Võlaõigusseaduse, krediidiasutuste seaduse ning makseasutuste ja e-raha asutuste seaduse muutmise seadus (finantspettuste ennetamine ja tõkestamine)

1

Võlaõigusseaduse, krediidiasutuste seaduse ning makseasutuste ja

e-raha asutuste seaduse muutmise seaduse (finantspettuste

ennetamine ja tõkestamine) eelnõu seletuskiri

1. Sissejuhatus

1.1. Sisukokkuvõte

Eelnõu eesmärk on tõhustada finantspettuste ennetamise ja tõkestamise meetmeid. Viimastel

aastatel on finantspettuste arv ja keerukus märkimisväärselt kasvanud1. Pettuste

toimepanemiseks kasutatakse näiteks erinevaid digitaalseid kanaleid ja tehnilisi vahendeid ning

identiteedivargust ja sotsiaalset manipuleerimist, mille abil petetakse isikutelt raha välja.

Finantspettused on kiiresti kasvav probleem – 2025. aastal kaotasid Eesti inimesed petturitele

ligi 29 miljonit eurot, peaaegu kaks korda rohkem kui aasta varem. Enamik pettusi algab

telekommunikatsioonikanalite kaudu ja lõpeb pangamaksega, mistõttu on tõhus ennetus

võimalik vaid riigi ja erasektori tihedas koostöös.

Eelnõu tugevdab makseteenuse kasutajate ehk lihtsustatult pangaklientide kaitset olukorras, kus

makse tegemisel esineb pettusekahtlus. Samuti parandab eelnõu makseteenuse pakkujate

võimalusi finantspettusi ennetada ja tõkestada. Praeguses praktikas on olukordi, kus makse on

küll tehniliselt kinnitatud, kuid hiljem ilmneb, et maksja ei ole teinud makset oma tegeliku ja

vaba tahte alusel, vaid teda on selleks eksitatud ehk tegemist on olnud pettusega. Kehtiv õigus

ei anna selliste olukordade lahendamiseks pankadele piisavaid võimalusi.

Eelnõu loob esiteks selgema õigusraamistiku ja tugevdab makseteenuse pakkujate,

eelkõige krediidiasutuste (pankade) õigust põhjendatud pettuse kahtluse korral makseid

ajutiselt peatada või makse täitmisest keelduda. Selleks muudetakse eelnõuga

võlaõigusseadust (edaspidi VÕS), mis puudutab maksejuhise täitmisest keeldumist ehk

olukorda, kus isik soovib teha maksetehingut, kuid makseteenuse pakkuja (pank või

makseasutus/e-raha astus) saab keelduda maksetehingu täitmisest. Kehtivas õiguses puudub

makseteenuse pakkujal selge õiguslik alus keelduda maksejuhise täitmisest juhul, kui on

põhjendatud kahtlus, et maksetehingu täitmiseks antud nõusolek on saadud andmete

väärkasutamise, maksja manipuleerimise või muul pettuslikul teel. Praktikas võib see

tähendada olukorda, kus makseteenuse pakkujanäeb, et makse on küll kinnitatud nõutud

autentimisvahenditega, kuid esineb põhjendatud kahtlus, et need vahendid on saadud või on

neid kasutatud pettuse teel. Näiteks võib isik olla petuskeemi käigus eksitatud kinnitama

makset, uskudes, et ta suhtleb pangaga, kuigi tegelikult suunab teda makset tegema pettur.

Kuigi makse on tehniliselt kinnitatud kliendi autentimisvahendiga, on nõusolek sellisel juhul

antud pettuse teel isiku eksitusse viimisega.

Teiseks, eelnõu annab pankadele ning makseasutustele ja e-raha asutustele (edaspidi koos

makseteenuse pakkujad) selge õigusliku aluse pettusekahtlusega seotud info vahetamiseks

teiste krediidiasutuste, makseasutuste ja e-raha asutuste, Politsei- ja Piirivalveameti

(edaspidi PPA) ning Riigi Infosüsteemi Ameti (edaspidi RIA) küberintsidentide

käsitlemise osakonna CERT-EE-ga (edaspidi CERT). Sellest tulenevalt muudetakse

eelnõuga krediidiasutuste seadust (edaspidi KAS) ning makseasutuste ja e-raha asutuste seadust

(edaspidi MERAS).

1 Vt Eesti Panga koostatud ülevaadet: https://haldus.eestipank.ee/sites/default/files/2025-12/ep_maksepettuste-

ulevaade-2025_0.pdf

2

Pank võib edastada vastavat infot juhul kui tal on objektiivselt põhjendatud kahtlus, et klient

või maksetehing võib olla seotud pettusega. Eelnimetatud teave võib mh kvalifitseeruda ka

pangasaladuseks. Kehtivas õiguses selline õigus puudub ning see on osutunud probleemiks

pettuste avastamisel ja väljaselgitamisel. Praktikas tähendab see seda, et näiteks olukordades,

kus pangal on kahtlus, et konkreetne maksekonto (lihtsustatult arvelduskonto) on seotud

pettuste toimepanemisega, ei tohi seda teadmist teiste krediidiasutustega jagada. Sellise õiguse

puudumine on takistuseks tõhusamalt ennetada pettuste toimepanemist. Samuti antakse

krediidiasutusele õigus avaldada andmeid e-identimise ja e-tehingute usaldusteenuste seaduse

tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale. Krediidiasutus ise ei halda

usaldusteenuse osutaja allkirjastamiskeskkonda ega selle tehnilisi logisid. Andmete avaldamise

eesmärk on võimaldada usaldusteenuse osutajal kontrollida, kas pettuslik tehing seostub näiteks

sama kasutaja või sama seadmega.

Samadel alustel nagu KASi puhul, muudetakse eelnõuga ka MERAS-st.Sellega antakse

samamoodi makseasutustele ja e-raha asutustele (kes osutavad samuti makseteenuseid) õigus

avaldada andmeid ja teavet teisele makseasutusele ja e-raha asutusele, krediidiasutusele, PPA-

le ning RIA-le maksepettuste avastamiseks ja väljaselgitamiseks KAS §-is 894 sätestatud

tingimustel. Vastasel juhul jääks osa teenusepakkujaid pettuste ennetustegevusest väljapoole

puuduva info tõttu. Ehk andmete avaldamise eesmärk ja koosseis on sama nagu

krediidiasutustel.

Kavandatavad muudatused võimaldavad makseteenuse pakkujatel pettusekahtluse korral

kiiremini sekkuda ning teha omavahel, samuti PPA ja RIA-ga, koostööd, aidates seeläbi

vähendada pettustega tekitatud kahju ja suurendada finantssüsteemi turvalisust. Muudatused ei

too kaasa täiendavat halduskoormust makseteenuse pakkujatele ega avaliku sektori asutustele,

vaid aitavad pettuste ennetamist ja tõkestamist paremini korraldada.

Kuigi eelnõu võib makseteenuse pakkujatele õiguse kasutamisel kaasa tuua mõningaid

töökorralduslikke muudatusi, on selle peamine eesmärk anda neile uus õiguslik võimalus

tegutsemiseks, mitte kehtestada üldist uut kohustust. Eelnõu ei suurenda inimeste, ettevõtjate

ega vabaühenduste halduskoormust, kuna see ei too neile kaasa uusi kohustusi ega täiendavaid

toiminguid.

1.2 Eelnõu ettevalmistaja

Eelnõu ja seletuskirja on koostanud Rahandusministeeriumi finantsteenuste poliitika osakonna

nõunik Jarmo Lilium (e-post: [email protected]). Eelnõu juriidilist kvaliteeti kontrollis

õigusosakonna nõunik Marge Kaskpeit (e-post: [email protected]). Eelnõu on keeleliselt

toimetanud Rahandusministeeriumi personali- ja õigusosakonna keeletoimetaja Heleri Piip (e-

post: [email protected]).

1.3 Märkused

Eelnõuga muudetakse:

 Krediidiasutuste seadust redaktsioonis RT I, 13.02.2026, 7;

 Võlaõigusseadust redaktsioonis RT I, 11.11.2025, 16;

 Makseasutuste ja e-raha asutuste seadust redaktsioonis RT I, 13.02.2026, 9.

Eelnõu on seotud järgmiste Euroopa Liidu õigusaktiga:

 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2015/2366 makseteenuste kohta

siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr

3

1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta (ELT L

337, 23.12.2015, lk 35–127)2 (edaspidi makseteenuste direktiiv);

 Euroopa Parlamendi ja nõukogu määrus (EL) 2024/886, millega muudetakse määrusi

(EL) nr 260/2012 ja (EL) 2021/1230 ning direktiive 98/26/EÜ ja (EL) 2015/2366

eurodes välkkreeditkorralduste osas (ELT L, 19.3.2024.)3 (edaspidi välkmaksete

määrus).

Eelnõu ei ole seotud muu menetluses oleva eelnõuga, kuid on seotud Vabariigi Valitsuse 2025–

2027 tegevusprogrammiga. Koalitsioonileppe punkti 308 kohaselt on ette nähtud, et koostöös

Eesti Panga, erasektori ja teiste asutustega töötakse välja finantspettuste tõkestamise

tegevuskava ja tehakse selle põhjal vajalikud muudatused seadusandluses.4

Vastavalt Eesti Vabariigi põhiseaduse (edaspidi PS) §-le 73 võetakse eelnõu seadusena vastu

Riigikogu poolthäälte enamusega, kui PS ei näe ette teisiti. Eelnõus ei ole sätteid, mis

puudutaksid PS §-s 104 toodud Riigikogu koosseisu häälteenamuse nõuet.

2. Seaduse eesmärk

Eelnõu eesmärk on tõhustada finantspettuste avastamist, väljaselgitamist ja tõkestamist, andes

makseteenuse pakkujatele selge õigusliku aluse maksejuhise täitmisest keeldumiseks ning

krediidiasutustele õiguse jagada pettuse kahtluse korral vajalikku teavet teiste krediidiasutuste,

PPA ning RIA-ga.

Kehtiv õigus ei võimalda finantspettuste kahtluse korral piisavalt kiiresti ja tõhusalt sekkuda,

kuna maksejuhise täitmisest keeldumise õigus on kitsalt piiritletud. Samuti ei sisalda kehtiv

õigus selgeid aluseid vajaliku ja õigeaegse info jagamiseks ning seeläbi ei toimi tõhusalt ka

erinevate osapoolte omavaheline koostöö.

Üldjuhul töödeldakse makseid reaalajas, mis tähendab, et makse saaja kontole jõuavad need

sekunditega. Eestis oli välkmaksete osakaal 2025. aasta juuli seisuga 87%5. Pettuse toimepanija

jaoks tähendab see seda, et juhul kui saadakse isik pettuse teel makset tegema, laekub raha kohe

petturi kontrolli all olevale maksekontole, tihtipeale nn rahamuula maksekontole, kust see

järgmisesse riiki kantakse. Seetõttu on oluline, et makseteenuse pakkujatel oleks selge õiguslik

alus maksejuhise täitmisest keeldumiseks ning väga oluline on andmete vahetamine erinevate

osapoolte vahel.

Finantspettustega võitlemine on kesksel kohal ka Euroopa Liidu õigusloomes. Nimelt on

Euroopa Liidu tasemel sisuliselt kokku lepitud uus makseteenuse määrus6, mis hakkab

asendama praegu kehtivat makseteenuste direktiivi 2015/23667. Määrusega tugevdatakse

muuhulgas makseteenuste turvalisust ning nähakse ette ulatuslikumad pettusevastased

meetmed, mis aitavad makseteenuse pakkujatel kui ka vastavatel ametiasutustel tõhusamalt

sekkuda pettuste avastamisse, väljaselgitamisse ja tõkestamisse. Määrus paneb muuhulgas

makseteenuse pakkujatele kohustuse autoriseeritud maksete täitmisest keelduda juhul, kui on

alus kahtlustada pettust. Samuti näeb määrus ette andmete vahetamise makseteenuse pakkujate

2 Directive - 2015/2366 - EN - Payment Services Directive - EUR-Lex 3 https://eur-lex.europa.eu/eli/reg/2024/886/oj 4 https://valitsus.ee/valitsuse-eesmargid-ja-tegevused/valitsemise-alused/koalitsioonilepe-2025-

2027/riigirahandus 5 maksete-ulevaade-2025_2-avalik.xlsx 6 EUR-Lex - 52023PC0367 - ET - EUR-Lex 7 https://eur-lex.europa.eu/eli/dir/2015/2366/oj/eng

4

vahel ning samuti muude asutustega. Makseteenuste määruse osas jõuti poliitilise kokkuleppeni

2025. aasta novembris8. Määrust hakatakse eeldatavalt kohaldama 2028. aasta lõpus.

Euroopa Liidu Nõukogu töögruppides oli üheks keskseks teemaks pettuste vastased meetmed

uues makseteenuste määruses, sealhulgas ka pettuslike maksete blokeerimine ja andmete

vahetamine makseteenuse pakkujate ning teiste asutuste vahel. Komisjoni esialgne ettepanek

neid meetmeid ei sisaldanud, kuid arutelude käigus tõusetusid need kui väga olulised ja

vajalikud meetmed pettustega võitlemisel. Erinevalt käesolevast eelnõust on uues

makseteenuste määruses andmete vahetamine ja tehingute blokeerimine makseteenuse

pakkujale kohustuslik.

Käesolev eelnõu lähtub samast eesmärgist ning loob riigisiseses õiguses vajalikud õiguslikud

alused, mis aitavad pettusi tõhusamalt avastada, välja selgitada ja tõkestada. Eesmärk on

võimaldada selliste meetmete rakendamist teatud ulatuses juba enne, kui hakkab kehtima uus

makseteenuste määrus. Arvestades pettuste jätkuvat kasvu ning nende tekitatud suurt kahju nii

isikutele kui ettevõtjatele, on põhjendatud rakendada sarnase sisuga meetmeid võimalikult

varakult. Kui uus makseteenuse määrus hakkab kehtima, tuleb lähtuvalt sellest analüüsida ja

tõenäoliselt kehtetuks tunnistada need siseriiklikud sätted, mis tulenevad otse eelnimetatud EL

määrusest.

Seaduseelnõule ei ole koostatud väljatöötamiskavatsust ega ka õiguslikke valikuid kajastavat

kontseptsiooni, kuna eelnõu käsitleb EL õiguse rakendamist ning EL õigusakti eelnõu

menetlemisel on sisuliselt lähtutud HÕNTE § 1 lg 1 nõuetest. („Hea õigusloome ja

normitehnika eeskirja“ § 1 lõike 2 punkt 2).

3. Eelnõu sisu ja võrdlev analüüs

Eelnõu koosneb kolmest paragrahvist.

Eelnõu §-ga 1 muudetakse VÕS-i.

Eelnõu § 1 punktiga 1 täiendatakse VÕS § 711 lõiget 1 punktiga 71, mille kohaselt tuleb

makseteenuse pakkujal esitada makseteenuse lepingu tingimustes igale kliendile maksejuhise

täitmise edasilükkamise ja lisaturvameetmete rakendamise tingimused tulenevalt käesoleva

seaduse §-st 7247. VÕS § 711 näeb ette teabe, mille peab makseteenuse pakkuja kliendile

esitama makseteenuse lepingu tingimuste kohta. Kuivõrd makseteenuse pakkujal on õigus

maksejuhise kättesaamist edasi lükata, siis sätestatakse seaduses, et sellest tuleb klienti

teavitada. Seeläbi saab klient teada, et maksejuhise kättesaamise edasilükkamine ei ole

makseteenuse pakkuja suvaotsus, vaid selline õigus tuleneb seadusest ning selle eesmärk on

kaitsta klientide vara finantspettuste eest.

Eelnõu § 1 punktiga 2 täiendatakse VÕS-i uue §-ga 7247, mis näeb ette lisaturvameetmete

rakendamine pettusekahtluse korral.

Eelnõu § 1 punktiga 2 VÕS-i lisatav § 7247 lõige 1 näeb ette, millisel juhul on makseteenuse

pakkujal õigus maksejuhise kättesaamine edasi lükata ja rakendada lisaturvameetmeid. Selline

õigus on juhul, kui maksja makseteenuse pakkujal on objektiivselt põhjendatud kahtlus, et:

1) maksejuhist ei ole autoriseerinud maksja või

2) maksejuhise autoriseerimine on toimunud andmete väärkasutamise, maksjaga

8 https://www.europarl.europa.eu/news/en/press-room/20251121IPR31540/payment-services-deal-more-

protection-from-online-fraud-and-hidden-fees

5

manipuleerimise või muul pettuslikul teel.

Järgnevalt on maksejuhise autoriseerimise ning maksejuhise kättesaaduks lugemise paremaks

mõistmiseks välja toodud makseprotsessis autoriseerimise ja selle käigus toimuva pettuslike

maksete tõkestamise tehnilisem kirjeldus.

Tegevused saab jagada kaheks – need, mis toimuvad enne PIN 2 sisestamist ning need mis

pärast seda.

Esiteks on tegevused, mis toimuvad enne PIN 2 sisestamist. Esmalt isik kinnitab oma

tavapäraste autentimisvahenditega logimise internetipanka (nt PIN 1, biomeetria). Juba

internetipanka sisse logimisel on makseteenuse pakkuja kohustatud tegema tavapärast kontrolli

ja riskihindamist. Kui isik soovib teha makset, on tinglikult võimalikud kolm erinevat

lõpptulemust. Esiteks, makseteenuse pakkuja tuvastab juba internetipanka sisselogimise

andmete põhjal pettuse kahtluse ning siis on võimalus kasutajatunnus või konto blokeerida.

Teiseks, pettuse kahtlus tuvastatakse siis, kui isik täidab maksevormi. Sellisel juhul on võimalus

keelduda makset kinnitamast juba enne PIN 2 sisestamist ning sellest teavitatakse klienti.

Kolmandaks, pettusekahtlust ei ole ning isik kinnitab makse tavapäraselt PIN 2-ga. Eeltoodust

tulenevalt asub sellisel juhul kontrolli kese monitooringus, mis tehakse enne PIN 2-ga

maksejuhise kinnitamist ehk et tehingu autoriseerimine ei ole tehniliselt veel lõppenud.

Teiseks on tegevused, mis toimuvad pärast PIN 2 sisestamist. Sellisel juhul on maksejuhise

autoriseerimine tehniliselt lõpuni viidud, kuid sellest hoolimata võib ka siis tekkida või

kinnitust leida objektiivselt põhjendatud pettusekahtlus ning peab olema võimalus sellise

maksejuhise täitmisest keelduda. Pärast PIN 2 sisestamist on makseteenuse pakkujal võimalus

rakendada mitmeastmelist kontrolli. Kui tekib pettusekahtlus edastatakse näiteks isikule

teavitus, et makse suunatakse täiendavasse tehnilisse kontrolli, nt biomeetria kontroll või mõni

muu lisaverifitseerimise meetod. Pärast täiendavat maksejuhise kontrolli on võimalik kaks

olukorda. Esiteks, kui pettusekahtlus saab maandatud ning autoriseerimine loetakse lõppenuks,

ja asutakse maksejuhist täitma. Teiseks, kui pettusekahtlust ei ole olnud võimalik kõrvaldada ja

keeldutakse maksejuhise täitmisest.

Kehtiv õigusraamistik võimaldab makseteenuse pakkujatel pettuste tõkestamisse maksejuhise

täitmisel kõige tõhusamalt sekkuda enne PIN 2 sisestamist, ehk et tehniliselt enne

autoriseerimise lõppemist. Makseteenuse pakkujate kohustus avastada autoriseerimata või

pettuse teel tehtud maksetehinguid ei lõpe aga ühes PIN 2 sisestamisega, vaid ka pärast seda.

Eelnõu annab siinkohal makseteenuse pakkujatele selge õigusliku aluse ja kriteeriumid, et

sekkuda pettuse kahtluse puhul maksetehingu täitmisesse pärast PIN 2 sisestamist.

VÕS-i lisatava § 7247 lõike 1 kohaselt tekib makseteenuse pakkujal õigus maksejuhise

kättesaamine edasi lükata ja lisaturvameetmeid rakendada juhul, kui tal esineb objektiivselt

põhjendatud kahtlus, et maksejuhist ei ole autoriseerinud maksja või maksejuhis on

autoriseeritud andmete väärkasutamise, maksjaga manipuleerimise või muul pettuslikul teel,

mis tähendab, et kahtlus peab tuginema konkreetsetele asjaoludele ja riskinäitajatele.

Objektiivselt põhjendatud kahtlus võib muu hulgas tugineda näiteks järgmistele asjaoludele:

 maksejuhis erineb oluliselt maksja tavapärasest maksekäitumisest (nt ebatavaliselt suur

summa ning uus makse saaja, ebatavaline kellaaeg või geograafiline asukoht);

 makse tegemisel kasutatakse seadmeid, IP-aadresse või autentimisviise, mis erinevad

maksja tavapärasest kasutusmustrist;

 makseteenuse pakkuja tehinguseiremehhanismid tuvastavad tehingus mustreid, mis on

iseloomulikud pettustele või andmete väärkasutusele;

6

 makse on seotud teadaolevate või kõrgendatud riskiga maksekontode, isikute või

tegevustega;

 maksja käitumine viitab pettusele, nt ebatavaline maksete tegemise kiirus, korduvad

katsed, vastuolulised sisestused, korraga kõikide maksete limiitide tõstmine.

Seejuures tuleb hinnata kõiki asjaolusid kogumis ning üksik riskitegur ei pruugi alati olla piisav

maksejuhise kättesaamise edasilükkamiseks, et rakendada lisaturvameetmeid. Oluline on, et

makseteenuse pakkuja tegevus oleks proportsionaalne ja põhjendatud – objektiivse kahtluse

olemasolu peab olema dokumenteeritav ning vajaduse korral hiljem kontrollitav. Kehtiv VÕS

§ 7334 lõige 1 näeb ette, et kui on vaieldav, kas maksetehing on autoriseeritud või

nõuetekohaselt täidetud, peab makseteenuse pakkuja või asjakohasel juhul makseteenuse

pakkuja, kelle makse algatamise teenuse kaudu makse algatati, tõendama, et maksetehing on

autenditud, muu hulgas rakendatud kliendi tugevat autentimist, korrektselt dokumenteeritud ja

kontodel kajastatud ning tehingu tegemist ei ole mõjutanud ükski puudus. See tagab, et

makseteenuse pakkuja ei kasuta talle antud õigust meelevaldselt, vaid üksnes juhtudel, kus see

on maksete turvalisuse tagamiseks vältimatult vajalik. Võib eeldada, et makseteenuse pakkujate

huvides ei ole ka nimetatud meetme kergekäeline rakendamine, sest see mõjutab negatiivselt

kliendi kogemust teenuse kasutamisel ning võib viia kliendi teise makseteenuse pakkuja

pakutavate teenuste juurde.

Eelnõuga lisatav säte toob eraldi välja kaks peamist olukorda, mille esinemisel võib

makseteenuse pakkuja maksejuhise kättesaamise edasilükkamise õigust kasutada.

Esiteks, on õigus maksejuhise kättesaamine edasi lükata VÕS-i lisatava 7247 lõike 1 punkti 1

kohaselt juhul, kui on põhjendatud kahtlus, et maksejuhist ei ole autoriseerinud maksja. See

hõlmab olukordi, kus makse võib olla tehtud ilma maksja teadmise või nõusolekuta, näiteks

juhul, kui kolmas isik on saanud ligipääsu maksja autentimisvahenditele või maksekontole. Ehk

et tegemist on kehtiva VÕS-i järgi autoriseerimata maksega. VÕS § 7241 lõige 1 sätestab, et

maksetehing on maksjale siduv, kui ta on selle täitmiseks andnud nõusoleku. Nõusoleku võib

anda enne tehingu tegemist või poolte kokkuleppel ka tagantjärele heakskiiduna. See tähendab,

et juhul, kui makse on tehtud, kasutades kadunud või varastatud makseinstrumenti, on tegemist

autoriseerimata maksega, sest puudub isiku nõusolek sellise makse tegemiseks.

Makseteenuste direktiivi artikli 64 lõike 1 kohaselt peavad liikmesriigid tagama, et maksetehing

loetakse autoriseerituks üksnes siis, kui maksja on andnud nõusoleku maksetehingu täitmiseks,

maksja võib sealjuures autoriseerida makse enne maksetehingu täitmist või maksja ja tema

makseteenuse pakkuja vahelise kokkuleppe korral pärast maksetehingu täitmist (heakskiit).

Artikli 64 lõike 4 kohaselt määratakse nõusoleku andmise viis ja kord poolte kokkuleppega.

Sama artikli lõike 2 teises lauses on peetud oluliseks rõhutada, et kui mainitud „nõusolek“

puudub, loetakse maksetehing „autoriseerimata maksetehinguks“. Põhimõtteliselt võtab see

mõistemääratlus hilisemates makseteenuse kasutaja ja makseteenuse pakkuja vastutuse sätetes

kokku juhtumid, kus puudub maksejuhis või selle jõustumise täiendava eeldusena maksja

nõusolek (maksevahendi kasutamise kaudu) makse tegemiseks. Sellisel juhul rakendub

maksetehingu tegemise korral makseteenuse kasutaja ja makseteenuse pakkuja vastutus (st

toimus autoriseerimata maksetehing). Maksja „nõusolekut“ reguleeriv säte on rakendatav juhul,

kui maksejuhise andmiseks kasutatakse mõnda maksevahendit, ülekannete puhul loetakse

maksejuhis jõustunuks, kui see on kätte saadud (vt VÕS § 7242), ehk et „nõusolek“ langeb kokku

maksejuhise kättesaamise hetkega. Küll aga vaadeldakse „autoriseerimata maksena“ seega nii

makset, mille tegemiseks puudus maksejuhis, kui ka makset, mille tegemiseks puudus maksja

„nõusolek“. Mõlemal juhul rakendub vastutus makseteenuse eest „autoriseerimata“ maksete

korral. Kokkuvõtteks on makse autoriseerimise kontseptsioon „maksele nõusoleku andmine“.

7

Kui tegemist on maksja enda antud maksejuhisega (nt isik teeb ise elektroonilise makse), siis

sisaldub nõusolek maksetehingu tegemiseks juba iseenesest maksejuhises. Kui tegemist on

saaja kaudu algatatud maksega (nt algatab kaupmees makse korduvate tellimuste puhul, kui

maksja on andnud eelnevalt selleks nõusoleku), väljendub nõusolek maksevahendi kasutamises

(VÕS § 7241 lõige 3). Nendel juhtudel annab maksja selgelt ja üheselt mõistetavalt oma

nõusoleku enne maksetehingu täitmist, hilisema heakskiidu järele puudub vajadus, puudub ka

võimalus jätta nõusolek andmata ning autoriseerida makse heakskiiduga. Seega on

autoriseerimine hilisema heakskiidu andmise näol mõeldav üldiselt vaid saaja poolt algatatud

maksetehingute puhul.

Teiseks, on õigus maksejuhise kättesaamine edasi lükata VÕS-i lisatava 7247 lõike 1 punkti

2 kohaselt juhul, kui maksejuhis on küll formaalselt autoriseeritud, kuid see on toimunud

andmete väärkasutamise, maksjaga manipuleerimise või muul pettuslikul teel. Siia alla

kuuluvad näiteks juhtumid, kus maksjat on eksitatud (nt sotsiaalse manipulatsiooni teel) tegema

makset, mida ta ei oleks teinud, kui tal oleks olnud asjaolude kohta õige teave. Tsiviilseadustiku

üldosa seaduse (edaspidi TsÜS) § 94 lõike 1 kohaselt on pettus isiku tahtlik eksimusse viimine

või eksimuses hoidmine temale ebaõigete asjaolude avaldamise teel, eesmärgiga kallutada isik

tehingut tegema. Sama paragrahvi lõike 2 kohasel on ebaõigete asjaolude avaldamisega

võrdsustatud nendest asjaoludest teatamata jätmine, millest vastavalt hea usu põhimõttele oleks

tulnud teatada, samuti selliste asjaolude tõesena avaldamine, mille tõele vastavust avaldaja ei

ole kontrollinud ja mis hiljem osutuvad ebaõigeks.

Sellised olukorrad on pettuste toimepanemisel praktikas sagenenud ning nende puhul ei pruugi

pelgalt autoriseerimise fakt tähendada seda, et isik ka tegelikult soovis sellist makset teha

olukorras, kus talle esitati ebaõigeid asjaolusid ja viidi seeläbi isik eksimusse ning selle

tulemusel andis isik nõusoleku maksetehingu tegemiseks, kui õigete asjaolude teadmisel ei

oleks ta sellist kinnitust andnud.

Maksejuhise kättesaamise ajutiselt edasi lükkamise vaatest on oluline see, et mida pidada

täpsemalt silmas maksejuhise kättesaamise all.Makseteenuste direktiivi artikkel 78 lõige 1

sätestab, et liikmesriigid tagavad, et laekumise ajaks on aeg, mil maksekäsund laekub maksja

makseteenuse pakkujale.Kättesaamise konkreetse ajahetke määratlemine on oluline seepärast,

et sellest alates hakkavad kulgema erinevad tähtajad (maksejuhise täitmine ja täitmisest

keeldumise teate esitamine vt VÕS § 7243, § 728). Oluline on see, et konkreetse ajahetke kaudu

määratletakse arvelduspäev, millest järgneval saaja arvelduspäeval tuleb VÕS § 728 lõike 1

järgi maksejuhis täita (T+1 põhimõte).

Tegemist on kõrvalekaldega TsÜS §-s 135 sätestatud tähtaja kulgemise alguse regulatsioonist,

sest T+1 eeldab, et kättesaamisele järgneval päeval oleks maksejuhis täidetud. Maksejuhise

kättesaamine on samastatav põhimõtteliselt TsÜS § 69 regulatsiooniga ja tahteavalduse

jõustumise kontseptsiooniga. TsÜS § 69 lõike 1 kohaselt tuleb kindlale isikule suunatud

tahteavaldus väljendada ja see muutub kehtivaks kättesaamisega.

Maksejuhise kui tahteavalduse jõustumisel ehk maksejuhise kättesaamisel võib tegemist olla

nii eemalviibijale kui kohalviibijale tehtud tahteavalduse jõustumisega. Eemalviibijale tehtava

tahteavaldusega on tegemist juhul, kui maksejuhise andmine toimub kasutades mõnd

elektroonilist vahendit (nt ülekanne internetipangas, kaardimakse jms), mis ei võimalda

reeglina vahetut dialoogi tahteavalduse tegija (maksja) ja saaja (makseteenuse pakkuja) vahel.

Kohalviibijale tehtud tahteavaldusega on tegemist siis, kui maksejuhis antakse pangakontoris

pangatellerile. Kohalviibijale tehtud tahteavaldus jõustub isiklikult teatavaks tegemisega ehk

siis hetkel, mil maksja teeb maksejuhise pangatellerile teatavaks, loetakse maksejuhis

8

kättesaaduks. Kohalviibijale antava maksejuhise ajahetk on seega kindlalt ja üheselt

määratletav.

Eemalviibijale antava maksejuhise puhul on olukord keerulisem. TsÜS § 69 lõike 2 kohaselt

loetakse eemalviibijale tehtud tahteavaldus kättesaaduks, kui see jõuab eemalviibija asukohta

ja tahteavalduse saajal on mõistlik võimalus sellega tutvuda. Kättesaamine toimub siis, kui

tahteavaldus on jõudnud avalduse saaja mõjusfääri, nii et tal on objektiivselt võimalik

tahteavalduse sisust teada saada ning tavapärastel oludel võib tahteavaldusest teadasaamisega

arvestada.9

Valitseva arvamuse kohaselt on tahtevalduse kättesaamise hetkeks see hetk, mil tahteavalduse

adressaadil oleks normaalsetes oludes võimalus tahteavalduses toodud teave omaks võtta. Kui

adressaat tutvub teabega varem, kui seda võiks temalt mõistlikult oodata, siis loetakse, et

tahteavaldus on teabega tutvumise ajal kätte saadud.10

Maksejuhise laekumise aja kindlaksmääramisel ei lähe arvesse võimalik eelnev maksejuhise

kättesaamiseks ja töötlemiseks ettevalmistav protsess (näiteks erinevate turva- ja kaitsenõuete

täitmine).11 Olenevalt maksejuhise esitamise kanalist (internetipank, pangakontor) viiakse osa

kontrollidest läbi juba enne maksejuhise vastuvõtmist ning puudustest teavitatakse maksejuhise

saatjat kohe.

Maksejuhise töötlemiseks ja kättesaamiseks vajaliku ettevalmistava protsessi lugemine

kättesaamisele eelnevale ajale langevaks tegevuseks, on sisuliselt TsÜS § 69 lõike 2 lause 2

tahteavaldusega tutvumiseks mõistliku võimaluse jätmise ja erinevate kättesaamisteooriate

väljendus maksejuhise kättesaamise kontekstis.

Maksejuhise kui tahteavalduse sisust teadasaamiseks ei saa lugeda aega, mil toimub erinevate

formaalsete ja tehniliste nõuete täitmine. Sellisel ajahetkel ei tegeleta veel maksejuhise kui

tahteavalduse sisuga, vaid maksejuhise tehnilise, formaalse ning välise poolega. Seega tuleb

maksejuhise kättesaamise hetke kindlaksmääramisel arvestada võimalust maksejuhise sisuga

tutvuda.

Maksejuhise kättesaamise hetkeks tuleks lugeda hetke, mil on juba eelnevalt tuvastatud, et

maksejuhis vastab tehnilistele nõuetele ja täidetud on vajalikud kriteeriumid turvanõuete

järgimiseks ning seda on võimalik täitma hakata. Maksejuhise võib kättesaaduks lugeda siis,

kui on võimalik tutvuda maksejuhise sisuga ja kui seda on võimalik sisuliselt täita.

Makseteenuse pakkujad peavad kasutama autentimisel ning rahaliste vahendite kinnitamise ja

piiramise ning samuti makse algatamise teenuse ja kontoteabe teenuse osutamise korral

turvalist teabevahetamise viisi ning rakendama turvameetmeid, mis tagavad isikustatud

turvaelementide konfidentsiaalsuse ja andmete tervikluse (VÕS § 7246 lõige 1). Sama

paragrahvi lõige 2 näeb ette, et täpsemad nõuded käesoleva paragrahvi lõikes 1 nimetatud

turvalise teabevahetuse ja turvameetmete kohta kehtestatakse Euroopa Parlamendi ja nõukogu

direktiivi 2015/2366/EL (edaspidi komisjoni rakendusmäärus) artiklis 98 nimetatud Euroopa

Komisjoni rakendusmäärusega.

Komisjoni rakendusmääruse artikli 2 lõike 1 kohaselt peavad makseteenuse pakkujatel

turvameetmete rakendamise eesmärgil olema tehinguseiremehhanismid, mis võimaldavad neil

9 Liis Hallik, Tahteavaldus tsiviilõiguses, Magistritöö, 2005, lk 88, viide 248 Brox’ile 10 D. Einsele, Münchener Kommentar, BGB, Band I Allgemeiner Teil, § 130, Verlag C. H. Beck, München 2001,

S. 1254 11 Saksamaa BGB muutmise seaduse eelnõu seletuskiri, S 174

9

avastada autoriseerimata või pettuse teel tehtud maksetehinguid. Need mehhanismid peavad

tuginema maksetehingute analüüsile, mille juures võetakse arvesse elemente, mis on

makseteenuse kasutajale iseloomulikud isikustatud turvavolituste tavapärase kasutamise puhul.

Komisjoni rakendusmääruse artikli 2 lõike 2 kohaselt tagavad makseteenuse pakkujad, et

tehinguseiremehhanismid võtavad arvesse vähemalt kõiki järgmisi riskipõhiseid tegureid:

a) murtud või varastatud autentimisvahendite loetelu;

b) iga maksetehingu summa;

c) makseteenuste osutamisega seoses teada olevad petuskeemid;

d) märgid pahavaraga nakatumise kohta autentimismenetluse mis tahes seansi kestel;

e) juhul kui juurdepääsuseadme või -tarkvara annab kasutaja käsutusse makseteenuse

pakkuja, logid sellise juurdepääsuseadme või -tarkvara kasutamise ning

juurdepääsuseadme või -tarkvara tavapäratu kasutamise kohta.

Lisaturvameetmete rakendamine ei ole nii-öelda eraldi süsteem, vaid juba olemasolevate

turvameetmete sihipärane täiendav kasutamine olukorras, kus tekib kahtlus, et maksejuhis ei

ole maksja poolt autoriseeritud või maksejuhis on autoriseeritud andmete väärkasutamise,

maksjaga manipuleerimise või muul pettuslikul teel. Lisaturvameetmete rakendamise sisu on

konkreetse maksejuhise täiendav kontroll pettuse tõkestamise eesmärgil, kui tehingu

riskianalüüsi põhjal tekib eelnevalt nimetatud kahtlus, ehk et risk on tavapärasest suurem.

Makseteenuste direktiiv on artikli 107 kohaselt üldjuhul maksimumharmoniseeriv, mistõttu ei

saa liikmesriik kehtestada direktiivis sätestatust teistsugust regulatsiooni. Käesolev eelnõu ei

lähtu sellest, et makseteenuse pakkujal oleks õigus juba kättesaadud ja autoriseeritud

maksejuhise täitmine ühepoolselt peatada. Eelnõu täpsustab olukorda, kus makseteenuse

pakkuja peab enne maksejuhise kättesaamist teostama kontrolli, kas maksejuhis vastab

kõikidele vastuvõtmise tingimustele, sealhulgas kas tegemist on maksja poolt autoriseeritud

maksejuhisega ning kas tegemist ei ole olukorraga, kus makse on autoriseeritud andmete

väärkasutamise, maksjaga manipuleerimise või muul pettuslikul teel. Ehk tegemist on

maksejuhise täiendava kontrolliga selle vastuvõtmise eelses faasis.

Makseteenuse pakkuja poolt rakendatavad lisaturvameetmed võivad hõlmata näiteks maksjaga

ühenduse võtmist, et välja selgitada, kas maksejuhise on esitanud ikka isik ise või kas teda on

manipuleeritud sellist makset tegema. Samuti muud kontrollid, näiteks makse saaja

makseteenuse pakkujaga info vahetamine, et välja selgitada, kas konkreetne maksekonto võib

olla seotud pettuste toimepanemisega. Meetmete täpne sisu ja ulatus sõltub konkreetsest

olukorrast ning maksega seotud riskist. Oluline on hinnata kõiki asjaolusid ja koguda vajadusel

täiendavat teavet. Üksik riskitegur ei pruugi olla piisav asjaolude väljaselgitamiseks. Eeltoodust

tulenevalt saab lisaturvameetmeid käsitada laia mõistena, mis hõlmab nii tehnilisi,

organisatsioonilisi kui ka menetluslikke meetmeid, mille eesmärk on maksete turvalisuse

tagamine ja pettuste ennetamine.

Makseteenuste direktiivi artikli 64 kohaselt loetakse maksetehing autoriseerituks üksnes siis,

kui maksja on andnud nõusoleku maksetehingu tegemiseks. Sellest tulenevalt ei pea

makseteenuse pakkuja pettusekahtluse korral piirduma üksnes formaalse autentimise fakti

tuvastamisega, vaid tal peab olema võimalik hinnata, kas tehniline autoriseerimise fakt

väljendab tegelikku nõusolekut. Seda kinnitab ka kehtiv VÕS § 7334 lõige 2, mis sätestab, et

kui on vaieldav, kas makseinstrumendi abil tehtud maksetehing on autoriseeritud, ei ole

ainuüksi makseinstrumendi kasutamise dokumenteerimine makseteenuse pakkuja ja

asjakohasel juhul makse algatamise teenust osutanud makseteenuse pakkuja poolt küllaldane

selle tõendamiseks, et: 1) maksetehing on autoriseeritud; 2) makseinstrumenti on kasutatud

pettuse teel; 3) rikutud on ühte või mitut käesoleva seaduse §-s 73310sätestatud nõuet või

10

4) rikutud on tahtlikult või raske hooletuse tõttu ühte või mitut makseinstrumendi väljastamise

ja kasutamise tingimust.

Euroopa Pangandusjärelevalve on 2025. aasta vastuses küsimusele „2023_6873 PISP payment

order cancellation due to fraud prevention reasons“12 selgitatud, et juhul, kui enne maksejuhise

täitmist tekib küsimus, kas see oli üldse autoriseeritud, peab kontot haldav makseteenuse

pakkuja olemasolevate elementide põhjal hindama, kas tehing oli autoriseeritud või mitte. Seda

toetavad koosmõjus makseteenuste direktiivi artiklid 78 ja 83. Artikkel 78 seob maksejuhise

kättesaamise aja hetkega, mil maksejuhis jõuab maksja makseteenuse pakkujani, ning artikkel

83 seob makse täitmise tähtaja selle kättesaamise hetkega. Komisjoni rakendusmäärus lähtub

riskipõhisest kontrollist ja näeb ette, et makseteenuse pakkujad rakendavad tehingute

riskianalüüsi, et tuvastada volitamata või pettuslike tehinguid. Seetõttu on põhjendatud

lisaturvameetmete rakendamine olukorras, kus makseteenuse pakkujal on objektiivselt

põhjendatud kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või on autoriseeritud

andmete väärkasutamise, maksjaga manipuleerimise või muul pettuslikul teel. Kui

makseteenuse pakkuja on selle kontrolli tulemusel veendunud, et maksejuhis ei ole

autoriseeritud andmete väärkasutamise, maksjaga manipuleerimise või muul pettuslikul teel,

tuleb maksejuhis viivitamata saata edasi makse saaja makseteenuse pakkujale.

Makseteenuste direktiivi maksete autoriseerimise regulatsioon ning komisjoni

rakendusmääruse nõuded kehtivad ka välkmaksetele. Välkmaksete määruse kohaselt peab

maksja makseteenuse pakkuja kohe pärast välkmaksejuhise kättesaamist kontrollima, kas

makse töötlemise tingimused on täidetud ja kas vajalikud vahendid on olemas, ning saatma

maksetehingu viivitamata saaja makseteenuse pakkujale. Välkmaksete määruse kohaselt

olenemata direktiivi (EL) 2015/2366 artiklist 83 (eelnevalt välja toodud selgitus maksejuhise

täitmise T+1 põhimõte), kontrollib maksja makseteenuse pakkuja viivitamata pärast

välkkreeditkorralduse maksekäsundi vastuvõtmise aega, kas kõik maksetehingu töötlemiseks

vajalikud tingimused on täidetud ja kas vajalik raha on kättesaadav, reserveerib maksetehingu

summa maksja kontol või debiteerib selle maksja kontolt ja saadab maksetehingu viivitamata

makse saaja makseteenuse pakkujale.

Välkmaksete määruse kohaselt (artikkel 5c lõige 1) pakub maksja makseteenuse pakkuja

maksjale teenust, millega tagatakse selle makse saaja kontrollimine, kellele maksja kavatseb

kreeditkorralduse saata (edaspidi „makse saaja kontrollimise teenus“). Maksja makseteenuse

pakkuja osutab makse saaja kontrollimise teenust viivitamata pärast seda, kui maksja esitab

asjakohase teabe makse saaja kohta, ja enne seda, kui maksjale pakutakse võimalust kõnealune

kreeditkorraldus autoriseerida. Selle kohaselt peab maksja makseteenuse pakkuja kontrollima,

kas makse töötlemise tingimused on täidetud enne maksejuhise autoriseerimist. Juhul, kui

maksja makseteenuse pakkujal tekib autoriseerimise protsessi käigus objektiivselt põhjendatud

kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või on autoriseeritud andmete

väärkasutamise, maksjaga manipuleerimise või muul pettuslikul teel, on võimalik enne

maksejuhise kättesaamist rakendada täiendavat kontrolli.

Juhul, kui makseteenuse pakkujal ei oleks õigust välkmakse maksejuhise vastuvõtmist edasi

lükata ning vajadusel selle täitmisest keelduda, siis olukorras, kus makseteenuse pakkujal on

objektiivselt põhjendatud kahtlus, et maksejuhist ei ole autoriseerinud isik ise ja seda tehti

näiteks andmete väärkasutamise teel, ning selline maksejuhis täidetakse, siis vastutab

makseteenuse pakkuja autoriseerimata maksega tekitatud kahju eest.

12 2023_6873 PISP payment order cancellation due to fraud prevention reasons | European Banking Authority

11

Kehtivas õiguses on makseteenuse pakkujatele pandud kohustus (komisjoni rakendusmäärus

artikkel 2) omada tehinguseiremehhanisme, mis võimaldavad neil avastada autoriseerimata või

pettuse teel tehtud maksetehinguid. Pettuste vastu võetavad meetmed võib tinglikult jagada

kolmeks. Esiteks on ennetavad tehnilised meetmed, nagu näiteks kliendi tugev autentimine

ning turvalised autentimisvahendid. Teiseks on erinevad kontrollimeetmed, nagu tehingute

reaalaajas riskianalüüs, mis peab arvestama näiteks erinevaid maksemustreid, isiku ebatavalist

käitumist jne. Kolmandaks saab pidada sekkuvaid meetmeid, ehk meetmed mida saab võtta

siis, kui on tuvastatud pettusekahtlus, ning vajalikud on riske maandavad meetmed nagu näiteks

maksetehingu täitmisest keeldumine. Praegu on olukord, kus seaduses sätestatud sekkumist

lubavad meetmed ei ole pettuste tõkestamiseks piisavad. Ilmselgelt ei ole võimalik läbi

ennetavate ja kontrollmeetmete rakendamise ära hoida kõiki pettusi. Samuti ei ole võimalik

kõiki pettusi ära hoida lisaks eelnevatele ka erinevate sekkumismeetmega, kuid nende

olemasolu on siiski selle eesmärgi saavutamisel oluline. Seepärast on vajalik seaduses sätestada

makseteenuse pakkujatele selge alus pettusekahtluse korral rakendada maksejuhise osas

lisaturvameetmeid. Kui komisjoni rakendusmääruses on makseteenuse pakkujatele peale

pandud kohustus avastada autoriseerimata või pettuse teel tehtud tehinguid, siis peavad selle

eesmärgi täitmiseks olema ka asjakohased meetmed, mis takistavad selliste maksetehingute

tegemist.

Komisjoni rakendusmääruse põhjenduspunkt 1 näeb ette, et „Elektrooniliselt pakutavad

makseteenused tuleks teostada turvaliselt, võttes kasutusele tehnoloogia, mis suudab tagada

kasutaja turvalise autentimise ja vähendada maksimaalselt pettuse ohtu. Autentimismenetlus

peaks üldiselt hõlmama mehhanisme tehingute seireks, et tuvastada katseid kasutada

makseteenuse kasutaja isikustatud turvavolitusi, mis on kaotatud või varastatud või mida on

väärkasutatud; samuti tuleks sellega tagada, et makseteenuse kasutaja on seaduslik kasutaja ja

annab seega isikustatud turvavolitusi tavapärasel viisil kasutades oma nõusoleku rahaliste

vahendite ülekandmiseks ja oma kontoandmetele juurdepääsuks. Lisaks tuleb kindlaks määrata

nõuded seoses kliendi tugeva autentimisega, mida tuleks kasutada iga kord, kui maksja siseneb

interneti kaudu oma maksekontole, algatab elektroonilise maksetehingu või teeb

kaugejuurdepääsu teel mis tahes muu toimingu, mille puhul võib esineda maksepettuse või muu

kuritarvitamise oht, nõudes selliste autentimiskoodide genereerimist, mille puhul ei ole ohtu, et

neid saaks kas tervikuna või mõne nende genereerimiseks kasutatud elemendi avalikustamise

läbi võltsida.“. Makseteenuste direktiivi ja komisjoni rakendusmäärusega makseteenuse

pakkujatele pandud üldine kohustus on ennetada pettusi ja hinnata maksetega seotud riske ning

makseteenuse pakkuja peab rakendama asjakohaseid turvameetmeid eelkõige olukordades, kus

maksetehing võib kaasa tuua pettuse või muu väärkasutuse riski. Üheks selle eesmärgi

saavutamise vajalikuks osaks on ka maksejuhise vastuvõtmise edasilükkamine, mis võimaldab

nimetatud eesmärki saavutada. Komisjoni rakendusmäärus kehtib ka välkmaksete puhul.

Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 2 näeb ette, millel peab objektiivselt

põhjendatud kahtlus põhinema ning millised asjaolud iseseisvalt ei ole piisavad maksejuhise

kättesaamise edasilükkamiseks.

Sätte kohaselt peab objektiivselt põhjendatud kahtlus põhinema makseteenuse pakkuja

riskihindamisel, sealhulgas Euroopa Parlamendi ja nõukogu direktiivi 2015/2366/EL

makseteenuste kohta siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja

määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta

(ELT L 337, 23.12.2015, lk 35–127) artiklis 98 nimetatud Euroopa Komisjoni

rakendusmääruses (edaspidi komisjoni rakendusmäärus) sätestatud riskipõhisel lähenemisel

ning muudel objektiivsetel asjaoludel. Makseteenuse pakkujad peavad hindama maksetega

seotud riske, võttes arvesse muu hulgas näiteks maksja käitumismustreid, tehingu iseloomu

ning võimalikke pettusenäitajaid. Seega lähtub kavandatav regulatsioon samast põhimõttest,

12

mille kohaselt ei ole kõik maksed nii öelda selle poolest „võrdsed“, vaid neid hinnatakse

lähtuvalt konkreetsest riskitasemest.

Komisjoni rakendusmääruse artikkel 18 käsitleb olukorda, kus makseteenuse pakkujatele

antakse luba mitte kasutada kliendi tugevat autentimist juhul, kui maksja algatab elektroonilise

kaugmaksetehingu, mille makseteenuse pakkuja tehinguseiremehhanismide alusel lugenud

väikese riskiga tehinguks. See artikkel küsitleb küll tehingu riskianalüüsi olukorras, kus on ette

nähtud erand kliendi tugeva autentimise kohustusest, kuid see artikkel piltlikustab, milliseid

asjaolusid tuleb muuhulgas näiteks reaalajas toimuva riskianalüüsi käigus hinnata.

Hinnata tuleb näiteks seda, kas makseteenuse pakkujad ei ole reaalajas toimuva riskianalüüsi

tulemusena avastanud ühtegi järgmistest asjaoludest: a) maksja tavapäratud kulutused või

käitumismuster; b) ebatavaline teave maksja seadme/tarkvara kasutamise kohta; c) pahavaraga

nakatumine autentimismenetluse mis tahes seansi kestel; d) makseteenuste osutamisega seoses

teadaolev petuskeem; e) maksja tavapäratu asukoht; f) makse saaja kõrge riskitasemega

asukoht.

Kehtiv VÕS ei näe otseselt ette, et juhul, kui makseteenuse pakkujal tekib objektiivselt

põhjendatud kahtlus, et maksetehingu täitmiseks antud nõusolek on saadud andmete

väärkasutamise, maksja manipuleerimise või muul pettuslikul teel, on tal õigus autoriseeritud

maksejuhise kättesaamine täiendavaks kontrolliks edasi lükata. Kehtiv VÕS § 7243 lõige 4

sätestab, et makseteenuse pakkujal ei ole õigust keelduda autoriseeritud maksejuhise täitmisest,

kui maksejuhis vastab makseteenuse lepingus määratud tingimustele ning maksejuhise

täitmisega ei rikuta mõnes muus õigusaktis sätestatud kohustust. Kuid lisaks sellele, et

maksejuhis peab vastama lepingus määratud tingimustele, peab maksejuhis vastama ka

komisjoni rakendusmääruses kehtestatud nõuetele. Selles osas, et maksejuhise täitmisega ei

rikuta mõnes muus õigusaktis sätestatud kohustusi, on eelkõige silmas peetud rahapesu ja

terrorismi rahastamise tõkestamise regulatsioonist tulenevaid nõudeid. VÕS § 7246 lõige 1 küll

viitab autentimise nõuetele komisjoni rakendusmääruses, kuid ei anna selget õigust

maksejuhise täitmisest keelduda. Ehk et juhul, kui isik on makse autoriseerinud ka pettuse teel,

ei ole VÕS § 7243 lõike 4 kohaselt makseteenuse pakkujal õigust keelduda sellise maksejuhise

täitmisest. Käesoleva eelnõuga kavandatav paragrahv § 7247 loob kehtivast VÕS § 7243 erandi

ning võimaldab keelduda ka autoriseeritud maksejuhise täitmisest pettusekahtluse korral. VÕS

§-iga 7243 on üle võetud makseteenuste direktiivi artikkel 79, mille artikkel 1 sätestab, et juhul

kui makseteenuse pakkuja keeldub maksekäsundi täitmisest või maksetehingu algatamisest,

teatatakse makseteenuse kasutajale keeldumisest ning võimaluse korral selle põhjustest ja

keeldumise aluseks olnud vigade parandamise menetlusest, välja arvatud juhtudel, kui see on

keelatud muude asjaomaste liidu või siseriiklike õigusaktidega. Nimetatud artikkel käsitleb

eelkõige olukordi, kus maksejuhise täitmiseks esineb nn objektiivne takistus, näiteks tehniliselt

vigane maksejuhis (vale formaat, puuduv info), ebapiisav saldo, konto blokeering, vigane

IBAN, aga muuhulgas ka rahapesu ja terrorismi rahastamise kahtlus. Nimetatud artikkel ei anna

otseselt selget alust maksejuhise täitmisest keeldumiseks pettusekahtluse korral, mis on

käesoleva eelnõuga kavandatava paragrahvi eesmärk.

Lisatava lõike eesmärk on tagada, et makseteenuse pakkuja õigus maksejuhise kättesaamine

edasi lükata oleks selgelt piiritletud ning ei võimaldaks maksejuhise põhjendamatut

kättesaamisega viivitamist. Selleks sätestatakse, et kahtlus peab olema objektiivselt

põhjendatud ning tulenema riskihindamisest või muudest objektiivsetest asjaoludest.

Eraldi on välja toodud, et makseteenuse pakkuja ei või maksejuhise kättesaamise edasi

lükkamisel tugineda üksnes Euroopa Parlamendi ja nõukogu määruse (EL) nr 260/2012 alusel

pakutavale makse saaja kontrollimise teenusele (nn IBAN-nime kontroll). Nimetatud teenuse

13

eesmärk on anda maksjale lisateavet makse saaja kohta, kuid selle tulem ei pruugi olla lõplik

ega ammendav ning võib sõltuda andmete kättesaadavusest või tehnilistest piirangutest.

Seetõttu ei saa üksnes selle teenuse tulemusest järeldada, et maksejuhis ei ole maksja poolt

autoriseeritud või maksejuhis on autoriseeritud andmete väärkasutamise, maksjaga

manipuleerimise või muul pettuslikul teel.

Samuti ei ole piisav alus maksejuhise kättesaamise edasilükkamiseks asjaolu, et makse on

makseteenuse pakkujale ebatavaline või arusaamatu. Kuigi maksejuhise ebatavalisus võib olla

üks riskihindamise element, ei anna see iseseisvalt alust järeldada, et tegemist on nt pettuse või

andmete väärkasutusega. Vastupidine käsitlus tooks kaasa olukorra, kus makseteenuse

pakkujad võiksid laialdaselt ja ebamääraste kriteeriumide alusel maksete täitmisega viivitada.

Oluline on, et makseteenuse pakkuja poolt maksejuhise kättesaamise edasilükkamine oleks

erandlik ning selgelt põhjendatud. Kavandatava regulatsiooni eesmärk on tasakaalustada

maksete turvalisuse ja kiiruse eesmärke ning samas mitte kahjustada maksete usaldusväärsust,

võimaldades makseteenuse pakkujal maksejuhise kättesaamine edasi lükata üksnes siis, kui see

on riskihindamise alusel põhjendatud, vältides samas põhjendamatuid viivitusi.

Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 3 näebette, et makseteenuse pakkuja on

kohustatud maksjat teavitamata lisaturvameetmete rakendamisest ja põhjustest enne nende

rakendamist või viivitamata pärast seda. Makseteenuse pakkuja ei pea lisaturvameetmete

rakendamise põhjusi maksjale teatama, kui teabe edastamine on vastuolus objektiivselt

põhjendatud turvalisuse kaalutlusega või ei ole muul seaduses sätestatud põhjusel lubatud.

Nimetatud asjaolude esitamise maksjale on kohustuslik ka juhul, kui makseteenuse pakkuja

keeldub maksejuhise täitmisest. Selline lähenemine on kooskõlas makseteenuste direktiivi

põhimõtetega, et makseteenuse pakkuja peab ühelt poolt tagama makseteenuste läbipaistvuse

ja kasutajate teavitamise, kuid teiselt poolt ka maksete turvalisuse ja pettuste ennetamise.

Sarnane tasakaalu leidmine on omane ka muudele menetlustele, kus isiku teavitamine võib olla

piiratud, kui see ohustab turvalisust.

Lõike 3 eesmärk on tagada maksja teavitamine olukorras, kus makseteenuse pakkuja rakendab

lisaturvameetmeid ja lükkab maksejuhise kättesaamise edasi. Kuna see võib mõjutada makse

täitmise kiirust ja maksja ootusi selle täitmise osas, on oluline, et maksja oleks teadlik nii

võimalikest meetmetest kui ka nende rakendamise tingimustest. Seeläbi saab isik teada, miks

tema maksejuhise täitmine võib viibida või miks temalt nõutakse näiteks täiendavat

informatsiooni. Teisalt kaitseb see ka makseteenuse pakkujat, kes saab tugineda seaduses

sätestatule ning aitab vältida isikute arusaamist, et tegemist on makseteenuse pakkuja nn

omavoliga.

Teavitamise kohustus hõlmab nii eelnevat kui ka vahetut teavitamist. Üldreeglina tuleks

maksjat teavitada enne lisaturvameetmete rakendamist, võimaldades vajaduse korral maksjal

täiendavaid selgitusi anda. Kui eelnev teavitamine ei ole võimalik, näiteks seetõttu, et

turvameetme tõhusus eeldab viivitamatut sekkumist, tuleb maksjat teavitada viivitamata pärast

nende meetmete rakendamist. Selline paindlikus võimaldab makseteenuse pakkujal reageerida

pettustele kiiresti, kuid säilib maksja teadlikus olukorra põhjustest.

Säte tagab, et maksja ei jää teadmatusse maksejuhiste täitmist mõjutavate tegurite osas,

säilitades samas võimaluse piirata teabe avaldamist juhtudel, kus see on vajalik maksete

turvalisuse ja pettuste ennetamise seisukohalt.

Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 4 näeb ette, et kui maksja makseteenuse

pakkuja lükkab maksejuhise kättesaamise lisaturvameetmete rakendamiseks edasi, siis

loetakse, et makseteenuse pakkuja on maksejuhise kätte saanud hetkest, kui makseteenuse

14

pakkuja on lõpetanud lisaturvameetmete rakendamise ja on veendunud, et maksejuhis ei ole

autoriseeritud andmete väärkasutamise, maksjaga manipuleerimise või muul pettuslikul teel.

Nimetatud tingimuste täitmise korral on maksja makseteenuse pakkujal kohustus saata

maksetehing viivitamata makse saaja makseteenuse pakkujale.

Nimetatud lõige näeb ette, millisest hetkest alates loetakse maksejuhis makseteenuse pakkuja

poolt kättesaaduks olukorras, kus makse täitmine ei alga kohe selle kättesaamisel, vaid sellele

eelneb täiendav riskipõhine kontroll. Kehtivas makseteenuste regulatsioonis on maksejuhise

kättesaamise hetk keskse tähtsusega, kuna sellest sõltuvad nii makse täitmise tähtajad kui ka

makseteenuse pakkuja vastutus. Seetõttu on oluline vältida olukorda, kus makseteenuse

pakkuja oleks kohustatud järgima täitmise tähtaegu ajal, mil ta ei ole veel saanud veenduda, kas

maksejuhis on maksja poolt autoriseeritud või on see autoriseeritud andmete väärkasutamise,

maksjaga manipuleerimise või muul pettuslikul teel. Kuigi makseteenuste direktiiv ja

välkmaksete määrus eeldab maksete kiiret täitmist, ei saa seda igas olukorras tõlgendada viisil,

mis kohustaks makseteenuse pakkujat täitma maksejuhiseid olukorras, kus esineb põhjendatud

kahtlus, et need on toime pandud pettuse teel.

Lõike 4 kohaselt loetakse maksejuhis kättesaaduks alles pärast seda, kui makseteenuse pakkuja

on lõpetanud lisaturvameetmete rakendamise ning on veendunud, et maksejuhis ei ole seotud

andmete väärkasutamise, maksjaga manipuleerimisega või muu pettusliku tegevusega. See

tagab, et makse täitmise tähtaegade arvestus algab alles hetkest, mil makseteenuse pakkuja on

pärast vajalike kontrollide tegemist saanud asuda sisuliselt maksejuhist täitma.

Pärast lisaturvameetmete rakendamise lõppu ning kahtluste kõrvaldamist on makseteenuse

pakkujal kohustus edastada maksetehing viivitamata makse saaja makseteenuse pakkujale.

Välkmaksete kontekstis on oluline, et makseteenuse pakkuja sekkumine maksejuhise

täitmisesse selle kättesaamisega edasilükkamisega toimuks üksnes enne makse lõplikku

töötlemist ning oleks ajaliselt selgelt piiritletud.

Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 5 näeb ette, et maksja makseteenuse pakkuja

ei või maksejuhist lisaturvameetmete rakendamiseks edasi lükata kauemaks, kui käesoleva

paragrahvi lõikes 4 nimetatud asjaolu väljaselgitamiseks mõistlikult vajalik. Võimalusel peab

maksja makseteenuse pakkuja lähtuma eelkõige käesoleva seaduse §-s 728 sätestatud

tähtaegadest. Nimetatud lõige sätestab lisaturvameetmete rakendamise ajapiiri kontrollimaks,

kas maksejuhis vastab kõikidele selle töötlemiseks vajalikele nõuetele ega ole seotud andmete

väärkasutamise, maksjaga manipuleerimise või muul pettuslikul teel. See tähendab, et

lähtepunktiks jäävad üldised täitmise tähtajad ning nendest võib eemalduda ainult nii palju, kui

konkreetne kontrolli vajadus seda tingib. Eesmärk on tagada, et lisaturvameetmete rakendamise

õigus ei oleks ajaliselt piiritlemata, vaid oleks seotud konkreetse kontrollivajaduse ja selle

kestusega.

Lõike 5 mõte on tasakaalustada kahte olulist eesmärki. Ühelt poolt peab makseteenuse pakkujal

olema tegelik võimalus pettuseriski korral sekkuda ning teha vajalikud maksejuhise

kontrollitoimingud. Teiselt poolt ei tohi lisaturvameetmete rakendamine viia selleni, et maksete

täitmine venib põhjendamatult või et makseteenuse kasutaja jääb määramata ajaks ebakindlasse

olukorda. Seetõttu seob säte lubatava viivituse kestuse otseselt kontrolli eesmärgiga: viivitus

on lubatav üksnes seni, kuni kestab põhjendatud kontroll ning ainult ulatuses, mis on selle

kontrolli läbiviimiseks mõistlikult vajalik.

Eelnõus on loobutud rangest ajapiiri sätestamisest, sest kontrolli kestus ei pruugi kõikidel

juhtudel olla sama. Mõnes olukorras piisab automaatsest kontrollist või lisakinnituse

15

küsimisest, mille saab teha väga kiiresti, muus olukorras võib olla vaja teha täiendav

riskihindamine või saada maksjalt kinnitus eri kanali kaudu.

Nimetatud tähtaeg kehtib ka välkmaksetele ning seda tuleb arvestada ka välkmaksete puhul

maksejuhise täitmisel. Välkmaksete määruse kohaselt peab maksja makseteenuse pakkuja kohe

pärast välkmaksejuhise kättesaamist kontrollima, kas makse töötlemise tingimused on täidetud

ja kas vajalikud vahendid on olemas, ning saatma maksetehingu viivitamata saaja makseteenuse

pakkujale. Saaja makseteenuse pakkuja peab omakorda tegema summa saaja kontol

kättesaadavaks 10 sekundi jooksul alates sellest, kui maksja makseteenuse pakkuja

välkmaksejuhise kätte sai. See näitab, et liidu seadusandja eesmärk on maksete, eriti

välkmaksete, võimalikult kiire täitmine.

Teisalt ei saa turvakontrolli ajaline piirang muuta seda ebaefektiivseks. Välkmaksete määrus

küll eeldab väga kiiret maksete täitmist, kuid samas säilib makseteenuse pakkuja kohustus

ennetada pettusi ja rakendada turvanõudeid. Makseteenuste direktiiv ja komisjoni

rakendusmäärus lähtuvad sellest, et maksete kõrgetasemeline turvalisus on makseteenuste

toimimise üks põhielement. Kõnealune lõige 5 tasakaalustab neid kahte vastuolulist eesmärki:

makseteenuse pakkuja võib maksejuhise kättesaamise edasi lükata, kuid ainult nii kaua, kui tal

on tegelikult vaja tuvastada, kas tehing on õiguspärane; pärast seda tuleb maksejuhis saata

viivitamata makse saaja makseteenuse pakkujale. Nii-öelda lubatav viivitus lõpeb siis, kui

lõikes 4 nimetatud asjaolu väljaselgitamiseks mõistlikult vajalik aeg on möödunud. See

võimaldab hiljem hinnata makseteenuse pakkuja tegevuse õiguspärasust ning vastutuse

olemasolu.

Makseteenuste direktiivi järgi on makse täitmise tähtaeg seotud maksejuhise kättesaamise

ajaga, artikli 78 lõike 1 kohaselt on maksejuhise kättesaamise aeg see hetk, mil maksja

makseteenuse pakkuja maksejuhise kätte saab, ning artikli 83 lõike 1 kohaselt peab maksja

makseteenuse pakkuja tagama, et pärast seda hetke kantakse maksesumma saaja makseteenuse

pakkuja kontole hiljemalt järgmise tööpäeva lõpuks. Makseteenuste direktiiv näeb ette, et kui

makseteenuse pakkuja keeldub õiguspäraselt maksejuhise täitmisest, loetakse selline

maksejuhis täitmise tähtaegade mõttes kättesaamata maksejuhisena. Seega on maksejuhise

“kättesaamise” mõiste otseselt seotud sellega, millal hakkavad kulgema täitmise tähtajad ning

millal tekib makseteenuse pakkujal kohustus makset edasi töödelda.

Komisjoni rakendusmäärus lähtub tehingu riskipõhisest lähenemisest ning näeb ette, et

makseteenuse pakkujatel peavad olema tehingute jälgimise mehhanismid, mis võimaldavad

tuvastada autoriseerimata või pettuslike maksetehinguid. Need mehhanismid peavad põhinema

maksetehingute analüüsil, arvestades seda, mis on konkreetse makseteenuse kasutaja puhul

tavapärane, ning võtma arvesse vähemalt riskitegureid nagu maksja tavapäratud kulutused või

käitumismuster; ebatavaline teave maksja seadme/tarkvara kasutamise kohta; pahavaraga

nakatumine autentimismenetluse mis tahes seansi kestel ning makseteenuste osutamisega

seoses teadaolev petuskeem (artikkel 2 lõige 2). Sama määruse põhjenduspunktis 14 on

rõhutatud, et kui reaalajas riskianalüüs ei võimalda tehingut pidada madala riskiga tehinguks,

tuleb makseteenuse pakkujal minna tagasi tugevdatud kontrolli juurde. Seega eeldab liidu

õigus, et makseteenuse pakkuja teeb vajaduse korral lisakontrolle, kuid need kontrollid peavad

olema seotud konkreetse riskihindamisega.

Eelnõu § 1 punktiga 2 VÕS-i lisatav § 7247 lõige 6 näebette, et maksja makseteenuse pakkujal

on õigus keelduda maksejuhise täitmisest, kui pärast käesoleva paragrahvi lõikes 1 nimetatud

lisaturvameetme rakendamist ei ole olnud objektiivselt võimalik kõrvaldada kahtlust, et

maksejuhis on autoriseeritud andmete väärkasutamise, maksjaga manipuleerimise või muul

16

pettuslikul teel.Sätte eesmärk on võimaldada makseteenuse pakkujal ennetada kahju tekkimist

juba enne makse lõplikku täitmist.

Lõike 6 sõnastuses kasutatud kriteerium „objektiivselt võimalik“ piirab makseteenuse pakkuja

kaalutlusruumi ning välistab keeldumise pelgalt nn üldise riskihindamise või ebamäärase

põhjenduse alusel. Keeldumine eeldab, et makseteenuse pakkuja on eelnevalt rakendanud

lisaturvameetmeid ning nende tulemusel ei ole kahtlust õnnestunud kõrvaldada. Seega peab

keeldumise alus olema kontrollitav ja põhjendatav lähtuvalt faktiliselt olukorrast.

Kehtiv VÕS § 7243 lõige 5 sätestab, et maksejuhist, mille täitmisest on õigustatult keeldutud,

käsitatakse kättesaamata maksejuhisena tulenevalt käesoleva seaduse §-des 728 ja

7333 sätestatust. See omab tähtsust nii maksejuhise täitmise tähtaja kui ka makseteenuse

pakkuja vastutuse kontekstis. Kui maksejuhise täitmisest on õigustatult keeldutud, käsitatakse

maksejuhist kättesaamata maksejuhisena, see tähendab, et maksejuhisest ei tulene

makseteenuse pakkujale ega ka makseteenuse kasutajale mingeid õigusi ega kohustusi.

VÕS-i lisatavas § 7247 lõikes 6 nähakse ette, et maksejuhist, mille täitmisest on õigustatult

keeldutud, käsitatakse kättesaamata maksejuhisena tulenevalt käesoleva § 7243 lõikest 5. Ka

siis, kus maksejuhise täitmisest keeldutakse õiguspäraselt pärast lisaturvameetmete

rakendamist, on tegemist kättesaamata maksejuhisega.

Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 7 näebette, et kui maksejuhise täitmine viibib

käesoleva paragrahvi lõikes 1 sätestatud lisaturvameetmete rakendamise tõttu, hakkab

käesoleva seaduse §-s 728 sätestatud maksejuhise täitmise tähtaeg kulgema alates maksejuhise

kättesaamisest käesoleva paragrahvi lõikes 4 sätestatud tähenduses.Kõnealune lõige 7 on

seotud lõikega 4, sest juhul, kuimaksejuhis loetakse kättesaaduks pärast lisaturvameetmete

rakendamist, peab samas hetkest kulgema hakkama ka maksejuhise täitmise tähtaeg.

Makseteenuste direktiivi artikkel 83 lähtub samuti sellest, et täitmise aeg arvutatakse alates

artikli 78 tähenduses maksejuhise kättesaamise ajast. Kõnealune lõige tagab, et maksejuhise

täitmise tähtaja arvestus järgib sama põhimõtet ka pettusekahtlusega juhtumite korral. Säte

väldib olukorda, kus makseteenuse pakkuja satuks tähtaega rikkuma ajal, mil ta täidab seadusest

tulenevat kohustust kohaldada lisaturvameetmeid.

Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 8 näeb ette, et kui käesoleva paragrahvi lõikes

1 nimetatud lisaturvameetmete rakendamise tulemusel täidetakse makse hilinemisega,

kohaldatakse makse täitmisele käesoleva seaduse § 7333 lõigetes 41 ja 42 sätestatut.

VÕS § 7333 lõiked 41 ja 42 käsitlevad väärtuspäeva korrigeerimist hilinenud makse korral.

Eelnõuga kõnealune VÕS-i lisatav § 7247 lõige 9 näeb ette õiguse lisaturvameetmete

rakendamiseks ning asjaolude väljaselgitamisele, kas maksetehingu täitmiseks antud nõusolek

on saadud andmete väärkasutamise, maksja manipuleerimise või muul pettuslikul teel, võib

kuluda rohkem aega, kui on ette nähtud maksetehingu täitmiseks. Sellisel juhul tagab saaja

makseteenuse pakkuja maksja makseteenuse pakkuja taotlusel, et saaja maksekonto

krediteerimise väärtuspäevaks loetakse maksetehingu nõuetekohaseks täitmiseks määratud

väärtuspäev. Seeläbi ei halvene maksja olukord, kuna kontole laekunud raha väärtuspäevaks

loetakse algselt makse nõuetekohaseks täitmiseks ette nähtud kuupäev, isegi kui raha jõuab

vastavale kontole tegelikult hiljem.

Kõnealune säte järgib juba kehtivat VÕS-i regulatsiooni hilinenud makse täitmise tagajärgede

kohta ning ei loo selles osas eraldiseisvat regulatsiooni. Sätte eesmärk on tagada, et

lisaturvameetmete rakendamine ei katkestaks kehtivas õiguses juba olemasolevat hilinenud

makse täitmise tagajärgede regulatsiooni, vaid lähtuks samast loogikast. Tegemist ei ole

17

eraldiseisva hilinenud täitmise režiimi loomisega, vaid olemasolevate tagajärgede kohaldamise

täpsustamisega olukorras, kus maksetehingu täitmine viibib õiguspäraselt rakendatud

lisaturvameetmete tõttu. VÕS § 7333 lõiked 41 ja 42 reguleerivad juba praegu, milline peab

olema saaja maksekonto krediteerimise väärtuspäev juhul, kui makse täidetakse hilinemisega.

Käesolev lõige tagab, et sama põhimõte kohaldub ka siis, kui hilinemise põhjus seisneb

makseteenuse pakkuja poolt pettuskahtluse kontrollimiseks rakendatud lisaturvameetmetes.

Sellega välditakse olukorda, kus makse formaalselt hilineb, kuid hilinemise mõju saaja konto

väärtuspäeva osas jääks reguleerimata. Lahendus on kooskõlas ka makseteenuste direktiivis

sätestatud hilinenud täitmise regulatsiooniga, mille kohaselt tuleb hilinenud makse korral

tagada, et saaja konto krediteerimise päev ei oleks hilisem päevast, mil tehing oleks pidanud

olema õigesti täidetud. Makseteenuste direktiivi artikkel 89 näeb selle põhimõtte sõnaselgelt

ette.

Kui maksejuhise on algatanud maksja, kohaldub VÕS § 7333 lõige 41. Selle järgi tagab saaja

makseteenuse pakkuja maksja makseteenuse pakkuja taotlusel, et saaja maksekonto

krediteerimise väärtuspäevaks loetakse maksetehingu nõuetekohaseks täitmiseks määratud

väärtuspäev. Seega tagab lõige 8, et lisaturvameetmete tõttu tekkinud viivitus ei muudaks

hilinenud makse tagajärgede käsitlust võrreldes muude hilinenud maksetega. Maksja algatatud

makse puhul näiteks olukord, kus isik teeb internetipangas ülekande teisele isikule. Tegemist

on maksja algatatud maksega ning kohaldub VÕS § 7333 lõige 41.

Kui makse on algatatud saaja poolt või tema kaudu, kohaldub VÕS § 7333 lõige 42. Selle järgi

loetakse saaja maksekonto krediteerimise väärtuspäevaks samuti maksetehingu

nõuetekohaseks täitmiseks määratud väärtuspäev. Kõnealusel juhul näiteks kui makse saaja

algatatud makse korral võetakse isiku kontolt otsekorralduse alusel makse kommunaalteenuse

osutajale. Sellisel juhul kohaldub VÕS § 7333 lõige 42.

Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 9 näebette, et maksja ei või nõuda

makseteenuse pakkujalt kahju hüvitamist seoses käesolevas paragrahvis sätestatud

lisaturvameetmete rakendamisega või maksejuhise täitmisest keeldumisega, eeldusel, et

lisaturvameetmeid on rakendatud objektiivselt põhjendatud kahtlusel ning ebamõistliku

viivituseta. See ei välistada või piirata maksja muu nõude esitamist muul alusel, muu hulgas

nõuda käesoleva paragrahvi lõikes 5 nimetatud asjaolude väljaselgitamisega viivitamisega

tekitatud kahju hüvitamist.

Kui makseteenuse pakkuja rakendab maksetehingu kontrollimiseks lisaturvameetmeid võib

selle peale kuluda rohkem aega, kui on tavapäraselt ette nähtud maksetehingu täitmiseks. Alati

ei pruugi lisaturvameetmete rakendamise tulemuseks olla maksejuhise täitmisest keeldumine,

kuna kontrolli tulemusel selgub, et tegemist ei ole pettusega ning isik on andnud nõusoleku

maksetehingu täitmiseks. Juhul, kui makseteenuse pakkuja on lisaturvameetme rakendamise

läbi viinud õiguspäraselt vastavalt eelnõuga VÕS-i lisatava § 7247 lõike 9 tingimustele, ei

vastuta makseteenuse pakkuja kahju eest, mis on tekkinud tehingu hilinenud täitmise tõttu.

Juhul, kui makseteenuse pakkuja ei ole lisaturvameetmete rakendamist viinud läbi

õiguspäraselt, vastutab ta võimaliku tekkinud kahju eest. Näiteks võib kahju seisneda

leppetrahvi maksmises, kui makse ei jõua saajani kokkulepitud tähtajaks. Samuti võib makse

hilinemise tõttu näiteks jääda täitmata kaupade või teenuste eest tasumise kohustus ning tuleb

tasuda viivist.

Sätte eesmärk on tagada, et makseteenuse pakkuja ei oleks kohustatud kandma kahju seetõttu,

et ta tegutses maksja kaitseks ja tema pettuseohvriks langemise ärahoidmiseks. Kui

makseteenuse pakkuja rakendab põhjendatud kahtluse korral viivitamata lisaturvameetmeid on

selle eesmärgiks kliendi kaitse. Sellises olukorras oleks ebamõistlik panna makseteenuse

18

pakkujale automaatne kahju hüvitamise kohustus pelgalt ajutise viivituse tõttu. Säte

tasakaalustab maksja huvi makse kiire täitmise vastu ning maksesüsteemi turvalisuse tagamist.

Kõnealuse lõikes 9 vastutuse piiramine on sõnastatud kitsalt ja tingimuslikult. Vastutus ei ole

välistatud igas olukorras, vaid eeldab kumulatiivselt, et lisaturvameetmeid rakendatakse

ebamõistliku viivituseta ning nende aluseks on objektiivselt põhjendatud kahtlus. Lisaks on

sättes selgelt toodud, et see ei välista ega piira maksja muu nõude esitamist muul alusel. Seega

ei kõrvalda muudatus makseteenuse pakkuja üldist vastutust ega kahjusta maksja õigust

tugineda muudele õiguskaitsevahenditele, kui makseteenuse pakkuja on tegutsenud

õigusvastaselt, ebaproportsionaalselt või põhjendamatult. Selline lahendus on kooskõlas

makseteenuste direktiivi üldise vastutuse loogikaga, mille kohaselt makseteenuse pakkuja

vastutus makse mittetäitmise, puuduliku täitmise või hilinenud täitmise eest on reguleeritud,

kuid direktiiv ei välista, et riigisisene õigus näeb ette riigisisese vastutuse. Kõnealune säte ei

muuda üldiselt makseteenuste direktiivi kahju hüvitamise loogikat, kus makseteenuse pakkuja

vastutab autoriseerimata kahju hüvitamise eest. Kõnealust põhimõtet ei muudeta, sest

muudatuse näol on tegemist võimaliku kahjuga, mis on tekkinud autoriseeritud maksejuhise

kontrollimisel ja maksejuhise hilisema täitmise korral. On oluline rõhutada, et käesolev

muudatus annab makseteenuse pakkujatele õiguse keelduda autoriseeritud maksejuhise

täitmisest, mis on erinev üldisest loogikast, et makseteenuse pakkuja ei või keelduda

autoriseeritud maksejuhise täitmisest. Ehk et olukorras, kus makseteenuse pakkuja ei ole

tõkestanud maksejuhise täitmist, mille isik on ise manipuleerimise teel PIN 2-ga kinnitanud,

siis tegemist on ikkagi autoriseeritud maksejuhisega ning sellises olukorras ei kohaldu

makseteenuse pakkuja vastutus autoriseerimata makse puhul kahju hüvitamiseks.

Eelnõu §-ga 2 muudetakse KAS-i.

Eelnõu § 2 punktiga 1 täiendatakse KAS §-i 88 lõike 3 punkti 1 pärast tekstiosa „käesolevas

paragrahvis“ tekstiosaga „või käesoleva seaduse §-s § 894“.

KAS § 88 lõige 3 punkt 1 sätestab krediidiasutuse õiguse avaldada pangasaladust kolmandale

isikule, kui krediidiasutuse õigus või kohustus avaldada pangasaladust tuleneb käesolevas

paragrahvis sätestatust. See annab ammendava loetelu, mille kohaselt on krediidiasutusel õigus

avaldada pangasaladust kolmandale isikule üksnes juhul, kui selline õigus või kohustus tuleneb

KAS § 88 muudest sätetest, ehk muudel alustel ei ole võimalik pangasaladust avaldada.

Eeltoodust tulenevalt sätestatakse KAS §-i 88 ka võimalus avaldada pangasaladust eelnõuga

loodava § 894 alusel.

Eelnõu § 2 punktiga 2 täiendatakse KAS-i 7. peatüki 3. jaotist §-ga 894.

KAS-i lisatav uus paragrahv annab krediidiasutustele selged õiguslikud alused avaldada

andmeid ja teavet pettuste avastamiseks ja väljaselgitamiseks juhul, kui krediidiasutusel on

objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega. Kehtiv

KAS § 88 reguleerib iseenesest juba pangasaladuse avaldamist, mh näeb ette, et millistel

tingimustel ja kuidas võib pangasaladust edastada nii PPA-le kui RIA-le. Samas kehtiv KAS §

88 ei näe otseselt ette krediidiasutustele õigust jagada pettuse kahtluse korral andmeid nii teiste

krediidiasutustega, makseasutuste ja e-raha asutustega kui ka teiste ametiasutustega. Uue KAS

§-s 894 ettenähtud andmete puhul ei pruugi aga tingimata tegemist olla pangasaladusega (nt

tegemist võib olla koondandmetega või muude sarnaste andmetega, mille põhjal ei saa kindlaks

teha üksikkliendi andmeid). Tulenevalt eeltoodust on otsustatud, et ei täiendata kehtivat KAS

§-i 88, vaid konstrueeritakse KASi vastav uus § 894. Lisaks tuleb suure tõenäosusega vastav

normistik kehtetuks tunnistada, kui tulevikus hakkab kehtima eespool nimetatud EL

makseteenuste määrus (ehk ka õigustehniliselt on lihtsam kustuda eraldiseisvat paragrahvi).

19

KAS uue §-i 894 lõike 1 kohaseltantakse krediidiasutusele õigus avaldada erinevat teavet, mh

pangasaladust teisele krediidiasutusele, makseasutusele ja e-raha asutusele ning PPA-le

maksetehingutega seotud pettuste avastamiseks ja väljaselgitamiseks juhul, kui krediidiasutusel

on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega.

Pettuste tõkestamisel on oluline kiirus ning koostöö, et oleks võimalik operatiivselt sekkuda.

Kehtiva KAS-i § 88 lõike 5 punkt 2 võimaldab pangasaladuse avaldamist uurimisasutusele

üksnes kriminaalmenetluse raames. Seega on politseil küll võimalik saada pettuste uurimisel

informatsiooni, kuid see on piiratud, sest andmete avaldamine eeldab kriminaalmenetluse

algatamist. Eelnõuga kavandatav paragrahv loob õigusliku aluse, mis võimaldab

krediidiasutusel objektiivselt põhjendatud pettuse kahtluse korral edastada andmeid

enne kriminaalmenetluse algatamist. See võimaldab kiiremat reageerimist ja kahju tekkimist

olukordades, kus menetluse alustamine võib toimuda alles pärast esmast juhtumi analüüsi ning

pettuse ärahoidmise vaatest seega liiga hilja.

Antud juhul nähakse ette andmete jagamine krediidiasutusele õigusena, kui selliste andmete

jagamine osutub krediidiasutuse hinnangul vajalikuks. Pangasaladuse avaldamine ei ole

lubatud iga kahtluse korral, vaid juhul, kui selleks on objektiivselt põhjendatud pettuse kahtlus,

näiteks:

 isik võib olla seotud pettuse toimepanemisega või konkreetne maksetehing võib olla

seotud pettusega, ning see peab tuginema kontrollitavatele asjaoludele;

 esinevad pettustele iseloomulikud tehingumustrid, kus lühikese aja jooksul tehakse

mitmeid uutele saajatele suurtes summades ülekandeid ning samuti tehnilised andmed,

kus seade või sessioon kattub varem tuvastatud pettusega.

Uue paragrahvi § 894 lõige 2 näeb ette, millist liiki andmete avaldamine lubatud on. Pettuseid

ei pruugi olla võimalik avastada nn üksiku „andmetüki“ põhjal, vaid praktikas on vajalik

andmete kogum, mille põhjal saab omavahel siduda pettuse kahtlusega isikud, kontod,

seadmed, sessioonid jne.

Antud lõike punktis 1 nimetatud andmed kliendi kohta on isiku tuvastamiseks vajalikud

unikaalsed identifikaatorid, mille abil saab kindlaks teha millise isikuga on tegemist. Nendeks

võivad olla näiteks kliendi-ID, isikukood või kontonumber. Näiteks krediidiasutus A tuvastab,

et kliendi kontolt tehakse ebaharilikke makseid erinevatele saajatele ning on alus kahtlustada

pettuse toimepanemist, siis on võimalik teavitada krediidiasutust B, kellele makseid tehakse

ning edastada isiku andmed, et saaks kontrollida, kas saaja või tema maksekonto võib olla

seotud pettusega.

Punkti 2 kohaselt saab edastada andmeid makse saaja ja maksekonto kohta, mis on vajalikud

saaja identifitseerimiseks, et tuvastada pettuse ahelas saaja pool. Näiteks olukord, kus mitmed

isikud teevad ebaharilikke makseid ühele makse saajale. Sel juhul saab krediidiasutus edastada

makse saaja krediidiasutusele kõnealused andmed, et teine krediidiasutus saaks hinnata, kas

tegemist võib olla nn rahamuula maksekontoga. See aitab tuvastada erinevate petta saanud

isikute maksed sama makse saaja krediidiasutusele ning takistada raha liikumist rahamuulade

maksekontode vahel.

Punkti 3 kohaselt saab edastada andmeid maksetehingute kohta, mis on konkreetse

maksetehingu tunnused, näiteks tehingu ID. Nimetatud andmed maksetehingu kohta hõlmavad

üksnes konkreetse pettusekahtlusega seotud makse asjaolusid, mis on vajalikud pettuse

avastamiseks ja väljaselgitamiseks. Nende andmete all ei peeta silmas kliendi konto väljavõtet

ega muud terviklikku ülevaadet kliendi maksekäitumisest, selliste andmete väljastamine ei ole

lubatud. Konto väljavõtte avaldamine ületaks kõnealuse regulatsiooni eesmärgi ning ei oleks

20

kooskõlas andmete minimaalsuse põhimõttega. Seetõttu on lubatud avaldada üksnes selliseid

konkreetse maksetehingu andmeid, nagu tehingu aeg, tehingu liik, kasutatud kanal või muud

asjaolud, millel on vahetu tähendus pettusekahtluse kontrollimiseks.

Punktis 4 nimetatud andmed kasutatud seadme, makseinstrumendi või turvaelementide kohta

on vajalikud selleks, et maksetehinguga seotud pettusi oleks võimalik avastada ja välja selgitada

ka olukorras, kus pettusekahtlus ei ilmne üksnes kliendi, saaja või konkreetse makseandmete

pinnalt, vaid eeskätt sellest, millise tehnilise vahendi või autentimisviisiga tehing tehti. Pettused

võivad avalduda näiteks olukordades, kus kasutatakse sama seadet, sama autentimisvahendit

või samu turvaelemente mitme kahtlase tehingu tegemisel. Selliste andmete võrdlemine

võimaldab tuvastada pettusmustreid, seostada omavahel eri juhtumeid ning hinnata, kas

tegemist võib olla andmete väärkasutamise, identiteedi kuritarvitamise või muu pettusliku

skeemiga.

Kasutatud seadme, makseinstrumendi või turvaelementide kohta käiv teave ei kattu täielikult

ei kliendiandmete, makse saaja ja maksekonto andmete ega ka üksnes maksetehingu

andmetega. Kliendi või konto tuvastamine ei näita veel, kuidas tehing tehniliselt tehti või

milliseid autentimisvahendeid kasutati. Just seadme, makseinstrumendi või turvaelementide

kohta käiv info võib osutada, et näiliselt erinevad tehingud on tegelikult omavahel seotud,

näiteks kui need on tehtud sama seadme või sama maksevahendi abil. Selline teave võib olla

määrava tähtsusega, et eristada kliendi tavapärast maksekäitumist olukorrast, kus

maksevahendit või autentimisvahendeid on väärkasutatud.

Andmeteks on näiteks seadme- ja sessiooniandmed ning muud pettuse tuvastamist võimaldavad

tehnilised andmed, mille alusel saab tuvastada, kas makse algatamise keskkond on ebatavaline,

näiteks seadme-ID, brauser, IP-aadress. See aitab tuvastada, kas erinevate isikute kontodelt

algatatakse makseid sama seadmega või samalt IP-aadressilt, kuigi isikud on erinevates

piirkondades. Nende andmete jagamine aitab tuvastada pettuse toimepanemist laiemalt

erinevate krediidiasutuste üleselt, mida üks krediidiasutus oma andmete pinnalt ei pruugi

tuvastada.

Punktiga 5 nähakse ette andmete ja teabe jagamine maksetehinguga seotud pettuse või muu

süüteo tunnustele vastava teo kohta. See on andmed ja teave mille järgi on näha, et tegemist

võib olla pettus või muu süüteoga. Tegemist ei pea olema juba kinnitust leidnud

pettusjuhtumiga, vaid pigem andmete ja tunnustega, mis osutavad võimalikele rikkumise

tunnustele. Siia võivad kuuluda näiteks andmed ebatavalise käitumismustri kohta, vastuolud

makse algatamise tavapärases loogikas, andmed selle kohta, et kasutatud on võõrast või

ootamatut seadet, turvaelemente on kasutatud ebatavapärasel viisil, või muud asjaolud, mis

eraldi või kogumis loovad objektiivselt põhjendatud kahtluse, et tehing võib olla seotud pettuse

või muu süüteoga. See on suunatud ennekõike süüteotunnuste, riskinäitajate ja kahtlust

toetavate asjaolude kirjeldamisele. Selle punkti eesmärk on võimaldada vahetada sellist teavet,

mis aitab pettust või muud võimalikku süütegu tuvastada, selle olemasolu kontrollida ja

hinnata, kas on alust võtta kasutusele täiendavaid meetmeid.

Erinevalt punktist 6 ei ole käesoleva punkti 5 puhul tegemist juba toimunud pettusejuhtumiga.

Pettuste avastamise ja väljaselgitamise seisukohast on oluline võimalus vahetada ka sellist

teavet, mis ei kirjelda veel lõplikult tuvastatud pettust, kuid mis võib viidata pettuse või muu

süüteo tunnustele ning aidata ennetada kahju tekkimist või levikut. Samal ajal on vajalik eraldi

nimetada ka juba toime pandud pettuse teel tehtud tehingud ja pettusekatsed, sest nende kohta

kogutav ja vahetatav teave on tavaliselt konkreetsem, detailsem ja otsesemalt seotud konkreetse

juhtumi lahendamisega.

21

Punktiga 6 nähakse ette andmete ja teabe jagamine pettuse teel tehtud tehingute või

pettusekatsete ja nende asjaolude kohta. Need on andmed ja teave toime pandud või toime

panna üritatud pettusjuhtumi ning selle konkreetsete asjaolude kohta. Need on nn

pettuseindikaatorid, mis kirjeldavad petuskeemi toimimist, nagu näiteks tehingu ajastus ja

korduvad summad ning mitme isiku samasugused käitumisjooned. See aitab pettuste

toimepanemist avastada näiteks olukorras, kus mitmed kliendid saavad samal päeval panga

nimel petukõnesid, siis on võimalik jagada pettusekatsete mustreid teiste krediidiasutustega

ning tuvastada nn saripettuse toimepanemine võimalikult vara ka teistel krediidiasutustel ning

seeläbi kahjusid vähendada.

Eeltoodu võib olla tuvastatud manipuleerimise tehnikad või muud pettuslikud võtted. Pettuse

toimepanijate nn töövõtted on näiteks krediidiasutuse töötajana esinemise legend, kiire

tegutsemise surve kindlate pettuse liikide puhul, pahavara allalaadimise juhendamine jne.

Näiteks krediidiasutusele teavitavad mitmed isikud samasuguse sisuga krediidiasutuse

töötajana esinenud pettuslikust kõnest.

Uue § 894 lõikega 3 nähakse krediidiasutusele ette õigus avaldada pangasaladust ka RIA-le.

Kehtiv KAS § 88 lg 43 annab krediidiasutusele õiguse avaldada pangasaladust RIA-le

küberturvalisuse seaduses sätestatud riikliku järelevalve tegemisel.

RIA on Eesti küberturvalisuse keskus, mis tegeleb avaliku sektori ja kriitilise infrastruktuuri

küberturvalisusega ning on võrgu- ja infosüsteemide turbe direktiivi (NIS)13 mõistes

küberturvalisuse pädev asutus ja kontaktpunkt.

Nagu eespool juba märgitud, siis uue paragrahvi kohaselt RIA-le avaldatatavad andmed ei

pruugi kõik kvalifitseeruda pangasaladuseks. Lisaks arvestades RIA ülesannet on temale

avaldada lubatud andmete koosseis lõike 3 näol kitsam (kui lõikes 1 PPA puhul), piirdudes

üldisemalt andmetega pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta

ning maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo tuvastamist

võimaldavaid andmeid. RIA-le ei avaldata andmeid ja teavet 1) kliendi tuvastamiseks; 2) makse

saaja ja maksekonto kohta ning 3) maksetehingute kohta, sealhulgas muid makseandmeid.

Lõikes 3 nähakse ette, et RIA-le saab andmeid jagada küberturvalisuse seaduse (edaspidi KüTS)

§ 5 lõige 3 punkt 3 alusel. See punkt sätestab, et RIA täidab EL direktiivi (EL) 2022/2555 artikli

10 lõikes 1 nimetatud küberintsidentide käsitlemise üksuse ülesanded. Eelnimetatud direktiivi

artikli lõige 2 viitab ülesannetele, mis on sätestatud direktiivi artikli 11 lõikes 3. Näiteks on

artikli 11 lõike 3 kohaselt vastavateks ülesanneteks:

- tagada küberohtude, nõrkuste ja intsidentide kohta varajaste hoiatuste, hoiatuste ja teadete

edastamine ning teabe levitamine asjaomastele elutähtsatele ja olulistele üksustele ning

pädevatele asutustele ning muudele asjaomastele sidusrühmadele, võimaluse korral

reaalajalähedaselt;

- lahendada intsidente ning, kui see on kohaldatav, abistada asjaomaseid elutähtsaid ja olulisi

üksusi.

Kuna kehtiv KAS annab võimaluse avaldada pangasaladust üksnes riikliku järelevalve

tegemisel, ei ole RIA-l võimalik väljaspool seda sekkuda küberturvalisust ohustavatele

olukordadele. Majandus- ja kommunikatsiooniministeeriumi 25. aprilli 2011. aasta määruse nr

28 „Riigi Infosüsteemi Ameti põhimäärus“ § 8 lõike 4 punkti 3 kohaselt täidab küberturvalisuse

valdkonnas amet küberturvalisuse seaduse § 5 tähenduses pädeva asutuse, ühtse kontaktpunkti,

ulatuslike küberintsidentide ja kriiside ohjamise eest vastutava pädeva asutuse,

13 https://eur-lex.europa.eu/eli/dir/2022/2555/oj/est

22

küberintsidentide käsitlemise üksuse ja turvahaavatavuse koordineeritult avaldamise

koordinaatori ülesandeid ning koordineerib küberintsidentide käsitlemist. Sama paragrahvi

lõige 4 punkt 4 kohaselt korraldab küberturvalisuse amet küberturvalisust ohustavate riskide

seiret, analüüsi ja ohtudest teavitamist. KAS-i lisatav uus paragrahv annab võimaluse avaldada

andmeid ja teavet ka olukordades, mis on väljaspool riikliku järelevalve menetlust. See annab

võimaluse sekkuda küberintsidentide puhul operatiivselt. Andmete avaldamise korral üksnes

järelevalve menetluse raames jõuab teave RIA-le liiga hilja ning see takistab RIA-l sekkuda

intsidentidesse reaalajas.

RIA töötleb andmeid avalikes huvides oleva ülesande täitmiseks, milleks on küberintsidentide

käsitlemine ja küberturvalisust ohustavate riskide ennetamine. Maksetehingutega seotud

pettused on sageli seotud infosüsteemide ründamise, autentimisvahendite kuritarvitamise või

muu küberohuga ning võivad kujutada endast osa laiemast või koordineeritud

küberintsidendist. Selliste juhtumite puhul ei ole tegemist üksnes isiku varakahjuga, vaid

riskiga maksesüsteemide ja infosüsteemide turvalisusele laiemalt. RIA kui küberturvalisuse

pädev asutus vajab teavet pettuse olemuse, ründeviiside ja kasutatud tehniliste vahendite kohta,

et tuvastada rünnakumustreid, hinnata riske ning vajaduse korral teavitada teisi

teenuseosutajaid ja koordineerida reageerimist.

Kokkuvõttes ei avaldata RIA-le andmeid kliendi tuvastamiseks, makse saaja ega maksekonto

andmeid ega muid makseandmeid. Avaldada on lubatud üksnes pettuse teel tehtud tehingute või

pettusekatsete asjaolusid ning maksetehinguga seotud pettuse või muu süüteo tunnustele

vastava teo tuvastamist võimaldavaid andmeid. Seega on andmete avaldamine suunatud eeskätt

tehnilise ja mustripõhise analüüsi võimaldamisele, mitte üksikisikute tuvastamisele.

Uue § 894 lõike 4 kohaselt on krediidiasutusel õigus avaldada e-identimise ja e-tehingute

usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale

käesoleva paragrahvi lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja, seadme- ja

sessiooniandmed ning kasutaja elektroonilise side võrgu identifikaatori andmed.

Nimetatud andmete avaldamise vajadus seisneb selles, et pettusekahtluse korral ei pruugi

krediidiasutusel olla võimalik üksnes enda valduses oleva info põhjal kontrollida, kas e-

allkirjastamine või muu usaldusteenuse kasutamine toimus tegelikult selle kasutaja enda poolt

või kasutati seda pettuslikult. Usaldusteenuse osutaja on see osapool, kellel on info e-

allkirjastamise või muu usaldusteenuse kasutamise tehniliste andmete kohta. Seetõttu võib

pettuse avastamiseks või väljaselgitamiseks olla vajalik, et krediidiasutus saaks konkreetse

juhtumi puhul avaldada usaldusteenuse osutajale piiratud hulka identifitseerivaid ja tehnilisi

andmeid. Andmete avaldamine on ühepoolne ning selle põhjal saab usaldusteenuse osutaja

kontrollida, kas tema teenust on konkreetse pettusekahtlusega juhtumi raames kasutatud pettuse

teel, ning rakendada vajaduse korral enda pädevuses olevaid kaitsemeetmeid, näiteks teenuse

kasutamist ajutiselt piirata.

Ilma kõnealuste andmeteta ei oleks võimalik usaldusteenuse pakkujal kontrollida, kas

vaidlusalune allkirjastamistoiming või muu usaldusteenuse kasutamine toimus sama isiku

nimel, kelle maksetehingu suhtes tekkis pettusekahtlus. Seadme- ja sessiooniandmed on

vajalikud selleks, et võrrelda, kas konkreetne teenuse kasutus langes kokku usaldusteenuse

osutaja süsteemides registreeritud tehniliste tunnustega, näiteks kas kasutati sama seadet, sama

sessiooni või sarnast tehnilist keskkonda. Kasutaja elektroonilise side võrgu identifikaatori

andmed aitavad kontrollida, kas vaidlusalune kasutamine toimus samast võrgukeskkonnast või

sama tehnilise lähtepunkti kaudu, mis seostub ka võimaliku pettusliku maksetehinguga. Säte

eesmärk on lubada andmete avaldamist üksnes konkreetse pettusekahtlusega juhtumi

kontrollimiseks ja ulatuses, mis võimaldab konkreetset juhtumit kontrollida.

23

Uue § 894 lõikega 5 nähakse ette, et andmete ja teabe avaldamisel ei ole lubatud avaldada

eriliiki isikuandmeid.Andmete ja teabe avaldamise eesmärk on maksepettuse avastamine ja

väljaselgitamine ning selle eesmärgi saavutamiseks ei ole eriliiki isikuandmete avaldamine

üldjuhul vajalik. See suurendaks põhiõiguste riivet ja oleks vastuolus andmete minimaalsuse

ning ebaproportsionaalne.

Eelnõu §-ga 3 muudetakse MERAS-t.

Eelnõu §-ga 3 täiendatakse MERAS §-i 63³ lõigetega 2 ja 3. Lõike 2 kohaselt on

makseteenuse pakkujatele õigus avaldada andmeid ja teavet teisele makseasutusele ja e-raha

asutusele, krediidiasutusele, PPA-le ning RIA-le maksepettuste avastamiseks ja

väljaselgitamiseks krediidiasutuste seaduse §-is 894 sätestatud tingimustel. Kuna

makseteenuseid osutavad ka makseasutused ja e-raha asutused, antakse ka neile

krediidiasutusega samasugune õigus andmeid avaldada. Vastasel juhul jääb osa

teenusepakkujaid pettuste ennetustegevusest väljapoole just puuduva info tõttu. Andmete

avaldamise eesmärk ja koosseis on sama nagu krediidiasutustel.

Lõike 3 kohaselt on makseteenuse pakkujal on õigus avaldada E-identimise ja e-tehingute

usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale

krediidiasutuste seaduse § 894 lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja isikukood,

seadme- ja sessiooniandmed ning kasutaja elektroonilise side võrgu identifikaatori andmed. Ka

siin on andmete avaldamise eesmärk ja koosseis sama nagu krediidiasutustel.

4. Eelnõu vastavus Eesti Vabariigi põhiseadusele

4.1 Andmete avaldamise ja töötlemise vastavus põhiseadusele

Isikute põhiõigusi võib piirata ainult kooskõlas põhiseadusega. Isikute põhiõigustesse

sekkumine on põhiseaduspärane, kui see on formaalselt ja materiaalselt põhiseadusega

kooskõlas. Materiaalne põhiseaduspärasus tähendab, et põhiõiguse riive on kehtestatud (a)

legitiimselt ehk põhiseadusega lubatava eesmärgi saavutamiseks ning (b) on selle legitiimse

eesmärgi saavutamiseks proportsionaalne. Materiaalset põhiseaduspärasust kontrollitakse

järgmise skeemi alusel: esmalt tehakse kindlaks põhiõiguse esemeline ja isikuline kaitseala ning

seejärel kirjeldatakse, kuidas õigusakt põhiõigust riivab. Tuleb hinnata, kas riivel on legitiimne

eesmärk ning teostada proportsionaalsuse test - kas riive on legitiimse eesmärgi saavutamiseks

sobiv, vajalik ja mõõdukas. Andmete kogumine füüsiliste ja juriidiliste kohta riivab eelkõige

õigust eraelu puutumatusele (PS § 26) ja õigust informatsioonilisele enesemääramisele (PS §

19). Õigus eraelu puutumatusele PS § 26 kaitseb isiku õigust eraelu puutumatusele ning keelab

riigil sellesse sekkuda muul juhul, kui seaduses sätestatud juhtudel ja korras tervise, kõlbluse,

avaliku korra või teiste inimeste õiguste ja vabaduste kaitseks, kuriteo tõkestamiseks või

kurjategija tabamiseks. Samuti riivab isikuandmete töötlemine PS §-st 19 tulenevat isiku

informatsioonilist enesemääramist. Informatsiooniline enesemääramine tähendab, et igaühel on

õigus ise otsustada, kas ja kui palju tema kohta andmeid kogutakse ja salvestatakse.

Andmete töötlemise eesmärk on maksetehingutega seotud pettuste avastamine ja

väljaselgitamine ning kaitsta seeläbi makseteenuse kasutajaid varalise kahju eest. Isikuandmete

kaitse üldmääruse artikli 6 lõike 1 punkti e kohaselt on isikuandmete töötlemine seaduslik juhul,

kui isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või

vastutava töötleja avaliku võimu teostamiseks. Pettused makseteenuste valdkonnas põhjustavad

klientidele varalist kahju ning kahjustavad usaldust maksesüsteemi kui terviku vastu. Pettuste

ärahoidmine on ka üheks makseteenuste direktiivi eesmärgiks ning artikli 94 lõike 1 kohaselt

24

liikmesriigid lubavad maksesüsteemidel ja makseteenuse pakkujatel töödelda isikuandmeid,

kui see on vajalik maksepettuste ärahoidmise, uurimise ja avastamise tagamiseks.

Eelnõu annab makseteenuse pakkujatele õiguse avaldada pettusekahtluse korral piiratud

adressaatide ringile andmeid kliendi, makse saaja, maksekonto, maksetehingu, pettuse või muu

süüteo tunnustele vastava teo, kasutatud seadme, makseinstrumendi või turvaelementide ning

pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta. Kuna riive ei ole kõigi

andmekategooriate puhul ühesugune, tuleb põhiseaduspärasust hinnata erinevate

andmekategooriate kaupa, mis võimaldab hinnata, kas iga konkreetse andmeliigi avaldamine

on eesmärgi saavutamiseks sobiv, vajalik ja mõõdukas.

4.1.1. Kliendi kohta käivate andmete avaldamine

Kliendiandmete avaldamine riivab eraelu puutumatust ja informatsioonilist enesemääramist,

sest tegemist on isikut tuvastada võimaldava teabega. Kliendiandmete avaldamise legitiimne

eesmärk on maksepettuste avastamine ja väljaselgitamine ning seeläbi teiste isikute varaliste

õiguste kaitse ja kuritegude tõkestamine. Nende andmete avaldamine on eesmärgi

saavutamiseks sobiv, sest ilma kliendi identiteeti siduva teabeta ei ole võimalik kontrollida, kas

sama isik on seotud ka teiste võimalike pettuse juhtumitega teiste makseteenuse pakkujate

juures või PPA menetlustes. Pettustega seotud teave on praktikas sageli killustunud erinevate

krediidiasutuste, teiste makseteenuse pakkujate ja ametite vahel ning kliendi andmete

õigeaegne jagamine võimaldab kontrollida, kas ta on seotud teiste samalaadsete juhtumisega.

Andmeid avaldatakse määratletud isikute ringile ning konkreetsel eesmärgil.

Meede on ka vajalik, sest vähem riivavam lahendus, näiteks pseudonümiseeritud või

anonüümseks muudetud andmed ei võimaldaks konkreetset isikut tuvastada ega seostada

erinevates süsteemides ilmnenud pettusekahtlustega. Mõõdukuse seisukohalt kaalub riivega

saavutatav hüve võimaliku kahju üles, kui avaldatakse üksnes konkreetse juhtumi

lahendamiseks vajalikud kliendiandmed, mitte kogu kliendiprofiil või kliendisuhte ajalugu.

4.1.2. Makse saaja ja maksekonto kohta käivate andmete avaldamine

Ka makse saaja ja maksekonto kohta andmete avaldamise legitiimne eesmärk on maksepettuste

avastamine ja väljaselgitamine ning seeläbi teiste isikute varaliste õiguste kaitse ja kuritegude

tõkestamine. Nende andmete avaldamine on eesmärgi saavutamiseks sobiv, sest pettuse teel

saadud rahalised vahendid kantakse konkreetsele makse saajale ja maksekontole ning pettuste

avastamiseks ja väljaselgitamiseks on vaja tuvastada, kuhu rahalised vahendid kanti ja samuti

kas sama konto või saaja on seotud teiste sarnaste juhtumisega. Meede on vajalik, sest ilma

andmeteta makse saaja ja maksekonto kohta ei oleks teistel makseteenuse pakkujatel ega PPA-

l võimalik konkreetset maksetehingut kontrollida ega võtta vajaduse korral samme kahju

vältimiseks või selle suurenemiseks. Oluline on, et maksekonto väljavõtte avaldamine on

keelatud ehk et ei ole võimalik teha selle põhjal järeldusi nt isiku finantssuhete, varalise seisu

või üldiselt maksekäitumise kohta. Seetõttu saab meedet pidada mõõdukaks, kuna teavet

avaldatakse üksnes konkreetse juhtumi kohta ning ulatuses, mis on vältimatult vajalik pettuse

avastamiseks või väljaselgitamiseks. Ainult makseteenuse pakkuja sisemisest kontrollist ei

pruugi piisata, kui pettus hõlmab teise makseteenuse pakkujate kontot ning teise makseteenuse

pakkuja kaudu tehtud tehinguid, mis ilmnevad alles eri juhtumite omavahelisel võrdlemisel.

4.1.3. Maksetehingu kohta käivate andmete avaldamine

Kõnealuste andmete avaldamine on eesmärgi saavutamiseks sobiv, sest pettuse avastamine ei

sõltu üksnes osapoolte identifitseerimisest, vaid ka võimaliku pettusliku maksetehingu

25

tunnustest. Nimetatud andmed maksetehingu kohta hõlmavad üksnes konkreetse

pettusekahtlusega seotud makse asjaolusid, mis on vajalikud pettuse avastamiseks ja

väljaselgitamiseks. Nende andmete all ei peeta silmas kliendi konto väljavõtet ega muud

terviklikku ülevaadet kliendi maksekäitumisest, selliste andmete väljastamine ei ole lubatud.

Näiteks võib maksetehingu summa, ajastus ning selle unikaalne tunnus maksetehingu üheselt

kindlaks teha. Vähem õigusi riivama meetmena näiteks üksnes anonümiseeritud või statistilise

info jagamine ei võimaldaks konkreetse pettuskahtluse korral tuvastada asjaosalisi ning siduda

konkreetseid tehinguid ja kontosid ega võtta viivitamata tarvitusele abinõusid konkreetse kahju

ärahoidmiseks. Samuti ei täidaks eesmärki see, et andmeid võiks edastada alles pärast

süüteomenetluse alustamist, sest pettuste puhul on andmete kiirel liikumisel otsene tähtsus

kahju tekkimise või selle suurenemise ärahoidmisel. Seetõttu on kavandatud piiratud

andmevahetuse õigus eesmärgi saavutamiseks vajalik.

4.1.4. Andmed kasutatud seadme, makseinstrumendi või turvaelementide kohta

Meede on eesmärgi saavutamiseks sobiv, sest maksepettused on tihti seotud korduvate tehniliste

tunnustega ning sama seade, makseinstrument või autentimisviis võib siduda näiliselt

eraldiseisvaid juhtumeid. Kasutatud seadme, makseinstrumendi või turvaelementide kohta käiv

teave ei kattu täielikult ei kliendiandmete, makse saaja ja maksekonto andmete ega ka üksnes

maksetehingu andmetega. Kliendi või konto tuvastamine ei näita veel, kuidas tehing tehniliselt

tehti või milliseid autentimisvahendeid kasutati. Just seadme, makseinstrumendi või

turvaelementide kohta käiv info võib osutada, et näiliselt erinevad tehingud on tegelikult

omavahel seotud, näiteks kui need on tehtud sama seadme või sama maksevahendi abil. Selline

teave võib olla määrava tähtsusega, et eristada kliendi tavapärast maksekäitumist olukorrast,

kus maksevahendit või autentimisvahendeid on väärkasutatud.

Andmeteks on näiteks seadme- ja sessiooniandmed ning muud pettuse tuvastamist võimaldavad

tehnilised andmed, mille alusel saab tuvastada, kas makse algatamise keskkond on ebatavaline,

näiteks seadme-ID, brauser, IP-aadress. See aitab tuvastada, kas erinevate isikute kontodelt

algatatakse makseid sama seadmega või samalt IP-aadressilt, kuigi isikud on erinevates

piirkondades. Nende andmete jagamine aitab makseteenuse pakkujatel tuvastada pettuse

toimepanemist laiemalt erinevate makseteenuse pakkujate üleselt, mida üks neist oma andmete

pinnalt ei pruugi tuvastada. Samuti aitab teabe edastamine PPA-le siduda üksikjuhtumeid

laiemate petuskeemidega. Seega aitab andmete avaldamise õigus otseselt kaasa eelnõu

eesmärgi saavutamisele. Osaliselt on tegemist tehniliste andmetega, mille privaatsusriive on

väiksem, kui näiteks maksetehingu kohta avaldatavate andmete puhul, kuid samas võib tekkida

oht, et selliste andmete laialdane jagamine koos muu infoga võib võimaldada isiku tegevuse

kohta laiemalt teada saada. Seepärast on lubatud on üksnes niisuguste tehniliste tunnuste

jagamine, mis on pettusmustri tuvastamiseks vajalikud, mitte kogu tehnilise logi või

autentimisajaloo avaldamine.

4.1.5. Andmed maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo

kohta

Need on nn pettuseindikaatorid, mis kirjeldavad petuskeemi toimimist, nagu näiteks tehingu

ajastus ja korduvad summad ning mitme isiku samasugused käitumisjooned. See aitab pettuste

toimepanemist avastada näiteks olukorras, kus mitmed kliendid saavad samal päeval panga

nimel petukõnesid, siis on võimalik jagada pettusekatsete mustreid teiste krediidiasutustega

ning tuvastada nn saripettuse toimepanemine võimalikult vara ka teistel krediidiasutustel ning

seeläbi kahjusid vähendada. Sellise teabe avaldamine on eesmärgi saavutamiseks sobiv, sest

üksnes kliendi, konto või tehingu tehnilistest andmetest ei pruugi piisata, et tuvastada

saripettuse mustrit või erinevate makseteenuse pakkujate juures ilmnenud juhtumite seost.

26

Näiteks olukord, kus mitmed kliendid saavad samal päeval krediidiasutuse nimel petukõnesid,

siis on võimalik jagada pettusekatsete mustreid teiste krediidiasutustega ning tuvastada nn

saripettuse toimepanemine võimalikult vara ka teistel krediidiasutustel ning seeläbi kahjusid

vähendada. Vähem riivavam lahendus oleks näiteks üksnes neutraalse tehnilise info jagamine,

kuid see ei oleks eesmärgi saavutamiseks sobiv, sest ei võimaldaks tuvastada konkreetset

võimalikku maksetehinguga seotud pettust ning eristada seda lihtsalt maksetehingust, mis on

tavapärasega võrreldes ebatavaline. Selliseid andmeid tohib avaldada ainult konkreetse juhtumi

puhul ning mitte üldise riskiprofiili loomiseks.

4.1.6. Andmed pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta

Kõnealune meede on eesmärgi saavutamiseks sobiv. Pettuse teel tehtud tehingute või

pettusekatsete ja nende asjaolude kohta käiv teave võimaldab makseteenuse pakkujatel

tuvastada korduvaid pettusmustreid, seostada omavahel üksikjuhtumeid ning tuvastada

kiiremini olukordi, kus sama skeemi kasutatakse mitme makseteenuse kasutaja või mitme

makseteenuse pakkuja suhtes. Need andmed võimaldavad edasi anda pettuste mustrit, ehk

selline info aitab ära tunda saripettusi ja katkestada sama skeemi edasise kasutamise. Nimetatud

andmete avaldamine aitab kaasa seaduse eesmärgi saavutamisele.

Meede on ka vajalik, sest sama eesmärki ei ole võimalik saavutada üksnes anonümiseeritud või

statistilise info edastamisega, sest siis ei oleks võimalik tuvastada, et eri juhtumid kuuluvad

tegelikult sama petuskeemi alla. Pettusekatsete ja nende asjaolude kirjeldus võimaldab mõista

ja ära tunda, milles sarnasus teiste juhtumitega seisneb. Vähem riivav abinõu oleks näiteks

ainult üldiste hoiatusmustrite jagamine ilma konkreetsete juhtumite asjaoludeta, kuid see ei

oleks sama tõhus, sest ei võimaldaks konkreetseid juhtumeid omavahel seostada.

Meetme mõõdukuse puhul tuleb kaaluda ühelt poolt riive intensiivsust ja teiselt poolt selle abil

saavutatava hüve kaalukust. Selliste andemete avaldamine võib anda infot selle kohta, kas

konkreetse isik või konto võib olla seotud pettusega ning seetõttu käsitada neid nn kõrgendatud

riskiga. Kui pettusekahtlus hiljem ei saa kinnitust, ei tohi see isikut negatiivselt mõjutada.

Sellise info avaldamine võib mõjutada asjaomase isiku või konto käsitamist kõrgendatud

riskiga objektina ning seetõttu puudutab see lisaks privaatsusele ka mainehuve. Eriti tundlik on

see olukorras, kus pettusekahtlus hiljem ei saa kinnitust. Seetõttu ei tohi seda andmekategooriat

tõlgendada kui alust süü omistamiseks või lõpliku õigusliku hinnangu andmiseks. Avaldama

peaks faktilised asjaolud ja mustrid, mis on objektiivselt põhjendatud ning see iseenesest ei tohi

olla järelduseks, et tehing on tehtud pettuse teel või isik on seotud pettusega.

Teisalt just pettusekatsete ja pettuse teel tehtud tehingute asjaolude jagamine võimaldab kõige

tõhusamalt avastada saripettusi, kaitsta teisi võimalikke kannatanuid, takistada sama skeemi

korduvat kasutamist ning piirata tekkiva kahju ulatust. Kui sellist teavet ei saaks jagada,

väheneks oluliselt makseteenuse pakkujate ja PPA võimekus avastada saripettusi, mis

joonistuvad välja mitmete juhtumite võrdlemisel. See aitab kaitsta isikute vara, maksesüsteemi

usaldusväärsust ning aitab pettusi avastada ja välja selgitada. Andmeid tohiks avaldada üksnes

siis, kui on objektiivne kahtlus konkreetse tehingu osas, mitte laiemalt üldise riskihinnangu

põhjal. Sellise teabe avaldamine iseenesest ei tohi muutuda isiku üldiseks riskiprofiiliks, mis

võib mõjutada isikut väljaspool seda konkreetset juhtumit. Arvestades eeltoodut, saab pidada

nimetatud andmete avaldamist proportsionaalseks ega moonuta põhiõiguste olemust. Andmete

avaldamise hüve on kaalukas, sest aitab suures ulatuses avastada erinevaid petuskeeme ja

mustreid makseteenuse pakkujate üleselt ning samuti suureneb PPA võimekus pettusi avastada.RIA täidab küberturvalisuse seaduse tähenduses küberintsidentide käsitlemise üksuse

ülesandeid ning koordineerib küberintsidentide käsitlemist ning kõnealused andmed aitavad

RIA-l tuvastada, ennetada ja ohjata maksepettustega seotud küberintsidente ning

27

pettusmustreid. Need andmed aitavad mõista, milline tehniline või käitumuslik muster viitab

pettusele, mis võib osutada laiemale küberohule.

4.2 Maksejuhise kättesaamise edasilükkamise põhiseaduspärasus

Kavandatav VÕS § 7247 annab maksja makseteenuse pakkujale õiguse objektiivselt

põhjendatud pettusekahtluse korral maksejuhise kättesaamine ajutiselt edasi lükata, rakendada

lisaturvameetmeid ning vajaduse korral keelduda maksejuhise täitmisest. Regulatsioon riivab

eeskätt maksja omandipõhiõigust, täpsemalt PS § 32 lõikes 2 tagatud õigust oma vara vabalt

kasutada ja käsutada, kuna rahaliste vahendite kasutamist võib ajutiselt edasi lükata.

Meede on eesmärgi saavutamiseks sobiv. Kui makseteenuse pakkujal tekib objektiivselt

põhjendatud kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või on autoriseeritud

andmete väärkasutamise, maksja manipuleerimise või muul pettuslikul teel, võimaldab

maksejuhise kättesaamise ajutine edasilükkamine ja täiendavate turvameetmete rakendamine

kontrollida, kas maksejuhis vastab maksja tegelikule tahtele.

Meede on vajalik. Vähem koormavad meetmed ei võimaldaks sama tõhusalt saavutada

eesmärki tõkestada pettuse teel tehtud maksetehinguid. Kliendi tugev autentimine ei ole kõikide

pettuse liikide puhul alati piisav, sest isiku manipuleerimise teel kinnitab ta maksejuhise ise.

Uued pettuseliigid põhinevad üha enam maksja manipuleerimisel, mis nõuab lisameetmeid

lisaks tavapärasele autentimisele. Petturid kannavad rahalised vahendid kiiresti edasi teistele

kontodele ja välisriiki ning raha tagasisaamine on raske kui mitte võimatu. Seetõttu ei ole sama

eesmärgi saavutamiseks olemas leebemat meedet, mis võimaldaks enne maksejuhise täitmist

tõkestada pettuse toimepanemist.

Meede on ka mõõdukas ehk proportsionaalne kitsamas tähenduses. Maksejuhise kättesaamise

edasilükkamine on lubatud juhul, kui on objektiivselt põhjendatud kahtlus, et tegemist võib olla

pettusega. Samuti nähakse ette, et makseteenuse pakkuja ei saa tugineda üksnes makse saaja

kontrollimise teenusele või pelgalt sellele, et maksejuhis tundub ebatavaline või arusaamatu.

Lisaks on maksejuhise kättesaamise edasilükkamine ajutine ning ajaliselt piiratud, see on

lubatud üksnes seni kuni täiendav kontroll on lõpetatud ning lähtuma peab eelkõige kehtivast

VÕS-i regulatsioonist, et maksja makseteenuse pakkuja peab tagama, et maksesumma laekuks

saaja makseteenuse pakkuja kontole hiljemalt maksejuhise kättesaamisele järgneval

arvelduspäeval. Meede riivab küll makseteenuse kasutaja õigust oma rahalisi vahendeid

kasutada, kuid samas on selle eesmärk kaitsta isiku rahalisi vahendeid.

5. Eelnõu terminoloogia

Eelnõus ei kasutata uusi termineid.

6. Eelnõu vastavus Euroopa Liidu õigusele

Eelnõu on vastavus järgmiste Euroopa Liidu õigusaktidega:

 Euroopa Parlamendi ja nõukogu direktiiviga (EL) 2015/2366 makseteenuste kohta

siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr

1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta (ELT L

337, 23.12.2015, lk 35–127) ning

 Parlamendi ja nõukogu määrusega (EL) 2024/886, millega muudetakse määrusi (EL) nr

260/2012 ja (EL) 2021/1230 ning direktiive 98/26/EÜ ja (EL) 2015/2366 eurodes

välkkreeditkorralduste osas (ELT L, 19.3.2024.).

28

Seletuskirjale ei ole vastavustabelit lisatud, kuna eelnõus sisalduv maksejuhise kättesaamise

edasilükkamise regulatsioon ei kujuta endast Euroopa Liidu õiguse ülevõtmist HÕNTE § 45

lõike 2 tähenduses. Tegemist on riigisisese täpsustava regulatsiooniga, mille eesmärk on

võimaldada makseteenuse pakkujatel rakendada lisaturvameetmeid pettuste ennetamiseks

olukorras, kus esineb põhjendatud pettusekahtlus. Kuigi regulatsioon seondub Euroopa Liidu

makseteenuste regulatsiooniga ning arvestab selle eesmärke, ei võeta eelnõuga üle konkreetset

direktiivi sätet, et oleks vajalik vastavasutabeli koostamine.

7. Seaduse mõjud

Seaduse rakendamise peamine mõju on seotud finantspettuste ennetamise ja tõkestamisega ning

maksete turvalisuse suurendamisega. Muudatused mõjutavad eelkõige majandust, riigiasutuste

töökorraldust ja sotsiaalvaldkonda ning puudutavad peamiselt makseteenuse pakkujaid

(krediidiasutusi ja makseasutusi ja e-raha asutusi), makseteenuse kasutajaid ning pettuste

tõkestamisega tegelevaid riigiasutusi.

Majanduslik mõju avaldub peamiselt krediidiasutustele, kellel tekib selgem õiguslik alus

pettusekahtlusega maksete peatamiseks ja pettustega seotud teabe jagamiseks, mis aitab

vähendada pettustest tulenevat kahju ja suurendab maksesüsteemi usaldusväärsust. Sotsiaalne

mõju seisneb maksete suuremas turvalisuses ja elanike finantsilise turvatunde paranemises.

Riigiasutuste (PPA ja RIA) töökorraldust mõjutab eelkõige parem teabevahetus.

Muudatused ei avalda mõju elu- ja looduskeskkonnale, riigi julgeolekule ja välissuhetele ega

regionaalarengule. Kokkuvõttes on muudatustega kaasnev mõju valdavalt positiivne ning

kaasnev ebasoovitavate mõjude risk on madal.

7.1 Nähakse makseteenuse pakkujatele ette õigus maksejuhise kättesaamine edasi lükata

ning keelduda maksejuhiste täitmisest

Sihtrühm nr 1: mõju makseteenuse pakkujatele

Muudatus avaldab mõju kõikidele Eestis tegutsevatele krediidiasutustele ning makseasutustele

ja e-raha asutustele.

Finantsinspektsiooni andmetel14 tegutseb turul Eesti krediidiasutusi kaheksa: AS Inbank, AS

LHV Pank, AS SEB Pank, Bigbank AS, Coop Pank AS, Holm Bank AS, Luminor Bank AS ja

Swedbank AS.

Välisriikide krediidiasutuste filiaale tegutseb Eestis viis: AS Citadele banka Eesti filiaal,, Finora

Bank UAB Eesti filiaal, Nordea Bank Abp Eesti filiaal, OP Corporate Bank plc Eesti filiaal, ja

TF Bank AB (publ.) Eesti filiaal.

Finantsinspektsiooni andmetel15 tegutseb turul Eesti makseasutusi kümme: Adson AS,

Crowdestate AS, Maaelu Edendamise Hoiu-laenuühistu, Maksekeskus AS, Meieni OÜ,

Modena Payments OÜ, Paywerk AS, TavexWise AS, Ühisarveldused AS ja Wallester AS.

Välisriigi makseasutuste filiaale on kaks: Banqup SA Eesti filiaal ja Nets Denmark A/S Eesti

filiaal.

Finantsinspektsiooni Eesti finantsteenuste turu ülevaatest 31. detsembri 2025. aasta seisuga16

nähtub, et 2025. aastal vahendasid makse- ja e-raha asutused makseid 1,8 miljardi euro ulatuses

14 Pangandus ja krediit | Finantsinspektsioon 15 Makseteenused | Finantsinspektsioon 16 Eesti finantsteenuste turg 31. detsembri 2025. aasta seisuga

29

(aasta varem 1,2 miljardit eurot). Kokku tehti 28,1 miljonit makset (aasta varem 19,4 miljonit

makset). Kuigi makseasutuste vahendatud maksete maht kasvas märkimisväärselt, jäi see

pankade vahendatud maksete kasvule oluliselt alla. Eesti Panga andmetel ulatus pankade

riigisiseste maksete maht 2025. aastal 238 miljardi euroni. Maksete kogumahu järgi oli

2025. aastal makseasutuste turuliider Wallester, kelle vahendusel tehti 62% kõikidest maksetest.

Talle järgnesid Maksekeskus (23%) ja Ühisarveldused (7%). Maksete arvu järgi kuulus turuosa

ülekaalukalt samuti Wallesterile ja Maksekeskusele, kes vahendasid vastavalt 58% ja 37%

kõikidest maksetest.

Eelduslikult puudutab tehtav muudatus eelkõige krediidiasutusi, kelle vahendusel tehakse

enamus maksetest. Makseasutuste ja e-raha asutuste turuosa on võrreldes krediidiasutustega

väike. Arvestades makseasutuste ja e-raha asutuste endi turuosa, siis eelnõuga ette nähtav õigus

puudutab eelkõige kahte suuremat makseasutust Wallester ja Maksekeskus, kelle turuosa on

kokku 85%.

Mõju ulatus: Mõju ulatust saab pidada väikeseks, kuna täpsustatakse maksejuhise täitmisest

keeldumise alust, kuid see ei muuda makseteenuse pakkujate igapäevast maksete täitmise

praktikat. Makseteenuse pakkujad kontrollivad ka praegu, kas makse on autoriseeritud ning

korrektselt autenditud. Mõju ulatust on keeruline täpselt hinnata, kuid pigem on see väike, kuna

kõnealune õigus puudutab väikest osa kõikidest maksetehingutest, valdav enamus makseid on

autoriseeritud ning korrektselt autenditud. Maksejuhise täitmisest keeldumised kõnealusel

põhjusel on harvad võrreldes maksetehingute koguarvuga. Kõnealuse õiguse rakendamine võib

siiski kaasa tuua mõningaid töökorralduslikke kohandusi, näiteks sisemiste protsesside,

riskihindamise või lepingutingimuste ajakohastamisel.

Mõju avaldumise sagedus: Mõju avaldamise sagedust on keeruline hinnata, sest ei ole

võimalik täpselt välja tuua, et kui palju sellist lisaturvameetmete rakendamise õigust

kasutatakse. Võib eeldada, et avaldumise sagedus võrreldes maksete koguarvuga on pigem

väike. Lisaturvameetmeid on õigus rakendada ette nähtud kriteeriumite alusel, mitte

umbmääraste põhjenduste alusel laiemalt. Ka praegu teostavad makseteenuse pakkujad

maksejuhiste puhul turvakontrolle ning tegemist ei ole nn uue režiimi loomisega.

Ebasoovitavate mõjude avaldumise risk: Selline mõjude avaldumise risk on väike. Tegemist

on positiivset mõju omava muudatusega, sest makseteenuse pakkujad saavad selge õigusliku

aluse rakendada lisaturvameetmeid ning vajadusel maksejuhise täitmisest keeldumiseks, mis

aitab pettuste tõkestamise eesmärki saavutada.

Sihtrühm 2. mõju makseteenuse kasutajatele

Muudatus avaldab potentsiaalselt mõju kõikidele makseteenuse kasutajatele, kes igapäevaselt

makseid teevad, ehk et kõikidele Eestis elavatele isikutele ning samuti välismaalastele, kes

Eestis tegutsevate krediidiasutuste ja krediidiasutuste filiaalide ning makseasutuste ja e-raha

asutuste pakutavaid makseteenuseid kasutavad. Ka siinkohal on keeruline hinnata, kui suurele

osale makseteenuse kasutajatest see tegelikult mõju avaldab, kuna ei ole üheselt prognoositav,

kui palju makseteenuse pakkujad maksete täitmisel sellist õigust kasutavad. Enamus makseid

on siiski korrektselt autenditud ning isiku enda pool autoriseeritud.

Mõju ulatus: Mõju ulatust saab pidada pigem väikeseks, kuna isikud puutuvad igapäevaselt

sellega kokku harva ja üksikjuhtumitel sest lisaturvakontrolli ei kasutata kõikide maksete puhul.

Enamik maksetehinguid täidetakse tavapäraselt ning maksejuhised vastavad üldjuhul

makseteenuse lepingus sätestatud tingimustele ning tugev autentimine on tehniliselt

nõuetekohane ja maksejuhis on isiku poolt autoriseeritud. Eelnõuga kavandatav muudatus

30

parandab makseteenuse kasutajate kaitset pettuste eest ning vähendab pettuste teel tekitatava

rahalise kahju riski.

Mõju avaldumise sagedus: Mõju avaldumise sagedus on väike, kuna eelnõu ei näe ette, et

kõikide maksete puhul tuleb lisaturvameetmeid rakendada ning maksejuhise kontrolle

teostatakse kõikide maksete puhul ka praegu. Lisaturvameetmete rakendamisega puutuvad

isikud kokku ebaregulaarselt ja üksikute maksete korral, kui on täidetud selle rakendamise

tingimused. Seetõttu võib eeldada, et makseteenuse kasutajad ei puutu pärast muudatust

sagedasti kokku lisaturvameetmete rakendamisega ning maksejuhise täitmisest keeldumisega.

Ebasoovitavate mõjude avaldumise risk: Sellise mõju avaldumise risk on madal, tegemist on

positiivset mõju omava muudatusega, sest aitab kaasa pettuste tõkestamisele. Muudatus aitab

ennetada pettusi ning vähendada isikutele rahalise kahju tekkimise riski. Kuigi üksikjuhtudel

võib isiku makse täitmine pettusekahtluse tõttu ajutiselt viibida, on selle eesmärk makseteenuse

kasutaja kaitse ning maksete turvalisuse suurendamine.

7.2 Nähakse makseteenuse pakkujatele ette õigus avaldada pettuste avastamise ja

väljaselgitamise eesmärgil andmeid ja teavet

Sihtrühm 1. Makseteenuse pakkujad

Muudatus võib mõju avaldada kõikidele Eestis tegutsevatele makseteenuse pakkujatele.

Mõju ulatus: Makseteenuse pakkujate jaoks on muudatuse mõju pigem keskmine, kuna

andmete avaldamine on ette nähtud õigusena, mitte kohustusena ning seda võib teha juhul, kui

makseteenuse pakkujal on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla

seotud pettusega. Pettuste avastamine ja väljaselgitamine on makseteenuse pakkujate

igapäevane tegevus ning sellel eesmärgil ka juba vajalikke andmeid töödeldakse. Muudatus

aitab paremini pettusi avastada ja välja selgitada ning koostöö teiste makseteenuse pakkujatega

ning PPA-ga aitab vähendada pettustega tekitatud kahju, mistõttu on tegemist positiivse

mõjuga.

Mõju avaldumise sagedus: Mõju avaldumise sagedust on keeruline hinnata, kuid arvestades

maksete koguarvuga saab seda pidada pigem väikeseks, sest andmete avaldamine on lubatud

ette nähtud tingimustel ning mitte laialdaselt kõikide maksetehingute puhul. Arvestades, et

enamus makseid on korrektselt autenditud ja autoriseeritud, on andmete avaldamine pigem

erandlik.

Ebasoovitavate mõjude avaldumise risk: Selline risk on madal, tegemist on positiivse

muudatusega, mis aitab makseteenuse pakkujatel efektiivsemalt pettusi tõkestada. Arvestades,

et andmete avaldamine on lubatud kindlal eesmärgil ning on ette nähtud õigusena, mitte

kohustusena, ei ole põhjust eeldada negatiivset mõju makseteenuse pakkujate tavapärasele

tegevusele.

Sihtrühm 2. Makseteenuse kasutajad

Muudatus avaldab potentsiaalselt mõju kõikidele makseteenuse kasutajatele, kuid igapäevaselt

siiski väikesele osale makseteenuse kasutajatest, sest pettuste osakaal kogu maksetehingute

arvust on väike.

Mõju ulatus: Makseteenuse kasutajate jaoks on muudatuse mõju kaudne. Muudatus ei mõjuta

makseteenuste kasutamist üldiselt, vaid puudutab üksnes neid olukordi, kus esineb põhjendatud

31

pettuse kahtlus ning makseteenuse pakkuja avaldab pettuse avastamise ja väljaselgitamise

eesmärgil isiku andmeid.

Mõju avaldumise sagedus: Mõju avaldumise sagedus on pigem väike, sest muudatus ei mõjuta

makseteenuse kasutajat igapäevaselt ning kokkupuude sellega on ebaregulaarne ja harv. Eelnõu

näeb andmete avaldamiseks ette kriteeriumid ning makseteenuse pakkujatel ei ole õigust jagada

andmeid laiemalt ebamäärastel eesmärkidel. Mõju avaldub üksnes olukordades, kus andemete

avaldamine on vajalik pettuse avastamise ja väljaselgitamise eesmärgil.

Ebasoovitavate mõjude avaldumise risk: Selline risk on pigem madal, tegemist on positiivset

mõju omava muudatusega. See aitab vähendada rahalise kahju tekkimise riski ning suurendab

maksete turvalisust. Andmeid tohib avalda üksnes piiratud ulatuses ja eesmärgil. Samas võib

avalduda risk, et andmeid isiku kohta avaldatakse pettusekahtluse korral, kus see kahtlus

kinnitust ei leia, ehk et tegemist on valepositiivse kahtlusega. Samas ei ole selliste juhtumite

täielik välistamine võimalik ning andmete avaldamise eesmärgiks on isiku kaitsmine pettuse

ohvriks langemise eest. Nimetatud juhul ei tohi andmete avaldamine isikule kaasa tuua mingeid

negatiivsed tagajärgi. Makseteenuse pakkujad peavad siinkohal rangelt kinni pidama andmete

minimaalsuse ja eesmärgipärase töötlemise põhimõtetest. Andmete avaldamine peab olema

logitud ning tagantjärele kontrollitav. Isikul peab olema õigus teada saada, milliseid tema

andmeid ja kellele edastati. Seda ulatuses, millises on makseteenuse pakkujal seaduse järgi õigus

avaldada, arvestades muuhulgas näiteks rahapesu ja terrorismi rahastamise tõkestamise

seadusest tulenevaid piiranguid.

Sihtrühm 3. Politsei- ja Piirivalveamet

Muudatus avaldab mõju PPA-le.

Mõju ulatus: PPA-le tähendab muudatus laiemat ligipääsu pettustega seotud andmetele, mis

parandab oluliselt petuskeemide tuvastamist ning seostamist ja parandab selles osas PPA

võimekust. Seeläbi paraneb PPA ennetav töö. Muudatus ei too kaasa PPA-le täiesti uue ülesande

tekkimist ega muudatusi töökorralduses.

Mõju avaldumise sagedus: PPA jaoks ei saa pidada mõju avaldumise sagedust suureks. PPA

tegeleb ka praegu igapäevaselt pettuste tõkestamisega ning andmete edastamine parandab sellist

võimekust. Mõju sagedus on üksikjuhtumi põhine, kui makseteenuse pakkuja avaldab

pangasaladust konkreetse pettuse kahtluse korral.

Ebasoovitavate mõjude avaldumise risk: Selline risk on väike, tegemist on positiivset mõju

omava muudatustega, mis aitab parandada pettuste tõkestamise võimekust.

Sihtrühm 4. Riigi Infosüsteemi Amet

Mõju ulatus: Muudatus annab RIA-le võimaluse saada makseteenuse pakkujalt piiratud

ulatuses teavet maksetehingutega seotud pettuste ja pettusekatsete asjaolude ning kasutatud

tehniliste vahendite kohta.

Mõju RIA tegevusele seisneb selles, et täieneb sisend küberintsidentide analüüsiks ja

riskihindamiseks ning seeläbi suureneb võimekus info töötlemiseks ja seostamiseks

olemasoleva küberohuteabega. RIA pädevus ei muutu – amet täidab ka kehtiva õiguse alusel

küberintsidentide käsitlemise, riskide seire ja ohtudest teavitamise ülesandeid.

32

Mõju avaldumise sagedus: Mõju avaldub juhtumipõhiselt, sõltuvalt maksetehingutega seotud

pettuste ja pettusekatsete arvust ning makseteenuse pakkuja hinnangust objektiivselt

põhjendatud kahtluse olemasolule. Arvestades, et maksepettused on sagedased ning sageli

seotud infosüsteemide ründamise või autentimisvahendite kuritarvitamisega, võib RIA-le

edastatava info hulk olla regulaarne, kuid tegemist ei ole automaatse ega pideva andmevooga.

Ebasoovitavate mõjude avaldumise risk: Sellist riski saab hinnata väikeseks - RIA-le

avaldatav andmekoosseis on kitsalt piiritletud ega hõlma otseseid kliendi tuvastus- ega

kontoteavet. Krediidiasutused edastavad andmeid juhtumipõhiselt ning selliste andmete

töötlemine eeldatavalt RIA töökoormust ei suurenda.

8. Seaduse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad

kulud ja tulud

Seaduse rakendamisega ei kaasne tulusid ega kulusid riigieelarvele ning eelnõu ei ole seotud

kohalike omavalitsuste tegevusega.

PPA-l ja RIA-l on vaja teha tehnilisi ja korralduslikke ettevalmistusi turvaliseks ja sihipäraseks

andmevahetuseks krediidiasutustega. Tegemist on nende asutusete jaoks olemasolevate

tööprotsesside täpsustamisega ning see ei eelda täiendavaid kulusid.

Kokkuvõtvalt ei kaasne eelnõuga täiendavat halduskoormust inimestele ega ettevõtjatele ning

mõju avaliku sektori töökoormusele on piiratud ja organisatsioonilist laadi. Makseteenuse

pakkujatele ei kehtestata uusi kohustuslikke nõudeid, vaid antakse täiendav õigus

pettusekahtluse korral maksejuhise kättesaamine edasi lükata ja andmeid vahetada, mistõttu

halduskoormus ei suurene. Õiguse rakendamine võib eeldada mõningaid töökorralduslikke

kohandusi, eelkõige sisemiste protsesside ja riskihindamise ajakohastamist ning

lepingutingimuste täpsustamist, kuid tegemist on ühekordsete ja piiratud mahuga

muudatustega. Inimestele ei kaasne eelnõuga uusi kohustusi ega täiendavaid toiminguid ning

nende halduskoormus ei muutu. Avaliku sektori asutuste puhul seisneb mõju peamiselt

teabevahetuse paranemises, mis võib mõjutada töökorraldust, kuid ei too kaasa täiendavat

töökoormust.

9. Rakendusaktid

Käesolev eelnõu ei too kaasa uute rakendusaktide kehtestamise vajadust ega olemasolevate

muutmise või kehtetuks tunnistamise vajadust.

10. Seaduse jõustumine

Seadus jõustub üldises korras. Kavandatavad muudatused võimaldavad makseteenuse

pakkujatel pettusekahtluse korral kiiremini sekkuda ning teha omavahel, samuti PPA ja RIA-

ga, koostööd. Muudatused ei too kaasa täiendavat halduskoormust makseteenuse pakkujatele

ega avaliku sektori asutustele, vaid aitavad pettuste ennetamist ja tõkestamist paremini

korraldada. Eelnõuga ei kehtestata makseteenuse pakkujatele, PPA-le ega RIA-le uusi üldisi

kohustusi, vaid antakse õigus andmeid vahetada ning makseteenuse pakkujatele õigus

maksejuhise vastuvõtmine edasi lükata. See võib küll kaasa tuua mõningaid töökorralduslikke

muudatusi, kuid tegemist ei ole kohustusega ning makseteenuse pakkujad, PPA ning RIA

saavad teha vajalikke muudatusi vastavalt vajadustele. Eelnõu ei suurenda inimeste, ettevõtjate

ega vabaühenduste halduskoormust, kuna see ei too neile kaasa uusi kohustusi ega täiendavaid

toiminguid.

33

11. Eelnõu kooskõlastamine ja huvirühmade kaasamine

Eelnõu esitati kooskõlastamiseks ja arvamuse avaldamiseks Justiits- ja Digiministeeriumile,

Siseministeeriumile, Politsei- ja Piirivalveametile, Eesti Pangale, Eesti Pangaliidule, Riigi

Infosüsteemi Ametile, Finantsinspektsioonile, Eesti Infotehnoloogia ja Telekommunikatsiooni

Liidule. Eelnõule esitasid arvamuse Justiits- ja Digiministeerium, Siseministeerium, Eesti Pank,

Eesti Pangaliit, Riigi Infosüsteemi Amet ning Finantsinspektsioon.

Lähtuvalt esitatud märkustest on eelnõu muudetud ning arvestades esitatut on eelnõu

paragrahvide sõnastus ning eelnõu struktuur oluliselt muutunud. Muudatused on tehtud

eelkõige eelnõu paragrahvis 1. Vaatamata paragrahvide sõnastuste muutmisest ning uutest

lisatud lõigetest on eelnõu eesmärgid jäänud samaks.

Eelnõu teisel kooskõlastusringil esitati eelnõu arvamuse avaldamiseks ka maa- ja

halduskohtutele, ringkonnakohtutele, Riigikohtule ning ka Andmekaitse Inspektsioonile.

Riigikohus teavitas, et eelnõu kohta arvamust ei esitata. Andmekaitse Inspektsioon teavitas, et

neil eelnõu kohta märkused puuduvad.

Kooskõlastusringidel esitatud märkused ning Rahandusministeeriumi selgitused on leitavad

seletuskirjale lisatud kooskõlastustabelist.

Algatab Vabariigi Valitsus ….. 2026. a

Vabariigi Valitsuse nimel

(allkirjastatud digitaalselt)

Heili Tõnisson

Valitsuse nõunik

1

EELNÕU

18.05.2026

Võlaõigusseaduse, krediidiasutuste seaduse ning makseasutuste ja

e-raha asutuste seaduse muutmise seadus

(finantspettuste ennetamine ja tõkestamine)

§ 1. Võlaõigusseaduse muutmine

Võlaõigusseaduses tehakse järgmised muudatused:

1) paragrahvi 711 lõiget 1 täiendatakse punktiga 71 järgmises sõnastuses:

„71) maksejuhise kättesaamise edasilükkamise ja lisaturvameetmete rakendamise tingimused

tulenevalt käesoleva seaduse §-st 7247;“;

2) seadust täiendatakse §-ga 7247 järgmises sõnastuses:

㤠7247. Lisaturvameetmete rakendamine pettusekahtluse korral

(1) Maksja makseteenuse pakkujal on õigus maksejuhise kättesaamine ajutiselt edasi lükata ja

rakendada lisaturvameetmeid, kui tal on objektiivselt põhjendatud kahtlus, et:

1) maksejuhist ei ole autoriseerinud maksja või

2) maksejuhise autoriseerimine on toimunud andmete väärkasutamise, maksjaga

manipuleerimise või muul pettuslikul teel.

(2) Käesoleva paragrahvi lõikes 1 nimetatud objektiivselt põhjendatud kahtlus peab põhinema

makseteenuse pakkuja riskide hindamisel, sealhulgas komisjoni delegeeritud määruses

(EL) 2018/389 sätestatud riskipõhisel lähenemisel ja muudel objektiivsetel asjaoludel. Maksja

makseteenuse pakkuja ei või maksejuhise kättesaamise edasilükkamisel tugineda üksnes makse

saaja kontrollimise teenusele, mis on nimetatud Euroopa Parlamendi ja nõukogu määruses (EL)

nr 260/2012, või asjaolule, et maksejuhis on makseteenuse pakkujale ebatavaline või

arusaamatu.

(3) Käesoleva paragrahvi lõikes 1 sätestatud juhul on makseteenuse pakkuja kohustatud maksjat

teavitama lisaturvameetmete rakendamisest ja selle põhjustest enne nende rakendamist või

viivitamata pärast seda ning asjakohasel juhul käesoleva paragrahvi lõike 6 alusel maksejuhise

täitmisest keeldumise põhjused. Makseteenuse pakkuja ei pea maksjale lisaturvameetmete

rakendamise ega maksejuhise täitmisest keeldumise põhjusi teatama, kui teabe edastamine on

vastuolus objektiivselt põhjendatud turvakaalutlusega või ei ole muul seaduses sätestatud

põhjusel lubatud.

(4) Kui maksja makseteenuse pakkuja rakendab lisaturvameetmeid, loetakse maksejuhis

makseteenuse pakkuja poolt kättesaaduks hetkest, kui makseteenuse pakkuja on lõpetanud

lisaturvameetmete rakendamise ja on veendunud, et maksejuhise on autoriseerinud maksja ning

maksejuhise autoriseerimine ei ole toimunud andmete väärkasutamise, maksjaga

manipuleerimise või muul pettuslikul teel.

(5) Maksja makseteenuse pakkuja ei või maksejuhise kättesaamist lisaturvameetmete

rakendamiseks edasi lükata kauemaks, kui käesoleva paragrahvi lõike 4 punktides 1 ja 2

nimetatud asjaolu väljaselgitamiseks on mõistlikult vajalik. Võimaluse korral peab maksja

2

makseteenuse pakkuja lähtuma eelkõige käesoleva seaduse § 728 lõikes 1 sätestatud

maksejuhise täitmise tähtajast.

(6) Maksja makseteenuse pakkuja võib keelduda autoriseeritud maksejuhise täitmisest, kui

pärast käesoleva seaduse § 7247lõikes 1nimetatud lisaturvameetmete rakendamist ei ole olnud

objektiivselt võimalik kõrvaldada kahtlust, et maksejuhist ei ole autoriseerinud maksja või

maksejuhise autoriseerimine on toimunud andmete väärkasutamise, maksjaga manipuleerimise

või muul pettuslikul teel. Maksejuhist, mille täitmisest on õigustatult keeldutud, käsitatakse

kättesaamata maksejuhisena tulenevalt käesoleva seaduse § 7243 lõikest 5.

(7) Kui maksejuhise täitmine viibib lisaturvameetmete rakendamise tõttu, algab käesoleva

seaduse §-s 728 sätestatud maksejuhise täitmise tähtaeg kulgema arvates maksejuhise

kättesaamisest käesoleva paragrahvi lõike 4 tähenduses.

(8)Kui käesoleva paragrahvi lõikes 1 nimetatud lisaturvameetmete rakendamise tulemusel

täidetakse makse hilinemisega, kohaldatakse makse täitmisele käesoleva seaduse § 7333

lõigetes 41 ja 42 sätestatut.

(9) Maksja ei või nõuda makseteenuse pakkujalt kahju hüvitamist seoses käesolevas

paragrahvis sätestatud lisaturvameetmete rakendamisega või maksejuhise täitmisest

keeldumisega, eeldusel, et lisaturvameetmeid on rakendatud objektiivselt põhjendatud

kahtlusel ning ebamõistliku viivituseta. See ei välistada või piirata maksja muu nõude esitamist

muul alusel, muu hulgas nõuda käesoleva paragrahvi lõikes 5 nimetatud asjaolude

väljaselgitamisega viivitamisega tekitatud kahju hüvitamist.“.

§ 2. Krediidiasutuste seaduse muutmine

Krediidiasutuste seaduses tehakse järgmised muudatused:

1) paragrahvi 88 lõike 3 punkti 1 täiendatakse pärast tekstiosa „käesolevas paragrahvis“

tekstiosaga „või käesoleva seaduse §-s 894“;

2) seaduse 7. peatüki 3. jagu täiendatakse §-ga 894 järgmises sõnastuses:

„§ 894. Andmete avaldamine pettuste tõkestamise eesmärgil

(1) Krediidiasutusel on õigus avaldada andmeid ja teavet teisele krediidiasutusele,

makseasutusele ja e-raha asutusele makseasutuste ja e-raha asutuste seaduse tähenduses ning

Politsei- ja Piirivalveametile maksetehingutega seotud pettuste avastamiseks ja

väljaselgitamiseks, kui krediidiasutusel on objektiivselt põhjendatud kahtlus, et klient või

maksetehing võib olla seotud pettusega.

(2) Käesoleva paragrahvi lõikes 1 nimetatud eesmärgil võib avaldada andmeid ja teavet:

1) kliendi isiku tuvastamise kohta;

2) makse saaja ja maksekonto kohta;

3) maksetehingu kohta;

4) kasutatud seadme, makseinstrumendi või turvaelementide kohta;

5) maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo kohta;

6) pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta.

3

(3) Krediidiasutusel on õigus Riigi Infosüsteemi Ametile avaldada küberturvalisuse seaduse § 5

lõike 3 punktis 3 nimetatud ülesannete täitmise eesmärgil käesoleva paragrahvi lõike 2

punktides 5 ja 6 sätestatud andmeid ja teavet.

(4) Krediidiasutusel on õigus avaldada e-identimise ja e-tehingute usaldusteenuste seaduse

tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale käesoleva paragrahvi

lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja isikukood, seadme- ja sessiooniandmed

ning kasutaja elektroonilise side võrgu identifikaatori andmed.

(5) Käesolevas paragrahvis sätestatud juhtudel ei ole lubatud avaldada eriliiki isikuandmeid.“.

§ 3. Makseasutuste ja e-raha asutuste seaduse muutmine

Makseasutuste ja e-raha asutuste seaduse § 633 senine tekst loetakse lõikeks 1 ning paragrahvi

täiendatakse lõigetega 2 ja 3 järgmises sõnastuses:

„(2)Makseasutusel ja e-raha asutusel on õigus avaldada andmeid ja teavet teisele

makseasutusele ja e-raha asutusele, krediidiasutusele, Politsei- ja Piirivalveametile ning Riigi

Infosüsteemi Ametile maksepettuste avastamiseks ja väljaselgitamiseks krediidiasutuste

seaduse § 894 lõigetes 1–3 ja 5 sätestatud tingimustel.

(3) Makseasutusel ja e-raha asutusel on õigus avaldada e-identimise ja e-tehingute

usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale

krediidiasutuste seaduse § 894 lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja isikukood,

seadme- ja sessiooniandmed, samuti kasutaja elektroonilise side võrgu identifikaatori

andmed.“.

Lauri Hussar

Riigikogu esimees

Tallinn, …. ……………… 2026

Algatab Vabariigi Valitsus……………. 2026

(allkirjastatud digitaalselt)

1

Mai, 2026

MÄRKUSTE TABEL

Võlaõigusseaduse, krediidiasutuste seaduse ning makseasutuste ja e-raha asutuste seaduse muutmise seadus

Nr

Märkused

Arvestatud/

Mitte-arvestatud/

Selgitatud

RaM märkused

I kooskõlastusring

Justiits- ja Digiminsiteerium

1 Eelnõu §-ga 1 antakse makseteenuse pakkujatele tööriistad

finantspettuste tõkestamiseks, mh sätestatakse õiguslik alus

maksejuhise täitmisest keeldumiseks juhul, kui esineb kuritarvituse

kahtlus.

A. Tegu on valdkonnaga, kus eksisteerib tugev EL õiguse

komponent, kuivõrd makseteenuste toimimine siseturul on

reguleeritud EL määrustega (Euroopa Parlamendi ja nõukogu

direktiiv (EL) 2015/2366 makseteenuste kohta siseturul ja Euroopa

Parlamendi ja nõukogu määrus (EL) nr 260/2012). Eelnõukohase

võlaõigusseaduse (VÕS) muudatusega jäetakse finantsteenuse

pakkujale küllaltki suur otsustusvabadus selle jaoks, mis asjaoludel

keelduda maksejuhise täitmisest. Nähakse ette, et makseteenuse

pakkuja võib keelduda autoriseeritud maksejuhise täitmisest, kui

pärast komisjoni delegeeritud määruses (EL) 2018/3899 ette nähtud

turvameetmete täiendavat rakendamist on makseteenuse pakkujal

põhjendatud kahtlus, et maksetehingu täitmiseks antud nõusolek on

saadud andmete väärkasutamise, pettuse või maksja manipuleerimise

teel. Samas ei direktiiv (EL) 2015/2366 ega määrus (EL) nr 260/2012

otseselt sellist võimalust ega kohustust teenusepakkujatele ette ei näe.

Eeldusel, et direktiiv (EL) 2015/2366 ei ole maksimumharmoneeriv,

on liikmesriikidel ilmselt võimalik minna kaugemale ja täpsemaks

direktiivis sätestatust, kuid sellisel juhul palume, et seletuskirjas oleks

rohkem selgitusi ja pidepunkte olukordadeks, mil maksejuhis jääb

täitmata. Pettustega võitlemine on küll vajalik, kuid praktikas võib

ette tulla ka olukordi, mil konto omaja ja maksja ei pruugi olla rahul

sellega, et tema poolt soovitud makse viibib või jääb täitmata. Maksja

vaatenurgast on oluline, et makseteenuse pakkuja

tegutsemispraktikad ei muutuks ebamõistlikult konservatiivseks.

Seletuskirjas võiks kinnitada, et liikmesriigil ei ole keelatud

kehtestada maksejuhiste täitmata jätmise ja pettuste vältimise puhuks

reegleid, mis on põhjalikumad, kui praegune EL regulatsioon ette

näeb.

Arvestatud A. Seletuskirjas on täiendavaltselgitatud kooskõla makseteenuste diretiivi ja

välkmaksete määrusega.

B. Seletuskirjas on selgitatud maksejuhise täitmiseks antud nõusoleku seost

tsiviisseadustiku üldosa seadusega.

C. Seletuskirjas on selgitatud kooskõla välkmaksete määrusega. Ka välkmaksete

puhul kehtib makseteenute direktiivi artiklis 64 sätestatud maksetehingute

autoriseerimise põhimõtted. Selle atikli lõike 1 kohaselt maksetehing loetakse

autoriseerituks ainult siis, kui maksja on andnud nõusoleku maksetehingu

täitmiseks. Kui nõusolek puudub, käsitatakse maksetehingut autoriseerimata

maksetehinguna. Makseteenuse pakkujal on õigus keelduda autoriseerimata

maksejuhise täitmisest.

D. Seletuskirja on täiendatud selgitusega vastutusest vabastamise kohta, kui

makseteenuse pakkuja viivitab maksekorralduse elluviimisega selleks, et täita

täiendavaid turvameetmeid

2

B. Eelnõuga nähakse ette, et makseteenuse pakkuja võib keelduda

autoriseeritud maksejuhise täitmisest, kui pärast komisjoni

delegeeritud määruses (EL) 2018/3899 (edaspidi komisjoni

delegeeritud määrus) ette nähtud turvameetmete täiendavat

rakendamist on makseteenuse pakkujal põhjendatud kahtlus, et

maksetehingu täitmiseks antud nõusolek on saadud andmete

väärkasutamise, pettuse või maksja manipuleerimise teel. Samas on

nõusoleku andmine käsitatav ühepoolse tehinguna, millele sellisel

juhul peaks kohalduma ka tsiviilseadustiku üldosa seaduse (TsÜS)

reeglid seoses tehingutega. Tekib küsimus, kuidas seostub see alus

nõusoleku/tehingu „tunnustamisest“ keeldumiseks TsÜS § 90 lõikes

1 sätestatud tehingu tühistamise aluste (oluline eksimus, pettus,

ähvardus või vägivalla mõju) või esindusõiguseta isiku tehtud tehingu

tühisuse regulatsiooniga (TsÜS § 128). Paremini võiks sobituda

tsiviilõiguse süsteemi konstruktsioon, mille puhul saab rääkida

sellest, et eksisteerib põhjendatud kahtlus, et maksetehingu täitmiseks

antud nõusolek võib kas osutuda tühiseks või olla tühistatav vastavalt

TsÜS-s tehingute kohta sätestatule.

C. Täiendavad küsitavused ilmnevad välkmaksekorralduste puhul

(mis Eestis on hetkel valdavad). VÕS-i muudatustega sätestatakse, et

välkkreeditkorralduse puhul tuleb maksejuhise täitmisest keelduda

kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr

260/2012 (eelnõu § 1 p 1, lg 43). See määrus (konsolideeritud kujul,

koos määrusest nr (EL) 2024/886 tulenevate muudatustega)

keskendub aga maksejuhise täitmisest keeldumise reguleerimisel

asjaoludele, mis seonduvad makse saaja isikuga. Määrus sätestab

korra, kuidas tuleb kontrollida makse saaja isikut (art 5c) ning lisaks

kehtib eraldi regulatsioon selle kohta, kuidas välkkreeditkorraldusi

pakkuvad makseteenuse pakkujad kontrollivad, kas mõni nende

makseteenuse kasutajatest on isik või üksus, kelle suhtes

kohaldatakse sihipäraseid piiravaid finantsmeetmeid (art 5d). Määrus

ei näe ette selgeid aluseid maksejuhise täitmisest keeldumiseks

olukordadeks, mil pettus või kuritarvitus seisneb maksekorralduse

andja isiku identiteedivarguses, või siis kui isik, kes annab

maksekorralduse, on viidud kolmandate isikute poolt eksitusse ja

tegutseb nende poolt saadud pahatahtlike suuniste alusel. Juhul, kui

eelnõu autorite hinnangul EL määrus ei takista siseriiklike

täpsustatud reeglite kehtestamist, võiks seda seletuskirjas üle

kinnitada.

D. Juhime tähelepanu ka makseteenuse pakkuja vastutusest

vabastamisele juhul, kui viimane viivitab maksekorralduse

elluviimisega selleks, et täita täiendavaid turvameetmeid (VÕS §

3

7339 lg 3). Kuivõrd makseteenuse pakkujal on lai diskretsioon selle

hindamiseks, kas täiendavad turvameetmed on vajalikud, tekib

küsimus, kas on õigustatud teenusepakkuja vastutusest vabastamine.

Lisaks näib vähemalt esmapilgul, et see on küsimus, mida

eelloetletud EL õigusaktid ei reguleeri sellisel kujul (erinevalt nt

olukorrast, mil määrus ütleb, et makseteenuse pakkuja ei vastuta

valele makse saajale direktiivi (EL) 2015/2366 artiklis 88 sätestatud

väära kordumatu tunnuse alusel suunatud kreeditkorralduse täitmise

eest, tingimusel et ta on täitnud käesoleva artikli nõuded). Jällegi, kui

EL regulatsioon Eesti seaduste detailsemaks minemisele takistusi ei

sea, võiks selle seletuskirjas kirja panna.

2 Eelnõu §-ga 2 täiendatakse krediidiasutuste seadust (KAS) §-ga 894,

nähes ette andmete avaldamise tingimused pettuste tõkestamise

eesmärgil.

A. Viidatud paragrahvis on ette nähtud ulatuslik andmete ja teabe

avaldamise õigus, sh ka maksekonto kohta. Toetame ja mõistame

vajadust tõhustada finantspettuste ennetamise ja tõkestamise

meetmeid. Samas peame oluliseks, et isiku põhiõiguste ja -vabaduste

riive analüüs oleks andmete avaldamiseks ulatuslike õiguste andmisel

läbi viidud põhjalikult ning tagatud riivete proportsionaalsus.

Seletuskirjas on küll lühidalt analüüsitud üksikute riivete

põhiseaduspärasust, kuid JDM hinnangul on analüüs pinnapealne

ning üldistatud erinevate riivete kontekstis ning vajalik on teostada ja

esitada seletuskirjas põhjalikum analüüs iga riive kohta eraldiseisvalt.

Mõõdukuse hindamisel tuleb põhjalikult kaaluda, kas riive abil

saavutatav legitiimne eesmärk kaalub üles põhiõiguse kandjale

tekitatava kahju, tagamaks, et riive ei moonuta põhiõiguse olemust

(PS § 11 teine lause). Ei piisa üksnes väitest, et meetmed on

mõõdukad, kuna need on piiritletud, vaid vajalik on mõlema

kaalukausi sisuline põhjendamine. Paralleelselt tuleb hinnata riive

intensiivsust ja võimalikku mõju põhiõiguse olemusele, et

seletuskirja lugeja saaks eesmärgi ja riive tasakaalu mõistlikult

hinnata. Samuti tuleb vajalikkuse all selgitada täpsemalt, kas ei leidu

muud, põhiõigusi vähem piiravat, end sama efektiivset meedet.

Viitame ka õiguskantsleri poolt maksukorralduse seaduse ning

rahapesu ja terrorismi rahastamise tõkestamise seaduse muutmise

seaduse eelnõu (EIS-is eelnõu toimiku number: 25- 1000) raames

viidatud murekohtadele, mh et nt kui pangakontode väljavõtetele

juurdepääsu laiendatakse seaduses, peab sellega kaasnema põhjalik

proportsionaalsuse analüüs (õiguskantsleri 1. juuli 2025. a kirja nr 7-

7/250081/2504808 kokkuvõtte p 3). Kui eelnõu tulemusel on

võimalik ka pangakonto väljavõtetele ja pangasaladusele juurdepääs,

tuleb analüüsi täiendada õiguskantsleri kirjas viidatu valguses,

Arvestatud osaliselt A. Seletuskirja mõjude osas on teostatud põhjalikum analüüs iga riive

(andmekoosseisu osas, mida jagatakse) kohta eraldiseisvalt.

B. Eelnõust on välja jäetud ennetuse eesmärgil panagasaladuse andmete

jagamine.

C. Krediidiasutuste seaduse § 88 on täiendatud ning ette nähtud, et andmeid võib

jagada lisaks ka eelnõuga seadusesse lisatava KAS § 894 lõike 2 alusel.

Eelnõus ei ole peetud vajalikuks eristada andmeid, mida võib edastada teisele

krediidiasutusele ning mida PPA-le, kuivõrd nimetatud andmekoosseisud on

samad.

Eelnõu on täiendatud makseasutuste ja e-raha asutuste seaduse muutmisega. Ette

on nähtud, et ka makseasutused ja e-raha asutused võivad avaldada samu andmeid

nagu krediidiasutused, kuna ka makseasutused ja e-raha asutused osutavad

makseteenuseid.

Seletuskirja on täiendatud selgitusega, milliseid andmeid võib edastada kliendi

tuvastamiseks.

Eriliiki isikuandmete jagamine ei ole eelnõu kohaselt lubatud, pangakonto

väljavõtte avaldamine ei ole lubatud, maksekonto all on peetud silmas selle

IBAN-i. Selguse mõttes on paragrahvi täiendatud uue lõikega ning sätestatud, et

eriliiki isikuandmete avaldamine ei ole lubatud.

4

analüüsides sealviidatud põhiõiguste ja -vabaduste riiveid ning

täpsustades vastavalt ka eelnõu. Eeltoodust tulenevalt palume

seletuskirjas põhiseaduspärasuse analüüsi täiendada, pidades silmas

ka eelnimetatud õiguskantsleri 1. juuli 2025. a kirjas viidatut. Palume

eelnõu seletuskirjas põhiseaduspärasuse analüüs esitada seletuskirja

3. osas “Eelnõu sisu ja võrdlev analüüs” eraldi viimase alajaotusena.

Kui loetavuse huvides on mõttekam esitada põhiseaduspärasuse

põhjalik analüüs konkreetse sätte põhjenduse juures, saab seletuskirja

3. osa viimases alajaotuses esitada viite vastavale argumenteeritud

analüüsile ning alajaotuses esitada üksnes kokkuvõtlik järeldus. Või

vastupidi, põhjalik analüüs esitatakse viimases alajaotuses ning

vastavat piirangut sisaldavate normide juures on viide eraldi alaosas

esitatud põhiseaduspärasuse analüüsile.

B. KAS § 894 lg 1 näeb ette, et krediidiasutusel on õigus avaldada

andmeid ja teavet teisele krediidiasutusele ning Politsei- ja

Piirivalveametile (PPA) maksetehingutega seotud pettuste

avastamiseks, väljaselgitamiseks ja ennetamiseks juhul, kui

krediidiasutusel on objektiivselt põhjendatud alus kahtlustada, et

klient või maksetehing võib olla seotud pettusega. Leiame, et

ennetuseks sedavõrd tundlike andmete töötlemise õiguse andmine ei

ole proportsionaalne meede (st meede ei pruugi olla kooskõlas

eesmärgipärasuse ja minimaalsuse põhimõttega). Palume piirduda

üksnes pettuste avastamise ja väljaselgitamisega ning välja jätta

üldine ennetus.

C. KAS § 88 lg 3 p 1 sätestab, et krediidiasutusel on õigus avaldada

klienti puudutav pangasaladus kolmandale isikule, kui

krediidiasutuse õigus või kohustus avaldada pangasaladust tuleneb

käesolevas paragrahvis sätestatust […]. Kuna kõnealune säte näeb

selgelt ette, et pangasaladust võib jagada ainult paragrahvis 88

sätestatud juhul, tuleks täiendada ka KAS § 88 lg 3 p 1 ja näha ette,

et „krediidiasutuse õigus või kohustus avaldada pangasaladust

tuleneb käesolevas paragrahvis ja käesoleva seaduse § 894 sätestatust

[…]“. D. KAS § 894 lg 2 sätestab teabe, mida võib jagada teistele

krediidiasutustele ning PPA-le. Palume eristada, millist teavet

jagatakse PPA-ga ning millist teiste krediidiasutustega. Lisaks tuleks

KAS § 894 lg 2 p-s 1 täpsustada, milliseid andmeid võib edastada

kliendi tuvastamiseks. Samuti on KAS § 894 lg 2 p-s 3 ilmselt puudu

eriliiki isikuandmed, kuna pangakonto väljavõttelt nähtub rohkem

isikuandmeid kui vaid tundlikud makseandmed (nt terviseandmed,

kuuluvus kuhugi organisatsiooni, poliitilised vaated jne).

3 II. Märkused normitehnika, keele ja mõju kohta Palume arvestada ka

käesoleva kirja lisades esitatud eelnõu ja seletuskirja failis jäljega

Arvestatud Eelnõus ja seletuskirjas on arvestatud esitatud märkustega.

5

tehtud normitehniliste ja keelemärkustega ning märkustega eelnõu

mõjuanalüüsi kohta.

Siseministeerium

4 Eelnõuga on kavas täiendada ja muuta krediidiasutuste seaduse 7.

peatüki 3 jagu §-ga 894 järgmises sõnastuses:

„§ 894. Andmete avaldamine pettuste tõkestamise eesmärgil

(1) Krediidiasutusel on õigus avaldada andmeid ja teavet teisele

krediidiasutusele ning Politsei- ja Piirivalveametile

maksetehingutega seotud pettuste avastamiseks, väljaselgitamiseks ja

ennetamiseks juhul, kui krediidiasutusel on objektiivselt põhjendatud

alus kahtlustada, et klient või maksetehing võib olla seotud pettusega.

(2) Käesoleva paragrahvi lõikes 1 nimetatud isikutele on lubatud

avaldada andmeid ja teavet:

1) kliendi tuvastamiseks;

2) makse saaja ja maksekonto kohta;

3) maksetehingute kohta, sealhulgas tundlikke makseandmeid;

4) pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude

kohta;

5) maksetehinguga seotud pettuse või muu süüteo tunnustele vastava

teo tuvastamiseks, sealhulgas kasutatud seadmete, makseinstrumendi

või turvaelementide kohta.

(3) Krediidiasutusel on õigus Riigi Infosüsteemi Ametile avaldada

küberturvalisuse seaduse § 5 lõike 3 punktist 3 tulenevate ülesannete

täitmise eesmärgil käesoleva paragrahvi lõike 2 punktides 4 ja 5

sätestatud andmeid ja teavet.“.

Kommentaar:

Paragrahvi pealkirjas sõna „pettus“ kasutamine. Nimelt tekib

küsimus, kas on õige kasutada mõistet „pettus“. PPA-le teabe

edastamise eesmärk peaks olema seotud süütegude ennetamise,

avastamise, tõkestamise või menetlemisega, KarS-s sellise

nimetusega süüteokoosseisu kui „pettus“ ei ole. KrMS 13. peatüki 2.

jao 1. jaotise pealkiri on „Kelmus“, sellesse jaotisse kuuluvad

kelmuste alaliigid, nt § 209. Kelmus, § 211. Investeerimiskelmus, §

213. Arvutikelmus.

KarS § 209 lõike 1 kohaselt loetakse kelmuseks teisele isikule

varalise kahju tekitamise eest tegelikest asjaoludest teadvalt ebaõige

ettekujutuse loomise teel varalise kasu saamise eesmärgil.

Inglise keeles on jaotise ning § 209 pealkirjaks „Fraud“. Kui KarS-i

mõnedes koosseisudes (nt § 133. Inimkaubandus, § 134.

Isikuvabadust piiravasse riiki toimetamine jne) kasutatakse mõistet

„pettus“, siis see on tõlgitud „deceit“.

Mittearvestatud Ettepanek kasutada mõiste „pettus” asemel mõistet „kelmus” ei ole põhjendatud.

Kavandatav säte ei reguleeri konkreetse karistusõigusliku koosseisu

kvalifitseerimist, vaid maksetehingutega seotud pettusjuhtumite avastamist,

väljaselgitamist. Seetõttu on mõiste „pettus” käesolevas kontekstis sisuliselt

täpsem ja ulatuslikum kui mõiste „kelmus”, mis viitab kitsamalt KarS-s sätestatud

konkreetsele süüteokoosseisule. Säte peab hõlmama ka nt pettusekatseid,

manipulatsioonitehnikaid ja muid maksepettustele viitavaid asjaolusid, mille

puhul ei pruugi andmevahetuse hetkel olla veel võimalik või vajalik anda lõplikku

karistusõiguslikku kvalifikatsiooni. Mõiste „pettus” on ühtlasi kooskõlas

makseteenuste valdkonnas kasutatavate mõistetega.

6

Ettepanek I: Kaaluda, kas mõiste „pettus“ asemel oleks korrektsem

kasutada mõistet „kelmus“.

5 Eesmärgi sõnastus. Viidatud sätte pealkiri on andmete avaldamine

pettuste tõkestamise eesmärgil, samas lõike 1 kohaselt on

krediidiasutusel õigus avaldada andmeid pettuste avastamiseks,

väljaselgitamiseks ja ennetamiseks, mida ei saa käsitada pettuste

tõkestamisena. Ka seletuskirjas kasutatakse läbisegi mõisteid

ennetamine, tõkestamine, avastamine ja väljaselgitamine.

Näiteks seletuskirjas: „…Teiseks, eelnõuga muudetakse

krediidiasutuste seadust (edaspidi KAS), millega antakse

krediidiasutustele õigus jagada vajalikku teavet pettuste

avastamiseks, väljaselgitamiseks ja ennetamiseks. Seda juhul, kui

krediidiasutusel on objektiivselt põhjendatud alus kahtlustada, et

klient või maksetehing võib olla seotud pettusega. Eelnimetatud teave

võib mh kvalifitseeruda ka pangasaladuseks. Krediidiasutusel saab

olema õigus omal initsiatiivil jagada vajalikku teavet teiste

krediidiasutustega, Politsei- ja Piirivalveametiga (edaspidi PPA) ning

Riigi Infosüsteemi Ametiga (edaspidi RIA). Kehtivas õiguses selline

õigus puudub ning see on osutunud probleemiks pettuste avastamisel

ja tõkestamisel. Praktikas tähendab see, et näiteks olukordades, kus

krediidiasutusel on kahtlus, et konkreetne maksekonto (lihtsustatult

arvelduskonto) on seotud pettuste toimepanemisega, siis seda

teadmist teiste krediidiasutustega jagada ei tohi. Sellise õiguse

puudumine on takistuseks tõhusamalt ennetada pettuste

toimepanemist….“.

Tegemist on oma sisult erinevate mõistetega. Ennetamine ja

väljaselgitamine tulenevad KorS-st, neile laieneb Euroopa

Parlamendi ja nõukogu määrus (EL) 2016/679 füüsiliste isikute kaitse

kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise

ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete

kaitse üldmäärus), avastamisele ja tõkestamisele aga Euroopa

Parlamendi ja nõukogu direktiiv (EL) 2016/680, mis käsitleb

füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete

töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende

eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise

eesmärgil ning selliste andmete vaba liikumist ning millega

tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK

(õiguskaitseasutuste direktiiv).

Avastamise ja tõkestamise legaaldefinitsioon seaduses puudub, v.a

JAS, mille § 4 kohaselt on kuriteo tõkestamine JAS tähenduses

Arvestatud Eelnõus on ühtlustatud mõistete kasutust.

7

kuriteo ärahoidmine mis tahes seaduslikul viisil enne selle

toimepanemist. Ennetamise mõiste on toodud KorS § 4 lõikes 7, mille

kohaselt on ohu ennetamine see osa korrakaitsest, kus puudub

ohukahtlus, kuid saab pidada võimalikuks olukorda, mille

realiseerumisel tekib ohukahtlus või oht. Ohu ennetamine on muu

hulgas teabe kogumine, vahetamine ja analüüs, toimingute

kavandamine ja elluviimine ning riikliku järelevalve meetmete

kohaldamine avalikku korda tulevikus ähvardada võivate ohtude

tõrjumiseks, sealhulgas süütegude ennetamine.

Praeguse käsitluse juures jäävad õhku küsimused: mis vahe on

avastamisel ja väljaselgitamisel?; kas saab rääkida ennetamisest, kui

krediidiasutusel on juba kahtlus tekkinud?

Ettepanek II: Pöörata tähelepanu terminite kasutamisele pealkirjas

ning sisus, et need oleksid kohased ning kaaluda, kas lõikes 1 tuleks

täpsustada, mis eesmärgil krediidiasutus andmeid edastada võib.

6 Asutusele viide. Lõikes 2 sätestatakse: „Käesoleva paragrahvi lõikes

1 nimetatud isikutele on lubatud avaldada andmeid ja teavet:…“.

Samas pöörame tähelepanu, et pole ilmselt kõige korrektsem

mainida, et Politsei- ja Piirivalveamet on isik.

Ettepanek III: Kaaluda tekstis sõna „isik“ asendamist.

Mittearvestatud Mõiste „isik“ kasutamine on seaduse tekstides sellistel puhkudel tavapärane.

7 Indikaatorid. Lõike 2 punkti 4 kohaselt võib krediidiasutus edastada

andmeid pettuse teel tehtud tehingute või pettusekatsete ja nende

asjaolude kohta.

Kui edastatakse andmeid kelmuse/pettuse teel tehtud tehingute kohta,

siis valdavalt ei saa süütegu enam ennetada, avastada ega tõkestada.

Lisaks jääb sellise sõnastuse korral õhku küsimus: kas krediidiasutus

on pädev hindama, kas just kelmus/pettus on toime pandud?

Seletuskirja järgi on selle punkti all peetud silmas pigem

pettuseindikaatoreid – „Punktiga 4 nähakse ette andmete ja teave

jagamine pettuse teel tehtud tehingute või pettusekatsete ja nende

asjaolude kohta. Need on nn pettuseindikaatorid, mis kirjeldavad

petuskeemi toimimist, nagu näiteks tehingu ajastus ja korduvad

summad ning mitme isiku samasugused käitumisjooned. See aitab

pettuste toimepanemist avastada näiteks olukorras, kus mitmed

kliendid saavad samal päeval panga nimel petukõnesid, siis on

võimalik jagada pettusekatsete mustreid teiste krediidiasutustega

ning tuvastada nn saripettuse toimepanemine võimalikult vara ka

Mittearvestatud Mõiste „indikaatorid” kasutamine ei ole põhjendatud. Punkti 4 eesmärk on

määrata andmekategooria, mida võib pettuste avastamiseks ja väljaselgitamiseks

jagada. Sõnastus „pettuse teel tehtud tehingute või pettusekatsete ja nende

asjaolude kohta” hõlmab nii juba toime pandud juhtumeid kui ka katseid ning

nende faktilisi asjaolusid. Juba toime pandud pettusjuhtumi kohta käiva teabe

jagamine ei ole suunatud üksnes tagasiulatuvale tuvastamisele, vaid võimaldab

ära hoida sama skeemi jätkumist, seostada omavahel korduvaid juhtumeid ja

vähendada edasist kahju. Samuti ei tähenda see sõnastus, et krediidiasutus annaks

lõpliku karistusõigusliku hinnangu süüteo toimepanemise kohta; tegemist on

objektiivselt põhjendatud pettusekahtlusega seotud faktiliste asjaolude

kirjeldamisega. Mõiste „indikaatorid” kasutamine seaduse tekstis oleks kitsam ja

ebaselgem ning ei hõlmaks sama selgelt konkreetseid pettuse teel tehtud

tehinguid, pettusekatseid ega nende asjaolusid.

8

teistel krediidiasutustel ning seeläbi kahjusid vähendada. Eeltoodu

võib olla ka makseteenuse osutamisel tuvastatud

manipulatsioonitehnikaid või muud pettuslikud võtted. Pettuse

toimepanijate nn töövõtted on näiteks krediidiasutuse töötajana

esinemise legend, kiire tegutsemise surve kindlate pettuse liikide

puhul, pahavara allalaadimise juhendamine jne. Näiteks

krediidiasutusele teavitavad mitmed isikud samasuguse sisuga

krediidiasutuse töötajana esinenud pettuslikust kõnest.“

Ettepanek IV: Kaaluda tekstis sõna „…indikaatorid“ kasutamist.

8 Sõnastus. Sõnastuse juures tekib küsimus, kas krediidiasutus peaks

avaldama andmeid ja teavet üksnes juhul, kui krediidiasutusel on alus

kahtlustada, et tegemist on kelmuse/pettusega? Tegelikult tuleks

PPA-d teavitada ka teiste kuritegude kahtlusest (nt omastamine).

Sellisele võimalusele viitab ka kõnealuse paragrahvi lõike 2 punkt 5:

5) maksetehinguga seotud pettuse või muu süüteo tunnustele vastava

teo tuvastamiseks, sealhulgas kasutatud seadmete, makseinstrumendi

või turvaelementide kohta.

Ettepanek V: Kaaluda kõnealuse paragrahvi sõnastamist järgmiselt:

§ 894. Andmete avaldamine kuritegude ennetamise, avastamise ja

tõkestamise eesmärgil

(1) Krediidiasutusel on õigus avaldada andmeid ja teavet teisele

krediidiasutusele ning Politsei- ja Piirivalveametile

maksetehingutega seotud kuritegude ennetamiseks, avastamiseks ja

tõkestamiseks.

(2) Käesoleva paragrahvi lõikes 1 nimetatud eesmärgil võib avaldada

andmeid ja teavet:

1) kliendi tuvastamiseks;

2) makse saaja ja maksekonto kohta;

3) maksetehingute kohta, sealhulgas tundlikke makseandmeid;

4) maksetehinguga seotud kuriteo tunnustele vastava teo

tuvastamiseks, sealhulgas kasutatud seadmete, makseinstrumendi või

turvaelementide kohta.

5) makseteenuse osutamisel tuvastatud kuriteomustrite ja -skeemide

ning manipulatsioonivõtete kohta.

Mittearvestatud Ettepanek asendada pettustele viitav sõnastus üldise kuritegude ennetamisele,

avastamisele ja tõkestamisele ei ole põhjendatud. Kavandatav säte on suunatud

kitsamalt maksetehingutega seotud pettuste avastamisele ja väljaselgitamisele

ning selline eesmärk vastab ka makseteenuste direktiivi artiklis 94 kasutatud

andmete avaldamise eesmärgile, milleks on: liikmesriigid lubavad

maksesüsteemidel ja makseteenuse pakkujatel töödelda isikuandmeid, kui see on

vajalik maksepettuste ärahoidmise, uurimise ja avastamise tagamiseks. Mõiste

„kuriteod” laiendaks normi eset oluliselt ja muudaks selle üldiseks süütegude

kohta teabe vahetamise sätteks, milleks eelnõu ei ole mõeldud. See oleks

problemaatiline ka põhiõiguste riive proportsionaalsuse vaatest, kuna lubatud

andmevahetuse eesmärk muutuks liiga avaraks. Asjaolu, et üksikute

andmekategooriate kirjelduses viidatakse ka muu süüteo tunnustele vastavale

teole, ei muuda paragrahvi põhieesmärki, vaid võimaldab pettusekahtluse faktilisi

asjaolusid kirjeldada piisava täpsusega.

9 Seletuskirjas selgitatakse: „Kehtiv KAS § 88 lg 5 p 2 võimaldab

pangasaladuse avaldamist uurimisasutusele üksnes

kriminaalmenetluse raames. Seega on politseil küll võimalik saada

pettuste uurimisel informatsiooni, kuid see on piiratud, sest andmete

avaldamine eeldab kriminaalmenetluse algatamist. Eelnõuga

kavandatav paragrahv loob õigusliku aluse, mis võimaldab

Arvestatud Seletuskirja on vastavalt muudetud.

9

krediidiasutusel objektiivselt põhjendatud pettuse kahtluse korral

edastada andmeid enne kriminaalmenetluse algatamist. See

võimaldab kiiremat reageerimist ja kahju ennetamist olukordades,

kus menetluse alustamine võib toimuda alles pärast esmast juhtumi

analüüsi ning pettuse ennetamise ja ärahoidmise vaatest seega liiga

hilja.“

Kriminaalmenetlust ei algatata, vaid tulenevalt KrMS § 193 lõikest 1

alustatakse seda esimese uurimis- või muu menetlustoiminguga.

Ettepanek VI: Kaaluda sõna „algatamine“, asendamist sõnaga

„alustamine“.

10 KAS § 88 lõike 5 punkt 2 sõnastus. Kehtiva KAS § 88 lõike 5 punkt

2 sõnastus on ebaselge, mistõttu praktikas on see tekitanud

tõlgendamise probleeme:

„2) kohtueelse uurimise asutusele ja prokuratuurile alustatud

kriminaalmenetluses, sealhulgas välislepingus sätestatud korras

välisriigist saabunud õigusabi taotluse alusel või Euroopa Liidu

õiguses sätestatud kohustuse täitmiseks rahvusvahelise

konventsiooni või muu välislepingu või politsei või muu sellesarnase

pädeva asutuse koostöölepingu täitmiseks;“

Muudatuse eesmärk on tagada kõnealuse sätte õigusselgus, viies see

mh kooskõlla kehtivates õigusaktides kasutatavate mõistetega. Sätte

sisu ei muudeta ega kellelegi täiendavaid õigusi ei anta.

KrMS ei kasuta sellist mõistet kui „kohtueelse uurimise asutus“ vaid

„uurimisasutus“. KrMS 19. peatüki „Rahvusvaheline koostöö

kriminaalmenetluses“ 3. jao kohaselt toimub vastastikune abistamine

kriminaalmenetluses abistamistaotluse, mitte õigusabi taotluse alusel.

Koostööd kriminaalmenetluses Euroopa Liidu liikmesriikide vahel

reguleerib 8. jagu, millest tulenevalt taotletakse teises liikmesriigis

menetlustoimingu tegemist, kui eesmärgiks on hankida tõendeid või

teises liikmesriigis asuvad tõendid üle anda või hoiule võtta, Euroopa

uurimismäärusega.

Lisaks siseriiklikus kriminaalmenetluses ning välisriigist saabunud

abistamistaotluse või Euroopa uurimismääruse alusel tehtavatele

päringutele nähakse ka kehtivas sättes ette päringu tegemise võimalus

välislepingutes, rahvusvahelistes konventsioonides ning Euroopa

Liidu õigusaktis sätestatud kohustuse täitmiseks. 2014. aastal

muudeti sellega seonduvalt KAS-i, mille kohta on seletuskirjas

märgitud:

Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse

pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt maksepettustega

seotud. Toome siinkohal välja, et rahandusministeeriumil on välja töötamisel

eelnõu, millega muudetakse viidatud KAS §-i 88 tervikuna.

10

„Olulisema muudatusena tuleb välja tuua punkti 2 sõnastus, millega

on laiendatud pangasaladuseks oleva teabe saamise võimalusi seoses

rahvusvahelise koostööga kriminaalmenetlustes. Teised riigid

esitavad Eesti õiguskaitseasutustele konkreetsetes kriminaalasjades

taotlusi ka Euroopa Liidu Nõukogu 6. detsembri 2007. aasta otsuse

2007/845/JSK, mis käsitleb kriminaaltulu jälitamise talituste vahelist

koostööd kuritegelikul teel saadud tulu või kuritegevusega seotud

muu vara jälitamise ja tuvastamise valdkonnas, alusel läbi riiklike

kriminaaltulu üksuste. Tegemist ei ole rahvusvahelise

abistamistaotlusega KrMS 19. peatüki 3. jao mõistes. Samuti ei ole

tegemist mitte Eesti Vabariigis, vaid välisriigis alustatud

kriminaalmenetlusega. Kui taotlus on välisriigis alustatud

kriminaalmenetluse raames esitatud eelnimetatud otsuse

2007/845/JSK alusel läbi riikliku kriminaaltulu üksuse ilma

õigusabitaotlust tegemata, ei tohi kehtiva regulatsiooni kohaselt

pangasaladust edastada. Tulenevalt eelnimetatud raamotsusest

toimub koostöö kriminaaltulu jälitamise talituste vahel ning

kriminaaltulu jälitamise talituste ja teiste asutuste vahel, mille

ülesanne on kuritegelikul teel saadud tulu kindlakstegemise ja

uurimise hõlbustamine, nõukogu 18. detsembri 2006. aasta

raamotsuses 2006/960/JSK (Euroopa Liidu liikmesriikide

õiguskaitseasutuste vahelise teabe ja jälitusteabe vahetamise

lihtsustamise kohta) sätestatud menetluste ja tähtaegade alusel, kaasa

arvatud seal toodud keeldumise põhjused. Seega tuleb KrAS § 88

lõike 7 punkt 2 sõnastada selliselt, et oleks mõistetav, et Politsei- ja

Piirivalveameti keskkriminaalpolitsei kriminaaltulu tuvastamise

bürool on võimalus saada pangasaladust puudutavat teavet

raamotsuse 2007/845/JSK alusel esitatud päringutele vastamisel.“

Käesolevaks ajaks on raamotsus 2006/960/JSK kehtetu, koostööd

tehakse Euroopa parlamendi ja nõukogu direktiiviga (EL) 2023/977,

mis käsitleb liikmesriikide õiguskaitseasutuste vahelist teabevahetust

ja millega tunnistatakse kehtetuks nõukogu raamotsus 2006/960/JSK,

sätestatud tingimustel ja korras.

Rahvusvahelise konventsioonina võib välja tuua nt Rahvusvahelise

organiseeritud kuritegevuse vastu võitlemise Ühinenud Rahvaste

Organisatsiooni konventsiooni, mille artikkel 12 „Konfiskeerimine ja

arestimine“ sõnastab: „1. Osalisriik võtab oma seaduse alusel

võimalikult suures ulatuses meetmeid, mis võimaldavad

konfiskeerida:

a) konventsioonis nimetatud kuriteo toimepanemisega saadud vara

või vara, millel on sama väärtus;

11

2. Osalisriik võtab meetmeid, et tagada lõikes 1 nimetatud eseme

kindlakstegemine, jälgimine ja arestimine selle võimalikuks

konfiskeerimiseks.

6. Käesoleva artikli ja artikli 13 kohaselt volitab osalisriik oma kohtu

või muu pädeva asutuse andma panga- või muu finantsdokumendi või

äridokumendi esitamise või arestimise määruse. Osalisriik ei või

käesoleva lõike täitmisest keelduda, viidates pangasaladuse

hoidmisele.“

Ettepanek VII: Kaaluda paragrahvi 88 lõike 5 punkt 2 muutmist ja

sõnastamist järgmiselt:

„2) uurimisasutusele ja prokuratuurile alustatud kriminaalmenetluses,

sealhulgas välisriigist saabunud abistamistaotluse või Euroopa

uurimismääruse alusel või välislepingus, rahvusvahelises

konventsioonis või Euroopa Liidu õigusaktis sätestatud kohustuse

täitmiseks.

11 Väärteomenetlus, teadmata kadunud isiku asukoha tuvastamine. Käesoleval ajal väärteomenetluses krediidiasutusele päringu

tegemine ei ole võimalik, v.a kõnealuses paragrahvis toodud erisused.

Teatud juhtudel on aga väärtegude tõendamine pangasaladust

(pangatehingute andmeid) avaldamata võimatu või ebamõistlikult

koormav. Nt KarS §-s 213 (Arvutikelmus) sätestatud teo

toimepanemisel, kui kahju on alla 200 euro (teise isiku pangakaardiga

võetakse välja raha alla 200 euro), kvalifitseeritakse see § 218 alusel

väärteona.

Sarnaselt VTMS § 312 lõikes 3 ette nähtud regulatsiooniga võiks

päringu krediidiasutusele teha üksnes siis, kui see on vältimatult

vajalik väärteomenetluse eesmärgi saavutamiseks. Esitatud sättega

soovime rõhutada ultima ratio põhimõtte kasutamist – päringu saab

teha üksnes siis, kui see on vajalik ja põhjendatud.

KAS-i täiendamisega teadmata kadunud isikute asukoha

tuvastamisega seonduvalt luuakse PPA-le võimalus saada

põhjendatud taotluse alusel ning kohtu loal ja ulatuses teavet

pangatehingute kohta, mis on vajalik teadmata kadunud isiku asukoha

tuvastamiseks, et välja selgitada oht isiku elule ja kehalisele

puutumatusele (kõrgendatud oht), ja vajadusel vastav oht tõrjuda.

Muudatusega antakse teadmata kadunute otsimisega tegelevatele

ametnikele lisavõimalus teadmata kadunu isiku asukoha kiireks ja

tulemuslikuks väljaselgitamiseks ning süüteo tunnuste ilmnemise

korral kriminaalmenetluse alustamiseks. Seejuures tuleb rõhutada, et

muudatus ei muuda teadmata kadunud isiku pangatehingute andmete

küsimist igas kaasuses nö vaikimisi toiminguks, sest toimingu

Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse

pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt maksepettustega

seotud. Toome siinkohal välja, et rahandusministeeriumil on välja töötamisel

eelnõu, millega muudetakse viidatud KAS §-i 88 tervikuna.

12

tegemise vajadus ja proportsionaalsus on allutatud kohtu kontrollile,

kes tagab sõltumatuse vältimatu vajalikkuse ehk ultima ratio

põhimõtte järgimisel.

Aastas laekub PPA-le üle 4000 teate teadmata kadunud isiku kohta,

kuid enamikel juhtudel leitakse kadunu muude meetmetega üles

mõne päeva jooksul. Kadunu pangatehingute andmeid võib olla

vajalik küsida aastas kuni paarikümnes juhtumis, kui muud toimingud

teadmata kadunud isiku asukoha väljaselgitamiseks on ammendunud.

Ettepanek VIII: Kaaluda paragrahvi 88 lõike 5 täiendamist

punktidega 41 ja 42 järgmises sõnastuses:

„41) Politsei- ja Piirivalveametile alustatud väärteomenetluses

põhistatud määruse alusel, kui see on vältimatult vajalik

väärteomenetluse eesmärgi saavutamiseks;“;

„42) Politsei- ja Piirivalveametile põhjendatud taotluse alusel ning

kohtu loal teadmata kadunud isiku asukoha tuvastamiseks;“.

Vajadusel võib punkti 41 täiendada, nähes ette kohtu loa

kohustuslikkuse. Hetkel kehtiva seaduse kohaselt (§ 88 lõike 5 punkt

4) võib pangasaladust avaldada MTA-le MKS alusel läbiviidavates

väärteomenetlustes põhistatud määruse alusel.

12 KAS § 88 lõiked 61 ja 62 sõnastus. Kehtivad KAS § 88 lõiked 61 ja 62

sätestavad:

„(61) Krediidiasutus avaldab käesoleva paragrahvi lõike 5 punktides

1–4 nimetatud järelepärimise vastusena pangasaladuse, kui

järelepärimises märgitud kliendi kohta on esitatud vähemalt:

1) andmed kliendi maksekonto, maksekaardi või muu maksevahendi

või makseinstrumendi tunnuse või lepingu kohta või

2) muud andmed, mis võimaldavad identifitseerida kliendi isiku.

(62) Krediidiasutus avaldab käesoleva paragrahvi lõike 5 punktides

1–4 nimetatud järelepärimise vastusena pangasaladuse:

1) järelepärimises märgitud kliendi maksekonto suhtes esindusõigust

omava isiku kohta;

2) kliendi kohta, kelle maksekonto suhtes järelepärimises märgitud

isik esindusõigust omab;

3) käesoleva lõike punktides 1 ja 2 nimetatud kliendi tegeliku

kasusaaja kohta.“

Muudatus on seotud eelmises kommentaaris esitatud

muudatusettepanekutega. KAS § 88 lõigetes 61 ja 62 toodud

põhimõtted peaksid kehtima ka juhul, kui PPA esitab

krediidiasutusele järelepärimise alustatud väärteomenetluses või

teadmata kadunud isiku asukoha tuvastamiseks.

Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse

pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt maksepettustega

seotud. Toome siinkohal välja, et rahandusministeeriumil on välja töötamisel

eelnõu, millega muudetakse viidatud KAS §-i 88 tervikuna.

13

Ettepanek IX: Kaaluda paragrahvi 88 lõigetes 61 ja 62 tekstiosa

„lõike 5 punktides 1-4“ asendamist tekstiosaga „lõike 5 punktides 1–

42“;

13 KAS § 88 lõike 9 sõnastus. KAS sõnastus „Krediidiasutusel on õigus

avaldada pangasaladust uurijale, prokurörile ja kohtule seoses oma

rikutud või vaidlustatud õiguse või vabaduse kaitsmisega seadusega

kindlaksmääratud korras.“ on eksitav. Nimelt on KrMS § 16 lõike 1

kohaselt menetlejad kohus, prokuratuur ja uurimisasutus. KrMS § 30

lõike 2 kohaselt teostab prokuratuuri volitusi kriminaalmenetluses

prokuratuuri nimel prokurör. Tulenevalt § 31 lõikest 5 kehtestab

uurimisasutuse juht nende ametikohtade loetelu, mille täitjatel on

õigus osaleda uurimisasutuse pädevuse piires.

Kõikide loetelus toodud ametikohtadel töötavate ametnike

ametinimetus ei pea olema uurija. Kui KrMS-s soovitakse rõhutada

konkreetset ametnikku, siis kasutatakse mõistet „uurimisasutuse

ametnik“. Nt sätestab KrMS § 59 lõige 1: „Uurimisasutuse ametnik,

kelle menetluses on kriminaalasi, on kohustatud taanduma käesoleva

seadustiku § 49 lõigetes 1 ja 6 sätestatud alusel.“

Ettepanek X: Kaaluda paragrahvi 88 lõikes 9 tekstiosa „uurijale,

prokurörile“ asendamist tekstiosaga „uurimisasutusele,

prokuratuurile“.

Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse

pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt maksepettustega

seotud. Toome siinkohal välja, et rahandusministeeriumil on välja töötamisel

eelnõu, millega muudetakse viidatud KAS §-i 88 tervikuna.

Eesti Pank

14 Teeme ettepaneku parema õigusselguse saavutamiseks täpsustada

võlaõigusseaduses (edaspidi ka VÕS) poolte õigusi ja kohustusi

maksejuhise täitmisest keeldumisel. Mõistame, et muudatuse

eesmärgiks on anda makseteenuse pakkujale kahtluse korral võimalus

veenduda, et maksejuhis on korrektselt kinnitatud ja täpsustada

täiendava kontrollimise tõttu maksejuhise hilisema täitmisega

kaasuvaid tagajärgi. See tähendab, et makseteenuse pakkuja makse

täitmisest keeldumise korral tuleb pärast täiendavat kontrolli

maksetehing täita või jätta see täitmata. Neid erinevaid tagajärgi

tuleks meie hinnangul ka seaduses selgemalt reguleerida, sealhulgas

täpsustada poolte vastutust ja maksejuhise kättesaamise tingimusi.

Nii kaua, kui maksejuhisest on õigustatult keeldutud, siis loetakse, et

teenuse pakkuja ei ole maksejuhist kätte saanud ja teenuse pakkujal

puudub täitmise kohustus. Seetõttu peame oluliseks ka reguleerida

seda, millal tuleb maksejuhist asuda täitma ja võimalusel täpsustada

ka sellise maksejuhise kättesaamise aega (näiteks kohe, kui täitmisest

Arvestatud/

selgitatud

Eelnõud ja seletuskirja on vastavalt täiendatud.

14

keeldumise põhjused on ära langenud, misjärel hakkab lugema

välkmakse 10 sekundit). Täpsustada võiks ka tingimusi, millise aja

jooksul tuleb makseteenuse pakkujal otsustada vajadus teostada

täiendav kontroll ja milline on maksimaalne täiendava kontrolli aeg,

et otsustada maksejuhise täitmise üle. Samuti tuleks täpsustada, et kui

pärast maksejuhise täiendavat kontrollimist maksejuhist ei täideta,

siis loetakse, et teenusepakkuja on õigustatult keeldunud maksejuhise

täitmisest ja sellisel juhul ei ole maksjal õigust nõuda maksejuhise

täitmist (so. makset käsitatakse kättesaamata maksejuhisena vastavalt

VÕS § 7243 lõikele 5). Käesoleva eelnõu puhul on meie hinnangul

oluline ka põhjalikumalt selgitada kliendi (rahaliste vahendite)

kaitsmise ning maksejuhiste täitmisest keeldumise eesmärki ja

tagajärgi eelnõu juurde koostatud seletuskirjas. Samuti selgitada,

millised on poolte õigused ja kohustused olukorras, kui maksja

vaidleb/ei vaidle täiendavaks kontrolliks peatatud maksejuhise

täitmisele vastu.

15 Teeme ettepaneku täpsustada ka maksekontode blokeerimise

tingimusi võimaliku andmete väärkasutamise või maksepettusega

seotud asjaolude väljaselgitamiseks ja ennetamiseks ning ette näha

õigus sellekohast teavet jagada ka teiste makseteenuse pakkujatega.

Eelkõige võimaldaks see makseteenuse pakkujal ära hoida rahaliste

vahendite kättesaadavaks tegemist makse saajast petturile näiteks

veebikaubanduses või investeerimiskelmuste korral.

Selgitatud VÕS-is on §-s 73311 lõikes 3 ette nähtud makseinstrumendi blokeerimise õigus.

Vastavalt sellele, kui makseteenuse lepingus on nii kokku lepitud, on

makseteenuse pakkujal õigus blokeerida makseinstrument objektiivselt

põhjendatud kaalutlustel, mis seonduvad makseinstrumendi turvalisusega, või

kui on kahtlus maksja nõusolekuta või pettuse teel makseinstrumendi kasutamise

kohta või kui krediidiliiniga seotud makseinstrumendi kasutamisel suureneb

oluliselt oht, et maksjal ei ole piisavalt vahendeid maksekohustuse täitmiseks.

Makseteenuse lepingus saab makseteenuse pakkuja täpsustada makseinstrumendi

blokeerimise tingimusi.

Leiame, et eelnõus sisalduv makseteenuse pakkujate õigus jagada objektiivselt

põhjendatud pettuse kahtluse korral andmeid teiste makseteenuse pakkujatega

katab ära ettepanekus toodud andmete jagamise eesmärgi.

16 Teeme ettepaneku, et teave, mida makseteenuse pakkujad on

kohustatud klientidele makseteenuse lepingu kohta andma, võiks

sisaldada muu hulgas maksepettusega seotud tagasinõudeid

käsitlevaid tingimusi ja korda.

Arvestatud Eelnõud on vastavalt täiendatud.

17 Parema õiguskindluse huvides teeme ettepaneku täpsustada

võlaõigusseaduses ka makseteenuse pakkuja poolt turvalisuse nõuete

rakendamisega seotud kohustusi (VÕS § 7246 ). Soovitame ette näha

selgem õigus teenuse pakkujale takistada maksekontole juurdepääs ja

mis tahes elektrooniliste toimingute tegemine, kui juurdepääs on

saadud või seda taotletakse autoriseerimata või pettuse teel või kui

toiminguga kaasneb andmete väärkasutamise või makseteenusega

seotud pettuse oht. Sealhulgas ette näha selgem kohustus

teenusepakkujale takistada maksekontole juurdepääs interneti teel ja

mis tahes toimingute tegemine, kui teenusepakkujal on põhjendatud

Selgitatud VÕS-is on §-s 73311 lõikes 3 ette nähtud makseinstrumendi blokeerimise õigus.

Vastavalt sellele, kui makseteenuse lepingus on nii kokku lepitud, on

makseteenuse pakkujal õigus blokeerida makseinstrument objektiivselt

põhjendatud kaalutlustel, mis seonduvad makseinstrumendi turvalisusega, või

kui on kahtlus maksja nõusolekuta või pettuse teel makseinstrumendi kasutamise

kohta või kui krediidiliiniga seotud makseinstrumendi kasutamisel suureneb

oluliselt oht, et maksjal ei ole piisavalt vahendeid maksekohustuse täitmiseks.

Makseinstrumendi blokeerimisel on takistatud muuhulgas ka amksekonto

kasutamine ning elektrooniliste toimingute tegemine.

15

kahtlus, et kliendi tugevaks autentimiseks mõeldud turvaelementide

kasutamine ei vasta makseteenuse lepingus määratud tugeva

autentimise tingimustele, muu hulgas juhul, kui teenusepakkujal on

põhjendatud kahtlus, et neid võidakse kasutada kliendi teadmata

(näiteks, kui autentimiseks kasutatud seadmete asukoht on erinev,

mis annab alust arvata, et kliendi tugevaks autentimiseks ettenähtud

tehniline rakendus ei ole kliendi kontrolli all). Samuti tuleks ette näha

makseteenuse pakkuja kohustus teavitada eelnimetatud asjaolust ka

vastavat tugeva autentimise lahenduse pakkujat (usaldusteenuse

pakkujat).

Täpsemad nõuded turvalise teabevahetuse ja turvameetmete kohta on kehtestatud

Euroopa Parlamendi ja nõukogu direktiivi 2015/2366/EL artiklis 98 nimetatud

Euroopa Komisjoni rakendusmääruses.

18 Eelnõuga nähakse krediidiasutusele õigus pettuse avastamiseks,

ennetamiseks ja välja selgitamiseks avaldada andmeid ja teavet muu

hulgas teisele krediidiasutusele. Palume kaaluda, kas krediidiasutuste

õigus avaldada andmeid ja teavet oma kliendi kohta võiks laieneda

makseteenuse pakkujatele, kuivõrd makseteenuseid osutavad ka mitte

krediidiasutused (makseasutused ja e-raha asutused). Vastasel juhul

jääb osa teenusepakkujaid pettuste ennetustegevusest väljapoole just

puuduva info tõttu.

Arvestatud Eelnõu on vastavalt täiendatud ja lisatud maksetasutustele ja e-raha asutustele

andmete avaldamise õigus.

19 Eelnõu kohaselt on krediidiasutusel õigus avaldada teavet teisele

krediidiasutusele juhul, kui krediidiasutusel on objektiivselt

põhjendatud alus kahtlustada, et klient või maksetehing võib olla

seotud pettusega. Palume selgitada, millist rolli mängib

krediidiasutuse pettuse kahtlus teabe avaldamisel ja hinnata, kas teabe

avaldamiseks piisaks, kui seda tehakse maksetehingutega seotud

pettuste avastamise, väljaselgitamise ja ennetamise eesmärgil (so

loobuda pettuse kahtluse tingimusest).

Selgitatud Leiame, et andmete avaldamise eeldusena objektiivselt põhjendatud

pettusekahtluse tingimusest ei ole põhjendatud loobuda. Nimetatu eesmärk on

andmete avaldamise piiramine, mis seob andmevahetuse konkreetse juhtumiga.

See tagab, et andmeid ei avaldata üldiselt või ennetavalt kõigi maksetehingute

kohta. Selline juhtumipõhine lävend tagab andmete avaldamise vajalikkust ja

proportsionaalsust, et oleks kooskõla andmete töötlemise minimaalsuse

põhimõttega. Ilma selle tingimuseta muutuks andmete avaldamise alus liiga

avaraks.

Finantsinspektsioon

20 Eelnõu § 1 punktiga 1 täiendatakse võlaõigusseaduse (edaspidi

VÕS) §-i 7243 lõikega 41 järgmiselt: „(41 ) Makseteenuse pakkuja

võib keelduda autoriseeritud maksejuhise täitmisest, kui pärast

komisjoni delegeeritud määruses (EL) 2018/389, millega

täiendatakse Euroopa Parlamendi ja nõukogu direktiivi (EL)

2015/2366 regulatiivsete tehniliste standarditega, mis käsitlevad

kliendi tugevat autentimist ning ühiseid ja turvalisi teabevahetuse

avatud standardeid (ELT L 69/23, 13.03.2018, lk 23–43), ette nähtud

turvameetmete täiendavat rakendamist on makseteenuse pakkujal

põhjendatud kahtlus, et maksetehingu täitmiseks antud nõusolek on

saadud andmete väärkasutamise, pettuse või maksjaga

manipuleerimise teel.“ Eelnõus kasutatakse uut mõistet „täiendavate

turvameetmete rakendamine“, kuid selle sisu ei ole eelnõu tekstis ega

seletuskirjas avatud. Finantsinspektsiooni hinnangul on õigusselguse

huvides vajalik nimetatud mõistet täpsemalt selgitada. Nimelt seab

Eelnõu § 1 punkt 1 kaks eeldust autoriseeritud maksejuhise täitmisest

keeldumiseks: 1) täiendavate turvameetmete rakendamine; 2)

Arvestatud Eelnõusse on lisatud uued lõiked, mis selgitavad täiendavate turvameetme

rakendamise sisu ja eesmärki.

16

põhjendatud kahtlus väärkasutamises, pettuses või maksjaga

manipuleerimises. Eelnõu kohaselt on makseteenuse pakkujal õigus

keelduda maksejuhise täitmisest üksnes pärast täiendavate

turvameetmete rakendamist. Makseteenuse pakkujad on

maksetehingute töötlemisel kohustatud rakendama erinevaid

turvameetmeid. Praktikas rakendatakse neid meetmeid suurel määral

automatiseeritud süsteemide kaudu. Eelnõus kasutatud mõiste

„täiendavate turvameetmete rakendamine“ võib tekitada

tõlgenduslikku ebaselgust selles osas, milliseid turvameetmeid tuleb

pidada täiendavateks võrreldes makseteenuse pakkujate tavapäraste

kontrollimehhanismidega. Eelkõige võib tekkida küsimus, millised

rakendatavad turvameetmed (sealhulgas automaatsed

pettusetuvastuse süsteemid) kvalifitseeruvad eelnõu tähenduses

täiendavate turvameetmeteks. Eeltoodut arvestades teeb

Finantsinspektsioon ettepaneku täpsustada eelnõu seletuskirjas

täiendavate turvameetmete rakendamise mõiste sisu.

Finantsinspektsiooni hinnangul tuleks seletuskirjas vähemalt tuua

välja näiteid (nt kliendile helistamine), milliseid meetmeid silmas

peetakse ning mis vahe on täiendavatel turvameetmetel ja

tavapärastel turvameetmetel.

21 Eelnõu § 1 punktiga 1 täiendatakse VÕS §-i 7243 lõikega 43

järgmiselt: „(43) Välkkreeditkorralduse puhul tuleb maksejuhise

täitmisest keelduda kooskõlas Euroopa Parlamendi ja nõukogu

määrusega (EL) nr 260/2012.“ Euroopa Parlamendi ja nõukogu

määrusega (EL) nr 260/2012 kehtestatakse eurodes tehtavatele

kreedit- ja otsekorraldustele tehnilised ja ärilised nõuded ning

muudetakse määrust (EÜ) nr 924/2009. Nõuded

välkkreeditkorraldustele kehtestab Euroopa Parlamendi ja nõukogu

määrus (EL) 2024/886, millega muudetakse määrusi (EL) nr

260/2012 ja (EL) 2021/1230 ning direktiive 98/26/EÜ ja (EL)

2015/2366 eurodes välkkreeditkorralduste osas. Eelnõus on viidatud

Euroopa Parlamendi ja nõukogu määrusele (EL) nr 260/2012, kuid

nõuded välkkreeditkorraldusele kehtestab Euroopa Parlamendi ja

nõukogu määrus (EL) 2024/886. a. Finantsinspektsiooni teeb

ettepaneku muuta Eelnõud järgmiselt: „(43) Välkkreeditkorralduse

puhul tuleb maksejuhise täitmisest keeldumisel järgida Euroopa

Parlamendi ja nõukogu määruses (EL) 2024/886 sätestatud nõudeid.“

Arvestad Eelnõud on vastavalt muudetud.

22 Eelnõu § 1 punktid 1 ja 3

Eelnõu § 1 punktiga 1 täiendatakse VÕS §-i 7243 lõikega 41

järgmiselt: „(41) Makseteenuse pakkuja võib keelduda autoriseeritud

maksejuhise täitmisest, kui pärast komisjoni delegeeritud määruses

(EL) 2018/389, millega täiendatakse Euroopa Parlamendi ja nõukogu

direktiivi (EL) 2015/2366 regulatiivsete tehniliste standarditega, mis

käsitlevad kliendi tugevat autentimist ning ühiseid ja turvalisi

Arvestatud Eelnõus on mõisted ühtlustatud.

17

teabevahetuse avatud standardeid (ELT L 69/23, 13.03.2018, lk 23–

43), ette nähtud turvameetmete täiendavat rakendamist on

makseteenuse pakkujal põhjendatud kahtlus, et maksetehingu

täitmiseks antud nõusolek on saadud andmete väärkasutamise,

pettuse või maksjaga manipuleerimise teel.“ Eelnõu § 1 punktiga 3

täiendatakse VÕS §-i 7339 lõikega 3 järgmiselt: „(3) Makseteenuse

pakkuja ei vastuta kahju eest, kui käesoleva seaduse § 7243 lõike 4¹

alusel ette nähtud turvameetmete täiendava rakendamise tulemusel

täidetakse makse hilinemisega, tingimusel et nimetatud

turvameetmeid rakendatakse ebamõistliku viivituseta ning

rakendamise aluseks on objektiivselt põhjendatud kahtlus, et

maksetehingu täitmiseks antud nõusolek on saadud andmete

väärkasutamise, pettuse või maksjaga manipuleerimise teel“ Eelnõus

kasutatakse mõisteid „põhjendatud kahtlus“ ja „objektiivne

põhjendatud kahtlus“. Finantsinspektsioon teeb õigusselguse huvides

ettepaneku ühtlustada eelnimetatud mõisted. Kui eelnõu eesmärk on

seada mõlemas sättes eelduseks objektiivselt põhjendatud kahtlus,

tuleks seda mõistet kasutada mõlemas sättes ühtmoodi. Juhul kui

eelnõu eesmärk on nimetatud mõisteid eristada, oleks vajalik

seletuskirjas selgitada nende mõistete sisu, omavahelisi erinevusi

ning seoseid. Eelkõige tuleks avada, millistel juhtudel tuleb lähtuda

põhjendatud kahtlusest ning millistel juhtudel objektiivselt

põhjendatud kahtlusest, ning kas ja mil määral erinevad nende

eeldused normi kohaldamisel.

23 Eelnõu § 1 punktiga 3 täiendatakse VÕS § 7339 lõikega 3 järgmiselt:

„(3) Makseteenuse pakkuja ei vastuta kahju eest, kui käesoleva

seaduse § 7243 lõike 4¹ alusel ette nähtud turvameetmete täiendava

rakendamise tulemusel täidetakse makse hilinemisega, tingimusel et

nimetatud turvameetmeid rakendatakse ebamõistliku viivituseta ning

rakendamise aluseks on objektiivselt põhjendatud kahtlus, et

maksetehingu täitmiseks antud nõusolek on saadud andmete

väärkasutamise, pettuse või maksjaga manipuleerimise teel.“

Finantsinspektsioon teeb ettepaneku muuta Eelnõu § 1 punkti 3 ning

kasutada õigusselguse huvides väljendi „nimetatud turvameetmeid

rakendatakse“ asemel väljendit „turvameetmete täiendav

rakendamine teostatakse“, järgmiselt: „(3) Makseteenuse pakkuja ei

vastuta kahju eest, kui käesoleva seaduse § 7243 lõike 4¹ alusel ette

nähtud turvameetmete täiendava rakendamise tulemusel täidetakse

makse hilinemisega, tingimusel et turvameetmete täiendav

rakendamine teostatakse ebamõistliku viivituseta ning rakendamise

aluseks on objektiivselt põhjendatud kahtlus, et maksetehingu

täitmiseks antud nõusolek on saadud andmete väärkasutamise,

pettuse või maksjaga manipuleerimise teel.“

Arvestatud Eelnõud on vastavalt muudetud.

24 Eelnõu §-ga 2 täiendatakse krediidiasutuste seaduse (edaspidi KAS) Arvestatud KAS § 88 lõike 3 punkti 1 lisatud viide uuele §-le 894.

18

§-ga 894 järgmiselt: „(1) Krediidiasutusel on õigus avaldada andmeid

ja teavet teisele krediidiasutusele ning Politsei- ja Piirivalveametile

maksetehingutega seotud pettuste avastamiseks, väljaselgitamiseks ja

ennetamiseks juhul, kui krediidiasutusel on objektiivselt põhjendatud

alus kahtlustada, et klient või maksetehing võib olla seotud

pettusega.“ Eelnõu seletuskirja leheküljel 6 on selgitatud järgmist:

„KAS uue §-i 894 lõike 1 kohaselt antakse krediidiasutusele õigus

avaldada erinevat teavet, mh pangasaladust teisele krediidiasutusele

ning Politsei- ja Piirivalveametile.“ KAS § 88 lõige 3 punkt 1 sätestab

krediidiasutuse õiguse avaldada pangasaladust kolmandale isikule,

kui „krediidiasutuse õigus või kohustus avaldada pangasaladust

tuleneb käesolevas paragrahvis sätestatust või;“. Finantsinspektsiooni

hinnangul sätestab KAS § 88 lõige 3 kinnise ja ammendava loetelu,

mille kohaselt on krediidiasutusel õigus avaldada pangasaladust

kolmandale isikule üksnes juhul, kui selline õigus või kohustus

tuleneb KAS § 88 muudest sätetest. KAS § 88 lõiget 3 punkti 1

tõlgendades võib asuda seisukohale, et pangasaladust ei ole võimalik

avaldada muudel alustel kui KAS §-s 88 sätestatud võimalustel.

Sõnastus “tuleneb käesolevas paragrahvis sätestatust“ välistab teiste

erandite alused, mis ei ole KAS §-is 88 ette nähtud. Seega on

seadusandja kehtivas õiguses sidunud pangasaladuse avaldamise

alused tervikuna sama paragrahvi regulatsiooniga ning välistanud

võimaluse tugineda pangasaladuse avaldamisel teistele KAS-i

sätetele, mis paiknevad väljaspool § 88. Eelnõuga kavandatav KAS §

894 paikneb väljaspool KAS §-i 88. KAS § 894 võib olla vastuolus

kehtiva seadusega, mille kohaselt on pangasaladuse avaldamise

alused koondatud KAS §-i 88 ning loetelu on käsitatav kinnisena.

Eeltoodust tulenevalt tuleb Finantsinspektsiooni hinnangul

täiendavat hinnata KAS § 894 kooskõla KAS § 88 lõikega 3 ning

vältida olukorda, kus pangasaladuse avaldamise alused oleksid

seaduses killustatult reguleeritud või tekitaksid normide vahel

tõlgenduslikku vastuolu. Arvestades, et Eelnõu kohaselt tekib õigus

autoriseeritud maksejuhise täitmisest keelduda kõigile makseteenuse

pakkujatele, siis oleks Finantsinspektsiooni hinnangul kohane

kaaluda ka teistele makseteenuse pakkujatele, kes ei ole

krediidiasutused, õiguse andmist avaldada andmeid ja teavet

maksetehingutega seotud pettuste avastamiseks, väljaselgitamiseks ja

ennetamiseks teistele makseteenuse pakkujatele, Politsei- ja

Piirivalveametile ning Riigi Infosüsteemi Ametile. Juhul, kui sellist

õigust ei soovita kõigile makseteenuse pakkujatele anda, siis oleks

kohane vastavat välistust Eelnõu seletuskirjas hinnata ja selgitada.

25 Eelnõu seletuskirja lk 1 kohaselt: „Esiteks, eelnõuga muudetakse

võlaõigusseaduse (edaspidi VÕS) regulatsiooni, mis puudutab

maksejuhise täitmisest keeldumist ehk olukorda, kus isik soovib teha

Arvestatud. Makseasutuste ja e-raha asutuste seaduse § 633 täiendatud uue lõikega, mille

kohaselt andmete avaldamisele pettuste maksepettuste avastamiseks,

väljaselgitamiseks ja ennetamiseks kohaldatakse krediidiasutuste seaduse § 894.

19

maksetehingut, kuid makseteenuse pakkuja (pank või makseasutus)

saab keelduda maksetehingu täitmisest.“ Finantsinspektsioon juhib

tähelepanu, et makseteenuse pakkujad määratleb MERAS § 3 lõige

6. Eesti turul tegutsevad makseteenuse pakkujatena nii

krediidiasutused (sh välisriigi krediidiasutuste Eesti filiaalid),

makseasutused kui ka e-raha asutused. Eeltoodust tulenevalt ei ole

Eelnõu seletuskirjas esitatud makseteenuse pakkujate loetelu täielik.

Finantsinspektsiooni hinnangul tuleb viia seletuskirja sõnastus

vastavusse MERAS-es sätestatud definitsiooniga ning kasutada

läbivalt mõistet „makseteenuse pakkuja“.

26 Eelnõu seletuskiri lk 1, 10 ja 13 Eelnõu seletuskirja lk 1 kohaselt: „Samuti loob eelnõu selgema

õigusraamistiku ja tugevdab pankade õigust põhjendatud pettuse

kahtluse korral makseid ajutiselt peatada või makse täitmisest

keelduda.“ Eelnõu seletuskirja lk 10 kohaselt: „7.1 Nähakse

krediidiasutustele ette õigus keelduda maksejuhiste täitmisest.

Sihtrühm nr 1: mõju makseteenuse pakkujatele Muudatus võib mõju

avaldada enamikele Eestis tegutsevatele (suurematele)

krediidiasutustele. Eestis on hetkeseisuga registreeritud 8

krediidiasutust (kes on saanud Finantsinspektsioonilt tegevusloa)

ning 6 välisriigi krediidiasutuse filiaali. Eestis pakuvad teadaolevalt

põhimakseteenuseid 7 krediidiasutust: AS LHV Pank, AS SEB Pank,

AS TBB pank, Coop Pank AS, Luminor Bank AS ja Swedbank AS.

Lisaks pakub põhimakseteenuseid üks Eestis tegutsev välisriigi

krediidiasutuse filiaal, milleks on AS Citadele banka Eesti filiaal.

Seega hetkel ei paku põhimakseteenuseid AS Inbank, Bigbank AS,

Holm Bank AS”. Eelnõu seletuskirja lk 13 kohaselt:

„Jõustumistähtaeg on ette nähtud arvestusega, et krediidiasutustel

oleks võimalik valmistada ette ning teha vajadusel tehnilised

muudatused, mis on vajalikudud maksejuhise täitmisest keeldumise

rakendamiseks /.../“. Finantsinspektsioon juhib tähelepanu, et

Eelnõuga kavandatavad võlaõigusseaduse muudatused kohalduvad

kõigile makseteenuse pakkujatele, mitte üksnes krediidiasutustele

ehk pankadele. Sellest tulenevalt peaks ka Eelnõu seletuskiri (sh

punkti 7.1 pealkiri) kajastama muudatuste tegelikku adressaati ning

viitama makseteenuse pakkujatele. Sihtrühma kirjeldamise osas on

oluline ära märkida järgnev. Esiteks ei osuta kõik krediidiasutused

makseteenuseid, mistõttu ei ole kohane piirduda tegevusluba omavate

krediidiasutuste loetlemisega, kuivõrd kõigile neile muudatus ei

kohaldu. Teiseks ei ole põhimakseteenuste osutajate seletuskirjas

käsitlemine käesoleva Eelnõu esemega otseselt seotud ning selle

väljatoomine mõjuanalüüsi osas võib jätta eksitava mulje

regulatsiooni kitsamast kohaldamisalast, st muudatus ei kohaldu

üksnes põhimakseteenuste osutajatele. Finantsinspektsioon märgib

Arvestatud Seletuskirja on vastavalt muudetud.

20

informatiivses korras, et Eelnõu seletuskirjas esitatud loetelu

põhimakseteenuste osutajatest ei ole ajakohane. Näiteks on loetelus

viidatud krediidiasutusele, mis enam ei tegutse (AS TBB pank).

Siinkohal kordame aga eeltoodut, et sihtrühma kirjelduses ei ole

asjakohane põhimakseteenuste osutajaid eraldi välja tuua.

Kolmandaks on sihtrühma analüüsist hetkel välja jäänud nii

makseteenuse pakkujad, kes ei ole krediidiasutused kui ka

krediidiasutused, kes ei osuta tarbijatele põhimakseteenuseid, vaid

osutavad makseteenuseid mitte-tarbijatele. Eeltoodust tulenevalt

tuleb Finantsinspektsiooni hinnangul Eelnõu seletuskirjas kirjeldada

sihtrühmana kõiki makseteenuse pakkujaid, kelle tegevust

kavandatav muudatus mõjutab või tulevikus mõjutada võib.

27 Eelnõu seletuskirja lk 3 kohaselt: „Euroopa Liidu tasemel on

sisuliselt kokku lepitud uus makseteenuse määrus, mis hakkab

asendama praegu kehtivat makseteenuste direktiivi 2015/23667.

Määrusega tugevdatakse mh makseteenuste turvalisust ning nähakse

ette ulatuslikumad pettusevastased meetmed, mis aitavad

krediidiasutustel kui ka vastavatel ametiasutustel tõhusamalt sekkuda

pettuste ennetamisse ja tõkestamisse. Määrus paneb

krediidiasutustele kohustuse autoriseeritud maksete täitmisest

keelduda juhul, kui on alus kahtlustada pettust. Samuti näeb määrus

ette andmete vahetamise krediidiasutuste vahel ning samuti muude

asutustega. Makseteenuste määruse osas jõuti poliitilise

kokkuleppeni 2025. aasta novembris. Määrust hakatakse eeldatavalt

kohaldama 2028. aasta keskpaigas. Käesolev eelnõu lähtub samast

eesmärgist ning loob riigisiseses õiguses vajalikud õiguslikud alused,

mis aitavad pettusi tõhusamalt ennetada ja tõkestada. Eesmärk on

võimaldada selliste meetmete rakendamist teatud ulatuses juba enne,

kui hakkab kehtima uus makseteenuste määrus. Arvestades pettuste

jätkuvat kasvu ning nende suur kahju nii isikutele kui ettevõtjatele,

on põhjendatud rakendada sarnase sisuga meetmeid võimalikult

varakult. Kui uus makseteenuse määrus hakkab kehtima, tuleb

lähtuvalt sellest analüüsida ja tõenäoliselt kehtetuks tunnistada need

siseriiklikud sätted, mis tulenevad otse eelnimetatud EL määrusest.“

Finantsinspektsioon märgib, et Eelnõu seletuskirja praegune sõnastus

jätab mulje, et Eelnõu puhul on tegemist makseteenuste määruse

sätete ennetähtaegse ülevõtmisega. Arvestades, et määruse lõplik

tekst ei ole veel vastu võetud, on mõistetav, et Eelnõu seletuskirjas ei

ole võimalik viidata konkreetsetele lõplikele sätetele, kus Eelnõu

seletuskirjas mainitud kohustusi või õigusi sätestatakse. Samas võiks

Eelnõu seletuskiri selgemalt eristada, millises ulatuses tuginevad

kavandatavad normid konkreetselt makseteenuste määruse

ettepanekule või selle kujunemise käigus saavutatud poliitilistele

kokkulepetele ning millises osas on tegemist Eesti-sisese regulatiivse

Arvestatud Seletuskirja on täiendatud selgitustega makseteenuste määruse valikute kohta

ning seost kõnealuse eelnõuga.

21

valikuga, mis on kujundatud sarnase eesmärgi saavutamiseks.

28 Eelnõu seletuskirja lk 5 kohaselt: „VÕS § 7243 uus lõige 43 – selle

kohaselt tuleb välkkreeditkorralduse puhul maksejuhise täitmisest

keelduda kooskõlas välkmaksete määrusega. Välkmaksete määruse

kohaselt teeb makse saaja makseteenuse pakkuja kümne sekundi

jooksul alates maksja makseteenuse pakkujalt välkkreeditkorralduse

maksekäsundi vastuvõtmise ajast maksetehingu summa makse saaja

maksekontol kättesaadavaks vääringus, milles makse saaja konto on

nomineeritud, ning kinnitab maksja makseteenuse pakkujale

maksetehingu lõpuleviimist. See tähendab, et makseteenuse pakkuja

peab maksetehingu riskianalüüsi ära tegema kümne sekundi jooksul

ning otsustama, kas on vajalik turvameetmete täiendav rakendamine.

Juhul, kui maksetehingu riskianalüüsi põhjal selgub, et vajalik on

turvameetmete täiendav, siis täidetakse maksejuhis pärast täiendavat

kontrolli ning sellisel juhul ei rakendu välkmaksete määruse kümne

sekundi nõue. Turvameetmete täiendav rakendamine peab toimuma

aga ilma ebamõistliku viivituseta.“ Finantsinspektsioon juhib

tähelepanu, et esiteks tuleb selgelt eristada seda, millisel

makseteenuse pakkujal saab üldse tekkida küsimus maksejuhise

täitmisest keeldumisest. Maksja makseteenuse pakkuja on see, kes

võtab maksejuhise vastu, kontrollib selle täitmise eeldusi ning

otsustab maksejuhise täitmise üle. Seetõttu saab makse täitmisest

keeldumise küsimus tekkida üksnes maksja makseteenuse pakkujal.

Makse saaja makseteenuse pakkuja roll algab hetkest, mil

kreeditkorraldus on talle edastatud. Teiseks tuleb eristada seda,

millised ajalised raamid seab välkmaksete määrus maksja

makseteenuse pakkujale ning millised saaja makseteenuse pakkujale.

Välkmaksete määruse artikli 5a(4) punkti c) kohaselt on saaja

makseteenuse pakkuja kohustus kümne sekundi jooksul teha

maksesumma kättesaadavaks makse saaja kontol ja kinnitada tehingu

lõpuleviimine. Maksja makseteenuse pakkujal on välkmaksete

määruse artikli 5a(4) punkti b) kohaselt kohustus saata maksetehing

viivitamata makse saaja makseteenuse pakkujale. Käesoleva Eelnõu

seletuskirja versiooni tekst jätab ebaselgeks, millistele makseteenuse

pakkujatele millised käitumisootused ning õigused või kohustused

seatakse. Eeltoodust tulenevalt tuleb Finantsinspektsiooni hinnangul

täpsemalt analüüsida, mis on loodava VÕS § 7243 lõike 43 eesmärk

ning kuidas see suhestub lõikega 41 ja vastavalt sellele muuta Eelnõu

seletuskirja ja/või Eelnõud.

Arvestatud Eelnõu seletuskirjas on täpsemalt selgitatud, millisel makseteenuse pakkujal ja

millal tekib õigus maksejuhise vastuvõtmise edasilükkamiseks.

29 Seletuskirja lk 10-11 kohaselt: „Mõju ulatust on keeruline täpselt

hinnata, kuid pigem on see väike, kuna kõnealune õigus puudutab

väikest osa kõikidest maksetehingutest, valdav enamus makseid on

autoriseeritud ning korrektselt autenditud. Maksejuhise täitmisest

keeldumised kõnealusel põhjusel on harvad võrreldes

Arvestatud Seletuskirja mõjude osa täiendatud.

22

maksetehingute koguarvuga. /.../ Mõju avaldumise sagedust saab

pidada väikeseks seetõttu, et maksejuhise täitmisest keeldumine on

pigem erandlik ning puudutab väikest osa maksejuhistest. /.../

Muudatus avaldab potentsiaalselt mõju kõikidele makseteenuse

kasutajatele, kuid igapäevaselt siiski väikesele osale makseteenuse

kasutajatest, kuna enamus makseid on autoriseeritud ning korrektselt

autenditud.“ Finantsinspektsioon juhib tähelepanu, et Eelnõu

seletuskirja mõjuanalüüsis esineb teatud ebakõlasid. Eelnõuga

nähakse makseteenuse pakkujatele ette õigus keelduda autoriseeritud

maksejuhise täitmisest, samas kui mõjuanalüüsis hinnatakse muu

hulgas autoriseerimata tehingute hulka ja sagedust. Autoriseerimata

maksetehingute statistika põhjal ei ole võimalik teha põhjendatud

järeldusi nende maksejuhiste kohta, mis on küll autoriseeritud, kuid

mille andmine on toimunud pettuse, andmete väärkasutamise või

maksja manipuleerimise tulemusel. Samuti ei ole põhjendatud

eeldada, et maksejuhise täitmisest keeldumine jääb erandlikuks, sest

kavandatav muudatus loob makseteenuse pakkujatele täiendava

õigusliku aluse autoriseeritud maksejuhiste täitmisest keeldumiseks.

Maksejuhise täitmisest keeldumised on olnud erandlikud just

sellepärast, et kehtivas õiguses puudus makseteenuse pakkujal õigus

keelduda pettuse korral maksejuhise täitmisest. Eelnõus kavandatud

muudatused võivad praktikas tõsta oluliselt keeldumiste sagedust

võrreldes senise praktikaga. Finantsinspektsiooni hinnangul tuleks

seetõttu mõjuanalüüsi täiendada, eelkõige hinnates põhjalikumalt

mõju ulatust ja avaldumise sagedust autoriseeritud, kuid pettuse teel

tehtud maksete kontekstis.

30 Eelnõust jääb ebaselgeks ja Eelnõu seletuskirjas ei ole selgitatud,

millised on tagajärjed juhul, kui makseteenuse pakkujal on

objektiivne põhjendatud kahtlus, et maksetehingu täitmiseks antud

nõusolek on saadud andmete väärkasutamise, pettuse või maksjaga

manipuleerimise teel, kuid makseteenuse pakkuja ei kasuta Eelnõuga

antavat õigust maksejuhise täitmisest keelduda ning maksetehing

täidetakse. Ebaselgeks jääb, kas ja kuidas sellises olukorras võiks

hinnata makseteenuse pakkuja vastutust, sealhulgas kas põhjendatud

kahtluse olemasolul võib makse täitmine mõjutada makseteenuse

pakkuja vastutust hilisema pettuse korral. Finantsinspektsiooni

hinnangul tuleks eeltoodut Eelnõu seletuskirjas kaaluda ja selgitada

isegi juhul, kui Eelnõuga makseteenuste pakkujatele sellist vastutust

ei teki.

Arvestatud Eelnõud on vastavalt täiendatud.

Eesti Pangaliit

31 Olukord tuleb reguleerida maksejuhise kättesaamise ja

autoriseerimise hetke kaudu Esitatud eelnõust on välja jäetud

regulatiivne mehhanism, mis seob maksejuhise kättesaamise hetke ja

autoriseerimise protsessi. Eelnõu reguleerib vaid autoriseeritud

Arvestatud Eelnõud ja seletuskirja on vastavalt muudetud.

23

maksejuhise poolt, kuid pettuse kahtlusega seotud maksejuhise

(tehnilise) autoriseerimise saab lõpule viia alles pärast täiendavate

turvameetmete rakendamist. Esmases tagasisides pakkusime välja

sõnastuse, mille kohaselt on makseteenuse pakkujal õigus lükata

maksejuhise kättesaamine edasi täiendavate turvameetmete

rakendamiseks ning maksejuhis loetakse kättesaaduks ning

autoriseerituks alles siis, kui makseteenuse pakkuja on lõpetanud

täiendavate turvameetmete rakendamise ja on veendunud, et

maksejuhis vastab nõuetele: „(41) Makseteenuse pakkujal on õigus

lükata maksejuhise kättesaamine edasi täiendavate turvameetmete

rakendamiseks, maksejuhise töötlemiseks vajalike tehniliste ja

turvanõuete täitmise kontrolliks, sealhulgas autentimise ja

riskipõhiste turvameetmete rakendamiseks ning juhul, kui on

põhjendatud alus kahtlustada, et maksejuhist ei ole maksja poolt

autoriseeritud, maksjat on manipuleeritud või on autoriseerimine

tehtud pettuse teel. Maksejuhis loetakse makseteenuse pakkujale

siduvaks, kui makseteenuse pakkuja on lõpetanud täiendavate

turvameetmete rakendamise ja maksejuhise töötlemiseks vajalike

tehniliste ja turvanõuete täitmise kontrolli ning on veendunud, et

maksejuhis vastab käesoleva lõike esimeses lauses nimetatud

nõuetele. (42) Makseteenuse pakkujal on õigus keelduda maksejuhise

täitmisest, kui pärast täiendavate turvameetme rakendamist ei ole

olnud objektiivselt võimalik kõrvaldada kahtlust, et maksetehing ei

ole maksja poolt autoriseeritud või on autoriseerimine tehtud pettuse

teel.“ Meie hinnangul peaks seletuskiri selgelt avama, et luuakse

võimalus reageerida nii enne kui ka pärast maksejuhise makseteenuse

kasutajalt kättesaamist, kuid enne autoriseerimist, et tagada

pankade/makseasutuste võimalus operatiivselt ja põhjendatult

reageerida enne rahade edasi liikumist, mis on ka eelnõu eesmärk.

32 Makse loetakse autoriseerituks alles pärast täiendavate

turvameetmete rakendamist. Oleme seisukohal, et maksejuhis

loetakse PSD2 RTS kontekstis autoriseerituks (tehniliselt) alles pärast

maksejuhise osas täiendavate turvameetmete rakendamist. Tegevused

pärast PIN2 kinnitamist, sealhulgas täiendavad kontrollimeetmed,

moodustavad osa täielikust autoriseerimisprotsessist ning pettuse

kahtlus saab maandatud alles siis, kui autoriseerimine on lõppenud.

Vajalik on protsess, kus peale PIN2 kinnitamist ja summa

debiteerimist: (1) klient saab teate, et makse suunatakse täiendavasse

kontrolli; (2) rakendatakse täiendav tehniline meede (nt ID-kaardi

skännimine, biomeetria vms); (3) kui pettuse kahtlust ei ole

kõrvaldatud, peab klient esitama täiendavat infot ning pank võtab

kliendiga ühendust; (4) kui pettuse kahtlust ei saa kõrvaldada,

keeldub pank makse teostamisest ning raha tagastatakse kliendi

kontole. See lähenemine on meie hinnangul kooskõlas PSD2

Arvestatud Eelnõud ja seletuskirja on vastavalt muudetud.

24

põhimõtetega, mille kohaselt on autoriseerimine direktiivi keskne

mõiste ning põhjendatud pettuse kahtluse välistamine ja

turvameetmete rakendamine peaks olema seotud autoriseerimise

kehtivusega.

1.3 Kooskõla EL välkmaksete määrusega Maksejuhise kättesaamise

hetke reguleerimine läbi autoriseerimisprotsessi tagaks meie

hinnangul ka kooskõla EL välkmaksete määrusega.

Välkkreeditkorralduse puhul tuleks maksejuhise töötlemiseks

vajalike tehniliste ja turvanõuete täitmise kontroll ning maksejuhise

vastuvõtmisest keeldumine teha kümne sekundi jooksul alates

maksekäsundi vastuvõtmise hetkest, nagu näeb ette välkmaksete

määrus. See tähendab, et kui autoriseerimisprotsess hõlmab

täiendavaid turvameetmeid, ei loeta maksejuhist kättesaaduks enne

nende meetmete rakendamist. See on ainus loogiline ja õiguslikult

järjepidev lähenemine välkmaksete kontekstis.

Arvestatud Eelnõuld on vastavalt muudetud.

33 Turvameetmete rakendamise aeg

Mõistame, et osapooled võivad väljendada muret, et selline

regulatsioon võib viia selleni, et pangad hoiavad makseid

ebamõistlikult kinni, kuid rõhutame, et seadusandja poolt on võimalik

sätestada, et turvameetmeid tuleb rakendada ilma ebamõistliku

viivituseta. Täiendavate turvameetmete rakendamine peab olema

proportsionaalne ja põhinema objektiivselt põhjendatud kahtlusel.

Sama punkti sätestab meie varasemas tagasisides pakutud kahju

välistamise punkt: Makseteenuse pakkuja ei vastuta kahju eest, kui

turvameetmete täiendava rakendamise tulemusel täidetakse makse

hilinemisega, tingimusel, et nimetatud turvameetmete rakendamine

viiakse läbi põhjendamatu viivituseta ning rakendamise aluseks on

objektiivselt põhjendatud kahtlus. Sama põhimõte peaks olema

selgelt sätestatud ka siis, kui regulatsioon puudutab maksejuhise

kättesaamise hetke.

Arvestatud Eelnõud on muudetud ning ette nähtud täiendavate turvameetmete rakendamise

aeg.

34 Välkkrediidikorralduste regulatsiooni ebapiisavus

Eelnõu uus lõige 4³ sätestab, et välkkreeditkorralduse puhul tuleb

maksejuhise täitmisest keelduda kooskõlas välkmaksete määrusega

ning et makseteenuse pakkuja peab autoriseeritud maksetehingu

riskianalüüsi tegema kümne sekundi jooksul ning otsustama, kas on

vajalik turvameetmete täiendav rakendamine. Juhul, kui

autoriseeritud maksetehingu riskianalüüsi põhjal selgub, et vajalik on

turvameetmete täiendav rakendamine, siis täidetakse maksejuhis

pärast täiendavat kontrolli ning sellisel juhul ei rakendu välkmaksete

määruse kümne sekundi nõue, kuid turvameetmete täiendav

rakendamine peab toimuma ebamõistliku viivituseta. Meie hinnangul

jääb välkkrediidikorralduste regulatsioon eelnõus ebapiisavaks, sest

ei sisalda selget regulatsiooni selle kohta, kuidas toimub

välkkrediidikorralduse hilinemisega täitmine olukorras, kus

Arvestatud Eelnõu seletkirjas on täiendavalt selgitatud kooskõla välkmaksete määruse

nõuetega. Lähtutud on sealhulgas ka Eesti Pangaliidu varasematest selgitustest

(vt punkt )

25

turvameetmete täiendav rakendamine võtab aega kauem kui 10

sekundit. Kuigi seletuskiri mainib, et kümne sekundi nõue sel juhul

ei rakendu, puudub selge raamistik selle kohta, millises täiendavas

ajavahemikus peab välkkrediidikorraldus täidetama ning millised on

mõlema poole (maksja ja saaja makseteenuse pakkuja) täpsed

kohustused viivituse korral. Eelnõus ei ole üheselt välja toodud selget

regulatsiooni selle kohta, kuidas kooskõlastatakse

välkkrediidikorralduse hilinemisega täitmine välkmaksete määruse

nõuetega, mis on eelnõu üks alusaktidest.

Regulatsiooni ebatäpsus võib tekitada praktilist ebakindlust nii

pankade kui makseteenuse kasutajate jaoks. Juhul, kui ministeerium

jääb oma esialgselt pakutud sõnastuse juurde, siis palume eelnõud

täiendada selge ja konkreetse regulatsiooniga välkkrediidikorralduste

hilinemisega täitmise mehhanismi, sealhulgas mõlema poole

makseteenuse pakkuja kohustuste ja vastutuse osas.

35 Konkreetne viide PSD2 delegeeritud määruse (RTS) riskianalüüsi

sättele ei ole eesmärgipärane. Eelnõuga nähakse ette, et makseteenuse

pakkuja õigus keelduda autoriseeritud maksejuhise täitmisest

seotakse RTS ette nähtud turvameetmete täiendava rakendamisega.

RTS artikkel 18 käsitleb tehingu riskianalüüsi ning puudutab

olukorda, kus makseteenuse pakkujatele antakse luba mitte kasutada

kliendi tugevat autentimist juhul, kui maksja algatab elektroonilise

kaugmaksetehingu, mille makseteenuse pakkuja on

tehinguseiremehhanismide alusel lugenud väikese riskiga tehinguks.

Käesoleval juhul on viide RTS artikli 18 riskianalüüsile ebavajalik.

Artikkel 18 on mõeldud SCA rakendamise leevendamiseks, mitte

pettuste tõkestamise eesmärgil turvameetmete rakendamise aluse

loomiseks. Kui eelnõu esitaja eesmärk on peegeldada vastavaid

kriteeriume, siis tuleks viidata neile mitte konkreetsele artiklile

osutades, vaid asjakohaste kriteeriumite täpsema loetelu kaudu.

Artiklis nimetatud kriteeriumid on järgmised: i) maksja tavapäratud

kulutused või käitumismuster; ii) ebatavaline teave maksja

seadme/tarkvara kasutamise kohta; iii) pahavaraga nakatumine

autentimismenetluse mis tahes seansi kestel iv) makseteenuste

osutamisega seoses teadaolev petuskeem; v) maksja tavapäratu

asukoht; vi) makse saaja kõrge riskitasemega asukoht. Eelnõus on

eesmärk anda pankadele alus täiendavate turvameetmete

rakendamiseks pettuste tõkestamise eesmärgil. Selleks asjakohaseks

sätteks on RTS artikli 2 lõige 1, mille kohaselt peavad makseteenuse

pakkujatel turvameetmete rakendamise eesmärgil olema

tehinguseiremehhanismid, mis võimaldavad neil avastada

autoriseerimata või pettuse teel tehtud maksetehinguid. Seletuskirjale

tuleks lisada viide RTS artikli 2 lõike 2 punktile c, mis käsitleb

tehinguseire mehhanisme ja petuskeeme. Palume eelnõust eemaldada

Avestatud Seletuskirja on muudetud. Seletuskirjas on täpsemalt selgitatud, et viite eesmärk

RTS artiklile 18 on näitlikustada ja üldiselt välja tuua, et mida kõike peavad

makseteenuse pakkujad reaalajas tehingu riskianalüüsi käigus hindama.

Täiendavate turvameetmete rakendamise osas on tehtud viide RTS artikli 2

lõikele 1.

26

viited RTS artikli 18 riskianalüüsile (nn SCA erand väikese riskiga

tehingutele) ning asendada need asjakohaste viidetega RTS artikli 2

lõike 1 kohastele seiremehhanismidele, mis on pettuste tõkestamise

seisukohalt ainus otseselt kohalduv säte.

36 3.1 „Objektiivselt põhjendatud kahtluse“ näitlikustamine Eelnõu § 1

punktiga 1 täiendatakse VÕS § 724³ lõigetega 41 -4 3 ning nähakse

ette, et makseteenuse pakkuja võib keelduda autoriseeritud

maksejuhise täitmisest juhul, kui esineb objektiivselt põhjendatud

kahtlus, et maksetehingu täitmiseks antud nõusolek on saadud pettuse

teel. Sarnasele mõistele (objektiivselt põhjendatud kahtlus) on

viidatud eelnõu § 1 punktis 3, millega täiendatakse VÕS § 7339 lõiget

3 vastutuse piiranguga ning eelnõu § 2, millega täiendatakse KAS §-

ga 894 krediidiasutuse õigusega avaldada andmeid. Uus õigus

keelduda maksejuhise täitmisest tugineb mõistel „objektiivselt

põhjendatud kahtlus“. Eelnõu seletuskirjas on küll viidatud

riskiteguritele, mida tehinguseiremehhanismid peaksid arvesse võtma

(lk 4 lg 2), riskianalüüsile ja mida selle raames tuleks näiteks hinnata

(lk 4 kg 3) ning kahele näitele, milline võiks olla objektiivselt

põhjendatud kahtlus (lk 6 lg 3), kuid eelnõu ei defineeri seda mõistet

ammendavalt. Praktikas tekib küsimus, millised kriteeriumid peavad

olema täidetud, et kahtlust pidada objektiivselt põhjendatuks, milline

on makseteenuse pakkuja dokumenteerimiskohustus selles osas ja

mille alusel hinnatakse hiljem panga otsuse õiguspärasust (nt kohtus

või järelevalves). Kuna vastutus makse hilinemise või täitmata

jätmise eest sõltub sama mõiste sisust, võib ebaselge regulatsioon

suurendada vaidlusriski nii klientide kui ka järelevalveasutustega.

Samuti on eelnõu seletuskirjas KAS § 894 lg 1 juures välja toodud, et

pangasaladuse avaldamine ei ole lubatud iga kahtluse korral, vaid

juhul kui selleks on objektiivselt põhjendatud alus kahtlustada pettust.

See tähendab, et lisaks kliendivaidlustele suureneb objektiivselt

põhjendatud kahtluse ebamäärasusega ka pangasaladuse jagamise

piiride ületamisega seotud risk. Teeme ettepaneku lisada VÕS § 724³

lõike 4¹ juurde või eelnõu seletuskirja definitsioon, mis moodustab

objektiivselt põhjendatud kahtluse. Mõistan, et liiga detailne

definitsioon muutuks kiiresti vananenuks, sest pettuseskeemid

arenevad kiiresti ning see võib halvata operatiivse reageerimise. Ei

ole vaja ammendavat loetelu, vaid raamistust, mis tagaks, et

krediidiasutused, järelevalve ja kohtud hindaksid olukordi ühtmoodi.

Samuti teeme ettepaneku eelnõu seletuskirjas rõhutada, et

krediidiasutus võib tugineda automatiseeritud riskimudelitele ja

tehinguseire süsteemidele

Arvestatud Seletuskirja on täiendatud selgitusega mida käsitletakse objektiivselt põhjendatud

kahtlusena ning toodud näitlik loetelu.

37 3.2 Tähelepanek seletuskirja olevale lõigule „Komisjoni delegeeritud

määruse artikli 2 lõike 2 kohaselt tagavad makseteenuse pakkujad, et

tehinguseiremehhanismid võtavad arvesse vähemalt kõiki järgmisi

Arvestatud Seletuskirja on vastavalt muudetud.

27

riskipõhiseid tegureid: a) murtud või varastatud autentimisvahendite

loetelu; b) iga maksetehingu summa; c) makseteenuste osutamisega

seoses teada olevad petuskeemid; d) märgid pahavaraga nakatumise

kohta autentimismenetluse mis tahes seansi kestel; e) juhul kui

juurdepääsuseadme või -tarkvara annab kasutaja käsutusse

makseteenuse pakkuja, logid sellise juurdepääsuseadme või -tarkvara

kasutamise ning juurdepääsuseadme või -tarkvara tavapäratu

kasutamise kohta.“ Punkt „d) märgid pahavaraga nakatumise kohta

autentimismenetluse mis tahes seansi kestel; “ on midagi, mida on

tehniliselt väga keeruline (kui mitte võimatu) teostada. See tähendaks

kogu kliendi seadmes oleva info kogumist, töötlemist ja protsessimist

ning seda ei saa teha ei tehniliselt ega ka seadusandluse kontekstis.

Teeme ettepaneku sõnastada punkti d asemel: „seadme ja kasutaja

infot, sh IP-aadressi ja kogutavat seadmete spetsiifilist infot“.

II kooskõlastusring

Justiits- ja Digiministeerium

1 Eelnõu § 1 p-s 2 kavandatakse VÕS-itäiendada§-ga 7247, mis

reguleerib lisaturvameetmete rakendamist pettusekahtluse korral.

Seletuskirjas on ulatuslikult selgitatud erinevate direktiivide

toimimise loogikat, samuti nende suhestumist kehtivate võlaõiguse

normidega. Mitmed teemad on saanud selgemaks, eriti osas, mis

puudutab direktiivis maksejuhise kättesaamise ja selle

edasilükkamise kontseptsiooni. Samuti on ülevaatlikud põhjalikud

tehnilised protsessikirjeldused selle kohta, millistes etappides ja

kuidas võimalike pettuste jms väljaselgitamine toimub.

Võlaõiguse vaatepunktist on oluline märkida, et eelnõus

„mängitakse“ maksejuhise kättesaamise ajaga – kui makseteenuse

pakkuja lükkab maksejuhise kättesaamise lisaturvameetmete

rakendamiseks edasi, loetakse maksejuhis makseteenuse pakkuja

poolt kättesaaduks hetkest, kui makseteenuse pakkuja on lõpetanud

nende turvameetmete rakendamise ja on veendunud, et maksejuhis ei

ole autoriseeritud andmete väärkasutamise, pettuse või maksjaga

manipuleerimise teel. Uuendatud eelnõu versioonis on ka kohustus

makseteenuse osutajale kujundada leping maksjaga selliselt, et see

peab sisaldama muu hulgas tingimusi maksja teavitamiseks

lisaturvameetmete rakendamisest ja nende rakendamise põhjustest

enne rakendamist või viivitamata pärast seda. Makseteenuse pakkuja

ei pea maksjale lisaturvameetmete rakendamise põhjusi teatama, kui

teabe edastamine on vastuolus objektiivselt põhjendatud

turvakaalutlusega või ei ole muul seaduses sätestatud põhjusel

lubatud. Sellise regulatsiooni vajadus jääb arusaamatuks – kui on

objektiivselt vajalik anda teenuseosutajale võimalused

Arvestatud Eelnõud on muudetud ning makseteenuse pakkuja vastutuse piiramise

regulatsioon on kehtestatud seaduse tasemel, mitte lepinguga eraldi kokku

lepitava küsimusena.

28

lisaturvameetmete rakendamiseks pettuse kahtluse puhul (ja EL õigus

seda ei keela), siis jääb ebaselgeks, miks tuleb kujundada regulatsioon

lepinguliselt. Juhul kui teenuseosutaja mingil põhjusel jätab sellise

klausli lepingusse kaasamata, siis tekib küsimus, kas maksja jääb

sellisel juhul lisaturvameetmete rakendamisega pakutavast

täiendavast kontrollist ilma.

Kahju hüvitamise piiramist on oluliselt muudetud võrreldes eelnõu

algversiooniga. Eelnõu I ringi tekstis oli sätestatud üldine vabastus

VÕS § 7339 täiendamise teel lõikega 3, mille kohaselt makseteenuse

pakkuja ei vastuta kahju eest, kui käesoleva seaduse § 7243 lõike 4¹

alusel ette nähtud turvameetmete täiendava rakendamise tulemusel

täidetakse makse hilinemisega, tingimusel et nimetatud

turvameetmeid rakendatakse ebamõistliku viivituseta ning

rakendamise aluseks on objektiivselt põhjendatud kahtlus, et

maksetehingu täitmiseks antud nõusolek on saadud andmete

väärkasutamise, pettuse või maksjaga manipuleerimise teel. Uuemas

versioonis on selle sätte asukoht ja tähendus muutunud – nimelt nüüd

täiendatakse VÕS-i uue sättega § 7247, mille lõike 9 kohaselt mh

sätestatakse, et makseteenuse leping võib sisaldada tingimust, mille

kohaselt selleks, et rakendada lisaturvameetmeid ja lükata edasi

maksejuhise kättesaamist, ei või maksja nõuda maksja makseteenuse

pakkujalt kahju hüvitamist. Hüvitist ei või nõuda tingimusel, et

nimetatud turvameetmeid on rakendatud ebamõistliku viivituseta

ning nende rakendamine põhineb objektiivselt põhjendatud kahtlusel,

et maksejuhise autoriseerimiseks antud nõusolek ei ole saadud

andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel.

See lepingutingimus ei välista ega piira maksja õigust esitada muu

nõue muul alusel. Sellega on makseteenuse osutaja vastutuse

piiramist jällegi oluliselt kitsendatud. Vastutust saab piirata ainult

lepinguliselt. Lisaks kinnitatakse, et maksja saab nõudeid esitada ka

muudel alustel. Nüüd tekib küsimus, et miks sellist olulise osa

lepinguga seotud infost ei peaks vähemalt tarbijale edastatama ka

lepingueelse infona. Saame seletuskirja täiendustest aru, et

asjakohane direktiiv iseenesest ei keela liikmesriigi poolt vastutuse

täiendavat siseriiklikku reguleerimist. Järelikult tuleb teoreetiliselt

vastutuse piiramine kõne alla, kuid samas lepingueelse info

küsimused on sageli reguleeritud vastavates õigusaktides juba

ammendavalt, seega tuleks kaaluda, kas ja kuidas võiks sellega selle

teemaga seotud lepingueelset infot tarbijatele esitada. Alternatiivselt

saaks kaaluda – juhul, kui selline teenuseosutaja vastutuse piiramine

on vajalik – ja EL õigusega tõesti kooskõlas – ikkagi selle

kehtestamist seadusega, mitte jättes seda lepinguga eraldi kokku

lepitavaks küsimuseks.

29

2 Eelnõu § 2 p 2 näeb, ette et KAS 7. peatüki 3. jagu täiendatakse §-ga

894.

Eelmärgitud paragrahvi lg 2 p 1 tuleks täpsustada, kuna mõiste

„andmeid ja teavet kliendi kohta“ on liiga üldine ning ei ole võimalik

aru saada, milliseid kliendi kohta käivaid andmeid ja teavet on

mõeldud. Seletuskirjas on selgitatud järgmist. Antud lõike punktis 1

nimetatud andmed kliendi kohta on isiku tuvastamiseks vajalikud

unikaalsed identifikaatorid, mille abil saab kindlaks teha millise

isikuga on tegemist. Nendeks võivad olla näiteks kliendi-ID,

isikukood või kontonumber.

Siinkohal ei piisa üksnes seletuskirjas antud selgitusest, vaid seaduse

vastavat sätet tuleks täpsustada ning „kliendi kohta“ asemel sätestada

„kliendi isiku tuvastamise kohta“.

Arvestatud Eelnõud on muudetud ning andmekoosseisu puhul on ette nähtud, et avaldada

võib andmed „kliendi isiku tuvastamise kohta“.

3 Normitehnilised ja keelemärkused ning märkused mõjuanalüüsi

kohta

Palume arvestada ka käesoleva kirja lisades esitatud eelnõu ja

seletuskirja failis jäljega tehtud normitehniliste ja keelemärkustega

ning märkustega eelnõu mõjuanalüüsi.

Arvestatud Eelnõus ja seletuskirjas on arvestatud normitehniliste ja keelemärkustega.

Siseministeerium

4 Eelnõuga on kavas täiendada ja muuta krediidiasutuste seaduse 7.

peatüki 3 jagu §-ga 894 järgmises sõnastuses:

„§ 894. Andmete avaldamine pettuste tõkestamise eesmärgil

(1) Krediidiasutusel on õigus avaldada andmeid ja teavet teisele

krediidiasutusele, makseasutusele ja e-raha asutusele makseasutuste

ja e-raha asutuste seaduse tähenduses ning Politsei- ja

Piirivalveametile maksetehingutega seotud pettuste avastamiseks ja

väljaselgitamiseks, kui krediidiasutusel on objektiivselt

põhjendatud kahtlus, et klient või maksetehing võib olla seotud

pettusega./…/.“

Kommentaar I:

Sõnade kooslus „objektiivselt põhjendatud kahtlus“ kasutamine.

Väljendis „objektiivselt põhjendatud kahtlus” on sõna „objektiivselt”

normitehniliselt üleliigne, kuna mõiste „põhjendatud kahtlus”

sisaldab juba nõuet, et kahtlus peab tuginema objektiivselt

hinnatavatele asjaoludele ja faktilisele alusele, mitte üksnes

subjektiivsele veendumusele. Seetõttu ei lisa täiend „objektiivselt”

regulatsioonile iseseisvat õiguslikku sisu, vaid dubleerib mõistet

Mitte-arvestatud Leiame, et „objektiivselt põhjendatud kahtlus“ kasutamine on põhjendatud, sest

see võimaldab rõhutada nn kõrgemat lävendit, et siduda kahtlus väliselt

hinnatavate faktiliste asjaoludega. Sellel on ka praktiline tõlgendislik funktsioon

nt vaidliste lahendamisel, mis eeldab konkreetsete objketiivsete asjaolude

väljatoomist, vaatamata sellele, et teoreetiliselt võiks „põhjendatud kahtlus” juba

objektiivsuse elementi sisaldada. Samasugust sõnastust kasutab ka juba kehtiv

võlaõiguse regulatsioon (§ 73311), mis näeb ette, et makseteenuse pakkujal õigus

blokeerida makseinstrument objektiivselt põhjendatud kaalutlustel.

30

„põhjendatud”. Õigusselguse ja normi lakoonilisuse huvides oleks

piisav kasutada sõnastust „põhjendatud kahtlus”.

Ettepanekuga arvestamise korral palun siis vastavad muudatused viia

sisse terves eelnõus ja ka seletuskirjas, kus taolist sõnastust on veel

kasutatud (§ 7247).

Finantsinspektsioon

5 Eelnõus kasutatakse läbivalt mõistet „kättesaamise edasilükkamine“.

Finantsinspektsiooni hinnangul irdub nimetatud mõiste oluliselt

tsiviilõiguse üldisest tahteavalduse kättesaamise loogikast ning võib

olla vastuolus tahteavalduse kui õigusinstituudi üldise eesmärgiga.

Kuigi seletuskirjas on nimetatud küsimust teatud ulatuses käsitletud,

palub Finantsinspektsioon täiendavalt selgitada, kuidas on

„kättesaamise edasilükkamise“ mõiste kooskõlas kehtiva

tsiviilõigusega. Eelkõige vajab selgitamist, kas tahteavalduse

kättesaamist on üldse võimalik edasi lükata, sest tahteavalduse

kättesaamine ei ole subjektiivne õigus ega iseseisev toiming, vaid

õigusliku tähendusega ajahetk. Samuti palub Finantsinspektsioon

kaaluda, kas õigusselguse huvides oleks eelnõus põhjendatud

kasutada sõnastust, mis ei keskenduks maksejuhise kättesaamise

edasilükkamisele, vaid maksejuhise täitmise edasilükkamisele.

Selline sõnastus võiks paremini väljendada regulatsiooni tegelikku

eesmärki ning vähendada võimalikke tõlgendamisraskusi seoses

kättesaamise instituudi üldiste põhimõtetega.

Arvestatud osaliselt Lisaturvameetmete rakendamise eesmärgiks peab olema maksetehingu asjaolude

kontrollimine. Kõige olulisem on maksejuhise kättesaamise aeg ehk

arvelduspäev määratakse sellisel juhul kindlaks pärast lisaturvameetmete

rakendamiseks kuluvat aega ja teatud juhtudel loetakse selline maksejuhis

kättesaamata maksejuhiseks. Kui maksejuhis loetakse kättesaaduks, siis ei saa

selle täitmisega viivitada, vaid see on makseteenuse pakkujale siduv ning

rakendub T+1 päeva täitmise tähtaeg ning välkmaksete puhul ei või sel juhul

üldse lisakontrolle teha ning peab kohe maksejuhise täitmisest keelduma.

Makseteenuste direktiiv näeb ette makseteenuse pakkuja vastutuse, kui makse

täidetakse valesti või viivitusega. Eelnõu eesmärk on anda makseteenuse

pakkujale aega lisaturvameetmete rakendamiseks enne maksejuhise kättesaamist,

maksejuhise täitmise aega saab nn „venitada“ üksnes läbi maksejuhise

kättesaamise.

TsÜS § 69 lõike 2 kohaselt loetakse eemalviibijale tehtud tahteavaldus

kättesaaduks, kui see jõuab eemalviibija asukohta ja tahteavalduse saajal on

mõistlik võimalus sellega tutvuda. Ehk et on objektiivselt võimalik tahteavalduse

sisuga tutvuda. Maksejuhise saab kättesaaduks lugeda ning seda on võimalik

täitma hakata pärast seda, kui on kontrollitud, kas see vastab kõikidele nõuetele.

Kui kontrolli tulemusel langeb pettusekahtlus ära, saab asuda maksejuhist täitma.

6 Eelnõus kasutatakse terminit „pettus“ erinevates tähendustes ja

erineva ulatusega. VÕS § 724⁷ pealkirjas kasutatakse seda

katusmõistena, sama paragrahvi lõikes 1 aga ühe iseseisva alusena

maksejuhise kättesaamise edasilükkamiseks. Samuti kasutatakse

terminit „pettus“ seletuskirjas läbivalt vastava regulatsiooni eesmärgi

ja probleemistiku kirjeldamisel. Samas eristatakse eelnõus pettusest

ka „andmete väärkasutamist“ ja „maksjaga manipuleerimist“.

Finantsinspektsiooni hinnangul võib selline terminikasutus tekitada

ebaselgust. Esiteks ei ole üheselt arusaadav, kas „pettus“ on eelnõus

käsitatav laia katusmõistena, mis hõlmab ka andmete väärkasutamise

ja maksjaga manipuleerimise olukordi, või on tegemist nendest

eraldiseisva alusega. Teiseks jääb ebaselgeks, miks on andmete

väärkasutamise ja maksjaga manipuleerimise olukordi vaja

normitekstis eraldi eristada, kui eelnõus ja seletuskirjas kasutatakse

„pettust“ läbivalt laiema üldmõistena

Selgitatud Eelnõud on muudetud järgmiselt: „§ 7247. Lisaturvameetmete rakendamine

pettusekahtluse korral

(1) Maksja makseteenuse pakkujal on õigus maksejuhise kättesaamine ajutiselt

edasi lükata ja rakendada lisaturvameetmeid, kui tal on objektiivselt põhjendatud

kahtlus, et:

1) maksejuhist ei ole autoriseerinud maksja või

2) maksejuhise autoriseerimine on toimunud andmete väärkasutamise, maksjaga

manipuleerimise või muul pettuslikul teel.

Nimetatud paragrahvi lõike 1 punkti 2 on muudetud selliselt, et lisatud on „või

muul pettuslikult teel“, mis tähendab, et pettus hõlmab ka andmete

väärkasutamist ja maksajaga manipuleerimise olukordi ning ka muid konkreetselt

nimetamata võimalikke pettuse liike.

31

7 Finantsinspektsiooni hinnangul tuleks õigusselguse huvides

terminikasutust ühtlustada. Ühe võimalusena võiks kaaluda termini

„pettus“ läbivat kasutamist seaduse tekstis ning loobuda eraldi

viidetest „andmete väärkasutamisele“ ja „maksjaga

manipuleerimisele“. Sellisel juhul tuleks seletuskirjas pettuse mõistet

täpsustada ning selgitada, et see hõlmab muu hulgas ka andmete

väärkasutamise ja maksjaga manipuleerimise olukordi.

Mitte-arvestatud Andmete väärkasutamise ja maksjaga manipuleerimise eraldi nimetamine

seaduse tasandil aitab paremini tagada sätte suurema õigusselguse, sest üksnes

„pettuse“ mõiste kasutamine seaduse tasemel võib jääda liiga üldiseks ja

tõlgendamine muutuda liiga avaraks. Seetõttu on põhjendatud peamiste pettuse

liikide väljatoomine seaduse tasemel, see aitab tagada ka normi ühetaolist

rakendamist ning võimalikku ebamäärasust praktikas, et millised juhtumid nn

„pettuseks“ kvalifitseeruvad.

8 Eelnõu § 1 punkt 1 Eelnõu § 1 punktiga 1 täiendatakse VÕS §-i 711

lõiget 1 punktiga 151 järgmiselt: „151) maksejuhise täitmise

edasilükkamise tingimused tulenevalt käesoleva seaduse §-st 7247 ;“

Finantsinspektsioon teeb ettepaneku muuta Eelnõuga kavandatavat

VÕS § 711 lõike 1 punkti 151 järgmiselt: „151) maksejuhise täitmise

edasilükkamise ja lisaturvameetmete rakendamise tingimused

tulenevalt käesoleva seaduse §-st 7247 ;“ Eelnõu VÕS § 724⁷ lõike 3

kohaselt peab makseteenuse leping sisaldama muu hulgas tingimusi

maksja teavitamiseks lisaturvameetmete rakendamisest ja nende

rakendamise põhjustest. Finantsinspektsiooni hinnangul on kohane

tuua nimetatud nõue VÕS § 711 lõike 1 punkti 151 alla, kuivõrd VÕS

§ 711 reguleerib seda teavet, mis tuleb makseteenuse lepingu kohta

esitada.

Arvestatud osaliselt Nimetatud punkti on täiendatud lauseosaga „ja lisaturvameetmete rakendamise“,

kuid eelnõus on siiski jäädud „maksejuhise kättesaamise edasilükkamise“

kontseptsiooni juurde ning nimetaud punkt on viidud punktiks 71, kuna punkt 7

käsitleb maksejuhise täitmise maksimaalse tähtaja kohta info avaldamist ning

maksejuhise kättesaamise edasilükkamine seondub ka eelnevalt nimetatuga.

9 Eelnõu § 1 punkt 2 Eelnõu § 1 punktiga 2 täiendatakse VÕS §-i 7247

lõikega 3 järgmiselt: „(3) Käesoleva paragrahvi lõikes 1 sätestatud

juhul peab makseteenuse leping sisaldama muu hulgas tingimusi

maksja teavitamiseks lisaturvameetmete rakendamisest ja nende

rakendamise põhjustest enne rakendamist või viivitamata pärast seda.

Makseteenuse pakkuja ei pea maksjale lisaturvameetmete

rakendamise põhjusi teatama, kui teabe edastamine on vastuolus

objektiivselt põhjendatud turvakaalutlusega või ei ole muul seaduses

sätestatud põhjusel lubatud.“ Finantsinspektsioon teeb ettepaneku

muuta Eelnõuga kavandatavat VÕS § 7247 lõiget 3 järgmiselt: „(3)

Käesoleva paragrahvi lõikes 1 sätestatud juhul on makseteenuse

pakkuja kohustatud maksjat teavitama lisaturvameetmete

rakendamisest ja nende rakendamise põhjustest enne rakendamist või

viivitamata pärast seda. Makseteenuse pakkuja ei pea maksjale

lisaturvameetmete rakendamise põhjusi teatama, kui teabe

edastamine on vastuolus objektiivselt põhjendatud turvakaalutlusega

või ei ole muul seaduses sätestatud põhjusel lubatud.“

Finantsinspektsiooni hinnangul on põhjendatud sätestada käesolevas

sättes makseteenuse pakkuja selgesõnaline kohustus maksjat

teavitada lisaturvameetmete rakendamisest ja nende põhjustest.

Käesoleva ning eelneva ettepanekuga kehtestatakse seega lepingus

tingimuste esitamise kohustus VÕS § 711 lõike 1 punktiga 151 ning

maksja teavitamise kohustus VÕS § 7247 lõikega 3.

Arvestatud Lõike sõnastust on vastavalt ettepanekule muudetud.

32

10 Eelnõu § 1 punktiga 2 täiendatakse VÕS §-i 7247 lõikega 4

järgmiselt„(4) Kui maksja makseteenuse pakkuja lükkab maksejuhise

kättesaamise lisaturvameetmete rakendamiseks edasi, loetakse

maksejuhis makseteenuse pakkuja poolt kättesaaduks käesoleva

seaduse § 7242 tähenduses hetkest, kui makseteenuse pakkuja on

lõpetanud nende turvameetmete rakendamise ja on veendunud, et

maksejuhis ei ole autoriseeritud andmete väärkasutamise, pettuse või

maksjaga manipuleerimise teel. Nimetatud tingimuste täitmise korral

on maksja makseteenuse pakkujal kohustus saata maksetehing

viivitamata makse saaja makseteenuse pakkujale.“

Finantsinspektsioon teeb ettepaneku muuta Eelnõuga kavandatavat

VÕS § 7247 lõiget 4 järgmiselt: „(4) Kui maksja makseteenuse

pakkuja lükkab maksejuhise kättesaamise lisaturvameetmete

rakendamiseks edasi, loetakse maksejuhis makseteenuse pakkuja

poolt kättesaaduks käesoleva seaduse § 7242 tähenduses hetkest, kui

makseteenuse pakkuja on lõpetanud nende turvameetmete

rakendamise ja on veendunud, et maksejuhise on autoriseerinud

maksja ja maksejuhis ei ole autoriseeritud andmete väärkasutamise,

pettuse või maksjaga manipuleerimise teel. Nimetatud tingimuste

täitmise korral on maksja makseteenuse pakkujal kohustus saata

maksetehing viivitamata makse saaja makseteenuse pakkujale.“

Finantsinspektsiooni hinnangul tuleks võtta arvesse nii asjaolu, et

maksejuhis peab olema autoriseeritud maksja poolt kui ka asjaolu, et

maksejuhis ei ole autoriseeritud andmete väärkasutamise, pettuse või

maksjaga manipuleerimise teel (s.o mõlemat VÕS § 7247 lõike 1

alapunkti), mistõttu tuleks Eelnõuga kavandatavat VÕS § 7247 lõiget

4 vastavalt täiendada.

Arvestatud Lõike sõnastust on vastavalt ettepanekule muudetud.

11 Eelnõu § 1 punktiga 2 täiendatakse VÕS §-i 7247 lõikega 5 järgmiselt:

„(5) Maksja makseteenuse pakkuja ei või maksejuhist

lisaturvameetmete rakendamiseks edasi lükata kauemaks, kui

käesoleva paragrahvi lõikes 4 nimetatud asjaolu väljaselgitamiseks

on mõistlikult vajalik. Võimaluse korral peab maksja makseteenuse

pakkuja lähtuma eelkõige käesoleva seaduse §-s 728 sätestatud

tähtaegadest.“ Finantsinspektsioon teeb ettepaneku muuta Eelnõuga

kavandatavat VÕS § 7247 lõiget 5 järgmiselt: „(5) Maksja

makseteenuse pakkuja ei või maksejuhise kättesaamist

lisaturvameetmete rakendamiseks edasi lükata kauemaks, kui

käesoleva paragrahvi lõikes 1 nimetatud kahtluse kõrvaldamiseks on

mõistlikult vajalik. Võimaluse korral peab maksja makseteenuse

pakkuja lähtuma eelkõige käesoleva seaduse §-s 728 sätestatud

tähtaegadest.“ Antud säte viitab maksejuhise edasi lükkamisele, kuid

Eelnõuga kavandatav VÕS § 7247 reguleerib maksejuhise

kättesaamise edasi lükkamist. VÕS § 7247 lõike 5 sõnastust tuleks

seega muuta, et see oleks kooskõlas sama paragrahvi teiste lõigetega.

Arvestatud Lõike sõnastust on vastavalt ettepanekule muudetud.

33

Lisaks viidatakse VÕS § 7247 lõikes 5 „käesoleva paragrahvi lõikes

4 nimetatud asjaolu väljaselgitamisele“, kuid VÕS § 7247 lõikes 4 ei

ole ühte konkreetset „asjaolu“ selgelt määratletud.

Finantsinspektsioon teeb seetõttu ettepaneku lõike 5 sõnastust

täpsustada, näiteks viidata „lõikes 1 nimetatud kahtluse

kõrvaldamisele“.

12 Eelnõu § 1 punkt 2 Eelnõu § 1 punktiga 2 täiendatakse VÕS §-i 7247

lõikega 6 järgmiselt: „(6) Maksja makseteenuse pakkujal on õigus

keelduda maksejuhise täitmisest, kui pärast käesoleva paragrahvi

lõikes 1 nimetatud lisaturvameetmete rakendamist ei ole olnud

objektiivselt võimalik kõrvaldada kahtlust, et maksejuhis on

autoriseeritud andmete väärkasutamise, pettuse või maksjaga

manipuleerimise teel.” Finantsinspektsioon teeb ettepaneku muuta

Eelnõuga kavandatavat VÕS § 7247 lõiget 6 järgmiselt: „(6) Maksja

makseteenuse pakkujal on õigus keelduda maksejuhise täitmisest, kui

pärast lisaturvameetmete rakendamist ei ole olnud objektiivselt

võimalik kõrvaldada kahtlust, et maksejuhist ei ole autoriseerinud

maksja või maksejuhis on autoriseeritud andmete väärkasutamise,

pettuse või maksjaga manipuleerimise teel.“ VÕS § 724⁷ lõikes 6

viidatakse „lõikes 1 sätestatud lisaturvameetmete rakendamisele“.

Selline viide võib tekitada ebaselgust, kuivõrd VÕS § 724⁷ lõikes 1

ei ole lisaturvameetmete loetelu ega täpsemat sisu sätestatud. Lõikes

1 nähakse ette üksnes alus maksejuhise kättesaamise ajutiseks

edasilükkamiseks ja lisaturvameetmete rakendamiseks. Praegune

sõnastus jätab eksliku mulje, et lõige 1 sisaldab lisaturvameetmete

kataloogi või määratleb nende meetmete sisu. Finantsinspektsiooni

hinnangul oleks õigusselguse huvides täpsem viidata üksnes

„lisaturvameetmete rakendamisele“, nagu on seda tehtud ka VÕS §

7247 lõigetes 3-5. Lisaks nagu ka käesoleva tagasiside varasemas

punktis välja toodud, tuleb Finantsinspektsiooni hinnangul võtta

arvesse nii asjaolu, et maksejuhis peab olema autoriseeritud maksja

poolt kui ka asjaolu, et maksejuhis ei ole autoriseeritud andmete

väärkasutamise, pettuse või maksjaga manipuleerimise teel (s.o

mõlemat VÕS § 7247 lõike 1 alapunkti), mistõttu tuleks Eelnõuga

kavandatavat VÕS § 7247 lõiget 6 vastavalt täiendada.

Arvestatud Lõike sõnastust on vastavalt ettepanekule muudetud.

13 Eelnõu § 1 punktiga 2 täiendatakse VÕS §-i 7247 lõikega 7 järgmiselt:

„(7) Kui maksejuhise täitmine viibib käesoleva paragrahvi lõikes 1

sätestatud lisaturvameetmete rakendamise tõttu, hakkab käesoleva

seaduse §-s 728 sätestatud maksejuhise täitmise tähtaeg kulgema

arvates maksejuhise kättesaamisest käesoleva paragrahvi lõike 4

tähenduses.“ Finantsinspektsioon teeb ettepaneku muuta Eelnõuga

kavandatavat VÕS § 7247 lõiget 7 järgmiselt: „(7) Kui maksejuhise

täitmine viibib lisaturvameetmete rakendamise tõttu, hakkab

käesoleva seaduse §-s 728 sätestatud maksejuhise täitmise tähtaeg

Arvestatud Lõigete sõnastust on vastavalt ettepanekule muudetud.

34

kulgema arvates maksejuhise kättesaamisest käesoleva paragrahvi

lõike 4 tähenduses.“ Eelnõu § 1 punktiga 2 täiendatakse VÕS §-i 7247

lõikega 8 järgmiselt: „(8) Kui käesoleva paragrahvi lõikes 1

nimetatud lisaturvameetmete rakendamise tulemusel täidetakse

makse hilinemisega, kohaldatakse makse täitmisele käesoleva

seaduse § 7333 lõigetes 41 ja 42 sätestatut.“ Finantsinspektsioon teeb

ettepaneku muuta Eelnõuga kavandatavat VÕS § 7247 lõiget 8

järgmiselt: „(8) Kui lisaturvameetmete rakendamise tulemusel

täidetakse makse hilinemisega, kohaldatakse makse täitmisele

käesoleva seaduse § 7333 lõigetes 41 ja 42 sätestatut.“ Nagu ka VÕS

§ 7247 lõikes 6 (vt eelmine tähelepanek), viidatakse lõigete 7 ja 8

sõnastuses vastavalt „lõikes 1 sätestatud lisaturvameetmete

rakendamisele“ ning „lõikes 1 nimetatud lisaturvameetmete

rakendamisele“. Selline viide võib tekitada ebaselgust, kuivõrd VÕS

§ 724⁷ lõikes 1 ei ole lisaturvameetmete loetelu ega täpsemat sisu

sätestatud. Lõikes 1 nähakse ette üksnes alus maksejuhise

kättesaamise ajutiseks edasilükkamiseks ja lisaturvameetmete

rakendamiseks. Praegune sõnastus jätab eksliku mulje, et lõige 1

sisaldab lisaturvameetmete kataloogi või määratleb nende meetmete

sisu. Finantsinspektsiooni hinnangul oleksõigusselguse huvides

täpsem viidata üksnes „lisaturvameetmetele“, nagu on seda tehtud ka

VÕS § 7247 lõigetes 3-5.

14 Eelnõu § 1 punktiga 2 täiendatakse VÕS §-i 7247 lõikega 9 järgmiselt:

„(9) Makseteenuse leping võib sisaldada tingimust, mille kohaselt

selleks, et rakendada lisaturvameetmeid ja lükata edasi maksejuhise

kättesaamist, ei või maksja nõuda maksja makseteenuse pakkujalt

kahju hüvitamist. Hüvitist ei või nõuda tingimusel, et nimetatud

turvameetmeid on rakendatud ebamõistliku viivituseta ning nende

rakendamine põhineb objektiivselt põhjendatud kahtlusel, et

maksejuhise autoriseerimiseks antud nõusolek ei ole saadud andmete

väärkasutamise, pettuse või maksjaga manipuleerimise teel. See

lepingutingimus ei välista ega piira maksja õigust esitada muu nõue

muul alusel.“ Finantsinspektsioon teeb ettepaneku muuta Eelnõuga

kavandatavat VÕS § 7247 lõiget 9 järgmiselt: „(9) Makseteenuse

pakkuja ei vastuta kahju eest, kui lisaturvameetmeid on rakendatud

ebamõistliku viivituseta ning nende rakendamine põhineb

objektiivselt põhjendatud kahtlusel, et maksejuhist ei ole

autoriseerinud maksja või maksejuhise autoriseerimiseks antud

nõusolek on saadud andmete väärkasutamise, pettuse või maksjaga

manipuleerimise teel. See ei välista ega piira maksja õigust esitada

muu nõue muul alusel.“ Finantsinspektsiooni hinnangul ei ole antud

säte sellisel kujul sobiv. Esiteks ei ole võlaõigusseaduses vaja anda

makseteenuse pakkujale volitust, mille alusel saaks ta makseteenuse

lepingus välistada kahju hüvitamise nõude esitamist, kuivõrd

Arvestatud Eelnõud on muudetud ning makseteenuse pakkuja vastutuse piiramise

regulatsioon on kehtestatud seaduse tasemel, mitte lepinguga eraldi kokku

lepitava küsimusena.

35

lepinguvabaduse põhimõttest tulenevalt on pooltel võimalik kokku

leppida tingimustes ulatuses, mida seadus ei piira. Teiseks on Eelnõu

seletuskirja (lk 19-20) selgituste kohaselt kõnesoleva sätte eesmärk

välistada makseteenuse pakkuja vastutus lisaturvameetmete

rakendamisest tingitud makse täitmise hilinemise eest olukorras, kus

meetmeid rakendatakse ebamõistliku viivituseta ning objektiivselt

põhjendatud kahtluse alusel. Seega tuleks säte üles ehitada nii, et

seadus määrab, millistel tingimustel makseteenuse pakkuja ei vastuta.

Selles osas on Finantsinspektsioon teinud ettepaneku muuta lõike 9

sõnastust ülaltoodul viisil. Täiendavalt märgib Finantsinspektsioon,

et Eelnõu seletuskirja kohaselt on sätte fookus kahju hüvitamisel

olukorras, kus maksejuhis täidetakse hiljem ning selle tõttu tekib

viivitusest maksjale kahju. Samas ei ole Eelnõu ega seletuskirja

tasandil selgelt käsitletud, kas sätte eesmärk on reguleerida ka

olukordi, kus makseteenuse pakkuja keeldub maksejuhise täitmisest

VÕS § 7247 lõike 6 alusel ning sellest tekib maksjale kahju (nt

tehingu ärajäämise tõttu). Kuigi seletuskirja kohaselt on eesmärk

hilinenud makse osas kahju hüvitamise vastutuse reguleerimine, siis

Eelnõu VÕS § 7247 lõike 9 sõnastus ei erista selgelt kahju tekkimise

erinevaid aluseid (hilinenud täitmine vs täitmisest keeldumine),

mistõttu ei ole üheselt arusaadav, millises ulatuses vastutuse piiramist

on soovitud seadusega sätestada. Finantsinspektsioon soovitab

seetõttu hinnata, kas sätte ja seletuskirja sõnastust on vaja täpsustada

vastutuse ulatuse osas, et tagada regulatsiooni ühemõtteline

kohaldamine. Lisaks nagu ka käesoleva tagasiside varasemas punktis

välja toodud, tuleb Finantsinspektsiooni hinnangul võtta arvesse nii

asjaolu, et maksejuhis peab olema autoriseeritud maksja poolt kui ka

asjaolu, et maksejuhis ei ole autoriseeritud andmete väärkasutamise,

pettuse või maksjaga manipuleerimise teel (s.o mõlemat VÕS § 7247

lõike 1 alapunkti), mistõttu tuleks Eelnõuga kavandatavat VÕS § 7247

lõiget 9 vastavalt täiendada ka selles aspektis.

15 Eelnõu § 2 punkt 1 Eelnõu § 2 punktiga 1 täiendatakse KAS §-i 88

lõike 3 punkti 1 pärast tekstiosa „käesolevas paragrahvis“ tekstiosaga

„või käesoleva seaduse §-s § 894“ Sätte sõnastuses esineb

normitehniline viga paragrahvi tähise korduse tõttu. Õige on viidata

„käesoleva seaduse §-s 894 “.

Arvestatud Ebatäpsus parandatud.

16 Eelnõu § 2 punkt 2 Eelnõu § 2 punktiga 2 täiendatakse KAS §-i 894

lõikega 3 järgmiselt: „(3) Krediidiasutusel on õigus Riigi

Infosüsteemi Ametile avaldada küberturvalisuse seaduse § 5 lõike 3

punktis 3 nimetatud ülesannete täitmise eesmärgil käesoleva

paragrahvi lõike 2 punktides 5 ja 6 sätestatud andmeid ja teavet.“

Juhime tähelepanu, et Eelnõu varasemas versioonis oli ette nähtud

krediidiasutustele õigus avaldada RIA-le andmeid ja teavet ka

seadme, makseinstrumendi või turvaelementide kohta. Käesolevas

Arvestatud Nimetatud lõiget on täiendatud ka andmetega: kasutatud seadme,

makseinstrumendi või turvaelementide kohta.

36

Eelnõu versioonis on KAS § 894 lõike 2 loetelu ümber struktureeritud

ning varasem üks punkt, mis sisaldas sealhulgas nimetatud andmeid,

on jaotatud kaheks eraldi punktiks (varasem punkt 5 sisaldub Eelnõu

viimases versioonis punktides 4 ja 5). Eelnõu seletuskirja (lk 24)

kohaselt on välistatud üksnes punktides 1-3 loetletud andmete

avaldamine RIA-le. Juhul kui seadme, makseinstrumendi ja

turvaelementidega seotud andmete ja teabe (nimetatud punktis 4)

välja jätmine lõike 3 sõnastusest ei olnud taotluslik, tuleks Eelnõuga

kavandatavat KAS § 894 lõiget 3 vastavalt täiendada.

17 Eelnõuga sätestatakse makseteenuse pakkuja kohustus teavitada

maksjat lisaturvameetmete rakendamisest ja nende rakendamise

põhjustest enne nende rakendamist või viivitamata pärast seda.

Finantsinspektsioon teeb ettepaneku analüüsida, kas lisaks tuleks

sätestada makseteenuse pakkujale kohustus teavitada maksjat ka

VÕS § 7247 lõikes 6 kirjeldatud juhul maksejuhise täitmisest

keeldumisest ning keeldumise asjaoludest ja põhjustest. Kehtiv õigus

reguleerib maksejuhise täitmisest keeldumise põhjuste teavitamist

VÕS §-is 7243. Tuleks seega hinnata, kas ja millises ulatuses on VÕS

§ 7243 kohaldatav ka kavandatava VÕS § 7247 kontekstis, arvestades

seejuures, et kõik VÕS § 7243 lõiked ei pruugi pettusekahtluse

olukordadele sobida. Õigusselguse huvides tuleks kaaluda, kas

viidata VÕS §-is 7247 §-i 7243 asjakohastele sätetele (vajaduse korral

täpsustatud lõigete tasandil) või sätestada eraldi teavitamiskohustus

VÕS §-is 7243.

Arvestatud Eelnõu on täiendatud ning VÕS-i lisatava § 7247 lõikesse 3 on lisatud kohustus

teavitada maksjat ka maksejuhise täitmisest keeldumise korra. Muudetud sätte

sõnastus: Käesoleva paragrahvi lõikes 1 sätestatud juhul on makseteenuse

pakkuja kohustatud maksjat teavitama lisaturvameetmete rakendamisest ja selle

põhjustest enne nende rakendamist või viivitamata pärast seda ning asjakohasel

juhul käesoleva paragrahvi lõike 6 alusel maksejuhise täitmisest keeldumise

põhjused. Makseteenuse pakkuja ei pea maksjale lisaturvameetmete rakendamise

ega maksejuhise täitmisest keeldumise põhjusi teatama, kui teabe edastamine on

vastuolus objektiivselt põhjendatud turvakaalutlusega või ei ole muul seaduses

sätestatud põhjusel lubatud.

Suur-Ameerika 1 / 10122 Tallinn / 611 3558 / [email protected] / www.rahandusministeerium.ee

registrikood 70000272

Riigikantselei

Võlaõigusseaduse, krediidiasutuste

seaduse ning makseasutuste ja e-

raha asutuste seaduse muutmise

seaduse (finantspettuste

ennetamine ja tõkestamine)

esitamine Vabariigi Valitsusele

Esitame Vabariigi Valitsuse istungile heakskiitmiseks võlaõigusseaduse, krediidiasutuste

seaduse ning makseasutuste ja e-raha asutuste seaduse muutmise seaduse (finantspettuste

ennetamine ja tõkestamine) koos seletuskirja ja lisadega, mis on lisatud käesolevale kirjale.

Lugupidamisega

(allkirjastatud digitaalselt)

Jürgen Ligi

rahandusminister

Lisad:

1. Eelnõu

2. Seletuskiri

3. Kooskõlastustabel

Jarmo Lilium 5302 6314

[email protected]

Meie 25.05.2026 nr 1.1-10.1/1802-3