Arvamuse avaldamine eelnõule

Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee Registrikood 70004235

Riigikogu Õiguskomisjon [email protected]

Teie: 30.04.2024 Meie: 03.05.2024 nr 2.3-4/24/1227-3

Arvamuse avaldamine eelnõule Täname, et pöördusite Andmekaitse Inspektsiooni (AKI) poole arvamuse saamiseks krediidiinkassode ja -ostjate seaduse § 44 sõnastuse kohta. Edastatud e-kirjas märkisite muuhulgas, et võimalusel hindaks inspektsioon ka tervikuna eelnõu vastavust isikuandmete töötlemist reguleerivatele õigusaktidele. Esmalt olen sunnitud väljendama kahetsust esiteks seepärast, et eelnõu väljatöötamise varasemas etapis ei ole inspektsiooni arvamuse andmiseks kaasatud ja teiseks seepärast, et käesoleval hetkel, piiratud ajatingimustes, ei ole võimalik eelnõud analüüsida sedavõrd suure põhjalikkusega nagu seda ehk soovinud oleks. Ent vaatamata sellele mõningad tähelepanekud ma siiski teeksin. Olen tutvunud Justiitsministeeriumi märkustega eelnõu kohta ning eeldan, et nendega on arvestatud. Peamiselt pean silmas märkusi, mis puudutasid kogutavate isikuandmete säilitamistähtaegade määratlemise vajadust (märkused eelnõu § 29 osas), samuti käib see märkus § 39 kohta. Juhul, kui siin kehtivad Finantsinspektsioonile mingist muust seadusest tulenevad kogutavate andmete säilitamise tähtajad, siis tuleks seletuskirja vastavalt ka täiendada, et see oleks üheselt arusaadav. Eelnõu § 41 sätestab, et krediidiinkasso juhatus kehtestab oma otsusega krediidiinkasso ning tema juhtide ja töötajate tegevust korraldavad protseduurireeglid (edaspidi sise-eeskirjad), mille kohaselt tagatakse krediidiinkasso tegevust reguleerivate õigusaktide ja krediidiinkasso juhtide otsuste täitmine, samuti teenuste õigus- ja korrapärane osutamine. Sama paragrahvi lõike 4 punkt 2 ütleb, et sise-eeskirjadega määratakse muu hulgas kindlaks juriidilistest isikutest krediidisaajate andmete ja füüsilisest isikust krediidisaajate isikuandmete töötlemise kord, mis on kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 1–88). Esiteks, kuna sätte sõnastus on: juriidilistest isikutest krediidisaajate andmete JA füüsilisest isikust krediidisaajate isikuandmete töötlemise kord, siis juriidilisel isikul ei ole isikuandmeid ning juriidilise isiku andmete töötlemine ei kuulu isikuandmete töötlemise üldmääruse (IKÜM) kohaldamisalasse. Seega seda sätet tuleks täpsustada. Teine märkus puudutab Finantsinspektsiooni (FI) rolli selliste sise-eeskirjade kontrollimisel. Kuna sise-eeskirjad sisaldavad ka isikuandmete töötlemise korda ja FI-lt tegevusloa taotlemisel esitab krediidiinkasso FI-le ka sise-eeskirjad, siis kas FI kontrollib esitatud sise-

2 (3)

eeskirju üksnes formaalselt (st et need on olemas) või sisuliselt. Viimasel juhul tekib omakorda küsimus, kas FI hindab ka isikuandmete töötlemise korra vastavust IKÜM-iga. Kuivõrd isikuandmete töötlemine ja selle vastavus IKÜM-ile krediidiinkassode poolt on äärmiselt oluline, siis tuleks kaaluda, kuidas on tagatud vastavate eeskirjade kontroll enne, kui krediidiinkassole tegevusluba väljastatakse. Eelnev märkus on seotud ka §-ga 13, mis räägib tegevusloa kehtetuks tunnistamist FI poolt, kus muuhulgas punktis 11 on öeldud, et tegevusloa võib kehtetuks tunnistada, kui krediidiinkasso ei täida käesolevas seaduses sätestatud kohustusi sise-eeskirja või - kontrolli ja krediidisaaja kaebuse lahendamise kohta. Siin vajaks selgust, kas mõeldud on sise-eeskirjast tulenevat krediidisaaja kaebeõigust. Kui sise-eeskirja üheks osaks on ka isikuandmete töötlemise kord, peab see käsitlema ka andmesubjektide taotluste lahendamise korda (andmesubjekti õigused tulenevad IKÜM peatükist III). Seega, kas FI hindab tegevusloa kehtetuks tunnistamise menetluse raames ka seda, kas ja kuidas on krediidiinkasso täitnud IKÜM nõudeid andmesubjektide taotluste lahendamisel. Eelnõu § 43 räägib krediidiinkasso tegevuse edasiandmisest. Viidatud sätte kontekstis tuleks mõelda, kui tegevus antakse üle, kas tuleks sellest teavitada ka krediidisaajaid (füüsilisi isikuid) kui andmesubjekte. § 59 küll käsitleb teabe andmise kohustust krediidisaajale, aga selguse huvides võiks täpsustada, kes ja mis hetkel teavitab andmesubjekti just näiteks tegevuse edasiandmisest. § 59 kontekstis sooviks veel tähelepanu juhtida, kas krediidisaajat tuleb teavitada ka isikuandmete töötlemise tingimustest. Eelkõige kui tegevus ühelt krediidiinkassolt teisele üle antakse, kuivõrd teisel võivad tingimused erineda. Kui § 41 viitas selgelt, et järgida tuleb ka IKÜM nõudeid, siis siin on punkt 8 märksa ebamäärasem. Eelnõu § 44 kohta on mul järgmised tähelepanekud. Lõike 1 osas jääb hetkel ebaselgeks, milliseid andmeid krediidiinkasso toimikusse kogub ehk andmekoosseis. Hetkel on sätte sõnastus nii lai, et selle alusel võib mistahes andmeid ja mistahes allikatest koguda. Seega tuleks andmekoosseisu täpsustada. Olete edastanud meile Rahandusministeeriumi sõnastusettepaneku lõike 3 osas. Parandatud sõnastuse ettepanek on järgmine: Krediidiinkassol või asjakohasel juhul krediidiostjal on õigus saada viivituses oleva tarbijakrediidilepingu või sellest tuleneva nõude sisse nõudmiseks krediidiasutuselt või krediidiandjalt tarbijakrediidi andmise, jälgimise ja hindamise kohta peetud vastavalt krediidiandjate ja -vahendajate seaduse §-s 48 sätestatud krediiditoimikust neid andmeid, mis on kogutud konkreetse tarbija suhtes vastutustundliku laenamise põhimõtte täitmiseks, sealhulgas krediidivõimelisuse hindamise aluseks olnud perioodil tehtud tarbija maksetehingute andmed kujul, mis võimaldab saada ülevaate tarbija maksetehingutest tulu- ja kululiikide lõikes. Ehk siis uus sõnastus küll ütleb, et mingite muude andmete hulgas, mida määratletud ei ole, on õigus saada krediidiinkassol krediidiasutuselt või krediidiandjalt tarbija maksetehingute andmed, kuid mis need muud andmed on, mille hulgas on ka neid andmeid saada õigus, täpsustatud ei ole. Eelnõu § 58 käsitleb suhtlust krediidisaajaga. Muuhulgas ütleb säte, et krediidisaajaga peab suhtlema viisil, mis ei kujuta endast ahistamist, sundi ega lubamatut mõjutamist. Seletuskiri võiks tuua näiteid sobimatust käitumisest. Nimelt inspektsiooni praktika kohaselt on väga levinud krediidisaajate mõjutamine ja isegi ähvardamine. Eriti kui inkasso on tihedalt seotud ka mõne maksehäireregistriga, on tavapärane, et isikuid survestatakse võlgnevusi tasuma maksehäire avaldamise ähvardusel või vastupidi motiveeritakse tasuma lubadusega seejärel registrist info eemaldada, sh aegunud võlgnevuste korral. Seega võiks seletuskirjast nähtuda

3 (3)

ka elulised näited selle kohta. § 60 sätestab krediidisaaja kaebuste registreerimise ja lahendamise korra. Lõike 3 kohaselt lähtub krediidiinkasso lähtub kaebuste lahendamisel Finantsinspektsiooni kehtestatud korrast vastavalt käesoleva seaduse § 67 lõikele 4. Nii viidatud § 60 lõike 3 kui ka selles omakorda viidatud § 67 lõike osas ei selgu, kas FI kehtestab ka kaebuste lahendamise korra, mis võtab arvesse IKÜM-is sätetatud nõuded ja erisused andmesubjekti õiguste realiseerimisel. Kokkuvõtvalt vabandan, kui mõned minu poolt püstitatud küsimused on juba menetluse käigus või eelnõu seletuskirjas vastuse leidnud, kuid nagu öeldud, on eelnev arvamus antud väga piiratud ajaraamis. Loodan sellegipoolest, et neist märkustest on abi ja vajadusel olen valmis oma mõtteid täiendavalt selgitama. Lugupidamisega (allkirjastatud digitaalselt) Pille Lehis peadirektor