele puutumatusele (kõrgendatud
oht), ja vajadusel vastav oht tõrjuda. Muudatusega
antakse teadmata kadunute otsimisega tegelevatele
ametnikele lisavõimalus teadmata kadunu isiku asukoha
kiireks ja tulemuslikuks väljaselgitamiseks ning süüteo
tunnuste ilmnemise korral kriminaalmenetluse
alustamiseks. Seejuures tuleb rõhutada, et muudatus ei
muuda teadmata kadunud isiku pangatehingute andmete
küsimist igas kaasuses nö vaikimisi toiminguks, sest
toimingu tegemise vajadus ja proportsionaalsus on
allutatud kohtu kontrollile, kes tagab sõltumatuse
vältimatu vajalikkuse ehk ultima ratio põhimõtte
järgimisel.
Aastas laekub PPA-le üle 4000 teate teadmata kadunud
isiku kohta, kuid enamikel juhtudel leitakse kadunu
muude meetmetega üles mõne päeva jooksul. Kadunu
pangatehingute andmeid võib olla vajalik küsida aastas
kuni paarikümnes juhtumis, kui muud toimingud
teadmata kadunud isiku asukoha väljaselgitamiseks on
ammendunud.
Ettepanek VIII: Kaaluda paragrahvi 88 lõike 5
täiendamist punktidega 41 ja 42 järgmises sõnastuses:
„41) Politsei- ja Piirivalveametile alustatud
väärteomenetluses põhistatud määruse alusel, kui see on
vältimatult vajalik väärteomenetluse eesmärgi
saavutamiseks;“;
17
„42) Politsei- ja Piirivalveametile põhjendatud taotluse
alusel ning kohtu loal teadmata kadunud isiku asukoha
tuvastamiseks;“.
Vajadusel võib punkti 41 täiendada, nähes ette kohtu loa
kohustuslikkuse. Hetkel kehtiva seaduse kohaselt (§ 88
lõike 5 punkt 4) võib pangasaladust avaldada MTA-le
MKS alusel läbiviidavates väärteomenetlustes põhistatud
määruse alusel.
12 KAS § 88 lõiked 61 ja 62 sõnastus. Kehtivad KAS § 88
lõiked 61 ja 62 sätestavad:
„(61) Krediidiasutus avaldab käesoleva paragrahvi lõike 5
punktides 1–4 nimetatud järelepärimise vastusena
pangasaladuse, kui järelepärimises märgitud kliendi kohta
on esitatud vähemalt:
1) andmed kliendi maksekonto, maksekaardi või muu
maksevahendi või makseinstrumendi tunnuse või lepingu
kohta või
2) muud andmed, mis võimaldavad identifitseerida
kliendi isiku.
(62) Krediidiasutus avaldab käesoleva paragrahvi lõike 5
punktides 1–4 nimetatud järelepärimise vastusena
pangasaladuse:
1) järelepärimises märgitud kliendi maksekonto suhtes
esindusõigust omava isiku kohta;
2) kliendi kohta, kelle maksekonto suhtes järelepärimises
märgitud isik esindusõigust omab;
3) käesoleva lõike punktides 1 ja 2 nimetatud kliendi
tegeliku kasusaaja kohta.“
Muudatus on seotud eelmises kommentaaris esitatud
muudatusettepanekutega. KAS § 88 lõigetes 61 ja 62
toodud põhimõtted peaksid kehtima ka juhul, kui PPA
esitab krediidiasutusele järelepärimise alustatud
väärteomenetluses või teadmata kadunud isiku asukoha
tuvastamiseks.
Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse
pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt
maksepettustega seotud. Toome siinkohal välja, et
rahandusministeeriumil on välja töötamisel eelnõu, millega
muudetakse viidatud KAS §-i 88 tervikuna.
18
Ettepanek IX: Kaaluda paragrahvi 88 lõigetes 61 ja 62
tekstiosa „lõike 5 punktides 1-4“ asendamist tekstiosaga
„lõike 5 punktides 1–42“;
13 KAS § 88 lõike 9 sõnastus. KAS sõnastus
„Krediidiasutusel on õigus avaldada pangasaladust
uurijale, prokurörile ja kohtule seoses oma rikutud või
vaidlustatud õiguse või vabaduse kaitsmisega seadusega
kindlaksmääratud korras.“ on eksitav. Nimelt on KrMS §
16 lõike 1 kohaselt menetlejad kohus, prokuratuur ja
uurimisasutus. KrMS § 30 lõike 2 kohaselt teostab
prokuratuuri volitusi kriminaalmenetluses prokuratuuri
nimel prokurör. Tulenevalt § 31 lõikest 5 kehtestab
uurimisasutuse juht nende ametikohtade loetelu, mille
täitjatel on õigus osaleda uurimisasutuse pädevuse piires.
Kõikide loetelus toodud ametikohtadel töötavate
ametnike ametinimetus ei pea olema uurija. Kui KrMS-s
soovitakse rõhutada konkreetset ametnikku, siis
kasutatakse mõistet „uurimisasutuse ametnik“. Nt
sätestab KrMS § 59 lõige 1: „Uurimisasutuse ametnik,
kelle menetluses on kriminaalasi, on kohustatud
taanduma käesoleva seadustiku § 49 lõigetes 1 ja 6
sätestatud alusel.“
Ettepanek X: Kaaluda paragrahvi 88 lõikes 9 tekstiosa
„uurijale, prokurörile“ asendamist tekstiosaga
„uurimisasutusele, prokuratuurile“.
Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse
pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt
maksepettustega seotud. Toome siinkohal välja, et
rahandusministeeriumil on välja töötamisel eelnõu, millega
muudetakse viidatud KAS §-i 88 tervikuna.
Eesti Pank
14 Teeme ettepaneku parema õigusselguse saavutamiseks
täpsustada võlaõigusseaduses (edaspidi ka VÕS) poolte
õigusi ja kohustusi maksejuhise täitmisest keeldumisel.
Mõistame, et muudatuse eesmärgiks on anda
makseteenuse pakkujale kahtluse korral võimalus
veenduda, et maksejuhis on korrektselt kinnitatud ja
Arvestatud/
selgitatud
Eelnõu ja seletuskirja on vastavalt täiendatud.
19
täpsustada täiendava kontrollimise tõttu maksejuhise
hilisema täitmisega kaasuvaid tagajärgi. See tähendab, et
makseteenuse pakkuja makse täitmisest keeldumise
korral tuleb pärast täiendavat kontrolli maksetehing täita
või jätta see täitmata. Neid erinevaid tagajärgi tuleks meie
hinnangul ka seaduses selgemalt reguleerida, sealhulgas
täpsustada poolte vastutust ja maksejuhise kättesaamise
tingimusi. Nii kaua, kui maksejuhisest on õigustatult
keeldutud, siis loetakse, et teenuse pakkuja ei ole
maksejuhist kätte saanud ja teenuse pakkujal puudub
täitmise kohustus. Seetõttu peame oluliseks ka
reguleerida seda, millal tuleb maksejuhist asuda täitma ja
võimalusel täpsustada ka sellise maksejuhise
kättesaamise aega (näiteks kohe, kui täitmisest
keeldumise põhjused on ära langenud, misjärel hakkab
lugema välkmakse 10 sekundit). Täpsustada võiks ka
tingimusi, millise aja jooksul tuleb makseteenuse
pakkujal otsustada vajadus teostada täiendav kontroll ja
milline on maksimaalne täiendava kontrolli aeg, et
otsustada maksejuhise täitmise üle. Samuti tuleks
täpsustada, et kui pärast maksejuhise täiendavat
kontrollimist maksejuhist ei täideta, siis loetakse, et
teenusepakkuja on õigustatult keeldunud maksejuhise
täitmisest ja sellisel juhul ei ole maksjal õigust nõuda
maksejuhise täitmist (so. makset käsitatakse kättesaamata
maksejuhisena vastavalt VÕS § 7243 lõikele 5).
Käesoleva eelnõu puhul on meie hinnangul oluline ka
põhjalikumalt selgitada kliendi (rahaliste vahendite)
kaitsmise ning maksejuhiste täitmisest keeldumise
eesmärki ja tagajärgi eelnõu juurde koostatud
seletuskirjas. Samuti selgitada, millised on poolte õigused
ja kohustused olukorras, kui maksja vaidleb/ei vaidle
täiendavaks kontrolliks peatatud maksejuhise täitmisele
vastu.
15 Teeme ettepaneku täpsustada ka maksekontode
blokeerimise tingimusi võimaliku andmete
väärkasutamise või maksepettusega seotud asjaolude
Selgitatud VÕS-is on §-s 73311 lõikes 3 ette nähtud makseinstrumendi
blokeerimise õigus. Vastavalt sellele, kui makseteenuse lepingus on
nii kokku lepitud, on makseteenuse pakkujal õigus blokeerida
20
väljaselgitamiseks ja ennetamiseks ning ette näha õigus
sellekohast teavet jagada ka teiste makseteenuse
pakkujatega. Eelkõige võimaldaks see makseteenuse
pakkujal ära hoida rahaliste vahendite kättesaadavaks
tegemist makse saajast petturile näiteks
veebikaubanduses või investeerimiskelmuste korral.
makseinstrument objektiivselt põhjendatud kaalutlustel, mis
seonduvad makseinstrumendi turvalisusega, või kui on kahtlus
maksja nõusolekuta või pettuse teel makseinstrumendi kasutamise
kohta või kui krediidiliiniga seotud makseinstrumendi kasutamisel
suureneb oluliselt oht, et maksjal ei ole piisavalt vahendeid
maksekohustuse täitmiseks.
Makseteenuse lepingus saab makseteenuse pakkuja täpsustada
makseinstrumendi blokeerimise tingimusi.
Leiame, et eelnõus sisalduv makseteenuse pakkujate õigus jagada
objektiivselt põhjendatud pettuse kahtluse korral andmeid teiste
makseteenuse pakkujatega katab ära ettepanekus toodud andmete
jagamise eesmärgi.
16 Teeme ettepaneku, et teave, mida makseteenuse pakkujad
on kohustatud klientidele makseteenuse lepingu kohta
andma, võiks sisaldada muu hulgas maksepettusega
seotud tagasinõudeid käsitlevaid tingimusi ja korda.
Arvestatud Eelnõu on vastavalt täiendatud.
17 Parema õiguskindluse huvides teeme ettepaneku
täpsustada võlaõigusseaduses ka makseteenuse pakkuja
poolt turvalisuse nõuete rakendamisega seotud kohustusi
(VÕS § 7246 ). Soovitame ette näha selgem õigus teenuse
pakkujale takistada maksekontole juurdepääs ja mis tahes
elektrooniliste toimingute tegemine, kui juurdepääs on
saadud või seda taotletakse autoriseerimata või pettuse
teel või kui toiminguga kaasneb andmete väärkasutamise
või makseteenusega seotud pettuse oht. Sealhulgas ette
näha selgem kohustus teenusepakkujale takistada
maksekontole juurdepääs interneti teel ja mis tahes
toimingute tegemine, kui teenusepakkujal on põhjendatud
kahtlus, et kliendi tugevaks autentimiseks mõeldud
turvaelementide kasutamine ei vasta makseteenuse
lepingus määratud tugeva autentimise tingimustele, muu
hulgas juhul, kui teenusepakkujal on põhjendatud kahtlus,
et neid võidakse kasutada kliendi teadmata (näiteks, kui
autentimiseks kasutatud seadmete asukoht on erinev, mis
annab alust arvata, et kliendi tugevaks autentimiseks
Selgitatud VÕS-is on §-s 73311 lõikes 3 ette nähtud makseinstrumendi
blokeerimise õigus. Vastavalt sellele, kui makseteenuse lepingus on
nii kokku lepitud, on makseteenuse pakkujal õigus blokeerida
makseinstrument objektiivselt põhjendatud kaalutlustel, mis
seonduvad makseinstrumendi turvalisusega, või kui on kahtlus
maksja nõusolekuta või pettuse teel makseinstrumendi kasutamise
kohta või kui krediidiliiniga seotud makseinstrumendi kasutamisel
suureneb oluliselt oht, et maksjal ei ole piisavalt vahendeid
maksekohustuse täitmiseks.
Makseinstrumendi blokeerimisel on takistatud muuhulgas ka
amksekonto kasutamine ning elektrooniliste toimingute tegemine.
Täpsemad nõuded turvalise teabevahetuse ja turvameetmete kohta
on kehtestatud Euroopa Parlamendi ja nõukogu direktiivi
2015/2366/EL artiklis 98 nimetatud Euroopa Komisjoni
rakendusmääruses.
21
ettenähtud tehniline rakendus ei ole kliendi kontrolli all).
Samuti tuleks ette näha makseteenuse pakkuja kohustus
teavitada eelnimetatud asjaolust ka vastavat tugeva
autentimise lahenduse pakkujat (usaldusteenuse
pakkujat).
18 Eelnõuga nähakse krediidiasutusele õigus pettuse
avastamiseks, ennetamiseks ja välja selgitamiseks
avaldada andmeid ja teavet muu hulgas teisele
krediidiasutusele. Palume kaaluda, kas krediidiasutuste
õigus avaldada andmeid ja teavet oma kliendi kohta võiks
laieneda makseteenuse pakkujatele, kuivõrd
makseteenuseid osutavad ka mitte krediidiasutused
(makseasutused ja e-raha asutused). Vastasel juhul jääb
osa teenusepakkujaid pettuste ennetustegevusest
väljapoole just puuduva info tõttu.
Arvestatud Eelnõu on vastavalt täiendatud ja lisatud maksetasutustele ja e-raha
asutustele andmete avaldamise õigus.
19 Eelnõu kohaselt on krediidiasutusel õigus avaldada teavet
teisele krediidiasutusele juhul, kui krediidiasutusel on
objektiivselt põhjendatud alus kahtlustada, et klient või
maksetehing võib olla seotud pettusega. Palume selgitada,
millist rolli mängib krediidiasutuse pettuse kahtlus teabe
avaldamisel ja hinnata, kas teabe avaldamiseks piisaks,
kui seda tehakse maksetehingutega seotud pettuste
avastamise, väljaselgitamise ja ennetamise eesmärgil (so
loobuda pettuse kahtluse tingimusest).
Selgitatud Leiame, et andmete avaldamise eeldusena objektiivselt põhjendatud
pettusekahtluse tingimusest ei ole põhjendatud loobuda. Nimetatu
eesmärk on andmete avaldamise piiramine, mis seob
andmevahetuse konkreetse juhtumiga. See tagab, et andmeid ei
avaldata üldiselt või ennetavalt kõigi maksetehingute kohta. Selline
juhtumipõhine lävend tagab andmete avaldamise vajalikkust ja
proportsionaalsust, et oleks kooskõla andmete töötlemise
minimaalsuse põhimõttega. Ilma selle tingimuseta muutuks
andmete avaldamise alus liiga avaraks.
Finantsinspektsioon
20 Eelnõu § 1 punktiga 1 täiendatakse võlaõigusseaduse
(edaspidi VÕS) §-i 7243 lõikega 41 järgmiselt: „(41 )
Makseteenuse pakkuja võib keelduda autoriseeritud
maksejuhise täitmisest, kui pärast komisjoni delegeeritud
määruses (EL) 2018/389, millega täiendatakse Euroopa
Parlamendi ja nõukogu direktiivi (EL) 2015/2366
regulatiivsete tehniliste standarditega, mis käsitlevad
kliendi tugevat autentimist ning ühiseid ja turvalisi
teabevahetuse avatud standardeid (ELT L 69/23,
13.03.2018, lk 23–43), ette nähtud turvameetmete
täiendavat rakendamist on makseteenuse pakkujal
põhjendatud kahtlus, et maksetehingu täitmiseks antud
Arvestatud Eelnõusse on lisatud uued lõiked, mis selgitavad täiendavate
turvameetme rakendamise sisu ja eesmärki.
22
nõusolek on saadud andmete väärkasutamise, pettuse või
maksjaga manipuleerimise teel.“ Eelnõus kasutatakse uut
mõistet „täiendavate turvameetmete rakendamine“, kuid
selle sisu ei ole eelnõu tekstis ega seletuskirjas avatud.
Finantsinspektsiooni hinnangul on õigusselguse huvides
vajalik nimetatud mõistet täpsemalt selgitada. Nimelt
seab Eelnõu § 1 punkt 1 kaks eeldust autoriseeritud
maksejuhise täitmisest keeldumiseks: 1) täiendavate
turvameetmete rakendamine; 2) põhjendatud kahtlus
väärkasutamises, pettuses või maksjaga
manipuleerimises. Eelnõu kohaselt on makseteenuse
pakkujal õigus keelduda maksejuhise täitmisest üksnes
pärast täiendavate turvameetmete rakendamist.
Makseteenuse pakkujad on maksetehingute töötlemisel
kohustatud rakendama erinevaid turvameetmeid.
Praktikas rakendatakse neid meetmeid suurel määral
automatiseeritud süsteemide kaudu. Eelnõus kasutatud
mõiste „täiendavate turvameetmete rakendamine“ võib
tekitada tõlgenduslikku ebaselgust selles osas, milliseid
turvameetmeid tuleb pidada täiendavateks võrreldes
makseteenuse pakkujate tavapäraste
kontrollimehhanismidega. Eelkõige võib tekkida
küsimus, millised rakendatavad turvameetmed
(sealhulgas automaatsed pettusetuvastuse süsteemid)
kvalifitseeruvad eelnõu tähenduses täiendavate
turvameetmeteks. Eeltoodut arvestades teeb
Finantsinspektsioon ettepaneku täpsustada eelnõu
seletuskirjas täiendavate turvameetmete rakendamise
mõiste sisu. Finantsinspektsiooni hinnangul tuleks
seletuskirjas vähemalt tuua välja näiteid (nt kliendile
helistamine), milliseid meetmeid silmas peetakse ning
mis vahe on täiendavatel turvameetmetel ja tavapärastel
turvameetmetel.
21 Eelnõu § 1 punktiga 1 täiendatakse VÕS §-i 7243 lõikega
43 järgmiselt: „(43) Välkkreeditkorralduse puhul tuleb
maksejuhise täitmisest keelduda kooskõlas Euroopa
Parlamendi ja nõukogu määrusega (EL) nr 260/2012.“
Arvestad Eelnõu vastavalt muudetud.
23
Euroopa Parlamendi ja nõukogu määrusega (EL) nr
260/2012 kehtestatakse eurodes tehtavatele kreedit- ja
otsekorraldustele tehnilised ja ärilised nõuded ning
muudetakse määrust (EÜ) nr 924/2009. Nõuded
välkkreeditkorraldustele kehtestab Euroopa Parlamendi ja
nõukogu määrus (EL) 2024/886, millega muudetakse
määrusi (EL) nr 260/2012 ja (EL) 2021/1230 ning
direktiive 98/26/EÜ ja (EL) 2015/2366 eurodes
välkkreeditkorralduste osas. Eelnõus on viidatud Euroopa
Parlamendi ja nõukogu määrusele (EL) nr 260/2012, kuid
nõuded välkkreeditkorraldusele kehtestab Euroopa
Parlamendi ja nõukogu määrus (EL) 2024/886. a.
Finantsinspektsiooni teeb ettepaneku muuta Eelnõud
järgmiselt: „(43) Välkkreeditkorralduse puhul tuleb
maksejuhise täitmisest keeldumisel järgida Euroopa
Parlamendi ja nõukogu määruses (EL) 2024/886
sätestatud nõudeid.“
22 Eelnõu § 1 punktid 1 ja 3
Eelnõu § 1 punktiga 1 täiendatakse VÕS §-i 7243 lõikega
41 järgmiselt: „(41) Makseteenuse pakkuja võib keelduda
autoriseeritud maksejuhise täitmisest, kui pärast
komisjoni delegeeritud määruses (EL) 2018/389, millega
täiendatakse Euroopa Parlamendi ja nõukogu direktiivi
(EL) 2015/2366 regulatiivsete tehniliste standarditega,
mis käsitlevad kliendi tugevat autentimist ning ühiseid ja
turvalisi teabevahetuse avatud standardeid (ELT L 69/23,
13.03.2018, lk 23–43), ette nähtud turvameetmete
täiendavat rakendamist on makseteenuse pakkujal
põhjendatud kahtlus, et maksetehingu täitmiseks antud
nõusolek on saadud andmete väärkasutamise, pettuse või
maksjaga manipuleerimise teel.“ Eelnõu § 1 punktiga 3
täiendatakse VÕS §-i 7339 lõikega 3 järgmiselt: „(3)
Makseteenuse pakkuja ei vastuta kahju eest, kui käesoleva
seaduse § 7243 lõike 4¹ alusel ette nähtud turvameetmete
täiendava rakendamise tulemusel täidetakse makse
hilinemisega, tingimusel et nimetatud turvameetmeid
rakendatakse ebamõistliku viivituseta ning rakendamise
Arvestatud Eelnõus on mõisted ühtlustatud.
24
aluseks on objektiivselt põhjendatud kahtlus, et
maksetehingu täitmiseks antud nõusolek on saadud
andmete väärkasutamise, pettuse või maksjaga
manipuleerimise teel“ Eelnõus kasutatakse mõisteid
„põhjendatud kahtlus“ ja „objektiivne põhjendatud
kahtlus“. Finantsinspektsioon teeb õigusselguse huvides
ettepaneku ühtlustada eelnimetatud mõisted. Kui eelnõu
eesmärk on seada mõlemas sättes eelduseks objektiivselt
põhjendatud kahtlus, tuleks seda mõistet kasutada
mõlemas sättes ühtmoodi. Juhul kui eelnõu eesmärk on
nimetatud mõisteid eristada, oleks vajalik seletuskirjas
selgitada nende mõistete sisu, omavahelisi erinevusi ning
seoseid. Eelkõige tuleks avada, millistel juhtudel tuleb
lähtuda põhjendatud kahtlusest ning millistel juhtudel
objektiivselt põhjendatud kahtlusest, ning kas ja mil
määral erinevad nende eeldused normi kohaldamisel.
23 Eelnõu § 1 punktiga 3 täiendatakse VÕS § 7339 lõikega
3 järgmiselt: „(3) Makseteenuse pakkuja ei vastuta kahju
eest, kui käesoleva seaduse § 7243 lõike 4¹ alusel ette
nähtud turvameetmete täiendava rakendamise tulemusel
täidetakse makse hilinemisega, tingimusel et nimetatud
turvameetmeid rakendatakse ebamõistliku viivituseta
ning rakendamise aluseks on objektiivselt põhjendatud
kahtlus, et maksetehingu täitmiseks antud nõusolek on
saadud andmete väärkasutamise, pettuse või maksjaga
manipuleerimise teel.“ Finantsinspektsioon teeb
ettepaneku muuta Eelnõu § 1 punkti 3 ning kasutada
õigusselguse huvides väljendi „nimetatud turvameetmeid
rakendatakse“ asemel väljendit „turvameetmete täiendav
rakendamine teostatakse“, järgmiselt: „(3) Makseteenuse
pakkuja ei vastuta kahju eest, kui käesoleva seaduse §
7243 lõike 4¹ alusel ette nähtud turvameetmete täiendava
rakendamise tulemusel täidetakse makse hilinemisega,
tingimusel et turvameetmete täiendav rakendamine
teostatakse ebamõistliku viivituseta ning rakendamise
aluseks on objektiivselt põhjendatud kahtlus, et
maksetehingu täitmiseks antud nõusolek on saadud
Arvestatud Eelnõu on vastavalt muudetud.
25
andmete väärkasutamise, pettuse või maksjaga
manipuleerimise teel.“
24 Eelnõu §-ga 2 täiendatakse krediidiasutuste seaduse
(edaspidi KAS) §-ga 894 järgmiselt: „(1) Krediidiasutusel
on õigus avaldada andmeid ja teavet teisele
krediidiasutusele ning Politsei- ja Piirivalveametile
maksetehingutega seotud pettuste avastamiseks,
väljaselgitamiseks ja ennetamiseks juhul, kui
krediidiasutusel on objektiivselt põhjendatud alus
kahtlustada, et klient või maksetehing võib olla seotud
pettusega.“ Eelnõu seletuskirja leheküljel 6 on selgitatud
järgmist: „KAS uue §-i 894 lõike 1 kohaselt antakse
krediidiasutusele õigus avaldada erinevat teavet, mh
pangasaladust teisele krediidiasutusele ning Politsei- ja
Piirivalveametile.“ KAS § 88 lõige 3 punkt 1 sätestab
krediidiasutuse õiguse avaldada pangasaladust
kolmandale isikule, kui „krediidiasutuse õigus või
kohustus avaldada pangasaladust tuleneb käesolevas
paragrahvis sätestatust või;“. Finantsinspektsiooni
hinnangul sätestab KAS § 88 lõige 3 kinnise ja
ammendava loetelu, mille kohaselt on krediidiasutusel
õigus avaldada pangasaladust kolmandale isikule üksnes
juhul, kui selline õigus või kohustus tuleneb KAS § 88
muudest sätetest. KAS § 88 lõiget 3 punkti 1 tõlgendades
võib asuda seisukohale, et pangasaladust ei ole võimalik
avaldada muudel alustel kui KAS §-s 88 sätestatud
võimalustel. Sõnastus “tuleneb käesolevas paragrahvis
sätestatust“ välistab teiste erandite alused, mis ei ole KAS
§-is 88 ette nähtud. Seega on seadusandja kehtivas
õiguses sidunud pangasaladuse avaldamise alused
tervikuna sama paragrahvi regulatsiooniga ning
välistanud võimaluse tugineda pangasaladuse avaldamisel
teistele KAS-i sätetele, mis paiknevad väljaspool § 88.
Eelnõuga kavandatav KAS § 894 paikneb väljaspool KAS
§-i 88. KAS § 894 võib olla vastuolus kehtiva seadusega,
mille kohaselt on pangasaladuse avaldamise alused
koondatud KAS §-i 88 ning loetelu on käsitatav
Arvestatud KAS § 88 lõike 3 punkti 1 lisatud viide uuele §-le 894.
26
kinnisena. Eeltoodust tulenevalt tuleb
Finantsinspektsiooni hinnangul täiendavat hinnata KAS §
894 kooskõla KAS § 88 lõikega 3 ning vältida olukorda,
kus pangasaladuse avaldamise alused oleksid seaduses
killustatult reguleeritud või tekitaksid normide vahel
tõlgenduslikku vastuolu. Arvestades, et Eelnõu kohaselt
tekib õigus autoriseeritud maksejuhise täitmisest
keelduda kõigile makseteenuse pakkujatele, siis oleks
Finantsinspektsiooni hinnangul kohane kaaluda ka
teistele makseteenuse pakkujatele, kes ei ole
krediidiasutused, õiguse andmist avaldada andmeid ja
teavet maksetehingutega seotud pettuste avastamiseks,
väljaselgitamiseks ja ennetamiseks teistele makseteenuse
pakkujatele, Politsei- ja Piirivalveametile ning Riigi
Infosüsteemi Ametile. Juhul, kui sellist õigust ei soovita
kõigile makseteenuse pakkujatele anda, siis oleks kohane
vastavat välistust Eelnõu seletuskirjas hinnata ja
selgitada.
25 Eelnõu seletuskirja lk 1 kohaselt: „Esiteks, eelnõuga
muudetakse võlaõigusseaduse (edaspidi VÕS)
regulatsiooni, mis puudutab maksejuhise täitmisest
keeldumist ehk olukorda, kus isik soovib teha
maksetehingut, kuid makseteenuse pakkuja (pank või
makseasutus) saab keelduda maksetehingu täitmisest.“
Finantsinspektsioon juhib tähelepanu, et makseteenuse
pakkujad määratleb MERAS § 3 lõige 6. Eesti turul
tegutsevad makseteenuse pakkujatena nii
krediidiasutused (sh välisriigi krediidiasutuste Eesti
filiaalid), makseasutused kui ka e-raha asutused.
Eeltoodust tulenevalt ei ole Eelnõu seletuskirjas esitatud
makseteenuse pakkujate loetelu täielik.
Finantsinspektsiooni hinnangul tuleb viia seletuskirja
sõnastus vastavusse MERAS-es sätestatud
definitsiooniga ning kasutada läbivalt mõistet
„makseteenuse pakkuja“.
Arvestatud. Makseasutuste ja e-raha asutuste seaduse § 633 täiendatud uue
lõikega, mille kohaselt andmete avaldamisele pettuste
maksepettuste avastamiseks, väljaselgitamiseks ja ennetamiseks
kohaldatakse krediidiasutuste seaduse § 894.
26 Eelnõu seletuskiri lk 1, 10 ja 13 Eelnõu seletuskirja lk 1 kohaselt: „Samuti loob eelnõu
Arvestatud Seletuskirja on vastavalt muudetud.
27
selgema õigusraamistiku ja tugevdab pankade õigust
põhjendatud pettuse kahtluse korral makseid ajutiselt
peatada või makse täitmisest keelduda.“ Eelnõu
seletuskirja lk 10 kohaselt: „7.1 Nähakse
krediidiasutustele ette õigus keelduda maksejuhiste
täitmisest. Sihtrühm nr 1: mõju makseteenuse pakkujatele
Muudatus võib mõju avaldada enamikele Eestis
tegutsevatele (suurematele) krediidiasutustele. Eestis on
hetkeseisuga registreeritud 8 krediidiasutust (kes on
saanud Finantsinspektsioonilt tegevusloa) ning 6
välisriigi krediidiasutuse filiaali. Eestis pakuvad
teadaolevalt põhimakseteenuseid 7 krediidiasutust: AS
LHV Pank, AS SEB Pank, AS TBB pank, Coop Pank AS,
Luminor Bank AS ja Swedbank AS. Lisaks pakub
põhimakseteenuseid üks Eestis tegutsev välisriigi
krediidiasutuse filiaal, milleks on AS Citadele banka Eesti
filiaal. Seega hetkel ei paku põhimakseteenuseid AS
Inbank, Bigbank AS, Holm Bank AS”. Eelnõu seletuskirja
lk 13 kohaselt: „Jõustumistähtaeg on ette nähtud
arvestusega, et krediidiasutustel oleks võimalik
valmistada ette ning teha vajadusel tehnilised
muudatused, mis on vajalikudud maksejuhise täitmisest
keeldumise rakendamiseks /.../“. Finantsinspektsioon
juhib tähelepanu, et Eelnõuga kavandatavad
võlaõigusseaduse muudatused kohalduvad kõigile
makseteenuse pakkujatele, mitte üksnes
krediidiasutustele ehk pankadele. Sellest tulenevalt peaks
ka Eelnõu seletuskiri (sh punkti 7.1 pealkiri) kajastama
muudatuste tegelikku adressaati ning viitama
makseteenuse pakkujatele. Sihtrühma kirjeldamise osas
on oluline ära märkida järgnev. Esiteks ei osuta kõik
krediidiasutused makseteenuseid, mistõttu ei ole kohane
piirduda tegevusluba omavate krediidiasutuste
loetlemisega, kuivõrd kõigile neile muudatus ei kohaldu.
Teiseks ei ole põhimakseteenuste osutajate seletuskirjas
käsitlemine käesoleva Eelnõu esemega otseselt seotud
ning selle väljatoomine mõjuanalüüsi osas võib jätta
28
eksitava mulje regulatsiooni kitsamast kohaldamisalast, st
muudatus ei kohaldu üksnes põhimakseteenuste
osutajatele. Finantsinspektsioon märgib informatiivses
korras, et Eelnõu seletuskirjas esitatud loetelu
põhimakseteenuste osutajatest ei ole ajakohane. Näiteks
on loetelus viidatud krediidiasutusele, mis enam ei tegutse
(AS TBB pank). Siinkohal kordame aga eeltoodut, et
sihtrühma kirjelduses ei ole asjakohane
põhimakseteenuste osutajaid eraldi välja tuua.
Kolmandaks on sihtrühma analüüsist hetkel välja jäänud
nii makseteenuse pakkujad, kes ei ole krediidiasutused kui
ka krediidiasutused, kes ei osuta tarbijatele
põhimakseteenuseid, vaid osutavad makseteenuseid
mitte-tarbijatele. Eeltoodust tulenevalt tuleb
Finantsinspektsiooni hinnangul Eelnõu seletuskirjas
kirjeldada sihtrühmana kõiki makseteenuse pakkujaid,
kelle tegevust kavandatav muudatus mõjutab või
tulevikus mõjutada võib.
27 Eelnõu seletuskirja lk 3 kohaselt: „Euroopa Liidu
tasemel on sisuliselt kokku lepitud uus makseteenuse
määrus, mis hakkab asendama praegu kehtivat
makseteenuste direktiivi 2015/23667. Määrusega
tugevdatakse mh makseteenuste turvalisust ning nähakse
ette ulatuslikumad pettusevastased meetmed, mis aitavad
krediidiasutustel kui ka vastavatel ametiasutustel
tõhusamalt sekkuda pettuste ennetamisse ja tõkestamisse.
Määrus paneb krediidiasutustele kohustuse autoriseeritud
maksete täitmisest keelduda juhul, kui on alus kahtlustada
pettust. Samuti näeb määrus ette andmete vahetamise
krediidiasutuste vahel ning samuti muude asutustega.
Makseteenuste määruse osas jõuti poliitilise
kokkuleppeni 2025. aasta novembris. Määrust hakatakse
eeldatavalt kohaldama 2028. aasta keskpaigas. Käesolev
eelnõu lähtub samast eesmärgist ning loob riigisiseses
õiguses vajalikud õiguslikud alused, mis aitavad pettusi
tõhusamalt ennetada ja tõkestada. Eesmärk on
võimaldada selliste meetmete rakendamist teatud ulatuses
Arvestatud Seletuskirja on täiendatud selgitustega makseteenuste määruse
valikute kohta ning seost kõnealuse eelnõuga.
29
juba enne, kui hakkab kehtima uus makseteenuste määrus.
Arvestades pettuste jätkuvat kasvu ning nende suur kahju
nii isikutele kui ettevõtjatele, on põhjendatud rakendada
sarnase sisuga meetmeid võimalikult varakult. Kui uus
makseteenuse määrus hakkab kehtima, tuleb lähtuvalt
sellest analüüsida ja tõenäoliselt kehtetuks tunnistada
need siseriiklikud sätted, mis tulenevad otse eelnimetatud
EL määrusest.“ Finantsinspektsioon märgib, et Eelnõu
seletuskirja praegune sõnastus jätab mulje, et Eelnõu
puhul on tegemist makseteenuste määruse sätete
ennetähtaegse ülevõtmisega. Arvestades, et määruse
lõplik tekst ei ole veel vastu võetud, on mõistetav, et
Eelnõu seletuskirjas ei ole võimalik viidata konkreetsetele
lõplikele sätetele, kus Eelnõu seletuskirjas mainitud
kohustusi või õigusi sätestatakse. Samas võiks Eelnõu
seletuskiri selgemalt eristada, millises ulatuses tuginevad
kavandatavad normid konkreetselt makseteenuste
määruse ettepanekule või selle kujunemise käigus
saavutatud poliitilistele kokkulepetele ning millises osas
on tegemist Eesti-sisese regulatiivse valikuga, mis on
kujundatud sarnase eesmärgi saavutamiseks.
28 Eelnõu seletuskirja lk 5 kohaselt: „VÕS § 7243 uus lõige
43 – selle kohaselt tuleb välkkreeditkorralduse puhul
maksejuhise täitmisest keelduda kooskõlas välkmaksete
määrusega. Välkmaksete määruse kohaselt teeb makse
saaja makseteenuse pakkuja kümne sekundi jooksul alates
maksja makseteenuse pakkujalt välkkreeditkorralduse
maksekäsundi vastuvõtmise ajast maksetehingu summa
makse saaja maksekontol kättesaadavaks vääringus,
milles makse saaja konto on nomineeritud, ning kinnitab
maksja makseteenuse pakkujale maksetehingu
lõpuleviimist. See tähendab, et makseteenuse pakkuja
peab maksetehingu riskianalüüsi ära tegema kümne
sekundi jooksul ning otsustama, kas on vajalik
turvameetmete täiendav rakendamine. Juhul, kui
maksetehingu riskianalüüsi põhjal selgub, et vajalik on
turvameetmete täiendav, siis täidetakse maksejuhis pärast
Arvestatud Eelnõu seletuskirjas on täpsemalt selgitatud, millisel makseteenuse
pakkujal ja millal tekib õigus maksejuhise vastuvõtmise
edasilükkamiseks.
30
täiendavat kontrolli ning sellisel juhul ei rakendu
välkmaksete määruse kümne sekundi nõue.
Turvameetmete täiendav rakendamine peab toimuma aga
ilma ebamõistliku viivituseta.“ Finantsinspektsioon juhib
tähelepanu, et esiteks tuleb selgelt eristada seda, millisel
makseteenuse pakkujal saab üldse tekkida küsimus
maksejuhise täitmisest keeldumisest. Maksja
makseteenuse pakkuja on see, kes võtab maksejuhise
vastu, kontrollib selle täitmise eeldusi ning otsustab
maksejuhise täitmise üle. Seetõttu saab makse täitmisest
keeldumise küsimus tekkida üksnes maksja makseteenuse
pakkujal. Makse saaja makseteenuse pakkuja roll algab
hetkest, mil kreeditkorraldus on talle edastatud. Teiseks
tuleb eristada seda, millised ajalised raamid seab
välkmaksete määrus maksja makseteenuse pakkujale ning
millised saaja makseteenuse pakkujale. Välkmaksete
määruse artikli 5a(4) punkti c) kohaselt on saaja
makseteenuse pakkuja kohustus kümne sekundi jooksul
teha maksesumma kättesaadavaks makse saaja kontol ja
kinnitada tehingu lõpuleviimine. Maksja makseteenuse
pakkujal on välkmaksete määruse artikli 5a(4) punkti b)
kohaselt kohustus saata maksetehing viivitamata makse
saaja makseteenuse pakkujale. Käesoleva Eelnõu
seletuskirja versiooni tekst jätab ebaselgeks, millistele
makseteenuse pakkujatele millised käitumisootused ning
õigused või kohustused seatakse. Eeltoodust tulenevalt
tuleb Finantsinspektsiooni hinnangul täpsemalt
analüüsida, mis on loodava VÕS § 7243 lõike 43 eesmärk
ning kuidas see suhestub lõikega 41 ja vastavalt sellele
muuta Eelnõu seletuskirja ja/või Eelnõud.
29 Seletuskirja lk 10-11 kohaselt: „Mõju ulatust on
keeruline täpselt hinnata, kuid pigem on see väike, kuna
kõnealune õigus puudutab väikest osa kõikidest
maksetehingutest, valdav enamus makseid on
autoriseeritud ning korrektselt autenditud. Maksejuhise
täitmisest keeldumised kõnealusel põhjusel on harvad
võrreldes maksetehingute koguarvuga. /.../ Mõju
Arvestatud Seletuskirja mõjude osa täiendatud.
31
avaldumise sagedust saab pidada väikeseks seetõttu, et
maksejuhise täitmisest keeldumine on pigem erandlik
ning puudutab väikest osa maksejuhistest. /.../ Muudatus
avaldab potentsiaalselt mõju kõikidele makseteenuse
kasutajatele, kuid igapäevaselt siiski väikesele osale
makseteenuse kasutajatest, kuna enamus makseid on
autoriseeritud ning korrektselt autenditud.“
Finantsinspektsioon juhib tähelepanu, et Eelnõu
seletuskirja mõjuanalüüsis esineb teatud ebakõlasid.
Eelnõuga nähakse makseteenuse pakkujatele ette õigus
keelduda autoriseeritud maksejuhise täitmisest, samas kui
mõjuanalüüsis hinnatakse muu hulgas autoriseerimata
tehingute hulka ja sagedust. Autoriseerimata
maksetehingute statistika põhjal ei ole võimalik teha
põhjendatud järeldusi nende maksejuhiste kohta, mis on
küll autoriseeritud, kuid mille andmine on toimunud
pettuse, andmete väärkasutamise või maksja
manipuleerimise tulemusel. Samuti ei ole põhjendatud
eeldada, et maksejuhise täitmisest keeldumine jääb
erandlikuks, sest kavandatav muudatus loob
makseteenuse pakkujatele täiendava õigusliku aluse
autoriseeritud maksejuhiste täitmisest keeldumiseks.
Maksejuhise täitmisest keeldumised on olnud erandlikud
just sellepärast, et kehtivas õiguses puudus makseteenuse
pakkujal õigus keelduda pettuse korral maksejuhise
täitmisest. Eelnõus kavandatud muudatused võivad
praktikas tõsta oluliselt keeldumiste sagedust võrreldes
senise praktikaga. Finantsinspektsiooni hinnangul tuleks
seetõttu mõjuanalüüsi täiendada, eelkõige hinnates
põhjalikumalt mõju ulatust ja avaldumise sagedust
autoriseeritud, kuid pettuse teel tehtud maksete
kontekstis.
30 Eelnõust jääb ebaselgeks ja Eelnõu seletuskirjas ei ole
selgitatud, millised on tagajärjed juhul, kui makseteenuse
pakkujal on objektiivne põhjendatud kahtlus, et
maksetehingu täitmiseks antud nõusolek on saadud
andmete väärkasutamise, pettuse või maksjaga
Arvestatud Eelnõus on vastavalt täiendatud.
32
manipuleerimise teel, kuid makseteenuse pakkuja ei
kasuta Eelnõuga antavat õigust maksejuhise täitmisest
keelduda ning maksetehing täidetakse. Ebaselgeks jääb,
kas ja kuidas sellises olukorras võiks hinnata
makseteenuse pakkuja vastutust, sealhulgas kas
põhjendatud kahtluse olemasolul võib makse täitmine
mõjutada makseteenuse pakkuja vastutust hilisema
pettuse korral. Finantsinspektsiooni hinnangul tuleks
eeltoodut Eelnõu seletuskirjas kaaluda ja selgitada isegi
juhul, kui Eelnõuga makseteenuste pakkujatele sellist
vastutust ei teki.
Eesti Pangaliit
31 Olukord tuleb reguleerida maksejuhise kättesaamise ja
autoriseerimise hetke kaudu Esitatud eelnõust on välja
jäetud regulatiivne mehhanism, mis seob maksejuhise
kättesaamise hetke ja autoriseerimise protsessi. Eelnõu
reguleerib vaid autoriseeritud maksejuhise poolt, kuid
pettuse kahtlusega seotud maksejuhise (tehnilise)
autoriseerimise saab lõpule viia alles pärast täiendavate
turvameetmete rakendamist. Esmases tagasisides
pakkusime välja sõnastuse, mille kohaselt on
makseteenuse pakkujal õigus lükata maksejuhise
kättesaamine edasi täiendavate turvameetmete
rakendamiseks ning maksejuhis loetakse kättesaaduks
ning autoriseerituks alles siis, kui makseteenuse pakkuja
on lõpetanud täiendavate turvameetmete rakendamise ja
on veendunud, et maksejuhis vastab nõuetele: „(41)
Makseteenuse pakkujal on õigus lükata maksejuhise
kättesaamine edasi täiendavate turvameetmete
rakendamiseks, maksejuhise töötlemiseks vajalike
tehniliste ja turvanõuete täitmise kontrolliks, sealhulgas
autentimise ja riskipõhiste turvameetmete rakendamiseks
ning juhul, kui on põhjendatud alus kahtlustada, et
maksejuhist ei ole maksja poolt autoriseeritud, maksjat on
Arvestatud Eelnõu ja seletuskirja on vastavalt muudetud.
33
manipuleeritud või on autoriseerimine tehtud pettuse teel.
Maksejuhis loetakse makseteenuse pakkujale siduvaks,
kui makseteenuse pakkuja on lõpetanud täiendavate
turvameetmete rakendamise ja maksejuhise töötlemiseks
vajalike tehniliste ja turvanõuete täitmise kontrolli ning
on veendunud, et maksejuhis vastab käesoleva lõike
esimeses lauses nimetatud nõuetele. (42) Makseteenuse
pakkujal on õigus keelduda maksejuhise täitmisest, kui
pärast täiendavate turvameetme rakendamist ei ole olnud
objektiivselt võimalik kõrvaldada kahtlust, et
maksetehing ei ole maksja poolt autoriseeritud või on
autoriseerimine tehtud pettuse teel.“ Meie hinnangul
peaks seletuskiri selgelt avama, et luuakse võimalus
reageerida nii enne kui ka pärast maksejuhise
makseteenuse kasutajalt kättesaamist, kuid enne
autoriseerimist, et tagada pankade/makseasutuste
võimalus operatiivselt ja põhjendatult reageerida enne
rahade edasi liikumist, mis on ka eelnõu eesmärk.
32 Makse loetakse autoriseerituks alles pärast täiendavate
turvameetmete rakendamist. Oleme seisukohal, et
maksejuhis loetakse PSD2 RTS kontekstis autoriseerituks
(tehniliselt) alles pärast maksejuhise osas täiendavate
turvameetmete rakendamist. Tegevused pärast PIN2
kinnitamist, sealhulgas täiendavad kontrollimeetmed,
moodustavad osa täielikust autoriseerimisprotsessist ning
pettuse kahtlus saab maandatud alles siis, kui
autoriseerimine on lõppenud. Vajalik on protsess, kus
peale PIN2 kinnitamist ja summa debiteerimist: (1) klient
saab teate, et makse suunatakse täiendavasse kontrolli; (2)
rakendatakse täiendav tehniline meede (nt ID-kaardi
skännimine, biomeetria vms); (3) kui pettuse kahtlust ei
ole kõrvaldatud, peab klient esitama täiendavat infot ning
pank võtab kliendiga ühendust; (4) kui pettuse kahtlust ei
Arvestatud Eelnõu ja seletuskirja on vastavalt muudetud.
34
saa kõrvaldada, keeldub pank makse teostamisest ning
raha tagastatakse kliendi kontole. See lähenemine on meie
hinnangul kooskõlas PSD2 põhimõtetega, mille kohaselt
on autoriseerimine direktiivi keskne mõiste ning
põhjendatud pettuse kahtluse välistamine ja
turvameetmete rakendamine peaks olema seotud
autoriseerimise kehtivusega.
1.3 Kooskõla EL välkmaksete määrusega Maksejuhise
kättesaamise hetke reguleerimine läbi
autoriseerimisprotsessi tagaks meie hinnangul ka
kooskõla EL välkmaksete määrusega.
Välkkreeditkorralduse puhul tuleks maksejuhise
töötlemiseks vajalike tehniliste ja turvanõuete täitmise
kontroll ning maksejuhise vastuvõtmisest keeldumine
teha kümne sekundi jooksul alates maksekäsundi
vastuvõtmise hetkest, nagu näeb ette välkmaksete määrus.
See tähendab, et kui autoriseerimisprotsess hõlmab
täiendavaid turvameetmeid, ei loeta maksejuhist
kättesaaduks enne nende meetmete rakendamist. See on
ainus loogiline ja õiguslikult järjepidev lähenemine
välkmaksete kontekstis.
Arvestatud
33 Turvameetmete rakendamise aeg
Mõistame, et osapooled võivad väljendada muret, et
selline regulatsioon võib viia selleni, et pangad hoiavad
makseid ebamõistlikult kinni, kuid rõhutame, et
seadusandja poolt on võimalik sätestada, et
turvameetmeid tuleb rakendada ilma ebamõistliku
viivituseta. Täiendavate turvameetmete rakendamine
peab olema proportsionaalne ja põhinema objektiivselt
põhjendatud kahtlusel. Sama punkti sätestab meie
varasemas tagasisides pakutud kahju välistamise punkt:
Makseteenuse pakkuja ei vastuta kahju eest, kui
turvameetmete täiendava rakendamise tulemusel
Arvestatud Eelnõu on muudetud ning ette nähtud täiendavate turvameetmete
rakendamise aeg.
35
täidetakse makse hilinemisega, tingimusel, et nimetatud
turvameetmete rakendamine viiakse läbi põhjendamatu
viivituseta ning rakendamise aluseks on objektiivselt
põhjendatud kahtlus. Sama põhimõte peaks olema selgelt
sätestatud ka siis, kui regulatsioon puudutab maksejuhise
kättesaamise hetke.
34 Välkkrediidikorralduste regulatsiooni ebapiisavus
Eelnõu uus lõige 4³ sätestab, et välkkreeditkorralduse
puhul tuleb maksejuhise täitmisest keelduda kooskõlas
välkmaksete määrusega ning et makseteenuse pakkuja
peab autoriseeritud maksetehingu riskianalüüsi tegema
kümne sekundi jooksul ning otsustama, kas on vajalik
turvameetmete täiendav rakendamine. Juhul, kui
autoriseeritud maksetehingu riskianalüüsi põhjal selgub,
et vajalik on turvameetmete täiendav rakendamine, siis
täidetakse maksejuhis pärast täiendavat kontrolli ning
sellisel juhul ei rakendu välkmaksete määruse kümne
sekundi nõue, kuid turvameetmete täiendav rakendamine
peab toimuma ebamõistliku viivituseta. Meie hinnangul
jääb välkkrediidikorralduste regulatsioon eelnõus
ebapiisavaks, sest ei sisalda selget regulatsiooni selle
kohta, kuidas toimub välkkrediidikorralduse hilinemisega
täitmine olukorras, kus turvameetmete täiendav
rakendamine võtab aega kauem kui 10 sekundit. Kuigi
seletuskiri mainib, et kümne sekundi nõue sel juhul ei
rakendu, puudub selge raamistik selle kohta, millises
täiendavas ajavahemikus peab välkkrediidikorraldus
täidetama ning millised on mõlema poole (maksja ja saaja
makseteenuse pakkuja) täpsed kohustused viivituse
korral. Eelnõus ei ole üheselt välja toodud selget
regulatsiooni selle kohta, kuidas kooskõlastatakse
välkkrediidikorralduse hilinemisega täitmine
Arvestatud Eelnõu seletkirjas on täiendavalt selgitatud kooskõla välkmaksete
määruse nõuetega. Lähtutud on sealhulgas ka Eesti Pangaliidu
varasematest selgitustest (vt punkt )
36
välkmaksete määruse nõuetega, mis on eelnõu üks
alusaktidest.
Regulatsiooni ebatäpsus võib tekitada praktilist
ebakindlust nii pankade kui makseteenuse kasutajate
jaoks. Juhul, kui ministeerium jääb oma esialgselt
pakutud sõnastuse juurde, siis palume eelnõud täiendada
selge ja konkreetse regulatsiooniga
välkkrediidikorralduste hilinemisega täitmise
mehhanismi, sealhulgas mõlema poole makseteenuse
pakkuja kohustuste ja vastutuse osas.
35 Konkreetne viide PSD2 delegeeritud määruse (RTS)
riskianalüüsi sättele ei ole eesmärgipärane. Eelnõuga
nähakse ette, et makseteenuse pakkuja õigus keelduda
autoriseeritud maksejuhise täitmisest seotakse RTS ette
nähtud turvameetmete täiendava rakendamisega. RTS
artikkel 18 käsitleb tehingu riskianalüüsi ning puudutab
olukorda, kus makseteenuse pakkujatele antakse luba
mitte kasutada kliendi tugevat autentimist juhul, kui
maksja algatab elektroonilise kaugmaksetehingu, mille
makseteenuse pakkuja on tehinguseiremehhanismide
alusel lugenud väikese riskiga tehinguks. Käesoleval
juhul on viide RTS artikli 18 riskianalüüsile ebavajalik.
Artikkel 18 on mõeldud SCA rakendamise
leevendamiseks, mitte pettuste tõkestamise eesmärgil
turvameetmete rakendamise aluse loomiseks. Kui eelnõu
esitaja eesmärk on peegeldada vastavaid kriteeriume, siis
tuleks viidata neile mitte konkreetsele artiklile osutades,
vaid asjakohaste kriteeriumite täpsema loetelu kaudu.
Artiklis nimetatud kriteeriumid on järgmised: i) maksja
tavapäratud kulutused või käitumismuster; ii) ebatavaline
teave maksja seadme/tarkvara kasutamise kohta; iii)
pahavaraga nakatumine autentimismenetluse mis tahes
seansi kestel iv) makseteenuste osutamisega seoses
Avestatud Seletuskirja on muudetud. Seletuskirjas on täpsemalt selgitatud, et
viite eesmärk RTS artiklile 18 on näitlikustada ja üldiselt välja tuua,
et mida kõike peavad makseteenuse pakkujad reaalajas tehingu
riskianalüüsi käigus hindama.
Täiendavate turvameetmete rakendamise osas on tehtud viide RTS
artikli 2 lõikele 1.
37
teadaolev petuskeem; v) maksja tavapäratu asukoht; vi)
makse saaja kõrge riskitasemega asukoht. Eelnõus on
eesmärk anda pankadele alus täiendavate turvameetmete
rakendamiseks pettuste tõkestamise eesmärgil. Selleks
asjakohaseks sätteks on RTS artikli 2 lõige 1, mille
kohaselt peavad makseteenuse pakkujatel turvameetmete
rakendamise eesmärgil olema tehinguseiremehhanismid,
mis võimaldavad neil avastada autoriseerimata või
pettuse teel tehtud maksetehinguid. Seletuskirjale tuleks
lisada viide RTS artikli 2 lõike 2 punktile c, mis käsitleb
tehinguseire mehhanisme ja petuskeeme. Palume eelnõust
eemaldada viited RTS artikli 18 riskianalüüsile (nn SCA
erand väikese riskiga tehingutele) ning asendada need
asjakohaste viidetega RTS artikli 2 lõike 1 kohastele
seiremehhanismidele, mis on pettuste tõkestamise
seisukohalt ainus otseselt kohalduv säte.
36 3.1 „Objektiivselt põhjendatud kahtluse“ näitlikustamine
Eelnõu § 1 punktiga 1 täiendatakse VÕS § 724³ lõigetega
41 -4 3 ning nähakse ette, et makseteenuse pakkuja võib
keelduda autoriseeritud maksejuhise täitmisest juhul, kui
esineb objektiivselt põhjendatud kahtlus, et maksetehingu
täitmiseks antud nõusolek on saadud pettuse teel.
Sarnasele mõistele (objektiivselt põhjendatud kahtlus) on
viidatud eelnõu § 1 punktis 3, millega täiendatakse VÕS
§ 7339 lõiget 3 vastutuse piiranguga ning eelnõu § 2,
millega täiendatakse KAS §-ga 894 krediidiasutuse
õigusega avaldada andmeid. Uus õigus keelduda
maksejuhise täitmisest tugineb mõistel „objektiivselt
põhjendatud kahtlus“. Eelnõu seletuskirjas on küll
viidatud riskiteguritele, mida tehinguseiremehhanismid
peaksid arvesse võtma (lk 4 lg 2), riskianalüüsile ja mida
selle raames tuleks näiteks hinnata (lk 4 kg 3) ning kahele
näitele, milline võiks olla objektiivselt põhjendatud
Arvestatud Seletuskirja on täiendatud selgitusega mida käsitletakse
objektiivselt põhjendatud kahtlusena ning toodud näitlik loetelu.
38
kahtlus (lk 6 lg 3), kuid eelnõu ei defineeri seda mõistet
ammendavalt. Praktikas tekib küsimus, millised
kriteeriumid peavad olema täidetud, et kahtlust pidada
objektiivselt põhjendatuks, milline on makseteenuse
pakkuja dokumenteerimiskohustus selles osas ja mille
alusel hinnatakse hiljem panga otsuse õiguspärasust (nt
kohtus või järelevalves). Kuna vastutus makse hilinemise
või täitmata jätmise eest sõltub sama mõiste sisust, võib
ebaselge regulatsioon suurendada vaidlusriski nii
klientide kui ka järelevalveasutustega. Samuti on eelnõu
seletuskirjas KAS § 894 lg 1 juures välja toodud, et
pangasaladuse avaldamine ei ole lubatud iga kahtluse
korral, vaid juhul kui selleks on objektiivselt põhjendatud
alus kahtlustada pettust. See tähendab, et lisaks
kliendivaidlustele suureneb objektiivselt põhjendatud
kahtluse ebamäärasusega ka pangasaladuse jagamise
piiride ületamisega seotud risk. Teeme ettepaneku lisada
VÕS § 724³ lõike 4¹ juurde või eelnõu seletuskirja
definitsioon, mis moodustab objektiivselt põhjendatud
kahtluse. Mõistan, et liiga detailne definitsioon muutuks
kiiresti vananenuks, sest pettuseskeemid arenevad kiiresti
ning see võib halvata operatiivse reageerimise. Ei ole vaja
ammendavat loetelu, vaid raamistust, mis tagaks, et
krediidiasutused, järelevalve ja kohtud hindaksid olukordi
ühtmoodi. Samuti teeme ettepaneku eelnõu seletuskirjas
rõhutada, et krediidiasutus võib tugineda automatiseeritud
riskimudelitele ja tehinguseire süsteemidele
37 3.2 Tähelepanek seletuskirja olevale lõigule „Komisjoni
delegeeritud määruse artikli 2 lõike 2 kohaselt tagavad
makseteenuse pakkujad, et tehinguseiremehhanismid
võtavad arvesse vähemalt kõiki järgmisi riskipõhiseid
tegureid: a) murtud või varastatud autentimisvahendite
loetelu; b) iga maksetehingu summa; c) makseteenuste
Arvestatud Seletuskirja on vastavalt muudetud.
39
osutamisega seoses teada olevad petuskeemid; d) märgid
pahavaraga nakatumise kohta autentimismenetluse mis
tahes seansi kestel; e) juhul kui juurdepääsuseadme või -
tarkvara annab kasutaja käsutusse makseteenuse pakkuja,
logid sellise juurdepääsuseadme või -tarkvara kasutamise
ning juurdepääsuseadme või -tarkvara tavapäratu
kasutamise kohta.“ Punkt „d) märgid pahavaraga
nakatumise kohta autentimismenetluse mis tahes seansi
kestel; “ on midagi, mida on tehniliselt väga keeruline (kui
mitte võimatu) teostada. See tähendaks kogu kliendi
seadmes oleva info kogumist, töötlemist ja protsessimist
ning seda ei saa teha ei tehniliselt ega ka seadusandluse
kontekstis. Teeme ettepaneku sõnastada punkti d asemel:
„seadme ja kasutaja infot, sh IP-aadressi ja kogutavat
seadmete spetsiifilist infot“.
1. Sissejuhatus
1.1. Sisukokkuvõte
Eelnõu eesmärk on tõhustada finantspettuste ennetamise ja tõkestamise meetmeid. Viimastel aastatel on finantspettuste arv ja keerukus märkimisväärselt kasvanud1. Pettuste toimepanemiseks kasutatakse näiteks erinevaid digitaalseid kanaleid ja tehnilisi vahendeid ning identiteedivargust ja sotsiaalset manipuleerimist, mille abil petetakse isikutelt raha välja. Finantspettused on kiiresti kasvav probleem – mullu kaotasid Eesti inimesed petturitele ligi 29 miljonit eurot, peaaegu kaks korda rohkem kui aasta varem. Enamik pettusi algab telekommunikatsioonikanalite kaudu ja lõpeb pangamaksega, mistõttu on tõhus ennetus võimalik vaid riigi ja erasektori tihedas koostöös.
Eelnõu tugevdab makseteenuse kasutajate kaitset olukorras, kus makse tegemisel esineb pettusekahtlus, ning parandab makseteenuse pakkujate võimalusi finantspettusi ennetada ja tõkestada. Praktikas on pettuste puhul küll makse tehniliselt kinnitatud, kuid hiljem ilmneb, et maksja ei ole teinud makset oma tegeliku ja vaba tahte alusel, vaid teda on selleks eksitatud. Kehtiv õigus ei anna selliste olukordade lahendamiseks piisavaid võimalusi. Eelnõu loob selgema õigusraamistiku ja tugevdab pankade õigust põhjendatud pettuse kahtluse korral makseid ajutiselt peatada või makse täitmisest keelduda. Eelnõu annab ka krediidiasutustele ja makseasutustele ja e-raha asutustele (edaspidi koos makseteenuse pakkujad) selge õigusliku aluse pettusekahtlusega seotud info vahetamiseks teiste krediidiasutuste, makseasutuuste ja e-raha asutuste, Politsei- ja Piirivalveameti (edaspidi PPA) ning Riigi Infosüsteemi Ameti (edaspidi RIA) küberintsidentide käsitlemise osakonna CERT-EE-ga (edaspidi CERT).
Esiteks, eelnõuga muudetakse võlaõigusseaduse (edaspidi VÕS) regulatsiooni, mis puudutab maksejuhise täitmisest keeldumist ehk olukorda, kus isik soovib teha maksetehingut, kuid makseteenuse pakkuja (pank või makseasutus) saab keelduda maksetehingu täitmisest. Kehtivas õiguses puudub makseteenuse pakkujal selge õiguslik alus keelduda maksejuhise täitmisest juhul, kui on põhjendatud kahtlus, et maksetehingu täitmiseks antud nõusolek on saadud andmete väärkasutamise, pettuse või maksja manipuleerimise teel. Praktikas võib see tähendada olukorda, kus makseteenuse pakkuja näeb, et makse on küll kinnitatud nõutud autentimisvahenditega, kuid esineb põhjendatud kahtlus, et need vahendid on saadud või on neid kasutatud pettuse teel. Näiteks võib isik olla petuskeemi käigus eksitatud kinnitama makset, uskudes, et ta suhtleb pangaga, kuigi tegelikult suunab teda makset tegema pettur. Kuigi makse on tehniliselt kinnitatud kliendi autentimisvahendiga, on nõusolek sellisel juhul antud pettuse teel isiku eksitusse viimisega.
Teiseks, eelnõuga muudetakse krediidiasutuste seadust (edaspidi KAS), millega antakse krediidiasutustele õigus jagada vajalikku teavet pettuste avastamiseks ja väljaselgitamiseks. Seda juhul kui krediidiasutusel on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega. Eelnimetatud teave võib mh kvalifitseeruda ka pangasaladuseks. Krediidiasutusel saab olema õigus omal initsiatiivil jagada vajalikku teavet teiste krediidiasutustega, makseasutuste ja e-raha asutustega, PPA-ga ning RIA-ga. Kehtivas õiguses selline õigus puudub ning see on osutunud probleemiks pettuste avastamisel ja väljaselgitamisel. Praktikas tähendab see, et näiteks olukordades, kus krediidiasutusel on kahtlus, et konkreetne maksekonto (lihtsustatult arvelduskonto) on seotud pettuste toimepanemisega, siis seda teadmist teiste krediidiasutustega jagada ei tohi. Sellise õiguse puudumine on takistuseks tõhusamalt ennetada pettuste toimepanemist. Samuti antakse krediidiasutusele õigus avaldada andmeid e-identimise ja e-tehingute usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale. Krediidiasutus ise ei halda usaldusteenuse osutaja allkirjastamiskeskkonda ega selle tehnilisi logisid. Andmete avaldamise eesmärk on võimaldada usaldusteenuse osutajal kontrollida, kas pettuslik tehing seostub näiteks sama kasutaja või sama seadmega.
Kolmandaks, eelnõuga muudetakse makseasutuste ja e-raha asutuste seadust (edaspidi MERAS) ja antakse makseasutustele ja e-raha asutustele õigus avaldada andmeid ja teavet teisele makseasutusele ja e-raha asutusele, krediidiasutusele, PPA-le ning RIA-le maksepettuste avastamiseks ja väljaselgitamiseks KAS §-is 894 sätestatud tingimustel. Kuna makseteenuseid osutavad ka makseasutused ja e-raha asutused, antakse ka neile krediidiasutusega samasugune õigus andmeid avaldada. Vastasel juhul jääks osa teenusepakkujaid pettuste ennetustegevusest väljapoole puuduva info tõttu. Andmete avaldamise eesmärk ja koosseis on sama nagu krediidiasutustel.
Kavandatavad muudatused võimaldavad makseteenuse pakkujatel pettusekahtluse korral kiiremini sekkuda ning teha omavahel, samuti PPA ja RIA-ga, koostööd, aidates seeläbi vähendada pettustega tekitatud kahju ja suurendada finantssüsteemi turvalisust. Muudatused ei too kaasa täiendavat halduskoormust makseteenuse pakkujatele ega avaliku sektori asutustele, vaid aitavad pettuste ennetamist ja tõkestamist paremini korraldada.
1.2 Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on koostanud Rahandusministeeriumi finantsteenuste poliitika osakonna nõunik Jarmo Lilium (e-post: [email protected]). Eelnõu juriidilist kvaliteeti kontrollis õigusosakonna nõunik Marge Kaskpeit (e-post: [email protected]). Eelnõu on keeleliselt toimetanud Rahandusministeeriumi personali- ja õigusosakonna keeletoimetaja Heleri Piip (e-post: [email protected]).
1.3 Märkused
Eelnõuga muudetakse:
• Krediidiasutuste seadust redaktsioonis RT I, 13.02.2026, 7;
• Võlaõigusseadust redaktsioonis RT I, 11.11.2025, 16;
• Makseasutuste ja e-raha asutuste seadust redaktsioonis RT I, 13.02.2026, 9.
Eelnõu on seotud järgmiste Euroopa Liidu õigusaktiga:
• Euroopa Parlamendi ja nõukogu direktiiv (EL) 2015/2366 makseteenuste kohta siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta (ELT L 337, 23.12.2015, lk 35–127)2 (edaspidi makseteenuste direktiiv);
• Euroopa Parlamendi ja nõukogu määrus (EL) 2024/886, millega muudetakse määrusi (EL) nr 260/2012 ja (EL) 2021/1230 ning direktiive 98/26/EÜ ja (EL) 2015/2366 eurodes välkkreeditkorralduste osas (ELT L, 19.3.2024.)3 (edaspidi välkmaksete määrus).
Eelnõu ei ole seotud muu menetluses oleva eelnõuga, kuid on seotud Vabariigi Valitsuse 2025–2027 tegevusprogrammiga. Koalitsioonileppe punkti 308 kohaselt on ette nähtud, et koostöös Eesti Panga, erasektori ja teiste asutustega töötakse välja finantspettuste tõkestamise tegevuskava ja tehakse selle põhjal vajalikud muudatused seadusandluses.4
Vastavalt Eesti Vabariigi põhiseaduse (edaspidi PS) §-le 73 võetakse eelnõu seadusena vastu Riigikogu poolthäälte enamusega, kui PS ei näe ette teisiti. Eelnõus ei ole sätteid, mis puudutaksid PS §-s 104 toodud Riigikogu koosseisu häälteenamuse nõuet.
2. Seaduse eesmärk
Eelnõu eesmärk on tõhustada finantspettuste avastamist, väljaselgitamist ja tõkestamist, andes makseteenuse pakkujatele selge õigusliku aluse maksejuhise täitmisest keeldumiseks ning krediidiasutustele õiguse jagada pettuse kahtluse korral vajalikku teavet teiste krediidiasutuste, PPA ning RIA-ga.
Kehtiv õigus ei võimalda finantspettuste kahtluse korral piisavalt kiiresti ja tõhusalt sekkuda, kuna maksejuhise täitmisest keeldumise õigus on kitsalt piiritletud. Samuti ei sisalda kehtiv õigus selgeid aluseid vajaliku ja õigeaegse info jagamiseks ning seeläbi ei toimi tõhusalt ka erinevate osapoolte omavaheline koostöö.
Üldjuhul töödeldakse makseid reaalajas, mis tähendab, et makse saaja kontole jõuavad need sekunditega. Eestis oli välkmaksete osakaal 2025. aasta juuli seisuga 87%5. Pettuse toimepanija jaoks tähendab see seda, et juhul kui saadakse isik pettuse teel makset tegema, laekub raha kohe petturi kontrolli all olevale maksekontole, tihtipeale nn rahamuula maksekontole, kust see järgmisesse riiki kantakse. Seetõttu on oluline, et makseteenuse pakkujatel oleks selge õiguslik alus maksejuhise täitmisest keeldumiseks ning väga oluline on andmete vahetamine erinevate osapoolte vahel.
Finantspettustega võitlemine on kesksel kohal ka Euroopa Liidu õigusloomes. Nimelt on Euroopa Liidu tasemel sisuliselt kokku lepitud uus makseteenuse määrus6, mis hakkab asendama praegu kehtivat makseteenuste direktiivi 2015/23667. Määrusega tugevdatakse muuhulgas makseteenuste turvalisust ning nähakse ette ulatuslikumad pettusevastased meetmed, mis aitavad makseteenuse pakkujatel kui ka vastavatel ametiasutustel tõhusamalt sekkuda pettuste avastamisse, väljaselgitamisse ja tõkestamisse. Määrus paneb muuhulgas makseteenuse pakkujatele kohustuse autoriseeritud maksete täitmisest keelduda juhul, kui on alus kahtlustada pettust. Samuti näeb määrus ette andmete vahetamise makseteenuse pakkujate vahel ning samuti muude asutustega. Makseteenuste määruse osas jõuti poliitilise kokkuleppeni 2025. aasta novembris8. Määrust hakatakse eeldatavalt kohaldama 2028. aasta lõpus.
Euroopa Liidu Nõukogu töögruppides oli üheks keskseks teemaks pettuste vastased meetmed uues makseteenuste määruses, sealhulgas ka pettuslike maksete blokeerimine ja andmete vahetamine makseteenuse pakkujate ning teiste asutuste vahel. Komisjoni esialgne ettepanek neid meetmeid ei sisaldanud, kuid arutelude käigus tõusetusid need kui väga olulised ja vajalikud meetmed pettustega võitlemisel. Erinevalt käesolevast eelnõust on uues makseteenuste määruses andmete vahetamine ja tehingute blokeerimine makseteenuse pakkujale kohustuslik.
Käesolev eelnõu lähtub samast eesmärgist ning loob riigisiseses õiguses vajalikud õiguslikud alused, mis aitavad pettusi tõhusamalt avastada, välja selgitada ja tõkestada. Eesmärk on võimaldada selliste meetmete rakendamist teatud ulatuses juba enne, kui hakkab kehtima uus makseteenuste määrus. Arvestades pettuste jätkuvat kasvu ning nende tekitatud suurt kahju nii isikutele kui ettevõtjatele, on põhjendatud rakendada sarnase sisuga meetmeid võimalikult varakult. Kui uus makseteenuse määrus hakkab kehtima, tuleb lähtuvalt sellest analüüsida ja tõenäoliselt kehtetuks tunnistada need siseriiklikud sätted, mis tulenevad otse eelnimetatud EL määrusest.
Seaduseelnõule ei ole koostatud väljatöötamiskavatsust ega ka õiguslikke valikuid kajastavat kontseptsiooni, kuna eelnõu käsitleb EL õiguse rakendamist ning EL õigusakti eelnõu menetlemisel on sisuliselt lähtutud HÕNTE § 1 lg 1 nõuetest. („Hea õigusloome ja normitehnika eeskirja“ § 1 lõike 2 punkt 2).
3. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb kolmest paragrahvist.
Eelnõu §-ga 1 muudetakse VÕS-i.
Eelnõu § 1 punktiga 1 täiendatakse VÕS § 711 lõiget 1 punktiga 151, mille kohaselt tuleb makseteenuse pakkujal esitada makseteenuse lepingu tingimustes igale kliendile maksejuhise täitmise edasilükkamise tingimused tulenevalt käesoleva seaduse §-st 7247. VÕS § 711 näeb ette teabe, mille peab makseteenuse pakkuja kliendile esitama makseteenuse lepingu tingimuste kohta. Kuivõrd makseteenuse pakkujal on õigus maksejuhise kättesaamist edasi lükata, siis sätestatakse seaduses, et sellest tuleb klienti teavitada. peab kliendil olema õigus sellest ja selle tingimustest ka ette teada. Seeläbi saab klient teada, et maksejuhise kättesaamise edasilükkamine ei ole makseteenuse pakkuja suvaotsus, vaid selline õigus tuleneb seadusest ning selle eesmärk on kaitsta klientide vara finantspettuste eest.
Eelnõu § 1 punktiga 2 täiendatakse VÕS-i §-ga 7247, mis näeb ette lisaturvameetmete rakendamine pettusekahtluse korral.
Eelnõu § 1 punktiga 2 VÕS-i lisatav § 7247 lõige 1 näeb ette, millisel juhul on makseteenuse pakkujal õigus maksejuhise kättesaamine edasi lükata ja rakendada lisaturvameetmeid. Selline õigus on juhul, kui maksja makseteenuse pakkujal on objektiivselt põhjendatud kahtlus, et:
1) maksejuhist ei ole autoriseerinud maksja või
2) maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel.
Järgnevalt on maksejuhise autoriseerimise ning maksejuhise kättesaaduks lugemise paremaks mõistmiseks välja toodud makseprotsessis autoriseerimise ja selle käigus toimuva pettuslike maksete tõkestamise tehnilisem kirjeldus.
Tegevused saab jagada kaheks – need, mis toimuvad enne PIN 2 sisestamist ning need mis pärast seda.
Esiteks on tegevused, mis toimuvad enne PIN 2 sisestamist. Esmalt isik kinnitab oma tavapäraste autentimisvahenditega logimise internetipanka (nt PIN 1, biomeetria). Juba internetipanka sisse logimisel on makseteenuse pakkuja kohustatud tegema tavapärast kontrolli ja riskihindamist. Kui isik soovib teha makset, on tinglikult võimalikud kolm erinevat lõpptulemust. Esiteks, makseteenuse pakkuja tuvastab juba internetipanka sisselogimise andmete põhjal pettuse kahtluse ning siis on võimalus kasutajatunnus või konto blokeerida. Teiseks, pettuse kahtlus tuvastatakse siis, kui isik täidab maksevormi. Sellisel juhul on võimalus keelduda makset kinnitamast juba enne PIN 2 sisestamist ning sellest teavitatakse klienti. Kolmandaks, pettusekahtlust ei ole ning isik kinnitab makse tavapäraselt PIN 2-ga. Eeltoodust tulenevalt asub sellisel juhul kontrolli kese monitooringus, mis tehakse enne PIN 2-ga maksejuhise kinnitamist ehk et tehingu autoriseerimine ei ole tehniliselt veel lõppenud.
Teiseks on tegevused, mis toimuvad pärast PIN 2 sisestamist. Sellisel juhul on maksejuhise autoriseerimine tehniliselt lõpuni viidud, kuid sellest hoolimata võib ka siis tekkida või kinnitust leida objektiivselt põhjendatud pettusekahtlus ning peab olema võimalus sellise maksejuhise täitmisest keelduda. Pärast PIN 2 sisestamist on makseteenuse pakkujal võimalus rakendada mitmeastmelist kontrolli. Kui tekib pettusekahtlus edastatakse näiteks isikule teavitus, et makse suunatakse täiendavasse tehnilisse kontrolli, nt biomeetria kontroll või mõni muu lisaverifitseerimise meetod. Pärast täiendavat maksejuhise kontrolli on võimalik kaks olukorda. Esiteks, kui pettusekahtlus saab maandatud ning autoriseerimine loetakse lõppenuks, ja asutakse maksejuhist täitma. Teiseks, kui pettusekahtlust ei ole olnud võimalik kõrvaldada ja keeldutakse maksejuhise täitmisest.
Kehtiv õigusraamistik võimaldab makseteenuse pakkujatel pettuste tõkestamisse maksejuhise täitmisel kõige tõhusamalt sekkuda enne PIN 2 sisestamist, ehk et tehniliselt enne autoriseerimise lõppemist. Makseteenuse pakkujate kohustus avastada autoriseerimata või pettuse teel tehtud maksetehinguid ei lõpe aga ühes PIN 2 sisestamisega, vaid ka pärast seda. Eelnõu annab siinkohal makseteenuse pakkujatele selge õigusliku aluse ja kriteeriumid, et sekkuda pettuse kahtluse puhul maksetehingu täitmisesse pärast PIN 2 sisestamist.
VÕS-i lisatava § 7247 lõike 1 kohaselt tekib makseteenuse pakkujal õigus maksejuhise kättesaamine edasi lükata ja lisaturvameetmeid rakendada juhul, kui tal esineb objektiivselt põhjendatud kahtlus, et maksejuhist ei ole autoriseerinud maksja või maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel, mis tähendab, et kahtlus peab tuginema konkreetsetele asjaoludele ja riskinäitajatele. Objektiivselt põhjendatud kahtlus võib muu hulgas tugineda näiteks järgmistele asjaoludele:
• maksejuhis erineb oluliselt maksja tavapärasest maksekäitumisest (nt ebatavaliselt suur summa ning uus makse saaja, ebatavaline kellaaeg või geograafiline asukoht);
• makse tegemisel kasutatakse seadmeid, IP-aadresse või autentimisviise, mis erinevad maksja tavapärasest kasutusmustrist;
• makseteenuse pakkuja tehinguseiremehhanismid tuvastavad tehingus mustreid, mis on iseloomulikud pettustele või andmete väärkasutusele;
• makse on seotud teadaolevate või kõrgendatud riskiga maksekontode, isikute või tegevustega;
• maksja käitumine viitab pettusele, nt ebatavaline maksete tegemise kiirus, korduvad katsed, vastuolulised sisestused, korraga kõikide maksete limiitide tõstmine.
Seejuures tuleb hinnata kõiki asjaolusid kogumis ning üksik riskitegur ei pruugi alati olla piisav maksejuhise kättesaamise edasilükkamiseks, et rakendada lisaturvameetmeid. Oluline on, et makseteenuse pakkuja tegevus oleks proportsionaalne ja põhjendatud – objektiivse kahtluse olemasolu peab olema dokumenteeritav ning vajaduse korral hiljem kontrollitav. Kehtiv VÕS § 7334 lõige 1 näeb ette, e kui on vaieldav, kas maksetehing on autoriseeritud või nõuetekohaselt täidetud, peab makseteenuse pakkuja või asjakohasel juhul makseteenuse pakkuja, kelle makse algatamise teenuse kaudu makse algatati, tõendama, et maksetehing on autenditud, muu hulgas rakendatud kliendi tugevat autentimist, korrektselt dokumenteeritud ja kontodel kajastatud ning tehingu tegemist ei ole mõjutanud ükski puudus. See tagab, et makseteenuse pakkuja ei kasuta talle antud õigust meelevaldselt, vaid üksnes juhtudel, kus see on maksete turvalisuse tagamiseks vältimatult vajalik. Võib eeldata, et makseteenuse pakkujate huvides ei ole ka nimetatud meetme kergekäeline rakendamine, sest see mõjutab negatiivselt kliendi kogemust teenuse kasutamisel ning võib viia kliendi teise makseteenuse pakkuja pakutavate teenuste juurde.
Eelnõuga lisatav säte toob eraldi välja kaks peamist olukorda, mille esinemisel võib makseteenuse pakkuja maksejuhise kättesaamise edasilükkamise õigust kasutada.
Esiteks, on õigus maksejuhise kättesaamine edasi lükata VÕS-i lisatava 7247 lõike 1 punkti 1 kohaselt juhul, kui on põhjendatud kahtlus, et maksejuhist ei ole autoriseerinud maksja. See hõlmab olukordi, kus makse võib olla tehtud ilma maksja teadmise või nõusolekuta, näiteks juhul, kui kolmas isik on saanud ligipääsu maksja autentimisvahenditele või maksekontole. Ehk et tegemist on kehtiva VÕS-i järgi autoriseerimata maksega. VÕS § 7241 lõige 1 sätestab, et maksetehing on maksjale siduv, kui ta on selle täitmiseks andnud nõusoleku. Nõusoleku võib anda enne tehingu tegemist või poolte kokkuleppel ka tagantjärele heakskiiduna. See tähendab, et juhul, kui makse on tehtud, kasutades kadunud või varastatud makseinstrumenti, on tegemist autoriseerimata maksega, sest puudub isiku nõusolek sellise makse tegemiseks.
Makseteenuste direktiivi artikli 64 lõike 1 kohaselt peavad liikmesriigid tagama, et maksetehing loetakse autoriseerituks üksnes siis, kui maksja on andnud nõusoleku maksetehingu täitmiseks, maksja võib sealjuures autoriseerida makse enne maksetehingu täitmist või maksja ja tema makseteenuse pakkuja vahelise kokkuleppe korral pärast maksetehingu täitmist (heakskiit). Artikli 64 lõike 4 kohaselt määratakse nõusoleku andmise viis ja kord poolte kokkuleppega. Sama artikli lõike 2 teises lauses on peetud oluliseks rõhutada, et kui mainitud „nõusolek“ puudub, loetakse maksetehing „autoriseerimata maksetehinguks“. Põhimõtteliselt võtab see mõistemääratlus hilisemates makseteenuse kasutaja ja makseteenuse pakkuja vastutuse sätetes kokku juhtumid, kus puudub maksejuhis või selle jõustumise täiendava eeldusena maksja nõusolek (maksevahendi kasutamise kaudu) makse tegemiseks. Sellisel juhul rakendub maksetehingu tegemise korral makseteenuse kasutaja ja makseteenuse pakkuja vastutus (st toimus autoriseerimata maksetehing). Maksja „nõusolekut“ reguleeriv säte on rakendatav juhul, kui maksejuhise andmiseks kasutatakse mõnda maksevahendit, ülekannete puhul loetakse maksejuhis jõustunuks, kui see on kätte saadud (vt VÕS § 7242), ehk et „nõusolek“ langeb kokku maksejuhise kättesaamise hetkega. Küll aga vaadeldakse „autoriseerimata maksena“ seega nii makset, mille tegemiseks puudus maksejuhis, kui ka makset, mille tegemiseks puudus maksja „nõusolek“. Mõlemal juhul rakendub vastutus makseteenuse eest „autoriseerimata“ maksete korral. Kokkuvõtteks on makse autoriseerimise kontseptsioon „maksele nõusoleku andmine“.
Kui tegemist on maksja enda antud maksejuhisega (nt isik teeb ise elektroonilise makse), siis sisaldub nõusolek maksetehingu tegemiseks juba iseenesest maksejuhises. Kui tegemist on saaja kaudu algatatud maksega (nt algatab kaupmees makse korduvate tellimuste puhul, kui maksja on andnud eelnevalt selleks nõusoleku), väljendub nõusolek maksevahendi kasutamises (VÕS § 7241 lg 3). Nendel juhtudel annab maksja selgelt ja üheselt mõistetavalt oma nõusoleku enne maksetehingu täitmist, hilisema heakskiidu järele puudub vajadus, puudub ka võimalus jätta nõusolek andmata ning autoriseerida makse heakskiiduga. Seega on autoriseerimine hilisema heakskiidu andmise näol mõeldav üldiselt vaid saaja poolt algatatud maksetehingute puhul.
Teiseks, on õigus maksejuhise kättesaamine edasi lükata VÕS-i lisatava 7247 lõike 1 punkti 2 kohaselt juhul, kui maksejuhis on küll formaalselt autoriseeritud, kuid see on toimunud andmete väärkasutamise, pettuse või maksjaga manipuleerimise tulemusena. Siia alla kuuluvad näiteks juhtumid, kus maksjat on eksitatud (nt sotsiaalse manipulatsiooni teel) tegema makset, mida ta ei oleks teinud, kui tal oleks olnud asjaolude kohta õige teave. Tsiviilseadustiku üldosa seaduse (edaspidi TsÜS) § 94 lõike 1 kohaselt on pettus isiku tahtlik eksimusse viimine või eksimuses hoidmine temale ebaõigete asjaolude avaldamise teel, eesmärgiga kallutada isik tehingut tegema. Sama paragrahvi lõike 2 kohasel on ebaõigete asjaolude avaldamisega võrdsustatud nendest asjaoludest teatamata jätmine, millest vastavalt hea usu põhimõttele oleks tulnud teatada, samuti selliste asjaolude tõesena avaldamine, mille tõele vastavust avaldaja ei ole kontrollinud ja mis hiljem osutuvad ebaõigeks.
Sellised olukorrad on pettuste toimepanemisel praktikas sagenenud ning nende puhul ei pruugi pelgalt autoriseerimise fakt tähendada seda, et isik ka tegelikult soovis sellist makset teha olukorras, kus talle esitati ebaõigeid asjaolusid ja viidi seeläbi isik eksimusse ning selle tulemusel andis isik nõusoleku maksetehingu tegemiseks, kui õigete asjaolude teadmisel ei oleks ta sellist kinnitust andnud.
Maksejuhise kättesaamise ajutiselt edasi lükkamise vaatest on oluline see, et mida pidada täpsemalt silmas maksejuhise kättesaamise all. Makseteenuste direktiivi artikkel 78 lõige 1 sätestab, et liikmesriigid tagavad, et laekumise ajaks on aeg, mil maksekäsund laekub maksja makseteenuse pakkujale. Kättesaamise konkreetse ajahetke määratlemine on oluline seepärast, et sellest alates hakkavad kulgema erinevad tähtajad (maksejuhise täitmine ja täitmisest keeldumise teate esitamine vt VÕS § 7243, § 728). Oluline on see, et konkreetse ajahetke kaudu määratletakse arvelduspäev, millest järgneval saaja arvelduspäeval tuleb VÕS § 728 lõike 1 järgi maksejuhis täita (T+1 põhimõte).
Tegemist on kõrvalekaldega TsÜS §-ist 135 tähtaja kulgemise alguse regulatsioonist, sest T+1 eeldab, et kättesaamisele järgneval päeval oleks maksejuhis täidetud. Maksejuhise kättesaamine on samastatav põhimõtteliselt TsÜS § 69 regulatsiooniga ja tahteavalduse jõustumise kontseptsiooniga. TsÜS § 69 lõike 1 kohaselt tuleb kindlale isikule suunatud tahteavaldus väljendada ja see muutub kehtivaks kättesaamisega.
Maksejuhise kui tahteavalduse jõustumisel ehk maksejuhise kättesaamisel võib tegemist olla nii eemalviibijale kui kohalviibijale tehtud tahteavalduse jõustumisega. Eemalviibijale tehtava tahteavaldusega on tegemist juhul, kui maksejuhise andmine toimub kasutades mõnd elektroonilist vahendit (nt ülekanne internetipangas, kaardimakse jms), mis ei võimalda reeglina vahetut dialoogi tahteavalduse tegija (maksja) ja saaja (makseteenuse pakkuja) vahel. Kohalviibijale tehtud tahteavaldusega on tegemist siis, kui maksejuhis antakse pangakontoris pangatellerile. Kohalviibijale tehtud tahteavaldus jõustub isiklikult teatavaks tegemisega ehk siis hetkel, mil maksja teeb maksejuhise pangatellerile teatavaks, loetakse maksejuhis kättesaaduks. Kohalviibijale antava maksejuhise ajahetk on seega kindlalt ja üheselt määratletav.
Eemalviibijale antava maksejuhise puhul on olukord keerulisem. TsÜS § 69 lõike 2 kohaselt loetakse eemalviibijale tehtud tahteavaldus kättesaaduks, kui see jõuab eemalviibija asukohta ja tahteavalduse saajal on mõistlik võimalus sellega tutvuda. Kättesaamine toimub siis, kui tahteavaldus on jõudnud avalduse saaja mõjusfääri, nii et tal on objektiivselt võimalik tahteavalduse sisust teada saada ning tavapärastel oludel võib tahteavaldusest teadasaamisega arvestada.9
Valitseva arvamuse kohaselt on tahtevalduse kättesaamise hetkeks see hetk, mil tahteavalduse adressaadil oleks normaalsetes oludes võimalus tahteavalduses toodud teave omaks võtta. Kui adressaat tutvub teabega varem, kui seda võiks temalt mõistlikult oodata, siis loetakse, et tahteavaldus on teabega tutvumise ajal kätte saadud.10
Maksejuhise laekumise aja kindlaksmääramisel ei lähe arvesse võimalik eelnev maksejuhise kättesaamiseks ja töötlemiseks ettevalmistav protsess (näiteks erinevate turva- ja kaitsenõuete täitmine).11 Olenevalt maksejuhise esitamise kanalist (internetipank, pangakontor) viiakse osa kontrollidest läbi juba enne maksejuhise vastuvõtmist ning puudustest teavitatakse maksejuhise saatjat kohe.
Maksejuhise töötlemiseks ja kättesaamiseks vajaliku ettevalmistava protsessi lugemine kättesaamisele eelnevale ajale langevaks tegevuseks, on sisuliselt TsÜS-i § 69 lõike 2 lause 2 tahteavaldusega tutvumiseks mõistliku võimaluse jätmise ja erinevate kättesaamisteooriate väljendus maksejuhise kättesaamise kontekstis.
Maksejuhise kui tahteavalduse sisust teadasaamiseks ei saa lugeda aega, mil toimub erinevate formaalsete ja tehniliste nõuete täitmine. Sellisel ajahetkel ei tegeleta veel maksejuhise kui tahteavalduse sisuga, vaid maksejuhise tehnilise, formaalse ning välise poolega. Seega tuleb maksejuhise kättesaamise hetke kindlaksmääramisel arvestada võimalust maksejuhise sisuga tutvuda.
Maksejuhise kättesaamise hetkeks tuleks lugeda hetke, mil on juba eelnevalt tuvastatud, et maksejuhis vastab tehnilistele nõuetele ja täidetud on vajalikud kriteeriumid turvanõuete järgimiseks ning seda on võimalik täitma hakata. Maksejuhise võib kättesaaduks lugeda siis, kui on võimalik tutvuda maksejuhise sisuga ja kui seda on võimalik sisuliselt täita.
Makseteenuse pakkujad peavad kasutama autentimisel ning rahaliste vahendite kinnitamise ja piiramise ning samuti makse algatamise teenuse ja kontoteabe teenuse osutamise korral turvalist teabevahetamise viisi ning rakendama turvameetmeid, mis tagavad isikustatud turvaelementide konfidentsiaalsuse ja andmete tervikluse (VÕS § 7246 lõige 1). Sama paragrahvi lõige 2 näeb ette, et täpsemad nõuded käesoleva paragrahvi lõikes 1 nimetatud turvalise teabevahetuse ja turvameetmete kohta kehtestatakse Euroopa Parlamendi ja nõukogu direktiivi 2015/2366/EL (edaspidi komisjoni rakendusmäärus) artiklis 98 nimetatud Euroopa Komisjoni rakendusmäärusega.
Komisjoni rakendusmääruse artikli 2 lõike 1 kohaselt peavad makseteenuse pakkujatel turvameetmete rakendamise eesmärgil olema tehinguseiremehhanismid, mis võimaldavad neil avastada autoriseerimata või pettuse teel tehtud maksetehinguid. Need mehhanismid peavad tuginema maksetehingute analüüsile, mille juures võetakse arvesse elemente, mis on makseteenuse kasutajale iseloomulikud isikustatud turvavolituste tavapärase kasutamise puhul.
Komisjoni rakendusmääruse artikli 2 lõike 2 kohaselt tagavad makseteenuse pakkujad, et tehinguseiremehhanismid võtavad arvesse vähemalt kõiki järgmisi riskipõhiseid tegureid:
a) murtud või varastatud autentimisvahendite loetelu;
b) iga maksetehingu summa;
c) makseteenuste osutamisega seoses teada olevad petuskeemid;
d) märgid pahavaraga nakatumise kohta autentimismenetluse mis tahes seansi kestel;
e) juhul kui juurdepääsuseadme või -tarkvara annab kasutaja käsutusse makseteenuse pakkuja, logid sellise juurdepääsuseadme või -tarkvara kasutamise ning juurdepääsuseadme või -tarkvara tavapäratu kasutamise kohta.
Lisaturvameetmete rakendamine ei ole nii-öelda eraldi süsteem, vaid juba olemasolevate turvameetmete sihipärane täiendav kasutamine olukorras, kus tekib kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Lisaturvameetmete rakendamise sisu on konkreetse maksejuhise täiendav kontroll pettuse tõkestamise eesmärgil, kui tehingu riskianalüüsi põhjal tekib eelnevalt nimetatud kahtlus, ehk et risk on tavapärasest suurem.
Makseteenuste direktiiv on artikli 107 kohaselt üldjuhul maksimumharmoniseeriv, mistõttu ei saa liikmesriik kehtestada direktiivis sätestatust teistsugust regulatsiooni. Käesolev eelnõu ei lähtu sellest, et makseteenuse pakkujal oleks õigus juba kättesaadud ja autoriseeritud maksejuhise täitmine ühepoolselt peatada. Eelnõu täpsustab olukorda, kus makseteenuse pakkuja peab enne maksejuhise kättesaamist teostama kontrolli, kas maksejuhis vastab kõikidele vastuvõtmise tingimustele, sealhulgas kas tegemist on maksja poolt autoriseeritud maksejuhisega ning kas tegemist ei ole olukorraga, kus makse on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Ehk tegemist on maksejuhise täiendava kontrolliga selle vastuvõtmise eelses faasis.
Makseteenuse pakkuja poolt rakendatavad lisaturvameetmed võivad hõlmata näiteks maksjaga ühenduse võtmist, et välja selgitada, kas maksejuhise on esitanud ikka isik ise või kas teda on manipuleeritud sellist makset tegema. Samuti muud kontrollid, näiteks makse saaja makseteenuse pakkujaga info vahetamine, et välja selgitada, kas konkreetne maksekonto võib olla seotud pettuste toimepanemisega. Meetmete täpne sisu ja ulatus sõltub konkreetsest olukorrast ning maksega seotud riskist. Oluline on hinnata kõiki asjaolusid ja koguda vajadusel täiendavat teavet. Üksik riskitegur ei pruugi olla piisav asjaolude väljaselgitamiseks. Eeltoodust tulenevalt saab lisaturvameetmeid käsitada laia mõistena, mis hõlmab nii tehnilisi, organisatsioonilisi kui ka menetluslikke meetmeid, mille eesmärk on maksete turvalisuse tagamine ja pettuste ennetamine.
Makseteenuste direktiivi artikli 64 kohaselt loetakse maksetehing autoriseerituks üksnes siis, kui maksja on andnud nõusoleku maksetehingu tegemiseks. Sellest tulenevalt ei pea makseteenuse pakkuja pettusekahtluse korral piirduma üksnes formaalse autentimise fakti tuvastamisega, vaid tal peab olema võimalik hinnata, kas tehniline autoriseerimise fakt väljendab tegelikku nõusolekut. Seda kinnitab ka kehtiv VÕS § 7334 lõige 2, mis sätestab, et kui on vaieldav, kas makseinstrumendi abil tehtud maksetehing on autoriseeritud, ei ole ainuüksi makseinstrumendi kasutamise dokumenteerimine makseteenuse pakkuja ja asjakohasel juhul makse algatamise teenust osutanud makseteenuse pakkuja poolt küllaldane selle tõendamiseks, et: 1) maksetehing on autoriseeritud; 2) makseinstrumenti on kasutatud pettuse teel; 3) rikutud on ühte või mitut käesoleva seaduse §-s 73310sätestatud nõuet või 4) rikutud on tahtlikult või raske hooletuse tõttu ühte või mitut makseinstrumendi väljastamise ja kasutamise tingimust.
Euroopa Pangandusjärelevalve on 2025. aasta vastuses küsimusele „2023_6873 PISP payment order cancellation due to fraud prevention reasons“12 selgitatud, et juhul, kui enne maksejuhise täitmist tekib küsimus, kas see oli üldse autoriseeritud, peab kontot haldav makseteenuse pakkuja olemasolevate elementide põhjal hindama, kas tehing oli autoriseeritud või mitte. Seda toetavad koosmõjus makseteenuste direktiivi artiklid 78 ja 83. Artikkel 78 seob maksejuhise kättesaamise aja hetkega, mil maksejuhis jõuab maksja makseteenuse pakkujani, ning artikkel 83 seob makse täitmise tähtaja selle kättesaamise hetkega. Komisjoni rakendusmäärus lähtub riskipõhisest kontrollist ja näeb ette, et makseteenuse pakkujad rakendavad tehingute riskianalüüsi, et tuvastada volitamata või pettuslikke tehinguid. Seetõttu on põhjendatud lisaturvameetmete rakendamine olukorras, kus makseteenuse pakkujal on objektiivselt põhjendatud kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Kui makseteenuse pakkuja on selle kontrolli tulemusel veendunud, et maksejuhis ei ole autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel, tuleb maksejuhis viivitamata saata edasi makse saaja makseteenuse pakkujale.
Makseteenuste direktiivi maksete autoriseerimise regulatsioon ning komisjoni rakendusmääruse nõuded kehtivad ka välkmaksetele. Välkmaksete määruse kohaselt peab maksja makseteenuse pakkuja kohe pärast välkmaksejuhise kättesaamist kontrollima, kas makse töötlemise tingimused on täidetud ja kas vajalikud vahendid on olemas, ning saatma maksetehingu viivitamata saaja makseteenuse pakkujale. Välkmaksete määruse kohaselt olenemata direktiivi (EL) 2015/2366 artiklist 83 (eelnevalt välja toodud selgitus maksejuhise täitmise T+1 põhimõte), kontrollib maksja makseteenuse pakkuja viivitamata pärast välkkreeditkorralduse maksekäsundi vastuvõtmise aega, kas kõik maksetehingu töötlemiseks vajalikud tingimused on täidetud ja kas vajalik raha on kättesaadav, reserveerib maksetehingu summa maksja kontol või debiteerib selle maksja kontolt ja saadab maksetehingu viivitamata makse saaja makseteenuse pakkujale.
Välkmaksete määruse kohaselt (artikkel 5c lõige 1) pakub maksja makseteenuse pakkuja maksjale teenust, millega tagatakse selle makse saaja kontrollimine, kellele maksja kavatseb kreeditkorralduse saata (edaspidi „makse saaja kontrollimise teenus“). Maksja makseteenuse pakkuja osutab makse saaja kontrollimise teenust viivitamata pärast seda, kui maksja esitab asjakohase teabe makse saaja kohta, ja enne seda, kui maksjale pakutakse võimalust kõnealune kreeditkorraldus autoriseerida. Selle kohaselt peab maksja makseteenuse pakkuja kontrollima, kas makse töötlemise tingimused on täidetud enne maksejuhise autoriseerimist. Juhul, kui maksja makseteenuse pakkujal tekib autoriseerimise protsessi käigus objektiivselt põhjendatud kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel, on võimalik enne maksejuhise kättesaamist rakendada täiendavat kontrolli.
Juhul, kui makseteenuse pakkujal ei oleks õigust välkmakse maksejuhise vastuvõtmist edasi lükata ning vajadusel selle täitmisest keelduda, siis olukorras, kus makseteenuse pakkujal on objektiivselt põhjendatud kahtlus, et maksejuhist ei ole autoriseerinud isik ise ja seda tehti näiteks andmete väärkasutamise teel, ning selline maksejuhis täidetakse, siis vastutab makseteenuse pakkuja autoriseerimata maksega tekitatud kahju eest.
Kehtivas õiguses on makseteenuse pakkujatele pandud kohustus (komisjoni rakendusmäärus artikkel 2) omada tehinguseiremehhanisme, mis võimaldavad neil avastada autoriseerimata või pettuse teel tehtud maksetehinguid. Pettuste vastu võetavad meetmed võib tinglikult jagada kolmeks. Esiteks on ennetavad tehnilised meetmed, nagu näiteks kliendi tugev autentimine ning turvalised autentimisvahendid. Teiseks on erinevad kontrollimeetmed, nagu tehingute reaalaajas riskianalüüs, mis peab arvestama näiteks erinevaid maksemustreid, isiku ebatavalist käitumist jne. Kolmandaks saab pidada sekkuvaid meetmeid, ehk meetmed mida saab võtta siis, kui on tuvastatud pettusekahtlus, ning vajalikud on riske maandavad meetmed nagu näiteks maksetehingu täitmisest keeldumine. Praegu on olukord, kus seaduses sätestatud sekkumist lubavad meetmed ei ole pettuste tõkestamiseks piisavad. Ilmselgelt ei ole võimalik läbi ennetavate ja kontrollmeetmete rakendamise ära hoida kõiki pettusi. Samuti ei ole võimalik kõiki pettusi ära hoida lisaks eelnevatele ka erinevate sekkumismeetmega, kuid nende olemasolu on siiski selle eesmärgi saavutamisel oluline. Seepärast on vajalik seaduses sätestada makseteenuse pakkujatele selge alus pettusekahtluse korral rakendada maksejuhise osas lisaturvameetmeid. Kui komisjoni rakendusmääruses on makseteenuse pakkujatele peale pandud kohustus avastada autoriseerimata või pettuse teel tehtud tehinguid, siis peavad selle eesmärgi täitmiseks olema ka asjakohased meetmed, mis takistavad selliste maksetehingute tegemist.
Komisjoni rakendusmääruse põhjenduspunkt 1 näeb ette, et „Elektrooniliselt pakutavad makseteenused tuleks teostada turvaliselt, võttes kasutusele tehnoloogia, mis suudab tagada kasutaja turvalise autentimise ja vähendada maksimaalselt pettuse ohtu. Autentimismenetlus peaks üldiselt hõlmama mehhanisme tehingute seireks, et tuvastada katseid kasutada makseteenuse kasutaja isikustatud turvavolitusi, mis on kaotatud või varastatud või mida on väärkasutatud; samuti tuleks sellega tagada, et makseteenuse kasutaja on seaduslik kasutaja ja annab seega isikustatud turvavolitusi tavapärasel viisil kasutades oma nõusoleku rahaliste vahendite ülekandmiseks ja oma kontoandmetele juurdepääsuks. Lisaks tuleb kindlaks määrata nõuded seoses kliendi tugeva autentimisega, mida tuleks kasutada iga kord, kui maksja siseneb interneti kaudu oma maksekontole, algatab elektroonilise maksetehingu või teeb kaugejuurdepääsu teel mis tahes muu toimingu, mille puhul võib esineda maksepettuse või muu kuritarvitamise oht, nõudes selliste autentimiskoodide genereerimist, mille puhul ei ole ohtu, et neid saaks kas tervikuna või mõne nende genereerimiseks kasutatud elemendi avalikustamise läbi võltsida.“. Makseteenuste direktiivi ja komisjoni rakendusmäärusega makseteenuse pakkujatele pandud üldine kohustus on ennetada pettusi ja hinnata maksetega seotud riske ning makseteenuse pakkuja peab rakendama asjakohaseid turvameetmeid eelkõige olukordades, kus maksetehing võib kaasa tuua pettuse või muu väärkasutuse riski. Üheks selle eesmärgi saavutamise vajalikuks osaks on ka maksejuhise vastuvõtmise edasilükkamine, mis võimaldab nimetatud eesmärki saavutada. Komisjoni rakendusmäärus kehtib ka välkmaksete puhul.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 2 näeb ette, millel peab objektiivselt põhjendatud kahtlus põhinema ning millised asjaolud iseseisvalt ei ole piisavad maksejuhise kättesaamise edasilükkamiseks.
Sätte kohaselt peab objektiivselt põhjendatud kahtlus põhinema makseteenuse pakkuja riskihindamisel, sealhulgas Euroopa Parlamendi ja nõukogu direktiivi 2015/2366/EL makseteenuste kohta siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta (ELT L 337, 23.12.2015, lk 35–127) artiklis 98 nimetatud Euroopa Komisjoni rakendusmääruses (edaspidi komisjoni rakendusmäärus) sätestatud riskipõhisel lähenemisel ning muudel objektiivsetel asjaoludel. Makseteenuse pakkujad peavad hindama maksetega seotud riske, võttes arvesse muu hulgas näiteks maksja käitumismustreid, tehingu iseloomu ning võimalikke pettusenäitajaid. Seega lähtub kavandatav regulatsioon samast põhimõttest, mille kohaselt ei ole kõik maksed nii öelda selle poolest „võrdsed“, vaid neid hinnatakse lähtuvalt konkreetsest riskitasemest.
Komisjoni rakendusmääruse artikkel 18 käsitleb olukorda, kus makseteenuse pakkujatele antakse luba mitte kasutada kliendi tugevat autentimist juhul, kui maksja algatab elektroonilise kaugmaksetehingu, mille makseteenuse pakkuja tehinguseiremehhanismide alusel lugenud väikese riskiga tehinguks. See artikkel küsitleb küll tehingu riskianalüüsi olukorras, kus on ette nähtud erand kliendi tugeva autentimise kohustusest, kuid see artikkel piltlikustab, milliseid asjaolusid tuleb muuhulgas näiteks reaalajas toimuva riskianalüüsi käigus hinnata.
Hinnata tuleb näiteks seda, kas makseteenuse pakkujad ei ole reaalajas toimuva riskianalüüsi tulemusena avastanud ühtegi järgmistest asjaoludest: a) maksja tavapäratud kulutused või käitumismuster; b) ebatavaline teave maksja seadme/tarkvara kasutamise kohta; c) pahavaraga nakatumine autentimismenetluse mis tahes seansi kestel; d) makseteenuste osutamisega seoses teadaolev petuskeem; e) maksja tavapäratu asukoht; f) makse saaja kõrge riskitasemega asukoht.
Kehtiv VÕS ei näe otseselt ette, et juhul, kui makseteenuse pakkujal tekib objektiivselt põhjendatud kahtlus, et maksetehingu täitmiseks antud nõusolek on saadud andmete väärkasutamise, pettuse või maksja manipuleerimise teel, on tal õigus autoriseeritud maksejuhise kättesaamine täiendavaks kontrolliks edasi lükata. Kehtiv VÕS § 7243 lõige 4 sätestab, et makseteenuse pakkujal ei ole õigust keelduda autoriseeritud maksejuhise täitmisest, kui maksejuhis vastab makseteenuse lepingus määratud tingimustele ning maksejuhise täitmisega ei rikuta mõnes muus õigusaktis sätestatud kohustust. Kuid lisaks sellele, et maksejuhis peab vastama lepingus määratud tingimustele, peab maksejuhis vastama ka komisjoni rakendusmääruses kehtestatud nõuetele. Selles osas, et maksejuhise täitmisega ei rikuta mõnes muus õigusaktis sätestatud kohustusi, on eelkõige silmas peetud rahapesu ja terrorismi rahastamise tõkestamise regulatsioonist tulenevaid nõudeid. VÕS § 7246 lõige 1 küll viitab autentimise nõuetele komisjoni rakendusmääruses, kuid ei anna selget õigust maksejuhise täitmisest keelduda. Ehk et juhul, kui isik on makse autoriseerinud ka pettuse teel, ei ole VÕS § 7243 lõike 4 kohaselt makseteenuse pakkujal õigust keelduda sellise maksejuhise täitmisest.
VÕS § 7246 lõige 5 sätestab, et maksejuhist, mille täitmisest on õigustatult keeldutud, käsitatakse kättesaamata maksejuhisena tulenevalt käesoleva seaduse §-des 728 ja 7333 sätestatust. See omab tähtsust nii maksejuhise täitmise tähtaja kui ka makseteenuse pakkuja vastutuse kontekstis. Kui maksejuhise täitmisest on õigustatult keeldutud, käsitatakse maksejuhist kättesaamata maksejuhisena, see tähendab, et maksejuhisest ei tulene makseteenuse pakkujale ega ka makseteenuse kasutajale mingeid õigusi ega kohustusi.
Lisatava lõike eesmärk on tagada, et makseteenuse pakkuja õigus maksejuhise kättesaamine edasi lükata oleks selgelt piiritletud ning ei võimaldaks maksejuhise põhjendamatut kättesaamisega viivitamist. Selleks sätestatakse, et kahtlus peab olema objektiivselt põhjendatud ning tulenema riskihindamisest või muudest objektiivsetest asjaoludest.
Eraldi on välja toodud, et makseteenuse pakkuja ei või maksejuhise kättesaamise edasi lükkamisel tugineda üksnes Euroopa Parlamendi ja nõukogu määruse (EL) nr 260/2012 alusel pakutavale makse saaja kontrollimise teenusele (nn IBAN-nime kontroll). Nimetatud teenuse eesmärk on anda maksjale lisateavet makse saaja kohta, kuid selle tulem ei pruugi olla lõplik ega ammendav ning võib sõltuda andmete kättesaadavusest või tehnilistest piirangutest. Seetõttu ei saa üksnes selle teenuse tulemusest järeldada, et maksejuhis ei ole maksja poolt autoriseeritud või maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel.
Samuti ei ole piisav alus maksejuhise kättesaamise edasilükkamiseks asjaolu, et makse on makseteenuse pakkujale ebatavaline või arusaamatu. Kuigi maksejuhise ebatavalisus võib olla üks riskihindamise element, ei anna see iseseisvalt alust järeldada, et tegemist on nt pettuse või andmete väärkasutusega. Vastupidine käsitlus tooks kaasa olukorra, kus makseteenuse pakkujad võiksid laialdaselt ja ebamääraste kriteeriumide alusel maksete täitmisega viivitada. Oluline on, et makseteenuse pakkuja poolt maksejuhise kättesaamise edasilükkamine oleks erandlik ning selgelt põhjendatud. Kavandatava regulatsiooni eesmärk on tasakaalustada maksete turvalisuse ja kiiruse eesmärke ning samas mitte kahjustada maksete usaldusväärsust, võimaldades makseteenuse pakkujal maksejuhise kättesaamine edasi lükata üksnes siis, kui see on riskihindamise alusel põhjendatud, vältides samas põhjendamatuid viivitusi.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 3 näeb ette, et makseteenuse leping peab sisaldama muu hulgas tingimusi maksja teavitamiseks lisaturvameetmete rakendamisest ja põhjustest enne nende rakendamist või viivitamata pärast seda. Makseteenuse pakkuja ei pea lisaturvameetmete rakendamise põhjusi maksjale teatama, kui teabe edastamine on vastuolus objektiivselt põhjendatud turvalisuse kaalutlusega või ei ole muul seaduses sätestatud põhjusel lubatud. Selline lähenemine on kooskõlas makseteenuste direktiivi põhimõtetega, et makseteenuse pakkuja peab ühelt poolt tagama makseteenuste läbipaistvuse ja kasutajate teavitamise, kuid teiselt poolt ka maksete turvalisuse ja pettuste ennetamise. Sarnane tasakaalu leidmine on omane ka muudele menetlustele, kus isiku teavitamine võib olla piiratud, kui see ohustab turvalisust.
Lõike 3 eesmärk on tagada maksja teavitamine olukorras, kus makseteenuse pakkuja rakendab lisaturvameetmeid ja lükkab maksejuhise kättesaamise edasi. Kuna see võib mõjutada makse täitmise kiirust ja maksja ootusi selle täitmise osas, on oluline, et maksja oleks teadlik nii võimalikest meetmetest kui ka nende rakendamise tingimustest. Seeläbi saab isik teada, miks tema maksejuhise täitmine võib viibida või miks temalt nõutakse näiteks täiendavat informatsiooni. Teisalt kaitseb see ka makseteenuse pakkujat, kes saab tugineda seaduses sätestatule ning aitab vältida isikute arusaamist, et tegemist on makseteenuse pakkuja nn omavoliga.
Teavitamise kohustus hõlmab nii eelnevat kui ka vahetut teavitamist. Üldreeglina tuleks maksjat teavitada enne lisaturvameetmete rakendamist, võimaldades vajaduse korral maksjal täiendavaid selgitusi anda. Kui eelnev teavitamine ei ole võimalik, näiteks seetõttu, et turvameetme tõhusus eeldab viivitamatut sekkumist, tuleb maksjat teavitada viivitamata pärast nende meetmete rakendamist. Selline paindlikus võimaldab makseteenuse pakkujal reageerida pettustele kiiresti, kuid säilib maksja teadlikus olukorra põhjustest.
Säte tagab, et maksja ei jää teadmatusse maksejuhiste täitmist mõjutavate tegurite osas, säilitades samas võimaluse piirata teabe avaldamist juhtudel, kus see on vajalik maksete turvalisuse ja pettuste ennetamise seisukohalt.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 4 näeb ette, et kui maksja makseteenuse pakkuja lükkab maksejuhise kättesaamise lisaturvameetmete rakendamiseks edasi, siis loetakse, et makseteenuse pakkuja on maksejuhise kätte saanud hetkest, kui makseteenuse pakkuja on lõpetanud lisaturvameetmete rakendamise ja on veendunud, et maksejuhis ei ole autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Nimetatud tingimuste täitmise korral on maksja makseteenuse pakkujal kohustus saata maksetehing viivitamata makse saaja makseteenuse pakkujale.
Nimetatud lõige näeb ette, millisest hetkest alates loetakse maksejuhis makseteenuse pakkuja poolt kättesaaduks olukorras, kus makse täitmine ei alga kohe selle kättesaamisel, vaid sellele eelneb täiendav riskipõhine kontroll. Kehtivas makseteenuste regulatsioonis on maksejuhise kättesaamise hetk keskse tähtsusega, kuna sellest sõltuvad nii makse täitmise tähtajad kui ka makseteenuse pakkuja vastutus. Seetõttu on oluline vältida olukorda, kus makseteenuse pakkuja oleks kohustatud järgima täitmise tähtaegu ajal, mil ta ei ole veel saanud veenduda, kas maksejuhis on maksja poolt autoriseeritud või on see autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Kuigi makseteenuste direktiiv ja välkmaksete määrus eeldab maksete kiiret täitmist, ei saa seda igas olukorras tõlgendada viisil, mis kohustaks makseteenuse pakkujat täitma maksejuhiseid olukorras, kus esineb põhjendatud kahtlus, et need on toime pandud pettuse teel.
Lõike 4 kohaselt loetakse maksejuhis kättesaaduks alles pärast seda, kui makseteenuse pakkuja on lõpetanud lisaturvameetmete rakendamise ning on veendunud, et maksejuhis ei ole seotud andmete väärkasutamise, pettuse või maksjaga manipuleerimisega. See tagab, et makse täitmise tähtaegade arvestus algab alles hetkest, mil makseteenuse pakkuja on pärast vajalike kontrollide tegemist saanud asuda sisuliselt maksejuhist täitma.
Lõikes 4 on selgelt välja toodud, et pärast lisaturvameetmete rakendamise lõppu ning kahtluste kõrvaldamist on makseteenuse pakkujal kohustus edastada maksetehing viivitamata makse saaja makseteenuse pakkujale. Välkmaksete kontekstis on oluline, et makseteenuse pakkuja sekkumine maksejuhise täitmisesse selle kättesaamisega edasilükkamisega toimuks üksnes enne makse lõplikku töötlemist ning oleks ajaliselt selgelt piiritletud.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 5 näeb ette, et maksja makseteenuse pakkuja ei või maksejuhist lisaturvameetmete rakendamiseks edasi lükata kauemaks, kui käesoleva paragrahvi lõikes 4 nimetatud asjaolu väljaselgitamiseks mõistlikult vajalik. Võimalusel peab maksja makseteenuse pakkuja lähtuma eelkõige käesoleva seaduse §-s 728 sätestatud tähtaegadest. Nimetatud lõige sätestab lisaturvameetmete rakendamise ajapiiri kontrollimaks, kas maksejuhis vastab kõikidele selle töötlemiseks vajalikele nõuetele ega ole seotud andmete väärkasutamise, pettuse või maksjaga manipuleerimisega. See tähendab, et lähtepunktiks jäävad üldised täitmise tähtajad ning nendest võib eemalduda ainult nii palju, kui konkreetne kontrolli vajadus seda tingib. Eesmärk on tagada, et lisaturvameetmete rakendamise õigus ei oleks ajaliselt piiritlemata, vaid oleks seotud konkreetse kontrollivajaduse ja selle kestusega.
Lõike 5 mõte on tasakaalustada kahte olulist eesmärki. Ühelt poolt peab makseteenuse pakkujal olema tegelik võimalus pettuseriski korral sekkuda ning teha vajalikud maksejuhise kontrollitoimingud. Teiselt poolt ei tohi lisaturvameetmete rakendamine viia selleni, et maksete täitmine venib põhjendamatult või et makseteenuse kasutaja jääb määramata ajaks ebakindlasse olukorda. Seetõttu seob säte lubatava viivituse kestuse otseselt kontrolli eesmärgiga: viivitus on lubatav üksnes seni, kuni kestab põhjendatud kontroll ning ainult ulatuses, mis on selle kontrolli läbiviimiseks mõistlikult vajalik.
Eelnõus on loobutud rangest ajapiiri sätestamisest, sest kontrolli kestus ei pruugi kõikidel juhtudel olla sama. Mõnes olukorras piisab automaatsest kontrollist või lisakinnituse küsimisest, mille saab teha väga kiiresti, muus olukorras võib olla vaja teha täiendav riskihindamine või saada maksjalt kinnitus eri kanali kaudu.
Nimetatud tähtaeg kehtib ka välkmaksetele ning seda tuleb arvestada ka välkmaksete puhul maksejuhise täitmisel. Välkmaksete määruse kohaselt peab maksja makseteenuse pakkuja kohe pärast välkmaksejuhise kättesaamist kontrollima, kas makse töötlemise tingimused on täidetud ja kas vajalikud vahendid on olemas, ning saatma maksetehingu viivitamata saaja makseteenuse pakkujale. Saaja makseteenuse pakkuja peab omakorda tegema summa saaja kontol kättesaadavaks 10 sekundi jooksul alates sellest, kui maksja makseteenuse pakkuja välkmaksejuhise kätte sai. See näitab, et liidu seadusandja eesmärk on maksete, eriti välkmaksete, võimalikult kiire täitmine.
Teisalt ei saa turvakontrolli ajaline piirang muuta seda ebaefektiivseks. Välkmaksete määrus küll eeldab väga kiiret maksete täitmist, kuid samas säilib makseteenuse pakkuja kohustus ennetada pettusi ja rakendada turvanõudeid. Makseteenuste direktiiv ja komisjoni rakendusmäärus lähtuvad sellest, et maksete kõrgetasemeline turvalisus on makseteenuste toimimise üks põhielement. Kõnealune lõige 5 tasakaalustab neid kahte vastuolulist eesmärki: makseteenuse pakkuja võib maksejuhise kättesaamise edasi lükata, kuid ainult nii kaua, kui tal on tegelikult vaja tuvastada, kas tehing on õiguspärane; pärast seda tuleb maksejuhis saata viivitamata makse saaja makseteenuse pakkujale. Nii-öelda lubatav viivitus lõpeb siis, kui lõikes 4 nimetatud asjaolu väljaselgitamiseks mõistlikult vajalik aeg on möödunud. See võimaldab hiljem hinnata makseteenuse pakkuja tegevuse õiguspärasust ning vastutuse olemasolu.
Makseteenuste direktiivi järgi on makse täitmise tähtaeg seotud maksejuhise kättesaamise ajaga, artikli 78 lõike 1 kohaselt on maksejuhise kättesaamise aeg see hetk, mil maksja makseteenuse pakkuja maksejuhise kätte saab, ning artikli 83 lõike 1 kohaselt peab maksja makseteenuse pakkuja tagama, et pärast seda hetke kantakse maksesumma saaja makseteenuse pakkuja kontole hiljemalt järgmise tööpäeva lõpuks. Makseteenuste direktiiv näeb ette, et kui makseteenuse pakkuja keeldub õiguspäraselt maksejuhise täitmisest, loetakse selline maksejuhis täitmise tähtaegade mõttes kättesaamata maksejuhisena. Seega on maksejuhise “kättesaamise” mõiste otseselt seotud sellega, millal hakkavad kulgema täitmise tähtajad ning millal tekib makseteenuse pakkujal kohustus makset edasi töödelda.
Komisjoni rakendusmäärus lähtub tehingu riskipõhisest lähenemisest ning näeb ette, et makseteenuse pakkujatel peavad olema tehingute jälgimise mehhanismid, mis võimaldavad tuvastada autoriseerimata või pettuslike maksetehinguid. Need mehhanismid peavad põhinema maksetehingute analüüsil, arvestades seda, mis on konkreetse makseteenuse kasutaja puhul tavapärane, ning võtma arvesse vähemalt riskitegureid nagu maksja tavapäratud kulutused või käitumismuster; ebatavaline teave maksja seadme/tarkvara kasutamise kohta; pahavaraga nakatumine autentimismenetluse mis tahes seansi kestel ning makseteenuste osutamisega seoses teadaolev petuskeem (artikkel 2 lõige 2). Sama määruse põhjenduspunktis 14 on rõhutatud, et kui reaalajas riskianalüüs ei võimalda tehingut pidada madala riskiga tehinguks, tuleb makseteenuse pakkujal minna tagasi tugevdatud kontrolli juurde. Seega eeldab liidu õigus, et makseteenuse pakkuja teeb vajaduse korral lisakontrolle, kuid need kontrollid peavad olema seotud konkreetse riskihindamisega.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 6 näeb ette, et maksja makseteenuse pakkujal on õigus keelduda maksejuhise täitmisest, kui pärast käesoleva paragrahvi lõikes 1 nimetatud lisaturvameetme rakendamist ei ole olnud objektiivselt võimalik kõrvaldada kahtlust, et maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Sätte eesmärk on võimaldada makseteenuse pakkujal ennetada kahju tekkimist juba enne makse lõplikku täitmist.
Lõike 6 sõnastuses kasutatud kriteerium „objektiivselt võimalik“ piirab makseteenuse pakkuja kaalutlusruumi ning välistab keeldumise pelgalt nn üldise riskihindamise või ebamäärase põhjenduse alusel. Keeldumine eeldab, et makseteenuse pakkuja on eelnevalt rakendanud lisaturvameetmeid ning nende tulemusel ei ole kahtlust õnnestunud kõrvaldada. Seega peab keeldumise alus olema kontrollitav ja põhjendatav lähtuvalt faktiliselt olukorrast.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 7 näeb ette, et kui maksejuhise täitmine viibib käesoleva paragrahvi lõikes 1 sätestatud lisaturvameetmete rakendamise tõttu, hakkab käesoleva seaduse §-s 728 sätestatud maksejuhise täitmise tähtaeg kulgema alates maksejuhise kättesaamisest käesoleva paragrahvi lõikes 4 sätestatud tähenduses. Kõnealune lõige on seotud lõikega 4, sest juhul, kui maksejuhis loetakse kättesaaduks pärast lisaturvameetmete rakendamist, peab samas hetkest kulgema hakkama ka maksejuhise täitmise tähtaeg. Makseteenuste direktiivi artikkel 83 lähtub samuti sellest, et täitmise aeg arvutatakse alates artikli 78 tähenduses maksejuhise kättesaamise ajast. Kõnealune lõige tagab, et maksejuhise täitmise tähtaja arvestus järgib sama põhimõtet ka pettusekahtlusega juhtumite korral. Säte väldib olukorda, kus makseteenuse pakkuja satuks tähtaega rikkuma ajal, mil ta täidab seadusest tulenevat kohustust kohaldada lisaturvameetmeid.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 8 näeb ette, et kui käesoleva paragrahvi lõikes 1 nimetatud lisaturvameetmete rakendamise tulemusel täidetakse makse hilinemisega, kohaldatakse makse täitmisele käesoleva seaduse § 7333 lõigetes 41 ja 42 sätestatut.
VÕS § 7333 lõiked 41 ja 42 käsitlevad väärtuspäeva korrigeerimist hilinenud makse korral. Eelnõuga kõnealune VÕS-i lisatav § 7247 lõige 9 näeb ette õiguse lisaturvameetmete rakendamiseks ning asjaolude väljaselgitamisele, kas maksetehingu täitmiseks antud nõusolek on saadud andmete väärkasutamise, pettuse või maksja manipuleerimise teel, võib kuluda rohkem aega, kui on ette nähtud maksetehingu täitmiseks. Sellisel juhul tagab saaja makseteenuse pakkuja maksja makseteenuse pakkuja taotlusel, et saaja maksekonto krediteerimise väärtuspäevaks loetakse maksetehingu nõuetekohaseks täitmiseks määratud väärtuspäev. Seeläbi ei halvene maksja olukord, kuna kontole laekunud raha väärtuspäevaks loetakse algselt makse nõuetekohaseks täitmiseks ette nähtud kuupäev, isegi kui raha jõuab vastavale kontole tegelikult hiljem.
Kõnealune säte järgib juba kehtivat VÕS-i regulatsiooni hilinenud makse täitmise tagajärgede kohta ning ei loo selles osas eraldiseisvat regulatsiooni. Sätte eesmärk on tagada, et lisaturvameetmete rakendamine ei katkestaks kehtivas õiguses juba olemasolevat hilinenud makse täitmise tagajärgede regulatsiooni, vaid lähtuks samast loogikast. Tegemist ei ole eraldiseisva hilinenud täitmise režiimi loomisega, vaid olemasolevate tagajärgede kohaldamise täpsustamisega olukorras, kus maksetehingu täitmine viibib õiguspäraselt rakendatud lisaturvameetmete tõttu. VÕS § 7333 lõiked 41 ja 42 reguleerivad juba praegu, milline peab olema saaja maksekonto krediteerimise väärtuspäev juhul, kui makse täidetakse hilinemisega. Käesolev lõige tagab, et sama põhimõte kohaldub ka siis, kui hilinemise põhjus seisneb makseteenuse pakkuja poolt pettuskahtluse kontrollimiseks rakendatud lisaturvameetmetes. Sellega välditakse olukorda, kus makse formaalselt hilineb, kuid hilinemise mõju saaja konto väärtuspäeva osas jääks reguleerimata. Lahendus on kooskõlas ka makseteenuste direktiivis sätestatud hilinenud täitmise regulatsiooniga, mille kohaselt tuleb hilinenud makse korral tagada, et saaja konto krediteerimise päev ei oleks hilisem päevast, mil tehing oleks pidanud olema õigesti täidetud. Makseteenuste direktiivi artikkel 89 näeb selle põhimõtte sõnaselgelt ette.
Kui maksejuhise on algatanud maksja, kohaldub VÕS § 7333 lõige 41. Selle järgi tagab saaja makseteenuse pakkuja maksja makseteenuse pakkuja taotlusel, et saaja maksekonto krediteerimise väärtuspäevaks loetakse maksetehingu nõuetekohaseks täitmiseks määratud väärtuspäev. Seega tagab lõige 8, et lisaturvameetmete tõttu tekkinud viivitus ei muudaks hilinenud makse tagajärgede käsitlust võrreldes muude hilinenud maksetega. Maksja algatatud makse puhul näiteks olukord, kus isik teeb internetipangas ülekande teisele isikule. Tegemist on maksja algatatud maksega ning kohaldub VÕS § 7333 lõige 41.
Kui makse on algatatud saaja poolt või tema kaudu, kohaldub VÕS § 7333 lõige 42. Selle järgi loetakse saaja maksekonto krediteerimise väärtuspäevaks samuti maksetehingu nõuetekohaseks täitmiseks määratud väärtuspäev. Kõnealusel juhul näiteks kui makse saaja algatatud makse korral võetakse isiku kontolt otsekorralduse alusel makse kommunaalteenuse osutajale. Sellisel juhul kohaldub VÕS § 7333 lõige 42.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 9 näeb ette, et makseteenuse leping võib sisaldada tingimust, mille kohaselt maksja ei või nõuda lisaturvameetmete rakendamiseks maksejuhise kättesaamise edasi lükkamise korral maksja makseteenuse pakkujalt kahju hüvitamist. Hüvitist ei või nõuda tingimusel, et nimetatud turvameetmeid rakendatakse ebamõistliku viivituseta ning rakendamise aluseks on objektiivselt põhjendatud kahtlus, et maksejuhise autoriseerimiseks antud nõusolek on saadud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. See lepingu tingimus ei välista ega piira maksja muu nõude esitamist muul alusel.
Kui makseteenuse pakkuja rakendab maksetehingu kontrollimiseks lisaturvameetmeid võib selle peale kuluda rohkem aega, kui on ette nähtud maksetehingu täitmiseks. Alati ei pruugi lisaturvameetmete rakendamise tulemuseks olla maksejuhise täitmisest keeldumine, kuna kontrolli tulemusel selgub, et tegemist ei ole pettusega ning isik on andnud nõusoleku maksetehingu täitmiseks. Juhul, kui makseteenuse pakkuja on turvameetme täiendava rakendamise läbi viinud õiguspäraselt vastavalt eelnõuga VÕS-i lisatava § 7339 lõike 3 tingimustele, ei vastuta makseteenuse pakkuja kahju eest, mis on tekkinud tehingu hilinenud täitmise tõttu.
Sätte eesmärk on tagada, et makseteenuse pakkuja ei oleks kohustatud kandma kahju seetõttu, et ta tegutses maksja kaitseks ja tema pettuseohvriks langemise ärahoidmiseks. Kui makseteenuse pakkuja rakendab põhjendatud kahtluse korral viivitamata lisaturvameetmeid on selle eesmärgiks kliendi kaitse. Sellises olukorras oleks ebamõistlik panna makseteenuse pakkujale automaatne kahju hüvitamise kohustus pelgalt ajutise viivituse tõttu. Säte tasakaalustab maksja huvi makse kiire täitmise vastu ning maksesüsteemi turvalisuse tagamist.
Kõnealuse lõikes 9 vastutuse piiramine on sõnastatud kitsalt ja tingimuslikult. Vastutus ei ole välistatud igas olukorras, vaid eeldab kumulatiivselt, et lisaturvameetmeid rakendatakse ebamõistliku viivituseta ning nende aluseks on objektiivselt põhjendatud kahtlus. Lisaks on sättes selgelt toodud, et see lepingu tingimus ei välista ega piira maksja muu nõude esitamist muul alusel. Seega ei kõrvalda muudatus makseteenuse pakkuja üldist vastutust ega kahjusta maksja õigust tugineda muudele õiguskaitsevahenditele, kui makseteenuse pakkuja on tegutsenud õigusvastaselt, ebaproportsionaalselt või põhjendamatult. Selline lahendus on kooskõlas makseteenuste direktiivi üldise vastutuse loogikaga, mille kohaselt makseteenuse pakkuja vastutus makse mittetäitmise, puuduliku täitmise või hilinenud täitmise eest on reguleeritud, kuid direktiiv ei välista, et riigisisene õigus näeb ette riigisisese vastutuse. Kõnealune säte ei muuda üldiselt makseteenuste direktiivi kahju hüvitamise loogikat, kus makseteenuse pakkuja vastutab autoriseerimata kahju hüvitamise eest. Kõnealust põhimõtet ei muudeta, sest muudatuse näol on tegemist võimaliku kahjuga, mis on tekkinud autoriseeritud maksejuhise kontrollimisel ja maksejuhise hilisema täitmise korral. On oluline rõhutada, et käesolev muudatus annab makseteenuse pakkujatele õiguse keelduda autoriseeritud maksejuhise täitmisest, mis on erinev üldisest loogikast, et makseteenuse pakkuja ei või keelduda autoriseeritud maksejuhise täitmisest. Ehk et olukorras, kus makseteenuse pakkuja ei ole tõkestanud maksejuhise täitmist, mille isik on ise manipuleerimise teel PIN 2-ga kinnitanud, siis tegemist on ikkagi autoriseeritud maksejuhisega ning sellises olukorras ei kohaldu makseteenuse pakkuja vastutus autoriseerimata makse puhul kahju hüvitamiseks.
Eelnõu §-ga 2 muudetakse KAS-i.
Eelnõu § 2 punktiga 1 täiendatakse KAS §-i 88 lõike 3 punkti 1 pärast tekstiosa „käesolevas paragrahvis“ tekstiosaga „või käesoleva seaduse §-s § 894“.
KAS § 88 lõige 3 punkt 1 sätestab krediidiasutuse õiguse avaldada pangasaladust kolmandale isikule, kui krediidiasutuse õigus või kohustus avaldada pangasaladust tuleneb käesolevas paragrahvis sätestatust. See annab ammendava loetelu, mille kohaselt on krediidiasutusel õigus avaldada pangasaladust kolmandale isikule üksnes juhul, kui selline õigus või kohustus tuleneb KAS § 88 muudest sätetest, ehk muudel alustel ei ole võimalik pangasaladust avaldada. Eeltoodust tulenevalt sätestatakse KAS §-i 88 ka võimalus avaldada pangasaladust eelnõuga loodava § 894 alusel.
Eelnõu § 2 punktiga 2 täiendatakse KAS-i 7. peatüki 3. jaotist §-ga 894.
KAS-i lisatav uus paragrahv annab krediidiasutustele selged õiguslikud alused avaldada andmeid ja teavet pettuste avastamiseks ja väljaselgitamiseks juhul, kui krediidiasutusel on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega. Kehtiv KAS § 88 reguleerib iseenesest juba pangasaladuse avaldamist, mh näeb ette, et millistel tingimustel ja kuidas võib pangasaladust edastada nii PPA-le kui RIA-le. Samas kehtiv KAS § 88 ei näe otseselt ette krediidiasutustele õigust jagada pettuse kahtluse korral andmeid nii teiste krediidiasutustega, makseasutuste ja e-raha asutustega kui ka teiste ametiasutustega. Uue KAS §-s 894 ettenähtud andmete puhul ei pruugi aga tingimata tegemist olla pangasaladusega (nt tegemist võib olla koondandmetega või muude sarnaste andmetega, mille põhjal ei saa kindlaks teha üksikkliendi andmeid). Tulenevalt eeltoodust on otsustatud, et ei täiendata kehtivat KAS §-i 88, vaid konstrueeritakse KASi vastav uus § 894. Lisaks tuleb suure tõenäosusega vastav normistik kehtetuks tunnistada, kui tulevikus hakkab kehtima eespool nimetatud EL makseteenuste määrus (ehk ka õigustehniliselt on lihtsam kustuda eraldiseisvat paragrahvi).
KAS uue §-i 894 lõike 1 kohaselt antakse krediidiasutusele õigus avaldada erinevat teavet, mh pangasaladust teisele krediidiasutusele, makseasutusele ja e-raha asutusele ning PPA-le maksetehingutega seotud pettuste avastamiseks ja väljaselgitamiseks juhul, kui krediidiasutusel on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega. Pettuste tõkestamisel on oluline kiirus ning koostöö, et oleks võimalik operatiivselt sekkuda. Kehtiva KAS-i § 88 lõike 5 punkt 2 võimaldab pangasaladuse avaldamist uurimisasutusele üksnes kriminaalmenetluse raames. Seega on politseil küll võimalik saada pettuste uurimisel informatsiooni, kuid see on piiratud, sest andmete avaldamine eeldab kriminaalmenetluse algatamist. Eelnõuga kavandatav paragrahv loob õigusliku aluse, mis võimaldab krediidiasutusel objektiivselt põhjendatud pettuse kahtluse korral edastada andmeid enne kriminaalmenetluse algatamist. See võimaldab kiiremat reageerimist ja kahju tekkimist olukordades, kus menetluse alustamine võib toimuda alles pärast esmast juhtumi analüüsi ning pettuse ärahoidmise vaatest seega liiga hilja.
Antud juhul nähakse ette andmete jagamine krediidiasutusele õigusena, kui selliste andmete jagamine osutub krediidiasutuse hinnangul vajalikuks. Pangasaladuse avaldamine ei ole lubatud iga kahtluse korral, vaid juhul, kui selleks on objektiivselt põhjendatud pettuse kahtlus, näiteks:
• isik võib olla seotud pettuse toimepanemisega või konkreetne maksetehing võib olla seotud pettusega, ning see peab tuginema kontrollitavatele asjaoludele;
• esinevad pettustele iseloomulikud tehingumustrid, kus lühikese aja jooksul tehakse mitmeid uutele saajatele suurtes summades ülekandeid ning samuti tehnilised andmed, kus seade või sessioon kattub varem tuvastatud pettusega.
Uue paragrahvi § 894 lõige 2 näeb ette, millist liiki andmete avaldamine lubatud on. Pettuseid ei pruugi olla võimalik avastada nn üksiku „andmetüki“ põhjal, vaid praktikas on vajalik andmete kogum, mille põhjal saab omavahel siduda pettuse kahtlusega isikud, kontod, seadmed, sessioonid jne.
Antud lõike punktis 1 nimetatud andmed kliendi kohta on isiku tuvastamiseks vajalikud unikaalsed identifikaatorid, mille abil saab kindlaks teha millise isikuga on tegemist. Nendeks võivad olla näiteks kliendi-ID, isikukood või kontonumber. Näiteks krediidiasutus A tuvastab, et kliendi kontolt tehakse ebaharilikke makseid erinevatele saajatele ning on alus kahtlustada pettuse toimepanemist, siis on võimalik teavitada krediidiasutust B, kellele makseid tehakse ning edastada isiku andmed, et saaks kontrollida, kas saaja või tema maksekonto võib olla seotud pettusega.
Punkti 2 kohaselt saab edastada andmeid makse saaja ja maksekonto kohta, mis on vajalikud saaja identifitseerimiseks, et tuvastada pettuse ahelas saaja pool. Näiteks olukord, kus mitmed isikud teevad ebaharilikke makseid ühele makse saajale. Sel juhul saab krediidiasutus edastada makse saaja krediidiasutusele kõnealused andmed, et teine krediidiasutus saaks hinnata, kas tegemist võib olla nn rahamuula maksekontoga. See aitab tuvastada erinevate petta saanud isikute maksed sama makse saaja krediidiasutusele ning takistada raha liikumist rahamuulade maksekontode vahel.
Punkti 3 kohaselt saab edastada andmeid maksetehingute kohta, mis on konkreetse maksetehingu tunnused, näiteks tehingu ID. Nimetatud andmed maksetehingu kohta hõlmavad üksnes konkreetse pettusekahtlusega seotud makse asjaolusid, mis on vajalikud pettuse avastamiseks ja väljaselgitamiseks. Nende andmete all ei peeta silmas kliendi konto väljavõtet ega muud terviklikku ülevaadet kliendi maksekäitumisest, selliste andmete väljastamine ei ole lubatud. Konto väljavõtte avaldamine ületaks kõnealuse regulatsiooni eesmärgi ning ei oleks kooskõlas andmete minimaalsuse põhimõttega. Seetõttu on lubatud avaldada üksnes selliseid konkreetse maksetehingu andmeid, nagu tehingu aeg, tehingu liik, kasutatud kanal või muud asjaolud, millel on vahetu tähendus pettusekahtluse kontrollimiseks.
Punktis 4 nimetatud andmed kasutatud seadme, makseinstrumendi või turvaelementide kohta on vajalikud selleks, et maksetehinguga seotud pettusi oleks võimalik avastada ja välja selgitada ka olukorras, kus pettusekahtlus ei ilmne üksnes kliendi, saaja või konkreetse makseandmete pinnalt, vaid eeskätt sellest, millise tehnilise vahendi või autentimisviisiga tehing tehti. Pettused võivad avalduda näiteks olukordades, kus kasutatakse sama seadet, sama autentimisvahendit või samu turvaelemente mitme kahtlase tehingu tegemisel. Selliste andmete võrdlemine võimaldab tuvastada pettusmustreid, seostada omavahel eri juhtumeid ning hinnata, kas tegemist võib olla andmete väärkasutamise, identiteedi kuritarvitamise või muu pettusliku skeemiga.
Kasutatud seadme, makseinstrumendi või turvaelementide kohta käiv teave ei kattu täielikult ei kliendiandmete, makse saaja ja maksekonto andmete ega ka üksnes maksetehingu andmetega. Kliendi või konto tuvastamine ei näita veel, kuidas tehing tehniliselt tehti või milliseid autentimisvahendeid kasutati. Just seadme, makseinstrumendi või turvaelementide kohta käiv info võib osutada, et näiliselt erinevad tehingud on tegelikult omavahel seotud, näiteks kui need on tehtud sama seadme või sama maksevahendi abil. Selline teave võib olla määrava tähtsusega, et eristada kliendi tavapärast maksekäitumist olukorrast, kus maksevahendit või autentimisvahendeid on väärkasutatud.
Andmeteks on näiteks seadme- ja sessiooniandmed ning muud pettuse tuvastamist võimaldavad tehnilised andmed, mille alusel saab tuvastada, kas makse algatamise keskkond on ebatavaline, näiteks seadme-ID, brauser, IP-aadress. See aitab tuvastada, kas erinevate isikute kontodelt algatatakse makseid sama seadmega või samalt IP-aadressilt, kuigi isikud on erinevates piirkondades. Nende andmete jagamine aitab tuvastada pettuse toimepanemist laiemalt erinevate krediidiasutuste üleselt, mida üks krediidiasutus oma andmete pinnalt ei pruugi tuvastada.
Punktiga 5 nähakse ette andmete ja teabe jagamine maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo kohta. See on andmed ja teave mille järgi on näha, et tegemist võib olla pettus või muu süüteoga. Tegemist ei pea olema juba kinnitust leidnud pettusjuhtumiga, vaid pigem andmete ja tunnustega, mis osutavad võimalikele rikkumise tunnustele. Siia võivad kuuluda näiteks andmed ebatavalise käitumismustri kohta, vastuolud makse algatamise tavapärases loogikas, andmed selle kohta, et kasutatud on võõrast või ootamatut seadet, turvaelemente on kasutatud ebatavapärasel viisil, või muud asjaolud, mis eraldi või kogumis loovad objektiivselt põhjendatud kahtluse, et tehing võib olla seotud pettuse või muu süüteoga. See on suunatud ennekõike süüteotunnuste, riskinäitajate ja kahtlust toetavate asjaolude kirjeldamisele. Selle punkti eesmärk on võimaldada vahetada sellist teavet, mis aitab pettust või muud võimalikku süütegu tuvastada, selle olemasolu kontrollida ja hinnata, kas on alust võtta kasutusele täiendavaid meetmeid.
Erinevalt punktist 6 ei ole käesoleva punkti 5 puhul tegemist juba toimunud pettusejuhtumiga. Pettuste avastamise ja väljaselgitamise seisukohast on oluline võimalus vahetada ka sellist teavet, mis ei kirjelda veel lõplikult tuvastatud pettust, kuid mis võib viidata pettuse või muu süüteo tunnustele ning aidata ennetada kahju tekkimist või levikut. Samal ajal on vajalik eraldi nimetada ka juba toime pandud pettuse teel tehtud tehingud ja pettusekatsed, sest nende kohta kogutav ja vahetatav teave on tavaliselt konkreetsem, detailsem ja otsesemalt seotud konkreetse juhtumi lahendamisega.
Punktiga 6 nähakse ette andmete ja teabe jagamine pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta. Need on andmed ja teave toime pandud või toime panna üritatud pettusjuhtumi ning selle konkreetsete asjaolude kohta. Need on nn pettuseindikaatorid, mis kirjeldavad petuskeemi toimimist, nagu näiteks tehingu ajastus ja korduvad summad ning mitme isiku samasugused käitumisjooned. See aitab pettuste toimepanemist avastada näiteks olukorras, kus mitmed kliendid saavad samal päeval panga nimel petukõnesid, siis on võimalik jagada pettusekatsete mustreid teiste krediidiasutustega ning tuvastada nn saripettuse toimepanemine võimalikult vara ka teistel krediidiasutustel ning seeläbi kahjusid vähendada.
Eeltoodu võib olla tuvastatud manipuleerimise tehnikad või muud pettuslikud võtted. Pettuse toimepanijate nn töövõtted on näiteks krediidiasutuse töötajana esinemise legend, kiire tegutsemise surve kindlate pettuse liikide puhul, pahavara allalaadimise juhendamine jne. Näiteks krediidiasutusele teavitavad mitmed isikud samasuguse sisuga krediidiasutuse töötajana esinenud pettuslikust kõnest.
Uue § 894 lõikega 3 nähakse krediidiasutusele ette õigus avaldada pangasaladust ka RIA-le. Kehtiv KAS § 88 lg 43 annab krediidiasutusele õiguse avaldada pangasaladust RIA-le küberturvalisuse seaduses sätestatud riikliku järelevalve tegemisel.
RIA on Eesti küberturvalisuse keskus, mis tegeleb avaliku sektori ja kriitilise infrastruktuuri küberturvalisusega ning on võrgu- ja infosüsteemide turbe direktiivi (NIS)13 mõistes küberturvalisuse pädev asutus ja kontaktpunkt.
Nagu eespool juba märgitud, siis uue paragrahvi kohaselt RIA-le avaldatatavad andmed ei pruugi kõik kvalifitseeruda pangasaladuseks. Lisaks arvestades RIA ülesannet on temale avaldada lubatud andmete koosseis lõike 3 näol kitsam (kui lõikes 1 PPA puhul), piirdudes üldisemalt andmetega pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta ning maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo tuvastamist võimaldavaid andmeid. RIA-le ei avaldata andmeid ja teavet 1) kliendi tuvastamiseks; 2) makse saaja ja maksekonto kohta ning 3) maksetehingute kohta, sealhulgas muid makseandmeid.
Lõikes 3 nähakse ette, et RIA-le saab andmeid jagada küberturvalisuse seaduse (edaspidi KüTS) § 5 lõige 3 punkt 3 alusel. See punkt sätestab, et RIA täidab EL direktiivi (EL) 2022/2555 artikli 10 lõikes 1 nimetatud küberintsidentide käsitlemise üksuse ülesanded. Eelnimetatud direktiivi artikli lõige 2 viitab ülesannetele, mis on sätestatud direktiivi artikli 11 lõikes 3. Näiteks on artikli 11 lõike 3 kohaselt vastavateks ülesanneteks:
- tagada küberohtude, nõrkuste ja intsidentide kohta varajaste hoiatuste, hoiatuste ja teadete edastamine ning teabe levitamine asjaomastele elutähtsatele ja olulistele üksustele ning pädevatele asutustele ning muudele asjaomastele sidusrühmadele, võimaluse korral reaalajalähedaselt;
- lahendada intsidente ning, kui see on kohaldatav, abistada asjaomaseid elutähtsaid ja olulisi üksusi.
Kuna kehtiv KAS annab võimaluse avaldada pangasaladust üksnes riikliku järelevalve tegemisel, ei ole RIA-l võimalik väljaspool seda sekkuda küberturvalisust ohustavatele olukordadele. Majandus- ja kommunikatsiooniministeeriumi 25. aprilli 2011. aasta määruse nr 28 „Riigi Infosüsteemi Ameti põhimäärus“ § 8 lõike 4 punkti 3 kohaselt täidab küberturvalisuse valdkonnas amet küberturvalisuse seaduse § 5 tähenduses pädeva asutuse, ühtse kontaktpunkti, ulatuslike küberintsidentide ja kriiside ohjamise eest vastutava pädeva asutuse, küberintsidentide käsitlemise üksuse ja turvahaavatavuse koordineeritult avaldamise koordinaatori ülesandeid ning koordineerib küberintsidentide käsitlemist. Sama paragrahvi lõige 4 punkt 4 kohaselt korraldab küberturvalisuse amet küberturvalisust ohustavate riskide seiret, analüüsi ja ohtudest teavitamist. KAS-i lisatav uus paragrahv annab võimaluse avaldada andmeid ja teavet ka olukordades, mis on väljaspool riikliku järelevalve menetlust. See annab võimaluse sekkuda küberintsidentide puhul operatiivselt. Andmete avaldamise korral üksnes järelevalve menetluse raames jõuab teave RIA-le liiga hilja ning see takistab RIA-l sekkuda intsidentidesse reaalajas.
RIA töötleb andmeid avalikes huvides oleva ülesande täitmiseks, milleks on küberintsidentide käsitlemine ja küberturvalisust ohustavate riskide ennetamine. Maksetehingutega seotud pettused on sageli seotud infosüsteemide ründamise, autentimisvahendite kuritarvitamise või muu küberohuga ning võivad kujutada endast osa laiemast või koordineeritud küberintsidendist. Selliste juhtumite puhul ei ole tegemist üksnes isiku varakahjuga, vaid riskiga maksesüsteemide ja infosüsteemide turvalisusele laiemalt. RIA kui küberturvalisuse pädev asutus vajab teavet pettuse olemuse, ründeviiside ja kasutatud tehniliste vahendite kohta, et tuvastada rünnakumustreid, hinnata riske ning vajaduse korral teavitada teisi teenuseosutajaid ja koordineerida reageerimist.
Kokkuvõttes ei avaldata RIA-le andmeid kliendi tuvastamiseks, makse saaja ega maksekonto andmeid ega muid makseandmeid. Avaldada on lubatud üksnes pettuse teel tehtud tehingute või pettusekatsete asjaolusid ning maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo tuvastamist võimaldavaid andmeid. Seega on andmete avaldamine suunatud eeskätt tehnilise ja mustripõhise analüüsi võimaldamisele, mitte üksikisikute tuvastamisele.
Uue § 894 lõike 4 kohaselt on krediidiasutusel õigus avaldada e-identimise ja e-tehingute usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale käesoleva paragrahvi lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja, seadme- ja sessiooniandmed ning kasutaja elektroonilise side võrgu identifikaatori andmed.
Nimetatud andmete avaldamise vajadus seisneb selles, et pettusekahtluse korral ei pruugi krediidiasutusel olla võimalik üksnes enda valduses oleva info põhjal kontrollida, kas e-allkirjastamine või muu usaldusteenuse kasutamine toimus tegelikult selle kasutaja enda poolt või kasutati seda pettuslikult. Usaldusteenuse osutaja on see osapool, kellel on info e-allkirjastamise või muu usaldusteenuse kasutamise tehniliste andmete kohta. Seetõttu võib pettuse avastamiseks või väljaselgitamiseks olla vajalik, et krediidiasutus saaks konkreetse juhtumi puhul avaldada usaldusteenuse osutajale piiratud hulka identifitseerivaid ja tehnilisi andmeid. Andmete avaldamine on ühepoolne ning selle põhjal saab usaldusteenuse osutaja kontrollida, kas tema teenust on konkreetse pettusekahtlusega juhtumi raames kasutatud pettuse teel, ning rakendada vajaduse korral enda pädevuses olevaid kaitsemeetmeid, näiteks teenuse kasutamist ajutiselt piirata.
Ilma kõnealuste andmeteta ei oleks võimalik usaldusteenuse pakkujal kontrollida, kas vaidlusalune allkirjastamistoiming või muu usaldusteenuse kasutamine toimus sama isiku nimel, kelle maksetehingu suhtes tekkis pettusekahtlus. Seadme- ja sessiooniandmed on vajalikud selleks, et võrrelda, kas konkreetne teenuse kasutus langes kokku usaldusteenuse osutaja süsteemides registreeritud tehniliste tunnustega, näiteks kas kasutati sama seadet, sama sessiooni või sarnast tehnilist keskkonda. Kasutaja elektroonilise side võrgu identifikaatori andmed aitavad kontrollida, kas vaidlusalune kasutamine toimus samast võrgukeskkonnast või sama tehnilise lähtepunkti kaudu, mis seostub ka võimaliku pettusliku maksetehinguga. Säte eesmärk on lubada andmete avaldamist üksnes konkreetse pettusekahtlusega juhtumi kontrollimiseks ja ulatuses, mis võimaldab konkreetset juhtumit kontrollida.
Uue § 894 lõikega 5 nähakse ette, et andmete ja teabe avaldamisel ei ole lubatud avaldada eriliiki isikuandmeid. Andmete ja teabe avaldamise eesmärk on maksepettuse avastamine ja väljaselgitamine ning selle eesmärgi saavutamiseks ei ole eriliiki isikuandmete avaldamine üldjuhul vajalik. See suurendaks põhiõiguste riivet ja oleks vastuolus andmete minimaalsuse ning ebaproportsionaalne.
Eelnõu §-ga 3 muudetakse MERAS-t.
Eelnõu §-ga 3 täiendatakse MERAS §-i 63³ lõigetega 2 ja 3. Lõike 2 kohaselt on makseteenuse pakkujatele õigus avaldada andmeid ja teavet teisele makseasutusele ja e-raha asutusele, krediidiasutusele, PPA-le ning RIA-le maksepettuste avastamiseks ja väljaselgitamiseks krediidiasutuste seaduse §-is 894 sätestatud tingimustel. Kuna makseteenuseid osutavad ka makseasutused ja e-raha asutused, antakse ka neile krediidiasutusega samasugune õigus andmeid avaldada. Vastasel juhul jääb osa teenusepakkujaid pettuste ennetustegevusest väljapoole just puuduva info tõttu. Andmete avaldamise eesmärk ja koosseis on sama nagu krediidiasutustel.
Lõike 3 kohaselt on makseteenuse pakkujal on õigus avaldada E-identimise ja e-tehingute usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale krediidiasutuste seaduse § 894 lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja isikukood, seadme- ja sessiooniandmed ning kasutaja elektroonilise side võrgu identifikaatori andmed. Ka siin on andmete avaldamise eesmärk ja koosseis sama nagu krediidiasutustel.
4. Eelnõu vastavus Eesti Vabariigi põhiseadusele
4.1 Andmete avaldamise ja töötlemise vastavus põhiseadusele
Isikute põhiõigus võib piirata ainult kooskõlas põhiseadusega. Isikute põhiõigustesse sekkumine on põhiseaduspärane, kui see on formaalselt ja materiaalselt põhiseadusega kooskõlas. Materiaalne põhiseaduspärasus tähendab, et põhiõiguse riive on kehtestatud (a) legitiimselt ehk põhiseadusega lubatava eesmärgi saavutamiseks ning (b) on selle legitiimse eesmärgi saavutamiseks proportsionaalne. Materiaalset põhiseaduspärasust kontrollitakse järgmise skeemi alusel: esmalt tehakse kindlaks põhiõiguse esemeline ja isikuline kaitseala ning seejärel kirjeldatakse, kuidas õigusakt põhiõigust riivab. Tuleb hinnata, kas riivel on legitiimne eesmärk ning teostada proportsionaalsuse test - kas riive on legitiimse eesmärgi saavutamiseks sobiv, vajalik ja mõõdukas. Andmete kogumine füüsiliste ja juriidiliste kohta riivab eelkõige õigust eraelu puutumatusele (PS § 26) ja õigust informatsioonilisele enesemääramisele (PS § 19). Õigus eraelu puutumatusele PS § 26 kaitseb isiku õigust eraelu puutumatusele ning keelab riigil sellesse sekkuda muul juhul, kui seaduses sätestatud juhtudel ja korras tervise, kõlbluse, avaliku korra või teiste inimeste õiguste ja vabaduste kaitseks, kuriteo tõkestamiseks või kurjategija tabamiseks. Õigus informatsioonilisele enesemääramisele Samuti riivab isikuandmete töötlemine PS §-ist 19 tulenevat isiku informatsioonilist enesemääramist. Informatsiooniline enesemääramine tähendab, et igaühel on õigus ise otsustada, kas ja kui palju tema kohta andmeid kogutakse ja salvestatakse.
Andmete töötlemise eesmärk on maksetehingutega seotud pettuste avastamine ja väljaselgitamine ning kaitsta seeläbi makseteenuse kasutajaid varalise kahju eest. Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti e kohaselt on isikuandmete töötlemine seaduslik juhul, kui isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Pettused makseteenuste valdkonnas põhjustavad klientidele varalist kahju ning kahjustavad usaldust maksesüsteemi kui terviku vastu. Pettuste ärahoidmine on ka üheks makseteenuste direktiivi eesmärgiks ning artikli 94 lõike 1 kohaselt liikmesriigid lubavad maksesüsteemidel ja makseteenuse pakkujatel töödelda isikuandmeid, kui see on vajalik maksepettuste ärahoidmise, uurimise ja avastamise tagamiseks.
Eelnõu annab makseteenuse pakkujatele õiguse avaldada pettusekahtluse korral piiratud adressaatide ringile andmeid kliendi, makse saaja, maksekonto, maksetehingu, pettuse või muu süüteo tunnustele vastava teo, kasutatud seadme, makseinstrumendi või turvaelementide ning pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta. Kuna riive ei ole kõigi andmekategooriate puhul ühesugune, tuleb põhiseaduspärasust hinnata erinevate andmekategooriate kaupa, mis võimaldab hinnata, kas iga konkreetse andmeliigi avaldamine on eesmärgi saavutamiseks sobiv, vajalik ja mõõdukas.
1. Kliendi kohta käivate andmete avaldamine
Kliendiandmete avaldamine riivab eraelu puutumatust ja informatsioonilist enesemääramist, sest tegemist on isikut tuvastada võimaldava teabega. Kliendiandmete avaldamise legitiimne eesmärk on maksepettuste avastamine ja väljaselgitamine ning seeläbi teiste isikute varaliste õiguste kaitse ja kuritegude tõkestamine. Nende andmete avaldamine on eesmärgi saavutamiseks sobiv, sest ilma kliendi identiteeti siduva teabeta ei ole võimalik kontrollida, kas sama isik on seotud ka teiste võimalike pettuse juhtumitega teiste makseteenuse pakkujate juures või PPA menetlustes. Pettustega seotud teave on praktikas sageli killustunud erinevate krediidiasutuste, teiste makseteenuse pakkujate ja ametite vahel ning kliendi andmete õigeaegne jagamine võimaldab kontrollida, kas ta on seotud teiste samalaadsete juhtumisega. Andmeid avaldatakse määratletud isikute ringile ning konkreetsel eesmärgil.
Meede on ka vajalik, sest vähem riivavam lahendus, näiteks pseudonümiseeritud või anonüümseks muudetud andmed ei võimaldaks konkreetset isikut tuvastada ega seostada erinevates süsteemides ilmnenud pettusekahtlustega. Mõõdukuse seisukohalt kaalub riivega saavutatav hüve võimaliku kahju üles, kui avaldatakse üksnes konkreetse juhtumi lahendamiseks vajalikud kliendiandmed, mitte kogu kliendiprofiil või kliendisuhte ajalugu.
2. Makse saaja ja maksekonto kohta käivate andmete avaldamine
Ka makse saaja ja maksekonto kohta andmete avaldamise legitiimne eesmärk on maksepettuste avastamine ja väljaselgitamine ning seeläbi teiste isikute varaliste õiguste kaitse ja kuritegude tõkestamine. Nende andmete avaldamine on eesmärgi saavutamiseks sobiv, sest pettuse teel saadud rahalised vahendid kantakse konkreetsele makse saajale ja maksekontole ning pettuste avastamiseks ja väljaselgitamiseks on vaja tuvastada, kuhu rahalised vahendid kanti ja samuti kas sama konto või saaja on seotud teiste sarnaste juhtumisega. Meede on vajalik, sest ilma andmeteta makse saaja ja maksekonto kohta ei oleks teistel makseteenuse pakkujatel ega PPA-l võimalik konkreetset maksetehingut kontrollida ega võtta vajaduse korral samme kahju vältimiseks või selle suurenemiseks. Oluline on, et maksekonto väljavõtte avaldamine on keelatud ehk et ei ole võimalik teha selle põhjal järeldusi nt isiku finantssuhete, varalise seisu või üldiselt maksekäitumise kohta. Seetõttu saab meedet pidada mõõdukaks, kuna teavet avaldatakse üksnes konkreetse juhtumi kohta ning ulatuses, mis on vältimatult vajalik pettuse avastamiseks või väljaselgitamiseks. Ainult makseteenuse pakkuja sisemisest kontrollist ei pruugi piisata, kui pettus hõlmab teise makseteenuse pakkujate kontot ning teise makseteenuse pakkuja kaudu tehtud tehinguid, mis ilmnevad alles eri juhtumite omavahelisel võrdlemisel.
3. Maksetehingu kohta käivate andmete avaldamine
Kõnealuste andmete avaldamine on eesmärgi saavutamiseks sobiv, sest pettuse avastamine ei sõltu üksnes osapoolte identifitseerimisest, vaid ka võimaliku pettusliku maksetehingu tunnustest. Nimetatud andmed maksetehingu kohta hõlmavad üksnes konkreetse pettusekahtlusega seotud makse asjaolusid, mis on vajalikud pettuse avastamiseks ja väljaselgitamiseks. Nende andmete all ei peeta silmas kliendi konto väljavõtet ega muud terviklikku ülevaadet kliendi maksekäitumisest, selliste andmete väljastamine ei ole lubatud. Näiteks võib maksetehingu summa, ajastus ning selle unikaalne tunnus maksetehingu üheselt kindlaks teha. Vähem õigusi riivama meetmena näiteks üksnes anonümiseeritud või statistilise info jagamine ei võimaldaks konkreetse pettuskahtluse korral tuvastada asjaosalisi ning siduda konkreetseid tehinguid ja kontosid ega võtta viivitamata tarvitusele abinõusid konkreetse kahju ärahoidmiseks. Samuti ei täidaks eesmärki see, et andmeid võiks edastada alles pärast süüteomenetluse alustamist, sest pettuste puhul on andmete kiirel liikumisel otsene tähtsus kahju tekkimise või selle suurenemise ärahoidmisel. Seetõttu on kavandatud piiratud andmevahetuse õigus eesmärgi saavutamiseks vajalik.
4. Andmed kasutatud seadme, makseinstrumendi või turvaelementide kohta
Meede on eesmärgi saavutamiseks sobiv, sest maksepettused on tihti seotud korduvate tehniliste tunnustega ning sama seade, makseinstrument või autentimisviis võib siduda näiliselt eraldiseisvaid juhtumeid. Kasutatud seadme, makseinstrumendi või turvaelementide kohta käiv teave ei kattu täielikult ei kliendiandmete, makse saaja ja maksekonto andmete ega ka üksnes maksetehingu andmetega. Kliendi või konto tuvastamine ei näita veel, kuidas tehing tehniliselt tehti või milliseid autentimisvahendeid kasutati. Just seadme, makseinstrumendi või turvaelementide kohta käiv info võib osutada, et näiliselt erinevad tehingud on tegelikult omavahel seotud, näiteks kui need on tehtud sama seadme või sama maksevahendi abil. Selline teave võib olla määrava tähtsusega, et eristada kliendi tavapärast maksekäitumist olukorrast, kus maksevahendit või autentimisvahendeid on väärkasutatud.
Andmeteks on näiteks seadme- ja sessiooniandmed ning muud pettuse tuvastamist võimaldavad tehnilised andmed, mille alusel saab tuvastada, kas makse algatamise keskkond on ebatavaline, näiteks seadme-ID, brauser, IP-aadress. See aitab tuvastada, kas erinevate isikute kontodelt algatatakse makseid sama seadmega või samalt IP-aadressilt, kuigi isikud on erinevates piirkondades. Nende andmete jagamine aitab makseteenuse pakkujatel tuvastada pettuse toimepanemist laiemalt erinevate makseteenuse pakkujate üleselt, mida üks neist oma andmete pinnalt ei pruugi tuvastada. Samuti aitab teabe edastamine PPA-le siduda üksikjuhtumeid laiemate petuskeemidega. Seega aitab andmete avaldamise õigus otseselt kaasa eelnõu eesmärgi saavutamisele. Osaliselt on tegemist tehniliste andmetega, mille privaatsusriive on väiksem, kui näiteks maksetehingu kohta avaldatavate andmete puhul, kuid samas võib tekkida oht, et selliste andmete laialdane jagamine koos muu infoga võib võimaldada isiku tegevuse kohta laiemalt teada saada. Seepärast on lubatud on üksnes niisuguste tehniliste tunnuste jagamine, mis on pettusmustri tuvastamiseks vajalikud, mitte kogu tehnilise logi või autentimisajaloo avaldamine.
5. Andmed maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo kohta
Need on nn pettuseindikaatorid, mis kirjeldavad petuskeemi toimimist, nagu näiteks tehingu ajastus ja korduvad summad ning mitme isiku samasugused käitumisjooned. See aitab pettuste toimepanemist avastada näiteks olukorras, kus mitmed kliendid saavad samal päeval panga nimel petukõnesid, siis on võimalik jagada pettusekatsete mustreid teiste krediidiasutustega ning tuvastada nn saripettuse toimepanemine võimalikult vara ka teistel krediidiasutustel ning seeläbi kahjusid vähendada. Sellise teabe avaldamine on eesmärgi saavutamiseks sobiv, sest üksnes kliendi, konto või tehingu tehnilistest andmetest ei pruugi piisata, et tuvastada saripettuse mustrit või erinevate makseteenuse pakkujate juures ilmnenud juhtumite seost. Näiteks olukord, kus mitmed kliendid saavad samal päeval krediidiasutuse nimel petukõnesid, siis on võimalik jagada pettusekatsete mustreid teiste krediidiasutustega ning tuvastada nn saripettuse toimepanemine võimalikult vara ka teistel krediidiasutustel ning seeläbi kahjusid vähendada. Vähem riivavam lahendus oleks näiteks üksnes neutraalse tehnilise info jagamine, kuid see ei oleks eesmärgi saavutamiseks sobiv, sest ei võimaldaks tuvastada konkreetset võimalikku maksetehinguga seotud pettust ning eristada seda lihtsalt maksetehingust, mis on tvapärasega võrreldes ebatavaline. Selliseid andmeid tohib avaldada ainult konkreetse juhtumi puhul ning mitte üldise riskiprofiili loomiseks.
6. Andmed pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta
Kõnealune meede on eesmärgi saavutamiseks sobiv. Pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta käiv teave võimaldab makseteenuse pakkujatel tuvastada korduvaid pettusmustreid, seostada omavahel üksikjuhtumeid ning tuvastada kiiremini olukordi, kus sama skeemi kasutatakse mitme makseteenuse kasutaja või mitme makseteenuse pakkuja suhtes. Need andmed võimaldavad edasi anda pettuste mustrit, ehk selline info aitab ära tunda saripettusi ja katkestada sama skeemi edasise kasutamise. Nimetatud andmete avaldamine aitab kaasa seaduse eesmärgi saavutamisele.
Meede on ka vajalik, sest sama eesmärki ei ole võimalik saavutada üksnes anonümiseeritud või statistilise info edastamisega, sest siis ei oleks võimalik tuvastada, et eri juhtumid kuuluvad tegelikult sama petuskeemi alla. Pettusekatsete ja nende asjaolude kirjeldus võimaldab mõista ja ära tunda, milles sarnasus teiste juhtumitega seisneb. Vähem riivav abinõu oleks näiteks ainult üldiste hoiatusmustrite jagamine ilma konkreetsete juhtumite asjaoludeta, kuid see ei oleks sama tõhus, sest ei võimaldaks konkreetseid juhtumeid omavahel seostada.
Meetme mõõdukuse puhul tuleb kaaluda ühelt poolt riive intensiivsust ja teiselt poolt selle abil saavutatava hüve kaalukust. Selliste andemete avaldamine võib anda infot selle kohta, kas konkreetse isik või konto võib olla seotud pettusega ning seetõttu käsitada neid nn kõrgendatud riskiga. Kui pettusekahtlus hiljem ei kinnitu ei tohi see isikut negatiivselt mõjutada. Sellise info avaldamine võib mõjutada asjaomase isiku või konto käsitamist kõrgendatud riskiga objektina ning seetõttu puudutab see lisaks privaatsusele ka mainehuve. Eriti tundlik on see olukorras, kus pettusekahtlus hiljem ei kinnitu. Seetõttu ei tohi seda andmekategooriat tõlgendada kui alust süü omistamiseks või lõpliku õigusliku hinnangu andmiseks. Avaldama peaks faktilised asjaolud ja mustrid, mis on objektiivselt põhjendatud ning see iseenesest ei tohi olla järelduseks, et tehing on tehtud pettuse teel või isik on seotud pettusega.
Teisalt just pettusekatsete ja pettuse teel tehtud tehingute asjaolude jagamine võimaldab kõige tõhusamalt avastada saripettusi, kaitsta teisi võimalikke kannatanuid, takistada sama skeemi korduvat kasutamist ning piirata tekkiva kahju ulatust. Kui sellist teavet ei saaks jagada, väheneks oluliselt makseteenuse pakkujate ja PPA võimekus avastada saripettusi, mis joonistuvad välja mitmete juhtumite võrdlemisel. See aitab kaitsta isikute vara, maksesüsteemi usaldusväärsust ning aitab pettusi avastada ja välja selgitada. Andmeid tohiks avaldada üksnes siis, kui on objektiivne kahtlus konkreetse tehingu osas, mitte laiemalt üldise riskihinnangu põhjal. Sellise teabe avaldamine iseenesest ei tohi muutuda isiku üldiseks riskiprofiiliks, mis võib mõjutada isikut väljaspool seda konkreetset juhtumit. Arvestades eeltoodut saab pidada nimetatud andmete avaldamist proportsionaalseks ega moonuta põhiõiguste olemust. Andmete avaldamise hüve on kaalukas, sest aitab suures ulatuses avastada erinevaid petuskeeme ja mustreid makseteenuse pakkujate üleselt ning samuti suureneb PPA võimekus pettusi avastada. RIA täidab küberturvalisuse seaduse tähenduses küberintsidentide käsitlemise üksuse ülesandeid ning koordineerib küberintsidentide käsitlemist ning kõnealused andmed aitavad RIA-l tuvastada, ennetada ja ohjata maksepettustega seotud küberintsidente ning pettusmustreid. Need andmed aitavad mõista, milline tehniline või käitumuslik muster viitab pettusele, mis võib osutada laiemale küberohule.
4.2 Maksejuhise kättesaamise edasilükkamise põhiseaduspärasus
Kavandatav VÕS § 7247 annab maksja makseteenuse pakkujale õiguse objektiivselt põhjendatud pettusekahtluse korral maksejuhise kättesaamine ajutiselt edasi lükata, rakendada lisaturvameetmeid ning vajaduse korral keelduda maksejuhise täitmisest. Regulatsioon riivab eeskätt maksja omandipõhiõigust, täpsemalt PS § 32 lõikes 2 tagatud õigust oma vara vabalt kasutada ja käsutada, kuna rahaliste vahendite kasutamist võib ajutiselt edasi lükata.
Meede on eesmärgi saavutamiseks sobiv. Kui makseteenuse pakkujal tekib objektiivselt põhjendatud kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või on autoriseeritud pettuse, andmete väärkasutamise või maksja manipuleerimise teel, võimaldab maksejuhise kättesaamise ajutine edasilükkamine ja täiendavate turvameetmete rakendamine kontrollida, kas maksejuhis vastab maksja tegelikule tahtele.
Meede on vajalik. Vähem koormavad meetmed ei võimaldaks sama tõhusalt saavutada eesmärki tõkestada pettuse teel tehtud maksetehinguid. Kliendi tugev autentimine ei ole kõikide pettuse liikide puhul alati piisav, sest isiku manipuleerimise teel kinnitab ta maksejuhise ise. Uued pettuseliigid põhinevad üha enam maksja manipuleerimisel, mis nõuab lisameetmeid lisaks tavapärasele autentimisele. Petturid kannavad rahalised vahendid kiiresti edasi teistele kontodele ja välisriiki ning raha tagasisaamine on raske kui mitte võimatu. Seetõttu ei ole sama eesmärgi saavutamiseks olemas leebemat meedet, mis võimaldaks enne maksejuhise täitmist tõkestada pettuse toimepanemist.
Meede on ka mõõdukas ehk proportsionaalne kitsamas tähenduses. Maksejuhise kättesaamise edasilükkamine on lubatud juhul, kui on objektiivselt põhjendatud kahtlus, et tegemist võib olla pettusega. Samuti nähakse ette, et makseteenuse pakkuja ei saa tugineda üksnes makse saaja kontrollimise teenusele või pelgalt sellele, et maksejuhis tundub ebatavaline või arusaamatu. Lisaks on maksejuhise kättesaamise edasilükkamine ajutine ning ajaliselt piiratud, see on lubatud üksnes seni kuni täiendav kontroll on lõpetatud ning lähtuma peab eelkõige kehtivast VÕS-i regulatsioonist, et maksja makseteenuse pakkuja peab tagama, et maksesumma laekuks saaja makseteenuse pakkuja kontole hiljemalt maksejuhise kättesaamisele järgneval arvelduspäeval. Meede riivab küll makseteenuse kasutaja õigust oma rahalisi vahendeid kasutada, kuid samas on selle eesmärk kaitsta isiku rahalisi vahendeid.
5. Eelnõu terminoloogia
Eelnõus ei kasutata uusi termineid.
6. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu on vastavus järgmiste Euroopa Liidu õigusaktidega:
• Euroopa Parlamendi ja nõukogu direktiiviga (EL) 2015/2366 makseteenuste kohta siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta (ELT L 337, 23.12.2015, lk 35–127) ning
• Parlamendi ja nõukogu määrusega (EL) 2024/886, millega muudetakse määrusi (EL) nr 260/2012 ja (EL) 2021/1230 ning direktiive 98/26/EÜ ja (EL) 2015/2366 eurodes välkkreeditkorralduste osas (ELT L, 19.3.2024.).
7. Seaduse mõjud
Seaduse rakendamise peamine mõju on seotud finantspettuste ennetamise ja tõkestamisega ning maksete turvalisuse suurendamisega. Muudatused mõjutavad eelkõige majandust, riigiasutuste töökorraldust ja sotsiaalvaldkonda ning puudutavad peamiselt makseteenuse pakkujaid (krediidiasutusi ja makseasutusi ja e-raha asutusi), makseteenuse kasutajaid ning pettuste tõkestamisega tegelevaid riigiasutusi.
Majanduslik mõju avaldub peamiselt krediidiasutustele, kellel tekib selgem õiguslik alus pettusekahtlusega maksete peatamiseks ja pettustega seotud teabe jagamiseks, mis aitab vähendada pettustest tulenevat kahju ja suurendab maksesüsteemi usaldusväärsust. Sotsiaalne mõju seisneb maksete suuremas turvalisuses ja elanike finantsilise turvatunde paranemises. Riigiasutuste (PPA ja RIA) töökorraldust mõjutab eelkõige parem teabevahetus.
Muudatused ei avalda mõju elu- ja looduskeskkonnale, riigi julgeolekule ja välissuhetele ega regionaalarengule. Kokkuvõttes on muudatustega kaasnev mõju valdavalt positiivne ning kaasnev ebasoovitavate mõjude risk on madal.
7.1 Nähakse makseteenuse pakkujatele ette õigus keelduda maksejuhiste täitmisest
Sihtrühm nr 1: mõju makseteenuse pakkujatele
Muudatus avaldab mõju kõikidele Eestis tegutsevatele krediidiasutustele ning makseasutustele ja e-raha asutustele.
Mõju ulatus: Mõju ulatust saab pidada väikeseks, kuna täpsustatakse maksejuhise täitmisest keeldumise alust, kuid see ei muuda makseteenuse pakkujate igapäevast maksete täitmise praktikat. Makseteenuse pakkujad kontrollivad ka praegu, kas makse on autoriseeritud ning korrektselt autenditud. Mõju ulatust on keeruline täpselt hinnata, kuid pigem on see väike, kuna kõnealune õigus puudutab väikest osa kõikidest maksetehingutest, valdav enamus makseid on autoriseeritud ning korrektselt autenditud. Maksejuhise täitmisest keeldumised kõnealusel põhjusel on harvad võrreldes maksetehingute koguarvuga.
Mõju avaldumise sagedus: Mõju avaldamise sagedust on keeruline hinnata, sest ei ole võimalik täpselt välja tuua, et kui palju sellist lisaturvameetmete rakendamise õigust kasutatakse. Võib eeldada, et avaldumise sagedus võrreldes maksete koguarvuga on pigem väike. Lisaturvameetmeid on õigus rakendada ette nähtud kriteeriumite alusel, mitte umbmääraste põhjenduste alusel laiemalt. Ka praegu teostavad makseteenuse pakkujad maksejuhiste puhul turvakontrolle ning tegemist ei ole nn uue režiimi loomisega.
Ebasoovitavate mõjude avaldumise risk: Selline mõjude avaldumise risk on väike. Tegemist on positiivset mõju omava muudatusega, sest makseteenuse pakkujad saavad selge õigusliku aluse rakendada lisaturvameetmeid ning vajadusel maksejuhise täitmisest keeldumiseks, mis aitab pettuste tõkestamise eesmärki saavutada.
Sihtrühm 2. mõju makseteenuse kasutajatele
Muudatus avaldab potentsiaalselt mõju kõikidele makseteenuse kasutajatele, kes igapäevaselt makseid teevad. Ka siinkohal on keeruline hinnata, kui suurele osale makseteenuse kasutajatest see tegelikult mõju avaldab, kuna ei ole üheselt prognoositav, kui palju makseteenuse pakkujad maksete täitmisel sellist õigust kasutavad. Enamus makseid on siiski korrektselt autenditud ning isiku enda pool autoriseeritud.
Mõju ulatus: Mõju ulatust saab pidada pigem väikeseks, kuna isikud puutuvad igapäevaselt sellega kokku harva ja üksikjuhtumitel sest lisaturvakontrolli ei kasutata kõikide maksete puhul. Enamik maksetehinguid täidetakse tavapäraselt ning maksejuhised vastavad üldjuhul makseteenuse lepingus sätestatud tingimustele ning tugev autentimine on tehniliselt nõuetekohane ja maksejuhis on isiku poolt autoriseeritud.
Mõju avaldumise sagedus: Mõju avaldumise sagedus on väike, kuna eelnõu ei näe ette, et kõikide maksete puhul tuleb lisaturvameetmeid rakendada ning maksejuhise kontrolle teostatakse kõikide maksete puhul ka praegu. Lisaturvameetmete rakendamisega puutuvad isikud kokku ebaregulaarselt ja üksikute maksete korral, kui on täidetud selle rakendamise tingimused. Seetõttu võib eeldada, et makseteenuse kasutajad ei puutu pärast muudatust sagedasti kokku lisaturvameetmete rakendamisega ning maksejuhise täitmisest keeldumisega.
Ebasoovitavate mõjude avaldumise risk: Sellise mõju avaldumise risk on madal, tegemist on positiivset mõju omava muudatusega, sest aitab kaasa pettuste tõkestamisele. Muudatus aitab ennetada pettusi ning vähendada isikutele rahalise kahju tekkimise riski. Kuigi üksikjuhtudel võib isiku makse täitmine pettusekahtluse tõttu ajutiselt viibida, on selle eesmärk makseteenuse kasutaja kaitse ning maksete turvalisuse suurendamine.
7.2 Nähakse makseteenuse pakkujatele ette õigus avaldada pettuste avastamise ja väljaselgitamise eesmärgil andmeid ja teavet
Sihtrühm 1. Makseteenuse pakkujad
Muudatus võib mõju avaldada kõikidele Eestis tegutsevatele makseteenuse pakkujatele.
Mõju ulatus: Makseteenuse pakkujate jaoks on muudatuse mõju pigem keskmine, kuna andmete avaldamine on ette nähtud õigusena, mitte kohustusena ning seda võib teha juhul, kui makseteenuse pakkujal on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega. Pettuste avastamine ja väljaselgitamine on makseteenuse pakkujate igapäevane tegevus ning sellel eesmärgil ka juba vajalikke andmeid töödeldakse. Muudatus aitab paremini pettusi avastada ja välja selgitada ning koostöö teiste makseteenuse pakkujatega ning PPA-ga aitab vähendada pettustega tekitatud kahju, mistõttu on tegemist positiivse mõjuga.
Mõju avaldumise sagedus: Mõju avaldumise sagedust on keeruline hinnata, kuid arvestades maksete koguarvuga saab seda pidada pigem väikeseks, sest andmete avaldamine on lubatud ette nähtud tingimustel ning mitte laialdaselt kõikide maksetehingute puhul. Arvestades, et enamus makseid on korrektselt autenditud ja autoriseeritud, on andmete avaldamine pigem erandlik.
Ebasoovitavate mõjude avaldumise risk: Selline risk on madal, tegemist on positiivse muudatusega, mis aitab makseteenuse pakkujatel efektiivsemalt pettusi tõkestada. Arvestades, et andmete avaldamine on lubatud kindlal eesmärgil ning on ette nähtud õigusena, mitte kohustusena, ei ole põhjust eeldada negatiivset mõju makseteenuse pakkujate tavapärasele tegevusele.
Sihtrühm 2. Makseteenuse kasutajad
Muudatus avaldab potentsiaalselt mõju kõikidele makseteenuse kasutajatele, kuid igapäevaselt siiski väikesele osale makseteenuse kasutajatest, sest pettuste osakaal kogu maksetehingute arvust on väike.
Mõju ulatus: Makseteenuse kasutajate jaoks on muudatuse mõju kaudne. Muudatus ei mõjuta makseteenuste kasutamist üldiselt, vaid puudutab üksnes neid olukordi, kus esineb põhjendatud pettuse kahtlus ning makseteenuse pakkuja avaldab pettuse avastamise ja väljaselgitamise eesmärgil isiku andmeid.
Mõju avaldumise sagedus: Mõju avaldumise sagedus on pigem väike, sest muudatus ei mõjuta makseteenuse kasutajat igapäevaselt ning kokkupuude sellega on ebaregulaarne ja harv. Eelnõu näeb andmete avaldamiseks ette kriteeriumid ning makseteenuse pakkujatel ei ole õigust jagada andmeid laiemalt ebamäärastel eesmärkidel. Mõju avaldub üksnes olukordades, kus andemete avaldamine on vajalik pettuse avastamise ja väljaselgitamise eesmärgil.
Ebasoovitavate mõjude avaldumise risk: Selline risk on pigem madal, tegemist on positiivset mõju omava muudatusega. See aitab vähendada rahalise kahju tekkimise riski ning suurendab maksete turvalisust. Andmeid tohib avalda üksnes piiratud ulatuses ja eesmärgil. Samas võib avalduda risk, et andmeid isiku kohta avaldatakse pettusekahtluse korral, kus see kahtlus kinnitust ei leia, ehk et tegemist on valepositiivse kahtlusega. Samas ei ole selliste juhtumite täielik välistamine võimalik ning andmete avaldamise eesmärgiks on isiku kaitsmine pettuse ohvriks langemise eest. Nimetatud juhul ei tohi andmete avaldamine isikule kaasa tuua mingeid negatiivsed tagajärgi. Makseteenuse pakkujad peavad siinkohal rangelt kinni pidama andmete minimaalsuse ja eesmärgipärase töötlemise põhimõtetest. Andmete avaldamine peab olema logitud ning tagantjärele kontrollitav. Isikul peab olema õigus teada saada, milliseid tema andmeid ja kellele edastati. Seda ulatuses, millises on makseteenuse pakkujal seaduse järgi õigus avaldada, arvestades muuhulgas näiteks rahapesu ja terrorismi rahastamise tõkestamise seadusest tulenevaid piiranguid.
Sihtrühm 3. Politsei- ja Piirivalveamet
Muudatus avaldab mõju PPA-le.
Mõju ulatus: PPA-le tähendab muudatus laiemat ligipääsu pettustega seotud andmetele, mis parandab oluliselt petuskeemide tuvastamist ning seostamist ja parandab selles osas PPA võimekust. Seeläbi paraneb PPA ennetav töö. Muudatus ei too kaasa PPA-le täiesti uue ülesande tekkimist ega muudatusi töökorralduses.
Mõju avaldumise sagedus: PPA jaoks ei saa pidada mõju avaldumise sagedust suureks. PPA tegeleb ka praegu igapäevaselt pettuste tõkestamisega ning andmete edastamine parandab sellist võimekust. Mõju sagedus on üksikjuhtumi põhine, kui makseteenuse pakkuja avaldab pangasaladust konkreetse pettuse kahtluse korral.
Ebasoovitavate mõjude avaldumise risk: Selline risk on väike, tegemist on positiivset mõju omava muudatustega, mis aitab parandada pettuste tõkestamise võimekust.
Sihtrühm 4. Riigi Infosüsteemi Amet
Mõju ulatus: Muudatus annab RIA-le võimaluse saada makseteenuse pakkujalt piiratud ulatuses teavet maksetehingutega seotud pettuste ja pettusekatsete asjaolude ning kasutatud tehniliste vahendite kohta.
Mõju RIA tegevusele seisneb selles, et täieneb sisend küberintsidentide analüüsiks ja riskihindamiseks ning seeläbi suureneb võimekus info töötlemiseks ja seostamiseks olemasoleva küberohuteabega. RIA pädevus ei muutu – amet täidab ka kehtiva õiguse alusel küberintsidentide käsitlemise, riskide seire ja ohtudest teavitamise ülesandeid.
Mõju avaldumise sagedus: Mõju avaldub juhtumipõhiselt, sõltuvalt maksetehingutega seotud pettuste ja pettusekatsete arvust ning makseteenuse pakkuja hinnangust objektiivselt põhjendatud kahtluse olemasolule. Arvestades, et maksepettused on sagedased ning sageli seotud infosüsteemide ründamise või autentimisvahendite kuritarvitamisega, võib RIA-le edastatava info hulk olla regulaarne, kuid tegemist ei ole automaatse ega pideva andmevooga.
Ebasoovitavate mõjude avaldumise risk: Sellist riski saab hinnata väikeseks - RIA-le avaldatav andmekoosseis on kitsalt piiritletud ega hõlma otseseid kliendi tuvastus- ega kontoteavet. Krediidiasutused edastavad andmeid juhtumipõhiselt ning selliste andmete töötlemine eeldatavalt RIA töökoormust ei suurenda.
8. Seaduse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad kulud ja tulud
Seaduse rakendamisega ei kaasne tulusid ega kulusid riigieelarvele ning eelnõu ei ole seotud kohalike omavalitsuste tegevusega.
PPA-l ja RIA-l on vaja teha tehnilisi ja korralduslikke ettevalmistusi turvaliseks ja sihipäraseks andmevahetuseks krediidiasutustega. Tegemist on nende asutusete jaoks olemasolevate tööprotsesside täpsustamisega ning see ei eelda täiendavaid kulusid.
9. Rakendusaktid
Käesoleva seadusega ei kehtestata uusi rakendusakte ega muudeta olemasolevaid. Samuti ei kaasne seadusega rakendusaktide kehtetuks muutumist.
10. Seaduse jõustumine
Seadus jõustub üldises korras.
11. Eelnõu kooskõlastamine ja huvirühmade kaasamine
Eelnõu esitati kooskõlastamiseks ja arvamuse avaldamiseks Justiits- ja Digiministeeriumile, Siseministeeriumile, Politsei- ja Piirivalveametile, Eesti Pangale, Eesti Pangaliidule, Riigi Infosüsteemi Ametile, Finantsinspektsioonile, Eesti Infotehnoloogia ja Telekommunikatsiooni Liidule.
Eelnõule esitasid arvamuse Justiits- ja Digiministeerium, Siseministeerium, Eesti Pank, Eesti Pangaliit, Riigi Infosüsteemi Amet ning Finantsinspektsioon. Esimese kooskõlastusringil esitatud märkused ning Rahandusministeeriumi selgitused on leitavad seletuskirjale lisatud kooskõlastustabelist.
Lähtuvalt esitatud märkustest on eelnõu muudetud ning arvestades esitatut on eelnõu paragrahvide sõnastus ning eelnõu struktuur oluliselt muutunud. Muudatused on tehtud eelkõige eelnõu paragrahvis 1. Vaatamata paragrahvide sõnastuste muutmisest ning uutest lisatud lõigetest ei ole eelnõu sisu muutunud.
Algatab Vabariigi Valitsus ….. 2026. a
Vabariigi Valitsuse nimel
(allkirjastatud digitaalselt)
Heili Tõnisson
Valitsuse nõunik
15.04.2026
Võlaõigusseaduse ja sellega seonduvalt teiste seaduste muutmise seadus
(finantspettuste ennetamine ja tõkestamine)
§ 1. Võlaõigusseaduse muutmine
Võlaõigusseaduses tehakse järgmised muudatused:
1) paragrahvi 711 lõiget 1 täiendatakse punktiga 151 järgmises sõnastuses:
„151) maksejuhise täitmise edasilükkamise tingimused tulenevalt käesoleva seaduse §‑st 7247;“;
2) seadust täiendatakse §-ga 7247 järgmises sõnastuses:
㤠7247. Lisaturvameetmete rakendamine pettusekahtluse korral
(1) Maksja makseteenuse pakkujal on õigus maksejuhise kättesaamine ajutiselt edasi lükata ja rakendada lisaturvameetmeid, kui tal on objektiivselt põhjendatud kahtlus, et:
1) maksejuhist ei ole autoriseerinud maksja või
2) maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel.
(2) Käesoleva paragrahvi lõikes 1 nimetatud objektiivselt põhjendatud kahtlus peab põhinema makseteenuse pakkuja riskide hindamisel, sealhulgas komisjoni rakendusmääruses (EL) 2018/389 sätestatud riskipõhisel lähenemisel ning muudel objektiivsetel asjaoludel. Maksja makseteenuse pakkuja ei või maksejuhise kättesaamise edasilükkamisel tugineda üksnes Euroopa Parlamendi ja nõukogu määruses (EL) nr 260/2012 nimetatud makse saaja kontrollimise teenusele või asjaolule, et maksejuhis on makseteenuse pakkujale ebatavaline või arusaamatu.
(3) Käesoleva paragrahvi lõikes 1 sätestatud juhul peab makseteenuse leping sisaldama muu hulgas tingimusi maksja teavitamiseks lisaturvameetmete rakendamisest ja nende rakendamise põhjustest enne rakendamist või viivitamata pärast seda. Makseteenuse pakkuja ei pea maksjale lisaturvameetmete rakendamise põhjusi teatama, kui teabe edastamine on vastuolus objektiivselt põhjendatud turvakaalutlusega või ei ole muul seaduses sätestatud põhjusel lubatud.
(4) Kui maksja makseteenuse pakkuja lükkab maksejuhise kättesaamise lisaturvameetmete rakendamiseks edasi, loetakse maksejuhis makseteenuse pakkuja poolt kättesaaduks käesoleva seaduse § 724² tähenduses hetkest, kui makseteenuse pakkuja on lõpetanud nende turvameetmete rakendamise ja on veendunud, et maksejuhis ei ole autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Nimetatud tingimuste täitmise korral on maksja makseteenuse pakkujal kohustus saata maksetehing viivitamata makse saaja makseteenuse pakkujale.
(5) Maksja makseteenuse pakkuja ei või maksejuhist lisaturvameetmete rakendamiseks edasi lükata kauemaks, kui käesoleva paragrahvi lõikes 4 nimetatud asjaolu väljaselgitamiseks on mõistlikult vajalik. Võimaluse korral peab maksja makseteenuse pakkuja lähtuma eelkõige käesoleva seaduse §-s 728 sätestatud tähtaegadest.
(6) Maksja makseteenuse pakkujal on õigus keelduda maksejuhise täitmisest, kui pärast käesoleva paragrahvi lõikes 1 nimetatud lisaturvameetmete rakendamist ei ole olnud objektiivselt võimalik kõrvaldada kahtlust, et maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel.
(7) Kui maksejuhise täitmine viibib käesoleva paragrahvi lõikes 1 sätestatud lisaturvameetmete rakendamise tõttu, hakkab käesoleva seaduse §-s 728 sätestatud maksejuhise täitmise tähtaeg kulgema arvates maksejuhise kättesaamisest käesoleva paragrahvi lõike 4 tähenduses.
(8) Kui käesoleva paragrahvi lõikes 1 nimetatud lisaturvameetmete rakendamise tulemusel täidetakse makse hilinemisega, kohaldatakse makse täitmisele käesoleva seaduse § 7333 lõigetes 41 ja 42 sätestatut.
(9) Makseteenuse leping võib sisaldada tingimust, mille kohaselt selleks, et rakendada lisaturvameetmeid ja lükata edasi maksejuhise kättesaamist, ei või maksja nõuda maksja makseteenuse pakkujalt kahju hüvitamist. Hüvitist ei või nõuda tingimusel, et nimetatud turvameetmeid on rakendatud ebamõistliku viivituseta ning nende rakendamine põhineb objektiivselt põhjendatud kahtlusel, et maksejuhise autoriseerimiseks antud nõusolek ei ole saadud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. See lepingutingimus ei välista ega piira maksja õigust esitada muu nõue muul alusel.“.
§ 2. Krediidiasutuste seaduse muutmine
Krediidiasutuste seaduses tehakse järgmised muudatused:
1) paragrahvi 88 lõike 3 punkti 1 täiendatakse pärast tekstiosa „käesolevas paragrahvis“ tekstiosaga „või käesoleva seaduse §-s § 894“;
2) seaduse 7. peatüki 3. jagu täiendatakse §-ga 894 järgmises sõnastuses:
„§ 894. Andmete avaldamine pettuste tõkestamise eesmärgil
(1) Krediidiasutusel on õigus avaldada andmeid ja teavet teisele krediidiasutusele, makseasutusele ja e-raha asutusele makseasutuste ja e-raha asutuste seaduse tähenduses ning Politsei- ja Piirivalveametile maksetehingutega seotud pettuste avastamiseks ja väljaselgitamiseks, kui krediidiasutusel on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega.
(2) Käesoleva paragrahvi lõikes 1 nimetatud andmed ja teave sisaldavad omakorda andmeid ja teavet:
1) kliendi kohta;
2) makse saaja ja maksekonto kohta;
3) maksetehingu kohta;
4) kasutatud seadme, makseinstrumendi või turvaelementide kohta;
5) maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo kohta;
6) pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta.
(3) Krediidiasutusel on õigus Riigi Infosüsteemi Ametile avaldada küberturvalisuse seaduse § 5 lõike 3 punktis 3 nimetatud ülesannete täitmise eesmärgil käesoleva paragrahvi lõike 2 punktides 5 ja 6 sätestatud andmeid ja teavet.
(4) Krediidiasutusel on õigus avaldada e-identimise ja e-tehingute usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale käesoleva paragrahvi lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja isikukood, seadme- ja sessiooniandmed ning kasutaja elektroonilise side võrgu identifikaatori andmed.
(5) Käesolevas paragrahvis sätestatud juhtudel ei ole lubatud avaldada eriliiki isikuandmeid.“.
§ 3. Makseasutuste ja e-raha asutuste seaduse muutmine
Makseasutuste ja e-raha asutuste seaduse § 633 senine tekst loetakse lõikeks 1 ja paragrahvi täiendatakse lõigetega 2 ja 3 järgmises sõnastuses:
„(2) Makseasutusel ja e-raha asutusel on õigus avaldada andmeid ja teavet teisele makseasutusele ja e-raha asutusele, krediidiasutusele, Politsei- ja Piirivalveametile ning Riigi Infosüsteemi Ametile maksepettuste avastamiseks ja väljaselgitamiseks krediidiasutuste seaduse §-s 894 sätestatud tingimustel.
(3) Makseasutusel ja e-raha asutusel on õigus avaldada e-identimise ja e-tehingute usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale krediidiasutuste seaduse § 894 lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja isikukood, seadme- ja sessiooniandmed, samuti kasutaja elektroonilise side võrgu identifikaatori andmed.“.
Lauri Hussar
Riigikogu esimees
Tallinn, „….“ ……………… 2026
Algatab Vabariigi Valitsus……………. 2026
(allkirjastatud digitaalselt)
1
Aprill, 2026
MÄRKUSTE TABEL
Võlaõigusseaduse ja krediidiasutuste seaduse muutmise seadus
Nr
Märkused
Arvestatud/
Mitte-
arvestatud/
Selgitatud
RaM märkused
Justiitsministeerium
1 Eelnõu §-ga 1 antakse makseteenuse pakkujatele
tööriistad finantspettuste tõkestamiseks, mh sätestatakse
õiguslik alus maksejuhise täitmisest keeldumiseks juhul,
kui esineb kuritarvituse kahtlus.
A. Tegu on valdkonnaga, kus eksisteerib tugev EL õiguse
komponent, kuivõrd makseteenuste toimimine siseturul
on reguleeritud EL määrustega (Euroopa Parlamendi ja
nõukogu direktiiv (EL) 2015/2366 makseteenuste kohta
siseturul ja Euroopa Parlamendi ja nõukogu määrus (EL)
nr 260/2012). Eelnõukohase võlaõigusseaduse (VÕS)
muudatusega jäetakse finantsteenuse pakkujale küllaltki
suur otsustusvabadus selle jaoks, mis asjaoludel keelduda
maksejuhise täitmisest. Nähakse ette, et makseteenuse
pakkuja võib keelduda autoriseeritud maksejuhise
täitmisest, kui pärast komisjoni delegeeritud määruses
(EL) 2018/3899 ette nähtud turvameetmete täiendavat
rakendamist on makseteenuse pakkujal põhjendatud
kahtlus, et maksetehingu täitmiseks antud nõusolek on
saadud andmete väärkasutamise, pettuse või maksja
manipuleerimise teel. Samas ei direktiiv (EL) 2015/2366
ega määrus (EL) nr 260/2012 otseselt sellist võimalust ega
kohustust teenusepakkujatele ette ei näe. Eeldusel, et
direktiiv (EL) 2015/2366 ei ole maksimumharmoneeriv,
on liikmesriikidel ilmselt võimalik minna kaugemale ja
täpsemaks direktiivis sätestatust, kuid sellisel juhul
palume, et seletuskirjas oleks rohkem selgitusi ja
Arvestatud A. Seletuskirjas on täiendavalt selgitatud kooskõla makseteenuste
diretiivi ja välkmaksete määrusega.
B. Seletuskirjas on selgitatud maksejuhise täitmiseks antud
nõusoleku seost tsiviisseadustiku üldosa seadusega.
C. Seletuskirjas on selgitatud kooskõla välkmaksete määrusega. Ka
välkmaksete puhul kehtib makseteenute direktiivi artiklis 64
sätestatud maksetehingute autoriseerimise põhimõtted. Selle atikli
lõike 1 kohaselt maksetehing loetakse autoriseerituks ainult siis, kui
maksja on andnud nõusoleku maksetehingu täitmiseks. Kui
nõusolek puudub, käsitatakse maksetehingut autoriseerimata
maksetehinguna. Makseteenuse pakkujal on õigus keelduda
autoriseerimata maksejuhise täitmisest.
D. Seletuskirja on täiendatud selgitusega vastutusest vabastamise
kohta, kui makseteenuse pakkuja viivitab maksekorralduse
elluviimisega selleks, et täita täiendavaid turvameetmeid
2
pidepunkte olukordadeks, mil maksejuhis jääb täitmata.
Pettustega võitlemine on küll vajalik, kuid praktikas võib
ette tulla ka olukordi, mil konto omaja ja maksja ei pruugi
olla rahul sellega, et tema poolt soovitud makse viibib või
jääb täitmata. Maksja vaatenurgast on oluline, et
makseteenuse pakkuja tegutsemispraktikad ei muutuks
ebamõistlikult konservatiivseks. Seletuskirjas võiks
kinnitada, et liikmesriigil ei ole keelatud kehtestada
maksejuhiste täitmata jätmise ja pettuste vältimise puhuks
reegleid, mis on põhjalikumad, kui praegune EL
regulatsioon ette näeb.
B. Eelnõuga nähakse ette, et makseteenuse pakkuja võib
keelduda autoriseeritud maksejuhise täitmisest, kui pärast
komisjoni delegeeritud määruses (EL) 2018/3899
(edaspidi komisjoni delegeeritud määrus) ette nähtud
turvameetmete täiendavat rakendamist on makseteenuse pakkujal põhjendatud kahtlus, et maksetehingu täitmiseks
antud nõusolek on saadud andmete väärkasutamise,
pettuse või maksja manipuleerimise teel. Samas on
nõusoleku andmine käsitatav ühepoolse tehinguna,
millele sellisel juhul peaks kohalduma ka tsiviilseadustiku
üldosa seaduse (TsÜS) reeglid seoses tehingutega. Tekib
küsimus, kuidas seostub see alus nõusoleku/tehingu
„tunnustamisest“ keeldumiseks TsÜS § 90 lõikes 1
sätestatud tehingu tühistamise aluste (oluline eksimus,
pettus, ähvardus või vägivalla mõju) või esindusõiguseta
isiku tehtud tehingu tühisuse regulatsiooniga (TsÜS §
128). Paremini võiks sobituda tsiviilõiguse süsteemi
konstruktsioon, mille puhul saab rääkida sellest, et
eksisteerib põhjendatud kahtlus, et maksetehingu
täitmiseks antud nõusolek võib kas osutuda tühiseks või
olla tühistatav vastavalt TsÜS-s tehingute kohta
sätestatule.
C. Täiendavad küsitavused ilmnevad
välkmaksekorralduste puhul (mis Eestis on hetkel
3
valdavad). VÕS-i muudatustega sätestatakse, et
välkkreeditkorralduse puhul tuleb maksejuhise täitmisest
keelduda kooskõlas Euroopa Parlamendi ja nõukogu
määrusega (EL) nr 260/2012 (eelnõu § 1 p 1, lg 43). See
määrus (konsolideeritud kujul, koos määrusest nr (EL)
2024/886 tulenevate muudatustega) keskendub aga
maksejuhise täitmisest keeldumise reguleerimisel
asjaoludele, mis seonduvad makse saaja isikuga. Määrus
sätestab korra, kuidas tuleb kontrollida makse saaja isikut
(art 5c) ning lisaks kehtib eraldi regulatsioon selle kohta,
kuidas välkkreeditkorraldusi pakkuvad makseteenuse
pakkujad kontrollivad, kas mõni nende makseteenuse
kasutajatest on isik või üksus, kelle suhtes kohaldatakse
sihipäraseid piiravaid finantsmeetmeid (art 5d). Määrus ei
näe ette selgeid aluseid maksejuhise täitmisest
keeldumiseks olukordadeks, mil pettus või kuritarvitus
seisneb maksekorralduse andja isiku identiteedivarguses,
või siis kui isik, kes annab maksekorralduse, on viidud
kolmandate isikute poolt eksitusse ja tegutseb nende poolt
saadud pahatahtlike suuniste alusel. Juhul, kui eelnõu
autorite hinnangul EL määrus ei takista siseriiklike
täpsustatud reeglite kehtestamist, võiks seda seletuskirjas
üle kinnitada.
D. Juhime tähelepanu ka makseteenuse pakkuja
vastutusest vabastamisele juhul, kui viimane viivitab
maksekorralduse elluviimisega selleks, et täita
täiendavaid turvameetmeid (VÕS § 7339 lg 3). Kuivõrd
makseteenuse pakkujal on lai diskretsioon selle
hindamiseks, kas täiendavad turvameetmed on vajalikud,
tekib küsimus, kas on õigustatud teenusepakkuja
vastutusest vabastamine. Lisaks näib vähemalt
esmapilgul, et see on küsimus, mida eelloetletud EL
õigusaktid ei reguleeri sellisel kujul (erinevalt nt
olukorrast, mil määrus ütleb, et makseteenuse pakkuja ei
vastuta valele makse saajale direktiivi (EL) 2015/2366
artiklis 88 sätestatud väära kordumatu tunnuse alusel
4
suunatud kreeditkorralduse täitmise eest, tingimusel et ta
on täitnud käesoleva artikli nõuded). Jällegi, kui EL
regulatsioon Eesti seaduste detailsemaks minemisele
takistusi ei sea, võiks selle seletuskirjas kirja panna.
2 Eelnõu §-ga 2 täiendatakse krediidiasutuste seadust
(KAS) §-ga 894, nähes ette andmete avaldamise
tingimused pettuste tõkestamise eesmärgil.
A. Viidatud paragrahvis on ette nähtud ulatuslik andmete
ja teabe avaldamise õigus, sh ka maksekonto kohta.
Toetame ja mõistame vajadust tõhustada finantspettuste
ennetamise ja tõkestamise meetmeid. Samas peame
oluliseks, et isiku põhiõiguste ja -vabaduste riive analüüs
oleks andmete avaldamiseks ulatuslike õiguste andmisel
läbi viidud põhjalikult ning tagatud riivete
proportsionaalsus. Seletuskirjas on küll lühidalt
analüüsitud üksikute riivete põhiseaduspärasust, kuid
JDM hinnangul on analüüs pinnapealne ning üldistatud
erinevate riivete kontekstis ning vajalik on teostada ja
esitada seletuskirjas põhjalikum analüüs iga riive kohta
eraldiseisvalt. Mõõdukuse hindamisel tuleb põhjalikult
kaaluda, kas riive abil saavutatav legitiimne eesmärk
kaalub üles põhiõiguse kandjale tekitatava kahju,
tagamaks, et riive ei moonuta põhiõiguse olemust (PS §
11 teine lause). Ei piisa üksnes väitest, et meetmed on
mõõdukad, kuna need on piiritletud, vaid vajalik on
mõlema kaalukausi sisuline põhjendamine. Paralleelselt
tuleb hinnata riive intensiivsust ja võimalikku mõju
põhiõiguse olemusele, et seletuskirja lugeja saaks
eesmärgi ja riive tasakaalu mõistlikult hinnata. Samuti
tuleb vajalikkuse all selgitada täpsemalt, kas ei leidu
muud, põhiõigusi vähem piiravat, end sama efektiivset
meedet. Viitame ka õiguskantsleri poolt maksukorralduse
seaduse ning rahapesu ja terrorismi rahastamise
tõkestamise seaduse muutmise seaduse eelnõu (EIS-is
eelnõu toimiku number: 25- 1000) raames viidatud
murekohtadele, mh et nt kui pangakontode väljavõtetele
Arvestatud
osaliselt
A. Seletuskirja mõjude osas on teostatud põhjalikum analüüs iga
riive (andmekoosseisu osas, mida jagatakse) kohta eraldiseisvalt.
B. Eelnõust on välja jäetud ennetuse eesmärgil panagasaladuse
andmete jagamine.
C. Krediidiasutuste seaduse § 88 on täiendatud ning ette nähtud, et
andmeid võib jagada lisaks ka eelnõuga seadusesse lisatava KAS §
894 lõike 2 alusel.
Eelnõus ei ole peetud vajalikuks eristada andmeid, mida võib
edastada teisele krediidiasutusele ning mida PPA-le, kuivõrd
nimetatud andmekoosseisud on samad.
Eelnõu on täiendatud makseasutuste ja e-raha asutuste seaduse
muutmisega. Ette on nähtud, et ka makseasutused ja e-raha asutused
võivad avaldada samu andmeid nagu krediidiasutused, kuna ka
makseasutused ja e-raha asutused osutavad makseteenuseid.
Seletuskirja on täiendatud selgitusega, milliseid andmeid võib
edastada kliendi tuvastamiseks.
Eriliiki isikuandmete jagamine ei ole eelnõu kohaselt lubatud,
pangakonto väljavõtte avaldamine ei ole lubatud, maksekonto all on
peetud silmas selle IBAN-i. Selguse mõttes on paragrahvi
täiendatud uue lõikega ning sätestatud, et eriliiki isikuandmete
avaldamine ei ole lubatud.
5
juurdepääsu laiendatakse seaduses, peab sellega
kaasnema põhjalik proportsionaalsuse analüüs
(õiguskantsleri 1. juuli 2025. a kirja nr 7-
7/250081/2504808 kokkuvõtte p 3). Kui eelnõu tulemusel
on võimalik ka pangakonto väljavõtetele ja
pangasaladusele juurdepääs, tuleb analüüsi täiendada
õiguskantsleri kirjas viidatu valguses, analüüsides
sealviidatud põhiõiguste ja -vabaduste riiveid ning
täpsustades vastavalt ka eelnõu. Eeltoodust tulenevalt
palume seletuskirjas põhiseaduspärasuse analüüsi
täiendada, pidades silmas ka eelnimetatud õiguskantsleri
1. juuli 2025. a kirjas viidatut. Palume eelnõu seletuskirjas
põhiseaduspärasuse analüüs esitada seletuskirja 3. osas
“Eelnõu sisu ja võrdlev analüüs” eraldi viimase
alajaotusena. Kui loetavuse huvides on mõttekam esitada
põhiseaduspärasuse põhjalik analüüs konkreetse sätte
põhjenduse juures, saab seletuskirja 3. osa viimases
alajaotuses esitada viite vastavale argumenteeritud
analüüsile ning alajaotuses esitada üksnes kokkuvõtlik
järeldus. Või vastupidi, põhjalik analüüs esitatakse
viimases alajaotuses ning vastavat piirangut sisaldavate
normide juures on viide eraldi alaosas esitatud
põhiseaduspärasuse analüüsile.
B. KAS § 894 lg 1 näeb ette, et krediidiasutusel on õigus
avaldada andmeid ja teavet teisele krediidiasutusele ning
Politsei- ja Piirivalveametile (PPA) maksetehingutega
seotud pettuste avastamiseks, väljaselgitamiseks ja
ennetamiseks juhul, kui krediidiasutusel on objektiivselt
põhjendatud alus kahtlustada, et klient või maksetehing
võib olla seotud pettusega. Leiame, et ennetuseks
sedavõrd tundlike andmete töötlemise õiguse andmine ei
ole proportsionaalne meede (st meede ei pruugi olla
kooskõlas eesmärgipärasuse ja minimaalsuse
põhimõttega). Palume piirduda üksnes pettuste
avastamise ja väljaselgitamisega ning välja jätta üldine
ennetus.
6
C. KAS § 88 lg 3 p 1 sätestab, et krediidiasutusel on õigus
avaldada klienti puudutav pangasaladus kolmandale
isikule, kui krediidiasutuse õigus või kohustus avaldada
pangasaladust tuleneb käesolevas paragrahvis sätestatust
[…]. Kuna kõnealune säte näeb selgelt ette, et
pangasaladust võib jagada ainult paragrahvis 88
sätestatud juhul, tuleks täiendada ka KAS § 88 lg 3 p 1 ja
näha ette, et „krediidiasutuse õigus või kohustus avaldada
pangasaladust tuleneb käesolevas paragrahvis ja
käesoleva seaduse § 894 sätestatust […]“. D. KAS § 894
lg 2 sätestab teabe, mida võib jagada teistele
krediidiasutustele ning PPA-le. Palume eristada, millist
teavet jagatakse PPA-ga ning millist teiste
krediidiasutustega. Lisaks tuleks KAS § 894 lg 2 p-s 1
täpsustada, milliseid andmeid võib edastada kliendi
tuvastamiseks. Samuti on KAS § 894 lg 2 p-s 3 ilmselt
puudu eriliiki isikuandmed, kuna pangakonto väljavõttelt
nähtub rohkem isikuandmeid kui vaid tundlikud
makseandmed (nt terviseandmed, kuuluvus kuhugi
organisatsiooni, poliitilised vaated jne).
3 II. Märkused normitehnika, keele ja mõju kohta Palume
arvestada ka käesoleva kirja lisades esitatud eelnõu ja
seletuskirja failis jäljega tehtud normitehniliste ja
keelemärkustega ning märkustega eelnõu mõjuanalüüsi
kohta.
Arvestatud Eelnõus ja seletuskirjas on arvestatud esitatud märkustega.
Siseministeerium
4 Eelnõuga on kavas täiendada ja muuta krediidiasutuste
seaduse 7. peatüki 3 jagu §-ga 894 järgmises sõnastuses:
„§ 894. Andmete avaldamine pettuste tõkestamise
eesmärgil
(1) Krediidiasutusel on õigus avaldada andmeid ja teavet
teisele krediidiasutusele ning Politsei- ja Piirivalveametile
maksetehingutega seotud pettuste avastamiseks,
väljaselgitamiseks ja ennetamiseks juhul, kui
krediidiasutusel on objektiivselt põhjendatud alus
Mittearvestatud Ettepanek kasutada mõiste „pettus” asemel mõistet „kelmus” ei ole
põhjendatud. Kavandatav säte ei reguleeri konkreetse
karistusõigusliku koosseisu kvalifitseerimist, vaid
maksetehingutega seotud pettusjuhtumite avastamist,
väljaselgitamist. Seetõttu on mõiste „pettus” käesolevas kontekstis
sisuliselt täpsem ja ulatuslikum kui mõiste „kelmus”, mis viitab
kitsamalt KarS-s sätestatud konkreetsele süüteokoosseisule. Säte
peab hõlmama ka nt pettusekatseid, manipulatsioonitehnikaid ja
muid maksepettustele viitavaid asjaolusid, mille puhul ei pruugi
andmevahetuse hetkel olla veel võimalik või vajalik anda lõplikku
7
kahtlustada, et klient või maksetehing võib olla seotud
pettusega.
(2) Käesoleva paragrahvi lõikes 1 nimetatud isikutele on
lubatud avaldada andmeid ja teavet:
1) kliendi tuvastamiseks;
2) makse saaja ja maksekonto kohta;
3) maksetehingute kohta, sealhulgas tundlikke
makseandmeid;
4) pettuse teel tehtud tehingute või pettusekatsete ja nende
asjaolude kohta;
5) maksetehinguga seotud pettuse või muu süüteo
tunnustele vastava teo tuvastamiseks, sealhulgas
kasutatud seadmete, makseinstrumendi või
turvaelementide kohta.
(3) Krediidiasutusel on õigus Riigi Infosüsteemi Ametile
avaldada küberturvalisuse seaduse § 5 lõike 3 punktist 3
tulenevate ülesannete täitmise eesmärgil käesoleva
paragrahvi lõike 2 punktides 4 ja 5 sätestatud andmeid ja
teavet.“.
Kommentaar:
Paragrahvi pealkirjas sõna „pettus“ kasutamine.
Nimelt tekib küsimus, kas on õige kasutada mõistet
„pettus“. PPA-le teabe edastamise eesmärk peaks olema
seotud süütegude ennetamise, avastamise, tõkestamise
või menetlemisega, KarS-s sellise nimetusega
süüteokoosseisu kui „pettus“ ei ole. KrMS 13. peatüki 2.
jao 1. jaotise pealkiri on „Kelmus“, sellesse jaotisse
kuuluvad kelmuste alaliigid, nt § 209. Kelmus, § 211.
Investeerimiskelmus, § 213. Arvutikelmus.
KarS § 209 lõike 1 kohaselt loetakse kelmuseks teisele
isikule varalise kahju tekitamise eest tegelikest
asjaoludest teadvalt ebaõige ettekujutuse loomise teel
varalise kasu saamise eesmärgil.
karistusõiguslikku kvalifikatsiooni. Mõiste „pettus” on ühtlasi
kooskõlas makseteenuste valdkonnas kasutatavate mõistetega.
8
Inglise keeles on jaotise ning § 209 pealkirjaks „Fraud“.
Kui KarS-i mõnedes koosseisudes (nt § 133.
Inimkaubandus, § 134. Isikuvabadust piiravasse riiki
toimetamine jne) kasutatakse mõistet „pettus“, siis see on
tõlgitud „deceit“.
Ettepanek I: Kaaluda, kas mõiste „pettus“ asemel oleks
korrektsem kasutada mõistet „kelmus“.
5 Eesmärgi sõnastus. Viidatud sätte pealkiri on andmete
avaldamine pettuste tõkestamise eesmärgil, samas lõike 1
kohaselt on krediidiasutusel õigus avaldada andmeid
pettuste avastamiseks, väljaselgitamiseks ja
ennetamiseks, mida ei saa käsitada pettuste
tõkestamisena. Ka seletuskirjas kasutatakse läbisegi
mõisteid ennetamine, tõkestamine, avastamine ja
väljaselgitamine.
Näiteks seletuskirjas: „…Teiseks, eelnõuga muudetakse
krediidiasutuste seadust (edaspidi KAS), millega antakse
krediidiasutustele õigus jagada vajalikku teavet pettuste
avastamiseks, väljaselgitamiseks ja ennetamiseks. Seda
juhul, kui krediidiasutusel on objektiivselt põhjendatud
alus kahtlustada, et klient või maksetehing võib olla
seotud pettusega. Eelnimetatud teave võib mh
kvalifitseeruda ka pangasaladuseks. Krediidiasutusel saab
olema õigus omal initsiatiivil jagada vajalikku teavet
teiste krediidiasutustega, Politsei- ja Piirivalveametiga
(edaspidi PPA) ning Riigi Infosüsteemi Ametiga (edaspidi
RIA). Kehtivas õiguses selline õigus puudub ning see on
osutunud probleemiks pettuste avastamisel ja
tõkestamisel. Praktikas tähendab see, et näiteks
olukordades, kus krediidiasutusel on kahtlus, et
konkreetne maksekonto (lihtsustatult arvelduskonto) on
seotud pettuste toimepanemisega, siis seda teadmist teiste
krediidiasutustega jagada ei tohi. Sellise õiguse
Arvestatud Eelnõua on ühtlustatud mõistete kasutust.
9
puudumine on takistuseks tõhusamalt ennetada pettuste
toimepanemist….“.
Tegemist on oma sisult erinevate mõistetega. Ennetamine
ja väljaselgitamine tulenevad KorS-st, neile laieneb
Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679
füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja
selliste andmete vaba liikumise ning direktiivi 95/46/EÜ
kehtetuks tunnistamise kohta (isikuandmete kaitse
üldmäärus), avastamisele ja tõkestamisele aga Euroopa
Parlamendi ja nõukogu direktiiv (EL) 2016/680, mis
käsitleb füüsiliste isikute kaitset seoses pädevates
asutustes isikuandmete töötlemisega süütegude
tõkestamise, uurimise, avastamise ja nende eest
vastutusele võtmise või kriminaalkaristuste täitmisele
pööramise eesmärgil ning selliste andmete vaba liikumist
ning millega tunnistatakse kehtetuks nõukogu raamotsus
2008/977/JSK (õiguskaitseasutuste direktiiv).
Avastamise ja tõkestamise legaaldefinitsioon seaduses
puudub, v.a JAS, mille § 4 kohaselt on kuriteo
tõkestamine JAS tähenduses kuriteo ärahoidmine mis
tahes seaduslikul viisil enne selle toimepanemist.
Ennetamise mõiste on toodud KorS § 4 lõikes 7, mille
kohaselt on ohu ennetamine see osa korrakaitsest, kus
puudub ohukahtlus, kuid saab pidada võimalikuks
olukorda, mille realiseerumisel tekib ohukahtlus või oht.
Ohu ennetamine on muu hulgas teabe kogumine,
vahetamine ja analüüs, toimingute kavandamine ja
elluviimine ning riikliku järelevalve meetmete
kohaldamine avalikku korda tulevikus ähvardada võivate
ohtude tõrjumiseks, sealhulgas süütegude ennetamine.
Praeguse käsitluse juures jäävad õhku küsimused: mis
vahe on avastamisel ja väljaselgitamisel?; kas saab
rääkida ennetamisest, kui krediidiasutusel on juba kahtlus
tekkinud?
10
Ettepanek II: Pöörata tähelepanu terminite kasutamisele
pealkirjas ning sisus, et need oleksid kohased ning
kaaluda, kas lõikes 1 tuleks täpsustada, mis eesmärgil
krediidiasutus andmeid edastada võib.
6 Asutusele viide. Lõikes 2 sätestatakse: „Käesoleva
paragrahvi lõikes 1 nimetatud isikutele on lubatud
avaldada andmeid ja teavet:…“. Samas pöörame
tähelepanu, et pole ilmselt kõige korrektsem mainida, et
Politsei- ja Piirivalveamet on isik.
Ettepanek III: Kaaluda tekstis sõna „isik“ asendamist.
Mittearvestatud Mõkste „isik“ kasutamine on seaduse tekstides sellistel puhkudel
tavapärane.
7 Indikaatorid. Lõike 2 punkti 4 kohaselt võib
krediidiasutus edastada andmeid pettuse teel tehtud
tehingute või pettusekatsete ja nende asjaolude kohta.
Kui edastatakse andmeid kelmuse/pettuse teel tehtud
tehingute kohta, siis valdavalt ei saa süütegu enam
ennetada, avastada ega tõkestada. Lisaks jääb sellise
sõnastuse korral õhku küsimus: kas krediidiasutus on
pädev hindama, kas just kelmus/pettus on toime pandud?
Seletuskirja järgi on selle punkti all peetud silmas pigem
pettuseindikaatoreid – „Punktiga 4 nähakse ette andmete
ja teave jagamine pettuse teel tehtud tehingute või
pettusekatsete ja nende asjaolude kohta. Need on nn
pettuseindikaatorid, mis kirjeldavad petuskeemi
toimimist, nagu näiteks tehingu ajastus ja korduvad
summad ning mitme isiku samasugused käitumisjooned.
See aitab pettuste toimepanemist avastada näiteks
olukorras, kus mitmed kliendid saavad samal päeval
panga nimel petukõnesid, siis on võimalik jagada
pettusekatsete mustreid teiste krediidiasutustega ning
tuvastada nn saripettuse toimepanemine võimalikult vara
ka teistel krediidiasutustel ning seeläbi kahjusid
vähendada. Eeltoodu võib olla ka makseteenuse
Mittearvestatud Mõiste „indikaatorid” kasutamine ei ole põhjendatud. Punkti 4
eesmärk on määrata andmekategooria, mida võib pettuste
avastamiseks ja väljaselgitamiseks jagada. Sõnastus „pettuse teel
tehtud tehingute või pettusekatsete ja nende asjaolude kohta”
hõlmab nii juba toime pandud juhtumeid kui ka katseid ning nende
faktilisi asjaolusid. Juba toime pandud pettusjuhtumi kohta käiva
teabe jagamine ei ole suunatud üksnes tagasiulatuvale
tuvastamisele, vaid võimaldab ära hoida sama skeemi jätkumist,
seostada omavahel korduvaid juhtumeid ja vähendada edasist
kahju. Samuti ei tähenda see sõnastus, et krediidiasutus annaks
lõpliku karistusõigusliku hinnangu süüteo toimepanemise kohta;
tegemist on objektiivselt põhjendatud pettusekahtlusega seotud
faktiliste asjaolude kirjeldamisega. Mõiste „indikaatorid”
kasutamine seaduse tekstis oleks kitsam ja ebaselgem ning ei
hõlmaks sama selgelt konkreetseid pettuse teel tehtud tehinguid,
pettusekatseid ega nende asjaolusid.
11
osutamisel tuvastatud manipulatsioonitehnikaid või muud
pettuslikud võtted. Pettuse toimepanijate nn töövõtted on
näiteks krediidiasutuse töötajana esinemise legend, kiire
tegutsemise surve kindlate pettuse liikide puhul, pahavara
allalaadimise juhendamine jne. Näiteks krediidiasutusele
teavitavad mitmed isikud samasuguse sisuga
krediidiasutuse töötajana esinenud pettuslikust kõnest.“
Ettepanek IV: Kaaluda tekstis sõna „…indikaatorid“
kasutamist.
8 Sõnastus. Sõnastuse juures tekib küsimus, kas
krediidiasutus peaks avaldama andmeid ja teavet üksnes
juhul, kui krediidiasutusel on alus kahtlustada, et tegemist
on kelmuse/pettusega? Tegelikult tuleks PPA-d teavitada
ka teiste kuritegude kahtlusest (nt omastamine).
Sellisele võimalusele viitab ka kõnealuse paragrahvi lõike
2 punkt 5:
5) maksetehinguga seotud pettuse või muu süüteo
tunnustele vastava teo tuvastamiseks, sealhulgas
kasutatud seadmete, makseinstrumendi või
turvaelementide kohta.
Ettepanek V: Kaaluda kõnealuse paragrahvi sõnastamist
järgmiselt:
§ 894. Andmete avaldamine kuritegude ennetamise,
avastamise ja tõkestamise eesmärgil
(1) Krediidiasutusel on õigus avaldada andmeid ja teavet
teisele krediidiasutusele ning Politsei- ja Piirivalveametile
maksetehingutega seotud kuritegude ennetamiseks,
avastamiseks ja tõkestamiseks.
(2) Käesoleva paragrahvi lõikes 1 nimetatud eesmärgil
võib avaldada andmeid ja teavet:
1) kliendi tuvastamiseks;
2) makse saaja ja maksekonto kohta;
3) maksetehingute kohta, sealhulgas tundlikke
makseandmeid;
Mittearvestatud Ettepanek asendada pettustele viitav sõnastus üldise kuritegude
ennetamisele, avastamisele ja tõkestamisele ei ole põhjendatud.
Kavandatav säte on suunatud kitsamalt maksetehingutega seotud
pettuste avastamisele ja väljaselgitamisele ning selline eesmärk
vastab ka makseteenuste direktiivi artiklis 94 kasutatud andmete
avaldamise eesmärgile, milleks on: liikmesriigid lubavad
maksesüsteemidel ja makseteenuse pakkujatel töödelda
isikuandmeid, kui see on vajalik maksepettuste ärahoidmise,
uurimise ja avastamise tagamiseks. Mõiste „kuriteod” laiendaks
normi eset oluliselt ja muudaks selle üldiseks süütegude kohta teabe
vahetamise sätteks, milleks eelnõu ei ole mõeldud. See oleks
problemaatiline ka põhiõiguste riive proportsionaalsuse vaatest,
kuna lubatud andmevahetuse eesmärk muutuks liiga avaraks.
Asjaolu, et üksikute andmekategooriate kirjelduses viidatakse ka
muu süüteo tunnustele vastavale teole, ei muuda paragrahvi
põhieesmärki, vaid võimaldab pettusekahtluse faktilisi asjaolusid
kirjeldada piisava täpsusega.
12
4) maksetehinguga seotud kuriteo tunnustele vastava teo
tuvastamiseks, sealhulgas kasutatud seadmete,
makseinstrumendi või turvaelementide kohta.
5) makseteenuse osutamisel tuvastatud kuriteomustrite ja
-skeemide ning manipulatsioonivõtete kohta.
9 Seletuskirjas selgitatakse: „Kehtiv KAS § 88 lg 5 p 2
võimaldab pangasaladuse avaldamist uurimisasutusele
üksnes kriminaalmenetluse raames. Seega on politseil
küll võimalik saada pettuste uurimisel informatsiooni,
kuid see on piiratud, sest andmete avaldamine eeldab
kriminaalmenetluse algatamist. Eelnõuga kavandatav
paragrahv loob õigusliku aluse, mis võimaldab
krediidiasutusel objektiivselt põhjendatud pettuse
kahtluse korral edastada andmeid enne
kriminaalmenetluse algatamist. See võimaldab kiiremat
reageerimist ja kahju ennetamist olukordades, kus
menetluse alustamine võib toimuda alles pärast esmast
juhtumi analüüsi ning pettuse ennetamise ja ärahoidmise
vaatest seega liiga hilja.“
Kriminaalmenetlust ei algatata, vaid tulenevalt KrMS §
193 lõikest 1 alustatakse seda esimese uurimis- või muu
menetlustoiminguga.
Ettepanek VI: Kaaluda sõna „algatamine“, asendamist
sõnaga „alustamine“.
Arvestatud Seletuskirja on vastavalt muudetud.
10 KAS § 88 lõike 5 punkt 2 sõnastus. Kehtiva KAS § 88
lõike 5 punkt 2 sõnastus on ebaselge, mistõttu praktikas
on see tekitanud tõlgendamise probleeme:
„2) kohtueelse uurimise asutusele ja prokuratuurile
alustatud kriminaalmenetluses, sealhulgas välislepingus
sätestatud korras välisriigist saabunud õigusabi taotluse
alusel või Euroopa Liidu õiguses sätestatud kohustuse
täitmiseks rahvusvahelise konventsiooni või muu
välislepingu või politsei või muu sellesarnase pädeva
asutuse koostöölepingu täitmiseks;“
Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse
pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt
maksepettustega seotud. Toome siinkohal välja, et
rahandusministeeriumil on välja töötamisel eelnõu, millega
muudetakse viidatud KAS §-i 88 tervikuna.
13
Muudatuse eesmärk on tagada kõnealuse sätte
õigusselgus, viies see mh kooskõlla kehtivates
õigusaktides kasutatavate mõistetega. Sätte sisu ei
muudeta ega kellelegi täiendavaid õigusi ei anta.
KrMS ei kasuta sellist mõistet kui „kohtueelse uurimise
asutus“ vaid „uurimisasutus“. KrMS 19. peatüki
„Rahvusvaheline koostöö kriminaalmenetluses“ 3. jao
kohaselt toimub vastastikune abistamine
kriminaalmenetluses abistamistaotluse, mitte õigusabi
taotluse alusel. Koostööd kriminaalmenetluses Euroopa
Liidu liikmesriikide vahel reguleerib 8. jagu, millest
tulenevalt taotletakse teises liikmesriigis
menetlustoimingu tegemist, kui eesmärgiks on hankida
tõendeid või teises liikmesriigis asuvad tõendid üle anda
või hoiule võtta, Euroopa uurimismäärusega.
Lisaks siseriiklikus kriminaalmenetluses ning välisriigist
saabunud abistamistaotluse või Euroopa uurimismääruse
alusel tehtavatele päringutele nähakse ka kehtivas sättes
ette päringu tegemise võimalus välislepingutes,
rahvusvahelistes konventsioonides ning Euroopa Liidu
õigusaktis sätestatud kohustuse täitmiseks. 2014. aastal
muudeti sellega seonduvalt KAS-i, mille kohta on
seletuskirjas märgitud:
„Olulisema muudatusena tuleb välja tuua punkti 2
sõnastus, millega on laiendatud pangasaladuseks oleva
teabe saamise võimalusi seoses rahvusvahelise koostööga
kriminaalmenetlustes. Teised riigid esitavad Eesti
õiguskaitseasutustele konkreetsetes kriminaalasjades
taotlusi ka Euroopa Liidu Nõukogu 6. detsembri 2007.
aasta otsuse 2007/845/JSK, mis käsitleb kriminaaltulu
jälitamise talituste vahelist koostööd kuritegelikul teel
saadud tulu või kuritegevusega seotud muu vara
jälitamise ja tuvastamise valdkonnas, alusel läbi riiklike
kriminaaltulu üksuste. Tegemist ei ole rahvusvahelise
14
abistamistaotlusega KrMS 19. peatüki 3. jao mõistes.
Samuti ei ole tegemist mitte Eesti Vabariigis, vaid
välisriigis alustatud kriminaalmenetlusega. Kui taotlus on
välisriigis alustatud kriminaalmenetluse raames esitatud
eelnimetatud otsuse 2007/845/JSK alusel läbi riikliku
kriminaaltulu üksuse ilma õigusabitaotlust tegemata, ei
tohi kehtiva regulatsiooni kohaselt pangasaladust
edastada. Tulenevalt eelnimetatud raamotsusest toimub
koostöö kriminaaltulu jälitamise talituste vahel ning
kriminaaltulu jälitamise talituste ja teiste asutuste vahel,
mille ülesanne on kuritegelikul teel saadud tulu
kindlakstegemise ja uurimise hõlbustamine, nõukogu 18.
detsembri 2006. aasta raamotsuses 2006/960/JSK
(Euroopa Liidu liikmesriikide õiguskaitseasutuste
vahelise teabe ja jälitusteabe vahetamise lihtsustamise
kohta) sätestatud menetluste ja tähtaegade alusel, kaasa
arvatud seal toodud keeldumise põhjused. Seega tuleb
KrAS § 88 lõike 7 punkt 2 sõnastada selliselt, et oleks
mõistetav, et Politsei- ja Piirivalveameti
keskkriminaalpolitsei kriminaaltulu tuvastamise bürool
on võimalus saada pangasaladust puudutavat teavet
raamotsuse 2007/845/JSK alusel esitatud päringutele
vastamisel.“
Käesolevaks ajaks on raamotsus 2006/960/JSK kehtetu,
koostööd tehakse Euroopa parlamendi ja nõukogu
direktiiviga (EL) 2023/977, mis käsitleb liikmesriikide
õiguskaitseasutuste vahelist teabevahetust ja millega
tunnistatakse kehtetuks nõukogu raamotsus
2006/960/JSK, sätestatud tingimustel ja korras.
Rahvusvahelise konventsioonina võib välja tuua nt
Rahvusvahelise organiseeritud kuritegevuse vastu
võitlemise Ühinenud Rahvaste Organisatsiooni
konventsiooni, mille artikkel 12 „Konfiskeerimine ja
arestimine“ sõnastab: „1. Osalisriik võtab oma seaduse
15
alusel võimalikult suures ulatuses meetmeid, mis
võimaldavad konfiskeerida:
a) konventsioonis nimetatud kuriteo toimepanemisega
saadud vara või vara, millel on sama väärtus;
2. Osalisriik võtab meetmeid, et tagada lõikes 1 nimetatud
eseme kindlakstegemine, jälgimine ja arestimine selle
võimalikuks konfiskeerimiseks.
6. Käesoleva artikli ja artikli 13 kohaselt volitab osalisriik
oma kohtu või muu pädeva asutuse andma panga- või
muu finantsdokumendi või äridokumendi esitamise või
arestimise määruse. Osalisriik ei või käesoleva lõike
täitmisest keelduda, viidates pangasaladuse hoidmisele.“
Ettepanek VII: Kaaluda paragrahvi 88 lõike 5 punkt 2
muutmist ja sõnastamist järgmiselt:
„2) uurimisasutusele ja prokuratuurile alustatud
kriminaalmenetluses, sealhulgas välisriigist saabunud
abistamistaotluse või Euroopa uurimismääruse alusel või
välislepingus, rahvusvahelises konventsioonis või
Euroopa Liidu õigusaktis sätestatud kohustuse täitmiseks.
11 Väärteomenetlus, teadmata kadunud isiku asukoha
tuvastamine. Käesoleval ajal väärteomenetluses
krediidiasutusele päringu tegemine ei ole võimalik, v.a
kõnealuses paragrahvis toodud erisused. Teatud juhtudel
on aga väärtegude tõendamine pangasaladust
(pangatehingute andmeid) avaldamata võimatu või
ebamõistlikult koormav. Nt KarS §-s 213 (Arvutikelmus)
sätestatud teo toimepanemisel, kui kahju on alla 200 euro
(teise isiku pangakaardiga võetakse välja raha alla 200
euro), kvalifitseeritakse see § 218 alusel väärteona.
Sarnaselt VTMS § 312 lõikes 3 ette nähtud
regulatsiooniga võiks päringu krediidiasutusele teha
üksnes siis, kui see on vältimatult vajalik
väärteomenetluse eesmärgi saavutamiseks. Esitatud
sättega soovime rõhutada ultima ratio põhimõtte
Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse
pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt
maksepettustega seotud. Toome siinkohal välja, et
rahandusministeeriumil on välja töötamisel eelnõu, millega
muudetakse viidatud KAS §-i 88 tervikuna.
16
kasutamist – päringu saab teha üksnes siis, kui see on
vajalik ja põhjendatud.
KAS-i täiendamisega teadmata kadunud isikute asukoha
tuvastamisega seonduvalt luuakse PPA-le võimalus saada
põhjendatud taotluse alusel ning kohtu loal ja ulatuses
teavet pangatehingute kohta, mis on vajalik teadmata
kadunud isiku asukoha tuvastamiseks, et välja selgitada
oht isiku elule ja kehalisele puutumatusele (kõrgendatud
oht), ja vajadusel vastav oht tõrjuda. Muudatusega
antakse teadmata kadunute otsimisega tegelevatele
ametnikele lisavõimalus teadmata kadunu isiku asukoha
kiireks ja tulemuslikuks väljaselgitamiseks ning süüteo
tunnuste ilmnemise korral kriminaalmenetluse
alustamiseks. Seejuures tuleb rõhutada, et muudatus ei
muuda teadmata kadunud isiku pangatehingute andmete
küsimist igas kaasuses nö vaikimisi toiminguks, sest
toimingu tegemise vajadus ja proportsionaalsus on
allutatud kohtu kontrollile, kes tagab sõltumatuse
vältimatu vajalikkuse ehk ultima ratio põhimõtte
järgimisel.
Aastas laekub PPA-le üle 4000 teate teadmata kadunud
isiku kohta, kuid enamikel juhtudel leitakse kadunu
muude meetmetega üles mõne päeva jooksul. Kadunu
pangatehingute andmeid võib olla vajalik küsida aastas
kuni paarikümnes juhtumis, kui muud toimingud
teadmata kadunud isiku asukoha väljaselgitamiseks on
ammendunud.
Ettepanek VIII: Kaaluda paragrahvi 88 lõike 5
täiendamist punktidega 41 ja 42 järgmises sõnastuses:
„41) Politsei- ja Piirivalveametile alustatud
väärteomenetluses põhistatud määruse alusel, kui see on
vältimatult vajalik väärteomenetluse eesmärgi
saavutamiseks;“;
17
„42) Politsei- ja Piirivalveametile põhjendatud taotluse
alusel ning kohtu loal teadmata kadunud isiku asukoha
tuvastamiseks;“.
Vajadusel võib punkti 41 täiendada, nähes ette kohtu loa
kohustuslikkuse. Hetkel kehtiva seaduse kohaselt (§ 88
lõike 5 punkt 4) võib pangasaladust avaldada MTA-le
MKS alusel läbiviidavates väärteomenetlustes põhistatud
määruse alusel.
12 KAS § 88 lõiked 61 ja 62 sõnastus. Kehtivad KAS § 88
lõiked 61 ja 62 sätestavad:
„(61) Krediidiasutus avaldab käesoleva paragrahvi lõike 5
punktides 1–4 nimetatud järelepärimise vastusena
pangasaladuse, kui järelepärimises märgitud kliendi kohta
on esitatud vähemalt:
1) andmed kliendi maksekonto, maksekaardi või muu
maksevahendi või makseinstrumendi tunnuse või lepingu
kohta või
2) muud andmed, mis võimaldavad identifitseerida
kliendi isiku.
(62) Krediidiasutus avaldab käesoleva paragrahvi lõike 5
punktides 1–4 nimetatud järelepärimise vastusena
pangasaladuse:
1) järelepärimises märgitud kliendi maksekonto suhtes
esindusõigust omava isiku kohta;
2) kliendi kohta, kelle maksekonto suhtes järelepärimises
märgitud isik esindusõigust omab;
3) käesoleva lõike punktides 1 ja 2 nimetatud kliendi
tegeliku kasusaaja kohta.“
Muudatus on seotud eelmises kommentaaris esitatud
muudatusettepanekutega. KAS § 88 lõigetes 61 ja 62
toodud põhimõtted peaksid kehtima ka juhul, kui PPA
esitab krediidiasutusele järelepärimise alustatud
väärteomenetluses või teadmata kadunud isiku asukoha
tuvastamiseks.
Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse
pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt
maksepettustega seotud. Toome siinkohal välja, et
rahandusministeeriumil on välja töötamisel eelnõu, millega
muudetakse viidatud KAS §-i 88 tervikuna.
18
Ettepanek IX: Kaaluda paragrahvi 88 lõigetes 61 ja 62
tekstiosa „lõike 5 punktides 1-4“ asendamist tekstiosaga
„lõike 5 punktides 1–42“;
13 KAS § 88 lõike 9 sõnastus. KAS sõnastus
„Krediidiasutusel on õigus avaldada pangasaladust
uurijale, prokurörile ja kohtule seoses oma rikutud või
vaidlustatud õiguse või vabaduse kaitsmisega seadusega
kindlaksmääratud korras.“ on eksitav. Nimelt on KrMS §
16 lõike 1 kohaselt menetlejad kohus, prokuratuur ja
uurimisasutus. KrMS § 30 lõike 2 kohaselt teostab
prokuratuuri volitusi kriminaalmenetluses prokuratuuri
nimel prokurör. Tulenevalt § 31 lõikest 5 kehtestab
uurimisasutuse juht nende ametikohtade loetelu, mille
täitjatel on õigus osaleda uurimisasutuse pädevuse piires.
Kõikide loetelus toodud ametikohtadel töötavate
ametnike ametinimetus ei pea olema uurija. Kui KrMS-s
soovitakse rõhutada konkreetset ametnikku, siis
kasutatakse mõistet „uurimisasutuse ametnik“. Nt
sätestab KrMS § 59 lõige 1: „Uurimisasutuse ametnik,
kelle menetluses on kriminaalasi, on kohustatud
taanduma käesoleva seadustiku § 49 lõigetes 1 ja 6
sätestatud alusel.“
Ettepanek X: Kaaluda paragrahvi 88 lõikes 9 tekstiosa
„uurijale, prokurörile“ asendamist tekstiosaga
„uurimisasutusele, prokuratuurile“.
Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse
pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt
maksepettustega seotud. Toome siinkohal välja, et
rahandusministeeriumil on välja töötamisel eelnõu, millega
muudetakse viidatud KAS §-i 88 tervikuna.
Eesti Pank
14 Teeme ettepaneku parema õigusselguse saavutamiseks
täpsustada võlaõigusseaduses (edaspidi ka VÕS) poolte
õigusi ja kohustusi maksejuhise täitmisest keeldumisel.
Mõistame, et muudatuse eesmärgiks on anda
makseteenuse pakkujale kahtluse korral võimalus
veenduda, et maksejuhis on korrektselt kinnitatud ja
Arvestatud/
selgitatud
Eelnõu ja seletuskirja on vastavalt täiendatud.
19
täpsustada täiendava kontrollimise tõttu maksejuhise
hilisema täitmisega kaasuvaid tagajärgi. See tähendab, et
makseteenuse pakkuja makse täitmisest keeldumise
korral tuleb pärast täiendavat kontrolli maksetehing täita
või jätta see täitmata. Neid erinevaid tagajärgi tuleks meie
hinnangul ka seaduses selgemalt reguleerida, sealhulgas
täpsustada poolte vastutust ja maksejuhise kättesaamise
tingimusi. Nii kaua, kui maksejuhisest on õigustatult
keeldutud, siis loetakse, et teenuse pakkuja ei ole
maksejuhist kätte saanud ja teenuse pakkujal puudub
täitmise kohustus. Seetõttu peame oluliseks ka
reguleerida seda, millal tuleb maksejuhist asuda täitma ja
võimalusel täpsustada ka sellise maksejuhise
kättesaamise aega (näiteks kohe, kui täitmisest
keeldumise põhjused on ära langenud, misjärel hakkab
lugema välkmakse 10 sekundit). Täpsustada võiks ka
tingimusi, millise aja jooksul tuleb makseteenuse
pakkujal otsustada vajadus teostada täiendav kontroll ja
milline on maksimaalne täiendava kontrolli aeg, et
otsustada maksejuhise täitmise üle. Samuti tuleks
täpsustada, et kui pärast maksejuhise täiendavat
kontrollimist maksejuhist ei täideta, siis loetakse, et
teenusepakkuja on õigustatult keeldunud maksejuhise
täitmisest ja sellisel juhul ei ole maksjal õigust nõuda
maksejuhise täitmist (so. makset käsitatakse kättesaamata
maksejuhisena vastavalt VÕS § 7243 lõikele 5).
Käesoleva eelnõu puhul on meie hinnangul oluline ka
põhjalikumalt selgitada kliendi (rahaliste vahendite)
kaitsmise ning maksejuhiste täitmisest keeldumise
eesmärki ja tagajärgi eelnõu juurde koostatud
seletuskirjas. Samuti selgitada, millised on poolte õigused
ja kohustused olukorras, kui maksja vaidleb/ei vaidle
täiendavaks kontrolliks peatatud maksejuhise täitmisele
vastu.
15 Teeme ettepaneku täpsustada ka maksekontode
blokeerimise tingimusi võimaliku andmete
väärkasutamise või maksepettusega seotud asjaolude
Selgitatud VÕS-is on §-s 73311 lõikes 3 ette nähtud makseinstrumendi
blokeerimise õigus. Vastavalt sellele, kui makseteenuse lepingus on
nii kokku lepitud, on makseteenuse pakkujal õigus blokeerida
20
väljaselgitamiseks ja ennetamiseks ning ette näha õigus
sellekohast teavet jagada ka teiste makseteenuse
pakkujatega. Eelkõige võimaldaks see makseteenuse
pakkujal ära hoida rahaliste vahendite kättesaadavaks
tegemist makse saajast petturile näiteks
veebikaubanduses või investeerimiskelmuste korral.
makseinstrument objektiivselt põhjendatud kaalutlustel, mis
seonduvad makseinstrumendi turvalisusega, või kui on kahtlus
maksja nõusolekuta või pettuse teel makseinstrumendi kasutamise
kohta või kui krediidiliiniga seotud makseinstrumendi kasutamisel
suureneb oluliselt oht, et maksjal ei ole piisavalt vahendeid
maksekohustuse täitmiseks.
Makseteenuse lepingus saab makseteenuse pakkuja täpsustada
makseinstrumendi blokeerimise tingimusi.
Leiame, et eelnõus sisalduv makseteenuse pakkujate õigus jagada
objektiivselt põhjendatud pettuse kahtluse korral andmeid teiste
makseteenuse pakkujatega katab ära ettepanekus toodud andmete
jagamise eesmärgi.
16 Teeme ettepaneku, et teave, mida makseteenuse pakkujad
on kohustatud klientidele makseteenuse lepingu kohta
andma, võiks sisaldada muu hulgas maksepettusega
seotud tagasinõudeid käsitlevaid tingimusi ja korda.
Arvestatud Eelnõu on vastavalt täiendatud.
17 Parema õiguskindluse huvides teeme ettepaneku
täpsustada võlaõigusseaduses ka makseteenuse pakkuja
poolt turvalisuse nõuete rakendamisega seotud kohustusi
(VÕS § 7246 ). Soovitame ette näha selgem õigus teenuse
pakkujale takistada maksekontole juurdepääs ja mis tahes
elektrooniliste toimingute tegemine, kui juurdepääs on
saadud või seda taotletakse autoriseerimata või pettuse
teel või kui toiminguga kaasneb andmete väärkasutamise
või makseteenusega seotud pettuse oht. Sealhulgas ette
näha selgem kohustus teenusepakkujale takistada
maksekontole juurdepääs interneti teel ja mis tahes
toimingute tegemine, kui teenusepakkujal on põhjendatud
kahtlus, et kliendi tugevaks autentimiseks mõeldud
turvaelementide kasutamine ei vasta makseteenuse
lepingus määratud tugeva autentimise tingimustele, muu
hulgas juhul, kui teenusepakkujal on põhjendatud kahtlus,
et neid võidakse kasutada kliendi teadmata (näiteks, kui
autentimiseks kasutatud seadmete asukoht on erinev, mis
annab alust arvata, et kliendi tugevaks autentimiseks
Selgitatud VÕS-is on §-s 73311 lõikes 3 ette nähtud makseinstrumendi
blokeerimise õigus. Vastavalt sellele, kui makseteenuse lepingus on
nii kokku lepitud, on makseteenuse pakkujal õigus blokeerida
makseinstrument objektiivselt põhjendatud kaalutlustel, mis
seonduvad makseinstrumendi turvalisusega, või kui on kahtlus
maksja nõusolekuta või pettuse teel makseinstrumendi kasutamise
kohta või kui krediidiliiniga seotud makseinstrumendi kasutamisel
suureneb oluliselt oht, et maksjal ei ole piisavalt vahendeid
maksekohustuse täitmiseks.
Makseinstrumendi blokeerimisel on takistatud muuhulgas ka
amksekonto kasutamine ning elektrooniliste toimingute tegemine.
Täpsemad nõuded turvalise teabevahetuse ja turvameetmete kohta
on kehtestatud Euroopa Parlamendi ja nõukogu direktiivi
2015/2366/EL artiklis 98 nimetatud Euroopa Komisjoni
rakendusmääruses.
21
ettenähtud tehniline rakendus ei ole kliendi kontrolli all).
Samuti tuleks ette näha makseteenuse pakkuja kohustus
teavitada eelnimetatud asjaolust ka vastavat tugeva
autentimise lahenduse pakkujat (usaldusteenuse
pakkujat).
18 Eelnõuga nähakse krediidiasutusele õigus pettuse
avastamiseks, ennetamiseks ja välja selgitamiseks
avaldada andmeid ja teavet muu hulgas teisele
krediidiasutusele. Palume kaaluda, kas krediidiasutuste
õigus avaldada andmeid ja teavet oma kliendi kohta võiks
laieneda makseteenuse pakkujatele, kuivõrd
makseteenuseid osutavad ka mitte krediidiasutused
(makseasutused ja e-raha asutused). Vastasel juhul jääb
osa teenusepakkujaid pettuste ennetustegevusest
väljapoole just puuduva info tõttu.
Arvestatud Eelnõu on vastavalt täiendatud ja lisatud maksetasutustele ja e-raha
asutustele andmete avaldamise õigus.
19 Eelnõu kohaselt on krediidiasutusel õigus avaldada teavet
teisele krediidiasutusele juhul, kui krediidiasutusel on
objektiivselt põhjendatud alus kahtlustada, et klient või
maksetehing võib olla seotud pettusega. Palume selgitada,
millist rolli mängib krediidiasutuse pettuse kahtlus teabe
avaldamisel ja hinnata, kas teabe avaldamiseks piisaks,
kui seda tehakse maksetehingutega seotud pettuste
avastamise, väljaselgitamise ja ennetamise eesmärgil (so
loobuda pettuse kahtluse tingimusest).
Selgitatud Leiame, et andmete avaldamise eeldusena objektiivselt põhjendatud
pettusekahtluse tingimusest ei ole põhjendatud loobuda. Nimetatu
eesmärk on andmete avaldamise piiramine, mis seob
andmevahetuse konkreetse juhtumiga. See tagab, et andmeid ei
avaldata üldiselt või ennetavalt kõigi maksetehingute kohta. Selline
juhtumipõhine lävend tagab andmete avaldamise vajalikkust ja
proportsionaalsust, et oleks kooskõla andmete töötlemise
minimaalsuse põhimõttega. Ilma selle tingimuseta muutuks
andmete avaldamise alus liiga avaraks.
Finantsinspektsioon
20 Eelnõu § 1 punktiga 1 täiendatakse võlaõigusseaduse
(edaspidi VÕS) §-i 7243 lõikega 41 järgmiselt: „(41 )
Makseteenuse pakkuja võib keelduda autoriseeritud
maksejuhise täitmisest, kui pärast komisjoni delegeeritud
määruses (EL) 2018/389, millega täiendatakse Euroopa
Parlamendi ja nõukogu direktiivi (EL) 2015/2366
regulatiivsete tehniliste standarditega, mis käsitlevad
kliendi tugevat autentimist ning ühiseid ja turvalisi
teabevahetuse avatud standardeid (ELT L 69/23,
13.03.2018, lk 23–43), ette nähtud turvameetmete
täiendavat rakendamist on makseteenuse pakkujal
põhjendatud kahtlus, et maksetehingu täitmiseks antud
Arvestatud Eelnõusse on lisatud uued lõiked, mis selgitavad täiendavate
turvameetme rakendamise sisu ja eesmärki.
22
nõusolek on saadud andmete väärkasutamise, pettuse või
maksjaga manipuleerimise teel.“ Eelnõus kasutatakse uut
mõistet „täiendavate turvameetmete rakendamine“, kuid
selle sisu ei ole eelnõu tekstis ega seletuskirjas avatud.
Finantsinspektsiooni hinnangul on õigusselguse huvides
vajalik nimetatud mõistet täpsemalt selgitada. Nimelt
seab Eelnõu § 1 punkt 1 kaks eeldust autoriseeritud
maksejuhise täitmisest keeldumiseks: 1) täiendavate
turvameetmete rakendamine; 2) põhjendatud kahtlus
väärkasutamises, pettuses või maksjaga
manipuleerimises. Eelnõu kohaselt on makseteenuse
pakkujal õigus keelduda maksejuhise täitmisest üksnes
pärast täiendavate turvameetmete rakendamist.
Makseteenuse pakkujad on maksetehingute töötlemisel
kohustatud rakendama erinevaid turvameetmeid.
Praktikas rakendatakse neid meetmeid suurel määral
automatiseeritud süsteemide kaudu. Eelnõus kasutatud
mõiste „täiendavate turvameetmete rakendamine“ võib
tekitada tõlgenduslikku ebaselgust selles osas, milliseid
turvameetmeid tuleb pidada täiendavateks võrreldes
makseteenuse pakkujate tavapäraste
kontrollimehhanismidega. Eelkõige võib tekkida
küsimus, millised rakendatavad turvameetmed
(sealhulgas automaatsed pettusetuvastuse süsteemid)
kvalifitseeruvad eelnõu tähenduses täiendavate
turvameetmeteks. Eeltoodut arvestades teeb
Finantsinspektsioon ettepaneku täpsustada eelnõu
seletuskirjas täiendavate turvameetmete rakendamise
mõiste sisu. Finantsinspektsiooni hinnangul tuleks
seletuskirjas vähemalt tuua välja näiteid (nt kliendile
helistamine), milliseid meetmeid silmas peetakse ning
mis vahe on täiendavatel turvameetmetel ja tavapärastel
turvameetmetel.
21 Eelnõu § 1 punktiga 1 täiendatakse VÕS §-i 7243 lõikega
43 järgmiselt: „(43) Välkkreeditkorralduse puhul tuleb
maksejuhise täitmisest keelduda kooskõlas Euroopa
Parlamendi ja nõukogu määrusega (EL) nr 260/2012.“
Arvestad Eelnõu vastavalt muudetud.
23
Euroopa Parlamendi ja nõukogu määrusega (EL) nr
260/2012 kehtestatakse eurodes tehtavatele kreedit- ja
otsekorraldustele tehnilised ja ärilised nõuded ning
muudetakse määrust (EÜ) nr 924/2009. Nõuded
välkkreeditkorraldustele kehtestab Euroopa Parlamendi ja
nõukogu määrus (EL) 2024/886, millega muudetakse
määrusi (EL) nr 260/2012 ja (EL) 2021/1230 ning
direktiive 98/26/EÜ ja (EL) 2015/2366 eurodes
välkkreeditkorralduste osas. Eelnõus on viidatud Euroopa
Parlamendi ja nõukogu määrusele (EL) nr 260/2012, kuid
nõuded välkkreeditkorraldusele kehtestab Euroopa
Parlamendi ja nõukogu määrus (EL) 2024/886. a.
Finantsinspektsiooni teeb ettepaneku muuta Eelnõud
järgmiselt: „(43) Välkkreeditkorralduse puhul tuleb
maksejuhise täitmisest keeldumisel järgida Euroopa
Parlamendi ja nõukogu määruses (EL) 2024/886
sätestatud nõudeid.“
22 Eelnõu § 1 punktid 1 ja 3
Eelnõu § 1 punktiga 1 täiendatakse VÕS §-i 7243 lõikega
41 järgmiselt: „(41) Makseteenuse pakkuja võib keelduda
autoriseeritud maksejuhise täitmisest, kui pärast
komisjoni delegeeritud määruses (EL) 2018/389, millega
täiendatakse Euroopa Parlamendi ja nõukogu direktiivi
(EL) 2015/2366 regulatiivsete tehniliste standarditega,
mis käsitlevad kliendi tugevat autentimist ning ühiseid ja
turvalisi teabevahetuse avatud standardeid (ELT L 69/23,
13.03.2018, lk 23–43), ette nähtud turvameetmete
täiendavat rakendamist on makseteenuse pakkujal
põhjendatud kahtlus, et maksetehingu täitmiseks antud
nõusolek on saadud andmete väärkasutamise, pettuse või
maksjaga manipuleerimise teel.“ Eelnõu § 1 punktiga 3
täiendatakse VÕS §-i 7339 lõikega 3 järgmiselt: „(3)
Makseteenuse pakkuja ei vastuta kahju eest, kui käesoleva
seaduse § 7243 lõike 4¹ alusel ette nähtud turvameetmete
täiendava rakendamise tulemusel täidetakse makse
hilinemisega, tingimusel et nimetatud turvameetmeid
rakendatakse ebamõistliku viivituseta ning rakendamise
Arvestatud Eelnõus on mõisted ühtlustatud.
24
aluseks on objektiivselt põhjendatud kahtlus, et
maksetehingu täitmiseks antud nõusolek on saadud
andmete väärkasutamise, pettuse või maksjaga
manipuleerimise teel“ Eelnõus kasutatakse mõisteid
„põhjendatud kahtlus“ ja „objektiivne põhjendatud
kahtlus“. Finantsinspektsioon teeb õigusselguse huvides
ettepaneku ühtlustada eelnimetatud mõisted. Kui eelnõu
eesmärk on seada mõlemas sättes eelduseks objektiivselt
põhjendatud kahtlus, tuleks seda mõistet kasutada
mõlemas sättes ühtmoodi. Juhul kui eelnõu eesmärk on
nimetatud mõisteid eristada, oleks vajalik seletuskirjas
selgitada nende mõistete sisu, omavahelisi erinevusi ning
seoseid. Eelkõige tuleks avada, millistel juhtudel tuleb
lähtuda põhjendatud kahtlusest ning millistel juhtudel
objektiivselt põhjendatud kahtlusest, ning kas ja mil
määral erinevad nende eeldused normi kohaldamisel.
23 Eelnõu § 1 punktiga 3 täiendatakse VÕS § 7339 lõikega
3 järgmiselt: „(3) Makseteenuse pakkuja ei vastuta kahju
eest, kui käesoleva seaduse § 7243 lõike 4¹ alusel ette
nähtud turvameetmete täiendava rakendamise tulemusel
täidetakse makse hilinemisega, tingimusel et nimetatud
turvameetmeid rakendatakse ebamõistliku viivituseta
ning rakendamise aluseks on objektiivselt põhjendatud
kahtlus, et maksetehingu täitmiseks antud nõusolek on
saadud andmete väärkasutamise, pettuse või maksjaga
manipuleerimise teel.“ Finantsinspektsioon teeb
ettepaneku muuta Eelnõu § 1 punkti 3 ning kasutada
õigusselguse huvides väljendi „nimetatud turvameetmeid
rakendatakse“ asemel väljendit „turvameetmete täiendav
rakendamine teostatakse“, järgmiselt: „(3) Makseteenuse
pakkuja ei vastuta kahju eest, kui käesoleva seaduse §
7243 lõike 4¹ alusel ette nähtud turvameetmete täiendava
rakendamise tulemusel täidetakse makse hilinemisega,
tingimusel et turvameetmete täiendav rakendamine
teostatakse ebamõistliku viivituseta ning rakendamise
aluseks on objektiivselt põhjendatud kahtlus, et
maksetehingu täitmiseks antud nõusolek on saadud
Arvestatud Eelnõu on vastavalt muudetud.
25
andmete väärkasutamise, pettuse või maksjaga
manipuleerimise teel.“
24 Eelnõu §-ga 2 täiendatakse krediidiasutuste seaduse
(edaspidi KAS) §-ga 894 järgmiselt: „(1) Krediidiasutusel
on õigus avaldada andmeid ja teavet teisele
krediidiasutusele ning Politsei- ja Piirivalveametile
maksetehingutega seotud pettuste avastamiseks,
väljaselgitamiseks ja ennetamiseks juhul, kui
krediidiasutusel on objektiivselt põhjendatud alus
kahtlustada, et klient või maksetehing võib olla seotud
pettusega.“ Eelnõu seletuskirja leheküljel 6 on selgitatud
järgmist: „KAS uue §-i 894 lõike 1 kohaselt antakse
krediidiasutusele õigus avaldada erinevat teavet, mh
pangasaladust teisele krediidiasutusele ning Politsei- ja
Piirivalveametile.“ KAS § 88 lõige 3 punkt 1 sätestab
krediidiasutuse õiguse avaldada pangasaladust
kolmandale isikule, kui „krediidiasutuse õigus või
kohustus avaldada pangasaladust tuleneb käesolevas
paragrahvis sätestatust või;“. Finantsinspektsiooni
hinnangul sätestab KAS § 88 lõige 3 kinnise ja
ammendava loetelu, mille kohaselt on krediidiasutusel
õigus avaldada pangasaladust kolmandale isikule üksnes
juhul, kui selline õigus või kohustus tuleneb KAS § 88
muudest sätetest. KAS § 88 lõiget 3 punkti 1 tõlgendades
võib asuda seisukohale, et pangasaladust ei ole võimalik
avaldada muudel alustel kui KAS §-s 88 sätestatud
võimalustel. Sõnastus “tuleneb käesolevas paragrahvis
sätestatust“ välistab teiste erandite alused, mis ei ole KAS
§-is 88 ette nähtud. Seega on seadusandja kehtivas
õiguses sidunud pangasaladuse avaldamise alused
tervikuna sama paragrahvi regulatsiooniga ning
välistanud võimaluse tugineda pangasaladuse avaldamisel
teistele KAS-i sätetele, mis paiknevad väljaspool § 88.
Eelnõuga kavandatav KAS § 894 paikneb väljaspool KAS
§-i 88. KAS § 894 võib olla vastuolus kehtiva seadusega,
mille kohaselt on pangasaladuse avaldamise alused
koondatud KAS §-i 88 ning loetelu on käsitatav
Arvestatud KAS § 88 lõike 3 punkti 1 lisatud viide uuele §-le 894.
26
kinnisena. Eeltoodust tulenevalt tuleb
Finantsinspektsiooni hinnangul täiendavat hinnata KAS §
894 kooskõla KAS § 88 lõikega 3 ning vältida olukorda,
kus pangasaladuse avaldamise alused oleksid seaduses
killustatult reguleeritud või tekitaksid normide vahel
tõlgenduslikku vastuolu. Arvestades, et Eelnõu kohaselt
tekib õigus autoriseeritud maksejuhise täitmisest
keelduda kõigile makseteenuse pakkujatele, siis oleks
Finantsinspektsiooni hinnangul kohane kaaluda ka
teistele makseteenuse pakkujatele, kes ei ole
krediidiasutused, õiguse andmist avaldada andmeid ja
teavet maksetehingutega seotud pettuste avastamiseks,
väljaselgitamiseks ja ennetamiseks teistele makseteenuse
pakkujatele, Politsei- ja Piirivalveametile ning Riigi
Infosüsteemi Ametile. Juhul, kui sellist õigust ei soovita
kõigile makseteenuse pakkujatele anda, siis oleks kohane
vastavat välistust Eelnõu seletuskirjas hinnata ja
selgitada.
25 Eelnõu seletuskirja lk 1 kohaselt: „Esiteks, eelnõuga
muudetakse võlaõigusseaduse (edaspidi VÕS)
regulatsiooni, mis puudutab maksejuhise täitmisest
keeldumist ehk olukorda, kus isik soovib teha
maksetehingut, kuid makseteenuse pakkuja (pank või
makseasutus) saab keelduda maksetehingu täitmisest.“
Finantsinspektsioon juhib tähelepanu, et makseteenuse
pakkujad määratleb MERAS § 3 lõige 6. Eesti turul
tegutsevad makseteenuse pakkujatena nii
krediidiasutused (sh välisriigi krediidiasutuste Eesti
filiaalid), makseasutused kui ka e-raha asutused.
Eeltoodust tulenevalt ei ole Eelnõu seletuskirjas esitatud
makseteenuse pakkujate loetelu täielik.
Finantsinspektsiooni hinnangul tuleb viia seletuskirja
sõnastus vastavusse MERAS-es sätestatud
definitsiooniga ning kasutada läbivalt mõistet
„makseteenuse pakkuja“.
Arvestatud. Makseasutuste ja e-raha asutuste seaduse § 633 täiendatud uue
lõikega, mille kohaselt andmete avaldamisele pettuste
maksepettuste avastamiseks, väljaselgitamiseks ja ennetamiseks
kohaldatakse krediidiasutuste seaduse § 894.
26 Eelnõu seletuskiri lk 1, 10 ja 13 Eelnõu seletuskirja lk 1 kohaselt: „Samuti loob eelnõu
Arvestatud Seletuskirja on vastavalt muudetud.
27
selgema õigusraamistiku ja tugevdab pankade õigust
põhjendatud pettuse kahtluse korral makseid ajutiselt
peatada või makse täitmisest keelduda.“ Eelnõu
seletuskirja lk 10 kohaselt: „7.1 Nähakse
krediidiasutustele ette õigus keelduda maksejuhiste
täitmisest. Sihtrühm nr 1: mõju makseteenuse pakkujatele
Muudatus võib mõju avaldada enamikele Eestis
tegutsevatele (suurematele) krediidiasutustele. Eestis on
hetkeseisuga registreeritud 8 krediidiasutust (kes on
saanud Finantsinspektsioonilt tegevusloa) ning 6
välisriigi krediidiasutuse filiaali. Eestis pakuvad
teadaolevalt põhimakseteenuseid 7 krediidiasutust: AS
LHV Pank, AS SEB Pank, AS TBB pank, Coop Pank AS,
Luminor Bank AS ja Swedbank AS. Lisaks pakub
põhimakseteenuseid üks Eestis tegutsev välisriigi
krediidiasutuse filiaal, milleks on AS Citadele banka Eesti
filiaal. Seega hetkel ei paku põhimakseteenuseid AS
Inbank, Bigbank AS, Holm Bank AS”. Eelnõu seletuskirja
lk 13 kohaselt: „Jõustumistähtaeg on ette nähtud
arvestusega, et krediidiasutustel oleks võimalik
valmistada ette ning teha vajadusel tehnilised
muudatused, mis on vajalikudud maksejuhise täitmisest
keeldumise rakendamiseks /.../“. Finantsinspektsioon
juhib tähelepanu, et Eelnõuga kavandatavad
võlaõigusseaduse muudatused kohalduvad kõigile
makseteenuse pakkujatele, mitte üksnes
krediidiasutustele ehk pankadele. Sellest tulenevalt peaks
ka Eelnõu seletuskiri (sh punkti 7.1 pealkiri) kajastama
muudatuste tegelikku adressaati ning viitama
makseteenuse pakkujatele. Sihtrühma kirjeldamise osas
on oluline ära märkida järgnev. Esiteks ei osuta kõik
krediidiasutused makseteenuseid, mistõttu ei ole kohane
piirduda tegevusluba omavate krediidiasutuste
loetlemisega, kuivõrd kõigile neile muudatus ei kohaldu.
Teiseks ei ole põhimakseteenuste osutajate seletuskirjas
käsitlemine käesoleva Eelnõu esemega otseselt seotud
ning selle väljatoomine mõjuanalüüsi osas võib jätta
28
eksitava mulje regulatsiooni kitsamast kohaldamisalast, st
muudatus ei kohaldu üksnes põhimakseteenuste
osutajatele. Finantsinspektsioon märgib informatiivses
korras, et Eelnõu seletuskirjas esitatud loetelu
põhimakseteenuste osutajatest ei ole ajakohane. Näiteks
on loetelus viidatud krediidiasutusele, mis enam ei tegutse
(AS TBB pank). Siinkohal kordame aga eeltoodut, et
sihtrühma kirjelduses ei ole asjakohane
põhimakseteenuste osutajaid eraldi välja tuua.
Kolmandaks on sihtrühma analüüsist hetkel välja jäänud
nii makseteenuse pakkujad, kes ei ole krediidiasutused kui
ka krediidiasutused, kes ei osuta tarbijatele
põhimakseteenuseid, vaid osutavad makseteenuseid
mitte-tarbijatele. Eeltoodust tulenevalt tuleb
Finantsinspektsiooni hinnangul Eelnõu seletuskirjas
kirjeldada sihtrühmana kõiki makseteenuse pakkujaid,
kelle tegevust kavandatav muudatus mõjutab või
tulevikus mõjutada võib.
27 Eelnõu seletuskirja lk 3 kohaselt: „Euroopa Liidu
tasemel on sisuliselt kokku lepitud uus makseteenuse
määrus, mis hakkab asendama praegu kehtivat
makseteenuste direktiivi 2015/23667. Määrusega
tugevdatakse mh makseteenuste turvalisust ning nähakse
ette ulatuslikumad pettusevastased meetmed, mis aitavad
krediidiasutustel kui ka vastavatel ametiasutustel
tõhusamalt sekkuda pettuste ennetamisse ja tõkestamisse.
Määrus paneb krediidiasutustele kohustuse autoriseeritud
maksete täitmisest keelduda juhul, kui on alus kahtlustada
pettust. Samuti näeb määrus ette andmete vahetamise
krediidiasutuste vahel ning samuti muude asutustega.
Makseteenuste määruse osas jõuti poliitilise
kokkuleppeni 2025. aasta novembris. Määrust hakatakse
eeldatavalt kohaldama 2028. aasta keskpaigas. Käesolev
eelnõu lähtub samast eesmärgist ning loob riigisiseses
õiguses vajalikud õiguslikud alused, mis aitavad pettusi
tõhusamalt ennetada ja tõkestada. Eesmärk on
võimaldada selliste meetmete rakendamist teatud ulatuses
Arvestatud Seletuskirja on täiendatud selgitustega makseteenuste määruse
valikute kohta ning seost kõnealuse eelnõuga.
29
juba enne, kui hakkab kehtima uus makseteenuste määrus.
Arvestades pettuste jätkuvat kasvu ning nende suur kahju
nii isikutele kui ettevõtjatele, on põhjendatud rakendada
sarnase sisuga meetmeid võimalikult varakult. Kui uus
makseteenuse määrus hakkab kehtima, tuleb lähtuvalt
sellest analüüsida ja tõenäoliselt kehtetuks tunnistada
need siseriiklikud sätted, mis tulenevad otse eelnimetatud
EL määrusest.“ Finantsinspektsioon märgib, et Eelnõu
seletuskirja praegune sõnastus jätab mulje, et Eelnõu
puhul on tegemist makseteenuste määruse sätete
ennetähtaegse ülevõtmisega. Arvestades, et määruse
lõplik tekst ei ole veel vastu võetud, on mõistetav, et
Eelnõu seletuskirjas ei ole võimalik viidata konkreetsetele
lõplikele sätetele, kus Eelnõu seletuskirjas mainitud
kohustusi või õigusi sätestatakse. Samas võiks Eelnõu
seletuskiri selgemalt eristada, millises ulatuses tuginevad
kavandatavad normid konkreetselt makseteenuste
määruse ettepanekule või selle kujunemise käigus
saavutatud poliitilistele kokkulepetele ning millises osas
on tegemist Eesti-sisese regulatiivse valikuga, mis on
kujundatud sarnase eesmärgi saavutamiseks.
28 Eelnõu seletuskirja lk 5 kohaselt: „VÕS § 7243 uus lõige
43 – selle kohaselt tuleb välkkreeditkorralduse puhul
maksejuhise täitmisest keelduda kooskõlas välkmaksete
määrusega. Välkmaksete määruse kohaselt teeb makse
saaja makseteenuse pakkuja kümne sekundi jooksul alates
maksja makseteenuse pakkujalt välkkreeditkorralduse
maksekäsundi vastuvõtmise ajast maksetehingu summa
makse saaja maksekontol kättesaadavaks vääringus,
milles makse saaja konto on nomineeritud, ning kinnitab
maksja makseteenuse pakkujale maksetehingu
lõpuleviimist. See tähendab, et makseteenuse pakkuja
peab maksetehingu riskianalüüsi ära tegema kümne
sekundi jooksul ning otsustama, kas on vajalik
turvameetmete täiendav rakendamine. Juhul, kui
maksetehingu riskianalüüsi põhjal selgub, et vajalik on
turvameetmete täiendav, siis täidetakse maksejuhis pärast
Arvestatud Eelnõu seletuskirjas on täpsemalt selgitatud, millisel makseteenuse
pakkujal ja millal tekib õigus maksejuhise vastuvõtmise
edasilükkamiseks.
30
täiendavat kontrolli ning sellisel juhul ei rakendu
välkmaksete määruse kümne sekundi nõue.
Turvameetmete täiendav rakendamine peab toimuma aga
ilma ebamõistliku viivituseta.“ Finantsinspektsioon juhib
tähelepanu, et esiteks tuleb selgelt eristada seda, millisel
makseteenuse pakkujal saab üldse tekkida küsimus
maksejuhise täitmisest keeldumisest. Maksja
makseteenuse pakkuja on see, kes võtab maksejuhise
vastu, kontrollib selle täitmise eeldusi ning otsustab
maksejuhise täitmise üle. Seetõttu saab makse täitmisest
keeldumise küsimus tekkida üksnes maksja makseteenuse
pakkujal. Makse saaja makseteenuse pakkuja roll algab
hetkest, mil kreeditkorraldus on talle edastatud. Teiseks
tuleb eristada seda, millised ajalised raamid seab
välkmaksete määrus maksja makseteenuse pakkujale ning
millised saaja makseteenuse pakkujale. Välkmaksete
määruse artikli 5a(4) punkti c) kohaselt on saaja
makseteenuse pakkuja kohustus kümne sekundi jooksul
teha maksesumma kättesaadavaks makse saaja kontol ja
kinnitada tehingu lõpuleviimine. Maksja makseteenuse
pakkujal on välkmaksete määruse artikli 5a(4) punkti b)
kohaselt kohustus saata maksetehing viivitamata makse
saaja makseteenuse pakkujale. Käesoleva Eelnõu
seletuskirja versiooni tekst jätab ebaselgeks, millistele
makseteenuse pakkujatele millised käitumisootused ning
õigused või kohustused seatakse. Eeltoodust tulenevalt
tuleb Finantsinspektsiooni hinnangul täpsemalt
analüüsida, mis on loodava VÕS § 7243 lõike 43 eesmärk
ning kuidas see suhestub lõikega 41 ja vastavalt sellele
muuta Eelnõu seletuskirja ja/või Eelnõud.
29 Seletuskirja lk 10-11 kohaselt: „Mõju ulatust on
keeruline täpselt hinnata, kuid pigem on see väike, kuna
kõnealune õigus puudutab väikest osa kõikidest
maksetehingutest, valdav enamus makseid on
autoriseeritud ning korrektselt autenditud. Maksejuhise
täitmisest keeldumised kõnealusel põhjusel on harvad
võrreldes maksetehingute koguarvuga. /.../ Mõju
Arvestatud Seletuskirja mõjude osa täiendatud.
31
avaldumise sagedust saab pidada väikeseks seetõttu, et
maksejuhise täitmisest keeldumine on pigem erandlik
ning puudutab väikest osa maksejuhistest. /.../ Muudatus
avaldab potentsiaalselt mõju kõikidele makseteenuse
kasutajatele, kuid igapäevaselt siiski väikesele osale
makseteenuse kasutajatest, kuna enamus makseid on
autoriseeritud ning korrektselt autenditud.“
Finantsinspektsioon juhib tähelepanu, et Eelnõu
seletuskirja mõjuanalüüsis esineb teatud ebakõlasid.
Eelnõuga nähakse makseteenuse pakkujatele ette õigus
keelduda autoriseeritud maksejuhise täitmisest, samas kui
mõjuanalüüsis hinnatakse muu hulgas autoriseerimata
tehingute hulka ja sagedust. Autoriseerimata
maksetehingute statistika põhjal ei ole võimalik teha
põhjendatud järeldusi nende maksejuhiste kohta, mis on
küll autoriseeritud, kuid mille andmine on toimunud
pettuse, andmete väärkasutamise või maksja
manipuleerimise tulemusel. Samuti ei ole põhjendatud
eeldada, et maksejuhise täitmisest keeldumine jääb
erandlikuks, sest kavandatav muudatus loob
makseteenuse pakkujatele täiendava õigusliku aluse
autoriseeritud maksejuhiste täitmisest keeldumiseks.
Maksejuhise täitmisest keeldumised on olnud erandlikud
just sellepärast, et kehtivas õiguses puudus makseteenuse
pakkujal õigus keelduda pettuse korral maksejuhise
täitmisest. Eelnõus kavandatud muudatused võivad
praktikas tõsta oluliselt keeldumiste sagedust võrreldes
senise praktikaga. Finantsinspektsiooni hinnangul tuleks
seetõttu mõjuanalüüsi täiendada, eelkõige hinnates
põhjalikumalt mõju ulatust ja avaldumise sagedust
autoriseeritud, kuid pettuse teel tehtud maksete
kontekstis.
30 Eelnõust jääb ebaselgeks ja Eelnõu seletuskirjas ei ole
selgitatud, millised on tagajärjed juhul, kui makseteenuse
pakkujal on objektiivne põhjendatud kahtlus, et
maksetehingu täitmiseks antud nõusolek on saadud
andmete väärkasutamise, pettuse või maksjaga
Arvestatud Eelnõus on vastavalt täiendatud.
32
manipuleerimise teel, kuid makseteenuse pakkuja ei
kasuta Eelnõuga antavat õigust maksejuhise täitmisest
keelduda ning maksetehing täidetakse. Ebaselgeks jääb,
kas ja kuidas sellises olukorras võiks hinnata
makseteenuse pakkuja vastutust, sealhulgas kas
põhjendatud kahtluse olemasolul võib makse täitmine
mõjutada makseteenuse pakkuja vastutust hilisema
pettuse korral. Finantsinspektsiooni hinnangul tuleks
eeltoodut Eelnõu seletuskirjas kaaluda ja selgitada isegi
juhul, kui Eelnõuga makseteenuste pakkujatele sellist
vastutust ei teki.
Eesti Pangaliit
31 Olukord tuleb reguleerida maksejuhise kättesaamise ja
autoriseerimise hetke kaudu Esitatud eelnõust on välja
jäetud regulatiivne mehhanism, mis seob maksejuhise
kättesaamise hetke ja autoriseerimise protsessi. Eelnõu
reguleerib vaid autoriseeritud maksejuhise poolt, kuid
pettuse kahtlusega seotud maksejuhise (tehnilise)
autoriseerimise saab lõpule viia alles pärast täiendavate
turvameetmete rakendamist. Esmases tagasisides
pakkusime välja sõnastuse, mille kohaselt on
makseteenuse pakkujal õigus lükata maksejuhise
kättesaamine edasi täiendavate turvameetmete
rakendamiseks ning maksejuhis loetakse kättesaaduks
ning autoriseerituks alles siis, kui makseteenuse pakkuja
on lõpetanud täiendavate turvameetmete rakendamise ja
on veendunud, et maksejuhis vastab nõuetele: „(41)
Makseteenuse pakkujal on õigus lükata maksejuhise
kättesaamine edasi täiendavate turvameetmete
rakendamiseks, maksejuhise töötlemiseks vajalike
tehniliste ja turvanõuete täitmise kontrolliks, sealhulgas
autentimise ja riskipõhiste turvameetmete rakendamiseks
ning juhul, kui on põhjendatud alus kahtlustada, et
maksejuhist ei ole maksja poolt autoriseeritud, maksjat on
Arvestatud Eelnõu ja seletuskirja on vastavalt muudetud.
33
manipuleeritud või on autoriseerimine tehtud pettuse teel.
Maksejuhis loetakse makseteenuse pakkujale siduvaks,
kui makseteenuse pakkuja on lõpetanud täiendavate
turvameetmete rakendamise ja maksejuhise töötlemiseks
vajalike tehniliste ja turvanõuete täitmise kontrolli ning
on veendunud, et maksejuhis vastab käesoleva lõike
esimeses lauses nimetatud nõuetele. (42) Makseteenuse
pakkujal on õigus keelduda maksejuhise täitmisest, kui
pärast täiendavate turvameetme rakendamist ei ole olnud
objektiivselt võimalik kõrvaldada kahtlust, et
maksetehing ei ole maksja poolt autoriseeritud või on
autoriseerimine tehtud pettuse teel.“ Meie hinnangul
peaks seletuskiri selgelt avama, et luuakse võimalus
reageerida nii enne kui ka pärast maksejuhise
makseteenuse kasutajalt kättesaamist, kuid enne
autoriseerimist, et tagada pankade/makseasutuste
võimalus operatiivselt ja põhjendatult reageerida enne
rahade edasi liikumist, mis on ka eelnõu eesmärk.
32 Makse loetakse autoriseerituks alles pärast täiendavate
turvameetmete rakendamist. Oleme seisukohal, et
maksejuhis loetakse PSD2 RTS kontekstis autoriseerituks
(tehniliselt) alles pärast maksejuhise osas täiendavate
turvameetmete rakendamist. Tegevused pärast PIN2
kinnitamist, sealhulgas täiendavad kontrollimeetmed,
moodustavad osa täielikust autoriseerimisprotsessist ning
pettuse kahtlus saab maandatud alles siis, kui
autoriseerimine on lõppenud. Vajalik on protsess, kus
peale PIN2 kinnitamist ja summa debiteerimist: (1) klient
saab teate, et makse suunatakse täiendavasse kontrolli; (2)
rakendatakse täiendav tehniline meede (nt ID-kaardi
skännimine, biomeetria vms); (3) kui pettuse kahtlust ei
ole kõrvaldatud, peab klient esitama täiendavat infot ning
pank võtab kliendiga ühendust; (4) kui pettuse kahtlust ei
Arvestatud Eelnõu ja seletuskirja on vastavalt muudetud.
34
saa kõrvaldada, keeldub pank makse teostamisest ning
raha tagastatakse kliendi kontole. See lähenemine on meie
hinnangul kooskõlas PSD2 põhimõtetega, mille kohaselt
on autoriseerimine direktiivi keskne mõiste ning
põhjendatud pettuse kahtluse välistamine ja
turvameetmete rakendamine peaks olema seotud
autoriseerimise kehtivusega.
1.3 Kooskõla EL välkmaksete määrusega Maksejuhise
kättesaamise hetke reguleerimine läbi
autoriseerimisprotsessi tagaks meie hinnangul ka
kooskõla EL välkmaksete määrusega.
Välkkreeditkorralduse puhul tuleks maksejuhise
töötlemiseks vajalike tehniliste ja turvanõuete täitmise
kontroll ning maksejuhise vastuvõtmisest keeldumine
teha kümne sekundi jooksul alates maksekäsundi
vastuvõtmise hetkest, nagu näeb ette välkmaksete määrus.
See tähendab, et kui autoriseerimisprotsess hõlmab
täiendavaid turvameetmeid, ei loeta maksejuhist
kättesaaduks enne nende meetmete rakendamist. See on
ainus loogiline ja õiguslikult järjepidev lähenemine
välkmaksete kontekstis.
Arvestatud
33 Turvameetmete rakendamise aeg
Mõistame, et osapooled võivad väljendada muret, et
selline regulatsioon võib viia selleni, et pangad hoiavad
makseid ebamõistlikult kinni, kuid rõhutame, et
seadusandja poolt on võimalik sätestada, et
turvameetmeid tuleb rakendada ilma ebamõistliku
viivituseta. Täiendavate turvameetmete rakendamine
peab olema proportsionaalne ja põhinema objektiivselt
põhjendatud kahtlusel. Sama punkti sätestab meie
varasemas tagasisides pakutud kahju välistamise punkt:
Makseteenuse pakkuja ei vastuta kahju eest, kui
turvameetmete täiendava rakendamise tulemusel
Arvestatud Eelnõu on muudetud ning ette nähtud täiendavate turvameetmete
rakendamise aeg.
35
täidetakse makse hilinemisega, tingimusel, et nimetatud
turvameetmete rakendamine viiakse läbi põhjendamatu
viivituseta ning rakendamise aluseks on objektiivselt
põhjendatud kahtlus. Sama põhimõte peaks olema selgelt
sätestatud ka siis, kui regulatsioon puudutab maksejuhise
kättesaamise hetke.
34 Välkkrediidikorralduste regulatsiooni ebapiisavus
Eelnõu uus lõige 4³ sätestab, et välkkreeditkorralduse
puhul tuleb maksejuhise täitmisest keelduda kooskõlas
välkmaksete määrusega ning et makseteenuse pakkuja
peab autoriseeritud maksetehingu riskianalüüsi tegema
kümne sekundi jooksul ning otsustama, kas on vajalik
turvameetmete täiendav rakendamine. Juhul, kui
autoriseeritud maksetehingu riskianalüüsi põhjal selgub,
et vajalik on turvameetmete täiendav rakendamine, siis
täidetakse maksejuhis pärast täiendavat kontrolli ning
sellisel juhul ei rakendu välkmaksete määruse kümne
sekundi nõue, kuid turvameetmete täiendav rakendamine
peab toimuma ebamõistliku viivituseta. Meie hinnangul
jääb välkkrediidikorralduste regulatsioon eelnõus
ebapiisavaks, sest ei sisalda selget regulatsiooni selle
kohta, kuidas toimub välkkrediidikorralduse hilinemisega
täitmine olukorras, kus turvameetmete täiendav
rakendamine võtab aega kauem kui 10 sekundit. Kuigi
seletuskiri mainib, et kümne sekundi nõue sel juhul ei
rakendu, puudub selge raamistik selle kohta, millises
täiendavas ajavahemikus peab välkkrediidikorraldus
täidetama ning millised on mõlema poole (maksja ja saaja
makseteenuse pakkuja) täpsed kohustused viivituse
korral. Eelnõus ei ole üheselt välja toodud selget
regulatsiooni selle kohta, kuidas kooskõlastatakse
välkkrediidikorralduse hilinemisega täitmine
Arvestatud Eelnõu seletkirjas on täiendavalt selgitatud kooskõla välkmaksete
määruse nõuetega. Lähtutud on sealhulgas ka Eesti Pangaliidu
varasematest selgitustest (vt punkt )
36
välkmaksete määruse nõuetega, mis on eelnõu üks
alusaktidest.
Regulatsiooni ebatäpsus võib tekitada praktilist
ebakindlust nii pankade kui makseteenuse kasutajate
jaoks. Juhul, kui ministeerium jääb oma esialgselt
pakutud sõnastuse juurde, siis palume eelnõud täiendada
selge ja konkreetse regulatsiooniga
välkkrediidikorralduste hilinemisega täitmise
mehhanismi, sealhulgas mõlema poole makseteenuse
pakkuja kohustuste ja vastutuse osas.
35 Konkreetne viide PSD2 delegeeritud määruse (RTS)
riskianalüüsi sättele ei ole eesmärgipärane. Eelnõuga
nähakse ette, et makseteenuse pakkuja õigus keelduda
autoriseeritud maksejuhise täitmisest seotakse RTS ette
nähtud turvameetmete täiendava rakendamisega. RTS
artikkel 18 käsitleb tehingu riskianalüüsi ning puudutab
olukorda, kus makseteenuse pakkujatele antakse luba
mitte kasutada kliendi tugevat autentimist juhul, kui
maksja algatab elektroonilise kaugmaksetehingu, mille
makseteenuse pakkuja on tehinguseiremehhanismide
alusel lugenud väikese riskiga tehinguks. Käesoleval
juhul on viide RTS artikli 18 riskianalüüsile ebavajalik.
Artikkel 18 on mõeldud SCA rakendamise
leevendamiseks, mitte pettuste tõkestamise eesmärgil
turvameetmete rakendamise aluse loomiseks. Kui eelnõu
esitaja eesmärk on peegeldada vastavaid kriteeriume, siis
tuleks viidata neile mitte konkreetsele artiklile osutades,
vaid asjakohaste kriteeriumite täpsema loetelu kaudu.
Artiklis nimetatud kriteeriumid on järgmised: i) maksja
tavapäratud kulutused või käitumismuster; ii) ebatavaline
teave maksja seadme/tarkvara kasutamise kohta; iii)
pahavaraga nakatumine autentimismenetluse mis tahes
seansi kestel iv) makseteenuste osutamisega seoses
Avestatud Seletuskirja on muudetud. Seletuskirjas on täpsemalt selgitatud, et
viite eesmärk RTS artiklile 18 on näitlikustada ja üldiselt välja tuua,
et mida kõike peavad makseteenuse pakkujad reaalajas tehingu
riskianalüüsi käigus hindama.
Täiendavate turvameetmete rakendamise osas on tehtud viide RTS
artikli 2 lõikele 1.
37
teadaolev petuskeem; v) maksja tavapäratu asukoht; vi)
makse saaja kõrge riskitasemega asukoht. Eelnõus on
eesmärk anda pankadele alus täiendavate turvameetmete
rakendamiseks pettuste tõkestamise eesmärgil. Selleks
asjakohaseks sätteks on RTS artikli 2 lõige 1, mille
kohaselt peavad makseteenuse pakkujatel turvameetmete
rakendamise eesmärgil olema tehinguseiremehhanismid,
mis võimaldavad neil avastada autoriseerimata või
pettuse teel tehtud maksetehinguid. Seletuskirjale tuleks
lisada viide RTS artikli 2 lõike 2 punktile c, mis käsitleb
tehinguseire mehhanisme ja petuskeeme. Palume eelnõust
eemaldada viited RTS artikli 18 riskianalüüsile (nn SCA
erand väikese riskiga tehingutele) ning asendada need
asjakohaste viidetega RTS artikli 2 lõike 1 kohastele
seiremehhanismidele, mis on pettuste tõkestamise
seisukohalt ainus otseselt kohalduv säte.
36 3.1 „Objektiivselt põhjendatud kahtluse“ näitlikustamine
Eelnõu § 1 punktiga 1 täiendatakse VÕS § 724³ lõigetega
41 -4 3 ning nähakse ette, et makseteenuse pakkuja võib
keelduda autoriseeritud maksejuhise täitmisest juhul, kui
esineb objektiivselt põhjendatud kahtlus, et maksetehingu
täitmiseks antud nõusolek on saadud pettuse teel.
Sarnasele mõistele (objektiivselt põhjendatud kahtlus) on
viidatud eelnõu § 1 punktis 3, millega täiendatakse VÕS
§ 7339 lõiget 3 vastutuse piiranguga ning eelnõu § 2,
millega täiendatakse KAS §-ga 894 krediidiasutuse
õigusega avaldada andmeid. Uus õigus keelduda
maksejuhise täitmisest tugineb mõistel „objektiivselt
põhjendatud kahtlus“. Eelnõu seletuskirjas on küll
viidatud riskiteguritele, mida tehinguseiremehhanismid
peaksid arvesse võtma (lk 4 lg 2), riskianalüüsile ja mida
selle raames tuleks näiteks hinnata (lk 4 kg 3) ning kahele
näitele, milline võiks olla objektiivselt põhjendatud
Arvestatud Seletuskirja on täiendatud selgitusega mida käsitletakse
objektiivselt põhjendatud kahtlusena ning toodud näitlik loetelu.
38
kahtlus (lk 6 lg 3), kuid eelnõu ei defineeri seda mõistet
ammendavalt. Praktikas tekib küsimus, millised
kriteeriumid peavad olema täidetud, et kahtlust pidada
objektiivselt põhjendatuks, milline on makseteenuse
pakkuja dokumenteerimiskohustus selles osas ja mille
alusel hinnatakse hiljem panga otsuse õiguspärasust (nt
kohtus või järelevalves). Kuna vastutus makse hilinemise
või täitmata jätmise eest sõltub sama mõiste sisust, võib
ebaselge regulatsioon suurendada vaidlusriski nii
klientide kui ka järelevalveasutustega. Samuti on eelnõu
seletuskirjas KAS § 894 lg 1 juures välja toodud, et
pangasaladuse avaldamine ei ole lubatud iga kahtluse
korral, vaid juhul kui selleks on objektiivselt põhjendatud
alus kahtlustada pettust. See tähendab, et lisaks
kliendivaidlustele suureneb objektiivselt põhjendatud
kahtluse ebamäärasusega ka pangasaladuse jagamise
piiride ületamisega seotud risk. Teeme ettepaneku lisada
VÕS § 724³ lõike 4¹ juurde või eelnõu seletuskirja
definitsioon, mis moodustab objektiivselt põhjendatud
kahtluse. Mõistan, et liiga detailne definitsioon muutuks
kiiresti vananenuks, sest pettuseskeemid arenevad kiiresti
ning see võib halvata operatiivse reageerimise. Ei ole vaja
ammendavat loetelu, vaid raamistust, mis tagaks, et
krediidiasutused, järelevalve ja kohtud hindaksid olukordi
ühtmoodi. Samuti teeme ettepaneku eelnõu seletuskirjas
rõhutada, et krediidiasutus võib tugineda automatiseeritud
riskimudelitele ja tehinguseire süsteemidele
37 3.2 Tähelepanek seletuskirja olevale lõigule „Komisjoni
delegeeritud määruse artikli 2 lõike 2 kohaselt tagavad
makseteenuse pakkujad, et tehinguseiremehhanismid
võtavad arvesse vähemalt kõiki järgmisi riskipõhiseid
tegureid: a) murtud või varastatud autentimisvahendite
loetelu; b) iga maksetehingu summa; c) makseteenuste
Arvestatud Seletuskirja on vastavalt muudetud.
39
osutamisega seoses teada olevad petuskeemid; d) märgid
pahavaraga nakatumise kohta autentimismenetluse mis
tahes seansi kestel; e) juhul kui juurdepääsuseadme või -
tarkvara annab kasutaja käsutusse makseteenuse pakkuja,
logid sellise juurdepääsuseadme või -tarkvara kasutamise
ning juurdepääsuseadme või -tarkvara tavapäratu
kasutamise kohta.“ Punkt „d) märgid pahavaraga
nakatumise kohta autentimismenetluse mis tahes seansi
kestel; “ on midagi, mida on tehniliselt väga keeruline (kui
mitte võimatu) teostada. See tähendaks kogu kliendi
seadmes oleva info kogumist, töötlemist ja protsessimist
ning seda ei saa teha ei tehniliselt ega ka seadusandluse
kontekstis. Teeme ettepaneku sõnastada punkti d asemel:
„seadme ja kasutaja infot, sh IP-aadressi ja kogutavat
seadmete spetsiifilist infot“.
1. Sissejuhatus
1.1. Sisukokkuvõte
Eelnõu eesmärk on tõhustada finantspettuste ennetamise ja tõkestamise meetmeid. Viimastel aastatel on finantspettuste arv ja keerukus märkimisväärselt kasvanud1. Pettuste toimepanemiseks kasutatakse näiteks erinevaid digitaalseid kanaleid ja tehnilisi vahendeid ning identiteedivargust ja sotsiaalset manipuleerimist, mille abil petetakse isikutelt raha välja. Finantspettused on kiiresti kasvav probleem – mullu kaotasid Eesti inimesed petturitele ligi 29 miljonit eurot, peaaegu kaks korda rohkem kui aasta varem. Enamik pettusi algab telekommunikatsioonikanalite kaudu ja lõpeb pangamaksega, mistõttu on tõhus ennetus võimalik vaid riigi ja erasektori tihedas koostöös.
Eelnõu tugevdab makseteenuse kasutajate kaitset olukorras, kus makse tegemisel esineb pettusekahtlus, ning parandab makseteenuse pakkujate võimalusi finantspettusi ennetada ja tõkestada. Praktikas on pettuste puhul küll makse tehniliselt kinnitatud, kuid hiljem ilmneb, et maksja ei ole teinud makset oma tegeliku ja vaba tahte alusel, vaid teda on selleks eksitatud. Kehtiv õigus ei anna selliste olukordade lahendamiseks piisavaid võimalusi. Eelnõu loob selgema õigusraamistiku ja tugevdab pankade õigust põhjendatud pettuse kahtluse korral makseid ajutiselt peatada või makse täitmisest keelduda. Eelnõu annab ka krediidiasutustele ja makseasutustele ja e-raha asutustele (edaspidi koos makseteenuse pakkujad) selge õigusliku aluse pettusekahtlusega seotud info vahetamiseks teiste krediidiasutuste, makseasutuuste ja e-raha asutuste, Politsei- ja Piirivalveameti (edaspidi PPA) ning Riigi Infosüsteemi Ameti (edaspidi RIA) küberintsidentide käsitlemise osakonna CERT-EE-ga (edaspidi CERT).
Esiteks, eelnõuga muudetakse võlaõigusseaduse (edaspidi VÕS) regulatsiooni, mis puudutab maksejuhise täitmisest keeldumist ehk olukorda, kus isik soovib teha maksetehingut, kuid makseteenuse pakkuja (pank või makseasutus) saab keelduda maksetehingu täitmisest. Kehtivas õiguses puudub makseteenuse pakkujal selge õiguslik alus keelduda maksejuhise täitmisest juhul, kui on põhjendatud kahtlus, et maksetehingu täitmiseks antud nõusolek on saadud andmete väärkasutamise, pettuse või maksja manipuleerimise teel. Praktikas võib see tähendada olukorda, kus makseteenuse pakkuja näeb, et makse on küll kinnitatud nõutud autentimisvahenditega, kuid esineb põhjendatud kahtlus, et need vahendid on saadud või on neid kasutatud pettuse teel. Näiteks võib isik olla petuskeemi käigus eksitatud kinnitama makset, uskudes, et ta suhtleb pangaga, kuigi tegelikult suunab teda makset tegema pettur. Kuigi makse on tehniliselt kinnitatud kliendi autentimisvahendiga, on nõusolek sellisel juhul antud pettuse teel isiku eksitusse viimisega.
Teiseks, eelnõuga muudetakse krediidiasutuste seadust (edaspidi KAS), millega antakse krediidiasutustele õigus jagada vajalikku teavet pettuste avastamiseks ja väljaselgitamiseks. Seda juhul kui krediidiasutusel on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega. Eelnimetatud teave võib mh kvalifitseeruda ka pangasaladuseks. Krediidiasutusel saab olema õigus omal initsiatiivil jagada vajalikku teavet teiste krediidiasutustega, makseasutuste ja e-raha asutustega, PPA-ga ning RIA-ga. Kehtivas õiguses selline õigus puudub ning see on osutunud probleemiks pettuste avastamisel ja väljaselgitamisel. Praktikas tähendab see, et näiteks olukordades, kus krediidiasutusel on kahtlus, et konkreetne maksekonto (lihtsustatult arvelduskonto) on seotud pettuste toimepanemisega, siis seda teadmist teiste krediidiasutustega jagada ei tohi. Sellise õiguse puudumine on takistuseks tõhusamalt ennetada pettuste toimepanemist. Samuti antakse krediidiasutusele õigus avaldada andmeid e-identimise ja e-tehingute usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale. Krediidiasutus ise ei halda usaldusteenuse osutaja allkirjastamiskeskkonda ega selle tehnilisi logisid. Andmete avaldamise eesmärk on võimaldada usaldusteenuse osutajal kontrollida, kas pettuslik tehing seostub näiteks sama kasutaja või sama seadmega.
Kolmandaks, eelnõuga muudetakse makseasutuste ja e-raha asutuste seadust (edaspidi MERAS) ja antakse makseasutustele ja e-raha asutustele õigus avaldada andmeid ja teavet teisele makseasutusele ja e-raha asutusele, krediidiasutusele, PPA-le ning RIA-le maksepettuste avastamiseks ja väljaselgitamiseks KAS §-is 894 sätestatud tingimustel. Kuna makseteenuseid osutavad ka makseasutused ja e-raha asutused, antakse ka neile krediidiasutusega samasugune õigus andmeid avaldada. Vastasel juhul jääks osa teenusepakkujaid pettuste ennetustegevusest väljapoole puuduva info tõttu. Andmete avaldamise eesmärk ja koosseis on sama nagu krediidiasutustel.
Kavandatavad muudatused võimaldavad makseteenuse pakkujatel pettusekahtluse korral kiiremini sekkuda ning teha omavahel, samuti PPA ja RIA-ga, koostööd, aidates seeläbi vähendada pettustega tekitatud kahju ja suurendada finantssüsteemi turvalisust. Muudatused ei too kaasa täiendavat halduskoormust makseteenuse pakkujatele ega avaliku sektori asutustele, vaid aitavad pettuste ennetamist ja tõkestamist paremini korraldada.
1.2 Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on koostanud Rahandusministeeriumi finantsteenuste poliitika osakonna nõunik Jarmo Lilium (e-post: [email protected]). Eelnõu juriidilist kvaliteeti kontrollis õigusosakonna nõunik Marge Kaskpeit (e-post: [email protected]). Eelnõu on keeleliselt toimetanud Rahandusministeeriumi personali- ja õigusosakonna keeletoimetaja Heleri Piip (e-post: [email protected]).
1.3 Märkused
Eelnõuga muudetakse:
• Krediidiasutuste seadust redaktsioonis RT I, 13.02.2026, 7;
• Võlaõigusseadust redaktsioonis RT I, 11.11.2025, 16;
• Makseasutuste ja e-raha asutuste seadust redaktsioonis RT I, 13.02.2026, 9.
Eelnõu on seotud järgmiste Euroopa Liidu õigusaktiga:
• Euroopa Parlamendi ja nõukogu direktiiv (EL) 2015/2366 makseteenuste kohta siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta (ELT L 337, 23.12.2015, lk 35–127)2 (edaspidi makseteenuste direktiiv);
• Euroopa Parlamendi ja nõukogu määrus (EL) 2024/886, millega muudetakse määrusi (EL) nr 260/2012 ja (EL) 2021/1230 ning direktiive 98/26/EÜ ja (EL) 2015/2366 eurodes välkkreeditkorralduste osas (ELT L, 19.3.2024.)3 (edaspidi välkmaksete määrus).
Eelnõu ei ole seotud muu menetluses oleva eelnõuga, kuid on seotud Vabariigi Valitsuse 2025–2027 tegevusprogrammiga. Koalitsioonileppe punkti 308 kohaselt on ette nähtud, et koostöös Eesti Panga, erasektori ja teiste asutustega töötakse välja finantspettuste tõkestamise tegevuskava ja tehakse selle põhjal vajalikud muudatused seadusandluses.4
Vastavalt Eesti Vabariigi põhiseaduse (edaspidi PS) §-le 73 võetakse eelnõu seadusena vastu Riigikogu poolthäälte enamusega, kui PS ei näe ette teisiti. Eelnõus ei ole sätteid, mis puudutaksid PS §-s 104 toodud Riigikogu koosseisu häälteenamuse nõuet.
2. Seaduse eesmärk
Eelnõu eesmärk on tõhustada finantspettuste avastamist, väljaselgitamist ja tõkestamist, andes makseteenuse pakkujatele selge õigusliku aluse maksejuhise täitmisest keeldumiseks ning krediidiasutustele õiguse jagada pettuse kahtluse korral vajalikku teavet teiste krediidiasutuste, PPA ning RIA-ga.
Kehtiv õigus ei võimalda finantspettuste kahtluse korral piisavalt kiiresti ja tõhusalt sekkuda, kuna maksejuhise täitmisest keeldumise õigus on kitsalt piiritletud. Samuti ei sisalda kehtiv õigus selgeid aluseid vajaliku ja õigeaegse info jagamiseks ning seeläbi ei toimi tõhusalt ka erinevate osapoolte omavaheline koostöö.
Üldjuhul töödeldakse makseid reaalajas, mis tähendab, et makse saaja kontole jõuavad need sekunditega. Eestis oli välkmaksete osakaal 2025. aasta juuli seisuga 87%5. Pettuse toimepanija jaoks tähendab see seda, et juhul kui saadakse isik pettuse teel makset tegema, laekub raha kohe petturi kontrolli all olevale maksekontole, tihtipeale nn rahamuula maksekontole, kust see järgmisesse riiki kantakse. Seetõttu on oluline, et makseteenuse pakkujatel oleks selge õiguslik alus maksejuhise täitmisest keeldumiseks ning väga oluline on andmete vahetamine erinevate osapoolte vahel.
Finantspettustega võitlemine on kesksel kohal ka Euroopa Liidu õigusloomes. Nimelt on Euroopa Liidu tasemel sisuliselt kokku lepitud uus makseteenuse määrus6, mis hakkab asendama praegu kehtivat makseteenuste direktiivi 2015/23667. Määrusega tugevdatakse muuhulgas makseteenuste turvalisust ning nähakse ette ulatuslikumad pettusevastased meetmed, mis aitavad makseteenuse pakkujatel kui ka vastavatel ametiasutustel tõhusamalt sekkuda pettuste avastamisse, väljaselgitamisse ja tõkestamisse. Määrus paneb muuhulgas makseteenuse pakkujatele kohustuse autoriseeritud maksete täitmisest keelduda juhul, kui on alus kahtlustada pettust. Samuti näeb määrus ette andmete vahetamise makseteenuse pakkujate vahel ning samuti muude asutustega. Makseteenuste määruse osas jõuti poliitilise kokkuleppeni 2025. aasta novembris8. Määrust hakatakse eeldatavalt kohaldama 2028. aasta lõpus.
Euroopa Liidu Nõukogu töögruppides oli üheks keskseks teemaks pettuste vastased meetmed uues makseteenuste määruses, sealhulgas ka pettuslike maksete blokeerimine ja andmete vahetamine makseteenuse pakkujate ning teiste asutuste vahel. Komisjoni esialgne ettepanek neid meetmeid ei sisaldanud, kuid arutelude käigus tõusetusid need kui väga olulised ja vajalikud meetmed pettustega võitlemisel. Erinevalt käesolevast eelnõust on uues makseteenuste määruses andmete vahetamine ja tehingute blokeerimine makseteenuse pakkujale kohustuslik.
Käesolev eelnõu lähtub samast eesmärgist ning loob riigisiseses õiguses vajalikud õiguslikud alused, mis aitavad pettusi tõhusamalt avastada, välja selgitada ja tõkestada. Eesmärk on võimaldada selliste meetmete rakendamist teatud ulatuses juba enne, kui hakkab kehtima uus makseteenuste määrus. Arvestades pettuste jätkuvat kasvu ning nende tekitatud suurt kahju nii isikutele kui ettevõtjatele, on põhjendatud rakendada sarnase sisuga meetmeid võimalikult varakult. Kui uus makseteenuse määrus hakkab kehtima, tuleb lähtuvalt sellest analüüsida ja tõenäoliselt kehtetuks tunnistada need siseriiklikud sätted, mis tulenevad otse eelnimetatud EL määrusest.
Seaduseelnõule ei ole koostatud väljatöötamiskavatsust ega ka õiguslikke valikuid kajastavat kontseptsiooni, kuna eelnõu käsitleb EL õiguse rakendamist ning EL õigusakti eelnõu menetlemisel on sisuliselt lähtutud HÕNTE § 1 lg 1 nõuetest. („Hea õigusloome ja normitehnika eeskirja“ § 1 lõike 2 punkt 2).
3. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb kolmest paragrahvist.
Eelnõu §-ga 1 muudetakse VÕS-i.
Eelnõu § 1 punktiga 1 täiendatakse VÕS § 711 lõiget 1 punktiga 151, mille kohaselt tuleb makseteenuse pakkujal esitada makseteenuse lepingu tingimustes igale kliendile maksejuhise täitmise edasilükkamise tingimused tulenevalt käesoleva seaduse §-st 7247. VÕS § 711 näeb ette teabe, mille peab makseteenuse pakkuja kliendile esitama makseteenuse lepingu tingimuste kohta. Kuivõrd makseteenuse pakkujal on õigus maksejuhise kättesaamist edasi lükata, siis sätestatakse seaduses, et sellest tuleb klienti teavitada. peab kliendil olema õigus sellest ja selle tingimustest ka ette teada. Seeläbi saab klient teada, et maksejuhise kättesaamise edasilükkamine ei ole makseteenuse pakkuja suvaotsus, vaid selline õigus tuleneb seadusest ning selle eesmärk on kaitsta klientide vara finantspettuste eest.
Eelnõu § 1 punktiga 2 täiendatakse VÕS-i §-ga 7247, mis näeb ette lisaturvameetmete rakendamine pettusekahtluse korral.
Eelnõu § 1 punktiga 2 VÕS-i lisatav § 7247 lõige 1 näeb ette, millisel juhul on makseteenuse pakkujal õigus maksejuhise kättesaamine edasi lükata ja rakendada lisaturvameetmeid. Selline õigus on juhul, kui maksja makseteenuse pakkujal on objektiivselt põhjendatud kahtlus, et:
1) maksejuhist ei ole autoriseerinud maksja või
2) maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel.
Järgnevalt on maksejuhise autoriseerimise ning maksejuhise kättesaaduks lugemise paremaks mõistmiseks välja toodud makseprotsessis autoriseerimise ja selle käigus toimuva pettuslike maksete tõkestamise tehnilisem kirjeldus.
Tegevused saab jagada kaheks – need, mis toimuvad enne PIN 2 sisestamist ning need mis pärast seda.
Esiteks on tegevused, mis toimuvad enne PIN 2 sisestamist. Esmalt isik kinnitab oma tavapäraste autentimisvahenditega logimise internetipanka (nt PIN 1, biomeetria). Juba internetipanka sisse logimisel on makseteenuse pakkuja kohustatud tegema tavapärast kontrolli ja riskihindamist. Kui isik soovib teha makset, on tinglikult võimalikud kolm erinevat lõpptulemust. Esiteks, makseteenuse pakkuja tuvastab juba internetipanka sisselogimise andmete põhjal pettuse kahtluse ning siis on võimalus kasutajatunnus või konto blokeerida. Teiseks, pettuse kahtlus tuvastatakse siis, kui isik täidab maksevormi. Sellisel juhul on võimalus keelduda makset kinnitamast juba enne PIN 2 sisestamist ning sellest teavitatakse klienti. Kolmandaks, pettusekahtlust ei ole ning isik kinnitab makse tavapäraselt PIN 2-ga. Eeltoodust tulenevalt asub sellisel juhul kontrolli kese monitooringus, mis tehakse enne PIN 2-ga maksejuhise kinnitamist ehk et tehingu autoriseerimine ei ole tehniliselt veel lõppenud.
Teiseks on tegevused, mis toimuvad pärast PIN 2 sisestamist. Sellisel juhul on maksejuhise autoriseerimine tehniliselt lõpuni viidud, kuid sellest hoolimata võib ka siis tekkida või kinnitust leida objektiivselt põhjendatud pettusekahtlus ning peab olema võimalus sellise maksejuhise täitmisest keelduda. Pärast PIN 2 sisestamist on makseteenuse pakkujal võimalus rakendada mitmeastmelist kontrolli. Kui tekib pettusekahtlus edastatakse näiteks isikule teavitus, et makse suunatakse täiendavasse tehnilisse kontrolli, nt biomeetria kontroll või mõni muu lisaverifitseerimise meetod. Pärast täiendavat maksejuhise kontrolli on võimalik kaks olukorda. Esiteks, kui pettusekahtlus saab maandatud ning autoriseerimine loetakse lõppenuks, ja asutakse maksejuhist täitma. Teiseks, kui pettusekahtlust ei ole olnud võimalik kõrvaldada ja keeldutakse maksejuhise täitmisest.
Kehtiv õigusraamistik võimaldab makseteenuse pakkujatel pettuste tõkestamisse maksejuhise täitmisel kõige tõhusamalt sekkuda enne PIN 2 sisestamist, ehk et tehniliselt enne autoriseerimise lõppemist. Makseteenuse pakkujate kohustus avastada autoriseerimata või pettuse teel tehtud maksetehinguid ei lõpe aga ühes PIN 2 sisestamisega, vaid ka pärast seda. Eelnõu annab siinkohal makseteenuse pakkujatele selge õigusliku aluse ja kriteeriumid, et sekkuda pettuse kahtluse puhul maksetehingu täitmisesse pärast PIN 2 sisestamist.
VÕS-i lisatava § 7247 lõike 1 kohaselt tekib makseteenuse pakkujal õigus maksejuhise kättesaamine edasi lükata ja lisaturvameetmeid rakendada juhul, kui tal esineb objektiivselt põhjendatud kahtlus, et maksejuhist ei ole autoriseerinud maksja või maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel, mis tähendab, et kahtlus peab tuginema konkreetsetele asjaoludele ja riskinäitajatele. Objektiivselt põhjendatud kahtlus võib muu hulgas tugineda näiteks järgmistele asjaoludele:
• maksejuhis erineb oluliselt maksja tavapärasest maksekäitumisest (nt ebatavaliselt suur summa ning uus makse saaja, ebatavaline kellaaeg või geograafiline asukoht);
• makse tegemisel kasutatakse seadmeid, IP-aadresse või autentimisviise, mis erinevad maksja tavapärasest kasutusmustrist;
• makseteenuse pakkuja tehinguseiremehhanismid tuvastavad tehingus mustreid, mis on iseloomulikud pettustele või andmete väärkasutusele;
• makse on seotud teadaolevate või kõrgendatud riskiga maksekontode, isikute või tegevustega;
• maksja käitumine viitab pettusele, nt ebatavaline maksete tegemise kiirus, korduvad katsed, vastuolulised sisestused, korraga kõikide maksete limiitide tõstmine.
Seejuures tuleb hinnata kõiki asjaolusid kogumis ning üksik riskitegur ei pruugi alati olla piisav maksejuhise kättesaamise edasilükkamiseks, et rakendada lisaturvameetmeid. Oluline on, et makseteenuse pakkuja tegevus oleks proportsionaalne ja põhjendatud – objektiivse kahtluse olemasolu peab olema dokumenteeritav ning vajaduse korral hiljem kontrollitav. Kehtiv VÕS § 7334 lõige 1 näeb ette, e kui on vaieldav, kas maksetehing on autoriseeritud või nõuetekohaselt täidetud, peab makseteenuse pakkuja või asjakohasel juhul makseteenuse pakkuja, kelle makse algatamise teenuse kaudu makse algatati, tõendama, et maksetehing on autenditud, muu hulgas rakendatud kliendi tugevat autentimist, korrektselt dokumenteeritud ja kontodel kajastatud ning tehingu tegemist ei ole mõjutanud ükski puudus. See tagab, et makseteenuse pakkuja ei kasuta talle antud õigust meelevaldselt, vaid üksnes juhtudel, kus see on maksete turvalisuse tagamiseks vältimatult vajalik. Võib eeldata, et makseteenuse pakkujate huvides ei ole ka nimetatud meetme kergekäeline rakendamine, sest see mõjutab negatiivselt kliendi kogemust teenuse kasutamisel ning võib viia kliendi teise makseteenuse pakkuja pakutavate teenuste juurde.
Eelnõuga lisatav säte toob eraldi välja kaks peamist olukorda, mille esinemisel võib makseteenuse pakkuja maksejuhise kättesaamise edasilükkamise õigust kasutada.
Esiteks, on õigus maksejuhise kättesaamine edasi lükata VÕS-i lisatava 7247 lõike 1 punkti 1 kohaselt juhul, kui on põhjendatud kahtlus, et maksejuhist ei ole autoriseerinud maksja. See hõlmab olukordi, kus makse võib olla tehtud ilma maksja teadmise või nõusolekuta, näiteks juhul, kui kolmas isik on saanud ligipääsu maksja autentimisvahenditele või maksekontole. Ehk et tegemist on kehtiva VÕS-i järgi autoriseerimata maksega. VÕS § 7241 lõige 1 sätestab, et maksetehing on maksjale siduv, kui ta on selle täitmiseks andnud nõusoleku. Nõusoleku võib anda enne tehingu tegemist või poolte kokkuleppel ka tagantjärele heakskiiduna. See tähendab, et juhul, kui makse on tehtud, kasutades kadunud või varastatud makseinstrumenti, on tegemist autoriseerimata maksega, sest puudub isiku nõusolek sellise makse tegemiseks.
Makseteenuste direktiivi artikli 64 lõike 1 kohaselt peavad liikmesriigid tagama, et maksetehing loetakse autoriseerituks üksnes siis, kui maksja on andnud nõusoleku maksetehingu täitmiseks, maksja võib sealjuures autoriseerida makse enne maksetehingu täitmist või maksja ja tema makseteenuse pakkuja vahelise kokkuleppe korral pärast maksetehingu täitmist (heakskiit). Artikli 64 lõike 4 kohaselt määratakse nõusoleku andmise viis ja kord poolte kokkuleppega. Sama artikli lõike 2 teises lauses on peetud oluliseks rõhutada, et kui mainitud „nõusolek“ puudub, loetakse maksetehing „autoriseerimata maksetehinguks“. Põhimõtteliselt võtab see mõistemääratlus hilisemates makseteenuse kasutaja ja makseteenuse pakkuja vastutuse sätetes kokku juhtumid, kus puudub maksejuhis või selle jõustumise täiendava eeldusena maksja nõusolek (maksevahendi kasutamise kaudu) makse tegemiseks. Sellisel juhul rakendub maksetehingu tegemise korral makseteenuse kasutaja ja makseteenuse pakkuja vastutus (st toimus autoriseerimata maksetehing). Maksja „nõusolekut“ reguleeriv säte on rakendatav juhul, kui maksejuhise andmiseks kasutatakse mõnda maksevahendit, ülekannete puhul loetakse maksejuhis jõustunuks, kui see on kätte saadud (vt VÕS § 7242), ehk et „nõusolek“ langeb kokku maksejuhise kättesaamise hetkega. Küll aga vaadeldakse „autoriseerimata maksena“ seega nii makset, mille tegemiseks puudus maksejuhis, kui ka makset, mille tegemiseks puudus maksja „nõusolek“. Mõlemal juhul rakendub vastutus makseteenuse eest „autoriseerimata“ maksete korral. Kokkuvõtteks on makse autoriseerimise kontseptsioon „maksele nõusoleku andmine“.
Kui tegemist on maksja enda antud maksejuhisega (nt isik teeb ise elektroonilise makse), siis sisaldub nõusolek maksetehingu tegemiseks juba iseenesest maksejuhises. Kui tegemist on saaja kaudu algatatud maksega (nt algatab kaupmees makse korduvate tellimuste puhul, kui maksja on andnud eelnevalt selleks nõusoleku), väljendub nõusolek maksevahendi kasutamises (VÕS § 7241 lg 3). Nendel juhtudel annab maksja selgelt ja üheselt mõistetavalt oma nõusoleku enne maksetehingu täitmist, hilisema heakskiidu järele puudub vajadus, puudub ka võimalus jätta nõusolek andmata ning autoriseerida makse heakskiiduga. Seega on autoriseerimine hilisema heakskiidu andmise näol mõeldav üldiselt vaid saaja poolt algatatud maksetehingute puhul.
Teiseks, on õigus maksejuhise kättesaamine edasi lükata VÕS-i lisatava 7247 lõike 1 punkti 2 kohaselt juhul, kui maksejuhis on küll formaalselt autoriseeritud, kuid see on toimunud andmete väärkasutamise, pettuse või maksjaga manipuleerimise tulemusena. Siia alla kuuluvad näiteks juhtumid, kus maksjat on eksitatud (nt sotsiaalse manipulatsiooni teel) tegema makset, mida ta ei oleks teinud, kui tal oleks olnud asjaolude kohta õige teave. Tsiviilseadustiku üldosa seaduse (edaspidi TsÜS) § 94 lõike 1 kohaselt on pettus isiku tahtlik eksimusse viimine või eksimuses hoidmine temale ebaõigete asjaolude avaldamise teel, eesmärgiga kallutada isik tehingut tegema. Sama paragrahvi lõike 2 kohasel on ebaõigete asjaolude avaldamisega võrdsustatud nendest asjaoludest teatamata jätmine, millest vastavalt hea usu põhimõttele oleks tulnud teatada, samuti selliste asjaolude tõesena avaldamine, mille tõele vastavust avaldaja ei ole kontrollinud ja mis hiljem osutuvad ebaõigeks.
Sellised olukorrad on pettuste toimepanemisel praktikas sagenenud ning nende puhul ei pruugi pelgalt autoriseerimise fakt tähendada seda, et isik ka tegelikult soovis sellist makset teha olukorras, kus talle esitati ebaõigeid asjaolusid ja viidi seeläbi isik eksimusse ning selle tulemusel andis isik nõusoleku maksetehingu tegemiseks, kui õigete asjaolude teadmisel ei oleks ta sellist kinnitust andnud.
Maksejuhise kättesaamise ajutiselt edasi lükkamise vaatest on oluline see, et mida pidada täpsemalt silmas maksejuhise kättesaamise all. Makseteenuste direktiivi artikkel 78 lõige 1 sätestab, et liikmesriigid tagavad, et laekumise ajaks on aeg, mil maksekäsund laekub maksja makseteenuse pakkujale. Kättesaamise konkreetse ajahetke määratlemine on oluline seepärast, et sellest alates hakkavad kulgema erinevad tähtajad (maksejuhise täitmine ja täitmisest keeldumise teate esitamine vt VÕS § 7243, § 728). Oluline on see, et konkreetse ajahetke kaudu määratletakse arvelduspäev, millest järgneval saaja arvelduspäeval tuleb VÕS § 728 lõike 1 järgi maksejuhis täita (T+1 põhimõte).
Tegemist on kõrvalekaldega TsÜS §-ist 135 tähtaja kulgemise alguse regulatsioonist, sest T+1 eeldab, et kättesaamisele järgneval päeval oleks maksejuhis täidetud. Maksejuhise kättesaamine on samastatav põhimõtteliselt TsÜS § 69 regulatsiooniga ja tahteavalduse jõustumise kontseptsiooniga. TsÜS § 69 lõike 1 kohaselt tuleb kindlale isikule suunatud tahteavaldus väljendada ja see muutub kehtivaks kättesaamisega.
Maksejuhise kui tahteavalduse jõustumisel ehk maksejuhise kättesaamisel võib tegemist olla nii eemalviibijale kui kohalviibijale tehtud tahteavalduse jõustumisega. Eemalviibijale tehtava tahteavaldusega on tegemist juhul, kui maksejuhise andmine toimub kasutades mõnd elektroonilist vahendit (nt ülekanne internetipangas, kaardimakse jms), mis ei võimalda reeglina vahetut dialoogi tahteavalduse tegija (maksja) ja saaja (makseteenuse pakkuja) vahel. Kohalviibijale tehtud tahteavaldusega on tegemist siis, kui maksejuhis antakse pangakontoris pangatellerile. Kohalviibijale tehtud tahteavaldus jõustub isiklikult teatavaks tegemisega ehk siis hetkel, mil maksja teeb maksejuhise pangatellerile teatavaks, loetakse maksejuhis kättesaaduks. Kohalviibijale antava maksejuhise ajahetk on seega kindlalt ja üheselt määratletav.
Eemalviibijale antava maksejuhise puhul on olukord keerulisem. TsÜS § 69 lõike 2 kohaselt loetakse eemalviibijale tehtud tahteavaldus kättesaaduks, kui see jõuab eemalviibija asukohta ja tahteavalduse saajal on mõistlik võimalus sellega tutvuda. Kättesaamine toimub siis, kui tahteavaldus on jõudnud avalduse saaja mõjusfääri, nii et tal on objektiivselt võimalik tahteavalduse sisust teada saada ning tavapärastel oludel võib tahteavaldusest teadasaamisega arvestada.9
Valitseva arvamuse kohaselt on tahtevalduse kättesaamise hetkeks see hetk, mil tahteavalduse adressaadil oleks normaalsetes oludes võimalus tahteavalduses toodud teave omaks võtta. Kui adressaat tutvub teabega varem, kui seda võiks temalt mõistlikult oodata, siis loetakse, et tahteavaldus on teabega tutvumise ajal kätte saadud.10
Maksejuhise laekumise aja kindlaksmääramisel ei lähe arvesse võimalik eelnev maksejuhise kättesaamiseks ja töötlemiseks ettevalmistav protsess (näiteks erinevate turva- ja kaitsenõuete täitmine).11 Olenevalt maksejuhise esitamise kanalist (internetipank, pangakontor) viiakse osa kontrollidest läbi juba enne maksejuhise vastuvõtmist ning puudustest teavitatakse maksejuhise saatjat kohe.
Maksejuhise töötlemiseks ja kättesaamiseks vajaliku ettevalmistava protsessi lugemine kättesaamisele eelnevale ajale langevaks tegevuseks, on sisuliselt TsÜS-i § 69 lõike 2 lause 2 tahteavaldusega tutvumiseks mõistliku võimaluse jätmise ja erinevate kättesaamisteooriate väljendus maksejuhise kättesaamise kontekstis.
Maksejuhise kui tahteavalduse sisust teadasaamiseks ei saa lugeda aega, mil toimub erinevate formaalsete ja tehniliste nõuete täitmine. Sellisel ajahetkel ei tegeleta veel maksejuhise kui tahteavalduse sisuga, vaid maksejuhise tehnilise, formaalse ning välise poolega. Seega tuleb maksejuhise kättesaamise hetke kindlaksmääramisel arvestada võimalust maksejuhise sisuga tutvuda.
Maksejuhise kättesaamise hetkeks tuleks lugeda hetke, mil on juba eelnevalt tuvastatud, et maksejuhis vastab tehnilistele nõuetele ja täidetud on vajalikud kriteeriumid turvanõuete järgimiseks ning seda on võimalik täitma hakata. Maksejuhise võib kättesaaduks lugeda siis, kui on võimalik tutvuda maksejuhise sisuga ja kui seda on võimalik sisuliselt täita.
Makseteenuse pakkujad peavad kasutama autentimisel ning rahaliste vahendite kinnitamise ja piiramise ning samuti makse algatamise teenuse ja kontoteabe teenuse osutamise korral turvalist teabevahetamise viisi ning rakendama turvameetmeid, mis tagavad isikustatud turvaelementide konfidentsiaalsuse ja andmete tervikluse (VÕS § 7246 lõige 1). Sama paragrahvi lõige 2 näeb ette, et täpsemad nõuded käesoleva paragrahvi lõikes 1 nimetatud turvalise teabevahetuse ja turvameetmete kohta kehtestatakse Euroopa Parlamendi ja nõukogu direktiivi 2015/2366/EL (edaspidi komisjoni rakendusmäärus) artiklis 98 nimetatud Euroopa Komisjoni rakendusmäärusega.
Komisjoni rakendusmääruse artikli 2 lõike 1 kohaselt peavad makseteenuse pakkujatel turvameetmete rakendamise eesmärgil olema tehinguseiremehhanismid, mis võimaldavad neil avastada autoriseerimata või pettuse teel tehtud maksetehinguid. Need mehhanismid peavad tuginema maksetehingute analüüsile, mille juures võetakse arvesse elemente, mis on makseteenuse kasutajale iseloomulikud isikustatud turvavolituste tavapärase kasutamise puhul.
Komisjoni rakendusmääruse artikli 2 lõike 2 kohaselt tagavad makseteenuse pakkujad, et tehinguseiremehhanismid võtavad arvesse vähemalt kõiki järgmisi riskipõhiseid tegureid:
a) murtud või varastatud autentimisvahendite loetelu;
b) iga maksetehingu summa;
c) makseteenuste osutamisega seoses teada olevad petuskeemid;
d) märgid pahavaraga nakatumise kohta autentimismenetluse mis tahes seansi kestel;
e) juhul kui juurdepääsuseadme või -tarkvara annab kasutaja käsutusse makseteenuse pakkuja, logid sellise juurdepääsuseadme või -tarkvara kasutamise ning juurdepääsuseadme või -tarkvara tavapäratu kasutamise kohta.
Lisaturvameetmete rakendamine ei ole nii-öelda eraldi süsteem, vaid juba olemasolevate turvameetmete sihipärane täiendav kasutamine olukorras, kus tekib kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Lisaturvameetmete rakendamise sisu on konkreetse maksejuhise täiendav kontroll pettuse tõkestamise eesmärgil, kui tehingu riskianalüüsi põhjal tekib eelnevalt nimetatud kahtlus, ehk et risk on tavapärasest suurem.
Makseteenuste direktiiv on artikli 107 kohaselt üldjuhul maksimumharmoniseeriv, mistõttu ei saa liikmesriik kehtestada direktiivis sätestatust teistsugust regulatsiooni. Käesolev eelnõu ei lähtu sellest, et makseteenuse pakkujal oleks õigus juba kättesaadud ja autoriseeritud maksejuhise täitmine ühepoolselt peatada. Eelnõu täpsustab olukorda, kus makseteenuse pakkuja peab enne maksejuhise kättesaamist teostama kontrolli, kas maksejuhis vastab kõikidele vastuvõtmise tingimustele, sealhulgas kas tegemist on maksja poolt autoriseeritud maksejuhisega ning kas tegemist ei ole olukorraga, kus makse on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Ehk tegemist on maksejuhise täiendava kontrolliga selle vastuvõtmise eelses faasis.
Makseteenuse pakkuja poolt rakendatavad lisaturvameetmed võivad hõlmata näiteks maksjaga ühenduse võtmist, et välja selgitada, kas maksejuhise on esitanud ikka isik ise või kas teda on manipuleeritud sellist makset tegema. Samuti muud kontrollid, näiteks makse saaja makseteenuse pakkujaga info vahetamine, et välja selgitada, kas konkreetne maksekonto võib olla seotud pettuste toimepanemisega. Meetmete täpne sisu ja ulatus sõltub konkreetsest olukorrast ning maksega seotud riskist. Oluline on hinnata kõiki asjaolusid ja koguda vajadusel täiendavat teavet. Üksik riskitegur ei pruugi olla piisav asjaolude väljaselgitamiseks. Eeltoodust tulenevalt saab lisaturvameetmeid käsitada laia mõistena, mis hõlmab nii tehnilisi, organisatsioonilisi kui ka menetluslikke meetmeid, mille eesmärk on maksete turvalisuse tagamine ja pettuste ennetamine.
Makseteenuste direktiivi artikli 64 kohaselt loetakse maksetehing autoriseerituks üksnes siis, kui maksja on andnud nõusoleku maksetehingu tegemiseks. Sellest tulenevalt ei pea makseteenuse pakkuja pettusekahtluse korral piirduma üksnes formaalse autentimise fakti tuvastamisega, vaid tal peab olema võimalik hinnata, kas tehniline autoriseerimise fakt väljendab tegelikku nõusolekut. Seda kinnitab ka kehtiv VÕS § 7334 lõige 2, mis sätestab, et kui on vaieldav, kas makseinstrumendi abil tehtud maksetehing on autoriseeritud, ei ole ainuüksi makseinstrumendi kasutamise dokumenteerimine makseteenuse pakkuja ja asjakohasel juhul makse algatamise teenust osutanud makseteenuse pakkuja poolt küllaldane selle tõendamiseks, et: 1) maksetehing on autoriseeritud; 2) makseinstrumenti on kasutatud pettuse teel; 3) rikutud on ühte või mitut käesoleva seaduse §-s 73310sätestatud nõuet või 4) rikutud on tahtlikult või raske hooletuse tõttu ühte või mitut makseinstrumendi väljastamise ja kasutamise tingimust.
Euroopa Pangandusjärelevalve on 2025. aasta vastuses küsimusele „2023_6873 PISP payment order cancellation due to fraud prevention reasons“12 selgitatud, et juhul, kui enne maksejuhise täitmist tekib küsimus, kas see oli üldse autoriseeritud, peab kontot haldav makseteenuse pakkuja olemasolevate elementide põhjal hindama, kas tehing oli autoriseeritud või mitte. Seda toetavad koosmõjus makseteenuste direktiivi artiklid 78 ja 83. Artikkel 78 seob maksejuhise kättesaamise aja hetkega, mil maksejuhis jõuab maksja makseteenuse pakkujani, ning artikkel 83 seob makse täitmise tähtaja selle kättesaamise hetkega. Komisjoni rakendusmäärus lähtub riskipõhisest kontrollist ja näeb ette, et makseteenuse pakkujad rakendavad tehingute riskianalüüsi, et tuvastada volitamata või pettuslikke tehinguid. Seetõttu on põhjendatud lisaturvameetmete rakendamine olukorras, kus makseteenuse pakkujal on objektiivselt põhjendatud kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Kui makseteenuse pakkuja on selle kontrolli tulemusel veendunud, et maksejuhis ei ole autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel, tuleb maksejuhis viivitamata saata edasi makse saaja makseteenuse pakkujale.
Makseteenuste direktiivi maksete autoriseerimise regulatsioon ning komisjoni rakendusmääruse nõuded kehtivad ka välkmaksetele. Välkmaksete määruse kohaselt peab maksja makseteenuse pakkuja kohe pärast välkmaksejuhise kättesaamist kontrollima, kas makse töötlemise tingimused on täidetud ja kas vajalikud vahendid on olemas, ning saatma maksetehingu viivitamata saaja makseteenuse pakkujale. Välkmaksete määruse kohaselt olenemata direktiivi (EL) 2015/2366 artiklist 83 (eelnevalt välja toodud selgitus maksejuhise täitmise T+1 põhimõte), kontrollib maksja makseteenuse pakkuja viivitamata pärast välkkreeditkorralduse maksekäsundi vastuvõtmise aega, kas kõik maksetehingu töötlemiseks vajalikud tingimused on täidetud ja kas vajalik raha on kättesaadav, reserveerib maksetehingu summa maksja kontol või debiteerib selle maksja kontolt ja saadab maksetehingu viivitamata makse saaja makseteenuse pakkujale.
Välkmaksete määruse kohaselt (artikkel 5c lõige 1) pakub maksja makseteenuse pakkuja maksjale teenust, millega tagatakse selle makse saaja kontrollimine, kellele maksja kavatseb kreeditkorralduse saata (edaspidi „makse saaja kontrollimise teenus“). Maksja makseteenuse pakkuja osutab makse saaja kontrollimise teenust viivitamata pärast seda, kui maksja esitab asjakohase teabe makse saaja kohta, ja enne seda, kui maksjale pakutakse võimalust kõnealune kreeditkorraldus autoriseerida. Selle kohaselt peab maksja makseteenuse pakkuja kontrollima, kas makse töötlemise tingimused on täidetud enne maksejuhise autoriseerimist. Juhul, kui maksja makseteenuse pakkujal tekib autoriseerimise protsessi käigus objektiivselt põhjendatud kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel, on võimalik enne maksejuhise kättesaamist rakendada täiendavat kontrolli.
Juhul, kui makseteenuse pakkujal ei oleks õigust välkmakse maksejuhise vastuvõtmist edasi lükata ning vajadusel selle täitmisest keelduda, siis olukorras, kus makseteenuse pakkujal on objektiivselt põhjendatud kahtlus, et maksejuhist ei ole autoriseerinud isik ise ja seda tehti näiteks andmete väärkasutamise teel, ning selline maksejuhis täidetakse, siis vastutab makseteenuse pakkuja autoriseerimata maksega tekitatud kahju eest.
Kehtivas õiguses on makseteenuse pakkujatele pandud kohustus (komisjoni rakendusmäärus artikkel 2) omada tehinguseiremehhanisme, mis võimaldavad neil avastada autoriseerimata või pettuse teel tehtud maksetehinguid. Pettuste vastu võetavad meetmed võib tinglikult jagada kolmeks. Esiteks on ennetavad tehnilised meetmed, nagu näiteks kliendi tugev autentimine ning turvalised autentimisvahendid. Teiseks on erinevad kontrollimeetmed, nagu tehingute reaalaajas riskianalüüs, mis peab arvestama näiteks erinevaid maksemustreid, isiku ebatavalist käitumist jne. Kolmandaks saab pidada sekkuvaid meetmeid, ehk meetmed mida saab võtta siis, kui on tuvastatud pettusekahtlus, ning vajalikud on riske maandavad meetmed nagu näiteks maksetehingu täitmisest keeldumine. Praegu on olukord, kus seaduses sätestatud sekkumist lubavad meetmed ei ole pettuste tõkestamiseks piisavad. Ilmselgelt ei ole võimalik läbi ennetavate ja kontrollmeetmete rakendamise ära hoida kõiki pettusi. Samuti ei ole võimalik kõiki pettusi ära hoida lisaks eelnevatele ka erinevate sekkumismeetmega, kuid nende olemasolu on siiski selle eesmärgi saavutamisel oluline. Seepärast on vajalik seaduses sätestada makseteenuse pakkujatele selge alus pettusekahtluse korral rakendada maksejuhise osas lisaturvameetmeid. Kui komisjoni rakendusmääruses on makseteenuse pakkujatele peale pandud kohustus avastada autoriseerimata või pettuse teel tehtud tehinguid, siis peavad selle eesmärgi täitmiseks olema ka asjakohased meetmed, mis takistavad selliste maksetehingute tegemist.
Komisjoni rakendusmääruse põhjenduspunkt 1 näeb ette, et „Elektrooniliselt pakutavad makseteenused tuleks teostada turvaliselt, võttes kasutusele tehnoloogia, mis suudab tagada kasutaja turvalise autentimise ja vähendada maksimaalselt pettuse ohtu. Autentimismenetlus peaks üldiselt hõlmama mehhanisme tehingute seireks, et tuvastada katseid kasutada makseteenuse kasutaja isikustatud turvavolitusi, mis on kaotatud või varastatud või mida on väärkasutatud; samuti tuleks sellega tagada, et makseteenuse kasutaja on seaduslik kasutaja ja annab seega isikustatud turvavolitusi tavapärasel viisil kasutades oma nõusoleku rahaliste vahendite ülekandmiseks ja oma kontoandmetele juurdepääsuks. Lisaks tuleb kindlaks määrata nõuded seoses kliendi tugeva autentimisega, mida tuleks kasutada iga kord, kui maksja siseneb interneti kaudu oma maksekontole, algatab elektroonilise maksetehingu või teeb kaugejuurdepääsu teel mis tahes muu toimingu, mille puhul võib esineda maksepettuse või muu kuritarvitamise oht, nõudes selliste autentimiskoodide genereerimist, mille puhul ei ole ohtu, et neid saaks kas tervikuna või mõne nende genereerimiseks kasutatud elemendi avalikustamise läbi võltsida.“. Makseteenuste direktiivi ja komisjoni rakendusmäärusega makseteenuse pakkujatele pandud üldine kohustus on ennetada pettusi ja hinnata maksetega seotud riske ning makseteenuse pakkuja peab rakendama asjakohaseid turvameetmeid eelkõige olukordades, kus maksetehing võib kaasa tuua pettuse või muu väärkasutuse riski. Üheks selle eesmärgi saavutamise vajalikuks osaks on ka maksejuhise vastuvõtmise edasilükkamine, mis võimaldab nimetatud eesmärki saavutada. Komisjoni rakendusmäärus kehtib ka välkmaksete puhul.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 2 näeb ette, millel peab objektiivselt põhjendatud kahtlus põhinema ning millised asjaolud iseseisvalt ei ole piisavad maksejuhise kättesaamise edasilükkamiseks.
Sätte kohaselt peab objektiivselt põhjendatud kahtlus põhinema makseteenuse pakkuja riskihindamisel, sealhulgas Euroopa Parlamendi ja nõukogu direktiivi 2015/2366/EL makseteenuste kohta siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta (ELT L 337, 23.12.2015, lk 35–127) artiklis 98 nimetatud Euroopa Komisjoni rakendusmääruses (edaspidi komisjoni rakendusmäärus) sätestatud riskipõhisel lähenemisel ning muudel objektiivsetel asjaoludel. Makseteenuse pakkujad peavad hindama maksetega seotud riske, võttes arvesse muu hulgas näiteks maksja käitumismustreid, tehingu iseloomu ning võimalikke pettusenäitajaid. Seega lähtub kavandatav regulatsioon samast põhimõttest, mille kohaselt ei ole kõik maksed nii öelda selle poolest „võrdsed“, vaid neid hinnatakse lähtuvalt konkreetsest riskitasemest.
Komisjoni rakendusmääruse artikkel 18 käsitleb olukorda, kus makseteenuse pakkujatele antakse luba mitte kasutada kliendi tugevat autentimist juhul, kui maksja algatab elektroonilise kaugmaksetehingu, mille makseteenuse pakkuja tehinguseiremehhanismide alusel lugenud väikese riskiga tehinguks. See artikkel küsitleb küll tehingu riskianalüüsi olukorras, kus on ette nähtud erand kliendi tugeva autentimise kohustusest, kuid see artikkel piltlikustab, milliseid asjaolusid tuleb muuhulgas näiteks reaalajas toimuva riskianalüüsi käigus hinnata.
Hinnata tuleb näiteks seda, kas makseteenuse pakkujad ei ole reaalajas toimuva riskianalüüsi tulemusena avastanud ühtegi järgmistest asjaoludest: a) maksja tavapäratud kulutused või käitumismuster; b) ebatavaline teave maksja seadme/tarkvara kasutamise kohta; c) pahavaraga nakatumine autentimismenetluse mis tahes seansi kestel; d) makseteenuste osutamisega seoses teadaolev petuskeem; e) maksja tavapäratu asukoht; f) makse saaja kõrge riskitasemega asukoht.
Kehtiv VÕS ei näe otseselt ette, et juhul, kui makseteenuse pakkujal tekib objektiivselt põhjendatud kahtlus, et maksetehingu täitmiseks antud nõusolek on saadud andmete väärkasutamise, pettuse või maksja manipuleerimise teel, on tal õigus autoriseeritud maksejuhise kättesaamine täiendavaks kontrolliks edasi lükata. Kehtiv VÕS § 7243 lõige 4 sätestab, et makseteenuse pakkujal ei ole õigust keelduda autoriseeritud maksejuhise täitmisest, kui maksejuhis vastab makseteenuse lepingus määratud tingimustele ning maksejuhise täitmisega ei rikuta mõnes muus õigusaktis sätestatud kohustust. Kuid lisaks sellele, et maksejuhis peab vastama lepingus määratud tingimustele, peab maksejuhis vastama ka komisjoni rakendusmääruses kehtestatud nõuetele. Selles osas, et maksejuhise täitmisega ei rikuta mõnes muus õigusaktis sätestatud kohustusi, on eelkõige silmas peetud rahapesu ja terrorismi rahastamise tõkestamise regulatsioonist tulenevaid nõudeid. VÕS § 7246 lõige 1 küll viitab autentimise nõuetele komisjoni rakendusmääruses, kuid ei anna selget õigust maksejuhise täitmisest keelduda. Ehk et juhul, kui isik on makse autoriseerinud ka pettuse teel, ei ole VÕS § 7243 lõike 4 kohaselt makseteenuse pakkujal õigust keelduda sellise maksejuhise täitmisest.
VÕS § 7246 lõige 5 sätestab, et maksejuhist, mille täitmisest on õigustatult keeldutud, käsitatakse kättesaamata maksejuhisena tulenevalt käesoleva seaduse §-des 728 ja 7333 sätestatust. See omab tähtsust nii maksejuhise täitmise tähtaja kui ka makseteenuse pakkuja vastutuse kontekstis. Kui maksejuhise täitmisest on õigustatult keeldutud, käsitatakse maksejuhist kättesaamata maksejuhisena, see tähendab, et maksejuhisest ei tulene makseteenuse pakkujale ega ka makseteenuse kasutajale mingeid õigusi ega kohustusi.
Lisatava lõike eesmärk on tagada, et makseteenuse pakkuja õigus maksejuhise kättesaamine edasi lükata oleks selgelt piiritletud ning ei võimaldaks maksejuhise põhjendamatut kättesaamisega viivitamist. Selleks sätestatakse, et kahtlus peab olema objektiivselt põhjendatud ning tulenema riskihindamisest või muudest objektiivsetest asjaoludest.
Eraldi on välja toodud, et makseteenuse pakkuja ei või maksejuhise kättesaamise edasi lükkamisel tugineda üksnes Euroopa Parlamendi ja nõukogu määruse (EL) nr 260/2012 alusel pakutavale makse saaja kontrollimise teenusele (nn IBAN-nime kontroll). Nimetatud teenuse eesmärk on anda maksjale lisateavet makse saaja kohta, kuid selle tulem ei pruugi olla lõplik ega ammendav ning võib sõltuda andmete kättesaadavusest või tehnilistest piirangutest. Seetõttu ei saa üksnes selle teenuse tulemusest järeldada, et maksejuhis ei ole maksja poolt autoriseeritud või maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel.
Samuti ei ole piisav alus maksejuhise kättesaamise edasilükkamiseks asjaolu, et makse on makseteenuse pakkujale ebatavaline või arusaamatu. Kuigi maksejuhise ebatavalisus võib olla üks riskihindamise element, ei anna see iseseisvalt alust järeldada, et tegemist on nt pettuse või andmete väärkasutusega. Vastupidine käsitlus tooks kaasa olukorra, kus makseteenuse pakkujad võiksid laialdaselt ja ebamääraste kriteeriumide alusel maksete täitmisega viivitada. Oluline on, et makseteenuse pakkuja poolt maksejuhise kättesaamise edasilükkamine oleks erandlik ning selgelt põhjendatud. Kavandatava regulatsiooni eesmärk on tasakaalustada maksete turvalisuse ja kiiruse eesmärke ning samas mitte kahjustada maksete usaldusväärsust, võimaldades makseteenuse pakkujal maksejuhise kättesaamine edasi lükata üksnes siis, kui see on riskihindamise alusel põhjendatud, vältides samas põhjendamatuid viivitusi.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 3 näeb ette, et makseteenuse leping peab sisaldama muu hulgas tingimusi maksja teavitamiseks lisaturvameetmete rakendamisest ja põhjustest enne nende rakendamist või viivitamata pärast seda. Makseteenuse pakkuja ei pea lisaturvameetmete rakendamise põhjusi maksjale teatama, kui teabe edastamine on vastuolus objektiivselt põhjendatud turvalisuse kaalutlusega või ei ole muul seaduses sätestatud põhjusel lubatud. Selline lähenemine on kooskõlas makseteenuste direktiivi põhimõtetega, et makseteenuse pakkuja peab ühelt poolt tagama makseteenuste läbipaistvuse ja kasutajate teavitamise, kuid teiselt poolt ka maksete turvalisuse ja pettuste ennetamise. Sarnane tasakaalu leidmine on omane ka muudele menetlustele, kus isiku teavitamine võib olla piiratud, kui see ohustab turvalisust.
Lõike 3 eesmärk on tagada maksja teavitamine olukorras, kus makseteenuse pakkuja rakendab lisaturvameetmeid ja lükkab maksejuhise kättesaamise edasi. Kuna see võib mõjutada makse täitmise kiirust ja maksja ootusi selle täitmise osas, on oluline, et maksja oleks teadlik nii võimalikest meetmetest kui ka nende rakendamise tingimustest. Seeläbi saab isik teada, miks tema maksejuhise täitmine võib viibida või miks temalt nõutakse näiteks täiendavat informatsiooni. Teisalt kaitseb see ka makseteenuse pakkujat, kes saab tugineda seaduses sätestatule ning aitab vältida isikute arusaamist, et tegemist on makseteenuse pakkuja nn omavoliga.
Teavitamise kohustus hõlmab nii eelnevat kui ka vahetut teavitamist. Üldreeglina tuleks maksjat teavitada enne lisaturvameetmete rakendamist, võimaldades vajaduse korral maksjal täiendavaid selgitusi anda. Kui eelnev teavitamine ei ole võimalik, näiteks seetõttu, et turvameetme tõhusus eeldab viivitamatut sekkumist, tuleb maksjat teavitada viivitamata pärast nende meetmete rakendamist. Selline paindlikus võimaldab makseteenuse pakkujal reageerida pettustele kiiresti, kuid säilib maksja teadlikus olukorra põhjustest.
Säte tagab, et maksja ei jää teadmatusse maksejuhiste täitmist mõjutavate tegurite osas, säilitades samas võimaluse piirata teabe avaldamist juhtudel, kus see on vajalik maksete turvalisuse ja pettuste ennetamise seisukohalt.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 4 näeb ette, et kui maksja makseteenuse pakkuja lükkab maksejuhise kättesaamise lisaturvameetmete rakendamiseks edasi, siis loetakse, et makseteenuse pakkuja on maksejuhise kätte saanud hetkest, kui makseteenuse pakkuja on lõpetanud lisaturvameetmete rakendamise ja on veendunud, et maksejuhis ei ole autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Nimetatud tingimuste täitmise korral on maksja makseteenuse pakkujal kohustus saata maksetehing viivitamata makse saaja makseteenuse pakkujale.
Nimetatud lõige näeb ette, millisest hetkest alates loetakse maksejuhis makseteenuse pakkuja poolt kättesaaduks olukorras, kus makse täitmine ei alga kohe selle kättesaamisel, vaid sellele eelneb täiendav riskipõhine kontroll. Kehtivas makseteenuste regulatsioonis on maksejuhise kättesaamise hetk keskse tähtsusega, kuna sellest sõltuvad nii makse täitmise tähtajad kui ka makseteenuse pakkuja vastutus. Seetõttu on oluline vältida olukorda, kus makseteenuse pakkuja oleks kohustatud järgima täitmise tähtaegu ajal, mil ta ei ole veel saanud veenduda, kas maksejuhis on maksja poolt autoriseeritud või on see autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Kuigi makseteenuste direktiiv ja välkmaksete määrus eeldab maksete kiiret täitmist, ei saa seda igas olukorras tõlgendada viisil, mis kohustaks makseteenuse pakkujat täitma maksejuhiseid olukorras, kus esineb põhjendatud kahtlus, et need on toime pandud pettuse teel.
Lõike 4 kohaselt loetakse maksejuhis kättesaaduks alles pärast seda, kui makseteenuse pakkuja on lõpetanud lisaturvameetmete rakendamise ning on veendunud, et maksejuhis ei ole seotud andmete väärkasutamise, pettuse või maksjaga manipuleerimisega. See tagab, et makse täitmise tähtaegade arvestus algab alles hetkest, mil makseteenuse pakkuja on pärast vajalike kontrollide tegemist saanud asuda sisuliselt maksejuhist täitma.
Lõikes 4 on selgelt välja toodud, et pärast lisaturvameetmete rakendamise lõppu ning kahtluste kõrvaldamist on makseteenuse pakkujal kohustus edastada maksetehing viivitamata makse saaja makseteenuse pakkujale. Välkmaksete kontekstis on oluline, et makseteenuse pakkuja sekkumine maksejuhise täitmisesse selle kättesaamisega edasilükkamisega toimuks üksnes enne makse lõplikku töötlemist ning oleks ajaliselt selgelt piiritletud.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 5 näeb ette, et maksja makseteenuse pakkuja ei või maksejuhist lisaturvameetmete rakendamiseks edasi lükata kauemaks, kui käesoleva paragrahvi lõikes 4 nimetatud asjaolu väljaselgitamiseks mõistlikult vajalik. Võimalusel peab maksja makseteenuse pakkuja lähtuma eelkõige käesoleva seaduse §-s 728 sätestatud tähtaegadest. Nimetatud lõige sätestab lisaturvameetmete rakendamise ajapiiri kontrollimaks, kas maksejuhis vastab kõikidele selle töötlemiseks vajalikele nõuetele ega ole seotud andmete väärkasutamise, pettuse või maksjaga manipuleerimisega. See tähendab, et lähtepunktiks jäävad üldised täitmise tähtajad ning nendest võib eemalduda ainult nii palju, kui konkreetne kontrolli vajadus seda tingib. Eesmärk on tagada, et lisaturvameetmete rakendamise õigus ei oleks ajaliselt piiritlemata, vaid oleks seotud konkreetse kontrollivajaduse ja selle kestusega.
Lõike 5 mõte on tasakaalustada kahte olulist eesmärki. Ühelt poolt peab makseteenuse pakkujal olema tegelik võimalus pettuseriski korral sekkuda ning teha vajalikud maksejuhise kontrollitoimingud. Teiselt poolt ei tohi lisaturvameetmete rakendamine viia selleni, et maksete täitmine venib põhjendamatult või et makseteenuse kasutaja jääb määramata ajaks ebakindlasse olukorda. Seetõttu seob säte lubatava viivituse kestuse otseselt kontrolli eesmärgiga: viivitus on lubatav üksnes seni, kuni kestab põhjendatud kontroll ning ainult ulatuses, mis on selle kontrolli läbiviimiseks mõistlikult vajalik.
Eelnõus on loobutud rangest ajapiiri sätestamisest, sest kontrolli kestus ei pruugi kõikidel juhtudel olla sama. Mõnes olukorras piisab automaatsest kontrollist või lisakinnituse küsimisest, mille saab teha väga kiiresti, muus olukorras võib olla vaja teha täiendav riskihindamine või saada maksjalt kinnitus eri kanali kaudu.
Nimetatud tähtaeg kehtib ka välkmaksetele ning seda tuleb arvestada ka välkmaksete puhul maksejuhise täitmisel. Välkmaksete määruse kohaselt peab maksja makseteenuse pakkuja kohe pärast välkmaksejuhise kättesaamist kontrollima, kas makse töötlemise tingimused on täidetud ja kas vajalikud vahendid on olemas, ning saatma maksetehingu viivitamata saaja makseteenuse pakkujale. Saaja makseteenuse pakkuja peab omakorda tegema summa saaja kontol kättesaadavaks 10 sekundi jooksul alates sellest, kui maksja makseteenuse pakkuja välkmaksejuhise kätte sai. See näitab, et liidu seadusandja eesmärk on maksete, eriti välkmaksete, võimalikult kiire täitmine.
Teisalt ei saa turvakontrolli ajaline piirang muuta seda ebaefektiivseks. Välkmaksete määrus küll eeldab väga kiiret maksete täitmist, kuid samas säilib makseteenuse pakkuja kohustus ennetada pettusi ja rakendada turvanõudeid. Makseteenuste direktiiv ja komisjoni rakendusmäärus lähtuvad sellest, et maksete kõrgetasemeline turvalisus on makseteenuste toimimise üks põhielement. Kõnealune lõige 5 tasakaalustab neid kahte vastuolulist eesmärki: makseteenuse pakkuja võib maksejuhise kättesaamise edasi lükata, kuid ainult nii kaua, kui tal on tegelikult vaja tuvastada, kas tehing on õiguspärane; pärast seda tuleb maksejuhis saata viivitamata makse saaja makseteenuse pakkujale. Nii-öelda lubatav viivitus lõpeb siis, kui lõikes 4 nimetatud asjaolu väljaselgitamiseks mõistlikult vajalik aeg on möödunud. See võimaldab hiljem hinnata makseteenuse pakkuja tegevuse õiguspärasust ning vastutuse olemasolu.
Makseteenuste direktiivi järgi on makse täitmise tähtaeg seotud maksejuhise kättesaamise ajaga, artikli 78 lõike 1 kohaselt on maksejuhise kättesaamise aeg see hetk, mil maksja makseteenuse pakkuja maksejuhise kätte saab, ning artikli 83 lõike 1 kohaselt peab maksja makseteenuse pakkuja tagama, et pärast seda hetke kantakse maksesumma saaja makseteenuse pakkuja kontole hiljemalt järgmise tööpäeva lõpuks. Makseteenuste direktiiv näeb ette, et kui makseteenuse pakkuja keeldub õiguspäraselt maksejuhise täitmisest, loetakse selline maksejuhis täitmise tähtaegade mõttes kättesaamata maksejuhisena. Seega on maksejuhise “kättesaamise” mõiste otseselt seotud sellega, millal hakkavad kulgema täitmise tähtajad ning millal tekib makseteenuse pakkujal kohustus makset edasi töödelda.
Komisjoni rakendusmäärus lähtub tehingu riskipõhisest lähenemisest ning näeb ette, et makseteenuse pakkujatel peavad olema tehingute jälgimise mehhanismid, mis võimaldavad tuvastada autoriseerimata või pettuslike maksetehinguid. Need mehhanismid peavad põhinema maksetehingute analüüsil, arvestades seda, mis on konkreetse makseteenuse kasutaja puhul tavapärane, ning võtma arvesse vähemalt riskitegureid nagu maksja tavapäratud kulutused või käitumismuster; ebatavaline teave maksja seadme/tarkvara kasutamise kohta; pahavaraga nakatumine autentimismenetluse mis tahes seansi kestel ning makseteenuste osutamisega seoses teadaolev petuskeem (artikkel 2 lõige 2). Sama määruse põhjenduspunktis 14 on rõhutatud, et kui reaalajas riskianalüüs ei võimalda tehingut pidada madala riskiga tehinguks, tuleb makseteenuse pakkujal minna tagasi tugevdatud kontrolli juurde. Seega eeldab liidu õigus, et makseteenuse pakkuja teeb vajaduse korral lisakontrolle, kuid need kontrollid peavad olema seotud konkreetse riskihindamisega.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 6 näeb ette, et maksja makseteenuse pakkujal on õigus keelduda maksejuhise täitmisest, kui pärast käesoleva paragrahvi lõikes 1 nimetatud lisaturvameetme rakendamist ei ole olnud objektiivselt võimalik kõrvaldada kahtlust, et maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Sätte eesmärk on võimaldada makseteenuse pakkujal ennetada kahju tekkimist juba enne makse lõplikku täitmist.
Lõike 6 sõnastuses kasutatud kriteerium „objektiivselt võimalik“ piirab makseteenuse pakkuja kaalutlusruumi ning välistab keeldumise pelgalt nn üldise riskihindamise või ebamäärase põhjenduse alusel. Keeldumine eeldab, et makseteenuse pakkuja on eelnevalt rakendanud lisaturvameetmeid ning nende tulemusel ei ole kahtlust õnnestunud kõrvaldada. Seega peab keeldumise alus olema kontrollitav ja põhjendatav lähtuvalt faktiliselt olukorrast.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 7 näeb ette, et kui maksejuhise täitmine viibib käesoleva paragrahvi lõikes 1 sätestatud lisaturvameetmete rakendamise tõttu, hakkab käesoleva seaduse §-s 728 sätestatud maksejuhise täitmise tähtaeg kulgema alates maksejuhise kättesaamisest käesoleva paragrahvi lõikes 4 sätestatud tähenduses. Kõnealune lõige on seotud lõikega 4, sest juhul, kui maksejuhis loetakse kättesaaduks pärast lisaturvameetmete rakendamist, peab samas hetkest kulgema hakkama ka maksejuhise täitmise tähtaeg. Makseteenuste direktiivi artikkel 83 lähtub samuti sellest, et täitmise aeg arvutatakse alates artikli 78 tähenduses maksejuhise kättesaamise ajast. Kõnealune lõige tagab, et maksejuhise täitmise tähtaja arvestus järgib sama põhimõtet ka pettusekahtlusega juhtumite korral. Säte väldib olukorda, kus makseteenuse pakkuja satuks tähtaega rikkuma ajal, mil ta täidab seadusest tulenevat kohustust kohaldada lisaturvameetmeid.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 8 näeb ette, et kui käesoleva paragrahvi lõikes 1 nimetatud lisaturvameetmete rakendamise tulemusel täidetakse makse hilinemisega, kohaldatakse makse täitmisele käesoleva seaduse § 7333 lõigetes 41 ja 42 sätestatut.
VÕS § 7333 lõiked 41 ja 42 käsitlevad väärtuspäeva korrigeerimist hilinenud makse korral. Eelnõuga kõnealune VÕS-i lisatav § 7247 lõige 9 näeb ette õiguse lisaturvameetmete rakendamiseks ning asjaolude väljaselgitamisele, kas maksetehingu täitmiseks antud nõusolek on saadud andmete väärkasutamise, pettuse või maksja manipuleerimise teel, võib kuluda rohkem aega, kui on ette nähtud maksetehingu täitmiseks. Sellisel juhul tagab saaja makseteenuse pakkuja maksja makseteenuse pakkuja taotlusel, et saaja maksekonto krediteerimise väärtuspäevaks loetakse maksetehingu nõuetekohaseks täitmiseks määratud väärtuspäev. Seeläbi ei halvene maksja olukord, kuna kontole laekunud raha väärtuspäevaks loetakse algselt makse nõuetekohaseks täitmiseks ette nähtud kuupäev, isegi kui raha jõuab vastavale kontole tegelikult hiljem.
Kõnealune säte järgib juba kehtivat VÕS-i regulatsiooni hilinenud makse täitmise tagajärgede kohta ning ei loo selles osas eraldiseisvat regulatsiooni. Sätte eesmärk on tagada, et lisaturvameetmete rakendamine ei katkestaks kehtivas õiguses juba olemasolevat hilinenud makse täitmise tagajärgede regulatsiooni, vaid lähtuks samast loogikast. Tegemist ei ole eraldiseisva hilinenud täitmise režiimi loomisega, vaid olemasolevate tagajärgede kohaldamise täpsustamisega olukorras, kus maksetehingu täitmine viibib õiguspäraselt rakendatud lisaturvameetmete tõttu. VÕS § 7333 lõiked 41 ja 42 reguleerivad juba praegu, milline peab olema saaja maksekonto krediteerimise väärtuspäev juhul, kui makse täidetakse hilinemisega. Käesolev lõige tagab, et sama põhimõte kohaldub ka siis, kui hilinemise põhjus seisneb makseteenuse pakkuja poolt pettuskahtluse kontrollimiseks rakendatud lisaturvameetmetes. Sellega välditakse olukorda, kus makse formaalselt hilineb, kuid hilinemise mõju saaja konto väärtuspäeva osas jääks reguleerimata. Lahendus on kooskõlas ka makseteenuste direktiivis sätestatud hilinenud täitmise regulatsiooniga, mille kohaselt tuleb hilinenud makse korral tagada, et saaja konto krediteerimise päev ei oleks hilisem päevast, mil tehing oleks pidanud olema õigesti täidetud. Makseteenuste direktiivi artikkel 89 näeb selle põhimõtte sõnaselgelt ette.
Kui maksejuhise on algatanud maksja, kohaldub VÕS § 7333 lõige 41. Selle järgi tagab saaja makseteenuse pakkuja maksja makseteenuse pakkuja taotlusel, et saaja maksekonto krediteerimise väärtuspäevaks loetakse maksetehingu nõuetekohaseks täitmiseks määratud väärtuspäev. Seega tagab lõige 8, et lisaturvameetmete tõttu tekkinud viivitus ei muudaks hilinenud makse tagajärgede käsitlust võrreldes muude hilinenud maksetega. Maksja algatatud makse puhul näiteks olukord, kus isik teeb internetipangas ülekande teisele isikule. Tegemist on maksja algatatud maksega ning kohaldub VÕS § 7333 lõige 41.
Kui makse on algatatud saaja poolt või tema kaudu, kohaldub VÕS § 7333 lõige 42. Selle järgi loetakse saaja maksekonto krediteerimise väärtuspäevaks samuti maksetehingu nõuetekohaseks täitmiseks määratud väärtuspäev. Kõnealusel juhul näiteks kui makse saaja algatatud makse korral võetakse isiku kontolt otsekorralduse alusel makse kommunaalteenuse osutajale. Sellisel juhul kohaldub VÕS § 7333 lõige 42.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 9 näeb ette, et makseteenuse leping võib sisaldada tingimust, mille kohaselt maksja ei või nõuda lisaturvameetmete rakendamiseks maksejuhise kättesaamise edasi lükkamise korral maksja makseteenuse pakkujalt kahju hüvitamist. Hüvitist ei või nõuda tingimusel, et nimetatud turvameetmeid rakendatakse ebamõistliku viivituseta ning rakendamise aluseks on objektiivselt põhjendatud kahtlus, et maksejuhise autoriseerimiseks antud nõusolek on saadud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. See lepingu tingimus ei välista ega piira maksja muu nõude esitamist muul alusel.
Kui makseteenuse pakkuja rakendab maksetehingu kontrollimiseks lisaturvameetmeid võib selle peale kuluda rohkem aega, kui on ette nähtud maksetehingu täitmiseks. Alati ei pruugi lisaturvameetmete rakendamise tulemuseks olla maksejuhise täitmisest keeldumine, kuna kontrolli tulemusel selgub, et tegemist ei ole pettusega ning isik on andnud nõusoleku maksetehingu täitmiseks. Juhul, kui makseteenuse pakkuja on turvameetme täiendava rakendamise läbi viinud õiguspäraselt vastavalt eelnõuga VÕS-i lisatava § 7339 lõike 3 tingimustele, ei vastuta makseteenuse pakkuja kahju eest, mis on tekkinud tehingu hilinenud täitmise tõttu.
Sätte eesmärk on tagada, et makseteenuse pakkuja ei oleks kohustatud kandma kahju seetõttu, et ta tegutses maksja kaitseks ja tema pettuseohvriks langemise ärahoidmiseks. Kui makseteenuse pakkuja rakendab põhjendatud kahtluse korral viivitamata lisaturvameetmeid on selle eesmärgiks kliendi kaitse. Sellises olukorras oleks ebamõistlik panna makseteenuse pakkujale automaatne kahju hüvitamise kohustus pelgalt ajutise viivituse tõttu. Säte tasakaalustab maksja huvi makse kiire täitmise vastu ning maksesüsteemi turvalisuse tagamist.
Kõnealuse lõikes 9 vastutuse piiramine on sõnastatud kitsalt ja tingimuslikult. Vastutus ei ole välistatud igas olukorras, vaid eeldab kumulatiivselt, et lisaturvameetmeid rakendatakse ebamõistliku viivituseta ning nende aluseks on objektiivselt põhjendatud kahtlus. Lisaks on sättes selgelt toodud, et see lepingu tingimus ei välista ega piira maksja muu nõude esitamist muul alusel. Seega ei kõrvalda muudatus makseteenuse pakkuja üldist vastutust ega kahjusta maksja õigust tugineda muudele õiguskaitsevahenditele, kui makseteenuse pakkuja on tegutsenud õigusvastaselt, ebaproportsionaalselt või põhjendamatult. Selline lahendus on kooskõlas makseteenuste direktiivi üldise vastutuse loogikaga, mille kohaselt makseteenuse pakkuja vastutus makse mittetäitmise, puuduliku täitmise või hilinenud täitmise eest on reguleeritud, kuid direktiiv ei välista, et riigisisene õigus näeb ette riigisisese vastutuse. Kõnealune säte ei muuda üldiselt makseteenuste direktiivi kahju hüvitamise loogikat, kus makseteenuse pakkuja vastutab autoriseerimata kahju hüvitamise eest. Kõnealust põhimõtet ei muudeta, sest muudatuse näol on tegemist võimaliku kahjuga, mis on tekkinud autoriseeritud maksejuhise kontrollimisel ja maksejuhise hilisema täitmise korral. On oluline rõhutada, et käesolev muudatus annab makseteenuse pakkujatele õiguse keelduda autoriseeritud maksejuhise täitmisest, mis on erinev üldisest loogikast, et makseteenuse pakkuja ei või keelduda autoriseeritud maksejuhise täitmisest. Ehk et olukorras, kus makseteenuse pakkuja ei ole tõkestanud maksejuhise täitmist, mille isik on ise manipuleerimise teel PIN 2-ga kinnitanud, siis tegemist on ikkagi autoriseeritud maksejuhisega ning sellises olukorras ei kohaldu makseteenuse pakkuja vastutus autoriseerimata makse puhul kahju hüvitamiseks.
Eelnõu §-ga 2 muudetakse KAS-i.
Eelnõu § 2 punktiga 1 täiendatakse KAS §-i 88 lõike 3 punkti 1 pärast tekstiosa „käesolevas paragrahvis“ tekstiosaga „või käesoleva seaduse §-s § 894“.
KAS § 88 lõige 3 punkt 1 sätestab krediidiasutuse õiguse avaldada pangasaladust kolmandale isikule, kui krediidiasutuse õigus või kohustus avaldada pangasaladust tuleneb käesolevas paragrahvis sätestatust. See annab ammendava loetelu, mille kohaselt on krediidiasutusel õigus avaldada pangasaladust kolmandale isikule üksnes juhul, kui selline õigus või kohustus tuleneb KAS § 88 muudest sätetest, ehk muudel alustel ei ole võimalik pangasaladust avaldada. Eeltoodust tulenevalt sätestatakse KAS §-i 88 ka võimalus avaldada pangasaladust eelnõuga loodava § 894 alusel.
Eelnõu § 2 punktiga 2 täiendatakse KAS-i 7. peatüki 3. jaotist §-ga 894.
KAS-i lisatav uus paragrahv annab krediidiasutustele selged õiguslikud alused avaldada andmeid ja teavet pettuste avastamiseks ja väljaselgitamiseks juhul, kui krediidiasutusel on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega. Kehtiv KAS § 88 reguleerib iseenesest juba pangasaladuse avaldamist, mh näeb ette, et millistel tingimustel ja kuidas võib pangasaladust edastada nii PPA-le kui RIA-le. Samas kehtiv KAS § 88 ei näe otseselt ette krediidiasutustele õigust jagada pettuse kahtluse korral andmeid nii teiste krediidiasutustega, makseasutuste ja e-raha asutustega kui ka teiste ametiasutustega. Uue KAS §-s 894 ettenähtud andmete puhul ei pruugi aga tingimata tegemist olla pangasaladusega (nt tegemist võib olla koondandmetega või muude sarnaste andmetega, mille põhjal ei saa kindlaks teha üksikkliendi andmeid). Tulenevalt eeltoodust on otsustatud, et ei täiendata kehtivat KAS §-i 88, vaid konstrueeritakse KASi vastav uus § 894. Lisaks tuleb suure tõenäosusega vastav normistik kehtetuks tunnistada, kui tulevikus hakkab kehtima eespool nimetatud EL makseteenuste määrus (ehk ka õigustehniliselt on lihtsam kustuda eraldiseisvat paragrahvi).
KAS uue §-i 894 lõike 1 kohaselt antakse krediidiasutusele õigus avaldada erinevat teavet, mh pangasaladust teisele krediidiasutusele, makseasutusele ja e-raha asutusele ning PPA-le maksetehingutega seotud pettuste avastamiseks ja väljaselgitamiseks juhul, kui krediidiasutusel on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega. Pettuste tõkestamisel on oluline kiirus ning koostöö, et oleks võimalik operatiivselt sekkuda. Kehtiva KAS-i § 88 lõike 5 punkt 2 võimaldab pangasaladuse avaldamist uurimisasutusele üksnes kriminaalmenetluse raames. Seega on politseil küll võimalik saada pettuste uurimisel informatsiooni, kuid see on piiratud, sest andmete avaldamine eeldab kriminaalmenetluse algatamist. Eelnõuga kavandatav paragrahv loob õigusliku aluse, mis võimaldab krediidiasutusel objektiivselt põhjendatud pettuse kahtluse korral edastada andmeid enne kriminaalmenetluse algatamist. See võimaldab kiiremat reageerimist ja kahju tekkimist olukordades, kus menetluse alustamine võib toimuda alles pärast esmast juhtumi analüüsi ning pettuse ärahoidmise vaatest seega liiga hilja.
Antud juhul nähakse ette andmete jagamine krediidiasutusele õigusena, kui selliste andmete jagamine osutub krediidiasutuse hinnangul vajalikuks. Pangasaladuse avaldamine ei ole lubatud iga kahtluse korral, vaid juhul, kui selleks on objektiivselt põhjendatud pettuse kahtlus, näiteks:
• isik võib olla seotud pettuse toimepanemisega või konkreetne maksetehing võib olla seotud pettusega, ning see peab tuginema kontrollitavatele asjaoludele;
• esinevad pettustele iseloomulikud tehingumustrid, kus lühikese aja jooksul tehakse mitmeid uutele saajatele suurtes summades ülekandeid ning samuti tehnilised andmed, kus seade või sessioon kattub varem tuvastatud pettusega.
Uue paragrahvi § 894 lõige 2 näeb ette, millist liiki andmete avaldamine lubatud on. Pettuseid ei pruugi olla võimalik avastada nn üksiku „andmetüki“ põhjal, vaid praktikas on vajalik andmete kogum, mille põhjal saab omavahel siduda pettuse kahtlusega isikud, kontod, seadmed, sessioonid jne.
Antud lõike punktis 1 nimetatud andmed kliendi kohta on isiku tuvastamiseks vajalikud unikaalsed identifikaatorid, mille abil saab kindlaks teha millise isikuga on tegemist. Nendeks võivad olla näiteks kliendi-ID, isikukood või kontonumber. Näiteks krediidiasutus A tuvastab, et kliendi kontolt tehakse ebaharilikke makseid erinevatele saajatele ning on alus kahtlustada pettuse toimepanemist, siis on võimalik teavitada krediidiasutust B, kellele makseid tehakse ning edastada isiku andmed, et saaks kontrollida, kas saaja või tema maksekonto võib olla seotud pettusega.
Punkti 2 kohaselt saab edastada andmeid makse saaja ja maksekonto kohta, mis on vajalikud saaja identifitseerimiseks, et tuvastada pettuse ahelas saaja pool. Näiteks olukord, kus mitmed isikud teevad ebaharilikke makseid ühele makse saajale. Sel juhul saab krediidiasutus edastada makse saaja krediidiasutusele kõnealused andmed, et teine krediidiasutus saaks hinnata, kas tegemist võib olla nn rahamuula maksekontoga. See aitab tuvastada erinevate petta saanud isikute maksed sama makse saaja krediidiasutusele ning takistada raha liikumist rahamuulade maksekontode vahel.
Punkti 3 kohaselt saab edastada andmeid maksetehingute kohta, mis on konkreetse maksetehingu tunnused, näiteks tehingu ID. Nimetatud andmed maksetehingu kohta hõlmavad üksnes konkreetse pettusekahtlusega seotud makse asjaolusid, mis on vajalikud pettuse avastamiseks ja väljaselgitamiseks. Nende andmete all ei peeta silmas kliendi konto väljavõtet ega muud terviklikku ülevaadet kliendi maksekäitumisest, selliste andmete väljastamine ei ole lubatud. Konto väljavõtte avaldamine ületaks kõnealuse regulatsiooni eesmärgi ning ei oleks kooskõlas andmete minimaalsuse põhimõttega. Seetõttu on lubatud avaldada üksnes selliseid konkreetse maksetehingu andmeid, nagu tehingu aeg, tehingu liik, kasutatud kanal või muud asjaolud, millel on vahetu tähendus pettusekahtluse kontrollimiseks.
Punktis 4 nimetatud andmed kasutatud seadme, makseinstrumendi või turvaelementide kohta on vajalikud selleks, et maksetehinguga seotud pettusi oleks võimalik avastada ja välja selgitada ka olukorras, kus pettusekahtlus ei ilmne üksnes kliendi, saaja või konkreetse makseandmete pinnalt, vaid eeskätt sellest, millise tehnilise vahendi või autentimisviisiga tehing tehti. Pettused võivad avalduda näiteks olukordades, kus kasutatakse sama seadet, sama autentimisvahendit või samu turvaelemente mitme kahtlase tehingu tegemisel. Selliste andmete võrdlemine võimaldab tuvastada pettusmustreid, seostada omavahel eri juhtumeid ning hinnata, kas tegemist võib olla andmete väärkasutamise, identiteedi kuritarvitamise või muu pettusliku skeemiga.
Kasutatud seadme, makseinstrumendi või turvaelementide kohta käiv teave ei kattu täielikult ei kliendiandmete, makse saaja ja maksekonto andmete ega ka üksnes maksetehingu andmetega. Kliendi või konto tuvastamine ei näita veel, kuidas tehing tehniliselt tehti või milliseid autentimisvahendeid kasutati. Just seadme, makseinstrumendi või turvaelementide kohta käiv info võib osutada, et näiliselt erinevad tehingud on tegelikult omavahel seotud, näiteks kui need on tehtud sama seadme või sama maksevahendi abil. Selline teave võib olla määrava tähtsusega, et eristada kliendi tavapärast maksekäitumist olukorrast, kus maksevahendit või autentimisvahendeid on väärkasutatud.
Andmeteks on näiteks seadme- ja sessiooniandmed ning muud pettuse tuvastamist võimaldavad tehnilised andmed, mille alusel saab tuvastada, kas makse algatamise keskkond on ebatavaline, näiteks seadme-ID, brauser, IP-aadress. See aitab tuvastada, kas erinevate isikute kontodelt algatatakse makseid sama seadmega või samalt IP-aadressilt, kuigi isikud on erinevates piirkondades. Nende andmete jagamine aitab tuvastada pettuse toimepanemist laiemalt erinevate krediidiasutuste üleselt, mida üks krediidiasutus oma andmete pinnalt ei pruugi tuvastada.
Punktiga 5 nähakse ette andmete ja teabe jagamine maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo kohta. See on andmed ja teave mille järgi on näha, et tegemist võib olla pettus või muu süüteoga. Tegemist ei pea olema juba kinnitust leidnud pettusjuhtumiga, vaid pigem andmete ja tunnustega, mis osutavad võimalikele rikkumise tunnustele. Siia võivad kuuluda näiteks andmed ebatavalise käitumismustri kohta, vastuolud makse algatamise tavapärases loogikas, andmed selle kohta, et kasutatud on võõrast või ootamatut seadet, turvaelemente on kasutatud ebatavapärasel viisil, või muud asjaolud, mis eraldi või kogumis loovad objektiivselt põhjendatud kahtluse, et tehing võib olla seotud pettuse või muu süüteoga. See on suunatud ennekõike süüteotunnuste, riskinäitajate ja kahtlust toetavate asjaolude kirjeldamisele. Selle punkti eesmärk on võimaldada vahetada sellist teavet, mis aitab pettust või muud võimalikku süütegu tuvastada, selle olemasolu kontrollida ja hinnata, kas on alust võtta kasutusele täiendavaid meetmeid.
Erinevalt punktist 6 ei ole käesoleva punkti 5 puhul tegemist juba toimunud pettusejuhtumiga. Pettuste avastamise ja väljaselgitamise seisukohast on oluline võimalus vahetada ka sellist teavet, mis ei kirjelda veel lõplikult tuvastatud pettust, kuid mis võib viidata pettuse või muu süüteo tunnustele ning aidata ennetada kahju tekkimist või levikut. Samal ajal on vajalik eraldi nimetada ka juba toime pandud pettuse teel tehtud tehingud ja pettusekatsed, sest nende kohta kogutav ja vahetatav teave on tavaliselt konkreetsem, detailsem ja otsesemalt seotud konkreetse juhtumi lahendamisega.
Punktiga 6 nähakse ette andmete ja teabe jagamine pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta. Need on andmed ja teave toime pandud või toime panna üritatud pettusjuhtumi ning selle konkreetsete asjaolude kohta. Need on nn pettuseindikaatorid, mis kirjeldavad petuskeemi toimimist, nagu näiteks tehingu ajastus ja korduvad summad ning mitme isiku samasugused käitumisjooned. See aitab pettuste toimepanemist avastada näiteks olukorras, kus mitmed kliendid saavad samal päeval panga nimel petukõnesid, siis on võimalik jagada pettusekatsete mustreid teiste krediidiasutustega ning tuvastada nn saripettuse toimepanemine võimalikult vara ka teistel krediidiasutustel ning seeläbi kahjusid vähendada.
Eeltoodu võib olla tuvastatud manipuleerimise tehnikad või muud pettuslikud võtted. Pettuse toimepanijate nn töövõtted on näiteks krediidiasutuse töötajana esinemise legend, kiire tegutsemise surve kindlate pettuse liikide puhul, pahavara allalaadimise juhendamine jne. Näiteks krediidiasutusele teavitavad mitmed isikud samasuguse sisuga krediidiasutuse töötajana esinenud pettuslikust kõnest.
Uue § 894 lõikega 3 nähakse krediidiasutusele ette õigus avaldada pangasaladust ka RIA-le. Kehtiv KAS § 88 lg 43 annab krediidiasutusele õiguse avaldada pangasaladust RIA-le küberturvalisuse seaduses sätestatud riikliku järelevalve tegemisel.
RIA on Eesti küberturvalisuse keskus, mis tegeleb avaliku sektori ja kriitilise infrastruktuuri küberturvalisusega ning on võrgu- ja infosüsteemide turbe direktiivi (NIS)13 mõistes küberturvalisuse pädev asutus ja kontaktpunkt.
Nagu eespool juba märgitud, siis uue paragrahvi kohaselt RIA-le avaldatatavad andmed ei pruugi kõik kvalifitseeruda pangasaladuseks. Lisaks arvestades RIA ülesannet on temale avaldada lubatud andmete koosseis lõike 3 näol kitsam (kui lõikes 1 PPA puhul), piirdudes üldisemalt andmetega pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta ning maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo tuvastamist võimaldavaid andmeid. RIA-le ei avaldata andmeid ja teavet 1) kliendi tuvastamiseks; 2) makse saaja ja maksekonto kohta ning 3) maksetehingute kohta, sealhulgas muid makseandmeid.
Lõikes 3 nähakse ette, et RIA-le saab andmeid jagada küberturvalisuse seaduse (edaspidi KüTS) § 5 lõige 3 punkt 3 alusel. See punkt sätestab, et RIA täidab EL direktiivi (EL) 2022/2555 artikli 10 lõikes 1 nimetatud küberintsidentide käsitlemise üksuse ülesanded. Eelnimetatud direktiivi artikli lõige 2 viitab ülesannetele, mis on sätestatud direktiivi artikli 11 lõikes 3. Näiteks on artikli 11 lõike 3 kohaselt vastavateks ülesanneteks:
- tagada küberohtude, nõrkuste ja intsidentide kohta varajaste hoiatuste, hoiatuste ja teadete edastamine ning teabe levitamine asjaomastele elutähtsatele ja olulistele üksustele ning pädevatele asutustele ning muudele asjaomastele sidusrühmadele, võimaluse korral reaalajalähedaselt;
- lahendada intsidente ning, kui see on kohaldatav, abistada asjaomaseid elutähtsaid ja olulisi üksusi.
Kuna kehtiv KAS annab võimaluse avaldada pangasaladust üksnes riikliku järelevalve tegemisel, ei ole RIA-l võimalik väljaspool seda sekkuda küberturvalisust ohustavatele olukordadele. Majandus- ja kommunikatsiooniministeeriumi 25. aprilli 2011. aasta määruse nr 28 „Riigi Infosüsteemi Ameti põhimäärus“ § 8 lõike 4 punkti 3 kohaselt täidab küberturvalisuse valdkonnas amet küberturvalisuse seaduse § 5 tähenduses pädeva asutuse, ühtse kontaktpunkti, ulatuslike küberintsidentide ja kriiside ohjamise eest vastutava pädeva asutuse, küberintsidentide käsitlemise üksuse ja turvahaavatavuse koordineeritult avaldamise koordinaatori ülesandeid ning koordineerib küberintsidentide käsitlemist. Sama paragrahvi lõige 4 punkt 4 kohaselt korraldab küberturvalisuse amet küberturvalisust ohustavate riskide seiret, analüüsi ja ohtudest teavitamist. KAS-i lisatav uus paragrahv annab võimaluse avaldada andmeid ja teavet ka olukordades, mis on väljaspool riikliku järelevalve menetlust. See annab võimaluse sekkuda küberintsidentide puhul operatiivselt. Andmete avaldamise korral üksnes järelevalve menetluse raames jõuab teave RIA-le liiga hilja ning see takistab RIA-l sekkuda intsidentidesse reaalajas.
RIA töötleb andmeid avalikes huvides oleva ülesande täitmiseks, milleks on küberintsidentide käsitlemine ja küberturvalisust ohustavate riskide ennetamine. Maksetehingutega seotud pettused on sageli seotud infosüsteemide ründamise, autentimisvahendite kuritarvitamise või muu küberohuga ning võivad kujutada endast osa laiemast või koordineeritud küberintsidendist. Selliste juhtumite puhul ei ole tegemist üksnes isiku varakahjuga, vaid riskiga maksesüsteemide ja infosüsteemide turvalisusele laiemalt. RIA kui küberturvalisuse pädev asutus vajab teavet pettuse olemuse, ründeviiside ja kasutatud tehniliste vahendite kohta, et tuvastada rünnakumustreid, hinnata riske ning vajaduse korral teavitada teisi teenuseosutajaid ja koordineerida reageerimist.
Kokkuvõttes ei avaldata RIA-le andmeid kliendi tuvastamiseks, makse saaja ega maksekonto andmeid ega muid makseandmeid. Avaldada on lubatud üksnes pettuse teel tehtud tehingute või pettusekatsete asjaolusid ning maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo tuvastamist võimaldavaid andmeid. Seega on andmete avaldamine suunatud eeskätt tehnilise ja mustripõhise analüüsi võimaldamisele, mitte üksikisikute tuvastamisele.
Uue § 894 lõike 4 kohaselt on krediidiasutusel õigus avaldada e-identimise ja e-tehingute usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale käesoleva paragrahvi lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja, seadme- ja sessiooniandmed ning kasutaja elektroonilise side võrgu identifikaatori andmed.
Nimetatud andmete avaldamise vajadus seisneb selles, et pettusekahtluse korral ei pruugi krediidiasutusel olla võimalik üksnes enda valduses oleva info põhjal kontrollida, kas e-allkirjastamine või muu usaldusteenuse kasutamine toimus tegelikult selle kasutaja enda poolt või kasutati seda pettuslikult. Usaldusteenuse osutaja on see osapool, kellel on info e-allkirjastamise või muu usaldusteenuse kasutamise tehniliste andmete kohta. Seetõttu võib pettuse avastamiseks või väljaselgitamiseks olla vajalik, et krediidiasutus saaks konkreetse juhtumi puhul avaldada usaldusteenuse osutajale piiratud hulka identifitseerivaid ja tehnilisi andmeid. Andmete avaldamine on ühepoolne ning selle põhjal saab usaldusteenuse osutaja kontrollida, kas tema teenust on konkreetse pettusekahtlusega juhtumi raames kasutatud pettuse teel, ning rakendada vajaduse korral enda pädevuses olevaid kaitsemeetmeid, näiteks teenuse kasutamist ajutiselt piirata.
Ilma kõnealuste andmeteta ei oleks võimalik usaldusteenuse pakkujal kontrollida, kas vaidlusalune allkirjastamistoiming või muu usaldusteenuse kasutamine toimus sama isiku nimel, kelle maksetehingu suhtes tekkis pettusekahtlus. Seadme- ja sessiooniandmed on vajalikud selleks, et võrrelda, kas konkreetne teenuse kasutus langes kokku usaldusteenuse osutaja süsteemides registreeritud tehniliste tunnustega, näiteks kas kasutati sama seadet, sama sessiooni või sarnast tehnilist keskkonda. Kasutaja elektroonilise side võrgu identifikaatori andmed aitavad kontrollida, kas vaidlusalune kasutamine toimus samast võrgukeskkonnast või sama tehnilise lähtepunkti kaudu, mis seostub ka võimaliku pettusliku maksetehinguga. Säte eesmärk on lubada andmete avaldamist üksnes konkreetse pettusekahtlusega juhtumi kontrollimiseks ja ulatuses, mis võimaldab konkreetset juhtumit kontrollida.
Uue § 894 lõikega 5 nähakse ette, et andmete ja teabe avaldamisel ei ole lubatud avaldada eriliiki isikuandmeid. Andmete ja teabe avaldamise eesmärk on maksepettuse avastamine ja väljaselgitamine ning selle eesmärgi saavutamiseks ei ole eriliiki isikuandmete avaldamine üldjuhul vajalik. See suurendaks põhiõiguste riivet ja oleks vastuolus andmete minimaalsuse ning ebaproportsionaalne.
Eelnõu §-ga 3 muudetakse MERAS-t.
Eelnõu §-ga 3 täiendatakse MERAS §-i 63³ lõigetega 2 ja 3. Lõike 2 kohaselt on makseteenuse pakkujatele õigus avaldada andmeid ja teavet teisele makseasutusele ja e-raha asutusele, krediidiasutusele, PPA-le ning RIA-le maksepettuste avastamiseks ja väljaselgitamiseks krediidiasutuste seaduse §-is 894 sätestatud tingimustel. Kuna makseteenuseid osutavad ka makseasutused ja e-raha asutused, antakse ka neile krediidiasutusega samasugune õigus andmeid avaldada. Vastasel juhul jääb osa teenusepakkujaid pettuste ennetustegevusest väljapoole just puuduva info tõttu. Andmete avaldamise eesmärk ja koosseis on sama nagu krediidiasutustel.
Lõike 3 kohaselt on makseteenuse pakkujal on õigus avaldada E-identimise ja e-tehingute usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale krediidiasutuste seaduse § 894 lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja isikukood, seadme- ja sessiooniandmed ning kasutaja elektroonilise side võrgu identifikaatori andmed. Ka siin on andmete avaldamise eesmärk ja koosseis sama nagu krediidiasutustel.
4. Eelnõu vastavus Eesti Vabariigi põhiseadusele
4.1 Andmete avaldamise ja töötlemise vastavus põhiseadusele
Isikute põhiõigus võib piirata ainult kooskõlas põhiseadusega. Isikute põhiõigustesse sekkumine on põhiseaduspärane, kui see on formaalselt ja materiaalselt põhiseadusega kooskõlas. Materiaalne põhiseaduspärasus tähendab, et põhiõiguse riive on kehtestatud (a) legitiimselt ehk põhiseadusega lubatava eesmärgi saavutamiseks ning (b) on selle legitiimse eesmärgi saavutamiseks proportsionaalne. Materiaalset põhiseaduspärasust kontrollitakse järgmise skeemi alusel: esmalt tehakse kindlaks põhiõiguse esemeline ja isikuline kaitseala ning seejärel kirjeldatakse, kuidas õigusakt põhiõigust riivab. Tuleb hinnata, kas riivel on legitiimne eesmärk ning teostada proportsionaalsuse test - kas riive on legitiimse eesmärgi saavutamiseks sobiv, vajalik ja mõõdukas. Andmete kogumine füüsiliste ja juriidiliste kohta riivab eelkõige õigust eraelu puutumatusele (PS § 26) ja õigust informatsioonilisele enesemääramisele (PS § 19). Õigus eraelu puutumatusele PS § 26 kaitseb isiku õigust eraelu puutumatusele ning keelab riigil sellesse sekkuda muul juhul, kui seaduses sätestatud juhtudel ja korras tervise, kõlbluse, avaliku korra või teiste inimeste õiguste ja vabaduste kaitseks, kuriteo tõkestamiseks või kurjategija tabamiseks. Õigus informatsioonilisele enesemääramisele Samuti riivab isikuandmete töötlemine PS §-ist 19 tulenevat isiku informatsioonilist enesemääramist. Informatsiooniline enesemääramine tähendab, et igaühel on õigus ise otsustada, kas ja kui palju tema kohta andmeid kogutakse ja salvestatakse.
Andmete töötlemise eesmärk on maksetehingutega seotud pettuste avastamine ja väljaselgitamine ning kaitsta seeläbi makseteenuse kasutajaid varalise kahju eest. Isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti e kohaselt on isikuandmete töötlemine seaduslik juhul, kui isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Pettused makseteenuste valdkonnas põhjustavad klientidele varalist kahju ning kahjustavad usaldust maksesüsteemi kui terviku vastu. Pettuste ärahoidmine on ka üheks makseteenuste direktiivi eesmärgiks ning artikli 94 lõike 1 kohaselt liikmesriigid lubavad maksesüsteemidel ja makseteenuse pakkujatel töödelda isikuandmeid, kui see on vajalik maksepettuste ärahoidmise, uurimise ja avastamise tagamiseks.
Eelnõu annab makseteenuse pakkujatele õiguse avaldada pettusekahtluse korral piiratud adressaatide ringile andmeid kliendi, makse saaja, maksekonto, maksetehingu, pettuse või muu süüteo tunnustele vastava teo, kasutatud seadme, makseinstrumendi või turvaelementide ning pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta. Kuna riive ei ole kõigi andmekategooriate puhul ühesugune, tuleb põhiseaduspärasust hinnata erinevate andmekategooriate kaupa, mis võimaldab hinnata, kas iga konkreetse andmeliigi avaldamine on eesmärgi saavutamiseks sobiv, vajalik ja mõõdukas.
1. Kliendi kohta käivate andmete avaldamine
Kliendiandmete avaldamine riivab eraelu puutumatust ja informatsioonilist enesemääramist, sest tegemist on isikut tuvastada võimaldava teabega. Kliendiandmete avaldamise legitiimne eesmärk on maksepettuste avastamine ja väljaselgitamine ning seeläbi teiste isikute varaliste õiguste kaitse ja kuritegude tõkestamine. Nende andmete avaldamine on eesmärgi saavutamiseks sobiv, sest ilma kliendi identiteeti siduva teabeta ei ole võimalik kontrollida, kas sama isik on seotud ka teiste võimalike pettuse juhtumitega teiste makseteenuse pakkujate juures või PPA menetlustes. Pettustega seotud teave on praktikas sageli killustunud erinevate krediidiasutuste, teiste makseteenuse pakkujate ja ametite vahel ning kliendi andmete õigeaegne jagamine võimaldab kontrollida, kas ta on seotud teiste samalaadsete juhtumisega. Andmeid avaldatakse määratletud isikute ringile ning konkreetsel eesmärgil.
Meede on ka vajalik, sest vähem riivavam lahendus, näiteks pseudonümiseeritud või anonüümseks muudetud andmed ei võimaldaks konkreetset isikut tuvastada ega seostada erinevates süsteemides ilmnenud pettusekahtlustega. Mõõdukuse seisukohalt kaalub riivega saavutatav hüve võimaliku kahju üles, kui avaldatakse üksnes konkreetse juhtumi lahendamiseks vajalikud kliendiandmed, mitte kogu kliendiprofiil või kliendisuhte ajalugu.
2. Makse saaja ja maksekonto kohta käivate andmete avaldamine
Ka makse saaja ja maksekonto kohta andmete avaldamise legitiimne eesmärk on maksepettuste avastamine ja väljaselgitamine ning seeläbi teiste isikute varaliste õiguste kaitse ja kuritegude tõkestamine. Nende andmete avaldamine on eesmärgi saavutamiseks sobiv, sest pettuse teel saadud rahalised vahendid kantakse konkreetsele makse saajale ja maksekontole ning pettuste avastamiseks ja väljaselgitamiseks on vaja tuvastada, kuhu rahalised vahendid kanti ja samuti kas sama konto või saaja on seotud teiste sarnaste juhtumisega. Meede on vajalik, sest ilma andmeteta makse saaja ja maksekonto kohta ei oleks teistel makseteenuse pakkujatel ega PPA-l võimalik konkreetset maksetehingut kontrollida ega võtta vajaduse korral samme kahju vältimiseks või selle suurenemiseks. Oluline on, et maksekonto väljavõtte avaldamine on keelatud ehk et ei ole võimalik teha selle põhjal järeldusi nt isiku finantssuhete, varalise seisu või üldiselt maksekäitumise kohta. Seetõttu saab meedet pidada mõõdukaks, kuna teavet avaldatakse üksnes konkreetse juhtumi kohta ning ulatuses, mis on vältimatult vajalik pettuse avastamiseks või väljaselgitamiseks. Ainult makseteenuse pakkuja sisemisest kontrollist ei pruugi piisata, kui pettus hõlmab teise makseteenuse pakkujate kontot ning teise makseteenuse pakkuja kaudu tehtud tehinguid, mis ilmnevad alles eri juhtumite omavahelisel võrdlemisel.
3. Maksetehingu kohta käivate andmete avaldamine
Kõnealuste andmete avaldamine on eesmärgi saavutamiseks sobiv, sest pettuse avastamine ei sõltu üksnes osapoolte identifitseerimisest, vaid ka võimaliku pettusliku maksetehingu tunnustest. Nimetatud andmed maksetehingu kohta hõlmavad üksnes konkreetse pettusekahtlusega seotud makse asjaolusid, mis on vajalikud pettuse avastamiseks ja väljaselgitamiseks. Nende andmete all ei peeta silmas kliendi konto väljavõtet ega muud terviklikku ülevaadet kliendi maksekäitumisest, selliste andmete väljastamine ei ole lubatud. Näiteks võib maksetehingu summa, ajastus ning selle unikaalne tunnus maksetehingu üheselt kindlaks teha. Vähem õigusi riivama meetmena näiteks üksnes anonümiseeritud või statistilise info jagamine ei võimaldaks konkreetse pettuskahtluse korral tuvastada asjaosalisi ning siduda konkreetseid tehinguid ja kontosid ega võtta viivitamata tarvitusele abinõusid konkreetse kahju ärahoidmiseks. Samuti ei täidaks eesmärki see, et andmeid võiks edastada alles pärast süüteomenetluse alustamist, sest pettuste puhul on andmete kiirel liikumisel otsene tähtsus kahju tekkimise või selle suurenemise ärahoidmisel. Seetõttu on kavandatud piiratud andmevahetuse õigus eesmärgi saavutamiseks vajalik.
4. Andmed kasutatud seadme, makseinstrumendi või turvaelementide kohta
Meede on eesmärgi saavutamiseks sobiv, sest maksepettused on tihti seotud korduvate tehniliste tunnustega ning sama seade, makseinstrument või autentimisviis võib siduda näiliselt eraldiseisvaid juhtumeid. Kasutatud seadme, makseinstrumendi või turvaelementide kohta käiv teave ei kattu täielikult ei kliendiandmete, makse saaja ja maksekonto andmete ega ka üksnes maksetehingu andmetega. Kliendi või konto tuvastamine ei näita veel, kuidas tehing tehniliselt tehti või milliseid autentimisvahendeid kasutati. Just seadme, makseinstrumendi või turvaelementide kohta käiv info võib osutada, et näiliselt erinevad tehingud on tegelikult omavahel seotud, näiteks kui need on tehtud sama seadme või sama maksevahendi abil. Selline teave võib olla määrava tähtsusega, et eristada kliendi tavapärast maksekäitumist olukorrast, kus maksevahendit või autentimisvahendeid on väärkasutatud.
Andmeteks on näiteks seadme- ja sessiooniandmed ning muud pettuse tuvastamist võimaldavad tehnilised andmed, mille alusel saab tuvastada, kas makse algatamise keskkond on ebatavaline, näiteks seadme-ID, brauser, IP-aadress. See aitab tuvastada, kas erinevate isikute kontodelt algatatakse makseid sama seadmega või samalt IP-aadressilt, kuigi isikud on erinevates piirkondades. Nende andmete jagamine aitab makseteenuse pakkujatel tuvastada pettuse toimepanemist laiemalt erinevate makseteenuse pakkujate üleselt, mida üks neist oma andmete pinnalt ei pruugi tuvastada. Samuti aitab teabe edastamine PPA-le siduda üksikjuhtumeid laiemate petuskeemidega. Seega aitab andmete avaldamise õigus otseselt kaasa eelnõu eesmärgi saavutamisele. Osaliselt on tegemist tehniliste andmetega, mille privaatsusriive on väiksem, kui näiteks maksetehingu kohta avaldatavate andmete puhul, kuid samas võib tekkida oht, et selliste andmete laialdane jagamine koos muu infoga võib võimaldada isiku tegevuse kohta laiemalt teada saada. Seepärast on lubatud on üksnes niisuguste tehniliste tunnuste jagamine, mis on pettusmustri tuvastamiseks vajalikud, mitte kogu tehnilise logi või autentimisajaloo avaldamine.
5. Andmed maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo kohta
Need on nn pettuseindikaatorid, mis kirjeldavad petuskeemi toimimist, nagu näiteks tehingu ajastus ja korduvad summad ning mitme isiku samasugused käitumisjooned. See aitab pettuste toimepanemist avastada näiteks olukorras, kus mitmed kliendid saavad samal päeval panga nimel petukõnesid, siis on võimalik jagada pettusekatsete mustreid teiste krediidiasutustega ning tuvastada nn saripettuse toimepanemine võimalikult vara ka teistel krediidiasutustel ning seeläbi kahjusid vähendada. Sellise teabe avaldamine on eesmärgi saavutamiseks sobiv, sest üksnes kliendi, konto või tehingu tehnilistest andmetest ei pruugi piisata, et tuvastada saripettuse mustrit või erinevate makseteenuse pakkujate juures ilmnenud juhtumite seost. Näiteks olukord, kus mitmed kliendid saavad samal päeval krediidiasutuse nimel petukõnesid, siis on võimalik jagada pettusekatsete mustreid teiste krediidiasutustega ning tuvastada nn saripettuse toimepanemine võimalikult vara ka teistel krediidiasutustel ning seeläbi kahjusid vähendada. Vähem riivavam lahendus oleks näiteks üksnes neutraalse tehnilise info jagamine, kuid see ei oleks eesmärgi saavutamiseks sobiv, sest ei võimaldaks tuvastada konkreetset võimalikku maksetehinguga seotud pettust ning eristada seda lihtsalt maksetehingust, mis on tvapärasega võrreldes ebatavaline. Selliseid andmeid tohib avaldada ainult konkreetse juhtumi puhul ning mitte üldise riskiprofiili loomiseks.
6. Andmed pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta
Kõnealune meede on eesmärgi saavutamiseks sobiv. Pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta käiv teave võimaldab makseteenuse pakkujatel tuvastada korduvaid pettusmustreid, seostada omavahel üksikjuhtumeid ning tuvastada kiiremini olukordi, kus sama skeemi kasutatakse mitme makseteenuse kasutaja või mitme makseteenuse pakkuja suhtes. Need andmed võimaldavad edasi anda pettuste mustrit, ehk selline info aitab ära tunda saripettusi ja katkestada sama skeemi edasise kasutamise. Nimetatud andmete avaldamine aitab kaasa seaduse eesmärgi saavutamisele.
Meede on ka vajalik, sest sama eesmärki ei ole võimalik saavutada üksnes anonümiseeritud või statistilise info edastamisega, sest siis ei oleks võimalik tuvastada, et eri juhtumid kuuluvad tegelikult sama petuskeemi alla. Pettusekatsete ja nende asjaolude kirjeldus võimaldab mõista ja ära tunda, milles sarnasus teiste juhtumitega seisneb. Vähem riivav abinõu oleks näiteks ainult üldiste hoiatusmustrite jagamine ilma konkreetsete juhtumite asjaoludeta, kuid see ei oleks sama tõhus, sest ei võimaldaks konkreetseid juhtumeid omavahel seostada.
Meetme mõõdukuse puhul tuleb kaaluda ühelt poolt riive intensiivsust ja teiselt poolt selle abil saavutatava hüve kaalukust. Selliste andemete avaldamine võib anda infot selle kohta, kas konkreetse isik või konto võib olla seotud pettusega ning seetõttu käsitada neid nn kõrgendatud riskiga. Kui pettusekahtlus hiljem ei kinnitu ei tohi see isikut negatiivselt mõjutada. Sellise info avaldamine võib mõjutada asjaomase isiku või konto käsitamist kõrgendatud riskiga objektina ning seetõttu puudutab see lisaks privaatsusele ka mainehuve. Eriti tundlik on see olukorras, kus pettusekahtlus hiljem ei kinnitu. Seetõttu ei tohi seda andmekategooriat tõlgendada kui alust süü omistamiseks või lõpliku õigusliku hinnangu andmiseks. Avaldama peaks faktilised asjaolud ja mustrid, mis on objektiivselt põhjendatud ning see iseenesest ei tohi olla järelduseks, et tehing on tehtud pettuse teel või isik on seotud pettusega.
Teisalt just pettusekatsete ja pettuse teel tehtud tehingute asjaolude jagamine võimaldab kõige tõhusamalt avastada saripettusi, kaitsta teisi võimalikke kannatanuid, takistada sama skeemi korduvat kasutamist ning piirata tekkiva kahju ulatust. Kui sellist teavet ei saaks jagada, väheneks oluliselt makseteenuse pakkujate ja PPA võimekus avastada saripettusi, mis joonistuvad välja mitmete juhtumite võrdlemisel. See aitab kaitsta isikute vara, maksesüsteemi usaldusväärsust ning aitab pettusi avastada ja välja selgitada. Andmeid tohiks avaldada üksnes siis, kui on objektiivne kahtlus konkreetse tehingu osas, mitte laiemalt üldise riskihinnangu põhjal. Sellise teabe avaldamine iseenesest ei tohi muutuda isiku üldiseks riskiprofiiliks, mis võib mõjutada isikut väljaspool seda konkreetset juhtumit. Arvestades eeltoodut saab pidada nimetatud andmete avaldamist proportsionaalseks ega moonuta põhiõiguste olemust. Andmete avaldamise hüve on kaalukas, sest aitab suures ulatuses avastada erinevaid petuskeeme ja mustreid makseteenuse pakkujate üleselt ning samuti suureneb PPA võimekus pettusi avastada. RIA täidab küberturvalisuse seaduse tähenduses küberintsidentide käsitlemise üksuse ülesandeid ning koordineerib küberintsidentide käsitlemist ning kõnealused andmed aitavad RIA-l tuvastada, ennetada ja ohjata maksepettustega seotud küberintsidente ning pettusmustreid. Need andmed aitavad mõista, milline tehniline või käitumuslik muster viitab pettusele, mis võib osutada laiemale küberohule.
4.2 Maksejuhise kättesaamise edasilükkamise põhiseaduspärasus
Kavandatav VÕS § 7247 annab maksja makseteenuse pakkujale õiguse objektiivselt põhjendatud pettusekahtluse korral maksejuhise kättesaamine ajutiselt edasi lükata, rakendada lisaturvameetmeid ning vajaduse korral keelduda maksejuhise täitmisest. Regulatsioon riivab eeskätt maksja omandipõhiõigust, täpsemalt PS § 32 lõikes 2 tagatud õigust oma vara vabalt kasutada ja käsutada, kuna rahaliste vahendite kasutamist võib ajutiselt edasi lükata.
Meede on eesmärgi saavutamiseks sobiv. Kui makseteenuse pakkujal tekib objektiivselt põhjendatud kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või on autoriseeritud pettuse, andmete väärkasutamise või maksja manipuleerimise teel, võimaldab maksejuhise kättesaamise ajutine edasilükkamine ja täiendavate turvameetmete rakendamine kontrollida, kas maksejuhis vastab maksja tegelikule tahtele.
Meede on vajalik. Vähem koormavad meetmed ei võimaldaks sama tõhusalt saavutada eesmärki tõkestada pettuse teel tehtud maksetehinguid. Kliendi tugev autentimine ei ole kõikide pettuse liikide puhul alati piisav, sest isiku manipuleerimise teel kinnitab ta maksejuhise ise. Uued pettuseliigid põhinevad üha enam maksja manipuleerimisel, mis nõuab lisameetmeid lisaks tavapärasele autentimisele. Petturid kannavad rahalised vahendid kiiresti edasi teistele kontodele ja välisriiki ning raha tagasisaamine on raske kui mitte võimatu. Seetõttu ei ole sama eesmärgi saavutamiseks olemas leebemat meedet, mis võimaldaks enne maksejuhise täitmist tõkestada pettuse toimepanemist.
Meede on ka mõõdukas ehk proportsionaalne kitsamas tähenduses. Maksejuhise kättesaamise edasilükkamine on lubatud juhul, kui on objektiivselt põhjendatud kahtlus, et tegemist võib olla pettusega. Samuti nähakse ette, et makseteenuse pakkuja ei saa tugineda üksnes makse saaja kontrollimise teenusele või pelgalt sellele, et maksejuhis tundub ebatavaline või arusaamatu. Lisaks on maksejuhise kättesaamise edasilükkamine ajutine ning ajaliselt piiratud, see on lubatud üksnes seni kuni täiendav kontroll on lõpetatud ning lähtuma peab eelkõige kehtivast VÕS-i regulatsioonist, et maksja makseteenuse pakkuja peab tagama, et maksesumma laekuks saaja makseteenuse pakkuja kontole hiljemalt maksejuhise kättesaamisele järgneval arvelduspäeval. Meede riivab küll makseteenuse kasutaja õigust oma rahalisi vahendeid kasutada, kuid samas on selle eesmärk kaitsta isiku rahalisi vahendeid.
5. Eelnõu terminoloogia
Eelnõus ei kasutata uusi termineid.
6. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu on vastavus järgmiste Euroopa Liidu õigusaktidega:
• Euroopa Parlamendi ja nõukogu direktiiviga (EL) 2015/2366 makseteenuste kohta siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta (ELT L 337, 23.12.2015, lk 35–127) ning
• Parlamendi ja nõukogu määrusega (EL) 2024/886, millega muudetakse määrusi (EL) nr 260/2012 ja (EL) 2021/1230 ning direktiive 98/26/EÜ ja (EL) 2015/2366 eurodes välkkreeditkorralduste osas (ELT L, 19.3.2024.).
7. Seaduse mõjud
Seaduse rakendamise peamine mõju on seotud finantspettuste ennetamise ja tõkestamisega ning maksete turvalisuse suurendamisega. Muudatused mõjutavad eelkõige majandust, riigiasutuste töökorraldust ja sotsiaalvaldkonda ning puudutavad peamiselt makseteenuse pakkujaid (krediidiasutusi ja makseasutusi ja e-raha asutusi), makseteenuse kasutajaid ning pettuste tõkestamisega tegelevaid riigiasutusi.
Majanduslik mõju avaldub peamiselt krediidiasutustele, kellel tekib selgem õiguslik alus pettusekahtlusega maksete peatamiseks ja pettustega seotud teabe jagamiseks, mis aitab vähendada pettustest tulenevat kahju ja suurendab maksesüsteemi usaldusväärsust. Sotsiaalne mõju seisneb maksete suuremas turvalisuses ja elanike finantsilise turvatunde paranemises. Riigiasutuste (PPA ja RIA) töökorraldust mõjutab eelkõige parem teabevahetus.
Muudatused ei avalda mõju elu- ja looduskeskkonnale, riigi julgeolekule ja välissuhetele ega regionaalarengule. Kokkuvõttes on muudatustega kaasnev mõju valdavalt positiivne ning kaasnev ebasoovitavate mõjude risk on madal.
7.1 Nähakse makseteenuse pakkujatele ette õigus keelduda maksejuhiste täitmisest
Sihtrühm nr 1: mõju makseteenuse pakkujatele
Muudatus avaldab mõju kõikidele Eestis tegutsevatele krediidiasutustele ning makseasutustele ja e-raha asutustele.
Mõju ulatus: Mõju ulatust saab pidada väikeseks, kuna täpsustatakse maksejuhise täitmisest keeldumise alust, kuid see ei muuda makseteenuse pakkujate igapäevast maksete täitmise praktikat. Makseteenuse pakkujad kontrollivad ka praegu, kas makse on autoriseeritud ning korrektselt autenditud. Mõju ulatust on keeruline täpselt hinnata, kuid pigem on see väike, kuna kõnealune õigus puudutab väikest osa kõikidest maksetehingutest, valdav enamus makseid on autoriseeritud ning korrektselt autenditud. Maksejuhise täitmisest keeldumised kõnealusel põhjusel on harvad võrreldes maksetehingute koguarvuga.
Mõju avaldumise sagedus: Mõju avaldamise sagedust on keeruline hinnata, sest ei ole võimalik täpselt välja tuua, et kui palju sellist lisaturvameetmete rakendamise õigust kasutatakse. Võib eeldada, et avaldumise sagedus võrreldes maksete koguarvuga on pigem väike. Lisaturvameetmeid on õigus rakendada ette nähtud kriteeriumite alusel, mitte umbmääraste põhjenduste alusel laiemalt. Ka praegu teostavad makseteenuse pakkujad maksejuhiste puhul turvakontrolle ning tegemist ei ole nn uue režiimi loomisega.
Ebasoovitavate mõjude avaldumise risk: Selline mõjude avaldumise risk on väike. Tegemist on positiivset mõju omava muudatusega, sest makseteenuse pakkujad saavad selge õigusliku aluse rakendada lisaturvameetmeid ning vajadusel maksejuhise täitmisest keeldumiseks, mis aitab pettuste tõkestamise eesmärki saavutada.
Sihtrühm 2. mõju makseteenuse kasutajatele
Muudatus avaldab potentsiaalselt mõju kõikidele makseteenuse kasutajatele, kes igapäevaselt makseid teevad. Ka siinkohal on keeruline hinnata, kui suurele osale makseteenuse kasutajatest see tegelikult mõju avaldab, kuna ei ole üheselt prognoositav, kui palju makseteenuse pakkujad maksete täitmisel sellist õigust kasutavad. Enamus makseid on siiski korrektselt autenditud ning isiku enda pool autoriseeritud.
Mõju ulatus: Mõju ulatust saab pidada pigem väikeseks, kuna isikud puutuvad igapäevaselt sellega kokku harva ja üksikjuhtumitel sest lisaturvakontrolli ei kasutata kõikide maksete puhul. Enamik maksetehinguid täidetakse tavapäraselt ning maksejuhised vastavad üldjuhul makseteenuse lepingus sätestatud tingimustele ning tugev autentimine on tehniliselt nõuetekohane ja maksejuhis on isiku poolt autoriseeritud.
Mõju avaldumise sagedus: Mõju avaldumise sagedus on väike, kuna eelnõu ei näe ette, et kõikide maksete puhul tuleb lisaturvameetmeid rakendada ning maksejuhise kontrolle teostatakse kõikide maksete puhul ka praegu. Lisaturvameetmete rakendamisega puutuvad isikud kokku ebaregulaarselt ja üksikute maksete korral, kui on täidetud selle rakendamise tingimused. Seetõttu võib eeldada, et makseteenuse kasutajad ei puutu pärast muudatust sagedasti kokku lisaturvameetmete rakendamisega ning maksejuhise täitmisest keeldumisega.
Ebasoovitavate mõjude avaldumise risk: Sellise mõju avaldumise risk on madal, tegemist on positiivset mõju omava muudatusega, sest aitab kaasa pettuste tõkestamisele. Muudatus aitab ennetada pettusi ning vähendada isikutele rahalise kahju tekkimise riski. Kuigi üksikjuhtudel võib isiku makse täitmine pettusekahtluse tõttu ajutiselt viibida, on selle eesmärk makseteenuse kasutaja kaitse ning maksete turvalisuse suurendamine.
7.2 Nähakse makseteenuse pakkujatele ette õigus avaldada pettuste avastamise ja väljaselgitamise eesmärgil andmeid ja teavet
Sihtrühm 1. Makseteenuse pakkujad
Muudatus võib mõju avaldada kõikidele Eestis tegutsevatele makseteenuse pakkujatele.
Mõju ulatus: Makseteenuse pakkujate jaoks on muudatuse mõju pigem keskmine, kuna andmete avaldamine on ette nähtud õigusena, mitte kohustusena ning seda võib teha juhul, kui makseteenuse pakkujal on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega. Pettuste avastamine ja väljaselgitamine on makseteenuse pakkujate igapäevane tegevus ning sellel eesmärgil ka juba vajalikke andmeid töödeldakse. Muudatus aitab paremini pettusi avastada ja välja selgitada ning koostöö teiste makseteenuse pakkujatega ning PPA-ga aitab vähendada pettustega tekitatud kahju, mistõttu on tegemist positiivse mõjuga.
Mõju avaldumise sagedus: Mõju avaldumise sagedust on keeruline hinnata, kuid arvestades maksete koguarvuga saab seda pidada pigem väikeseks, sest andmete avaldamine on lubatud ette nähtud tingimustel ning mitte laialdaselt kõikide maksetehingute puhul. Arvestades, et enamus makseid on korrektselt autenditud ja autoriseeritud, on andmete avaldamine pigem erandlik.
Ebasoovitavate mõjude avaldumise risk: Selline risk on madal, tegemist on positiivse muudatusega, mis aitab makseteenuse pakkujatel efektiivsemalt pettusi tõkestada. Arvestades, et andmete avaldamine on lubatud kindlal eesmärgil ning on ette nähtud õigusena, mitte kohustusena, ei ole põhjust eeldada negatiivset mõju makseteenuse pakkujate tavapärasele tegevusele.
Sihtrühm 2. Makseteenuse kasutajad
Muudatus avaldab potentsiaalselt mõju kõikidele makseteenuse kasutajatele, kuid igapäevaselt siiski väikesele osale makseteenuse kasutajatest, sest pettuste osakaal kogu maksetehingute arvust on väike.
Mõju ulatus: Makseteenuse kasutajate jaoks on muudatuse mõju kaudne. Muudatus ei mõjuta makseteenuste kasutamist üldiselt, vaid puudutab üksnes neid olukordi, kus esineb põhjendatud pettuse kahtlus ning makseteenuse pakkuja avaldab pettuse avastamise ja väljaselgitamise eesmärgil isiku andmeid.
Mõju avaldumise sagedus: Mõju avaldumise sagedus on pigem väike, sest muudatus ei mõjuta makseteenuse kasutajat igapäevaselt ning kokkupuude sellega on ebaregulaarne ja harv. Eelnõu näeb andmete avaldamiseks ette kriteeriumid ning makseteenuse pakkujatel ei ole õigust jagada andmeid laiemalt ebamäärastel eesmärkidel. Mõju avaldub üksnes olukordades, kus andemete avaldamine on vajalik pettuse avastamise ja väljaselgitamise eesmärgil.
Ebasoovitavate mõjude avaldumise risk: Selline risk on pigem madal, tegemist on positiivset mõju omava muudatusega. See aitab vähendada rahalise kahju tekkimise riski ning suurendab maksete turvalisust. Andmeid tohib avalda üksnes piiratud ulatuses ja eesmärgil. Samas võib avalduda risk, et andmeid isiku kohta avaldatakse pettusekahtluse korral, kus see kahtlus kinnitust ei leia, ehk et tegemist on valepositiivse kahtlusega. Samas ei ole selliste juhtumite täielik välistamine võimalik ning andmete avaldamise eesmärgiks on isiku kaitsmine pettuse ohvriks langemise eest. Nimetatud juhul ei tohi andmete avaldamine isikule kaasa tuua mingeid negatiivsed tagajärgi. Makseteenuse pakkujad peavad siinkohal rangelt kinni pidama andmete minimaalsuse ja eesmärgipärase töötlemise põhimõtetest. Andmete avaldamine peab olema logitud ning tagantjärele kontrollitav. Isikul peab olema õigus teada saada, milliseid tema andmeid ja kellele edastati. Seda ulatuses, millises on makseteenuse pakkujal seaduse järgi õigus avaldada, arvestades muuhulgas näiteks rahapesu ja terrorismi rahastamise tõkestamise seadusest tulenevaid piiranguid.
Sihtrühm 3. Politsei- ja Piirivalveamet
Muudatus avaldab mõju PPA-le.
Mõju ulatus: PPA-le tähendab muudatus laiemat ligipääsu pettustega seotud andmetele, mis parandab oluliselt petuskeemide tuvastamist ning seostamist ja parandab selles osas PPA võimekust. Seeläbi paraneb PPA ennetav töö. Muudatus ei too kaasa PPA-le täiesti uue ülesande tekkimist ega muudatusi töökorralduses.
Mõju avaldumise sagedus: PPA jaoks ei saa pidada mõju avaldumise sagedust suureks. PPA tegeleb ka praegu igapäevaselt pettuste tõkestamisega ning andmete edastamine parandab sellist võimekust. Mõju sagedus on üksikjuhtumi põhine, kui makseteenuse pakkuja avaldab pangasaladust konkreetse pettuse kahtluse korral.
Ebasoovitavate mõjude avaldumise risk: Selline risk on väike, tegemist on positiivset mõju omava muudatustega, mis aitab parandada pettuste tõkestamise võimekust.
Sihtrühm 4. Riigi Infosüsteemi Amet
Mõju ulatus: Muudatus annab RIA-le võimaluse saada makseteenuse pakkujalt piiratud ulatuses teavet maksetehingutega seotud pettuste ja pettusekatsete asjaolude ning kasutatud tehniliste vahendite kohta.
Mõju RIA tegevusele seisneb selles, et täieneb sisend küberintsidentide analüüsiks ja riskihindamiseks ning seeläbi suureneb võimekus info töötlemiseks ja seostamiseks olemasoleva küberohuteabega. RIA pädevus ei muutu – amet täidab ka kehtiva õiguse alusel küberintsidentide käsitlemise, riskide seire ja ohtudest teavitamise ülesandeid.
Mõju avaldumise sagedus: Mõju avaldub juhtumipõhiselt, sõltuvalt maksetehingutega seotud pettuste ja pettusekatsete arvust ning makseteenuse pakkuja hinnangust objektiivselt põhjendatud kahtluse olemasolule. Arvestades, et maksepettused on sagedased ning sageli seotud infosüsteemide ründamise või autentimisvahendite kuritarvitamisega, võib RIA-le edastatava info hulk olla regulaarne, kuid tegemist ei ole automaatse ega pideva andmevooga.
Ebasoovitavate mõjude avaldumise risk: Sellist riski saab hinnata väikeseks - RIA-le avaldatav andmekoosseis on kitsalt piiritletud ega hõlma otseseid kliendi tuvastus- ega kontoteavet. Krediidiasutused edastavad andmeid juhtumipõhiselt ning selliste andmete töötlemine eeldatavalt RIA töökoormust ei suurenda.
8. Seaduse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad kulud ja tulud
Seaduse rakendamisega ei kaasne tulusid ega kulusid riigieelarvele ning eelnõu ei ole seotud kohalike omavalitsuste tegevusega.
PPA-l ja RIA-l on vaja teha tehnilisi ja korralduslikke ettevalmistusi turvaliseks ja sihipäraseks andmevahetuseks krediidiasutustega. Tegemist on nende asutusete jaoks olemasolevate tööprotsesside täpsustamisega ning see ei eelda täiendavaid kulusid.
9. Rakendusaktid
Käesoleva seadusega ei kehtestata uusi rakendusakte ega muudeta olemasolevaid. Samuti ei kaasne seadusega rakendusaktide kehtetuks muutumist.
10. Seaduse jõustumine
Seadus jõustub üldises korras.
11. Eelnõu kooskõlastamine ja huvirühmade kaasamine
Eelnõu esitati kooskõlastamiseks ja arvamuse avaldamiseks Justiits- ja Digiministeeriumile, Siseministeeriumile, Politsei- ja Piirivalveametile, Eesti Pangale, Eesti Pangaliidule, Riigi Infosüsteemi Ametile, Finantsinspektsioonile, Eesti Infotehnoloogia ja Telekommunikatsiooni Liidule.
Eelnõule esitasid arvamuse Justiits- ja Digiministeerium, Siseministeerium, Eesti Pank, Eesti Pangaliit, Riigi Infosüsteemi Amet ning Finantsinspektsioon. Esimese kooskõlastusringil esitatud märkused ning Rahandusministeeriumi selgitused on leitavad seletuskirjale lisatud kooskõlastustabelist.
Lähtuvalt esitatud märkustest on eelnõu muudetud ning arvestades esitatut on eelnõu paragrahvide sõnastus ning eelnõu struktuur oluliselt muutunud. Muudatused on tehtud eelkõige eelnõu paragrahvis 1. Vaatamata paragrahvide sõnastuste muutmisest ning uutest lisatud lõigetest ei ole eelnõu sisu muutunud.
Algatab Vabariigi Valitsus ….. 2026. a
Vabariigi Valitsuse nimel
(allkirjastatud digitaalselt)
Heili Tõnisson
Valitsuse nõunik
15.04.2026
Võlaõigusseaduse ja sellega seonduvalt teiste seaduste muutmise seadus
(finantspettuste ennetamine ja tõkestamine)
§ 1. Võlaõigusseaduse muutmine
Võlaõigusseaduses tehakse järgmised muudatused:
1) paragrahvi 711 lõiget 1 täiendatakse punktiga 151 järgmises sõnastuses:
„151) maksejuhise täitmise edasilükkamise tingimused tulenevalt käesoleva seaduse §‑st 7247;“;
2) seadust täiendatakse §-ga 7247 järgmises sõnastuses:
㤠7247. Lisaturvameetmete rakendamine pettusekahtluse korral
(1) Maksja makseteenuse pakkujal on õigus maksejuhise kättesaamine ajutiselt edasi lükata ja rakendada lisaturvameetmeid, kui tal on objektiivselt põhjendatud kahtlus, et:
1) maksejuhist ei ole autoriseerinud maksja või
2) maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel.
(2) Käesoleva paragrahvi lõikes 1 nimetatud objektiivselt põhjendatud kahtlus peab põhinema makseteenuse pakkuja riskide hindamisel, sealhulgas komisjoni rakendusmääruses (EL) 2018/389 sätestatud riskipõhisel lähenemisel ning muudel objektiivsetel asjaoludel. Maksja makseteenuse pakkuja ei või maksejuhise kättesaamise edasilükkamisel tugineda üksnes Euroopa Parlamendi ja nõukogu määruses (EL) nr 260/2012 nimetatud makse saaja kontrollimise teenusele või asjaolule, et maksejuhis on makseteenuse pakkujale ebatavaline või arusaamatu.
(3) Käesoleva paragrahvi lõikes 1 sätestatud juhul peab makseteenuse leping sisaldama muu hulgas tingimusi maksja teavitamiseks lisaturvameetmete rakendamisest ja nende rakendamise põhjustest enne rakendamist või viivitamata pärast seda. Makseteenuse pakkuja ei pea maksjale lisaturvameetmete rakendamise põhjusi teatama, kui teabe edastamine on vastuolus objektiivselt põhjendatud turvakaalutlusega või ei ole muul seaduses sätestatud põhjusel lubatud.
(4) Kui maksja makseteenuse pakkuja lükkab maksejuhise kättesaamise lisaturvameetmete rakendamiseks edasi, loetakse maksejuhis makseteenuse pakkuja poolt kättesaaduks käesoleva seaduse § 724² tähenduses hetkest, kui makseteenuse pakkuja on lõpetanud nende turvameetmete rakendamise ja on veendunud, et maksejuhis ei ole autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Nimetatud tingimuste täitmise korral on maksja makseteenuse pakkujal kohustus saata maksetehing viivitamata makse saaja makseteenuse pakkujale.
(5) Maksja makseteenuse pakkuja ei või maksejuhist lisaturvameetmete rakendamiseks edasi lükata kauemaks, kui käesoleva paragrahvi lõikes 4 nimetatud asjaolu väljaselgitamiseks on mõistlikult vajalik. Võimaluse korral peab maksja makseteenuse pakkuja lähtuma eelkõige käesoleva seaduse §-s 728 sätestatud tähtaegadest.
(6) Maksja makseteenuse pakkujal on õigus keelduda maksejuhise täitmisest, kui pärast käesoleva paragrahvi lõikes 1 nimetatud lisaturvameetmete rakendamist ei ole olnud objektiivselt võimalik kõrvaldada kahtlust, et maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel.
(7) Kui maksejuhise täitmine viibib käesoleva paragrahvi lõikes 1 sätestatud lisaturvameetmete rakendamise tõttu, hakkab käesoleva seaduse §-s 728 sätestatud maksejuhise täitmise tähtaeg kulgema arvates maksejuhise kättesaamisest käesoleva paragrahvi lõike 4 tähenduses.
(8) Kui käesoleva paragrahvi lõikes 1 nimetatud lisaturvameetmete rakendamise tulemusel täidetakse makse hilinemisega, kohaldatakse makse täitmisele käesoleva seaduse § 7333 lõigetes 41 ja 42 sätestatut.
(9) Makseteenuse leping võib sisaldada tingimust, mille kohaselt selleks, et rakendada lisaturvameetmeid ja lükata edasi maksejuhise kättesaamist, ei või maksja nõuda maksja makseteenuse pakkujalt kahju hüvitamist. Hüvitist ei või nõuda tingimusel, et nimetatud turvameetmeid on rakendatud ebamõistliku viivituseta ning nende rakendamine põhineb objektiivselt põhjendatud kahtlusel, et maksejuhise autoriseerimiseks antud nõusolek ei ole saadud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. See lepingutingimus ei välista ega piira maksja õigust esitada muu nõue muul alusel.“.
§ 2. Krediidiasutuste seaduse muutmine
Krediidiasutuste seaduses tehakse järgmised muudatused:
1) paragrahvi 88 lõike 3 punkti 1 täiendatakse pärast tekstiosa „käesolevas paragrahvis“ tekstiosaga „või käesoleva seaduse §-s § 894“;
2) seaduse 7. peatüki 3. jagu täiendatakse §-ga 894 järgmises sõnastuses:
„§ 894. Andmete avaldamine pettuste tõkestamise eesmärgil
(1) Krediidiasutusel on õigus avaldada andmeid ja teavet teisele krediidiasutusele, makseasutusele ja e-raha asutusele makseasutuste ja e-raha asutuste seaduse tähenduses ning Politsei- ja Piirivalveametile maksetehingutega seotud pettuste avastamiseks ja väljaselgitamiseks, kui krediidiasutusel on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega.
(2) Käesoleva paragrahvi lõikes 1 nimetatud andmed ja teave sisaldavad omakorda andmeid ja teavet:
1) kliendi kohta;
2) makse saaja ja maksekonto kohta;
3) maksetehingu kohta;
4) kasutatud seadme, makseinstrumendi või turvaelementide kohta;
5) maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo kohta;
6) pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta.
(3) Krediidiasutusel on õigus Riigi Infosüsteemi Ametile avaldada küberturvalisuse seaduse § 5 lõike 3 punktis 3 nimetatud ülesannete täitmise eesmärgil käesoleva paragrahvi lõike 2 punktides 5 ja 6 sätestatud andmeid ja teavet.
(4) Krediidiasutusel on õigus avaldada e-identimise ja e-tehingute usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale käesoleva paragrahvi lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja isikukood, seadme- ja sessiooniandmed ning kasutaja elektroonilise side võrgu identifikaatori andmed.
(5) Käesolevas paragrahvis sätestatud juhtudel ei ole lubatud avaldada eriliiki isikuandmeid.“.
§ 3. Makseasutuste ja e-raha asutuste seaduse muutmine
Makseasutuste ja e-raha asutuste seaduse § 633 senine tekst loetakse lõikeks 1 ja paragrahvi täiendatakse lõigetega 2 ja 3 järgmises sõnastuses:
„(2) Makseasutusel ja e-raha asutusel on õigus avaldada andmeid ja teavet teisele makseasutusele ja e-raha asutusele, krediidiasutusele, Politsei- ja Piirivalveametile ning Riigi Infosüsteemi Ametile maksepettuste avastamiseks ja väljaselgitamiseks krediidiasutuste seaduse §-s 894 sätestatud tingimustel.
(3) Makseasutusel ja e-raha asutusel on õigus avaldada e-identimise ja e-tehingute usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale krediidiasutuste seaduse § 894 lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja isikukood, seadme- ja sessiooniandmed, samuti kasutaja elektroonilise side võrgu identifikaatori andmed.“.
Lauri Hussar
Riigikogu esimees
Tallinn, „….“ ……………… 2026
Algatab Vabariigi Valitsus……………. 2026
(allkirjastatud digitaalselt)
