| Dokumendiregister | Rahandusministeerium |
| Viit | 1.1-10.1/4377-8 |
| Registreeritud | 11.11.2024 |
| Sünkroonitud | 12.11.2024 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.1 ÜLDJUHTIMINE JA ÕIGUSALANE TEENINDAMINE |
| Sari | 1.1-10.1 Ministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega (Arhiiviväärtuslik) |
| Toimik | 1.1-10.1/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Andmekaitse Inspektsioon |
| Saabumis/saatmisviis | Andmekaitse Inspektsioon |
| Vastutaja | Liina Malm (Rahandusministeerium, Kantsleri vastutusvaldkond, Finants- ja maksupoliitika valdkond, Rahandusteabe poliitika osakond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Rahandusministeerium Teie 10.10.2024 nr 1.1-10.1/4377-1 Meie 08.11.2024 nr 1.2.-4/24/2579-2
Arvamuse avaldamine eelnõule (RahaPTS ja AvTS)
Täname, et saatsite Andmekaitse Inspektsioonile (AKI) arvamuse avaldamiseks rahapesu ja
terrorismi rahastamise tõkestamise seaduse ning avaliku teabe seaduse muutmise seaduse eelnõu.
Meil on järgmised tähelepanekud esitatud eelnõu osas.
1. Üldised märkused
Eelnõu § 1 p 3 kohaselt on komisjonil ja töörühmal õigus töödelda mh asjakohaseid andmeid.
Kuigi seletuskirjas on öeldud, et riiklik riskihinnang baseerub kvantitatiivsetele ja kvalitatiivsetele
andmetele ning selle koostamiseks puudub vajadus isikuandmete töötlemiseks, mistõttu seaduses
sellist õigust rahapesu ja terrorismi rahastamise tõkestamise valitsuskomisjonile ja riikliku
riskihinnangu läbiviimiseks moodustatavatele töörühmadele ei anta, siis edasi täpsustatakse, et
andmete töötlemise õiguse reguleerimisel võetakse aluseks RahaPTS § 11 lõige 2, milles on
nimetatud riikliku riskihinnangu koostamiseks vajalike kvantitatiivsete ja kvalitatiivsete andmete
loetelu. Viidatud säte omakorda mainib asjakohast teavet, mis on avaldatud või ministeeriumidele
või nende valitsemisala asutustele kättesaadavad, sealhulgas rahvusvaheliste organisatsioonide ja
Euroopa Komisjoni asjakohased riskihinnangud, raportid ning soovitused, järgides seejuures
andmekaitsenõudeid. Kuivõrd viidatud on andmekaitsenõuetele, mis viitab justkui töödeldaks
siiski ka isikuandmeid, sest miks muidu kõneldakse andmekaitsenõuetest. Seega tekitab segadust,
kas riskihinnangu koostamisel töödeldakse siiski ka isikuandmeid. Kui isikuandmeid ikka
töödeldakse (sh pseudonüümitud kujul), peab selline õigus tulenema selgelt seaduse sättest, seega
palume vajadusel sätet täpsustada.
Eelnõu § 1 p 6 käsitleb kontaktisiku või kontaktisikukandidaadi maine kontrollimist vastavalt § 72
lg-le 2². Seletuskiri täpsustab, et kontrollitakse sh isikuandmeid. Eelnõu § 72 lg 2² sätestab
Rahapesu Andmebüroo õiguse saada erinevat teavet ja andmeid mitmetest allikatest, täpsustamata,
et tegemist on isikuandmetega. Siinkohal on oluline juhtida tähelepanu, et kui jutt käib
isikuandmetest, siis see vajab seaduse tasandil täpsustamist.
Eelnõu § 1 p 10 sõnastus on AKI hinnangul segane. Nimelt viitab nimetatud punkt AvTS-le, mis
on aga tegelikult sisutühi, sest piirang ei tulene AvTS-st, vaid eriseadusest, millisel juhul AvTS ei
kohaldatata (AvTS § 2 lg 2 p 4). AvTS-st saab siin tuleneda ainult piirangu tähtaeg, kui seda ei
soovitata kehtestada erikorra alusel. Märgime, et üldiselt saab asutusesiseseks kasutamiseks
mõeldud teabele kehtestada juurdepääsupiirang viieks aastaks, mille võib asutuse juht pikendada
kuni viie aasta võrra, kui juurdepääsupiirangu kehtestamise põhjus püsib (AvTS § 40 lg 1).
Asutusesiseseks kasutamiseks tunnistatud isikuandmeid sisaldavale teabele kehtib
juurdepääsupiirang selle saamisest või dokumenteerimisest alates 75 aastat või isiku surmast alates
2 (4)
30 aastat, või kui surma ei ole võimalik tuvastada, siis 110 aastat, alates isiku sünnist. Eriseadusega
võib nimetatud korrast kõrvale kalduda ning vajadusel kehtestada pikemat juurdepääsupiirangut
(kehtestada erikord). Seega kui seadusandja sooviks on siiski kehtestada eriseaduses erikorda, ka
piirangu tähtaja osas, siis ei pea üldse AvTS-le viitama. Kui aga peab piirang AvTS-st tulenema,
siis tuleks viidata ka konkreetsele AvTS sättele.
Eelnõus sätestatud juurdepääsupiirangu regulatsioonist ega seletuskirjast ei selgu, kas tegemist on
erikorraga ning kui jah, siis kui pikalt juurdepääsupiirang kehtib. Lähtuvalt RAB-i eesmärgist võib
AKI eeldada, et seadusandja soov on kehtestada eriseadusega juurdepääsupiirangu erikord.
Eelnõu § 1 p 11 osas jääb arusaamatuks, kas keeldumise alused tulenevad IKS-st või AvTS-st. Kui
AvTS-st, siis peab keeldumist ka põhjendama. Kui soovitakse kehtestada mingit (erandit) erikorda,
siis peab see erikord olema täpsemini reguleeritud.
Eelnõu § 1 p 20 sätestab isikuandmete säilitamise tähtajad. Kui teiste andmete liikide
säilitustähtaja pikkus on seletuskirjas ilusti põhistatud, siis strateegilise analüüsi ülesande
täitmiseks kogutud andmete säilitamine tähtaja kohta esitatud põhjendus on liiga lakooniline,
puudub andmete viie aasta vältel säilitamise vajaduse põhjendus. Palume selles osas seletuskirja
täiendada.
Andmekogu logide maksimaalset tähtaega peaks AKI hinnangul samuti sätestama seaduse
tasandil, jättes võimaluse reguleerida logide säilitamise täpsem kord põhimääruses (praeguse
sõnastuse järgi on logide säilitamise tähtaja reguleerimine jäetud täielikus ulatuse
põhimäärususesse).
Eelnõu § 1 p 20 sätestab rahvusvahelise infovahetuse kaudu saadud andmete säilitamise tähtajale
15-aastase piirangu, mis on aga vastuolus AvTS § 40 lg-ga 1¹. Nimelt näeb AvTS § 40 lg 1¹ ette,
et välisriigi või rahvusvahelise organisatsiooni poolt edastatud juurdepääsupiirangu märkega
teabele, mis loetakse asutusesiseseks kasutamiseks mõeldud teabeks, kehtib juurdepääsupiirang
teabe loonud riigi või organisatsiooni määratud tähtaja lõpuni, mis võib teatud juhtudel olla ka
pikem, kui eelnõuga kehtestatav maksimaalne tähtaeg.
2. Märkused loodava § 601 osas (andmesubjekti õiguste piirang)
Eelnõu § 1 p 15 paneb teavet andnud asutustele ja isikutele kohustuse kohaldama isikuandmeid
sisaldavat teavet töödeldes RahaPTS §-s 60¹ sätestatud andmesubjekti õiguste piiranguid.
RahaPTS §-s 60¹ (eelnõu § 1 p 25) näeb ette RAB-il võimaluse seaduses sätestatud ülesannete
täitmiseks piirata andmesubjekti õigusi juhul, kui piiramata jätmine võib takistada või kahjustada
süüteo tõkestamist, avastamist, menetlemist või karistuse täideviimist, kahjustada teise isiku õigusi
ja vabadusi, ohustada avaliku korra kaitset või riigi julgeolekut või takistada rahapesu või
terrorismi rahastamise tõkestamist, ja seda kuni nimetatud aluste äralangemiseni.
Kuivõrd loodava sätte sõnastus ei ole imperatiivne, vaid jätab RAB-i juhile kaalutlusõiguse
otsustamaks andmesubjekti õiguste piiramise üle, siis tekib küsimus, kuidas teavet andvad isikud
saavad andmete edastamise hetkel teada juurdepääsu piirangu aluste esinemisest ja olla seetõttu
kohustatud piiranguid järgima. Seetõttu tuleks täpsustada, kas ja kuidas saab teavet andev isik
teada piirangu seadmisest. Kui sätte mõte on olnud, et teavet andev isik peab igal juhul piirama
andmesubjekti õigust enda andmetega tutvuda, on see aga vastuolus sätte sõnastusega
kavandataval kujul.
Kuivõrd loodava sätte mõte on piirata andmesubjekti õigust saada juurdepääsu enda andmetele
isikuandmete kaitse üldmääruse artikkel 23 tähenduses, siis inspektsiooni hinnangul on hetkel
piirangut kehtestav säte liiga üldine.
3 (4)
Isiku õigus tutvuda enda kohta kogutud andmetega tuleneb IKÜM artiklist 15. Seda õigust saab
artikli 23 kohaselt piirata seadusandliku meetmega, kui selline piirang austab põhiõiguste ja -
vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et
tagada art 23 lõike 1 alapunktides sätestatud eesmärke. IKÜM artikkel 23 lõige 2 täpsustab,
milliseid sätteid peab viidatud seadusandlik meede sisaldama.
Euroopa Kohus on IKÜM art 23 lg-s 1 sätestatud mõiste „seadusandlik meede“ kohta öelnud,
võttes arvesse IKÜM-is, aluslepingutes ja hartas sätestatut, et õigusaktid, mis sisaldavad sellist
riivet lubavat meedet, peavad sätestama selged ja täpsed reeglid, mis reguleerivad kõnealuse
meetme ulatust ja kohaldamist ning kehtestavad miinimumnõuded, millest tulenevalt on
isikutel, kelle isikuandmetega on tegu, piisavad tagatised, mis võimaldavad neid andmeid
kuritarvitamise ohu eest tõhusalt kaitsta. Järelikult peavad kõik IKÜM art 23 alusel võetud
meetmed olema selged ja täpsed, nagu liidu seadusandja on seda ka määruse põhjenduses 41
rõhutanud, ning nende kohaldamine peab olema õigussubjektidele ettenähtav. Eelkõige peab
viimastel olema võimalik kindlaks teha asjaolud ja tingimused, mille esinemisel võib neile
selle määrusega antud õiguste ulatust piirata.1
Eelnevalt esitatud seisukohti on Euroopa Kohus2 täiendanud seonduvalt rahapesu ja terrorismi
rahastamise tõkestamisega järgmiselt.
Mis puudutab nõuet, et põhiõiguste teostamist tohib piirata ainult seadusega, siis see tähendab, et
õigusakt, mis võimaldab nendesse õigustesse sekkuda, peab ise määrama kindlaks, kui
ulatuslikult tohib asjaomase õiguse teostamist piirata, kusjuures tuleb täpsustada, et esiteks ei
välista see nõue seda, et sellist piirangut sisaldav regulatsioon võib olla sõnastatud piisavalt
lahtiselt, et seda saaks kohandada erinevate juhtumite ja muutuvate asjaoludega (p 47). Rahapesu
tõkestamise IV ja V direktiivi alusel teabe kogumine, hoidmine ja kättesaadavaks tegemine peab
täielikult vastama IKÜM-st tulenevatele nõuetele (p 53). Seadusandja eesmärk ‒ rahapesu ja
terrorismi rahastamise tõkestamine ‒ kujutab endast üldist huvi pakkuvat eesmärki, mis võib
põhjendada harta artiklitega 7 ja 8 tunnustatud põhiõiguste riiveid, isegi kui need on rasked (p-d
58 ja 59). Proportsionaalsuse nõude järgimiseks peavad ka riivet sisaldavas õigusaktis olema
sätestatud selged ja täpsed reeglid, mis reguleerivad õigusaktiga ette nähtud meetmete
ulatust ja kohaldamist ning millega on kehtestatud miinimumnõuded, millest tulenevalt on
andmesubjektidel piisavad tagatised, mis võimaldavad tõhusalt kaitsta nende isikuandmeid
kuritarvitamise ohu eest. Täpsemalt peab õigusaktis olema märgitud, millistel asjaoludel ja
tingimustel võib nende andmete töötlemist hõlmava meetme võtta, tagades seeläbi, et riive piirdub
tingimata vajalikuga (p 65).
Ehk siis, kuigi Euroopa Kohus jaatab, et seadusandlik meede, mis sellise piirangu seadmise
võimaluse ette näeb, ei pea olema imperatiivne ja otsustamise võib jätta ka haldusorgani
pädevusse, siis peaks aga seadusandlik meede, mis sellist piirangut võimaldab, andma piisavalt
täpsed ja selged raamid, kuidas piirangut kohaldatakse. Nii nagu Euroopa Kohus on rõhutanud,
peab isikule, kelle õigust tutvuda enda kohta kogutud andmetega piiratakse, olema sellise piirangu
seadmise aluseks olevad kriteeriumid, ulatus ja kehtivus ettenähtavad. AKI hinnangul pakutud
sõnastuses säte nendele nõuetele ei vasta.
Sätte sõnastusest nähtub, et on järgitud hetkel Eesti õiguses kehtivaid sarnaseid andmesubjekti
õiguste piirangute aluseid, kuid tähele tuleb panna, et enamus neist on kehtestatud IKÜM-i
jõustumisel, mil puudus piisav teadmine, kuidas selliseid piiranguid seada. Viidatud kohtuasjad,
kus IKÜM-i nõudeid täpsustatakse pärinevad hilisemast ajast. Seega tuleks kaaluda võimalust
andmesubjekti õigusi piirava sätte sõnastuse täpsustamist, võttes arvesse eelpool viidatud Euroopa
Kohtu lahendites väljendatut.
1 Euroopa Kohtu 24.02.2022 otsuse nr C-175/20 p-d 52‒57 2 Liidetud kohtuasjad nr C-37/20 ja C-601/20
4 (4)
Eelkõige, kui sisuliselt RAB-i juht ei otsusta igakordselt isiku õiguste piiramise üle, vaid teatud
tingimuste esinemisel on tulenevalt muudest rahapesu ja terrorismi tõkestamise regulatsioonidest
tulenevalt kohustatud seda tegema, tuleks kaaluda, kas oleks otstarbekam sõnastadagi säte selliselt,
et teatud tingimuste esinemisel isiku õigus enda andmete tutvumisel on piiratud teatud ajani. Või
alternatiivselt sätestada RahaPTS-s selgemad kriteeriumid, millest lähtuvalt RAB-i juht sellise
otsuse vastu võtta võib. Nii oleks tagatud isikule selgus piirangu ulatusest ja kohaldamisest.
Loodame, et neist selgitustest oli abi.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
Irina Meldjuk
+372 6274108
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Rahapesu ja terrorismi rahastamise tõkestamise seaduse muutmise seadus | 04.04.2025 | 3 | 1.1-10.1/1717-1 | Õigusakti eelnõu | ram | |
| Rahapesu ja terrorismi rahastamise tõkestamise seaduse muutmise seadus | 17.02.2025 | 1 | 1.1-10.1/866-1 | Õigusakti eelnõu | ram | |
| Arvamuse avaldamine eelnõule | 08.11.2024 | 3 | 1.1-10.1/4377-7 | Sissetulev kiri | ram | Riigi Infosüsteemi Amet |
| Vastuskiri | 06.11.2024 | 1 | 1.1-10.1/4377-6 | Sissetulev kiri | ram | Rahapesu Andmebüroo |
| Arvamus eelnõule | 31.10.2024 | 1 | 1.1-10.1/4377-5 | Sissetulev kiri | ram | Eesti Pangaliit MTÜ |
| Rahapesu ja terrorismi rahastamise tõkestamise seaduse ning avaliku teabe seaduse muutmise seadus | 29.10.2024 | 1 | 1.1-10.1/4377-4 | Sissetulev kiri | ram | Registrite ja Infosüsteemide Keskus |
| Rahapesu ja terrorismi rahastamise tõkestamise seaduse ja avaliku teabe seaduse muutmise seaduse eelnõu kooskõlastamine | 24.10.2024 | 1 | 1.1-10.1/4377-3 | Sissetulev kiri | ram | Rahandusministeeriumi Infotehnoloogiakeskus |
| Arvamus eelnõule | 22.10.2024 | 1 | 1.1-10.1/4377-2 🔒 | Sissetulev kiri | ram | Transpordiamet |
| Rahapesu ja terrorismi rahastamise tõkestamise seaduse ning avaliku teabe seaduse muutmise seadus | 02.10.2024 | 21 | 1.1-10.1/4377-1 | Õigusakti eelnõu | ram |