Tegelike kasusaajate andmekogu andmetele juurdepääsu piiramine

Maakri 30, Tallinn 10145 T +372 611 6567 [email protected] pangaliit.ee

Rahandusministeerium [email protected] Teie: 3.06.2026 nr 1.1 – 10.1/2400-1 Meie: 19.06.2026 nr 36 Tegelike kasusaajate andmekogu andmetele juurdepääsu piiramine Pangaliit tänab võimaluse eest esitada arvamus tegelike kasusaajate andmekogu (edaspidi TEKSA) põhimääruse muutmise eelnõu (edaspidi eelnõu) kohta. Pangaliit tervitab asutuste jõupingutusi TEKSA-s olevate andmete kvaliteedi tõstmisel ja peab seetõttu oluliseks kõnealuse määruse kehtestamist selles osas, mis puudutab andmekvaliteeti. Pangaliit mõistab, et TEKSA pidamiseks sobiva lahenduse otsimisel on vaja leida tasakaal läbipaistvuse ja isikuandmete kaitse vahel ja teha seda kooskõlas Euroopa Liidu õigusega, kuid eelnõus tehtavate muudatuste rakendamiseks jäävast lühikesest ajaraamist ning seaduste ja määruse sätete ebaselgest kohaldatavusest tulenevad olulised riskid. Ebaselged õiguslikud alused andmete avalikustamises ja töötlemises on põhjustanud olulisi häireid tegelike kasusaajate andmekogus olevatele andmetele ligipääsus kõigile isikutele teistes Euroopa Liidu liikmesriikides ja ka Eestis on sarnaseid näiteid andmevahetuses ja andmekogude pidamises. Krediidiasutustel on seadusest tulenev kohustus igapäevaselt kasutada TEKSA-s olevaid andmeid, mistõttu igasugune häire TEKSA andmete ligipääsetavuses avaldab kohest mõju krediidiasutustele ja meie klientidele. Seetõttu peab Pangaliit oluliseks TEKSA regulatsiooni kvaliteeti ja kooskõla Eestis seadustega. Pangaliit soovib, et TEKSA andmetöötlust puudutavad olulised muudatused tehtaks:

• kooskõlas kehtivate seaduste, EL direktiivide ja määruste ning põhiseadusega;

• hinnates olulisemaid riske ja riiveid ning kaaludes alternatiive;

• kehtestades olulisematele muudatustele mõistliku üleminekuaja.

Detailsemad kommentaarid on esitatud järgnevalt teemade lõikes. Andmetele juurdepääsu piiramine Pangaliidu hinnangul on TEKSA-le juurdepääs piisavalt ja ammendavalt reguleeritud rahapesu ja terrorismi rahastamise tõkestamise seaduses (RahaPTS) ja avaliku teabe seaduses (AvTS). TEKSA on asutatud RahaPTS-iga, kus on sätestatud, et andmed avalikustatakse äriregistri infosüsteemis. Andmekaitse Inspektsioon on selgitanud andmekogude juhendis juurdepääsu õiguslikku reguleerimist, mille kohaselt, kui juurdepääse andmekogu asutamist ette nägevas seaduses eraldi reguleeritud ei ole ehk pole loetletud üles kõik asutused ja isikud kellele ja milleks on andmekogule juurdepääs, siis kohaldub AvTS-i üldregulatsioon. AvTS § 438 kohaselt peavad andmekogus töödeldavad andmed olema avalikult kättesaadavad, kui neile ei ole seadusega või selle alusel kehtestatud juurdepääsupiirangut. RahaPTS § 792 sätestab andmete avalikkusele piiramist tegeliku kasusaaja või tema esindaja põhistatud taotluse alusel, kuid muid juurdepääsupiirangu aluseid RahaPTS-is ei ole sätestatud. Pangaliidu

hinnangul luuakse määruse muutmise eelnõuga uusi juurdepääsupiirangu aluseid, mida RahaPTS ei nimeta. AvTS § 3 lg 1 kohaselt on TEKSA andmed avalik teave, kuna see on saadud seaduses sätestatud avalikke ülesandeid täites. Sama paragrahvi lõige 2 ütleb, et avalikule teabele võib juurdepääsu piirata seaduses sätestatud korras. Teatud juhtudel siiski võib olla juurdepääsupiirangu seadmine või piirangu täpsustamine lubatud kehtestada ka määrusega, kui seaduses on ministrile või Vabariigi Valitsusele selge volitus selleks antud. RahaPTS § 762 lg 1 sätestab põhimääruse kehtestamiseks volitatud haldusorgani, kuid muid volitusi ei anna. Volitusnormi sisustab AvTS § 435 lg 1, mis sätestab, et andmekogu põhimääruses sätestatakse andmekogu pidamise kord, sealhulgas andmekogu vastutav töötleja (haldaja) ja vajaduse korral volitatud töötleja, andmekogusse kogutavate andmete koosseis, andmeandjad ja vajaduse korral muud andmekogu pidamisega seotud korralduslikud küsimused. Andmekogus töödeldavate andmete kättesaadavust pole volitusnormis mainitud. Seega Pangaliidu hinnangul pole juurdepääsu piiramine võimalik üksnes muutes andmekogu põhimäärust, vaid seda tuleb teha seadusega. Määruse eelnõu seletuskirjas on väide, et määrus ei loo iseseisvat uut õigust TEKSA andmetele juurde pääseda, vaid täpsustab seaduses ja Euroopa Liidu õiguses ette nähtud juurdepääsu tehnilist ja menetluslikku korraldust. Pangaliit nõustub, et uut juurdepääsuõigust ei looda, kuid suunab tähelepanu, et piiratakse olemasolevat juurdepääsuõigust. Juurdepääsu tehniline ja menetluslik korraldus ei tohiks piirata ulatuslikult juurdepääsuõigust ega avaldada olulist andmekaitselist mõju. Eelnõu autorite hinnangu kohaselt eelnõu andmekaitsealane mõju on oluline, kuna lähtudes hea õigusloome ja normitehnika eeskirja § 65 lõikest 2 on lisatud eelnõu seletuskirjale andmekaitsealane mõjuhinnang, mida peab üksnes olulise mõju puhul tegema. Pangaliidu ettepanek on jätta eelnõu seletuskirjast ja avalikust kommunikatsioonist välja väited, mille kohaselt on eelnõu sisuks üksnes tehnilised ja menetluslikud küsimused. Pangaliit nõustub Rahandusministeeriumiga, et TEKSA andmete avalikustamine on põhiseaduse (PS) §-s 26 sätestatud eraelu puutumatuse riive. Samas pole asjakohane pole viidata põhiseaduspärasuse analüüsis PS §-le 42. Järgneva analüüsi sisu põhjal võib järeldada, et ilmselt on eelnõu koostajad analüüsinud eelnõu kooskõla PS § 44 lõikega 3. Esitatud analüüs on asjakohane, kuid eelnõu põhiseaduspärasuse analüüs ei ole täielik, kuna puudu on eelnõuga tehtava peamise põhiõiguste riive analüüs, milleks on PS § 44 lõikes 1 sätestatud igaühe õigus vabalt saada üldiseks kasutamiseks levitatavat informatsiooni. Puudu on eelnõuga valitud lahenduse proportsionaalsuse analüüs, mis on antud juhul aktuaalne arvestades, et Euroopa Kohus viidatud lahendis kohtuasjades C-37/20 ja C- 601/20 ei väljendanud avalikustamise keeldu, vaid et kõnealusel juhul hindas avalikustamist vastu esitatud põhjendustele AMLD4/5 kontekstis ebaproportsionaalseks. Kuigi Riigikohtu praktika kohaselt võib vähem intensiivseid põhiõiguste piiranguid kehtestada täpse, selge ja piirangu intensiivsusega vastavuses oleva volitusnormi alusel määrusega (RKÜKo 03.12.2007, 3-3-1-41-06, p-d 21 ja 22), siis tulenevalt ülaltoodust on tegemist intensiivse põhiõiguste piiranguga, mida saab kehtestada üksnes seadusega. Pangaliit palub Rahandusministeeriumil vastuses avalikustada analüüsi, kuidas mõjutavad muudatused PS § 43 lõikes 1 sätestatud põhiõigust. TEKSA VTK-s on öeldud: „Teiste riikide kogemus näitab, et kiirendatud korras ligipääsu piiramine ilma, et oleks olemas selleks sobiv tarkvara, koolitatud tööjõud ja kehtestatud õigusaktid, toob endaga kaasa

ajutise täieliku ligipääsu peatamise ning võib kuluda aastaid enne kui tavapärane sujuv ligipääs kohustatud isikutele ja teistele õigustatud huvi omavatele isikutele taastub ja seda ka olukorras, kus liikmesriik oli kunagi varasemalt õigustatud huvi ja kohustatud isiku staatuse kategooriaid kasutanud ligipääsu ulatuse määramiseks.“. Rahandusministeeriumi mure seoses andmekaitsega on mõistetav, kuid et senine lahendus on võimaldanud hoida andmeid kättesaadavana kõigile osapooltele, kes neid vajavad, ja järsud muudatused andmekaitserežiimis võivad tuua ootamatuid tagajärgi. Ka Eestis on viimastel aastatel peatatud mõne teenuse kättesaadavus täielikult tulenevalt andmekaitsega seotud probleemidest. Pangaliit teeb ettepaneku täiendada Rahandusministeeriumi poolt seletuskirjas esitatud analüüse pakutud lahenduse vajalikkuse, sobivuse, proportsionaalsuse ja kooskõla kohta teiste õigusaktidega, arvestades ülaltoodud Pangaliidu ettepanekuid ja märkusi, et vältida ootamatute negatiivsete tagajärgede saabumist. Alternatiivselt palub Pangaliit Rahandusministeeriumil esitada selgitused kooskõlastustabelis. Õigustatud isikute loetelu puudumine määruse tekstis Vastavalt direktiivi (EL) 2024/1640 artikli 12 punktile 2 tagatakse edaspidi tegelike kasusaajate andmetele juurdepääs õigustatud isikutele. Direktiiv loetleb selgesõnaliselt isikute kategooriad, kellel loetakse olevat õigustatud huvi, sealhulgas ajakirjanikud, kodanikuühiskonna organisatsioonid, tehinguid kavandavad isikud, kolmandate riikide kohustatud isikud ja pädevad asutused ning artikli 12 punkti 2 alapunkti (j) kohaselt ka rahapesu ja terrorismi rahastamise tõkestamise toodete pakkujad. Viimane on krediidiasutustele eriti oluline, kuna kohustatud isikutena kasutavad nad nimetatud pakkujate teenuseid hoolsusmeetmete täitmisel ning õigustatud huvi mõiste ebaühtlane tõlgendamine mõjutab vahetult neile osutatavate teenuste kvaliteeti ja kättesaadavust. Pangaliit juhib tähelepanu, et eelnõus sisalduvad nimetatud isikute kategooriad üksnes seletuskirjas (lk 2–3), kuid direktiivi artiklist 12(2) tulenev loend ei ole üle võetud määrusesse. Hea õigusloome ja normitehnika eeskirja § 39 kohaselt on seletuskiri seadusandliku menetluse abidokument, millel puudub iseseisev õigusjõud. Isikute õigused peavad tulenema õigusaktist, mitte seletuskirjast – vastasel juhul puudub isikutel selge õiguslik alus juurdepääsu taotlemiseks või keeldumise vaidlustamiseks. Ka Euroopa Kohtu praktika kohaselt peavad normid olema selged, täpsed ja avalikustatud viisil, mis tagab isikute tõhusa teavitamise (vt kohtuasi C-144/99). Seega peab direktiivi artikli 12 lõikes 2 sätestatud loend kajastuma määruse normatiivses tekstis. Seoses erinevate liikmesriikide tegelike kasusaajate registrite (BORIS) liidestamisega 2028. aastal on liikmesriikide-ülese ühtse õigustatud huvi mõiste sisustamine oluline, vältimaks olukorda, et juurdepääs BORISele võiks saada piiratud, kuna nõuete täitmisel esineb erinevaid tõlgendusi selle kohta, mida käsitatakse õigustatud huvina. See omakorda võib tekitada olukorra, kus õigustatud huvi alusel juurdepääsu taotlevatel isikutel on raskendatud juurdepääs teiste liikmesriikide tegelike kasusaajate andmetele. Pangaliidu ettepanek on seletuskirjas hinnata seda mõju õigustatud huvi alusel andmeid taotlevatele isikutele ning selgitada, milliseid meetmeid kavandatakse erinevate tõlgenduste riskide maandamiseks. Alternatiivselt palub Pangaliit Rahandusministeeriumil esitada selgitused kooskõlastustabelis. Juurdepääsu maksimaalne kestus (eelnõu § 1 p 8) Eelnõu seletuskirja kohaselt antakse õigustatud huvi alusel taotletud juurdepääs andmetele kuni kolmeks aastaks. Pangaliit palub põhjendada, millest on tingitud kolmeaastase maksimaalse

juurdepääsuperioodi valik. Seletuskiri ei sisalda selgitust, miks on valitud just kolmeaastane periood ega analüüsi, kas selline periood on proportsionaalne ja piisav õigustatud huvi alusel juurdepääsu saajate vajaduste katmiseks. Perioodi pikendamiseks tuleb esitada eraldi taotlus, mis suurendab halduskoormust nii taotlejatele kui ka vastutavale töötlejale. Pangaliit teeb ettepaneku Rahandusministeeriumile esitada kolmeaastase perioodi valiku põhjenduse ja analüüsida perioodi pikendamise protseduuri. Isikukoodide kättesaadavus õigustatud huvi alusel (eelnõu § 1 p 8) Seletuskirja kohaselt ei ole tegelike kasusaajate andmed igaühele vabalt kättesaadavad, vaid andmetele pääsevad ligi pädevad asutused, kohustatud isikud ning õigustatud huvi tõendanud isikud. Pangaliit palub eelnõus täpsustada, et kui õigustatud huvi alusel isikule väljastatakse tegelike kasusaajate andmeid kohustatud isiku hoolsusmeetmete täitmiseks, võib andmekoosseis hõlmata ka isikukoodi ulatuses, milles see on vajalik isiku üheseks tuvastamiseks. Üksnes sünniaeg ei pruugi olla piisav isiku usaldusväärseks tuvastamiseks, eriti juhtudel, kui ühel isikul on levinud nimi ja sünniaeg. Samuti on isikukoodide kättesaadavus vajalik nendele ettevõtjatele, kes ei ole RahaPTS-i tähenduses kohustatud isikud, kuid kellel on praktikas vajadus kontrollida oma äripartnereid, tegelikke kasusaajaid või seotud isikuid sanktsiooniriskide vältimiseks. Ilma isikukoodita võib sanktsioonikontrolli usaldusväärsus olla oluliselt vähenenud, mis omakorda kahjustab rahvusvaheliste sanktsioonide efektiivset kohaldamist. Logiandmete säilitamise tähtaeg (eelnõu § 1 p 11) Eelnõu seletuskirja kohaselt pikendatakse isikuandmete töötlemise logiandmete säilitamise tähtaega viie aastani, kui seadusest või Euroopa Liidu õigusaktist ei tulene pikemat säilitamistähtaega. Pangaliit juhib tähelepanu vastuolule eelnõu ja RahaPTS nõuete vahel. Eelnõu § 1 p 11 lg 3 kohaselt säilitatakse isikuandmete töötlemise logiandmeid viis aastat toimingu tegemisest arvates, kui seadusest või Euroopa Liidu õigusaktist ei tulene pikemat säilitamistähtaega. Samas nõuab RahaPTS § 47 logiandmete säilitamist andmekogus viis aastat pärast ärisuhte lõppemist. See tähendab, et pikaajalistel ärisuhtel võib logiandmete säilitamiskohustus RahaPTS alusel olla oluliselt pikem kui eelnõus ette nähtud viis aastat toimingust arvates. Pangaliit teeb ettepaneku seletuskirjas selgitada, kuidas neid säilitamistähtaegu omavahel kooskõlastatakse, ning tagada, et eelnõu ei tekita vastuolu RahaPTS § 47 nõudega. Mõjuhinnangu kooskõla eelmiste mõjuhinnangutega 2024. aastal valminud RahaPTS muutmise seaduse eelnõu väljatöötamise kavatsuses on öeldud, et TEKSA eesmärk on laiem, toetades ka sanktsioonide rakendamist ja vastavalt RahaPTS § 1 lõikes 1 sätestatule ja eelnõu seletuskirjas sõnastatule ka Eesti ettevõtluskeskkonna läbipaistvuse ja usaldusväärsuse tõstmist. RahaPTS eelnõuga (459 SE), millega kehtestati TEKSA andmete avalikustamise kohustus tõi põhiseaduspärasuse analüüsis välja, et „Majandustegevusega tegelevate üksuste kasusaavaid omanikke puudutavale teabele avalikkuse juurdepääsu lubamine annab lisatagatisi kolmandatele osapooltele, kes soovivad nendega äri ajada. Väikeinvestorite kaitse ja nende huvirühmade kaitse, kes soovivad antud ettevõtja või struktuuriga ärisuhet, nõuab juurdepääsu usaldusväärsele teabele omandisuhtest, samuti omanike identiteedi kontrolli ning ettevõtjate ja sarnaste trustide juhtstruktuuride teavet.“. Mõju hinnangus pole käsitletud mõju väikeaktsionäridele, sanktsioonide kohaldamisele ega ettevõtluskeskkonna läbipaistvusele ja usaldusväärsusele laiemalt.

Väikeinvestori kaitse eesmärgi saavutamiseks ei pruugi piisata, et aktsionär/osanik saaks ligi ainult selle ettevõtte informatsioonile, kus tal on osalus, vaid on vaja ligipääsu ka teistele kontserni kuuluvate ettevõtete informatsioonile ja teiste sidusettevõtete informatsioonile. Pangaliidu ettepanek on, et Rahandusministeerium avalikustaks hinnangu, mis mõju avaldavad muudatused väikeaktsionäridele (1), sanktsioonide kohaldamisele (2) ning ettevõtluskeskkonna läbipaistvusele ja usaldusväärsusele laiemalt (3) ja negatiivsete mõjude esinemise korral, kas kavatsetakse mingil muul moel neid maandada. EL õiguse ülevõtmise ja riigisisese õigusloome eristamine seletuskirjas Eelnõu seletuskirja kohaselt on eelnõu „seotud Euroopa Parlamendi ja nõukogu direktiivi (EL) 2024/1640, mis käsitleb mehhanisme, mille liikmesriigid peavad kehtestama, et tõkestada finantssüsteemi kasutamist rahapesu ja terrorismi rahastamise eesmärgil, osalise ülevõtmisega.“, kuid seletuskirjast ega selle lisadest ei saa detailsemat informatsiooni, missugused eelnõu punktid on seotud EL õiguse ülevõtmisega ja milliseid sätteid nendega üle võetakse. Pangaliidu ettepanek on, et Rahandusministeerium avalikustaks detailsemat informatsiooni, kuidas vastavad eelnõus olevad sätted EL õigusele, et kaasatavatel osapooltel oleks võimalik hinnata, mis ulatuses on muudatused riigisisene otsus ja mis muudatused tulenevad Euroopa Liidu õigusest. Teiste avalike registriandmete põhjal tegelike kasusaajate andmete tuletatavuse risk Enamikul juhtudel kattuvad tegelikud kasusaajad osanike ja/või juhatuse liikmetega. Teisisõnu on tegelikuks kasusaaja(te)ks üldjuhul üks või mitu juhatuse liikmetest või osanikest. Sellisel juhul on tegelike kasusaajate andmed tuletatavad äriregistri ning sihtasutuste ja mittetulundusühingute registrite avalikest andmetest, mistõttu ei pruugi kavandatav muudatus saavutada soovitud eesmärki – jätta tegeliku kasusaaja staatus ilma õigustatud huvita isikutele varjatuks. Käsitletud riski ei ole välja toodud TEKSA peamiste riskide analüüsis. Pangaliidu ettepanek on, et Rahandusministeerium avalikustaks hinnangu kirjeldatud riskile ning selgitaks, kas on kavandatud meetmeid selle riski maandamiseks. Loodame, et Rahandusministeeriumil on võimalik Pangaliidu seisukohaga arvestada. Lugupidamisega /allkirjastatud digitaalselt/ Katrin Talihärm Tegevjuht

Maakri 30, Tallinn 10145 T +372 611 6567 [email protected] pangaliit.ee

Rahandusministeerium [email protected] Teie: 3.06.2026 nr 1.1 – 10.1/2400-1 Meie: 19.06.2026 nr 36 Tegelike kasusaajate andmekogu andmetele juurdepääsu piiramine Pangaliit tänab võimaluse eest esitada arvamus tegelike kasusaajate andmekogu (edaspidi TEKSA) põhimääruse muutmise eelnõu (edaspidi eelnõu) kohta. Pangaliit tervitab asutuste jõupingutusi TEKSA-s olevate andmete kvaliteedi tõstmisel ja peab seetõttu oluliseks kõnealuse määruse kehtestamist selles osas, mis puudutab andmekvaliteeti. Pangaliit mõistab, et TEKSA pidamiseks sobiva lahenduse otsimisel on vaja leida tasakaal läbipaistvuse ja isikuandmete kaitse vahel ja teha seda kooskõlas Euroopa Liidu õigusega, kuid eelnõus tehtavate muudatuste rakendamiseks jäävast lühikesest ajaraamist ning seaduste ja määruse sätete ebaselgest kohaldatavusest tulenevad olulised riskid. Ebaselged õiguslikud alused andmete avalikustamises ja töötlemises on põhjustanud olulisi häireid tegelike kasusaajate andmekogus olevatele andmetele ligipääsus kõigile isikutele teistes Euroopa Liidu liikmesriikides ja ka Eestis on sarnaseid näiteid andmevahetuses ja andmekogude pidamises. Krediidiasutustel on seadusest tulenev kohustus igapäevaselt kasutada TEKSA-s olevaid andmeid, mistõttu igasugune häire TEKSA andmete ligipääsetavuses avaldab kohest mõju krediidiasutustele ja meie klientidele. Seetõttu peab Pangaliit oluliseks TEKSA regulatsiooni kvaliteeti ja kooskõla Eestis seadustega. Pangaliit soovib, et TEKSA andmetöötlust puudutavad olulised muudatused tehtaks:

• kooskõlas kehtivate seaduste, EL direktiivide ja määruste ning põhiseadusega;

• hinnates olulisemaid riske ja riiveid ning kaaludes alternatiive;

• kehtestades olulisematele muudatustele mõistliku üleminekuaja.

Detailsemad kommentaarid on esitatud järgnevalt teemade lõikes. Andmetele juurdepääsu piiramine Pangaliidu hinnangul on TEKSA-le juurdepääs piisavalt ja ammendavalt reguleeritud rahapesu ja terrorismi rahastamise tõkestamise seaduses (RahaPTS) ja avaliku teabe seaduses (AvTS). TEKSA on asutatud RahaPTS-iga, kus on sätestatud, et andmed avalikustatakse äriregistri infosüsteemis. Andmekaitse Inspektsioon on selgitanud andmekogude juhendis juurdepääsu õiguslikku reguleerimist, mille kohaselt, kui juurdepääse andmekogu asutamist ette nägevas seaduses eraldi reguleeritud ei ole ehk pole loetletud üles kõik asutused ja isikud kellele ja milleks on andmekogule juurdepääs, siis kohaldub AvTS-i üldregulatsioon. AvTS § 438 kohaselt peavad andmekogus töödeldavad andmed olema avalikult kättesaadavad, kui neile ei ole seadusega või selle alusel kehtestatud juurdepääsupiirangut. RahaPTS § 792 sätestab andmete avalikkusele piiramist tegeliku kasusaaja või tema esindaja põhistatud taotluse alusel, kuid muid juurdepääsupiirangu aluseid RahaPTS-is ei ole sätestatud. Pangaliidu

hinnangul luuakse määruse muutmise eelnõuga uusi juurdepääsupiirangu aluseid, mida RahaPTS ei nimeta. AvTS § 3 lg 1 kohaselt on TEKSA andmed avalik teave, kuna see on saadud seaduses sätestatud avalikke ülesandeid täites. Sama paragrahvi lõige 2 ütleb, et avalikule teabele võib juurdepääsu piirata seaduses sätestatud korras. Teatud juhtudel siiski võib olla juurdepääsupiirangu seadmine või piirangu täpsustamine lubatud kehtestada ka määrusega, kui seaduses on ministrile või Vabariigi Valitsusele selge volitus selleks antud. RahaPTS § 762 lg 1 sätestab põhimääruse kehtestamiseks volitatud haldusorgani, kuid muid volitusi ei anna. Volitusnormi sisustab AvTS § 435 lg 1, mis sätestab, et andmekogu põhimääruses sätestatakse andmekogu pidamise kord, sealhulgas andmekogu vastutav töötleja (haldaja) ja vajaduse korral volitatud töötleja, andmekogusse kogutavate andmete koosseis, andmeandjad ja vajaduse korral muud andmekogu pidamisega seotud korralduslikud küsimused. Andmekogus töödeldavate andmete kättesaadavust pole volitusnormis mainitud. Seega Pangaliidu hinnangul pole juurdepääsu piiramine võimalik üksnes muutes andmekogu põhimäärust, vaid seda tuleb teha seadusega. Määruse eelnõu seletuskirjas on väide, et määrus ei loo iseseisvat uut õigust TEKSA andmetele juurde pääseda, vaid täpsustab seaduses ja Euroopa Liidu õiguses ette nähtud juurdepääsu tehnilist ja menetluslikku korraldust. Pangaliit nõustub, et uut juurdepääsuõigust ei looda, kuid suunab tähelepanu, et piiratakse olemasolevat juurdepääsuõigust. Juurdepääsu tehniline ja menetluslik korraldus ei tohiks piirata ulatuslikult juurdepääsuõigust ega avaldada olulist andmekaitselist mõju. Eelnõu autorite hinnangu kohaselt eelnõu andmekaitsealane mõju on oluline, kuna lähtudes hea õigusloome ja normitehnika eeskirja § 65 lõikest 2 on lisatud eelnõu seletuskirjale andmekaitsealane mõjuhinnang, mida peab üksnes olulise mõju puhul tegema. Pangaliidu ettepanek on jätta eelnõu seletuskirjast ja avalikust kommunikatsioonist välja väited, mille kohaselt on eelnõu sisuks üksnes tehnilised ja menetluslikud küsimused. Pangaliit nõustub Rahandusministeeriumiga, et TEKSA andmete avalikustamine on põhiseaduse (PS) §-s 26 sätestatud eraelu puutumatuse riive. Samas pole asjakohane pole viidata põhiseaduspärasuse analüüsis PS §-le 42. Järgneva analüüsi sisu põhjal võib järeldada, et ilmselt on eelnõu koostajad analüüsinud eelnõu kooskõla PS § 44 lõikega 3. Esitatud analüüs on asjakohane, kuid eelnõu põhiseaduspärasuse analüüs ei ole täielik, kuna puudu on eelnõuga tehtava peamise põhiõiguste riive analüüs, milleks on PS § 44 lõikes 1 sätestatud igaühe õigus vabalt saada üldiseks kasutamiseks levitatavat informatsiooni. Puudu on eelnõuga valitud lahenduse proportsionaalsuse analüüs, mis on antud juhul aktuaalne arvestades, et Euroopa Kohus viidatud lahendis kohtuasjades C-37/20 ja C- 601/20 ei väljendanud avalikustamise keeldu, vaid et kõnealusel juhul hindas avalikustamist vastu esitatud põhjendustele AMLD4/5 kontekstis ebaproportsionaalseks. Kuigi Riigikohtu praktika kohaselt võib vähem intensiivseid põhiõiguste piiranguid kehtestada täpse, selge ja piirangu intensiivsusega vastavuses oleva volitusnormi alusel määrusega (RKÜKo 03.12.2007, 3-3-1-41-06, p-d 21 ja 22), siis tulenevalt ülaltoodust on tegemist intensiivse põhiõiguste piiranguga, mida saab kehtestada üksnes seadusega. Pangaliit palub Rahandusministeeriumil vastuses avalikustada analüüsi, kuidas mõjutavad muudatused PS § 43 lõikes 1 sätestatud põhiõigust. TEKSA VTK-s on öeldud: „Teiste riikide kogemus näitab, et kiirendatud korras ligipääsu piiramine ilma, et oleks olemas selleks sobiv tarkvara, koolitatud tööjõud ja kehtestatud õigusaktid, toob endaga kaasa

ajutise täieliku ligipääsu peatamise ning võib kuluda aastaid enne kui tavapärane sujuv ligipääs kohustatud isikutele ja teistele õigustatud huvi omavatele isikutele taastub ja seda ka olukorras, kus liikmesriik oli kunagi varasemalt õigustatud huvi ja kohustatud isiku staatuse kategooriaid kasutanud ligipääsu ulatuse määramiseks.“. Rahandusministeeriumi mure seoses andmekaitsega on mõistetav, kuid et senine lahendus on võimaldanud hoida andmeid kättesaadavana kõigile osapooltele, kes neid vajavad, ja järsud muudatused andmekaitserežiimis võivad tuua ootamatuid tagajärgi. Ka Eestis on viimastel aastatel peatatud mõne teenuse kättesaadavus täielikult tulenevalt andmekaitsega seotud probleemidest. Pangaliit teeb ettepaneku täiendada Rahandusministeeriumi poolt seletuskirjas esitatud analüüse pakutud lahenduse vajalikkuse, sobivuse, proportsionaalsuse ja kooskõla kohta teiste õigusaktidega, arvestades ülaltoodud Pangaliidu ettepanekuid ja märkusi, et vältida ootamatute negatiivsete tagajärgede saabumist. Alternatiivselt palub Pangaliit Rahandusministeeriumil esitada selgitused kooskõlastustabelis. Õigustatud isikute loetelu puudumine määruse tekstis Vastavalt direktiivi (EL) 2024/1640 artikli 12 punktile 2 tagatakse edaspidi tegelike kasusaajate andmetele juurdepääs õigustatud isikutele. Direktiiv loetleb selgesõnaliselt isikute kategooriad, kellel loetakse olevat õigustatud huvi, sealhulgas ajakirjanikud, kodanikuühiskonna organisatsioonid, tehinguid kavandavad isikud, kolmandate riikide kohustatud isikud ja pädevad asutused ning artikli 12 punkti 2 alapunkti (j) kohaselt ka rahapesu ja terrorismi rahastamise tõkestamise toodete pakkujad. Viimane on krediidiasutustele eriti oluline, kuna kohustatud isikutena kasutavad nad nimetatud pakkujate teenuseid hoolsusmeetmete täitmisel ning õigustatud huvi mõiste ebaühtlane tõlgendamine mõjutab vahetult neile osutatavate teenuste kvaliteeti ja kättesaadavust. Pangaliit juhib tähelepanu, et eelnõus sisalduvad nimetatud isikute kategooriad üksnes seletuskirjas (lk 2–3), kuid direktiivi artiklist 12(2) tulenev loend ei ole üle võetud määrusesse. Hea õigusloome ja normitehnika eeskirja § 39 kohaselt on seletuskiri seadusandliku menetluse abidokument, millel puudub iseseisev õigusjõud. Isikute õigused peavad tulenema õigusaktist, mitte seletuskirjast – vastasel juhul puudub isikutel selge õiguslik alus juurdepääsu taotlemiseks või keeldumise vaidlustamiseks. Ka Euroopa Kohtu praktika kohaselt peavad normid olema selged, täpsed ja avalikustatud viisil, mis tagab isikute tõhusa teavitamise (vt kohtuasi C-144/99). Seega peab direktiivi artikli 12 lõikes 2 sätestatud loend kajastuma määruse normatiivses tekstis. Seoses erinevate liikmesriikide tegelike kasusaajate registrite (BORIS) liidestamisega 2028. aastal on liikmesriikide-ülese ühtse õigustatud huvi mõiste sisustamine oluline, vältimaks olukorda, et juurdepääs BORISele võiks saada piiratud, kuna nõuete täitmisel esineb erinevaid tõlgendusi selle kohta, mida käsitatakse õigustatud huvina. See omakorda võib tekitada olukorra, kus õigustatud huvi alusel juurdepääsu taotlevatel isikutel on raskendatud juurdepääs teiste liikmesriikide tegelike kasusaajate andmetele. Pangaliidu ettepanek on seletuskirjas hinnata seda mõju õigustatud huvi alusel andmeid taotlevatele isikutele ning selgitada, milliseid meetmeid kavandatakse erinevate tõlgenduste riskide maandamiseks. Alternatiivselt palub Pangaliit Rahandusministeeriumil esitada selgitused kooskõlastustabelis. Juurdepääsu maksimaalne kestus (eelnõu § 1 p 8) Eelnõu seletuskirja kohaselt antakse õigustatud huvi alusel taotletud juurdepääs andmetele kuni kolmeks aastaks. Pangaliit palub põhjendada, millest on tingitud kolmeaastase maksimaalse

juurdepääsuperioodi valik. Seletuskiri ei sisalda selgitust, miks on valitud just kolmeaastane periood ega analüüsi, kas selline periood on proportsionaalne ja piisav õigustatud huvi alusel juurdepääsu saajate vajaduste katmiseks. Perioodi pikendamiseks tuleb esitada eraldi taotlus, mis suurendab halduskoormust nii taotlejatele kui ka vastutavale töötlejale. Pangaliit teeb ettepaneku Rahandusministeeriumile esitada kolmeaastase perioodi valiku põhjenduse ja analüüsida perioodi pikendamise protseduuri. Isikukoodide kättesaadavus õigustatud huvi alusel (eelnõu § 1 p 8) Seletuskirja kohaselt ei ole tegelike kasusaajate andmed igaühele vabalt kättesaadavad, vaid andmetele pääsevad ligi pädevad asutused, kohustatud isikud ning õigustatud huvi tõendanud isikud. Pangaliit palub eelnõus täpsustada, et kui õigustatud huvi alusel isikule väljastatakse tegelike kasusaajate andmeid kohustatud isiku hoolsusmeetmete täitmiseks, võib andmekoosseis hõlmata ka isikukoodi ulatuses, milles see on vajalik isiku üheseks tuvastamiseks. Üksnes sünniaeg ei pruugi olla piisav isiku usaldusväärseks tuvastamiseks, eriti juhtudel, kui ühel isikul on levinud nimi ja sünniaeg. Samuti on isikukoodide kättesaadavus vajalik nendele ettevõtjatele, kes ei ole RahaPTS-i tähenduses kohustatud isikud, kuid kellel on praktikas vajadus kontrollida oma äripartnereid, tegelikke kasusaajaid või seotud isikuid sanktsiooniriskide vältimiseks. Ilma isikukoodita võib sanktsioonikontrolli usaldusväärsus olla oluliselt vähenenud, mis omakorda kahjustab rahvusvaheliste sanktsioonide efektiivset kohaldamist. Logiandmete säilitamise tähtaeg (eelnõu § 1 p 11) Eelnõu seletuskirja kohaselt pikendatakse isikuandmete töötlemise logiandmete säilitamise tähtaega viie aastani, kui seadusest või Euroopa Liidu õigusaktist ei tulene pikemat säilitamistähtaega. Pangaliit juhib tähelepanu vastuolule eelnõu ja RahaPTS nõuete vahel. Eelnõu § 1 p 11 lg 3 kohaselt säilitatakse isikuandmete töötlemise logiandmeid viis aastat toimingu tegemisest arvates, kui seadusest või Euroopa Liidu õigusaktist ei tulene pikemat säilitamistähtaega. Samas nõuab RahaPTS § 47 logiandmete säilitamist andmekogus viis aastat pärast ärisuhte lõppemist. See tähendab, et pikaajalistel ärisuhtel võib logiandmete säilitamiskohustus RahaPTS alusel olla oluliselt pikem kui eelnõus ette nähtud viis aastat toimingust arvates. Pangaliit teeb ettepaneku seletuskirjas selgitada, kuidas neid säilitamistähtaegu omavahel kooskõlastatakse, ning tagada, et eelnõu ei tekita vastuolu RahaPTS § 47 nõudega. Mõjuhinnangu kooskõla eelmiste mõjuhinnangutega 2024. aastal valminud RahaPTS muutmise seaduse eelnõu väljatöötamise kavatsuses on öeldud, et TEKSA eesmärk on laiem, toetades ka sanktsioonide rakendamist ja vastavalt RahaPTS § 1 lõikes 1 sätestatule ja eelnõu seletuskirjas sõnastatule ka Eesti ettevõtluskeskkonna läbipaistvuse ja usaldusväärsuse tõstmist. RahaPTS eelnõuga (459 SE), millega kehtestati TEKSA andmete avalikustamise kohustus tõi põhiseaduspärasuse analüüsis välja, et „Majandustegevusega tegelevate üksuste kasusaavaid omanikke puudutavale teabele avalikkuse juurdepääsu lubamine annab lisatagatisi kolmandatele osapooltele, kes soovivad nendega äri ajada. Väikeinvestorite kaitse ja nende huvirühmade kaitse, kes soovivad antud ettevõtja või struktuuriga ärisuhet, nõuab juurdepääsu usaldusväärsele teabele omandisuhtest, samuti omanike identiteedi kontrolli ning ettevõtjate ja sarnaste trustide juhtstruktuuride teavet.“. Mõju hinnangus pole käsitletud mõju väikeaktsionäridele, sanktsioonide kohaldamisele ega ettevõtluskeskkonna läbipaistvusele ja usaldusväärsusele laiemalt.

Väikeinvestori kaitse eesmärgi saavutamiseks ei pruugi piisata, et aktsionär/osanik saaks ligi ainult selle ettevõtte informatsioonile, kus tal on osalus, vaid on vaja ligipääsu ka teistele kontserni kuuluvate ettevõtete informatsioonile ja teiste sidusettevõtete informatsioonile. Pangaliidu ettepanek on, et Rahandusministeerium avalikustaks hinnangu, mis mõju avaldavad muudatused väikeaktsionäridele (1), sanktsioonide kohaldamisele (2) ning ettevõtluskeskkonna läbipaistvusele ja usaldusväärsusele laiemalt (3) ja negatiivsete mõjude esinemise korral, kas kavatsetakse mingil muul moel neid maandada. EL õiguse ülevõtmise ja riigisisese õigusloome eristamine seletuskirjas Eelnõu seletuskirja kohaselt on eelnõu „seotud Euroopa Parlamendi ja nõukogu direktiivi (EL) 2024/1640, mis käsitleb mehhanisme, mille liikmesriigid peavad kehtestama, et tõkestada finantssüsteemi kasutamist rahapesu ja terrorismi rahastamise eesmärgil, osalise ülevõtmisega.“, kuid seletuskirjast ega selle lisadest ei saa detailsemat informatsiooni, missugused eelnõu punktid on seotud EL õiguse ülevõtmisega ja milliseid sätteid nendega üle võetakse. Pangaliidu ettepanek on, et Rahandusministeerium avalikustaks detailsemat informatsiooni, kuidas vastavad eelnõus olevad sätted EL õigusele, et kaasatavatel osapooltel oleks võimalik hinnata, mis ulatuses on muudatused riigisisene otsus ja mis muudatused tulenevad Euroopa Liidu õigusest. Teiste avalike registriandmete põhjal tegelike kasusaajate andmete tuletatavuse risk Enamikul juhtudel kattuvad tegelikud kasusaajad osanike ja/või juhatuse liikmetega. Teisisõnu on tegelikuks kasusaaja(te)ks üldjuhul üks või mitu juhatuse liikmetest või osanikest. Sellisel juhul on tegelike kasusaajate andmed tuletatavad äriregistri ning sihtasutuste ja mittetulundusühingute registrite avalikest andmetest, mistõttu ei pruugi kavandatav muudatus saavutada soovitud eesmärki – jätta tegeliku kasusaaja staatus ilma õigustatud huvita isikutele varjatuks. Käsitletud riski ei ole välja toodud TEKSA peamiste riskide analüüsis. Pangaliidu ettepanek on, et Rahandusministeerium avalikustaks hinnangu kirjeldatud riskile ning selgitaks, kas on kavandatud meetmeid selle riski maandamiseks. Loodame, et Rahandusministeeriumil on võimalik Pangaliidu seisukohaga arvestada. Lugupidamisega /allkirjastatud digitaalselt/ Katrin Talihärm Tegevjuht