| Dokumendiregister | Rahandusministeerium |
| Viit | 1.1-10.1/5153-17 |
| Registreeritud | 07.01.2025 |
| Sünkroonitud | 08.01.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.1 ÜLDJUHTIMINE JA ÕIGUSALANE TEENINDAMINE |
| Sari | 1.1-10.1 Ministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega (Arhiiviväärtuslik) |
| Toimik | 1.1-10.1/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Andmekaitse Inspektsioon |
| Saabumis/saatmisviis | Andmekaitse Inspektsioon |
| Vastutaja | Mirjam Rannula (Rahandusministeerium, Kantsleri vastutusvaldkond, Finants- ja maksupoliitika valdkond, Finantsteenuste poliitika osakond) |
| Originaal | Ava uues aknas |
ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee / registrikood 70004235
Rahandusministeerium Teie 20.11.2024 nr 1.1-10.1/5153-1 Meie 06.01.2025 nr 2.3-4/25/2979-2
Arvamuse avaldamine eelnõule (Krediiditeabe jagamise seadus)
Täname, et saatsite Andmekaitse Inspektsioonile (AKI) arvamuse avaldamiseks krediiditeabe
jagamise seaduse eelnõu (eelnõu). AKI-l on esitatud eelnõu osas järgmised tähelepanekud.
1. Andmekogu definitsioon (AvTS § 431)
Eelnõu § 6 lg 1 ütleb, et krediiditeaberegister on krediidivõimelisuse hindamise eesmärgil
krediidiandjale krediiditeabe kättesaadavaks tegemiseks peetav riigi andmekogu. Sama paragrahvi
lg 2 täpsustab, et krediiditeaberegister ei ole riigi infosüsteemi kuuluv andmekogu. AKI peab
vajalikuks selgitada, et andmekogu mõiste tuleneb AvTS-ist, mis ei tunne sellist terminit nagu riigi
andmekogu.
AvTS § 431 lg 1 kohaselt on andmekogu riigi, kohaliku omavalitsuse või muu avalik-õigusliku
isiku või avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud
andmete kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või
rahvusvahelises lepingus sätestatud ülesannete täitmiseks. Riigi infosüsteemi kuuluvad kõik
seaduse alusel asutatud andmekogud, v. a andmekogud, mis on asutatud asutuste vaheliseks
dokumentide menetlemiseks. Tulenevalt krediiditeaberegistri eesmärgist ning töödeldavate
andmete iseloomust ei ole ilmselgelt see asutatud asutuste vaheliseks dokumentide menetlemiseks,
seega kuulub krediiditeaberegister riigi infosüsteemi.
Ainus erinevus „tavalise“ andmekogu ja sisemise töökorralduse vajaduseks asutatud andmekogu
vahel puudutab andmekogu kooskõlastamise nõuet RIHA-s (vt AvTS § 43³ lg 4).
AvTS § 432 lg 1 näeb ette riigi infosüsteemi kuuluvatele andmekogudele lisatingimusena
andmevahetuskihiga liitumise kohustuse. Kuna krediiditeaberegister ei vahetata andmeid x-tee
vahendusel, peaks sellest AvTS-i nõudest kõrvalekaldumine erisusena olema määratud seadusega.
Ülaltoodust tulenevalt soovitab AKI sõnastada eelnõu § 6 lg 1 ja 2 ümber selliselt, et andmekogu
õiguslik staatus oleks tulenevalt AvTS regulatsioonist korrektselt määratud, lisaks tuleb ette näha
erisus, mis võimaldab AvTS § 432 lg-s 1 nimetatud andmevahetuskihiga liitumise kohustusest
kõrvale kalduda.
2. Andmekogu vastutav ja volitatud töötleja (AvTS § 43⁴)
Eelnõu § 6 lg 4 kohaselt on krediiditeaberegistri vastutav töötleja Rahandusministeerium ja
volitatud töötleja on registripidaja. Sama paragrahvi lg 3 kohaselt on registripidaja ettevõtja,
2 (5)
kellele on § 12 alusel antud õigus registrit pidada. Seletuskirjas on selgitatud, et
Rahandusministeerium delegeerib avaliku ülesande täitmise registripidajale, kes peab registri
pidamise käigus isikuandmete töötlemisel lähtuma avaliku ülesande täitmisel krediiditeabe
jagamise seadusega kehtestatud nõuetest. Registripidajal puudub võimalus otsustada isikuandmete
töötlemise eesmärgi ja vahendite üle, seega on tegemist volitatud töötlejaga.
Rahandusministeerium nii isikuandmete vastutav töötleja kui ka andmekogu vastutav töötleja ning
registripidaja isikuandmete volitatud töötleja ja andmekogu volitatud töötleja.
Registripidajaga sõlmitakse haldusleping. Seejuures arusaamatuks jääb, kas halduslepinguga
antakse üle registri pidamine kui avalik ülesanne või sõlmitakse leping registri pidamiseks
Rahandusministeeriumi nimel ning kas ja mis osas Rahandusministeerium tegelikult kontrollib
registri tegevust.
Küsimusi tekitab ka vastutuse regulatsioon. Eelnõu § 57 kohaselt hüvitab registripidaja
registripidamisel oma kohutuste rikkumisega tekitatud kahju. Selgusetu on, kas see säte hõlmab
ka IKÜM-i alast vastutust. IKÜM-i art 82 lg 1 kohaselt vastutab isikuandmete töötlemise
põhimõtete rikkumise eest andmekogu vastutav töötleja. Kõnealuse töötlemisega seotud vastutav
töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse
käesolevat määrust. Volitatud töötleja vastutab töötlemise käigus tekitatud kahju eest ainult siis,
kui ta ei ole täitnud käesoleva määruse nõudeid, mis on suunatud konkreetselt volitatud
töötlejatele, või kui ta pole järginud vastutava töötleja seaduslikke juhiseid või on tegutsenud
nende vastaselt (IKÜM art 82 lg 2).
AvTS § 43⁵ lg 1 näeb ette, et andmekogu põhimääruses sätestatakse andmekogu pidamise kord,
sealhulgas andmekogu vastutav töötleja (haldaja) ja vajaduse korral volitatud töötleja,
andmekogusse kogutavate andmete koosseis, andmeandjad ja vajaduse korral muud andmekogu
pidamisega seotud korralduslikud küsimused. Kuna krediiditeaberegistrile ei ole planeeritud
põhimääruse loomist, peaksid kõik andmekogu tegevust reguleerivad peamised komponendid
kajastuma seaduses. Seega eelnõus peaks vastutava töötleja rolli (ülesanded) ja vastutuse
selgemini välja tooma ning nägema ette piisavad turvameetmed andmete võimaliku ebaseadusliku
kasutamise vastu. Eelnõuga küll sätestatakse registripidajale kohustus hoiduda muust
äritegevusest (eelnõu § 25 lõige 2), kuid AKI hinnangul ei ole see piisav võimalike ohtude
ärahoidmiseks.
3. Turvameetmed
Arvestades registris töödeldavate andmete laadi ja seda, et registripidajaks on eraettevõtte, on väga
oluline tagada töötlemise piisav turvalisus. Eelnõu ei käsitle üldse andmevahetuse turvalisuse ja
infoturbe küsimusi, kasutatavate infotehnoloogiasüsteemide turvalisust ning kontrollimist
puudutavate teemade regulatsioon on jäetud sisemistele protseduurireeglitele (eelnõu § 33 lg 4 p
7). Rakendusaktiga küll määratakse teatud turvameetmed, kuid kuna tegemist on praktiliselt terve
riigi elanikkonna isikuandmete töötlemisega, ei ole AKI hinnangul mõistlik jätta isikuandmete
töötlemise turvalisust puudutav regulatsioon seaduses käsitlemata.
AKI hinnangul peaks ka eelnõus registri toimimise osas täpsemalt ette nägema, et registris
sisalduva teabe töötlemiseks kasutatav tehnoloogia peab vastama teatud kõrgendatud turvalisuse
nõetele (mitte ainult KüTS-is tulenevad nõuded), mis võimaldaks andmesubjektide õiguste tõhusat
kaitset. Seadusega võiks määrata turvameetmete üldised tingimused ja eesmärgid, täpsemad
turvameetmed ja nende rakendamise reegeid saaks määruses ja protseduurireeglites täpsustada.
4. Registri andmete avaldamine
Eelnõu § 10 reguleerib juurdepääsuõigust registris olevatele andmetele. Paragrahvi pealkiri räägib
aga andmete avaldamisest. Andmete avaldamine tähendab andmete avalikuks tegemist. Registri
andmed ei ole aga avalikud andmed, vaid nende puhul tegemist on juurdepääsupiiranguga teabega,
3 (5)
mida väljastatakse eelnõu §-s 10 toodud isikuteke ja seda konkreetsetel eesmärkidel.
Eelnõus ei ole sätestatud, kas andmesubjektile ja teistele eelnõu §-s 10 toodud isikutele andmete
väljastamise üle (õigusliku aluse olemasolu kontrollimine jms) otsustab vastutav töötleja ehk
Rahandusministeerium või ta volitab kontrollkohustuse volitatud töötlejale (registripidajale).
Lisaks märgime, et eelnõu § 10 lg 1 p 2 käsitleb ainult tarbija õigust saada andmed, tegelikult
andmeid tuleb väljastada ka teistele isikuetele, kelle andmed registris töödeldakse (nt käendajale).
Eelnõust ei selgu, kas registripidajal endal on juurdepääs isikuandmetele. AKI hinnangul saab
nimetatud küsimuse lahendada erinevalt sõltuvalt tehnilisest lahendusest. Siiski juhul, kui
registripidajale võimaldatakse juurdepääs registri andmetele, peab see olema seaduses sõnaselgelt
reguleeritud.
5. AKI-lt arvamuse küsimine
Eelnõu § 12 lg 3 kohaselt võib minister registripidaja määramisel küsida arvamust Andmekaitse
Inspektsioonilt. Säte sõnastus ega seletuskiri ei võimalda aga aru saada, milliste asjaolude osas
peaks AKI arvamust avaldama, sh ei selgu, kas AKI arvamusel on ka siduv tähendus ning millist
rolli see arvamus mängib registripidaja valimise menetluses.
6. Finantsinspektsioonile (FI) esitatavad andmed
Eelnõu § 19 lg 1 p-de 3 ja 6 kohaselt tuleb FI-le esitada usaldusväärsust, kogemusi, kompetentsust
ja laitmatut mainet kinnitavad dokumendid. Eelnõu § 19 lg 1 p 12 kohaselt tuleb esitada füüsilisest
isikust omandaja varanduslikku seisu tõendavad dokumendid kolme viimase aasta kohta.
Arusaamatuks jääb, millised konkreetsed dokumendid esitama peab.
Eelnõu 19 lg 4 annab Finantsinspektsioonile õiguse nõuda andmeid suuremas mahus, kui on
sätestatud käesoleva paragrahvi lõike 1 punktides 3 ja 6. Viidatud säte ei taga läbipaistvust,
arusaamatuks jääb, milliseid andmeid siis FI ikkagi võib nõuda.
Seletuskirjas on täpsustatud, et see, millised dokumendid isik menetluses esitab sõltub temast, sest
Finantsinspektsioon ei pruugi teada, mis teave võib oluline olla hinnangu andmise jaoks. Lisaks
seadusele on Finantsinspektsioon ja Euroopa Liidu vastavate institutsioonide antud vastavad
juhendid, mille pinnalt saab isik otsustada, millised asjakohased materjalid ta esitab ja kui
läbipaistev ta järelevalveasutusega on.
AKI hinnangul peab töödeldavate isikuandmete koosseis (vähemalt liigiti) olema kindlaks
määratud seaduses. Andmesubjektile peab olema ettenähtav töödeldavate isikuandmete iseloom ja
ulatus ning selge peab olema konkreetsete andmete töötlemise eesmärk (andmete kogumine nö
igaks juhuks ei ole kooskõlas IKÜM art-s 5 sätestatud minimaalsuse põhimõttega).
Eelnõu § 19 lg 1 p 18 kohaselt peab esitama välisriigi kodaniku puhul tema päritoluriigi
karistusregistri väljavõte või pädeva kohtu- või haldusorgani väljastatud samaväärne dokument,
mille väljastamisest ei ole möödunud rohkem kui kolm kuud. Eesti kodanike puhul aga ei ole
seaduses sätestatud, et FI-l on õigus kontrollida nimetatud andmeid karistusregistrist. Seletuskirjas
on aga toodud, et Eesti kodanike karistatust saab Finantsinspektsioon kontrollida karistusregistrist.
Karistusregistri seaduse § 16 keelab otsesõnu nõuda karistusregistri väljavõtet. Kontrolliks
vajalike andmete karistusregistrist saamise õigus ei tekki FI-l automaatselt, vaid seda võimaldav
alus peab olema sätestatud seaduses (sh peaks täpsustama, kuidas on tagatud FI juurdepääs
andmekogusse).
AKI palub kaaluda võimaluse sätestada eelnõus konkreetsemalt, milliseid andmeid ja millistest
andmekogudest ja muudest allikatest on FI-l õigus selleks töödelda.
4 (5)
Eelnõus on jäänud täiesti reguleerimata FI kontrolli käigus kogutud isikuandmete säilitamine. AKI
hinnangul peab ka nende andmete säilitustähtaeg olema sätestatud üheselt arusaadavalt seaduses
ning seletuskirjas peab olema lisatud põhjendused selle pikkuse kohta.
7. Järelevalve registripidajaga sõlmitud lepingu täitmise üle
Eelnõuga on reguleeritud järelevalve seaduses registripidajale kehtestatud nõuete täitmise üle.
Reguleerimata on aga jäänud küsimus registripidajaga sõlmitud lepingu täitmise üle järelevalve
teostamise kohta. Eelnõu peab sisaldama regulatsiooni selle kohta, kes teostab järelevalvet
seaduses ja lepingus sätestatud nõuete täitmise üle, sealhulgas registri pidamise ja andmete
töötlemise üle.
Eelnõu küll annab valdkonna eest vastutavale ministrile õiguse registripidamiseks sõlmitud leping
ennetähtaegselt lõpetada mõjuval põhjusel, milleks on eelkõige registripidaja kohustuste oluline
rikkumine või tema maksejõulisuse oluline vähenemine, kuid seda aga ei ole AKI arvates võimalik
käsitleda järelevalve pädevuse määramisena andmekogu pidamise üle. Juhul kui lepingu täitmise
ja andmekogu pidamise üle teostab järelevalvet Rahandusministeerium, tuleb see eelnõus selgelt
välja tuua.
Reguleerimata on jäänud ka registri ja registris olevate andmete saatus juhul, kui
registripidamiseks sõlmitud leping ennetähtaegselt lõpetatakse, sh kes tagab sellisel juhul registri
toimimise. Eeldada võiks, et Rahandusministeerium vastutava töötlejana peaks sellisel juhul
võtma enda peale registri pidamise üle. Tegemist on aga küsimusega, mis peab AKI hinnangul
olema selgelt reguleeritud seaduse tasandil, et tagatud oleks andmete töötlemise läbipaistvus ja
andmesubjektide turvatunne. Eelnõuga võiks ette näha ka üldisemad reeglid registri pidamise
üleandmise kohta, seda siis mitte ainult lepingu erakorralisel lõpetamisel, vaid ka korralisel
lõppemisel juhul, kui registripidaja peaks vahetuma.
8. Andmesubjekti õiguste piiramine
Eelnõu § 44 lg 2 kohaselt võib isikule teabe andmisest keelduda, kui see kahjustab või võib
kahjustada kolmanda isiku õigustatud huve või andmetega tutvumine takistab järelevalve
eesmärkide saavutamist või ohustab tõe väljaselgitamist kriminaalmenetluses. Kuivõrd loodava
sätte mõte on piirata andmesubjekti õigust saada juurdepääsu enda andmetele IKÜM art 23
tähenduses, siis AKI hinnangul on hetkel piirangut kehtestav säte liiga üldine.
Isiku õigus tutvuda enda kohta kogutud andmetega tuleneb IKÜM art-st 15. Seda õigust saab
IKÜM art 23 kohaselt piirata seadusandliku meetmega, kui selline piirang austab põhiõiguste ja -
vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et
tagada IKÜM art 23 lõike 1 alapunktides sätestatud eesmärke. IKÜM art 23 lg 2 täpsustab,
milliseid sätteid peab viidatud seadusandlik meede sisaldama.
Euroopa Kohus on IKÜM art 23 lg-s 1 sätestatud mõiste „seadusandlik meede“ kohta öelnud,
võttes arvesse IKÜM-is, aluslepingutes ja hartas sätestatut, et õigusaktid, mis sisaldavad sellist
riivet lubavat meedet, peavad sätestama selged ja täpsed reeglid, mis reguleerivad kõnealuse
meetme ulatust ja kohaldamist ning kehtestavad miinimumnõuded, millest tulenevalt on isikutel,
kelle isikuandmetega on tegu, piisavad tagatised, mis võimaldavad neid andmeid kuritarvitamise
ohu eest tõhusalt kaitsta. Järelikult peavad kõik IKÜM art 23 alusel võetud meetmed olema selged
ja täpsed, nagu liidu seadusandja on seda ka määruse põhjenduses 41 rõhutanud, ning nende
kohaldamine peab olema õigussubjektidele ettenähtav. Eelkõige peab viimastel olema võimalik
kindlaks teha asjaolud ja tingimused, mille esinemisel võib neile selle määrusega antud õiguste
ulatust piirata1.
1 Euroopa Kohtu 24.02.2022 otsuse nr C-175/20 p-d 52‒57
5 (5)
Eelnõus ega seletuskirjas ei ole selgitusatud, milliste õiguste kaitseks piirang sätestatakse ning kui
kaua see kestab (piirang ei tohi olla igavene – seadusega tuleb sätestada, et kui õiguste piiramise
aluseks olev asjaolu langeb ära, siis tuleb isikule tema õigused tagada). Seega tuleks AKI
hinnangul kaaluda võimalust andmesubjekti õigusi piirava sätte sõnastuse täpsustamist.
Lugupidamisega
(allkirjastatud digitaalselt)
Pille Lehis
peadirektor
Irina Meldjuk
+372 6274108
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|