Rahandusministri 6. aprilli 2023. a määruse nr 22 „Tegelike kasusaajate andmekogu asutamine ja põhimäärus“ muutmise määruse eelnõu kooskõlastuskiri

Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898

Rahandusministeerium [email protected]

Teie 03.06.2026 nr 1.1-10.1/2400, RAM/26-0666/-1K Meie 22.06.2026 nr 8-2/4377

Rahandusministri 6. aprilli 2023. a määruse nr 22 „Tegelike kasusaajate andmekogu asutamine ja põhimäärus“ muutmise määruse eelnõu kooskõlastuskiri Austatud minister Rahandusministeerium on saatnud Justiits- ja Digiministeeriumile kooskõlastamiseks rahandusministri 6. aprilli 2023. a määruse nr 22 „Tegelike kasusaajate andmekogu asutamine ja põhimäärus“ muutmise määruse eelnõu (eelnõu). Justiits- ja Digiministeerium jätab eelnõu kooskõlastamata ja esitab järgmised märkused. Tegelike kasusaajate andmekogu põhimäärus on kehtestatud rahapesu ja terrorismi rahastamise tõkestamise seaduse (RahaPTS) § 762 lõike 1 alusel. Justiits- ja Digiministeeriumi juhib tähelepanu, et andmekogu seaduse tasandi regulatsioon vajab samuti muutmist. RahaPTS §-s 76 puudub andmekogu pidamise eesmärk. Sama paragrahvi lõikest 1 tuleb välja jätta sõnad „asutab ja“, kuna seaduse tasandi regulatsiooni kehtestamisega on andmekogu juba asutatud ning selle asutamist ei ole võimalik edasi volitada. Vastava muudatuse tegemisel tuleb muuta ka põhimääruse pealkirja ja § 1. RahaPTS § 76 lõikes 1 tuleb ette näha põhimääruse kehtestamise volituse selged raamid (vt selle kohta juhist). Samuti tuleb üle vaadata vastutava ja volitatud töötleja regulatsioon seaduses. Hetkel näib põhimääruse põhjal, et Rahandusministeerium on vastutav töötleja avaliku teabe seaduse mõttes (nn haldaja), kelle volitatud töötleja on RIK. Samas ei ole selge, kas Rahandusministeerium on ka isikuandmete vastutav töötleja, kuna põhimäärusest ei nähtu, millist ülesannet isikuandmete töötlemisega seoses Rahandusministeerium andmekogu kaudu täidab. Põhimääruse põhjal näib pigem, et isikuandmete vastutav töötleja on Tartu maakohtu registriosakond. Seaduses tuleb kindlaks määrata just isikuandmete vastutav töötleja, kuna igasugune isikuandmete töötlemine kujutab endast põhiõiguste riivet, mille raamid tuleb kindlaks määrata seadusega. Eelnevast tulenevalt tuleb läbi mõelda, kes täidab andmekogu kaudu talle pandud ülesannet ja see asutus/need asutused isikuandmete vastutavaks või kaasvastutavateks töötlejateks määrata seaduses. Eelnõu § 1 punktiga 4 nähakse ette õigustatud huvi alusel juurdepääsutaotluste menetlemine. Esiteks juhime tähelepanu, et RahaPTS ei näe ette põhimääruse kehtestamise volituse raame, et õigustatud huvi põhimääruses reguleerida. Kuna tegemist on ka eriregulatsiooniga üldisest õigustatud huvi alusel andmetega tutvumise regulatsioonist, mille näevad ette avaliku teabe seadus ja isikuandmete kaitse üldmäärus, siis tuleks erandid üldregulatsioonist kehtestada seaduse tasandil. Teiseks ei nähtu põhimääruse tekstist, et üle oleks võetud direktiivi artikkel 12, mis näeb ette loetelu füüsilistest ja juriidilistest isikutest, kellel loetakse olevat õigustatud huvi andmetele juurdepääsuks olemas. Lisaks juhime tähelepanu, et andmekogusse saab taotlusi esitada mitte üksnes õigustatud huvi alusel, vaid ka teabenõudena, mille puhul ei pea põhjendama, miks avalikku teavet soovitakse. Palume täpsustada, kas sellise taotluse läbivaatamine on samuti vastutava töötleja ülesanne. Sama märkus kehtib ka eelnõu § 1 punkti 6 suhtes, mis näeb ette üksnes õigustatud huvi alusel andmetele juurdepääsu võimaldamise.

2

Eelnõu § 1 punktiga 8 nähakse ette muudatused juurdepääsu reguleerivates sätetes. Kavandatava lõike 1 kohaselt väljastatakse andmekogust andmeid äriregistri infosüsteemi kaudu. Juhime tähelepanu, et AvTS § 14 lg 1 p 5 näeb ette, et teabenõude esitaja määrab teabenõude täitmise viisi. Eelnõu ega seletuskirja põhjal ei ole selge, kas põhimääruses kavandatu piirab teabenõude täitmise viisi valikut. Kui jah, siis seadusega ette nähtut saab piirata määrusega üksnes vastava volituse olemasolul. Sellekohast volitust aga AvTS-is ei sisaldu. Juhul kui sellekohane võimalus on ette nähtud RahaPTS-is, siis palume see seletuskirjas välja tuua. Volituse puudumisel palume selgitada seletuskirjas, et äriregistri infosüsteemi kaudu teabenõude täitmine ei piira AvTS-is ette nähtud teabenõudja võimalust valida teabe väljastamise viis. Sama muutmispunktiga nähakse ette lõike 2 muudatus, mille kohaselt on juurdepääs andmetele ka õigustatud huvi tõendanud isikutel. Juhime tähelepanu, et eristada tuleb juurdepääsu andmekogule ja andmete väljastamist andmekogust. Juurdepääs tähendab, et isik saab siseneda andmekogusse ja seal andmeid näha või töödelda, väljastamine tähendab seda, et isikule saadetakse väljavõte andmekogu andmetest. Palume põhimääruses üle vaadata kavandatavad ja ka kehtivad regulatsioonid, et need vastaksid sellele, mida kellele tegelikkuses juurdepääsu osas võimaldatakse. Sama muutmispunktiga nähakse ette lõike 5 muudatus, et andmeid väljastatakse asjaomast juriidilist isikut või usaldushaldust teavitamata, kui seadusest või Euroopa Liidu õigusaktist ei tulene teisiti. Seletuskirjas ei ole avatud, mis on selle sätte sisu. Juhime tähelepanu, et AvTS-i kavandatavate muudatuste kohaselt on plaanitud muuta kohustuslikuks andmejälgija kasutamine, mille kaudu saab iga isik teada, kui tema kohta on päring tehtud. Palume seletuskirjas välja tuua, milliseid juhtumeid on mõeldud kõnealuse sättega piirata. Eelnõu § 1 p 8 lisatava põhimääruse § 10 lõige 6 räägib ajaloolistest andmetest ja digitaalses arhiivis olevatest andmetest. Põhimääruse § 3 lg 3 kohaselt on digitaalses arhiivis muudetud andmed ja nende muutmise aeg, sealhulgas kustunud lahknevusmärked ning nende tegemise ja kustutamise aeg. Kui eelnõus peetakse ajalooliste andmete all silmas muudetud ehk kehtetuid andmeid, siis katab digitaalse arhiivi mõiste need ära, samas jääb eelnõu ja seletuskirja põhjal segaseks, mida mõeldakse ajalooliste andmete all. Kuna muudatustega lisandub RIK-le mitmeid täiendavaid ülesandeid ja andmebaasi maht kasvab, siis tuleb seletuskirjas välja tuua, kui suur summa eraldatakse riigieelarvest täiendavad vahendid nende ülesannete täitmiseks. Palume eelnevast tulenevalt seletuskirja täiendada. Eelnõu § 1 punktidega 9 ja 10 nähakse ette õigustatud huvi hindamise juhised. Juhime tähelepanu, et esiteks ei võimalda seaduse tasandi regulatsioon põhimääruses reguleerida täiendavat andmetöötlust, mis tekib õigustatud huvi hindamisel. Teiseks võib selline õigustatud huvi hindamise juhis põhimääruses minna vastuollu Andmekaitse Inspektsiooni või Euroopa Andmekaitse Nõukoja juhistega. Näiteks näeb kavandatav regulatsioon ette, et õigustatud huvi taotluses tuleb esitada õiguslik alus andmetele juurdepääsuks, kuigi õigustatud huvi ongi isikuandmete kaitse üldmääruse (IKÜM) kohaselt õiguslik alus andmetöötluseks. Seletuskirjas on märgitud et Euroopa Liidu õiguse kohaselt tuleb alates 10. novembrist 2026. a kontrollida õigustatud huvi olemasolu ja vastata taotlejale 12 tööpäeva jooksul. Palume seletuskirjas täpsustada, millist Euroopa Liidu õigusakti silmas peetud on, kuna see võimaldab hinnata, kas tegemist on IKÜM-i suhtes erinormiga. Eelnevast tulenevalt soovitame õigustatud huvi hindamiseks anda ametnikele, kelle vastutus see on, juhendmaterjalid ja kõnealused punktid eelnõust välja jätta. Lisaks IKÜM-is sätestatule tuleb riigi infosüsteemi kuuluvast andmekogust andmete väljastamisel hinnata mitte üksnes õigustatud huvi olemasolu, vaid ka seda, kas selliste andmete väljastamine on võimalik avaliku teabe avalikustamise ja taaskasutamise vaatest. Seega tuleb vastav regulatsioon põhimäärusest välja jätta. Eelnõu § 1 punktiga 11 nähakse põhimääruse § 12 lõikes 1 ette, et andmekogu kasutamise õiguspärasust kontrollitakse tarkvaraliste ja organisatsiooniliste meetmete abil. Juhime tähelepanu, et seletuskirjas puuduvad sisulised selgitused selle sätte kohta. Palume täiendada seletuskirja ja tuua välja, kuidas kontroll täpsemalt käib ja milliseid konkreetseid meetmeid silmas on peetud. Eelnõu § 1 punktiga 11 reguleeritakse logiandmetega seonduvat. Seletuskirja kohaselt sätestatakse lõikes 2 logitavate toimingute ja andmete minimaalne koosseis. Juhime tähelepanu, et põhimääruses tuleb kindlaks määrata täpne andmekoosseis, mitte minimaalne. Lisaks sellele näeb eelnõu ette, et isikuandmete töötlemise logiandmeid säilitatakse viis aastat toimingu tegemisest arvates, kui seadusest või Euroopa Liidu õigusaktist ei tulene pikemat säilitamistähtaega. Seletuskirja põhjal ei ole selge, kui kaua logiandmeid säilitatakse. Palume seletuskirjas täpsustada, millistest seadustest ja Euroopa Liidu õigusaktidest tulenevad säilitamise erisused.

3

Seletuskirja p 4.4. pealkirja järgi selgitab see osa seletuskirjast rahapesu ja terrorismi rahastamise tõkestamise süsteemile mõjusid. Sisuliselt ei ole mõjusid süsteemile selles punktis hinnatud ja seega jääb selgusetuks, kas ja millised muudatusi vaja süsteemides teha, palju see maksma läheb, kus selline rahastus tuleb jne. Seletuskirja punktis 5 on aga välja toodud, et tegemist on ühekordse IT- arenduskuludega ja selle kulu katab Rahandusministeerium. Samas pole kulu suurust välja toodud. Palume eelnevast tulenevalt seletuskirja täpsustada. Märgime, et seletuskirjale tuleb lisada ka direktiivi vastavustabel, millest nähtub, millised direktiivi sätted on millise põhimääruse normiga üle võetud.

Lugupidamisega (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister Helen Uustalu, 53345676, [email protected] Siret Neeve Stina Avvo