Märgukiri

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST

Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235

Finantsinspektsioon

[email protected]

Rahandusministeerium

[email protected]

05.07.2024 nr 2.1.-5/24/1777-1

Märgukiri

Andmekaitse Inspektsioon juhib Finantsinspektsiooni ja Rahandusministeeriumi tähelepanu

finantsjärelevalves andmesubjekti õiguste tagamisega seotud küsitavustele.

Finantsinspektsiooni seaduse (FIS) § 542 lg 1 kohaselt on Finantsinspektsioonil (FI) õigus töödelda

finantsjärelevalve või finantskriisi ennetamise või lahendamise eesmärgil isikuandmeid. Sama

paragrahvi lg 2 järgi ei kohaldata sel juhul Euroopa Parlamendi ja nõukogu määruse (EL)

2016/679 (isikuandmete kaitse üldmäärus ehk IKÜM) artikli 13 lõike 1 punktis f, lõike 2 punktis a

ja lõikes 3 ning artiklites 15–19 ja 21 sätestatut. Viidatud IKÜM sätted reguleerivad andmesubjekti

õiguseid, sh tema õigust saada teavet oma isikuandmete töötlemise kohta, õigust tutvuda oma

andmetega, õigust andmete parandamisele jne. Nii järeldub FIS § 542 lg-test 1 ja 2, et kui FI töötleb

finantsjärelevalves või finantskriisi ennetamisel või selle lahendamisel isikuandmeid ja kui

andmesubjekt soovib näiteks saada teavet oma isikuandmete töötlemise kohta või nõuda FI-lt oma

isikuandmete parandamist, siis FI talle seda ei võimalda, sest FIS § 542 lg 2 kohaselt vastavaid

IKÜM artikleid ei kohaldata. Muid riigisiseseid sätteid FIS-s andmesubjekti õiguste teostamise

või piiramise kohta ei ole. Nii ilmnebki, et andmesubjektil ei ole finantsjärelevalve puhul võimalik

teostada oma IKÜM-st tulenevaid õigusi.

Oluline on siinjuures selgitada, et IKÜM art 23 lg 1 punktid e ja h lubavad piirata artiklites 12–22

ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust selleks, et tagada liikmesriigi

olulised eesmärgid, sh finantshuvi ja sellega seonduva kontrolli teostamine, kuid sellised

andmesubjekti õiguste piirangud peavad olema sätestatud liikmesriigi õiguses seadusandliku

meetmega. IKÜM art 23 lg-s 2 on kirjeldatud täpsed kriteeriumid, mida sellised seaduses

sätestatud andmesubjekti õiguste piirangud sisaldama peavad. IKÜM art 23 lg 1 eeldab, et sellised

piirangud peavad olema vajalikud ja proportsionaalsed.

Euroopa Kohus on järjepidevalt rõhutanud, et isikuandmete kaitse teostamise õigust tohib piirata

ainult seadusega, mis konkreetsemalt tähendab, et õiguslik alus, mis võimaldab neid õigusi riivata,

peab ise määratlema selle, kui ulatuslikult tohib asjaomase õiguse teostamist piirata. Õigusaktid,

mis sisaldavad sellist riivet lubavat meedet, peavad sätestama selged ja täpsed reeglid, mis

reguleerivad kõnealuse meetme ulatust ja kohaldamist ning kehtestavad miinimumnõuded, millest

tulenevalt on isikutel, kelle isikuandmetega on tegu, piisavad tagatised, mis võimaldavad neid

andmeid kuritarvitamise ohu eest tõhusalt kaitsta. Seega peavad kõik määruse 2016/679 art 23

alusel võetud meetmed olema selged ja täpsed ning nende kohaldamine peab olema

2 (3)

õigussubjektidele ettenähtav. Eelkõige peab viimastel olema võimalik kindlaks teha asjaolud ja

tingimused, mille esinemisel võib neile selle määrusega antud õiguste ulatust piirata.1

Euroopa Andmekaitsenõukogu on sedastanud, et andmesubjektide õigusi puudutavaid piiranguid

tuleb tõlgendada kitsalt ja kohaldada ainult eraldi ette nähtud asjaoludel ning üksnes siis, kui on

täidetud teatavad tingimused. Isegi erandolukordades ei saa isikuandmete kaitset piirata

täielikult. IKÜM artiklites 12–22 ja 34 sätestatud kohustuste ja õiguste ulatust võib piirata eri

moel, kuid see ei tohi kunagi tähendada kõikide õiguste üldist peatamist. Õigustatud ei saa olla

piirangud, mis on nii ulatuslikud ja sekkuvad, et füüsiliste isikute kaitse isikuandmete töötlemise

põhiõigusena kaotab nende tõttu oma põhisisu. Üldreeglina peab IKÜM art 23 kohaseid piiranguid

sätestav seadusandlik meede sisaldama kõiki IKÜM art 23 lg 2 kirjeldatud nõudeid. Kui sellest

aga kõrvale kaldutakse, peab seadusandja seda põhjendama. Selleks, et piirangud vastaksid IKÜM

nõuetele, peavad need eelnevalt olema läbinud vajalikkuse ja proportsionaalsuse kontrolli,

kusjuures see kontroll on vaja teostada enne seadusandja poolt piirangu sätestamist.2

Finantsjärelevalvemenetluses isikuandmete töötlemist reguleeriv FIS § 542 võeti vastu

isikuandmete kaitse seaduse rakendamise seadusega 778 SE ja selle seletuskirjast3 nähtub, et see

on kehtestatud kooskõlas IKÜM art 23 lg 1 punktidega e, g ja h. Küll aga on seletuskirjas selgitatud

eelkõige seda, miks on seaduses teadvalt loodud tähtajatu saladuse hoidmise kohustus ja

järelevalveliste andmete kasutamise võimalus. Seletuskiri on jätnud lahtiseks selle, miks on

täielikult välistatud andmesubjekti õigus tutvuda oma andmetega, õigus andmete parandamisele,

õigus esitada vastuväited jne.

Nii nähtubki, et käesoleval juhul ei sea FIS § 542 lg 2 andmesubjekti õiguste teostamisele mitte

üksnes piirangu, vaid ütleb täiesti absoluutsena, et § 542 lg-s 1 nimetatud juhul (finantsjärelevalve

või finantskriisi ennetamise või lahendamise eesmärgil töödeldavate isikuandmete puhul) IKÜM

artiklis 13 lg 1 punktis f, lõike 2 punktis a ja lõikes 3 ning artiklites 15–19 ja 21 sätestatut ei

kohaldata. Juba 2006. aastal on Riigikohus öelnud, et Euroopa Liidu määruse rakendamiseks võib

olla vajalik võtta vastu siseriiklikke õigusakte, kuid liikmesriigi õigus ei tohi olla EL õigusega

vastuolus ja siseriikliku õigusakti sisu peab vastama EL määruses sätestatud volitusnormi

ulatusele.4 Nii paistab inspektsiooni hinnangul antud FIS sätte näol olevat vastu võetud norm, mis

väljub IKÜM art 23 volitusnormi ulatusest ja mis ei võimalda ühelgi viisil teostada

andmesubjektidel IKÜM art-test 15–19 ja 21 tulenevaid õigusi. Kusjuures andmesubjekti õiguste

teostamise täieliku välistuse (isegi mitte piirangute) proportsionaalsust ei ole analüüsitud. Seega

teeb FIS § 542 lg 2 põhjendamatu ja tingimusteta reservatsiooni IKÜM-i sätetest ja välistab

tingimusteta sätete kohaldamise. Inspektsiooni hinnangul ei ole see kooskõlas IKÜM-s

sätestatuga. Samuti ei ole see kooskõlas Euroopa Andmekaitsenõukogu seisukohaga, mille

kohaselt ei tohiks isegi erandolukordades piirata isikuandmete kaitset täielikult.

Kusjuures Andmekaitse Inspektsiooni jaoks on küsitav see, kuidas praktikas peaks välja nägema

olukord, kus IKÜM artiklis 13 lg 1 punktis f, lõike 2 punktis a ja lõikes 3 ning artiklites 15–19

ja 21 sätestatut ei kohaldata, kuid muus isikuandmete töötlemise teabe saamise ja juurdepääsu

õigusi reguleerivas osas IKÜM art-d 12–14 kohalduvad. Nii on näiteks omavahel vastuolulised

olukorrad, kus IKÜM art 12 lg 3 järgi peab vastutav töötleja (kõnealusel juhul FI) esitama

andmesubjektile tarbetu viivituseta, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse saamist

teabe artiklite 15–22 kohase taotluse alusel võetud meetmete kohta. Samas ütleb FIS § 542 lg 2, et

IKÜM artikleid 15–19 ja 21 ei kohaldata. Seega ühest küljest peaks FI justkui kuu aja jooksul

vastama andmesubjekti taotlusele, kuid teisalt on selline andmesubjektile saadetav FI vastus

1 C-175/20, aga vt ka C-623/17 ja C-746/18. 2 Euroopa Andmekaitsenõukogu suunised 10/2020 isikuandmete kaitse üldmääruse artiklis 23 sätestatud piirangute

kohta. Versioon 2.1. Vastu võetud 13.10.2021. Leitav https://www.edpb.europa.eu/our-work-tools/our-

documents/guidelines/guidelines-102020-restrictions-under-article-23-gdpr_en. 3 Leitav https://www.riigikogu.ee/tegevus/eelnoud/eelnou/9d1420bb-b516-4ab1-b337-17b2c83eedb1/. 4 RKHKo 3-3-1-33-06, p 15. Sama põhimõtet on Riigikohus korranud ka 28.06.2023 lahendis 5-23-2/13.

3 (3)

sisutühi, sest IKÜM-i kohaldamatuse tõttu ei pea FI art 13 lg 1 punkti f, lg 2 punkti a ja lg 3 ning

IKÜM art 15–19 ja 21 kohaseid meetmeid rakendama.

Samuti võiks FI mitte kohaldada FIS § 542 lg-st 2 tulenevalt IKÜM art 13 lg 2 punkti a ehk kui FI

on andmesubjektilt endalt saanud tema isikuandmed, siis selles osas ei pea FI andmesubjektile

ütlema, mis on tema isikuandmete säilitamise ajavahemik või, kui konkreetse säilitamise

ajavahemiku ütlemine ei olegi võimalik, siis sellise ajavahemiku määramise kriteeriumid. Samas,

kui FI on saanud andmesubjekti isikuandmed kuskilt mujalt (näiteks mõnest andmekogust päringut

tehes) ehk mitte andmesubjektilt endalt, siis selles osas peaks FI IKÜM art 14 lg 3 punktist a

tulenevalt justkui esitama andmesubjektile kuu aja jooksul teabe, et FI on saanud tema

isikuandmed kuskilt mujalt ja seda koos muu IKÜM art 14 lg-tes 1 ja 2 nõutava teabega. IKÜM

art 14 kohaldamist ei ole FIS-s välistatud.

Eelnev näitlikustab selgelt, et FIS § 542 ja eelkõige selle lg 2 ei ole kooskõlas IKÜM-ga, sest

riigisisene säte välistab täielikult teatud ulatuses IKÜM-i kui EL määruse kohaldamise. Kuigi

isikuandmete kaitsele on lubatud riigisisese õigusega piiranguid seada, siis seda ei ole antud juhul

tehtud IKÜM-i nõudeid järgides. Lisaks sellele tekitab säte aga ka muid ebakõlasid IKÜM-i

kohaldamisel.

Andmekaitse Inspektsioon arvates on põhjendatud, et teatud ulatuses võib finantsjärelevalves või

finantskriisi ennetamise või lahendamise puhul andmesubjektide õiguste piiramine vajalik olla,

kuid need piirangud ei saa olla absoluutsed ega välistada IKÜM-st tulenevad isikuandmetega

seotud teabe ja juurdepääsu õigused ja kohustused täielikult. Küsimused sellest, millises ulatuses

ja millistel konkreetsel tingimustel piirangud andmesubjekti õigustele ikkagi kohalduma peaksid,

on lahtised ja vastused selles osas peaks inspektsiooni arvates saama konkreetsemalt paika

seaduses. Nii juhibki Andmekaitse Inspektsioon eelnevast tulenevalt Finantsinspektsiooni ja

Rahandusministeeriumi tähelepanu sellele, et nimetatud FIS sätted vajavad IKÜM-ga kooskõlla

viimist.

Lugupidamisega

(allkirjastatud digitaalselt)

Pille Lehis

peadirektor

Koostaja: Agnes Järvela

[email protected], tel 627 4145