Rahapesu ja terrorismi rahastamise tõkestamise seaduse ning avaliku teabe seaduse muutmise seaduse eelnõu seletuskiri
1. Sissejuhatus
1.1. Sisukokkuvõte
Käesoleva eelnõuga tehakse rahapesu ja terrorismi rahastamise tõkestamise seaduses (edaspidi RahaPTS) muudatused, mis on seotud Rahapesu Andmebüroo (edaspidi RAB) andmekogu andmetöötluse funktsioonide täienemise ja eristamisega. Eelnõu puudutab eelkõige seda, kuidas, mis eesmärgil ja milliseid isikuandmeid töödeldakse
Eelnõuga tehtavad muudatused järgivad rahvusvahelisi rahapesu ja terrorismi rahastamise tõkestamise alaseid soovitusi1 (Financial Action Task Force (FATF) Recommendations) analüüside tõhusama teostamise ja nende tulemuste eesmärgipärase kasutamise osas. Samuti peetakse silmas Euroopa Nõukogu rahapesu ja terrorismi rahastamist tõkestava komisjoni MONEYVAL hindamisraportis antud hinnangut FATF’i nõuete täitmisele ning tehakse muudatused, mille eesmärk on kõrvaldada hindamisraportis viidatud puudusi.
Eeltoodu saavutamiseks sõnastatakse peamise muudatusena ümber Rahapesu Andmebüroo andmekogu eesmärgid, lisatakse andmekategooriate loetelu, erisused andmetöötlusviisides ning andmete säilitamise tähtajad. Samuti reguleeritakse andmesubjekti õiguste piirangud andmetega tutvumisel ning täiendatakse avaliku teabe seadust eesmärgiga piirata juurdepääsu Rahapesu Andmebüroo teabele tegevuse meetodite ja taktika kohta.
Rahapesu ja terrorismi rahastamise tõkestamise süsteemi toimimise tõhustamise eesmärgil tehakse muudatus rahapesu ja terrorismi rahastamise tõkestamise süsteemi ülesehitust reguleerivas sättes, mis käsitleb rahapesu ja terrorismi rahastamise valitsuskomisjoni ja nõuandva funktsiooniga komisjonide moodustamist.
Eelnõuga muudetakse ka RAB-i poolt teostatava haldusjärelevalve protseduure kirjeldavat regulatsiooni. Samuti muudetakse läbipaistvamaks kohustatud isiku kontaktisiku määramisel ja RAB-i poolt väljastatava tegevusloa menetluses toimuva mainekontrolli läbiviimiseks vajalikke tegevusi.
Eelnõu võtab RahaPTS-i üle Euroopa Parlamendi ja Nõukogu direktiivi (EL) 2024/1640, mis käsitleb mehhanisme, mille liikmesriigid peavad kehtestama, et tõkestada finantssüsteemi kasutamist rahapesu ja terrorismi rahastamise eesmärgil, millega muudetakse direktiivi (EL) 2019/1937 ning muudetakse direktiivi (EL) 2015/849 ja tunnistatakse see kehtetuks (ELT L, 2024/1640, 19.06.2024), artikli 74, mis mõnevõrra muudab direktiivi 2015/849 artikli 30 lõike 5 sõnastust. Asjakohastes RahaPTS-i sätetes tehakse täiendus kohustuslikus korras kättesaadavate tegeliku kasu saava omaniku andmete koosseisu osas ja lisatakse sõnatäiendused.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja valmistasid ette Rahandusministeeriumi rahandusteabe poliitika osakonna nõunikud Liina Malm (
[email protected]) ja Henrik Mägi (käesolevaks ajaks teenistussuhe lõppenud). Eelnõu juriidilist kvaliteeti on kontrollinud Rahandusministeeriumi õigusosakonna õigusloome valdkonna juht Virge Aasa (
[email protected], tel 5885 1493) ning eelnõu toimetas Rahandusministeeriumi õigusosakonna keeletoimetaja Sirje Lilover (
[email protected]).
1.3. Märkused
Eelnõuga võetakse üle direktiivi (EL) 2024/1640 artikkel 74. Eelnõuga muudetakse RahaPTS redaktsiooni avaldamismärkega RT I, 21.06.2024, 51 ja avaliku teabe seaduse redaktsiooni avaldamismärkega RT I, 07.03.2023, 11.
Eelnõuga ei muudeta Eesti Vabariigi põhiseaduse (edaspidi PS § 104 lõikes 2 nimetatud Riigikogu koosseisu häälteenamust eeldavaid õigusakte, mistõttu selle seadusena vastuvõtmiseks on vajalik lihthäälteenamus.
2. Seaduse eesmärk
Riigikantselei riskihinnangus, kus käsitletakse riigikaitselisi, riigi julgeoleku ja avaliku korra vastu suunatud ohtusid, on ära toodud olulise ohuna ka rahapesu.2 Rahapesu kanaleid võidakse kasutada terrorismi rahastamiseks, Eesti riigi, EL-i ja NATO liikmesriikide vastases õõnestustegevuse, ebaseadusliku relvatööstuse ja sõjategevuse finantseerimiseks ning EL-i ja ÜRO sanktsioonidest kõrvale hoidmiseks.
Eestile on oluline kõrgel tasemel rahapesu ja terrorismi tõkestamise suutlikkus. Eesti digiriigina soovib arendada innovaatilisi ja digitaalseid teenuseid, mida kasutavad ka mitteresidendid. Avatud digiühiskonna ja rahvusvahelistumise seisukohast lähtuvalt aga peame arvestama ka riskidega, mis võivad kaasneda rahapesu ja terrorismi rahastamise näol. Selleks tuleb aegsasti tuvastada mustreid ja trende, et teha järeldusi rahapesu ja terrorismi rahastamise strateegiliseks tõkestamiseks ning anda sisendit operatiivsete prioriteetide seadmisse ning valdkonna poliitika kujundamisse.
Avaliku sektori digitaalse võimekuse kasv loob eeldused ka rahapesu ja terrorismi rahastamise vastase võitluse tõhustamiseks, et säilitada usaldus riigi finantssüsteemi vastu ja tagada selle stabiilsus. See on seotud valdkondliku arengukava „Eesti digiühiskond 2030“ elluviimisega. Programmis „Siseturvalisuse 2024-2027“ on antud näitajate pinnalt tõstatatud küsimus, kas kasutusel olev kuritegevuse vähendamise mehhanism koos kriminaaltulu tuvastamisega on piisavalt tõhus. Programmi „Siseturvalisuse 2024-2027“ üheks eesmärgiks on vähendada rasket ja peitkuritegevust, mille üheks vormiks on rahapesu.
Eeltoodut silmas pidades on ka rahapesu ja terrorismi rahastamise tõkestamise tõhustamisel võtmetähtsusega uudsete infotehnoloogiliste lahenduste väljatöötamine ja kasutusele võtmine, kuid ka uute infotehnoloogiate kasutamise teel saadud analüüsitulemuste sihipärane kasutamine. Infotehnoloogiliste lahenduste olulisust rõhutavad FATF-i soovitused, mille kohaselt peab rahapesu andmebürood julgustama kasutama analüütilist tarkvara, mis aitab kaasa võimalikult otstarbekale andmetöötlusele, tuvastamaks tõepärast riskipilti ning kiirendamaks reaktsiooni kuritegelikule käitumisele.
Rahapesu Andmebüroo andmekogus strateegilise analüüsi funktsionaalsuse väljaarendamisel tekib võimekus süsteemselt ja õigeaegselt hinnata rahapesu ja terrorismi rahastamise riske ning suunata seotud asutuste ja kohustatud isikute tegevusi riskide maandamisel analüütiliselt ja teadmiste põhiselt. Selle tulemusel paraneb finantskuritegude ja sellega seotud kuritegevuse pärssimise võimekus järelevalvetegevuste ning eesmärgipäraste menetluste kaudu. Siinjuures on seadusandja ülesanne tagada, et oleks reguleeritud millisel viisil, tingimustel ja eesmärgil toimub andmetöötlus ning kellel ja millisel alusel on juurdepääs andmetele ning nende töötlemise õigus.
Seega on käesoleva eelnõu peamine eesmärk kehtestada selged alused, mis võimaldavad RAB-il andmete analüüsi funktsiooni tõhustamise kaudu tõsta oma seadusest tulenevate ülesannete täimise efektiivsust ja seeläbi kogu riigi rahapesu ja terrorismi rahastamise tõkestamise süsteemi efektiivsust. Asjakohase regulatsiooni väljatöötamisel peetakse silmas, et taotletav eesmärk ei riivaks ebaproportsionaalselt isikute põhiõigusi ning et isikuandmete töötlemise käigus oleks kasutusel kõik meetmed, mis aitavad välistada üleliigset andmetöötlust, ja tagada selle läbipaistvus vajalikus ja võimalikus ulatuses.
Eelnõule ei ole koostatud väljatöötamiskavatsust Vabariigi Valitsuse 22. detsembri 2011. a määruse nr 180 „Hea õigusloome ja normitehnika eeskiri“ § 1 lõike 2 punkti 1 alusel – eelnõu menetlus peab olema põhjendatult kiireloomuline. Eelnõuga kavandatud peamiste muudatuste eesmärk – RAB-i strateegilise analüüsi funktsiooni tõhustamine on kooskõlas rahvusvaheliste standarditega. Selleks on pärast seadusmuudatuste jõustumist vajalik infotehnoloogiline väljaarendus, mille kulu on plaanis katta Euroopa Liidu taastefondist strateegilise analüüsi funktsiooni süsteemi arendamiseks planeeritud vahenditest. Vajalikud seadusmuudatused peavad järgima ajalist raami, mis on arendamiseks planeeritud vahendite kasutamise tingimuseks. Lisaks võetakse eelnõuga üle direktiivi (EL) 2024/1640 artikkel 74 ning tulenevalt § 1 lõike 2 punktist 2 ei nõua see samuti väljatöötamiskavatsuse koostamist.
3. Eelnõu sisu ja võrdlev analüüs
§ 1. Rahapesu ja terrorismi rahastamise tõkestamise seaduse muutmine
Paragrahvi 1 punkt 1 – RahaPTS § 12 lõige 2 kirjeldab rahapesu ja terrorismi rahastamise tõkestamise komisjoni koosseisu. RAB-i strateegiline analüüs on oluline sisend riikliku rahapesu ja terrorismi rahastamise riskipildi tekkeks. Riskipildi teket mõjutab ka riikliku riskihinnangu koostamine, kuhu on kaasatud kõik teemaga kokku puutuvad asutused ja mille koostamist koordineerib valitsuskomisjon. Rahapesu ja terrorismi rahastamise riskide juhtimise kõrgemale tasemele viimiseks on vaja muuta valitsuskomisjoni töökorraldust. Tulenevalt nimetatud vajadusest kehtestatakse rahapesu ja terrorismi rahastamise tõkestamise komisjoni täpne koosseis edaspidi Vabariigi Valitsuse määrusega, milles lähtutakse komisjoni koosseisu määramisel selle tööefektiivsuse tagamisest. Seega tunnistatakse RahaPTS § 12 lõige 2 kui komisjoni koosseisu määrav sõnastus kehtetuks.
Paragrahvi 1 punkt 2 –RahaPTS § 12 lõige 3 sätestab võimaluse luua rahapesu ja terrorismi rahastamise tõkestamise komisjoni juurde kohustatud isikute esindajate komisjon (edaspidi turuosaliste nõukoda), kellel on valitsuskomisjoni juures nõuandev funktsioon ning kelle eesmärk on tõsta ettevõtjate teadlikkust ja anda neile kaasarääkimise võimalus neid puudutavate rahapesu ja terrorismi tõkestamisega seotud õigusaktide väljatöötamisel. Kuivõrd valitsuskomisjoni tagasiside vajadus ülesannete täitmisel võib ajas muutuda, siis on normi kehtiv sõnastus, mis piiritleb komisjoni koosseisu kohustatud isikute esindajatega, liialt kitsendav. Uue sõnastusega laiendatakse komisjonide moodustamise võimalusi ning nähakse ette, et rahapesu ja terrorismi rahastamise tõkestamise komisjoni juurde võib luua komisjone, kelle eesmärk on valitsuskomisjonile tema ülesannete täitmisega seoses nõu anda. Komisjonide moodustamisel on jätkuvalt kesksel kohal eesmärk tõsta ettevõtjate teadlikkust ja anda neile kaasarääkimise võimalus, kuid laiem alus liikmete määramiseks annab lisaks võimaluse moodustada komisjoni, mis peab silmas aktuaalseid eesmärke ja vajadusi. Komisjonide ning ajutise ja alalise töörühma töökorra ja ülesanded kehtestab ning liikmed määrab valdkonna eest vastutav minister käskkirjaga.
Paragrahvi 1 punkt 3 – Seaduse alusel kehtestatav valitsuskomisjoni töökord ega muu RahaPTS §-s 12 valitsuskomisjoni tegevuse kohta sätestatu ei reguleeri riikliku riskihinnangu läbiviimise eesmärgil teabe kogumist ning jagamist. Ka Euroopa komisjoni ekspertide Tomasso Di Ruzza ja Klaudijo Stroligo poolt 2022. aastal koostatud Eesti rahapesuvastase võitluse tugevdamise tehnilises dokumendis „Legal Review and Recommendations for Specific Amendments to the Legal Framework related to the Strategic Analysis Function of the Estonian Financial Intelligence Unit”3 tuuakse välja, et kehtivas RahaPTS-is puudub selge alus, mis reguleeriks rahapesu ja terrorismi rahastamise tõkestamise valitsuskomisjoni ja selle juurde kuuluvate riikliku riskihinnangu läbiviimiseks moodustatavate töörühmade õigust koguda ning jagada riikliku riskihinnangu koostamiseks vajalikku infot.
Riiklik riskihinnang baseerub kvantitatiivsetele ja kvalitatiivsetele andmetele ning selle koostamiseks puudub vajadus isikuandmete töötlemiseks4, mistõttu seaduses sellist õigust rahapesu ja terrorismi rahastamise tõkestamise valitsuskomisjonile ja riikliku riskihinnangu läbiviimiseks moodustatavatele töörühmadele ei anta. Andmete töötlemise õiguse reguleerimisel võetakse aluseks RahaPTS § 11 lõige 2, milles on nimetatud riikliku riskihinnangu koostamiseks vajalike kvantitatiivsete ja kvalitatiivsete andmete loetelu. Seadust täiendatakse RahaPTS § 12 lõikega 31, millega nähakse ette, et riikliku riskihinnangu koostamiseks on rahapesu ja terrorismi rahastamise tõkestamise komisjonil ja käesoleva paragrahvi lõike 3 alusel moodustataval riikliku riskihinnangu koostamises osaleval töörühmal õigus töödelda asjakohast teavet, statistikat ja analüüse, mis on ministeeriumidele või nende valitsemisala asutustele kättesaadavad, sealhulgas rahvusvaheliste organisatsioonide ja Euroopa Komisjoni asjakohaseid riskihinnangud, raporteid ning soovitusi.
Paragrahvi 1 punkt 4 – RahaPTS § 12 lõige 4 sätestab, et rahapesu ja terrorismi rahastamise tõkestamise komisjoni liikmete arvu ning töökorra kehtestab Vabariigi Valitsus määrusega. Sätte muutmisvajadus on tingitud asjaolust, et käesoleva eelnõu paragrahvi 1 punktis 1 tunnistatakse kehtetuks RahaPTS § 12 lõige 2, milles oli ära toodud valitsuskomisjoni täpne koosseis, seega muudetakse RahaPTS § 12 lõiget 4 selliselt, et rahapesu ja terrorismi rahastamise tõkestamise komisjoni koosseis ning töökord kehtestatakse edaspidi Vabariigi Valitsuse määrusega. Uus sõnastus järgib täpsemalt ka Vabariigi Valitsuse seaduse § 21 lõike 1 sõnastust, mille kohaselt on Vabariigi Valitsuse pädevuses määrata mitte ainult valitsuskomisjoni liikmete arvu, vaid ka valitsuskomisjoni liikmeid.
Paragrahvi 1 punkt 5 – RahaPTS § 17 lõiget 5 täiendatakse ja tehakse viide sama paragrahvi lõikele 6, mis avab senisest paremini isiku laitmatu maine mõiste. Laitmatu maine olemasolu välistab olukord, kui RAB-i poolt teostatud kontrolli tulemusel selgub, et isiku usaldusväärsus on tema varasema tegevuse või tegevusetuse tõttu kahtluse all (RahaPTS § 17 lg 6).
Paragrahvi 1 punkt 6 – RahaPTS § 17 lõikes 6 täpsustatakse kontaktisiku või kontaktisikukandidaadi sobivuse kontrolltegevusi ning lisatakse õigus kontrollida isiku mainet RahaPTS § 72 lõikes 22 sätestatud viisil. Maine kontrolli vajadust üleüldisemalt on varasemalt põhjendatud FATF-i tüpoloogiaraportites, milles tuuakse välja kuritegelike ühenduste katsed proovida finantsasutustesse tööle saata oma inimesi, et nende abil raha pesta ning vajalikku informatsiooni hankida. Sealjuures on rõhutatud, et krediidi- ja finantseerimisasutute poolt määratud kontaktisikud omavad oma ülesannete täitmisel juurdepääsu äri- ja pangasaladusele ning läbi RAB-i täiendava informatsiooni esitamiseks kohustavate ettekirjutuste juurdepääsu ka informatsioonile, kelle tehinguid ning millises ulatuses rahapesu andmebüroo parasjagu kontrollib.
Laitmatu maine kontrollimise viisi täpsustamine annab kontaktisikukandidaadile ühtlasi ka parema selguse tegevustest, mida tema maine hindamiseks tehakse ning tagab läbipaistvuse maine hindamiseks töödeldavatest andmetest, sealhulgas isikuandmetest.
Paragrahvi 1 punkt 7 – RahaPTS § 49 lõiget 7 muudetakse ja täpsustatakse, et Rahapesu Andmebüroo annab kohustatud isikutele tagasisidet rahapesu ja terrorismi rahastamise või sellega seotud kuriteo kahtlusega tehingu tunnuste kohta. Euroopa komisjoni ekspertide Tomasso Di Ruzza ja Klaudijo Stroligo poolt 2022. aastal koostatud Eesti rahapesuvastase võitluse tugevdamise tehnilises dokumendis „Legal Review and Recommendations for Specific Amendments to the Legal Framework related to the Strategic Analysis Function of the Estonian Financial Intelligence Unit”5 juhiti tähelepanu puudustele, mis seonduvad RAB-i poolt teostatava strateegilise analüüsi tulemusel saadud info eesmärgipärase jagamisega. Tehnilises dokumendis leiti, et seadus peaks kohustama RAB-i jagama teavet ka rahapesu ja terrorismi rahastamisega seotud kuriteo kahtlusega tehingu tunnuste kohta, mille osas ootab RAB kohustatud isikutelt asjakohast ja õigeaegset teavitamist.
Seega tagab tehtav täiendus RAB-i õigust anda kohustatud isikutele tagasisidet ka rahapesu ja terrorismi rahastamise või sellega seotud kuriteo kahtlusega tehingu tunnuste kohta, juhtides tähelepanu tüpoloogiate ja riskiindikaatoritele ning avaldades juhendmaterjale.
Paragrahvi 1 punkt 8 – kehtiva RahaPTS § 54 lõike 1 punkt 2 sätestab Rahapesu Andmebüroo ülesandena strateegilise analüüsi, mis käsitleb rahapesu ja terrorismi rahastamise riske, ohte, suundumusi, mustreid ning toimimisviise. Viidatud sõnastus toob välja üksnes strateegilise analüüsi eesmärgi ega kata eesmärgi saavutamise metoodikat.
Rahvusvaheliste rahapesu ja terrorismi rahastamise tõkestamise standardites (FATF’i soovitus 29) tuuakse esile strateegilise analüüsi teostamiseks toimuva süstematiseeritud andmetöötluse olulisust. Strateegilise analüüsi teostamisel ehk rikkumiste trendide ja mustrite uurimiseks on RAB-il õigus pärida ja saada kõigi eriliiki analüüside tegemiseks vajalikke andmeid ja teavet, sealhulgas andmeid ja teavet välisriikide rahapesu andmebüroodelt, eesmärgiga võidelda tõhusalt rahapesu ja terrorismi rahastamise vastu.
Eeltoodust tulenevalt täpsustatakse RahaPTS §-s 54 lõike 1 punkti 2 ja tuuakse välja FATF’i soovituses esile toodud andmetöötluse elemendid. RahaPTS §-s 54 lõike 1 punktis 2 sätestatakse, et strateegiline analüüs käsitleb rahapesu ja terrorismi rahastamise riske, ohte, suundumusi, mustreid ning toimimisviise, kasutades selleks olemasolevat ja kogutavat teavet, sealhulgas andmeid teistelt asutustelt ning päringute teel saadavaid andmed riigi, kohaliku omavalitsuse või avalik-õigusliku isiku andmekogust. Täiendusega tagatakse strateegilise analüüsi kui protsessi selgus ja läbipaistvus ning kooskõla rahvusvaheliste standarditega.
Paragrahvi 1 punkt 9 – Kehtiv RahaPTS § 54 lõike 1 punkti 5 kohaselt on RAB-i ülesandeks rahapesu ja terrorismi rahastamise tõkestamise ja tuvastamise alane avalikkuse teavitamine ning koondülevaate koostamine ja avaldamine vähemalt üks kord aastas. Kuivõrd käesoleva eelnõu seadusena jõustumisel paraneb RAB-i võimekus strateegilise analüüsi teostamisel, siis on RAB-il võimalik anda nii kohustatud isikutele, kuid ka avalikkusele rohkem teavet, mis puudutab rahapesu ja terrorismi ohtusid, riske, suundumusi, mustreid ja toimimisviise. Teisisõnu on RAB-il võimalus teha tõhusamat teavitustööd, tagades seeläbi rahapesu või terrorismi rahastamise või sellega seotud kuritegude või kuritegude tulemusena saadud raha kasutamise kergema äratundmise.
Sellest tulenevalt täpsustatakse RAB-i ülesannet kohustatud isikute ja avalikkuse teavitamisel ning teavitamise esemeks olevaid elemente. RahaPTS § 54 lõike 1 punkt 5 sõnastatakse selliselt, et RAB-i ülesandeks on rahapesu ja terrorismi rahastamise tõkestamise ja tuvastamise alane teavitamine, mis hõlmab regulaarset kohustatud isikute ja vajadusel avalikkuse teavitamist rahapesu ja terrorismi rahastamise riskidest, ohtudest, suundumustest, mustritest ja toimimisviisidest ning oma tegevuse kohta koondülevaate koostamist ja avaldamist vähemalt üks kord aastas. Sätte uus sõnastus rõhutab olulise osana teavitamise regulaarsust ja senisest detailsemalt strateegilise analüüsi tulemusel saadavat teavet, mille jagamine nii kohustatud isikute kui ka avalikkusega aitab lõppeesmärgina kaasa tõhusamale rahapesu ja terrorismi rahastamise tõkestamisele.
Paragrahvi 1 punkt 10 – kehtiva seaduse § 55 lõike 3 senine sõnastus võimaldas järeldada, et isikul, kelle tehingu peatamiseks või konto või muu vara kasutamise piiramiseks ettekirjutus tehti, on üldreegli kohaselt õigus tutvuda ettekirjutuse faktilisi asjaolusid kajastava dokumendiga. Normi sõnastust täpsustatakse ning tuuakse välja, et ettekirjutuse tegemist põhistavaid faktilisi asjaolusid kajastav dokument (edaspidi ettekirjutust põhistav dokument) ning selle aluseks olev teave, andmed ja dokumendid on üldreegli kohaselt konfidentsiaalsed ning ka andmesubjektile endale on viidatud andmetele juurdepääs täielikult või osaliselt piiratud. Isik, kelle tehingu peatamiseks või konto või muu vara käsutamise piiramiseks ettekirjutus tehti, on Rahapesu Andmebüroole taotluse esitamisel õigus tutvuda ettekirjutust põhistava dokumendiga tingimusel, et ei esine seda välistavaid asjaolusid, mille loetelu jääb kehtima senisel kujul.
Rahapesu ja terrorismi rahastamise tõkestamise eesmärkide täitmise tagamiseks on vältimatult vajalik varjata puudutatud isiku eest RAB-i poolt tuvastatud infot ning on oluline, et ligipääs sellistele andmetele oleks piiratud. Erandid tuleb sätestada ühemõtteliselt normides. RAB-i poolt tehtud ettekirjutuse faktilisi asjaolusid kajastav dokument sisaldab kahtlustuse sisu ja põhjendusi ning seega nendest teadasaamine enne kriminaalmenetluse algust mõjutab negatiivselt menetluse kulgu või teeb kriminaalmenetluse alustamise hoopis võimatuks. Seda probleemi on käsitletud ka Eesti kohta käivas MONEYVAL’i raportis, kus on rõhutatud andmete konfidentsiaalsuse tagamise olulisust ka andmesubjekti ees. Samuti sisaldab ettekirjutuse faktilisi asjaolusid kajastav dokument andmeid teate esitaja kohta, milline asjaolu peab käesoleva seaduse § 521 kohaselt jääma konfidentsiaalseks, kuivõrd vastupidine praktika võib heidutada kohustatud isikuid rahapesu ja terrorismi rahastamise kahtluse teateid esitamast. Täiendavalt töötleb RAB infot, mis on saadud infovahetuse korras välisriikide asutustelt. Sellist informatsiooni peab rahvusvaheliste lepingute, standartide ning Euroopa Liidu direktiivides sätestatud kohustuste kohaselt kaitsema konfidentsiaalsena ning sellise info avaldamine kolmandatele osapoolsetele vastava välisriigi vastava asutuse loata ei ole lubatav. RAB-i ettekirjutuse faktilistes asjaoludes toodud analüüsi põhjal saab isik teha järeldusi selle kohta, millise teabe alusel on loetud rahapesukahtlus piisavaks, samuti võimaldab selles toodud info saada aimu RAB-i menetlustaktika ja meetodite kohta, mis võivad anda kurjategijatele infot kuritegude tuvastamise vältimise võimaluste kohta.
FATF-i soovituse6 29 tõlgendava märkuse kohaselt on rahapesu andmebüroo osa riigi rahapesu ja terrorismi rahastamise tõkestamise operatiivvõrgustikust ja tal on keskne roll, abistades teiste asjakohaste asutuste tööd. Esmajoones kogub ja edastab rahapesu andmebüroo andmeid just nimetatud rolli täitmiseks. Rahapesu Andmebüroo peab informatsiooni vahetamisel lähtuma FATF-i soovituse 29 tõlgendava märkuse kohaselt ka Egmont Group´i vastavatest juhistest. Näiteks teevad Egmont Groupi Harta punkti 3.1 A7 kohaselt kõik Egmont Groupi liikmed laialdast koostööd, lähtudes muu hulgas põhimõttest, et informatsiooni tuleb hoida konfidentsiaalsena (punkt 3). Konfidentsiaalsuse all on silmas peetud, et isik, kelle suhtes tehakse analüüsi, ei tohi sellest teada, kui see võib ohustada kriminaalmenetluse läbiviimist ja selle eesmärkide saavutamist. Nende põhimõtete järgimata jätmine võib oluliselt piirata RAB-i võimalusi saada välisriikide asutustelt tööks vajalikku informatsiooni. Tegemist oleks olulise takistusega RAB-i põhiülesannete täitmisel, kuna rahapesu ja terrorismi rahastamise juhtumid on suures osas piiriülesed.
Paragrahvi 1 punkt 11 – RahaPTS § 55 täiendatakse lõikega 31, mille kohaselt avaldatakse ettekirjutust põhistava dokumendiga tutvumisest täielikul või osalisel keeldumisel teabe taotlejale keeldumise õiguslikud alused. Säte täiendab RahaPTS § 55 lõiget 3 ning sätestab RAB-i kohustuse juhuks, kui RAB keeldub ettekirjutust põhistava dokumendiga tutvumise võimaldamisest osaliselt või täielikult. Sellisel juhul on RAB kohustatud teabe taotlejale avaldama vähemalt keeldumise õigusliku aluse või alused, kui neid on mitu, kuid sisulisi põhjendusi ei avaldata.
Paragrahvi 1 punkt 12 – RahaPTS § 58 lõiget 1 täpsustakse ja sõnastatakse selliselt, et Rahapesu Andmebürool on järelevalveasutustelt ning teistelt riigi ja kohaliku omavalitsuse asutustelt teabe saamise õigus, mis hõlmab ka isikuandmeid ning vajadusel eriliiki isikuandmeid. Euroopa Parlamendi ja Nõukogu määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 6 lõike 1 punkti e kohaselt on isikuandmete töötlemine seaduslik, kui isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Direktiivi (EL) 2015/849 artikli 43 kohaselt kõnealuse direktiivi alusel toimuvat isikuandmete töötlemist rahapesu ja terrorismi rahastamise tõkestamise eesmärgil, nagu on osutatud direktiivi artiklis 1, tuleb käsitada avaliku huvi küsimusena direktiivi 95/46/EÜ mõistes.
Määruse (EL) 2016/679 artikli 9 lg 2 punkti g alusel on eriliiki isikuandmete töötlemine lubatud, kui töötlemine on vajalik olulise avaliku huviga seotud põhjustel liidu või liikmesriigi õiguse alusel ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ja on tagatud sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks. RAB vajab oma RahaPTS § 54 lõike 1 punktis 1 nimetatud ülesande täitmiseks teadete analüüsimisel andmeid ka isikute rahvuse kohta. RahaPTS § 37 nimetab geograafilist riski kui ühte suuremat rahapesu ja terrorismi rahastamise riski iseloomustavat asjaolu. Kõnealuse sätte lõike 4 kohaselt arvestatakse suuremale riskile viitavate asjaolude hindamisel geograafilist riski suurendava asjaoluna eeskätt olukorda, kus klient, tehingus osalev isik või tehing ise on seotud riigiga või jurisdiktsiooniga: 1) kus usaldusväärsete allikate, nagu vastastikuste hindamiste, üksikasjaliku hindamise aruannete või avaldatud järelaruannete kohaselt ei ole kehtestatud rahapesu ja terrorismi rahastamise tõkestamise tõhusaid süsteeme; 2) kus usaldusväärsete allikate kohaselt on korruptsiooni või muu kuritegeliku tegevuse tase märkimisväärne; 3) mille suhtes on kehtestatud sanktsioonid, embargo või nendega sarnased meetmed, näiteks Euroopa Liidu või ÜRO poolt; 4) mis rahastab või toetab terrorismi või mille territooriumil tegutsevad Euroopa Liidu või ÜRO poolt kindlaks määratud terroristlikud organisatsioonid. Füüsiliste isikute puhul on seotust võimalik defineerida päritoluriigi, kodakondsuse, maksuresidentsuse ja alalise elukoha kaudu. Igal eelnimetatud elemendil võib geograafilise riski määratlemisel olla erinev kaal. Näiteks võiks isik olla sündinud Süürias, kuid kolinud hiljem Rootsi, kus on saanud kodakondsuse. Seejärel on ta ostnud maja Norrasse, kus on tema üks elukoht, kuid tema harilik elukoht on hoopis Singapuris, kuna ta viibib seal igal aastal üle poole aasta. Võimalik on ka olukord, kus isik on sündinud näiteks Soomes, kuid kolinud hiljem Rootsi ning saanud seal ka kodakondsuse. Seejärel on ta aga ostnud Monacos maja, kus ta on ka maksuresident, kuid igal aastal elab ta üle poole aastast Kongo Vabariigis. Näidetes toodud riikide korruptsiooniindeks, terrorismioht, maksukeskkond jne võivad olla väga erinevad ning samuti on erinevad isikute riskiprofiilid, kuigi isikutel on sama kodakondsus. Seega ei piisa ainult kodakondsuse andmete kontrollimisest ning isikust tuleneva riski täpseks hindamiseks on vajadus töödelda ka tema eriliigilisi isikuandmeid.
Iseseisva lausega eraldatakse lõikes 1 ettekirjutuse alusel andmete küsimine ning tuuakse välja, et käesoleva seaduse § 54 lõike 1 punktides 1, 2, 4 ning punktides 6, 8 ja 9 tulenevate ülesannete täitmiseks on RAB-il kohustatud ja kolmandatelt isikutelt õigus saada andmeid, sealhulgas isikuandmeid ja eriliiki isikuandmeid, vaid ettekirjutuse alusel. Ettekirjutuse alusel saadavate andmete töötlemine on piiritletud vastavalt töötlemise eesmärkidele RAB-i konkreetsete ülesannetega, kuna ettekirjutuse alusel andmete küsimine ei ole põhjendatud näiteks eesmärgiga täita RAB-i koolitusfunktsiooni (RahaPTS § 54 lg 1 p 7).
Isikuandmete töötlemine nende kogumise teel riivab eelkõige õigust perekonna- ja eraelu puutumatusele (PS § 26) ning õigust vabale eneseteostusele (PS § 19). Päritavad ja saadavad andmed lähtuvad konkreetsest juhust ning RAB-i poolt andmete kogumisel puudub isikul õigus ise otsustada, kas ja kui palju andmeid tema kohta kogutakse ning sellest tulenevalt, kui suurel määral tema pere- ja eraellu sekkutakse.
Kuivõrd RAB-i tuumfunktsioon on rahapesu ja terrorismi rahastamise tõkestamine, ei ole kuritegude avastamine ja tõkestamine võimalik ilma kuriteoga seotud isikute ja tehingute andmeteta. Samuti ei ole RAB-il seostatavate andmete puudumisel võimalik efektiivselt analüüsida võimalikke rahapesu ja terrorismi rahastamise juhtumeid, veenduda turuosaliste tegevuse seaduspärasuses ega kujundada tõepärast riskipilti. Eeltoodut arvesse võttes tuleb andmete, sealhulgas isikuandmete kogumist pidada sobivaks abinõuks eesmärgi saavutamiseks.
Andmete kogumine on vajalik, kuivõrd selle peamine eesmärk on avastada rahapesu ja terrorismi rahastamisele viitavaid asjaolusid ja mustreid, ennetamaks ja tõkestamaks rahapesu ja terrorismi rahastamise kuritegusid.
RAB lähtub isikuandmete kogumisel oma seadusest tulenevatest ülesannetest ning kogutakse vaid neid isikuandmeid, mis on kindla ülesande täitmiseks vältimatult vajalikud. Kuivõrd RAB-i ülesandeid ei ole võimalik täita isikuandmeid töötlemata, sealhulgas neid kogumata, on isikuandmete töötlus osa tegevustest, mis aitavad tagada riigi julgeolekut, avalikku korda ning turvalist majandus- ja finantskeskkonda, ning see ei ole asendatav ühegi teise abinõuga. Seega on põhiõiguste riive proportsionaalne saavutatava eesmärgiga.
Paragrahvi 1 punkt 13 – RahaPTS-i täiendatakse § 58 lõikega 12, mille kohaselt on RAB-il õigus RahaPTS § 54 lõike 1 punktides 1, 2, 6, 8 ja 9 nimetatud ülesannete täitmiseks saada jälitustoimingutega ja salajase koostöö abil kogutud andmeid, enda määratud tähtajaks kõigilt jälitusasutustelt õigusaktidega sätestatud korras. Kehtiv seadus täpsustab RAB-i õigust jälitusasutustelt teabe kogumiseks ning tagab jälitusasutustelt saadud teabe kasutuseesmärkide läbipaistvuse. RAB õigused teabele juurdepääsuks on piiritletud juhtumipõhise ja strateegilise analüüsi teostamisega, koostööga kohustatud isikute, pädevate järelevalveasutuste ja uurimisasutustega rahapesu ja terrorismi rahastamise tõkestamiseks, välissuhtlemise ja teabevahetuse korraldamisega vastavalt RahaPTS §-le 63 ning rahvusvahelise sanktsiooni seadusest tulenevate ülesannete täitmisega. Välistatud on teabe kasutamine RAB-i teiste seadusest tulenevate ülesannete, näiteks järelevalve, koolitamistegevus või avalikkuse teavitamine täitmiseks.
Paragrahvi 1 punkt 14 – kuna RahaPTS § 58 lõike 3 regulatsioon jälitustoimingute ja salajase koostöö abil andmete kogumise kohta on edaspidi sätte loogilise järjestuse ja terviklikkuse huvides sätestatud uues sõnastuses § 58 lõikes 12, tunnistatakse RahaPTS § 58 lõige 3 kehtetuks.
Paragrahvi 1 punkt 15 – paragrahvi 58 täiendatakse lõikega 31, mille kohaselt sama paragrahvi lõigete 1–12 ning RahaPTS § 59 alusel RAB-ile teavet andnud asutus ja isik peab kohaldama isikuandmeid sisaldavat teavet töödeldes RahaPTS § 601 sätestatud andmesubjekti õiguste piiranguid. RAB-ile teavet esitanud asutusel või isikul ei ole lubatud vastava teabe või andmete nõudmist ja selle sisu ning teavet andud asutuse või isiku vastust andmesubjektile tema pöördumisel avaldada, kui see võib takistada või kahjustada süüteo tõkestamist, avastamist, menetlemist või karistuse täideviimist; kahjustada teise isiku õigusi ja vabadusi; ohustada avaliku korra kaitset või riigi julgeolekut; takistada rahapesu või terrorismi rahastamise tõkestamist. Ebapiisav oleks regulatsioon, mille kohaselt oleks piirangute kohaldamise õigus vaid RAB-il, kuid mitte RAB-i ülesannete täitmiseks teavet andnud isikule või asutusele. Selliselt säiliks jätkuv oht RAB-i seadusest tulenevate ülesannete edukale täitmisele ja eesmärkide saavutamisele, mistõttu on täienduse eesmärgiks tagada andmesubjekti õiguste piiramine teavet andnud asutuse või isiku poolt samal tasemel nagu teeb seda RAB.
Paragrahvi 1 punkt 16 – seadust täiendatakse §-ga 581, mille esimese lõike kohaselt on Rahapesu Andmebürool käesolevas seaduses sätestatud ülesannete, samuti välislepingust või Euroopa Liidu õigusaktist tulenevate ülesannete täitmiseks, õigus töödelda isikuandmeid, sealhulgas eriliiki isikuandmeid ning üldsusele suunatud või avalikest allikatest kättesaadavaid isikuandmeid. Sellega sätestatakse RAB-i poolt teostatava andmetöötluse eesmärgid ja töödeldavate andmete ulatus.
Paragrahvi 581 lõikes 2 sätestatakse RAB-i kohustus järgida isikuandmete töötlemisel isikuandmete kaitse seadust ja Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679. Reguleeritakse RAB-i kohustus kasutada ja rakendada isikuandmete kaitseks organisatsioonilisi ja tehnilisi turvameetmeid, et isikuandmete kaitse seaduse § 43 kohaselt 1) keelata volitamata isikute juurdepääs isikuandmete töötlemiseks kasutatavatele andmetöötlusseadmetele;
2) ära hoida andmekandjate omavoliline lugemine, kopeerimine, muutmine ja kõrvaldamine; 3) ära hoida isikuandmete omavoliline sisestamine ja säilitatavate isikuandmetega tutvumine, nende muutmine või kustutamine;
4) ära hoida andmetöötlussüsteemi kasutamine andmesidevahendite abil volitamata isikute poolt;
5) tagada juurdepääs automatiseeritud andmetöötlussüsteemi kasutamise luba omavale kasutajale üksnes nendele isikuandmetele, mida hõlmab tema juurdepääsuluba;
6) tagada võimalus tõendada ja kindlaks määrata, millistele asutustele on isikuandmeid andmesidevahendite kaudu edastatud või kättesaadavaks tehtud ja millistele asutustele võib neid edastada või kättesaadavaks teha;
7) tagada võimalus tõendada ja kindlaks teha, milliseid isikuandmeid on automatiseeritud andmetöötlussüsteemi sisestatud ning millal ja kes need on sisestanud;
8) ära hoida isikuandmete loata lugemine, kopeerimine, muutmine või kustutamine isikuandmete edastamise või andmekandjate vedamise ajal;
9) tagada võimalus paigaldatud andmetöötlussüsteeme katkestuse korral taastada;
10) tagada andmetöötlussüsteemi toimimine ja selle ilmnevatest toimimisvigadest teavitamine; 11) ära hoida isikuandmete moonutamine süsteemirikete tagajärjel.
Määruse (EL) 2016/679 artiklile 32 tuginedes on RAB kohustatud võtma meetmeid selleks, et tagada, et tema volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, töötlevad isikuandmeid ainult RAB-i juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab. Viidatud artiklit 32 arvesse võttes peab RAB vajaliku turvalisuse taseme hindamisel võtma arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu ning tehniliste või korralduslike meetmetena kasutama vastavalt vajadusele
a) isikuandmete pseudonüümimist ja krüpteerimist;
b) isikuandmeid töötlevate süsteemide ja teenuste kestva konfidentsiaalsuse, tervikluse, kättesaadavuse ja vastupidavuse;
c) taastama õigeaegselt isikuandmete kättesaadavuse ja juurdepääsu andmetele füüsilise või tehnilise vahejuhtumi korral;
d) tehniliste ja korralduslike meetmete tõhususe korrapärase testimise ja hindamise kord isikuandmete töötlemise turvalisuse tagamiseks.
RAB lähtub asjakohaste turvameetmete rakendamisel Vabariigi Valitsuse 15. märtsi 2012. a määrusest nr 26 „Infoturbe juhtimise süsteem ning küberturvalisuse seaduses sätestatud nõuetest“.
Määruse (EL) 2016/679 artikli 49 lõike 1 punkti d kohaselt võib sama määruse artikli 45 lõike 3 kohase kaitse piisavuse otsuse või artikli 46 kohaste asjakohaste kaitsemeetmete, sealhulgas siduvate kontsernisiseste eeskirjade puudumise korral kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete ühekordne või korduv edastamine olla lubatud, kui edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel. Isikuandmete edastamine kolmandale riigile, rahvusvahelisele organisatsioonile või institutsioonile võib olla vajalik RahaPTS § 63 toodud alustel. Kuivõrd infovahetus, sealhulgas isikuandmete edastamine, toimub eesmärgiga tõkestada rahapesu ja terrorismi rahastamisega seotud kuritegusid ja rahapesu ja terrorismi rahastamise tõkestamine on käsitatav avaliku huvi küsimusena, siis on RAB-i tegevusel isikuandmete edastamisel avalikust huvist tulenev kaalukas põhjus ning seega rakendub viidatud artiklis nimetatud erand.
Paragrahvi 1 punkt 17 – kehtiva seaduse § 591 lõige 1 muudetakse ning sõnastatakse, et Rahapesu Andmebüroo andmekogu peetakse eesmärgiga täita Rahapesu Andmebüroo seadusest tulenevaid ülesandeid, mis on toodud loeteluna.
Avaliku teabe seaduse § 431 lõike 1 kohaselt on andmekogu riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks. Andmekaitse Inspektsioon on andmekogude juhendis8 selgitanud, et andmekogu eesmärk peab olema seaduses selgelt sätestatud, kuna see on volitusnormi tuum. Volitusnorm peab andma vastuse küsimusele, millisel konkreetsel eesmärgil ja milliste ülesannete täitmiseks andmekogu peetakse.
Normi senine sõnastus võimaldas ebaõigesti järeldada, justkui oleks andmekogu asutatud pelgalt andmete töötlemisel eesmärgil, mistõttu muudetakse sätte sõnastust nii, et oleks tagatud selge arusaam andmekogu eesmärgist ja selle seotusest RAB-i seadusest tulenevate ülesannete täitmisega. RAB-i ülesanded on sätestatud RahaPTS § 54 lõikes 1 ning andmekogu peetakse eesmärgiga täita selles loetelus sätestatud ülesandeid, jättes välja RahaPTS § 54 lõike 1 punktides 7 ja 10 nimetatud ülesanded. RahaPTS § 591 lõike 1 uus sõnastus võimaldab kontrollida andmekogu pidamise õiguspärasust ja isikuandmete töötlemise ulatuse vastavust andmekogu pidamise eesmärkidele.
Paragrahvi 1 punkt 18 – RahaPTS § 591 täiendatakse lõikega 31 , milles tuuakse Rahapesu Andmebüroo andmekogu põhimääruse sisu täpsustavad punktid. Andmekogus peab olema välja toodud andmekogu volitatud töötleja või töötlejad, ja nende ülesanded; andmekogu pidamise kord ja andmete täpsem koosseis; andmeandjate loetelu ja nendelt saadavad andmed; andmete ja andmetöötluse logide säilitamise täpsem kord; muud andmekogu pidamiseks vajalikud tingimused.
Paragrahvi 1 punkt 19 – Seadust täiendatakse §-ga 592, mis käsitleb andmete töötlemist Rahapesu Andmebüroo andmekogus. Määruse (EL) 2016/679 artikkel 5 lõike 1 punkti a kohaselt tagatakse isikuandmete töötlemisel, et töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev. Seega täpse ülevaate andmine Rahapesu Andmebüroo andmekogus töödeldavatest andmetest on vajalik, et viia seadus kooskõlla viidatud määrusega ning tagada isikuandmete töötlemise läbipaistvus.
Andmekaitse Inspektsioon andmekogude juhendi kohaselt on andmete liikide väljatoomine üheks põhiõiguste kaitse tagatiseks.9 Lisanduva paragrahvi lõikes 1 loetletakse andmekogus töödeldavate andmete liigid, mille kaudu on võimalik saada aru töödeldavate andmete olemusest. Punktis üks tuuakse välja, et töödeldavate andmete hulka kuuluvad füüsilise isiku üldandmed, sünniaeg, surmaaeg, sünnikoht, rahvus, elukoht. Samuti sugulus- ja hõimlussuhete ja registreeritud elukaaslase andmed ning hooldusõiguse, eestkoste või teovõime piiramise andmed. Nimetatud andmete abil veendub RAB teadetel ja menetlustes esitatud isikuandmete õigsuses, tuvastab ja hindab analüüsitavate teadetega seotud tehingute osapoolte omavahelisi seoseid ning kontrollib isikute teovõimet kontaktisiku määramise või tegevusloamenetluse käigus. Isikut tõendava dokumendi andmete abil tuvastab RAB kohustatud isiku või tegevusloa omaniku esindaja isikusamasuse. Hariduse andmed, et kontrollida kohustatud isiku juhatuse liikmete ja kontaktisikute haridustaset, eelkõige, kui selline vajadus tõusetub RahaPTS § 17 lõikes 5, § 70 lõike 2 punktis 10 või § 725 lõikes 1 sätestatu raames, ning hinnata, kas RAB-ile esitatud teadete osapooltel esineb seoseid ühiste õpingute kaudu, mis annab võimaluse analüüsida kuritegelike sidemete tekkimise tõenäosust. Lisaks töödeldakse töötamise andmeid, et kontrollida kohustatud isiku juhatuse liikme, prokuristi ja kontaktisikute RahaPTS § 17 lõikes 5, §-s 70 lõikes 3 ja § 725 lõikes 1 sätestatud vajalikku töökogemust ning täiendavalt veel füüsilise isiku kahtlustuse või süüdistuse andmeid, karistatuse andmeid ja kontode andmeid.
Punktis kaks tuuakse välja, et töödeldavate andmete hulka kuuluvad juriidilise isiku andmed, nagu juriidilise isiku nimi, registrikood, registreerimise andmed, põhitegevusala, kontaktandmed, tegeliku tegutsemiskoha andmed, kontode andmed, kõrgema juhtkonna liikme isikuandmed ning samuti kahtlustuse või süüdistuse ja karistatuse andmed.
Punktis kolm tuuakse välja, et töödeldavate andmete hulka kuuluvad füüsilise ja juriidilise isiku vara ja majandustegevusega seotud andmed. Selliseks on näiteks kinnistute andmed, et tuvastada analüüsitavate teadetega seotud osapooltele kuuluvaid kinnisasju ning nende arvulist muutumist ning suurt väärtust omavate kinnisasjade omandisuhete muutumist, kuid ka analüüsimaks finantseerimisasutuste puhul, kas nende varalised õigused on vastavuses nende äritegevusega. Samuti töödeldakse sõidukite ja väikelaevade andmeid, mille alusel tuvastab RAB analüüsitavate teadetega seotud tehingute osapoolte varasid ja nendega seonduvaid muudatusi, samuti, et hinnata finantseerimisasutuste äritegevuse vastavust ja kooskõla neile kuuluva varaga. Väärtpaberite andmete abil tuvastab ja analüüsib RAB teadetega seotud tehingute osapoolte vara ja sellega seotud muudatusi ning finantseerimisasutuste äritegevuse vastavust nende varalistele õigustele. Äriregistri juriidilise isiku detailotsingu seotud isiku andmete abil tuvastab ja hindab RAB analüüsitavate teadetega seotud tehingute osapoolte omavahelisi seoseid ning isikute vastavust tegevusloa taotlemiseks vajalikele tingimustele. Lisaks töödeldakse Rahapesu Andmebüroo andmekogus tulu- ja sotsiaalmaksu deklaratsiooni andmeid, käibe- ja tollideklaratsiooni andmed.
Punktis neli tuuakse välja, töödeldavate andmete hulka kuuluvad RahaPTS § 50 lõikes 4 nimetatud teates sisalduvad rahapesule ja terrorismi rahastamisele ning sellega seotud kuritegudele viitavad andmed. Nimetatud andmeid edastavad RAB-ile kohustatud isikud rahapesu või terrorismi rahastamise või sellega seotud kuriteo kahtluse korral. Teadete andmete analüüsi tulemusel on RAB-il võimalik teha järeldusi potentsiaalse kuriteo tunnuste olemasolu kohta ning tõkestada rahapesu ja terrorismi rahastamist.
Punktis viis ja kuus tuuakse välja töödeldavate andmete hulka kuuluvad RahaPTS § 541 lõikes 3 nimetatud aruannetes Rahapesu Andmebüroole esitatavad andmed ning RahaPTS 7. ja 8. peatükis sätestatud järelevalve tegemise käigus kogutud andmeid, mis võimaldavad RAB-il hinnata riske ja planeerida järelevalvetegevust RAB-i järelevalvatavas majandussektoris tegutsevate ettevõtete üle.
Punktis seitse tuuakse välja, et veel kuuluvad töödeldavate andmete hulka rahvusvahelise sanktsiooni seadusest tulenevate Rahapesu Andmebüroo ülesannete täitmisega seotud andmeid, mida RAB töötleb tulenevalt asjaolust, et RAB on pädeva asutusena finantssanktsiooni ja riigihangetega seotud piirangu korral kohustatud vastama päringutele ning andma haldusakte ja tegema toiminguid, mis on ette nähtud rahvusvahelist sanktsiooni kehtestavas või rakendavas õigusaktis. Andmekogusse kantavad rahvusvahelise sanktsiooni seadusest tulenevate Rahapesu Andmebüroo ülesannete täitmisega seotud andmed ei sisalda enamaid isikuandmeid kui on nimetatud RahaPTS § 592 esimese lõike teistes punktides.
Andmeandjad, andmete täpsem koosseis ja muud korralduslikud küsimused sätestatakse Rahapesu Andmebüroo andmekogu põhimääruses.
Sätte lõikes 2 täpsustatakse, et RahaPTS § 54 lõike 1 punktis 2 nimetatud eesmärgil toimuvat andmete kogumi töötlust teostatakse pseudonüümitud kujul, sealhulgas automatiseeritult. Kuigi RAB täidab ka praegu kõiki oma ülesandeid, tehakse paljud rahapesu ja terrorismi rahastamise tõkestamise valdkonna juhtimisotsused vananenud andmete põhjal või tuginedes üksnes ekspertarvamusele, mistõttu toimub pigem tagantjärgi reageerimine. Andmete töötlemine on toimunud suures osas mehhaanilise tükitööna, mis on oluliselt pärssinud töökiirust, kuna andmete mehhaaniline töötlemine on ajakulukas ning vajab suurt inimressurssi. Analüüsi uurimisküsimuste ja -meetodite järgi on igakordselt valitud asjakohased andmeallikad ja -koosseisud ning välistelt allikatelt soovitud kujul andmete saamine ja analüüsiks ettevalmistamine on võtnud aega mitmed kuud. Analüüsi valmimisel võib tuvastatud riskipilt olla aga juba aegunud ja sellele reageerimine ei pruugi olla tulemuslik.
Strateegilise analüüsi läbiviimisel toimub andmeandjate andmestiku kogumine pidevalt ja ka automatiseeritult ning enne andmete andmelattu salvestamist isikuandmed pseudonüümitakse. Andmetöötluse vajadus pseudonüümitud kujul tuleneb asjaolust, et RahaPTS § 54 lõike 1 punkti 2 tähenduses toimuva strateegilise analüüsi käigus on vaja töödelda isikuandmeid suures hulgas ehk andmete kogumina. Andmete kogum on määruse (EL) 2016/679 artikli 4 punkti 6 kohaselt isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud. Andmete pseudonüümimine on määruse (EL) 2016/679 artikli 31 lõike 1 punkti a kohaselt üks tehnilistest meetmetest, mida andmete vastutav töötleja peab andmete töötlemise ulatust ja laadi arvestades rakendama, välistamaks ohte füüsiliste isikute õigustele ja vabadustele. Seega on strateegilise analüüsi tarbeks pseudonüümitud isikuandmete töötlemise puhul tegemist riske maandava meetmega.
Lähtuvalt nii sisemistest vajadustest kui ka rahvusvahelisest soovitusest (FATF soovitus 29) on tõusetunud esile strateegilise analüüsi funktsiooni loomise ja arendamise vajadus rahapesu ja terrorismi rahastamise tõkestamisel. Ilmestavaks näiteks on FATF-i poolt välja toodu, mille kohaselt täheldatakse rahvusvahelise kaubanduse mahtude suurenemise tõttu kauplejate sektori rahapesu ja terrorismi rahastamise haavatavuse riski kasvu. Kaubanduspõhine rahapesu (TBML – trade based money laundering) on kriminaaltulu varjamise protsess, kus kasutatakse vara liigutamiseks kaubandustehinguid, et üritada legaliseerida kuritegelikku päritolu vara. Praktikas on võimalik antud eesmärki saavutada imporditud või eksporditud kauba hinna, koguse ja kvaliteedi moonutamisega. Kaubanduspõhise rahapesu mahtu on Euroopa Liidus perioodil 2005–2015 hinnatud vahemikku 0,9 kuni 1,8 triljonit dollarit aastas. Eesti puhul oli tulemuseks 7,5%–16,7% väliskaubanduse kogumahust.10 Statistikaameti andmetel oli 2022. a rahvusvahelise kaubavoo (eksport ja import) maht kokku ca 46 miljardit eurot. RAB väljastas 2023. aastal tüpoloogiateate, kus kirjeldas ära Eestiga seotud kaubanduspõhist rahapesu kahtlust käsitlevates juhtumites ohuindikaatorid.11 Kirjeldatud olukorras võimaldaks andmete kogum analüüsida, kas kaubamaht ja -vood ning rahasummad ja -vood on omavahelises loogilises seoses. Sellise analüüsi tulemusel võib näiteks ilmneda, et mõne jurisdiktsiooniga on rahavoogudega seotud andmete põhjal järeldatav ulatuslik kaubavahetus, kuid reaalset kaupa ei liigu, mis puhul tuleks juhtumit edasi süvitsi analüüsida. Tuvastades konkreetseid juhtumi- või juhtumite kogumi põhiseid anomaaliaid, mis viitavad rahapesu ja terrorismi rahastamise või seotud kuritegevuse kahtlusele, pseudonüümitud andmed depseudonüümitakse ja suunatakse juhtumipõhisesse analüüsi. Kui üksikanalüüsis saab kinnitust rahapesu kahtlus, siis edastatakse vajalik teave uurimisasutusele.
Rahapesu ja terrorismi rahastamise tõkestamise seisukohalt omavad mõju nii kohustatud isikute poolt esitatud teadete menetlemine kui vastavate majandussektorite analüüs, sealhulgas strateegiline analüüs. Andmete kogumile tuginevate rahapesualaste järelduste tegemine on abiks erinevatel tasemetel juhtimisotsuste langetamisel. Juhtimisotsused on näiteks seadusandlike lünkade parandamise vajaduse, ametite vahelise koostöö muutmise ja RAB-i sisese ressursipaigutuse üle otsustamine, kuid mõnes majandussektoris ka rahapesu või terrorismi rahastamise riski kasvamisel sellele reageerimine. Läbi eelnimetatud tegevuste on eesmärk tõsta rahapesuvastase võitluse tõhusust, kasutada ressursse optimaalsemalt ning piirata halduskoormuse kasvu.
Lisanduva § 592 lõike 3 kohaselt on pseudonüümitud andmete depseudonüümimine, millega isikut mittetuvastavad andmed muudetakse uuesti isikut tuvastavaks, lubatud üksnes juhul, kui esineb rahapesu või terrorismi rahastamise või sellega seotud kuriteo või finantssanktsiooni rikkumise kahtlus. Määruse (EL) 2016/679 põhjenduspunkti 97 kohaselt, kui andmete töötlemist teostab avaliku sektori asutus peaks vastutavat töötlejat või volitatud töötlejat abistama andmekaitsealaseid õigusakte ja tavasid eksperdi tasandil tundev isik, kes kontrollib käesoleva määruse täitmist asutuse või töötleja poolt. Viidatud määruses väljatoodu kohaselt ning põhiõiguse riive maandamise meetmena kooskõlastab RAB-i juhi volitatud ametnik pseudonüümitud andmete depseudonüümimise RAB andmekaitsespetsialistiga, kes kontrollib toimingu vastavust tingimustele.
Strateegilise analüüsi tarbeks andmete kogumi töötlemine, sealhulgas automatiseeritult, riivab õigust perekonna- ja eraelu puutumatusele (PS § 26) ning õigust vabale eneseteostusele (PS § 19). Töödeldavate andmete ring on lai ning sealjuures puudub isikutel õigus ise otsustada, kas ja kui palju tema kohta Rahapesu Andmebüroo andmekogus andmeid töödeldakse.
Andmete töötlemine kogumina ja automatiseeritult kiirendab ja muudab efektiivsemaks kuritegude ja kuritegelike mustrite avastamise ning neile adekvaatse reageerimise. Strateegilise analüüsi käigus töödeldakse isikuandmeid pseudonüümituna, mis on sobiv viis eesmärgi saavutamiseks ja pehmendab riivet isiku põhiõigustele, kuivõrd depseudonüümimise vajadus esineb vaid rahapesu ja terrorismi rahastamise või seotud kuritegevuse kahtluse korral. Strateegilise analüüsi tarbeks võib andmeid töödelda ning on ka seni töödeldud käsitsi, kuid sel meetodil on välistatud reaalajas riskipildi tekkimine, mis aitab RAB-il keskenduda riskide vaates olulisimale ehk potentsiaalsete rahapesu ja terrorismi rahastamise juhtumite avastamisele ning andmete kogumi pinnalt trendide ja mustrite ilmestumisel rahapesu ja terrorismi rahastamise tõkestamisele. Seega kokkuvõtvalt on kirjeldatud meetodid sobivaks ja asendamatuks abinõuks nimetatud eesmärkide saavutamiseks.
Andmete töötlemine eelnimetatud viisil on vajalik, kuivõrd selle peamine eesmärk on tõkestada rahapesu ja terrorismi rahastamise kuritegusid. Õigeaegset ja asjakohast reageerimist ei ole võimalik tagada, kui puudub teadmine reaalajas toimuvast või puuduvad andmed, mille põhjal hinnata esinevaid anomaaliaid. Hinnang trendi või mustri olemasolule on adekvaatsem, kui see on antud suure hulga algandmete pinnalt, mistõttu on andmete kogumi töötlemine vajalik ja asendamatu abinõu.
Strateegilise analüüsi tarbeks andmete kogumi töötlemine, sealhulgas automatiseeritult, on proportsionaalne riivega igaühe õigusele perekonna- ja eraelu puutumatusele (PS § 26) ning vabale eneseteostusele (PS § 19). Selle kaudu ennetatakse ja tõkestatakse rahapesu ja terrorismi rahastamise kuritegusid, tagatakse riigi julgeolek ja avalik kord ning turvaline majandus- ja finantskeskkond.
Lisatava § 592 lõikes 4 tuuakse, et RAB-il on käesoleva seaduse § 591 lõike 1 punktides 1, 2, 4, –9 nimetatud eesmärkide täitmiseks õigus läbi viia profiilianalüüsi, mille eesmärk on rahapesu ja terrorismi rahastamisele viitavate riskitunnuste arvutamise kaudu määratleda isiku võimalik seotus või seotuste tõenäosus rahapesu, terrorismi rahastamise ning sellega seotud kuritegudega (edaspidi riskiprofiili määratlemine). RAB ei tee pelgalt andmete automatiseeritud töötlemise, sealhulgas riskiprofiili määratlemise põhjal andmesubjekti puudutavat otsust, mis toob andmesubjektile kaasa kahjulikke õiguslikke tagajärgi või muud negatiivset mõju.
Riskiprofiili määratlemist kasutatakse RAB-i kolme tööprotsessi juures. Esmalt määratletakse riskiprofiili teadete vastuvõtmisel nende kiireloomulisuse ja kaalukuse hindamisel, et prioriseerida tööde järjekorda. Teiseks määratletakse riskiprofiili juhtumipõhise analüüsi käigus teates märgitud isikute kohta kõige olulisema majandusinfo ja riskide esiletoomiseks. Kolmandaks aitab riskiprofiili määratlemine ja ettevõtete sektoriaalsete profiilide kasutamine valida asjakohasemaid kontrollmeetmeid RAB-i poolt RahaPTS-i täitmise üle järelevalve teostamisel.
Paragrahvi 592 lõige 5 sätestab, et RAB-il on isikuandmete töötlemisel õigus kasutada automatiseeritud analüüsimeetodeid, sealhulgas teksti- ja andmekaeve meetodit, et saada muu hulgas teavet riskide, ohtude, suundumuste, mustrite ja toimimisviiside kohta, ning defineerib teksti- ja andmekaeve meetodi olemuse, sätestades, et tegemist on automatiseeritud analüüsimeetodiga, millega analüüsitakse digitaalkujul teksti ja andmeid. Teksti- ja andmekaeve meetodi rakendamise abil suunab RAB oma põhifookuse kohustatud isikute leitud rahapesukahtluste tagantjärgi menetlemiselt võimalikult asjakohaste andmete pealt proaktiivsele ja õigeaegsele tegutsemisele.
Tekstikaeve meetodil saab RAB kohustatud isikute poolt esitatava teate kirjeldava osa, teatele lisatud dokumentide ning avalike allikate põhjal tuvastada andmesubjekte ja nende iseloomulikke tunnuseid. Samuti leida tõenäolisi kattuvusi erineval kujul kirjutatud fraasidele nagu nimed, aadressid või õiguserikkumise mustrid. Erinevate andmepunktide kasutamine võimaldab valideerida andmete tõele vastavust ning vähendada valepositiivsetest tekkivaid ebaõigeid seoseid ning seeläbi on edasisel andmeanalüüsil tagatud optimaalsem ressursikasutus.
Täiendavalt on RAB-il teksti- ja andmekaeve meetodi abil võimalik otsida kuritegelikke mustreid füüsiliste ja juriidiliste isikute majanduse ja varade andmete kogumist ning prognoosida kohustatud isikute üle järelevalve teostamise käigus potentsiaalselt suureneva riskiga sektorite ja nendes tegutsevate ettevõtete riskantsete tegevuste kasvu. Järelevalve teostamise käigus kontrollib RAB nii kohustatud isikute töökorraldus ja sisemiste juhendite nõuetele vastavust, kui ka seda, et toimuks kõigist asjakohastest ehk rahapesukahtlusega juhtumitest teavitamine. Seeläbi saab RAB muu hulgas juhtida kohustatud isiku tähelepanu tema töö sisulistele puudustele.
Lisatava § 592 lõikes 5 reguleeritakse RAB-i poolt toimikute pidamine ning sätestatakse, et Rahapesu Andmebüroo ülesannetest tulenevates menetlustes ja toimingutes esitatud, koostatud ja kogutud dokumentide ja tõendite kohta peetakse toimikut. Toimik avatakse iga menetluse või toimingu kohta eraldi.
Kuivõrd RAB kogub andmekogu osaks olevatesse toimikutesse menetluste ja toimingute alusdokumente ning andmete säilitustähtajad on seotud menetluste kohta avatud toimikute sulgemise aegadega, siis on tervikluse eesmärgil toodud seaduses ära toimikute pidamine kui osa andmete töötlemisest.
Järelevalvemenetluste puhul omab toimikute pidamise regulatsioon ka teist olulist funktsiooni. Selgelt reguleeritud kohustus pidada toimikut aitab tagada menetlusosalise õigust tutvuda informatsiooniga, mida haldusorgan on tema kohta kogunud (HMS § 37). Samuti on selliselt tagatud ärakuulamisõigus, mida on võimalik teostada eelkõige juhul, kui isikul on olemas teave, mille alusel haldusorgan on oma otsuse teinud. Täiendavalt on menetlusosalisel toimiku põhjal võimalik veenduda selles, et RAB on otsustusprotsessis täitnud uurimiskohustust nõuetekohaselt (HMS § 6) ning käsitlenud nii menetlusosalise kahjuks kui ka kasuks rääkivaid asjaolusid.
Ühtne toimikute süsteem toetab asjakohase ülevaate omamist ja tagab tõhusa sisekontrolli süsteemi toimimise. Samuti lihtsustab see võimaliku kohtumenetluse korral kohtupidamiseks vajalike dokumentide leidmist. Toimiku pidamist reguleerib täpsemalt Rahapesu Andmebüroo andmekogu põhimäärus.
Paragrahvi 1 punkt 20 – seadust täiendatakse §-ga 593, mis reguleerib andmete säilitamist Rahapesu Andmebüroo andmekogus.
Rahapesu Andmebüroo andmekogusse kantud andmeid ja dokumente isiku kohta säilitatakse 15 aastat pärast vastava toimiku sulgemist. Tähtaeg hakkab kulgema alates isiku kohta käiva viimase toimiku sulgemisest. Andmete säilitamine 15 aasta jooksul on vajalik rahapesu ja terrorismi rahastamise tõkestamise süsteemi tulemusliku toimimise tagamiseks. Rahapesu aegumise tähtaeg karistusseadustiku (edaspidi KarS) § 81 lõike 1 punkti 1 kohaselt on 10 aastat. Täiendavalt on KarS § 81 lõigetes 6–8 sätestatud kuriteo, sealhulgas süüteo erinevad aegumise katkemise alused, mille rakendumine on võimalik ka rahapesu korral. KarS § 81 lõike 6 kohaselt kui kuriteo aegumine on katkenud, algab aegumine uuesti viidatud paragrahvi lõikes 5 sätestatud menetlustoimingu tegemisest ning isikut ei tohi kuriteos süüdi mõista ega karistada, kui selle lõpuleviimisest kuni selle kohta tehtud kohtuotsuse jõustumiseni on möödunud KarS § 81 lõikes 1 toodud tähtajast viie aasta võrra pikem aeg. KarS § 81 lõike 8 kohaselt ei uuene aegumine KarS § 81 lõike 7 punktides 1 ja 2 sätestatud juhtudel, kui kuriteo lõpuleviimisest on möödunud viisteist aastat. See tähendab, et nimetatud perioodi vältel peab RAB-il olema võimalik edastada uurimisasutustele vajalikku informatsiooni, kui uurimisasutus peaks seda oma menetlustoiminguteks vajama. Lisaks eelnevale on rahapesu või terrorismi rahastamine paljudel juhtudel kestev tegevus. Praktikas on sagedad olukorrad, kui isikute kohta, kelle osas RAB-il juba on teated ja/või info, saadakse uus rahapesu või terrorismi rahastamise info kümne aasta möödudes. Näiteks kui 8. ja 11. aastal pärast eelmist rahapesu või terrorismi rahastamise kahtlusega teadet edastatakse RAB-ile info uue kahtluse osas võib varasem info olla väga väärtuslikuks teabeallikaks, et hilisemat kahtlast tegevust ja võimalikku mustrit hinnata. Seega ei ole piisav üksnes 10-aastane kuriteo aegumisega seotud tähtaeg. Samuti võivad kõik eeltoodud episoodid omada omavahelist olulist seost võimaliku kriminaalmenetluse läbiviimisel. Arvestades eeltoodut kogumina on põhjendatud andmete säilitamine 15 aastat pärast toimiku sulgemist.
Rahvusvahelise infovahetuse kaudu saadud andmeid säilitatakse vastavalt andmete päritoluallikas toodud piirangutele, kuid mitte kauem kui 15 aastat pärast vastava toimiku sulgemist. RahaPTS § 63 uue lõike 8 kohaselt tagab RAB teabetaotluse alusel teiselt rahapesu andmebüroolt saadud teabe kasutamise vastavalt teise rahapesu andmebüroo seatud piirangutele. Seega tuleb tagada ka andmete säilitamine vastavalt seatud piirangutele.
Järelevalve ja tegevuslubadega seonduva tegevuse käigus kogutud andmeid ja dokumente, säilitatakse andmekogus kümme aastat alates järelevalvemenetluse lõppemisest või väljastatud tegevusloa kehtivuse lõppemisest. Majandustegevuse seadustiku üldosa seaduse § 64 lg 21 kohustab andmete registrisse kandjaid säilitama isikuandmeid sisaldavaid andmete registrisse kandmise aluseks olevaid dokumente kuni kümme aastat alates loa kehtivuse lõppemisest. Viidatud regulatsiooni tuleb arvesse võtta ka RAB-i poolt loakohustuslike isikute suhtes teostatavate tegevuste osas, mistõttu ühtlustatakse õiguse ühetaolise kohaldamise eesmärgil andmete ja dokumentide Rahapesu Andmebüroo andmekogus säilitamise aega majandustegevuse seadustiku üldosa seaduses sätestatuga.
Strateegilise analüüsi ülesande täitmiseks kogutud andmeid säilitatakse kuni viis aastat alates andmete andmekogusse vastuvõtmisest. Lühem tähtaeg peab silmas andmete kasutamise eesmärki ning arvestab selle täidetavusega andmete säilitamise tähtaja vältel.
Andmetöötluse logisid säilitatakse vastavalt andmekogu põhimääruses sätestatule. Logide säilitamise tähtaeg reguleeritakse Rahapesu Andmebüroo andmekogu põhimääruses.
Sätte teise lõike kohaselt sätestatakse andmete hoidmise, säilitamise ja kustutamise täpsem kord Rahapesu Andmebüroo andmekogu põhimääruses.
Paragrahvi 1 punkt 21 – Kehtiva RahaPTS § 60 lõike 1 kohaselt on juurdepääs Rahapesu Andmebüroo andmekogus sisalduvale teabele piiratud ja selle töötlemise õigus ainult Rahapesu Andmebüroo ametnikul ja töötajal ning Rahapesu Andmebüroo juht võib käesoleva seaduse alusel kehtestada teabele juurdepääsu piirangu, tunnistades teabe asutusesiseseks kasutamiseks mõeldud teabeks. Samuti on kehtivas seaduses ette nähtud, et Rahapesu Andmebüroo ametnikud, töötajad ja muud isikud, kellel on juurdepääs Rahapesu Andmebüroo andmekogus sisalduvale teabele, on kohustatud hoidma saladuses neile teadaolevat rahapesu või terrorismi rahastamisega seotud teavet tähtajatult.
RahaPTS § 60 lõiget 1 muudetakse selgemaks ja tuuakse esmalt välja, et Rahapesu Andmebüroo andmekogus sisalduvad andmed on konfidentsiaalsed ning asutusesiseseks kasutamiseks mõeldud teave avaliku teabe seaduse tähenduses. Rahapesu Andmebüroo andmekogust väljastatakse andmeid üksnes käesolevas seaduses sätestatud juhtudel ja korras
Seejärel märgitakse ära, et juurdepääs Rahapesu Andmebüroo andmekogus sisalduvale teabele ning selle töötlemise õigus on teabevajadusega Rahapesu Andmebüroo ametnikul ja töötajal. Varasemast erinevalt on lauses ära toodud teabevajadus, mis on teabele juurdepääsu ja selle töötlemise vältimatu eeldus. Kuivõrd Rahapesu Andmebüroo juht saab kehtestada erandeid teabele juurdepääsu osas (RahaPTS § 60 lg 6), siis jäetakse enne viidet ametnikule ja töötajale lausest välja sõna ainult.
Rahapesu Andmebüroo ametnikud ja töötajad, kellel on juurdepääs Rahapesu Andmebüroo andmekogus sisalduvale teabele on kohustatud hoidma neile teadaolevat rahapesu või terrorismi rahastamisega seotud teavet saladuses tähtajatult. Rahapesu Andmebüroo andmekogusse ei ole võimalik teha väliseid X-tee ega muid automatiseeritud päringuid. Juurdepääsupiirangute kestus andmetele on seotud RahaPTS § 593 sätestatud säilitamise tähtajaga ehk andmekogudes sisalduvat teavet käsitletakse konfidentsiaalsena kogu teabe eluea jooksul.
Paragrahvi 1 punkt 22 – RahaPTS § 60 täiendatakse lõikega 31, milles tuuakse välja, et jälitusasutustelt saadud jälitustoimingutega ja salajase koostöö abil kogutud andmete edastamiseks teistele asutustele peab Rahapesu Andmebürool olema teabe esitanud jälitusasutuse kirjalik luba. Jälitustoimingutega ja salajase koostöö abil kogutud andmeid kasutab RAB rangelt üksnes RahaPTS § 54 lõike 1 punktidest 1, 2, 6, 8 ja 9 täitmiseks ning andmeid ei avaldata ühelegi kolmandale isikule. Teabe edastamine on võimalik üksnes jälitusasutuse kirjalikul loal.
Paragrahvi 1 punkt 23 – RahaPTS § 60 lõiget 6 täiendatakse ning sätestatakse, et isikute sobivuse hindamisel lähtutakse käesoleva seaduse § 611 sätestatust. Sätte seni kehtinud lõikes puudus selgus, millises ulatuses Rahapesu Andmebüroo juhi loa saanud isikute sobivust kontrollitakse. Arvestades, et loa saanud isikutele on ligipääsu vajadus Rahapesu Andmebüroo andmekogus sisalduvatele andmetele, on andmete kaitsmise tagamiseks vajalik, et ka nende isikute osas viiakse läbi sobilikkuse kontroll samas ulatuses nagu Rahapesu Andmebüroo töötaja ja teenistuja suhtes.
Paragrahvi 1 punkt 24 – Kehtiv RahaPTS § 60 lõige 9 näeb ette, et RAB-i dokumendid ja arhivaalid, mis vastavalt õigusaktidele kuuluvad üleandmisele Rahvusarhiivile, antakse üle 30 aasta möödumisel, peale mida dokumendid ja arhivaalid RAB-i andmekogust kustutatakse. Kuni Rahvusarhiivile üleandmiseni säilitatakse dokumente ja arhivaale RAB-is. Käesoleva eelnõu punktis 20 on toodud andmete ja dokumentide säilitamist reguleeriv § 593, millega sätestatakse andmete ja dokumentide säilitamise tähtajad. Rahapesu Andmebüroo andmekogusse kantud andmeid ja dokumente isiku kohta säilitatakse 15 aastat pärast vastava toimiku sulgemist. Järelevalve ja tegevuslubadega seonduva tegevuse käigus kogutud andmeid ja dokumente säilitatakse kümme aastat alates järelevalvemenetluse lõppemisest või väljastatud tegevusloa kehtivuse lõppemisest. Rahvusarhiiv on RAB-i teabe hindamise käigus leidnud, et ei pea arhiiviväärtuslikuks Rahapesu Andmebüroo andmekogus sisalduvat RAB-ile teadete alusel esitavat teavet, mistõttu puudub edasine vajadus reguleerida Rahapesu Andmebüroo andmekogus sisalduvate dokumentide ja arhivaalide üleandmist Rahvusarhiivile ning RahaPTS § 60 lõige 9 tunnistatakse kehtetuks.
Paragrahvi 1 punkt 25 – seadust täiendatakse §-ga 601, milles sätestatakse andmesubjekti õiguste piirangud andmetega tutvumisel. Varasemalt sätestati RahaPTS § 60 lõikes 1 andmetele üldine juurdepääsupiirang, käesoleva eelnõuga täpsustatakse andmesubjekti õiguste piiramise ulatust ning aega.
Kuna isikuandmete kaitse üldmäärusest (IKÜM) ja isikuandmete kaitse seadusest (IKS) tuleneb andmesubjekti üldine õigus saada teada, kas ja milliseid tema andmeid töödeldakse, siis tuleb eriseaduses ette näha erand teabe avaldamisest keeldumise aluste kohta. IKÜM artikli 23 lõike 1 punktide a, e ja i kohaselt võib artiklites 12–22 sätestatud kohustuste ja õiguste ulatust liikmesriigi õiguses seadusandliku meetmega piirata, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada riigi julgeolek, liidu või liikmesriigi muud üldist avalikku huvi pakkuvad olulised eesmärgid, andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse. IKS § 24 lõike 2 kohaselt võib vastustav töötleja seaduses sätestatud juhtudel sama paragrahvi lõikes 1 nimetatud teabe andmesubjektile esitada hiljem, piirata selle esitamist või keelduda selle väljastamisest, kui see võib:
1) takistada või kahjustada süüteo tõkestamist, avastamist või menetlemist või karistuse täideviimist;
2) kahjustada teise isiku õigusi ja vabadusi;
3) ohustada riigi julgeolekut;
4) ohustada avaliku korra kaitset;
5) takistada ametlikku uurimist või menetlust.
Direktiiv (EL) 2015/849 põhjenduspunktis 42 on toodud, et võitlust rahapesu ja terrorismi rahastamise vastu peavad oluliseks avalikuks huviks kõik liikmesriigid ning põhjenduspunktis 46 on toodud, et andmesubjekti teabele juurdepääsu õigust kohaldatakse kõnealuse direktiivi raames töödeldavate isikuandmete suhtes. Andmesubjekti õiguste piiramisel käesoleva seadusega lähtutakse kaalutlusõiguse alusel proportsionaalsuse põhimõttest ning andmesubjekti õigusi piiratakse ulatuses, mis on vältimatult vajalik. Teabele juurdepääsupiirangute ulatus otsustatakse kaasuse põhiselt, kõrvutades taotletavat eesmärki ja andmesubjekti õiguste riive põhjendatust. Isiku õiguseid piiratakse siis, kui neid piiramata jättes ja/või väiksema riivega ei oleks võimalik täita sättes taotletavat eesmärki.
Lisanduva RahaPTS § 601 lõikes 1 tuuakse andmesubjekti õigused, mida RAB võib piirata isikuandmete töötlemisel. Piiratava teabe olemust tuleb igakordselt hinnata ning hindamisel lähtutakse sellest, kui palju on isikule informatsiooni juba teatavaks saanud. Näiteks kui RAB on seadnud isiku varale RahaPTS § 57 alusel käsutuspiirangu, on isikule teada fakt, et RAB on tema andmeid töödelnud. Samas teatud juhtudel võib esineda vajadus piirata ka töötlemise fakti osas andmesubjektile teabele juurdepääsu. Avaldades andmesubjektile näiteks juhtudel, kus talle ei ole teada, kas RAB on tema andmeid töödelnud või mitte kas või osaliselt RAB-i andmekogus sisalduvad andmed, on andmesubjektil juba võimalik selle alusel tuletada, kes oli RAB-ile teate esitajaks või RAB-i poole pöördujaks, mis seab omakorda ohtu teavitaja kaitse (RahaPTS § 521). Samuti võimaldab sellise teabe avaldamine andmesubjektil teha järeldusi selle kohta, millise tehingu tegemisega seoses on RAB-i teavitatud ning eelnimetatud info võib aidata isikutel edasiselt kuritegelikke tehinguid paremini varjata, muu hulgas kasutades tehingute tegemiseks alternatiivseid võimalusi. Lisaks on andmesubjektil võimalik andmete avaldamise korral tuletada, kas toimub eelmenetlus või kriminaalmenetlus vms või kas RAB-i valdusesse on üleüldse jõudnud informatsiooni kõnealuse isiku kohta, ehk kas tema võimalikud ebaseaduslikud teod on avastatud või mitte. Selleks, et RAB-il oleks võimalik rahapesu ja terrorismi rahastamist tõkestada ning et uurimise käigus oleks hiljem võimalik kriminaalmenetluses tuvastada rahapesu või terrorismi rahastamise või sellega seotud kuritegusid, võib esineda vajadus piirata andmesubjekti õigusi ka ulatuslikumalt.
RahaPTS § 601 lõige 2 lubab piirata eelmises lõikes toodud õigusi juhul, kui piiramata jätmine võib:
1) takistada või kahjustada süüteo tõkestamist, avastamist, menetlemist või karistuse täideviimist;
2) kahjustada teise isiku õigusi ja vabadusi;
3) ohustada avaliku korra kaitset või riigi julgeolekut;
4) takistada rahapesu või terrorismi rahastamise tõkestamist.
Lõikes 3 tuuakse ära, et piiranguid kohaldatakse ka isikuandmete suhtes, mis on saadud rahapesu andmebüroo ülesandeid täitvalt välisriigi asutuselt või välisriigi õiguskaitse- või järelevalveasutuselt või rahvusvaheliselt organisatsioonilt või institutsioonilt.
Egmont Groupi Harta kohaselt on kõikidele Egmont Groupiga liitunud rahapesu andmebüroodele siduvad nii Egmont Groupi Harta kui ka põhimõtted rahapesu andmebüroode vahel informatsiooni vahetamiseks12 (edaspidi põhimõtted informatsiooni vahetamiseks). Viimati nimetatud dokumendid kehtestavad standardid liikmete vahel informatsiooni vahetamiseks. Egmont Groupi Harta punkti 3.1 A kohaselt kõik Egmont Groupi liikmed nii laialdast koostööd kui võimalik, lähtudes muu hulgas põhimõttest, et informatsiooni vahetamise eelduseks on rahapesu andmebüroo siseselt toimuv analüüs (punkt 1), et andmeid ei edastata uurimisasutusele ega kasutata muul viisil välisriigi rahapesu andmebüroo eelneva loata (punkt 2) ning et informatsiooni konfidentsiaalsust tuleb hoida (punkt 3). Olulised on seejuures eelkõige punktid 1 ja 3, mille kohaselt on informatsioon mõeldud vaid rahapesu ja sellega seotud kuritegude ning terrorismi rahastamise kaasuste analüüsiks ning et saadud informatsiooni tuleb hoida konfidentsiaalsena. Viimane tähendab, et informatsiooni tuleb hoida sellisena, et eelkõige isik, kelle osas analüüsi läbi viiakse, ei saaks sellest teada, mis võiks omakorda ohustada võimalikku kriminaalmenetluse läbiviimist ja selle eesmärkide saavutamist. Seejuures on oluline arvestada, et võimalik kriminaalmenetluse alus ei pruugi paljuski nähtuda esimese teadaoleva info pinnalt, vaid võib kujuneda tuginedes mitmete eriaegadel edastatavatele infokildudele kogumina.
FATF-i soovituse 40 tõlgendava märkuse kohaselt vahetavad rahapesu andmebürood omavahel informatsiooni uurimaks rahapesu ja sellega seotud kuritegusid ning terrorismi rahastamist (lõik 7). Ükski rahapesu andmebüroo ei saa ega kogu ühelgi juhul andmeid ja informatsiooni selle esitamiseks kahtlusalusele isikule või muule kolmandale isikule. Andmete kogumise eesmärgiks on vaid rahapesu ja sellega seotud kuritegude ning terrorismi rahastamise uurimine. Andmete salajasena hoidmist peetakse seejuures rahapesu andmebüroode üheks kõige olulisemaks nõudeks. Rahvusvahelised standardiseadjad on pidanud finantsluureteabe saladuses hoidmise kohustust niivõrd oluliseks, et rahapesu andmebüroode süsteemidele ja inimestele on kehtestatud erireeglid. FATF-i soovituse 29 tõlgendava märkuse (lõik 7) ja FATF-i hindamise metoodika kriteeriumi 29.6 alusel peab rahapesu andmebürool olema väljatöötatud protsessid, millega tagatakse informatsiooni turve, samuti peavad olema töötajatel vastavad load ning isegi rahapesu andmebüroo ruumidele ja süsteemidele peab olema piiratud ligipääs. Kõik selleks, et turvata informatsiooni, mida saadakse kohustatud isikutelt, aga ka teistelt rahapesu andmebüroodelt. Arvestades eeltoodut saab lugeda RahaPTS sätestatud piiranguid andmesubjekti õiguste piiramise osas vajalikeks ning põhjendatuks tagamaks RahaPTS § 601 lõikes 2 sätestatud eesmärkide täidetus.
Kuivõrd andmesubjekti õiguste piirangute kohaldamise imperatiivsed alused on sätestatud lõikes 2, siis lõikes 4 tuuakse välja, et andmesubjekti õigust teavet saada ja enda kohta käivate andmetega tutvuda piiratakse kuni lõikes 2 sätestatud aluste äralangemiseni.
Paragrahvi 1 punkt 26 – RahaPTS § 63 lõiget 1 täpsustatakse ja lisatakse täiendused, mille kohaselt on Rahapesu Andmebürool õigus vahetada ka isikuandmeid sisaldavat teavet rahapesu andmebüroo ülesandeid täitva välisriigi asutusega või välisriigi õiguskaitse- või järelevalveasutusega, samuti rahvusvahelise organisatsiooni või institutsiooniga. Teabe vahetamine toimub muu hulgas eesmärgiga teha juhtumipõhist ja strateegilist analüüsi ning järelevalvet kohustatud isikute tegevuse üle. Täiendus lähtub Euroopa komisjoni ekspertide Tomasso Di Ruzza ja Klaudijo Stroligo poolt 2022. aastal koostatud Eesti rahapesuvastase võitluse tugevdamise tehnilises dokumendis „Legal Review and Recommendations for Specific Amendments to the Legal Framework related to the Strategic Analysis Function of the Estonian Financial Intelligence Unit”13 toodud soovitusest tuua seaduses selgesõnaliselt välja, millisel eesmärgil toimub rahvusvaheline infovahetus ning seega ka RAB-i õigus töödelda rahvusvahelise infovahetuse käigus kogutud ja edastatud teavet oma tuumfunktsioonide täitmiseks. Täpsustus peab silmas FATF-i standardit (FATF soovitus 29), mis rõhutab analüüsi tulemuste vahetamise olulisust rahvusvahelisel tasandil rahapesu ja terrorismi rahastamise tõkestamiseks.
Paragrahvi 1 punkt 27 –RahaPTS § 63 lõike 2 kohaselt on Rahapesu Andmebürool õigus omal algatusel või taotluse korral saada ja edastada teisele rahapesu andmebüroole mis tahes teavet, mida teisel rahapesu andmebürool võib olla vaja rahapesu või terrorismi rahastamise tõkestamisel ning sellesse kaasatud füüsiliste või juriidiliste isikutega seotud teabe töötlemisel või analüüsimisel. Sätet täiendatakse viitega strateegilise analüüsi tulemusel saadud teabe edastamisele ning lisatakse, et Rahapesu Andmebürool on õigus omal algatusel või taotluse korral saada ja edastada teisele rahapesu andmebüroole ka mis tahes teavet, mida teisel rahapesu andmebürool võib olla vaja rahapesu või terrorismi rahastamise tõkestamisel rahapesu ja terrorismi rahastamise riskide, ohtude, suundumuste, mustrite ja toimimisviisidega seotud teabe töötlemisel või analüüsimisel. Muudatusega kohandatakse seaduse sõnastust vastavalt FATF-i standardile (FATF soovitus 29), milles rõhutatakse rahapesu andmebüroode kohustust vahetada analüüsi tulemusel saadavat teavet.
Paragrahvi 1 punkt 28 – RahaPTS § 63 lõikes 8 on sätestatud, et taotluse alusel teiselt rahapesu andmebüroolt saadud teabe kasutamine toimub vastavalt teise büroo seatud piirangutele, küsides vajaduse korral teabe muul viisil kasutamiseks teabe esitanud teiselt büroolt eelnevalt loa. Kehtiva sõnastuse pinnalt on võimalik järeldada, et teistelt rahapesu andmebüroodelt saadud teabe muul viisil kasutamiseks ei ole loa küsimine alati vajalik ning et loa küsimise vajadust tuleb eraldi hinnata. Sätte tegelik eesmärk on aga tuua välja, et teabe kasutamine peab toimuma vastavalt teise büroo seatud piirangutele ning kui kasutusotstarve väljub piirangute raamidest, tuleb igal juhul küsida teabe muul viisil kasutamiseks luba. Sellest tulenevalt jagatakse RahaPTS § 63 lõige 8 kaheks eraldiseisvaks lauseks, millest esimeses sätestatakse, et Rahapesu Andmebüroo tagab teabetaotluse alusel teiselt rahapesu andmebüroolt saadud teabe kasutamise vastavalt teise büroo seatud piirangutele. Teises lauses sätestatakse, et teabe kasutamiseks muul viisil kui teabetaotluses kirjeldatud eesmärgil küsib RAB teiselt büroolt eelnevalt vastavat luba.
Paragrahvi 1 punkt 29 – Kehtiva seaduse § 64 lõiget 1 täiendatakse teise lausega, mille kohaselt ei ole RAB-i poolt järelevalve tegemiseks läbiviidav menetlus avalik, selle toimumine on konfidentsiaalne ning andmete kasutamisel rakendatakse RahaPTS §-s 60 sätestatud piiranguid. Eeltoodud täiendus tagab selguse, et ka järelevalvemenetluse käigus kogutavate andmete osas rakenduvad RahaPTS § 60 andmete kasutamise piirangud.
Paragrahvi 1 punkt 30 – RahaPTS § 66 täiendatakse lõikega 11, milles täpsustatakse RAB-i kohustused haldusjärelevalve raames teostatava kontrolli osas. Lisanduvas lõikes tuuakse välja, et RAB alustab kontrolli teavitusega kohustatud isikule. Teavituses märgitakse kontrolli eesmärk, ulatus, kontrollitava perioodi pikkus ning kontrollimise aeg. Teavitus edastatakse kohustatud isikule hiljemalt kolm tööpäeva enne kohapealse kontrolli algust, välja arvatud juhul, kui etteteatamine ohustaks kontrolli eesmärgi saavutamist. Täpsustused tagavad RAB-i poolse selgitamiskohustuse täitmise ning kohustatud isikule selguse menetluse algusest ning tema õigustest ja kohustustest kontrolli teostamise kestel.
Paragrahvi 1 punkt 31 – Seadust täiendatakse §-ga 681, milles sätestatakse RAB-i poolt teostatava kontrolli tulemuste kajastamise erisused võrreldes RahaPTS §-s 68 sätestatud muu haldusjärelevalve tegija kontrolli tulemuste kajastamisega. FATF-i standard rõhutab järelevalvemenetlustes varasemast enam kohustatud isikute vastupanumeetmete ehk kontrollide ja kasutatavate süsteemide efektiivsuse kontrollimist. Rahapesu ja terrorismi rahastamise tõkestamise rõhuasetus on läinud järjest enam ennetusele. Samuti on täienenud regulatsioon ning kohustatud isikute ja RAB-i oskused, teadmised ja võimekus. Eeltoodut arvesse võttes ei ole läbiviidav kontroll pelgalt paberil põhinev ega üksnes protsesside korrektsust teoreetiliselt, vaid ka süsteemide võimekust reaalselt hindav tegevus. See tähendab, et järelevalve tegemisel minnakse süvitsi ettevõtte äriplaani, klientidesse, tehingutesse ja IT- süsteemidesse, eesmärgiga mõista, kas kohustatud isik on rakendanud enda riskidele omaseid rahapesu, terrorismi rahastamise riske maandavaid süsteeme/meetmeid. Hinnatakse riskiisu sisulist vastavust reaalsele kliendibaasile ning teenustele jne. Eeltoodu omakorda on tinginud selle, et RAB järelevalve sisuline maht võrreldes varasemate aastatega on oluliselt tõusnud. Samuti on järelevalvet kokkuvõtvad kontrollaktid sellest tulenevalt omakorda oluliselt sisukamad ning riskipõhisema lähenemisega. Seega on tarvilik ka täiendav aeg info analüüsimiseks ja kohustatud isikule tagasisidestamiseks.
Lõikes 1 nähakse ette, et RAB on kohustatud koostama kontrollimise tulemuste kohta kahe kuu jooksul pärast kontrolli lõppemist akti, mille toimetab kontrollitavale viivitamata kätte. Sellega luuakse erand RahaPTS § 68 lõikele 1, mis näeb haldusjärelevalve teostajale akti teatavaks tegemise ajaks ette ühe kuu alates kontrolli tegemisest.
Lõike 2 kohaselt on kontrollitaval õigus ühe kuu jooksul alates akti kättetoimetamisest esitada kirjalikke selgitusi. Võrreldes § 68 lõikega 2 asetab see kontrollitava soodsamasse olukorda ning annab kontrollitavale pikema tähtaja RAB-i poolt koostatud kontrolli aktile selgituste esitamiseks.
Lõige 3 reguleerib RAB poolt lõpliku akti koostamist. Paragrahv 68 kontrolli tulemuste kajastamisel akti koostamist kahes etapis ette ei näe, kuid RAB-i tegevust reguleeriva sätte kohaselt koostab RAB lõpliku akti pärast lõike 2 kohaselt kontrollitava kirjalike selgituste läbivaatamist, kuid mitte hiljem kui neli kuud pärast kohapealse kontrolli lõppemist. Täiendavalt sätestatakse akti kontrollitavale kättetoimetamise kohustus.
Lõike 4 kohaselt kui pärast kontrolli või kontrollitava kirjalike selgituste andmist selguvad täiendavad asjaolud või saa RAB lisainformatsiooni, võib RAB akti või käesoleva paragrahvi lõikes 3 nimetatud lõpliku akti koostamise tähtaega pikendada kuni kahe kuu võrra, tehes akti või lõpliku akti koostamise uue tähtaja kontrollitavale viivitamata teatavaks ning näidates esialgse tähtaja pikendamise põhjuse. Tähtaja pikendamine võib osutuda vajalikuks näiteks juhtudel, kus kohapealse kontrolli materjale hinnates ilmnevad uued täiendavad riskid või kontrollitav esitab akti projektile vastuväidetena täiesti uusi või seni teadmata andmeid ja dokumente. See võib nõuda põhimõtteliselt kogu läbiviidud menetluse teatud aspektides ülevaatamist, mis omakorda tingib vajaduse ka pikendada akti väljastamise aega. Tähtaja pikendamise vajadus võib esineda ka juhtudel, kus kohustatud isik esitab vahetult enne kontrolliakti väljastamist mingid uued tõendid, mille analüüsimiseks ja hindamiseks vajab RAB täiendavalt aega.
Paragrahvi 1 punkt 32 – RahaPTS § 72 lõike 1 kohaselt antakse ettevõtjale tegevusluba kui temal, tema juhtorgani liikmel, prokuristil, tegelikul kasusaajal ja omanikul on korrektne ärialane maine. Sama sätte teise lõike kohaselt ei ole isikul korrektset ärialast mainet, kui RAB on tuvastanud asjaolud, mis seavad kahtluse alla selle olemasolu või kinnitavad selle puudumist. Isiku ärialane maine ei ole korrektne muu hulgas RahaPTS § 72 lõike 2 loetelus toodud asjaolude esinemisel.
Selleks, et veenduda isiku korrektset ärialast mainet välistavate asjaolude puudumises tuuakse eraldi lõikes 22 välja meetodid, mille abil RAB kontrollib isiku ärialast mainet. Isiku ärialase maine kontrollimiseks on RAB-il õigus vestelda kontrollitava isikuga, et selgitada välja tema kõlbelised ja muud isikuomadused ning vajaduse korral võtta temalt kirjalik seletus. Vahetu suhtluse abil on RAB-il võimalik paremini aru saada isiku kavatsustest ja arusaamisest loakohustusliku tegevuse olemusest ja sellega kaasnevatest kohustustest. Samuti on vestluse käigus võimalik esitada lisaküsimusi, mis RAB-i poolt tegevusloa taotluse menetlemisel täpsustamist vajaksid, ning hinnata isiku sobivust loakohustusliku tegevusega seonduvate seadusest tulenevate kohustuste täitmisel ja vastutuse kandmisel.
RAB-il on korrektse ärialase maine kontrollimiseks õigus töödelda riigi, kohaliku omavalitsuse või muu avalik-õigusliku juriidilise isiku või eraõigusliku juriidilise isiku andmekogu, sealhulgas E-toimiku süsteemi, isikut tõendavate dokumentide andmekogu, rahvastikuregistri, töötamise registri, piirikontrolli infosüsteemi, sissesõidukeeldude registri, karistusregistri, majandustegevuse registri ja äriregistri andmeid. Andmekogudest saadavate andmete abil on võimalik tuvastada isikut, veenduda tema teovõimes ja kuritegelike seoste puudumises, veenduda finantsjärelevalve alla kuuluva isiku pankroti või tegevusloa kehtetuks tunnistamise puudumises, esimese astme kuriteo või majandusalase, ametialase, varavastase või avaliku usalduse vastase süüteo eest või terrorikuriteo või selle toimepanemisele suunatud tegevuse rahastamise või toetamise eest karistatuse puudumises, rahvusvahelise sanktsiooni puudumises, tegutsemiskeelu, ettevõtluskeelu, kehtiva ärikeelu või teataval erialal või ametikohal töötamise keelu puudumises.
Üldsusele suunatud ja avalikest allikatest kättesaadavate andmete abil on võimalik saada isiku kohta infot, mida riigi ja kohaliku omavalitsuse andmekogudesse ei koguta või mida sealt mõnel muul põhjusel ei leidu. Üldsusele suunatud ja avalikest allikatest kättesaadavate andmete abil on võimalik kontrollida näiteks seda, kas isik on jätnud avaldamata asjas tähtsust omavat informatsiooni ja valmistada ette vestlust isikuga.
Välismaiselt õiguskaitse- ja järelevalveasutuselt saadud andmed võimaldavad samuti teha kindlaks karistatuse ning äri-, ettevõtus- või muu taolise keelu puudumises mõnes välisriigis.
Isiku korrektse ärialase maine kontrolli täpsete tegevuste reguleerimine aitab kaasa halduse enesekontrolli funktsiooni täitmisele, kuna selliselt on RAB-il võimalik oma otsust hinnata konkreetsete tõendite ja selgituste põhjal. Samuti tagab see kontrollitava isiku jaoks läbipaistvuse nii kontrolli läbiviimise kui andmete töötlemise ulatuse ja eesmärgi osas.
Korrektse ärialase maine kontrolli käigus isikuandmete töötlemine riivab õigust perekonna- ja eraelu puutumatusele (PS § 26), kuna isikute sobivuses veendumiseks kasutatakse kontrolli teostamiseks mitmeid eraelu puudutavaid andmeid.
Kontrolli teostamise käigus analüüsitakse ning antakse hinnang, kas isiku poolt avaldatu vastab tegelikkusele ning kas isikul puuduvad välistused, mille tõttu ei ole võimalik rahuldada tegevusloa taotlust või määrata isikut äriühingu kontaktisikuks. Kontrolli ei ole võimalik teostada muul viisil, kui andmeandjatele päringute esitamise ja vastuste saamise ning nende analüüsimise kaudu, mistõttu on kõnealune meetod sobivaks abinõuks.
FATF-i tüpoloogiaraportites on välja toodud kuritegelike ühenduste katsed proovida finantsasutustesse tööle saata oma inimesi, et nende abil raha pesta ning vajalikku informatsiooni hankida. Nii tegevusloamenetluses kui ka kohustatud isikule kontaktisiku määramisel tuleb silmas pidada, et isikutel võivad olla kuritegelikud kavatsused või esinevad muud asjaolud, mille puhul on alust kahelda isiku maines ja seega ka sobimatuses tegevusalal tegutsemiseks. Põhjaliku maine kontrolli, sealhulgas andmekogudest saadavate andmete töötlemise tulemusena on RAB-il võimalik analüüsida ja langetada otsus, kas isikul on kõik vajalikud eeldused, et täita loakohustusliku tegevusega seotud ülesandeid või olla kontaktisiku rollis. Hoidmaks ära olukordi, kus RAB-i otsused isiku sobivuse osas tuginevad vaid isiku esitatud andmetel, mis ei pruugi vastata tegelikkusele, on vajadus teostada isikute kohta järelpärimisi asjakohastest andmekogudest.
Isikuandmete töötlemine korrektse ärialase maine kontrolliks on proportsionaalne riivega õigusele perekonna- ja eraelu puutumatusele (PS § 26). Sobivate isikute eristamise kaudu tagatakse turul tegutsevate äriühingute usaldusväärsus ja võimekus täita neile pandud kohustusi, millega omakorda tagatakse riigi julgeolek ja avalik kord ning turvaline majandus- ja finantskeskkond.
Paragrahvi 1 punkt 33 – Kehtiva RahaPTS § 77 lõike 1 punkti 2 kohaselt esitab täisühing, usaldusühing, osaühing, aktsiaselts või tulundusühistu äriregistri infosüsteemi kaudu tegelike kasusaajate andmekogusse muu hulgas andmed oma tegeliku kasusaaja poolt kontrolli tegemise viisi kohta. Direktiivi (EL) 2024/1640 artikkel 74 muudab mõnevõrra direktiivi 2015/849 artikli 30 lõike 5 sõnastust ning näeb ette, et õigustatud huvi tõendavale isikule või organisatsioonile peab olema kättesaadav teave vähemalt tegelikult kasu saava omaniku nime, sünnikuu ja -aasta, elukohariigi ja kodakondsuse ning kasu saamisega seotud huvi laadi ja ulatuse kohta. Kui muus osas vastab RahaPTS § 77 lõige 1 punkti 2 regulatsioon direktiivi 2024/1640 artiklis 74 punktis 1 sätestatule, siis erisusena puudub RahaPTS § 77 lõige 1 punkti 2 viide kasu saamisega seotud huvi ulatuse kohta. Seega RahaPTS § 77 lõike 1 punkti 2 muutmisega kohustatakse äriühingut esitama ka andmed tegeliku kasu saamisega seotud huvi ulatuse kohta.
Täienduse eesmärk on parandada tegelike kasusaajatega seotud andmete läbipaistvust. Tegeliku kasu saamisega seotud huvi ulatus peab kirjeldama saadava kasu ligikaudset osakaalu ning olema väljendatud protsentuaalselt. Näiteks, kui äriühingul on ainult üks osanik, kes omab kõiki juriidilise isiku osi, siis tuvastatakse RahaPTS § 9 alusel üks tegelik kasusaaja ja tema kasu saamisega seotud osakaal ehk ulatus on 100%. Kui tegelikuks kasusaajaks on juhtkonna liige, siis ulatuse määramine käib sarnaselt mittetulundusühingule (vt järgmist lõiku).
RahaPTS § 77 lõike 2 punkti 2 kohaselt esitab mittetulundusühing äriregistri infosüsteemi kaudu tegelike kasusaajate andmekogusse oma tegeliku kasusaaja kohta, muu hulgas andmed isiku kontrolli tegemise viisi kohta. Sarnaselt seni kehtinud RahaPTS § 77 lõike 1 punktile 2 ei ole ka mittetulundusühingutele siiani ettenähtud kohustust esitada andmeid tegeliku kasu saamisega seotud huvi ulatuse kohta. Nii tehakse RahaPTS § 77 lõike 2 punktis 2 muudatus ning sarnaselt täisühingu, usaldusühingu, osaühingu, aktsiaseltsi ja tulundusühistuga kehtestatakse ka mittetulundusühingutele kohustus esitada äriregistri infosüsteemi kaudu tegelike kasusaajate andmekogusse andmed oma tegeliku kasusaaja poolt kontrolli tegemise ulatuse kohta. Tavaliselt sõltub mittetulundusühingu puhul kontrolli tegemise ulatus otsustavas organis tegelikule kasusaajale kuuluvate häälte osakaalust.
RahaPTS § 77 lõike 3 punkti 2 kohaselt esitab sihtasutus äriregistri infosüsteemi kaudu tegelike kasusaajate andmekogusse oma tegeliku kasusaaja kohta, muu hulgas andmed isiku kontrolli tegemise viisi kohta. Sarnaselt seni kehtinud RahaPTS § 77 lõike 1 punktile 2 ei ole ka sihtasutustele siiani ettenähtud kohustust esitada andmeid tegeliku kasu saamisega seotud huvi ulatuse kohta. Nii tehakse RahaPTS § 77 lõike 3 punktis 2 muudatus ning sarnaselt täisühingu, usaldusühingu, osaühingu, aktsiaseltsi ja tulundusühistuga kehtestatakse ka sihtasutustele kohustus esitada äriregistri infosüsteemi kaudu tegelike kasusaajate andmekogusse andmed oma tegeliku kasusaaja poolt kontrolli tegemise ulatuse kohta. Kui tegelikuks kasusaajaks on soodustatud isik, siis on ulatuseks soodustatud isiku majandusliku huvi, ehk kasu saamise osakaal sihtasutuse edasiantavast kogutulust. Kui tegelikuks kasusaajaks on juhtkonna liige, siis määramine käib analoogselt mittetulundusühingule.
Paragrahvi 1 punkt 34 – RahaPTS § 77 lõike 33 kohaselt esitab usaldushaldur äriregistri infosüsteemi kaudu tegelike kasusaajate andmekogusse kõigi käesoleva seaduse § 9 lõike 6 punktides 1–5 nimetatud isikute kohta nime, isiku- või registrikoodi ja isiku- või registrikoodi riigi, isikukoodi puudumise korral sünniaja ja -koha ning elukohariigi andmed. Direktiivi (EL) 2024/1640 artikli 74 teise punkti kohaselt, millega muudetakse direktiivi (EL) 2015/849 artikli 31 lõike 4 esimest ja teist lõiku, tuleb liikmesriikidel muu hulgas tagada, et igale füüsilise või juriidilisele isikule, kes suudab tõendada, et tal on õigustatud huvi pääseda juurde tegelikult kasu saavaid omanikke käsitlevale teabele, oleks kättesaadav teave, mis sisaldab tegelikult kasu saava omaniku nime, sünnikuud ja -aastat, elukohariiki ja kodakondsust ning kasu saamisega seotud huvi laadi ja ulatust. Kehtiv sõnastus ei kohusta usaldushaldurit esitama äriregistrile andmeid kasu saamisega seotud huvi laadi ja ulatuse kohta. Seega muudetakse seni kehtinud normi vastavalt direktiivi (EL) 2024/1640 artikli 74 teise punkti sisule ning täiendatakse lõiget 33 selliselt, et usaldushaldur esitab äriregistri infosüsteemi kaudu tegelike kasusaajate andmekogusse kõigi käesoleva seaduse § 9 lõike 6 punktides 1–5 nimetatud isikute kohta ka andmed isiku kontrolli tegemise viisi ja ulatuse kohta. Sealjuures on usaldushalduse puhul kontrolli tegemise viisiks RahaPTS § 9 lõike 6 punktides 1–5 loetletud usaldushalduses osalemise viis ning ulatuse määramisel tuleb sarnaselt äri- ja mittetulundusühingutele ning sihtasutustele lähtuda tegelikult saadava kasu osakaalust usaldushalduses tervikuna.
Paragrahvi 1 punkt 35 – Lisatavas § 1043 nähakse ette, et enne käesoleva seaduse jõustumist äriregistrisse või mittetulundusühingute ja sihtasutuste registrisse kantud juriidilise isiku juhatus viib tegeliku kasusaaja andmed äriregistris RahaPTS § 77 lõike 1 punktis 2, § 77 lõike 2 punktis 2 ja § 77 lõike 3 punktis 2 ning § 77 lõikes 33 nimetatud andmetega kooskõlla hiljemalt 2026. aasta 1. juuliks. Rakendussäte annab kõnealuste sätete muutmisest tuleneva täiendavate andmete esitamise kohustuse täitmiseks mõistliku aja ning peab silmas, et vajalikud lisaandmed on võimalik esitada näiteks koos majandusaasta aruande esitamisega, mis ei suurenda andmete esitamiseks kohustatud isikutel lasuvat halduskoormust.
Paragrahvi 1 punkt 36 – punktiga täiendatakse seaduse normitehnilist märkust, kuivõrd eelnõuga võetakse üle direktiiv (EL) 2024/1640 artikkel 74, millega muudetakse direktiivi (EL) 2015/849.
§ 2. Avaliku teabe seaduse muutmine
Avaliku teabe seaduse (edaspidi AvTS) § 35 lõiget 1 täiendatakse punktiga 53, mis näeb ette, et teave Rahapesu Andmebüroo tegevuse meetodite ja taktika kohta, kui selle avalikuks tulek võib raskendada süütegude avastamist või soodustada nende toimepanemist, tunnistatakse asutusesiseseks kasutamiseks mõeldud teabeks. RAB-i tegevuse meetodite ja taktika avalikuks tulek tekitaks olukorra, kus kurjategijatel on võimalik kujundada oma tegevust selliselt, et kuriteo avastamine on raskendatud või hoopis võimatu. Sätte eesmärk on tagada, et RAB-i seadusest tulenevate ülesannete täitmine oleks tõhus ning et RAB-i funktsioon rahapesu ja terrorismi rahastamise tõkestamisel ei oleks ohustatud potentsiaalsest meetodite ja taktika lekkest, mis mõjuks nõrgestavalt kogu rahapesu ja terrorismi rahastamise tõkestamise süsteemile.
4. Eelnõu terminoloogia
Eelnõus ei leidu õigusaktides varem kasutamata ega võõrkeelseid termineid.
5. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõuga tagatakse direktiivi 2015/849 artikli 48 lõike 2, mis sätestab liikmesriikide kohustuse tagada, et pädevatel asutustel on piisavad volitused, sealhulgas õigus nõuda igasugust teavet, mis on oluline kohustuste täitmise jälgimiseks ja kontrolli teostamiseks, täitmine.
Euroopa Parlamendi ja Nõukogu direktiivi 2019/1153, millega kehtestatakse normid finants- ja muu teabe kasutamise hõlbustamiseks teatavate kuritegude tõkestamisel, avastamisel, uurimisel ja nende eest vastutusele võtmisel ning tunnistatakse kehtetuks nõukogu otsus 2000/642/JSK (ELT L 186/122, 11.07.2019), artiklis 8 tuuakse välja, et liikmesriigi poolt määratud pädevad asutused on kohustatud igal üksikjuhtumil vastama õigeaegselt riikliku rahapesu andmebüroo õiguskaitsealase teabe taotlusele, kui see teave on vajalik rahapesu, sellega seotud eelkuritegude ja terrorismi rahastamise tõkestamiseks, avastamiseks ning nende vastu võitlemiseks. Seega on liikmesriigi ülesanne võimaldada asjakohane ja kiire ligipääs andmetele, mis aitab kaasa RAB-i tegevustele tagamaks seeläbi turvaline ettevõtluskeskkond ja tugev majandus.
Eelnõuga võetakse Eesti õigusesse üle direktiiv (EL) 2024/1640 artikkel 74, millega muudetakse direktiivi (EL) 2015/849. Võrdlustabel direktiivi vastavusest Eesti õigusele on seletuskirjale lisatud (lisa 1). Direktiivi (EL) 2024/1640 teised sätted võetakse üle järgmiste RahaPTS-i muudatustega vastavalt kõnealuses direktiivis toodud tähtaegadele.
Eelnõus järgitakse määrusega (EL) 2016/679 kehtestatud nõudeid.
6. Seaduse mõjud
Rahapesu ja terrorismi rahastamise tõkestamise komisjoni ja selle juurde loodavate komisjonide korraldusega seonduvad muudatused
Mõjuvaldkond Mõju riigivalitsemisele
Mõju sihtrühm I: Rahapesu ja terrorismi rahastamise tõkestamise komisjoni ja selle juurde kuuluvate komisjonide liikmed.
Mõju ulatus
Seadusemuudatuse järgselt muutub komisjonide töö tõhusamaks, kuna komisjonide koosseisu määramise puhul ei lähtuta enam seaduses nimetatud kindlatest osalistest, vaid vajaduspõhisusest ja parema tööefektiivsuse tagamisest. Tööefektiivsuse hulka kuulub ka osaliste omavaheline konstruktiivne koostöö, mis paraneb seadusmuudatuse jõustumisel.
Järeldus mõju olulisus kohta
Mõju sagedus on, hõlmates töökorralduse ümberkujundamist, pigem ühekordne. Seadusmuudatusega ei muudeta rahapesu ja terrorismi rahastamise tõkestamise süsteemi, kuid lähtudes eesmärkide kiiremast saavutamise vajadusest muudetakse süsteemi sisu ja toimimist, mistõttu saab avalduvat mõju pidada oluliseks.
Andmete töötlemine Rahapesu Andmebüroo andmekogus
Mõju valdkond I Mõju riigi julgeolekule ja välissuhetele
Mõju sihtrühm: Ühiskonna turvalisuse tagamisel ja suurendamisel on mõjutatud sihtgrupp Eesti elanikud ja ettevõtted.
Mõju ulatus
Õigeaegselt tuvastatud rahapesu ja terrorismi rahastamise trendid ja mustrid võimaldavad oluliselt paremini saada aru riigi rahapesu ja terrorismi rahastamise riskidest, mis omakorda võimaldab tõhusamalt rahapesu ja terrorismi rahastamise ennetada ja tõkestada. Selle kaudu saab efektiivsemalt suunata nii riigi- kui ka erasektori ressursse ja vältida ning vähendada ühiskonnale rahapesu ja terrorismi rahastamisega potentsiaalselt tekkivat kahju. Rahapesu ja terrorismi rahastamise tõkestamise seisukohalt on sama oluline tõhus ja kiire andmevahetus ning andmete sihipärane ja eesmärgile suunatud kasutamine.
Strateegilise analüüsi uue andmeanalüütika eesmärk on viia rahapesu ja terrorismi rahastamise riskide hindamine kõrgemale tasemele, et see vastaks reaalsele olukorrale ja objektiivsetele asjaoludele, võimaldaks operatiivselt tuvastada, reageerida ja maandada rahapesu ja terrorismi rahastamise riske ja efektiivsemalt takistada majandusruumi ja finantssüsteemi ärakasutamist rahapesijate ja terroristide rahastajate poolt. Kasutusele võetav andmeanalüütika aitab tuvastada varajases staadiumis suuri ning Eesti mainet ja julgeolekut kahjustavaid rahapesu ja terrorismi rahastamise riske, et nii riigiasutused kui ka kohustatud isikud saaksid neile adekvaatselt reageerida. Tänapäevase majandustegevuse, ettevõtete aruandluse ja järelevalvetegevuste käigus tekib märkimisväärsel hulgal informatsiooni, millel on suur potentsiaal olla kasulik ka rahapesu ja terrorismi rahastamise mustrite ja trendide tuvastamisel.
Strateegilise analüüsi käigus pseudonüümitud andmete töötlemise eesmärgiks on andmete kogumil tuginevate rahapesu ja terrorismi rahastamise skeemide osas andmeanalüütikale tuginevate järelduste tegemine, mis on eelkõige abiks juhtimisotsuste tegemisel14. Strateegilise analüüsi funktsiooni parandamine võimaldab tõsta rahapesu ja terrorismi rahastamise vastase võitluse tõhusust, kasutada ressursse optimaalsemalt ning piirata halduskoormuse kasvu15. Strateegilise analüüsi funktsiooni väljaarendamisel tekib võimekus süsteemselt ja õigeaegselt hinnata rahapesu ja terrorismi rahastamise riske ning suunata seotud asutuste ja kohustatud isikute tegevusi riskide maandamisel analüütiliselt ja teadmiste põhiselt. Selle tulemusel paraneb finantskuritegude ja sellega seotud kuritegevuse pärssimise võimekus järelevalvetegevuste ning eesmärgipäraste menetluste kaudu. Rahapesu ja terrorismi rahastamise strateegilise analüüsi võimekuse tõstmine võimaldab märgata ja õigeaegselt reageerida tegevuste koondumistele või ümberjaotumistele ning seeläbi on kuritegude ennetamisel, tõkestamisel ja avastamisel võimalik reageerida uutele rahapesuskeemidele ja -kanalitele.
Järeldus mõju olulisuse kohta
Tegemist on püsiva sagedusega mõjuga – iga andmeanalüüsi pinnalt saadud uus teadmus võimaldab kuritegevusega tõhusamalt võidelda. Ebasoovitavate mõjude riski ei ole ette näha. Mõju siseturvalisuse suurendamisel on oluline, tagades paremini õigeaegse finantskuritegevuse ja rahapesu tuvastamise, proaktiivsema tegevuse ja parema ressursi suunamise.
Mõju sihtrühm II: Välisriikide asutused ja institutsioonid, kellega Eesti on välissuhetes. Kaudsemalt kõik Eesti ettevõtted, kes piiriüleselt tegutsevad, ja välisriigi ettevõtted, kes tegutsevad Eestis.
Mõju ulatus
Euroopa Nõukogu rahapesu ja terrorismi rahastamist tõkestav komisjoni MONEYVAL hindab FATF-i standardite täitmist ja riikide efektiivsust rahapesu ja terrorismi rahastamise tõkestamisel. Hindamise tulemus mõjutab riigi rahvusvahelist mainet ja finantsstabiilsust. Näiteks nn halli nimekirja sattumine tähendab, et riigi ettevõtete ja eraisikute ja rahavoogude suhtes rakendatakse täiendavaid hoolsusmeetmeid finantsteenuste pakkumisel, laenurahahind muutub kallimaks, välisettevõtted ei investeeri ja lahkuvad riigist.
MONEYVAL’i hindamise raportis16 toodi välja, et Eesti ei oma piisavat ülevaadet ja teadlikkust rahapesu ja terrorismi rahastamise riskidest. Ohtude ja haavatavuste tuvastamiseks on vaja paremat teadlikkust hetkeolukorrast. See on ka üks võtmesoovitusest, mille osas oodatakse edaspidi Eestilt edusamme, rõhutades siinjuures asjaolu, et edusammude tagamiseks on oluline pädeva asutuse õigus pärida analüüsiks vajalikke andmeid ning et andmed oleksid asjakohasel juhul piisavas ulatuses kättesaadavad.
Järeldus mõju olulisuse kohta
Tegemist on püsiva sagedusega mõjuga – iga analüüsi pinnalt saadud uus teadmus annab adekvaatse riskipildi tekkeks olulise teadmise ning võimaldab kuritegevusega tõhusamalt võidelda. Ebasoovitavate mõjude riski ei ole ette näha. Strateegilise analüüsi funktsiooni tõhustamine toob kaasa positiivse mõju riigi julgeolekule ning edendab ka rahvusvahelist koostööd rahapesu ja terrorismi rahastamise tõkestamisel. Samuti tagab strateegilise analüüsi funktsiooni tõhustamine FATF’i standardite täitmise ja aitab kaasa MONEYVAL’i raportis toodud puuduse võimekuses omada õigeaegset ja adekvaatset riskipilti likvideerimisele. MONEYVAL´i hindamise edukas läbimine tagab riigi hea maine ja finantsstabiilsuse, mis mõjutab olulisel määral Eesti majandust ja riigi rahandust.
Mõju valdkond II Mõju riigivalitsemisele
Mõju sihtrühm: Rahapesu Andmebüroo
Mõju ulatus
Seadusemuudatuse järgselt tuleb Rahapesu Andmebürool arendada uus andmeladu koos liidestega ning oluliselt muuta sisemisi tööprotsesse.
Loodavas strateegilise analüüsi andmelaos töödeldakse andmete kogumit, millesse kuuluvad ka teistest andmekogudest saadavad andmed, sealhulgas automatiseeritult. Isikuandmeid töödeldakse pseudonüümitud kujul. See andmeladu toetab strateegilist analüüsi ja statistilisi tegevusmõõdikuid. Lisaks toimub selle andmelao peal riskimudelite andmekaeve ning kasutatakse masinõpet riskiindikaatorite ja mustrite leidmisel.
Tehnilise lahenduse väljatöötamisega sama oluline on käesoleva seaduse muudatuse järgne RAB-i tööprotsesside ümberkujundamine. Seadusemuudatuse eesmärgiks on võimaldada Rahapesu Andmebüroo täita oma ülesandeid senisest tõhusamalt. Riskipõhist tegevust nõuavad ka FATF standardid. Eeltoodu võimaldab RAB-il edaspidi teha juhtimisotsused tuginedes varasemate kogemuste asemel värsketele andmetele. Arvestades, et osades sektorites on rahapesu ja terrorismi rahastamise teadete esitamise aktiivsus väga madal, on hetkel üksnes RAB-ile edastatud teadete pinnalt teadlikkus tegelikust olukorrast puudulik. Seda on mõnevõrra kompenseerinud RAB-i poolt seni käsitsi tehtavad strateegilised analüüsid, kuid uue andmeanalüütika kasutuselevõtt võimaldab strateegiliste analüüside läbiviimise efektiivsust ja mahtusid oluliselt tõsta. Andmeanalüütikale tuginedes andmete parem ja tõhusam kasutamine võimaldab reaalajas riskipildi tekkimist, mis aitab RAB-il targemalt oma ressurssi kasutada, vähendada käsitööd ning keskenduda riskide vaates olulisimale. Laiemalt on strateegilise analüüsi edasiarendamise tulemiks ka lähenemise muutus reaktiivsest proaktiivseks ehk võimekus reageerida uutele skeemidele ja rahapesutüpoloogiatele reaalajas, mitte tagantjärele.
Järeldus mõju olulisus kohta
Tegemist on suure ulatusega mõjuga, mille sagedus on pigem ühekordne hõlmates nii tööprotsesside ümberkujundamist, kui ka tehniliste lahenduste väljatöötamist. Ebasoovitavate mõjude riski uue andmeanalüütika kasutuselevõtuga ei ole ette näha. Arvestades mõju ulatust nii RAB töökorralduse muudatustel, kui uudsete tehnoloogiliste lahenduste väljatöötamisel saab avalduvat mõju pidada oluliseks.
Mõju valdkond III Sotsiaalsed mõjud
Mõju sihtrühm: puudutatud isikutele, kelle andmeid Rahapesu Andmebüroo andmekogus töödeldakse
Puudutatud isikuteks on kõik isikud, kelle andmeid tänases Rahapesu Andmebüroo andmekogus juba töödeldakse, ning isikud, kelle andmed on kantud riiklikesse registritesse või infokanalitesse, kus sisalduvad kõnealuste isikute ning nende majandustegevust ja varalist seisundit kajastavad andmed. Strateegilise analüüsi käigus töödeldakse isikuandmeid pseudonüümitult.
Mõju ulatus
Määruses (EL) 2016/679 ja isikuandmete kaitse seaduses sisalduv seaduslikkuse nõue tähendab, et isikuandmete töötlemiseks peab alati olema õiguslik alus. Õiguslik alus andmete töötlemiseks on määruse (EL) 2016/679 artikkel 6 lõike 1 punktis e, mille kohaselt on isikuandmete töötlemine seaduslik juhul, kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks. Isikuandmete kaitse seaduse alusel on andmete töötlemine seaduslik rahapesu ja terrorismi rahastamise alaste ning nendega seotud süütegude tõkestamiseks. Strateegilise analüüsi andmelaos pseudonüümitud andmete töötlemise eesmärgiks on andmete kogumil tuginevate rahapesu ja terrorismi rahastamise skeemide osas andmeanalüütikale tuginevate järelduste tegemine, mis on eelkõige abiks juhtimisotsuste tegemisel17. Strateegilise analüüsi funktsiooni parandamine võimaldab tõsta rahapesu ja terrorismi rahastamise vastase võitluse tõhusust, kasutada ressursse optimaalsemalt ning piirata halduskoormuse kasvu18. Selliseks uueks andmeanalüütika lahenduse loomiseks vajab Rahapesu Andmebüroo ka isikuandmeid. Isikuandmete töötlemise eesmärgi sõnastamine seaduses aitab andmesubjektil mõista, millise avalikes huvides oleva ülesande täitmiseks tema andmeid töödeldakse ning hinnata selle eesmärgipärasust.
Isikute majandustegevust ja vara puudutavaid andmeid kogutakse ja töödeldakse erinevates riiklikes andmekogudes mitmete asutuste poolt ka praegu. Rahapesu Andmebüroo andmekogus töödeldakse strateegilise analüüsi tarbeks pseudonüümitud kujul teistest andmekogudest ja infokanalitest pärinevaid isikute ning nende vara ja majandustegevusega seotud andmeid koos Rahapesu Andmebüroo andmekogu koosseisu kuuluva operatiivse analüüsi andmelaos sisalduvate andmetega.
Isikuandmete töötlus Rahapesu Andmebüroo andmekogus ei too isikutele kaasa täiendavaid kohustusi ega muudatusi andmete esitamisel puudutatud registritesse. Seega ei mõjuta muudatused sihtrühma käitumist ega too kaasa kohanemisvajadust.
Järeldus mõju olulisuse kohta
Muudatusega kaasneva mõju avaldamise sagedus on keskmine, isikute kokkupuude nende andmete töötlemisega on ebaregulaarne. Strateegilise analüüsi käigus toimub isikuandmete töötlemine pseudonüümitud kujul spetsiifilise riskivaldkonna uurimise käigus. Uuringu aktiivse andmetöötlusfaasi nädalatel tehakse korduvalt päringuid tuvastamaks kas ja kuidas mingi lisatunnuse arvestamine aitab paremini kõrge riskiga sihtgruppi piiritleda. Sõltuvalt uuringu eesmärkidest ja leidude kaalukusest hinnatakse, kas on vajalik kõrgema riskiga tehingute puhul nende teostajate andmete depseudonüümimine ja suunamine üksikanalüüsi. Hinnanguliselt jääb depseudonüümimist vajavate isikute koguarv aastas alla 200. Arvestades, et isikuandmete töötlemisega ei kaasne andmesubjektidele täiendavaid kohustusi ega kohanemisvajadusi tuleb kaasnevat mõju andmesubjektidele lugeda väikeseks.
Andmekaitsealane mõjuhinnang
Eelnõu seadusena jõustumisel töötleb RAB Rahapesu Andmebüroo andmekogus strateegilise analüüsi käigus andmete kogumit pseudonüümitult, sealhulgas automatiseeritult. Sellisel viisil andmete töötlemiseks kehtestatakse RAB-ile seadusest tulenevad alused ning sealjuures parandatakse Rahapesu Andmebüroo andmekogus tervikuna toimuva andmetöötluse läbipaistvust andmekogu eesmärkide sõnastamise kaudu. Strateegilise analüüsi käigus töödeldakse isikuandmeid eesmärgiga avastada rahapesu ja terrorismi rahastamisele või sellega seotud kuritegudele viitavaid riske, ohte, suundumusi, mustreid ja toimimisviise.
Strateegilise analüüsi läbiviimisel toimub andmeandjatelt andmestike kogumine pidevalt ja ka automatiseeritult ning enne andmete andmelattu salvestamist isikuandmed pseudonüümitakse. Andmete töötlemine andmete kogumina, sealhulgas automatiseeritult kiirendab ja muudab efektiivsemaks kuritegude ja kuritegelike mustrite avastamise ning neile adekvaatse reageerimise, kuid ei avalda puudutatud isikutele negatiivset mõju, kuna ilma kuriteo tunnuste ilmnemiseta ei toimu andmete depseudonüümimist. Andmete ülemäärane töötlemine on välistatud isikuandmete pseudonüümimisega ning isikuandmete depseudonüümimise protsessi range kontrolli tagamisega, mille käigus kasutatakse mitut riske maandavat meedet, nagu IT-süsteemi logid ja andmekaitsespetsialisti järelevalve.
Ligipääs strateegilise analüüsi käigus töödeldavatele pseudonüümitud isikuandmetele on üksnes RAB-i strateegilise analüüsiga tegelevatel teenistujatel, kes moodustavad üksnes ligi 15% RAB-i teenistujate koguarvust ning seega on RAB-i siseselt teenistujate ligipääs strateegilise analüüsi käigus töödeldavatele pseudonüümitud isikuandmetele üsna piiratud. Rahapesu Andmebüroo andmekogus sisalduvad andmed on konfidentsiaalsed ning asutusesiseseks kasutamiseks mõeldud teave avaliku teabe seaduse tähenduses. Rahapesu Andmebüroo andmekogust väljastatakse andmeid üksnes RahaPTS-s sätestatud juhtudel ja korras.
Rahapesu Andmebürool on kohustus pidada logi kõigi andmelao päringute osas ning sätestatud on kindlad reeglid selle osas, kellel on ligipääs nii pseudonüümitud andmetele, kui ka kes ja millisel viisil otsustab seaduses sätestatud eesmärkide täitmiseks isikuandmete depseudonüümimise. Rahapesu Andmebüroo andmekogu andmete säilitamise kestuse puhul nähakse ette minimaalselt vajalik aeg andmete säilitamiseks, strateegilise analüüsi teostamiseks kasutatud andmete puhul on säilitamise tähtaeg viis aastat. RahaPTS § 69 lõike 1 kohaselt teeb Rahapesu Andmebüroos registreeritud andmete töötlemise seaduslikkuse üle kontrolli Andmekaitse Inspektsioon.
Isikuandmete töötlemine on vajalik ja proportsionaalne eesmärgiga ennetada ja tõkestada rahapesu ja terrorismi rahastamise kuritegusid. Arvestades, et isikuandmete töötlemisel pseudonüümituna välistatakse ülemäärane andmetöötlus ning kasutatakse ka mitmeid meetmeid riskide maandamiseks (kitsas juurdepääsevate isikute ring, andmekaitsespetsialisti osalemine depseudonüümimise protsessis, minimaalsed vajalikud säilitamise tähtajad), ei saa pidada mõju andmesubjektile oluliseks. Seega tervikuna, kuigi mõju sihtrühm on suur ja sagedus on keskmine, on muudatustega kaasnev mõju andmesubjektidele väike.
Isikuandmete töötlemisega kaasnevaid riske ning kohaste riskide maandamismeetmete rakendamist on hinnatud ka eelnõu koostamisele eelnenud „SAF andmekaitsealases eelanalüüsis“.
Mõju valdkond IV Majanduslik mõju
Mõju sihtrühm I: kohustatud isikud. Kavandatavad muudatused võivad kaasa tuua ümberkorraldusi kohustatud isikute töös.
Mõju ulatus
RAB-i poolt RahaPTS § 54 lõike 1 punkti 2 alusel teostatava strateegilise analüüsi tulemusena saab RAB teavet rahapesu ja terrorismi rahastamise riskide, ohtude, suundumuste, mustrite ning toimimisviiside kohta. Nimetatud teave on abiks RahaPTS § 54 lõike 1 punktides 5 – 7 sätestatud RAB-i ülesannete täitmisel, mille eesmärk on aidata kohustatud isikutel efektiivsemalt planeerida ja rakendada hoolsusmeetmeid rahapesu ja terrorismi rahastamise tõkestamiseks ning finantssanktsiooni kohaldamiseks. Selle tulemusel eeldatavasti väheneb nn valepositiivsete rahapesu ja terrorismi rahastamise teadete hulk ning suure tõenäosusega muutuvad teated sisult kvaliteetsemaks. Viimane aitab omakorda kohustatud isikutel paremini riskipõhiselt tegutseda, muutes ressursikasutamise tulemuslikumaks.
Järeldus mõju olulisuse kohta
Mõju avaldumist kohustatud isikute töökorraldusele on ette näha pigem väikses ulatuses ning ühekordse mõjuna. Arvestades, et täiendava andmeanalüüsi tulemite jagamise tulemusena on kohustatud isikutel võimalus ka oma tegevust rahapesu ja terrorismi rahastamise tõkestamisel efektiivsemaks muuta, ei ole ebasoovitavaid mõjusid ette näha. Arvestades sihtrühma suurust, kuid mõju pigem ühekordset sagedust ja selle väikest ulatust, saab mõju kohustatud isikutele pidada väheoluliseks.
Mõju sihtrühm II: riigi, kohaliku omavalitsuse ja avalik-õigusliku isiku registrid andmekogud
Mõju ulatus
Seadusemuudatusega ei teki teistele andmekogu või registrite vastutavatele töötlejatele kohustust rohkemate andmete kogumiseks. Andmeandjate hulk ei muutu, kuna samu andmeid on RAB-il õigus töödelda ka käesoleval ajal (RahaPTS §-de 58 ja 59 alusel). Seni on aga riiklikesse registritesse tehtud peamiselt üksikpäringuid, strateegilise analüüsi ülesannete täitmiseks on tellitud üksikjuhtumipõhiselt konkreetsete parameetritega väljavõtteid.
Olemasolevate X-tee teenuste sobivuse ülevaatamine on eelnõu koostamise hetkel veel pooleli. Kuid juba praegu on teada, et tekib vajadus arendada ka mõned uued teenused. Sõltuvalt päritavate andmekomplektide keerukusest (vastavalt strateegilise analüüsi funktsiooni täitmise vajadustele andmete ülesotsimine ja X-tee sõnumitesse loogiliselt kokku seostamine võib olla mahukas lisatöö) on ühe teenuse arenduskulu ligikaudu 1000–5000 eurot. Seega on hinnanguliselt umbes 10 uue teenuse maksumus ligikaudu 25 000 eurot. Viidatud kulud on plaanis katta Euroopa Liidu taastefondist strateegilise analüüsi funktsiooni süsteemi arendamiseks planeeritud vahenditest.
Järeldus mõju olulisuse kohta
Tegemist on ühekordse mõjuga, mis kaasneb andmeandjatele seoses uute päringute ülesehitamise vajadusega. Ebasoovitava mõjuna võib andmeandja infosüsteemidele masspäringute tegemisel avalduda teatav koormuse kasv, mis võib mõjutada infosüsteemide toimimist. Riskide maandamiseks ja infosüsteemide koormamise vältimiseks on masspäringute tegemist võimalik ajatada näiteks tööpäeva välistele aegadele ja optimeerida tehniliste lahenduste kaudu. Arvestades mõju ulatust ning sagedust, saab mõju andmeandjatele pidada kestvaks.
Korrektse ärialase maine kontrolliga seotud muudatused
Mõju valdkond I Sotsiaalsed mõjud
Mõju sihtrühm I: kontaktisiku kandidaadid ning korrektse ärialase maine kontrolli subjektiks olevad isikud.
Mõju ulatus
Seadusmuudatuse tulemusena muutub isiku jaoks selgemaks, milliseid tegevusi tehakse ning päringuid esitatakse kontaktisiku kandidaadi sobivuse hindamise ja tegevusloamenetluse käigus. Tegevuste ulatus ei muutu. Seaduse täiendamise järgselt on isikul võimalik mõista, mida protseduur endast kujutab, ning otsustada ka selle läbimise soovi üle.
Järeldus mõju olulisuse kohta
Arvestades, et muudatus puudutab igakordset kontaktisiku kandidaadi sobivuse hindamist ja RAB-i tegevusloamenetlust on selle esinemine sage ning muudatust tuleb pidada oluliseks.
RAB-i poolt kontrolli tulemuste kajastamise ja akti koostamisega seotud muudatused
Mõju valdkond I Majanduslikud mõjud
Mõju sihtrühm I: RAB-i järelevalve all olevad kohustatud isikud
Mõju ulatus
Seadusmuudatuste tulemusena tagatakse RAB-i poolne selgitamiskohustuse täitmine ja kontrolli protseduuri raamistikust ülevaate andmine, mille tulemusel on kohustatud isikutel võimalik paremini mõista oma õigusi ja kohustusi kontrolli teostamise kestel. Järelevalvet kokkuvõttev kontrolliakti on edaspidi oluliselt sisukam ning kohustatud isikul on seega lihtsam mõista kontrolli lõpptulemust.
Järeldus mõju olulisuse kohta
Muudatuste mõju avaldub vaid kohustatud isiku üle kontrolli läbiviimisel, mis sõltub omakorda RAB-i hinnangust kontrolli teostamise vajadusele. Seetõttu on mõju kohustatud isikutele pigem väikese ulatusega ning ühekordne.
Mõju valdkond II Mõju riigivalitsemisele
Mõju sihtrühm: Rahapesu Andmebüroo
Mõju ulatus
Seadusemuudatuse järgselt tuleb RAB-il kohustatud isikutele ulatuslikumalt selgitada kontrolli teostamise raamistikku ning täiendada kontrolliakti, mis suurendab RAB-i töökoormust. Vastukaaluks on RAB-il kontrolli teostamisel pikem aeg lõpliku akti koostamiseks.
Järeldus mõju olulisus kohta
Avalduva mõju sagedus on pigem ühekordne hõlmates tööprotsesside ümberkujundamist. Kuivõrd pärast tööprotsesside ümberkujundamist on RAB-il võimalik oma järelevalvelist tegevust planeerida vastavalt vajadusele, saab avalduvat mõju pidada väheoluliseks.
7. Seaduse rakendamise seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad kulud ja tulud
Tulud
Eelduslikult võiks esialgu mõnevõrra kasvada konfiskeeritud kriminaaltulu maht, kuid kesk-pikas perspektiivis peaks see taas langema seoses Eesti muutumisega vähematraktiivseks rahapesu keskkonnaks. Seega suuremahulisi tulusid seaduse muudatusega prognoositavalt ei kaasne.
Kulud
Strateegilise analüüsi andmelao arendus toimub EL taastefondi RRF finantseerimisel. Alates 2026. a II poolaastast tuleb püsikulude katted leida riigieelarvelistest vahenditest.
Hinnanguline püsikulude vajadus aastatel 2025–2028 on toodud alljärgnevas tabelis. Arvestatud ei ole võrgustikuanalüüsi tarkvara kulu. Püsikulud kaetakse Rahandusministeeriumi eelarves ettenähtud Rahapesu Andmebüroo majandamiskuludest.
Aasta
Personali kulu
IT kulu
Kokku
2025
0
0
0
2026
0
20 000
20 000
2027
0
90 000
90 000
2028
0
95 000
95 000
8. Rakendusaktid
Eelnõuga seoses muudetakse Rahapesu Andmebüroo andmekogu põhimäärust.
9. Seaduse jõustumine
Seadus on kavandatud jõustuma 10. märtsist 2025.
10. Eelnõu kooskõlastamine, huvirühmade kaasamine ja avalik konsultatsioon
Eelnõu kooskõlastatakse eelnõude infosüsteemi EIS kaudu Haridus- ja Teadusministeeriumi, Siseministeeriumi, Majandus- ja Kommunikatsiooniministeeriumi ning Justiitsministeeriumiga. Eelnõu esitatakse arvamuse avaldamiseks Andmekaitse Inspektsioonile, RAB-ile, Rahandusministeeriumi Infotehnoloogiakeskusele, Siseministeeriumi infotehnoloogia- ja arenduskeskusele, Transpordiametile, Tarbijakaitse ja Tehnilise Järelevalve Ametile, Politsei- ja Piirivalveametile, Tartu Maakohtu kinnistusosakonnale, Tartu Maakohtu registriosakonnale, Riigi Infosüsteemide Keskusele, Maksu- ja Tolliametile, Riigi Infosüsteemide Ametile, Pangaliidule, Rahvusarhiivile.