Kiri

Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected] / www.just.ee Registrikood 70000898

Rahandusministeerium [email protected] Rahapesu ja terrorismi rahastamise tõkestamise seaduse muutmise seaduse eelnõu väljatöötamise kavatsuse (tegelike kasusaajate andmete kogumise, säilitamise ja avalikustamisega seonduvad muudatused) kooskõlastamine Austatud minister Rahandusministeerium on esitanud Justiitsministeeriumile kooskõlastamiseks rahapesu ja terrorismi rahastamise tõkestamise seaduse muutmise seaduse eelnõu (tegelike kasusaajate andmete kogumise, säilitamise ja avalikustamisega seonduvad muudatused) väljatöötamiskavatsuse (VTK). VTK annab selge ülevaate lahendust vajavatest probleemidest ja selgitab riikliku sekkumise vajadust. Kooskõlastame VTK ja esitame omapoolsed ettepanekud rahapesu ja terrorismi rahastamise tõkestamise seaduse (RahaPTS) muutmiseks. 1. Ettepanekud andmekvaliteedi tõstmiseks tehtavate mitteregulatiivsete meetmete kohta 1.1. Toetame ettepanekut enne seaduseelnõu koostamist viia läbi TEKSA andmekvaliteedi ja kasutajate uuring, määrata TEKSA kvaliteedimõõdikud ning alustada andmete kvaliteedi monitoorimist. Ülevaade olemasolevast andmekvaliteedist, andmete töötlemisest ja kasutajate ootustest võiks meie hinnangul olla abiks kavandatava seaduseelnõu oodatavate tulemuste sõnastamisel ning nende täitmise hindamisel. 1.2. VTK koostajad on põhjalikult analüüsinud probleemi võimalikke regulatiivseid ja mitteregulatiivseid lahendusi (lk 11–29). Üheks andmekvaliteedi parandamise meetmeks on pakutud automaatkontrolle, -teavitusi, nõustamist, juhendmaterjalide koostamist ja koolitust (lk 18–19), mida tegelikult osaliselt juba kasutatakse (lk 11). Toetame loetletud mitteregulatiivsete meetmete kasutamist. Seaduseelnõu seletuskirjas palume nende meetme tõhusust ja efektiivsust ja võimalikke parenduskohti põhjalikumalt selgitada. 2. Ettepanekud volitatud töötleja kohta 2.1. Toetame registripidamise üle andmist Tartu Maakohtu registriosakonnalt Rahapesu Andmebüroole, sest seal on rahapesu ja terrorismi tõkestamise valdkonna suurim sisuline kompetents. Leiame, et TEKSA arendamise, haldamise ja kasutajatoe ülesannete täitmine vajab põhjalikumat analüüsi ja arutelu. Avalik ligipääs TEKSA andmetele võiks jätkuvalt olla e-äriregistri veebilehe kaudu, kuid andmebaasi arendamis-, haldamis- ja kasutajatoe ülesanded vajavad eraldiseisvat meeskonda. 2.2. Hetkel on TEKSA puhul tegemist üsna väheste andmeväljadega andmebaasiga, mille registripidaja poolne tegevus (lahknevusmärke tegemine) on lahendatud läbi Tartu Maakohtu registriosakonna menetlustarkvara. Kuna registripidamise ülesanne antakse üle kas Rahapesu Andmebüroole või Maksu- ja Tolliametile ja tegelike kasusaajate andmekogu pidamine ja andmekvaliteedi kontroll muutuvad senisest oluliselt intensiivsemaks ja sisulisemaks, on vaja luua

Teie 17.09.2024 nr 13-5.1/4113-1, RAM/24-0935/-1K

Meie 22.10.2024 nr 8-2/6746

uuele registripidajale eraldiseisev menetlustarkvara. Lisaks tuleb arvestada, et äriregister on oma olemuselt väga avalik andmekogu, mille pidamine allub kohtumenetluse reeglitele. Samas võib TEKSA pidamine vajada menetlustarkvara liidestamist väga kõrgete turvanõuetega andmebaasidega ja riskipõhine järelevalve eeldada masinõppe rakendamist. Seega ei aita teadmised äriregistri toimimisest TEKSA tarkvara loomisel. Kui TEKSA arendamine ja haldamine toimub äriregistri arendustegevuste kõrvalt, kannatavad tõenäoliselt nii äriregistri kui ka TEKSA IT-lahendused. Seetõttu peame sobivamaks luua TEKSA IT-kompetentsid eraldiseisva meeskonnana Rahandusministeeriumi haldusalas. 3. Ettepanekud andmekaitse tõhustamiseks 3.1. VTK p-s 9.1.1. on selgitatud võimalust andmekogus hoiustada dokumente ja andmeid, mida saab kasutada andmete õigsuse kontrolliks. VTK kohaselt ei ole võimalik kindlaks määrata, milliseid andmeid ja dokumente andmete õigsuse kontrolliks vaja võib minna. Oleme seisukohal, et andmekogus ei peaks säilitama selle andmekogu andmete õigsuse kontrolliks vajalikke taustmaterjale, vaid olukorras, kus järelevalveasutusel tekib kahtlus andmete õigsuse suhtes, saab ta algatada järelevalve, mille käigus palub ta ettevõtjal esitada dokumendid, mis tõendavad tema esitatud andmete õigsust. Olukorras, kus dokumentide ja andmete esitamine kande õigsuse tõestuseks on vabatahtlik, ei pruugi see meie hinnangul täita kande õigsuse kontrolli eesmärki. Ilmselt esitaksid seadusekuulekad ettevõtjad kande õigsuse tõenduseks dokumente ja teavet, kuid need, kes ei soovi kande õigsust tagada, seda ilmselt ei teeks. Kande õigsuse aluseks olevate dokumentide esitamine oleks mõttekas olukorras, kus enne kande tegemist toimuks eelkontroll. Ka sellisel juhul tooks kande aluseks olevate dokumentide säilitamine andmekogus endas kaasa põhjendamatu koormuse andmekogu mahule ja dokumendid tuleks kustutada kohe, kui kanne on tehtud. Oleme seisukohal, et kande õigsuse tõenduseks dokumente ja andmeid andmekogus säilitama ei peaks, seda ka juba seetõttu, et ettevõtjatel endal on juba seadusjärgne kohustus (RahaPTS § 76) seda teha ning järelevalve korral on neil kohustus need järelevalve teostajale esitada. Ühe võimalusena, kuidas tagada tegeliku kasusaaja kande õigsus, soovitame kaaluda ka võimalust, et tegeliku kasusaaja kohta ei tehta kannet enne, kui selle kohta on saadud isiku nõusolek või isikut vähemalt teavitatakse tema kohta tehtud kandest. Viimase tulemusel peab andmekogu vastutav töötleja (või edasivolituse korral volitatud töötleja) tagama, et isiku pöördumisel tema kohta tehtud valekanne kustutatakse. 3.2. RahaPTS § 762 kohta juhime tähelepanu, et hetkel ei ole RahaPTS-s määratletud tegelike kasusaajate andmekogu pidamise eesmärki ning see tuleks seaduse tasandil ette näha. Ilma selleta on raskendatud kontroll andmekogu pidamise õiguspärasuse ja isikuandmete töötlemise ulatuse üle. Palume RahaPTS § 762 täiendada andmekogu pidamise eesmärgiga. Lisaks eelnevale palume eelnõu koostamise käigus vaadata üle, kes on tegelikult andmekogu vastutavad töötlejad. AvTS kohaselt on andmekogu vastutav töötleja (haldaja) riigi- või kohaliku omavalitsuse asutus, muu avalik-õiguslik juriidiline isik või avalikke ülesandeid täitev eraõiguslik isik, kes korraldab andmekogu kasutusele võtmist, teenuste ja andmete haldamist. Andmekogu vastutav töötleja vastutab andmekogu haldamise seaduslikkuse ja andmekogu arendamise eest. IKÜMi kohaselt määrab vastutav töötleja kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Viimane tähendab muu hulgas seda, et vastutav töötleja täidab talle seadusega pandud ülesannet. Sellest tulenevalt, kui Registrite ja Infosüsteemide Keskus tegeleb üksnes andmekogu haldamisega ning seadusest tulenevat ülesannet, mille täitmiseks andmekogu peetakse, täidab mõni muu asutus, siis on seaduse tasandil nad määratletavad kui kaasvastutavad töötlejad ning põhimääruses saab kindaks määrata, milliste ülesannete puhul keegi neist vastutav töötleja on.1 3.3. RahaPTS § 78 näeb ette, et tegelike kasusaajate andmed avalikustatakse äriregistri infosüsteemis. Juhime tähelepanu, et tegelike kasusaajate andmed on muu hulgas ka isikuandmed. Kuna avaliku teabe seaduse (AvTS) kohaselt on avalik teave kõik mis tahes viisil ja mis tahes teabekandjale jäädvustatud ja dokumenteeritud teave, mis on saadud või loodud seaduses või selle alusel antud õigusaktides sätestatud avalikke ülesandeid täites ning sellele teabele juurdepääsu võib piirata seaduses sätestatud korras (AvTS § 3). AvTS § 35 näeb ette alused, mis juhul tuleb teave tunnistada asutusesiseseks kasutamiseks. Üheks selliseks asutuseiseseks kasutamiseks tunnistamise aluseks on isikuandmed (AvTS § 35 lg 1 p 12).

1 Vt vastutava töötleja kohta ka Euroopa Kohtu 11. jaanuari 2024. aasta otsust (kolmas koda) kohtuasjas C-231/22: État belge

vs Autorité de protection des données.

Igasugust isikuandmete kogumist, säilitamist, kasutamist ja avalikustamist käsitatakse eraelu puutumatuse (PS § 26) riivena. PS § 11 kohaselt tohib õigusi ja vabadusi piirata ainult kooskõlas põhiseadusega. See tähendab, et niisugune piirang peab olema kooskõlas ka PS § 3 esimese lausega, mille kohaselt teostatakse riigivõimu üksnes põhiseaduse ja sellega kooskõlas olevate seaduste alusel. Sättes väljendatud üldise seadusereservatsiooni põhimõtte järgi peab põhiõigusi puudutavates küsimustes kõik olulised otsused langetama seadusandja. Riigikogu võib täidesaatvat võimu volitada reguleerima üksnes vähem intensiivseid põhiõiguste piiranguid ning sealjuures peab seaduses sisalduv volitusnorm olema täpne, selge ja vastavuses piirangu intensiivsusega. Seda põhimõtet tuleb järgida ka isikuandmete töötlemisel. See tähendab, et isikuandmete töötlemine peab olema reguleeritud seadusega. Määrusega võib seaduse norme täpsustada, kuid seda üksnes selge ja täpse ulatusega volitusnormi alusel. Mida intensiivsem on põhiõiguste piirang, seda üksikasjalikumad peavad olema täitevvõimu tegutsemise aluseks olev volitusnorm ja menetlusnormid. Seega ei sobi isikuandmete töötlemise seaduslikuks aluseks üldine volitusnorm, mis jätab kõik peamised küsimused täitevvõimu reguleerida. Eelkõige peab seaduse tasandil määratlema isikuandmete töötlemise olukorrad ja eesmärgid ning töödeldavate isikuandmete koosseisu vähemalt isikuandmete kategooriate täpsusega (viimast võib seaduse volitusnormi alusel määrusega täpsustada). Eelnevast tulenevalt, selleks, et AvTS § 35 lg 1 p-s 12 sätestatud piiragu alla kuuluvaid andmeid tohiks avalikustada, tuleb seaduses ette näha, milliseid isikuandmeid ja millisel eesmärgil avalikustatakse. Seega palume täiendada RahaPTS §-i 78 regulatsiooni avalikustamise eesmärgiga ja isikuandmete kategooriatega, mida antud juhul avalikustatakse. 4. Soovitused seaduse muutmise eelnõu seletuskirja koostamiseks ja mõju täiendavaks hindamiseks 4.1. VTK-s on väga põhjalik sihtrühmade kirjeldus ja nende suurus (lk 4–5). Seaduseelnõu seletuskirjas kaaluge võimalust sihtrühmade grupeerimiseks lähtudes eelkõige nende rollist TEKSA andmekvaliteedi tagamisel. Selline struktureerimine muudab sihtrühmade käsitluse selgemaks ning võimaldab paremini keskenduda nende vastutusele andmekvaliteedi ning piisava andmekaitse taseme tagamise osas. 4.2. VTK-s on selgelt sõnastatud muudatusega kaasnev soovitud olukord (lk 5–6), kus rõhutatakse, et TEKSA volitatud ja vastutavad töötlejad peavad olema paindlikud ja tulemuslikud, et täita oma ülesandeid, hinnata andmekvaliteeti ning kohanduda muutustega, järgides samal ajal rahapesu ja terrorismi rahastamise riski taset. Kavandatava seaduseelnõu seletuskirjas kaaluge valituks osutunud lahenduse puhul võimalust selgitada üksikasjalikumalt tegevusi nende eesmärkide saavutamiseks. 4.3. VTK koostajad on loetlenud muudatuse eesmärgi saavutamiseks vajalikud tegevused: andmete piisavust tagavad meetmed, andmete õigsust ja uuendamist tagavad meetmed, koostööd ning andmete kogumist ja säilitamist tagavad meetmed, andmekogu volitatud töötleja asendamine, andmetele ligipääsu piiramine ning koostatud esmase mõjuanalüüsi (lk 29–34). Seaduseelnõu seletuskirjas soovitame seaduseelnõusse jõudvate meetmete komplekti lahendused siduda loetletud probleemidega (lk 1–3). Lisaks meetmete detailsele analüüsile soovitame täpsustada seaduseelnõu seletuskirja mõjuanalüüsi osas võimalike töökoormuse ja tööprotsesside muutuste mõju erinevates avaliku sektori asutustes. Lugupidamisega (allkirjastatud digitaalselt) Liisa-Ly Pakosta justiits- ja digiminister

Piret Elenurm 51972556 [email protected] Siret Neeve Helen Uustalu Henry Heinleht Karen Alamets