| Dokumendiregister | Andmekaitse Inspektsioon |
| Viit | 1.2.-4/24/433-2 |
| Registreeritud | 29.02.2024 |
| Sünkroonitud | 25.03.2024 |
| Liik | Väljaminev kiri |
| Funktsioon | 1.2 Asjaajamine |
| Sari | 1.2.-4 Arvamused õigusaktide eelnõude kohta (01.03.2024 tõstetud sarja 2.3-4) |
| Toimik | 1.2.-4/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Rahandusministeerium |
| Saabumis/saatmisviis | Rahandusministeerium |
| Vastutaja | Terje Enula (Andmekaitse Inspektsioon, Menetlusvaldkond, Tiim) |
| Originaal | Ava uues aknas |
Tatari tn 39 / 10134 Tallinn / 627 4135 / [email protected] / www.aki.ee
Registrikood 70004235
Lp Mart Võrklaev
Rahandusministeerium
Teie: 15.02.2024 nr 1.1-10.1/690-1 Meie: 29.02.2024 nr 1.2.-4/24/433-2
Arvamus Rahapesu Andmebüroo
andmekogu põhimääruse muutmise eelnõule
Täname, et saatsite Andmekaitse Inspektsioonile arvamuse avaldamiseks rahandusministri 16.
detsembri 2020. a määruse nr 56 „Rahapesu Andmebüroo andmekogu põhimääruse“
muutmise eelnõu.
Meil on saadetud eelnõu osas järgmised tähelepanekud.
1. Esmalt peame vajalikuks selgitada, et isikuandmete töötlemine kujutab endast
põhiõiguste ja -vabaduste riivet, kuna mõjutab nii pere- ja eraelu puutumatust kui ka
informatsioonilise eneseteostuse vabadust. Põhiõiguste riivega on tegemist ka
isikuandmete salvestamisel andmekogus.
Põhiõiguste riive puhul tuleneb Eesti Vabariigi põhiseadusest seadusliku aluse nõue.
Põhiseaduse § 11 kohaselt tohib õigusi ja vabadusi piirata ainult kooskõlas
põhiseadusega. See aga tähendab, et selline piirang peab olema kooskõlas põhiseaduse
§ 3 lõike 1 esimese lausega, mille kohaselt teostatakse riigivõimu üksnes põhiseaduse
ja sellega kooskõlas olevate seaduste alusel. Selle põhimõtte järgi peab põhiõigusi
puudutavates küsimustes kõik olulised otsused langetama seadusandja, mis tähendab,
et ka kõik andmekogu puudutavad olulised küsimused, milleks kindlasti on
andmekogu pidamise eesmärk, töödeldavate isikuandmete liigid, andmete säilitamise
tähtajad, peavad olema reguleeritud seaduse tasandil. Sealjuures, mida intensiivsemalt
isiku põhiõigusi riivatakse (nt mida tundlikumad on andmed), seda täpsem peab olema
selleks riiveks alust andev regulatsioon.
Samuti näeb EL isikuandmete kaitse üldmääruse (IKÜM) artikkel 6 lõige 3 ette, et kui
isikuandmete töötlemise aluseks on avaliku ülesande täitmine (IKÜM artikkel 6 lõige
1 punkt e) või juriidilise kohustuse täitmine (IKÜM artikkel 6 lõige 1 punkt c), siis
tuleb töötlemise alus kehtestada liikmesriigi õigusega ning selles õiguslikus aluses
määratakse kindlaks ka isikuandmete töötlemise eesmärk, töötlemisele kuuluvate
andmete liik, asjaomased andmesubjektid, isikuandmete avaldamist ja säilitamist
puudutav.
Rahapesu Andmebüroo andmekogu (RABIS) puudutavat reguleerib rahapesu ja
terrorismi rahastamise tõkestamise seaduse (RahaPTS) § 591, mille lõike 1 järgi on
andmekogu riigi infosüsteemi kuuluv andmekogu, kus töödeldakse Rahapesu
Andmebüroo ülesannetest tulenevate toimingute ja menetlustega seotud andmeid.
Märgime, et andmekogu asutamise eesmärgiks ei saa olla andmetöötlus või andmete
2 (4)
kogumine iseenesest, vaid asutamise eesmärk peab volitusnormis olema piisavalt
konkreetne. Andmekaitse Inspektsioon on andmekogude juhendis selgitanud, et
andmekogu eesmärk peab olema seaduses selgelt sätestatud, kuna see on volitusnormi
tuum. Vajalik on, et volitusnorm annaks vastuse küsimusele, millisel konkreetsel
eesmärgil ja milliste ülesannete täitmiseks andmekogu asutatakse.
Ilmselgelt ei anna antud juhul volitusnorm vastust küsimusele, millisel eesmärgil ja
milliste ülesannete täitmiseks andmekogu asutatakse ning millises ulatuses ja kui kaua
on nende ülesannete täitmiseks vajalik andmeid töödelda.
2. Eelnõu § 1 punktiga 3 täiendatakse RABIS põhimääruse § 3 lõikega 2, mille järgi
kuulub andmekogu koosseisu ka andmeladu, mis koosneb andmekogusse kantavatest
andmetest ning infosüsteemide andmevahetuskihi X-tee kaudu tehtavate päringute
alusel salvestatavatest andmetest. Tekstist võib välja lugeda, et andmeladu koosneb nii
andmekogu andmetest kui ka X-tee kaudu saadavatest andmetest, mis järelikult ei ole
andmekogu andmeteks ehk andmelattu kogutakse eraldi X-tee kaudu tehtud
päringutega selliseid andmeid, mis ei kuulu andmekogusse kogutavate andmete hulka.
Ka seletuskiri ei täpsusta, kas ja milliseid andmeid andmelattu täiendavalt kogutakse.
Seletuskirja järgi võimaldab andmeladu praktikas luua andmekogu andmetest
analüüsiks vajalikke lisaveerge ja vahetabeleid, võimaldades vähendada oluliselt
andmekogu operatiivsüsteemi ülekoormamise riski.
Ilmselt on siiski silmas peetud seda, et andmeladu koosneb andmekogu andmetest, mis
on kas kantud andmekogusse või siis infosüsteemide andmevahetuskihi X-tee kaudu
tehtavate päringute alusel salvestatud andmekogusse.
Siiski peame vajalikuks rõhutada, et andmelaos toimuv andmetöötlus peab jääma
andmekogu puudutavatesse õiguslikesse raamidesse. Kui andmelao osas soovitakse
teha erisusi, siis tuleb see tegevus reguleerida. Kindlasti ei saa andmelao
andmekoosseis, aga ka andmete töötlemise eesmärk olla laiem, kui on toodud RABIS
põhimääruses.
Palume andmeladu puudutav osa põhjalikult üle vaadata ning hinnata, kas andmelaos
toimuv andmetöötlus on kooskõlas andmekogu pidamist puudutava regulatsiooniga.
3. Eelnõu § 1 punktiga 7 sõnastatakse põhimääruse § 8 sissejuhatav lause selliselt, et
andmekogusse kantavad andmed ei oleks piiratud samas sättes toodud loeteluga, vaid
et RABIS-sse kantakse ka muud andmed, mis kajastuvad RahaPTS § 50 tähenduses
esitataval teatel. Seletuskirjas antud selgituse järgi peaks selline sätte sõnastus
paremini tagama selle, et kui teade peaks sisaldama muid olulisi andmeid, siis ka need
teatel kajastuvad muud andmed kantakse andmekogusse. Selgusetuks aga jääb,
milliste teatel olevate andmetega on tegemist.
Siinjuures peame vajalikuks selgitada, et AvTS § 435 lõike 1 järgi tuleb andmekogu
põhimääruses muu hulgas sätestada nii andmeandjad kui ka andmekogusse kogutavate
andmete koosseis. See tähendab, et põhimäärus peab sisaldama ammendavat loetelu
andmekogusse kogutavatest andmetest, sh peab andma ülevaate andmetest, mida
andmeandjad RABIS-sse edastavad.
Andmeandjatena loetleb kehtiva põhimääruse § 19 lõige 2 kuut andmekogu, kuid
põhimääruses puudub teave selle kohta, milliseid põhimääruse 2. peatükis loetletud
andmeid need kuus andmekogu RABIS-sse edastavad.
Samas soovitakse eelnõu § 1 punktiga 17 täiendada põhimääruse § 19 veel kahe
lõikega, kus on täiendavalt loetletud 11 andmekogu, mis hakkavad edastama tehingu
osapooltega ning tehingu osapoolte majandustegevuse ja varaga seotud andmeid.
3 (4)
Samas puudub igasugune teave selle kohta, milliseid konkreetseid andmeid mingi
loetelus toodud andmekogu RABIS-sse edastab.
Seletuskirjast nähtuvalt teeb Rahapesu Andmebüroo oma seadusest tulenevate
ülesannete täitmiseks andmekogudesse päringuid, et nt kontrollida juhatuse liikme
haridust, sissesõidukeelu olemasolu, tuvastada kinnisasjade arvulist muutumist või
liiklusregistrisse kantavaid varasid jne. Samas ei nähtu põhimäärusest, kas ja millises
ulatuses päringu tulemusel saadud andmeid RABIS-sse salvestatakse.
Samuti täiendatakse eelnõu § 1 punktidega 13 ja 14 põhimääruse § 17, laiendades
andmekogusse kogutavate andmete koosseisu. Samas ei ole selge, milliste ülesannete
täitmiseks ning milliseid konkreetseid andmeid selle sätte alusel andmekogusse
koguma hakatakse.
Nagu eelnevalt selgitatud, siis peab andmekogu põhimäärus võimaldama üheselt aru
saada, milliseid andmeid andmekogusse kogutakse ehk andmekogu põhimäärus peab
sisaldama andmekogusse kogutavate andmete ammendavat loetelu. Kui andmete
koosseis on väga mahukas, siis võib loetelu esitada põhimääruse lisana.
4. Eelnõu § 1 punktiga 10 täiendatakse põhimääruse § 14 lõiget 1 selliselt, et isiku kohta,
kelle osas on esitatud teade, hakatakse andmekogusse koguma ka rahvust. Nõuded
Rahapesu Andmebüroole esitatava teate sisule ja vormile on kehtestatud
rahandusministri 20.11.2020 määrusega nr 42. Nimetatud määruse lisas 1 toodud vorm
ei näe ette rahvuse kogumist.
Siinjuures peame vajalikuks selgitada, et rahvus kirjeldab isiku etnilist päritolu,
mistõttu liigitub eriliiki isikuandmeteks. IKÜM artikkel 9 lõike 1 järgi on keelatud
töödelda isikuandmeid, millest ilmneb isiku rassiline või etniline päritolu. Selliste
andmete töötlemine on lubatud üksnes juhul, kui töötlemise osas kehtib üks sama
artikli lõike 2 loeteletud asjaolu. Antud juhul võib selliseks asjaoluks olla vajadus
töödelda andmeid olulise avaliku huviga seotud põhjustel, kuid seda tohib teha ainult
liidu või liikmeriigi õiguse alusel ning töötlemine peab olema proportsionaalne
saavutatava eesmärgiga, austama isikuandmete kaitse õiguse olemust ja tagama
sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks.
Antud juhul jääb selgusetuks, millisel õiguslikul alusel ja eesmärgil toimub rahvuse
andmete kogumine andmekogusse.
5. Kehtiva põhimääruse § 19 lõike 1 järgi on andmekogu vastutaval töötlejal lubatud
seadusega või seaduse alusel kehtestatud õigusaktidega talle pandud ülesannete
täitmiseks esitada päringuid teistesse riigi või kohaliku omavalitsuse andmekogudesse
ja sealt saada andmeid. Tegemist on sisutühja normiga, kuna õigus teistelt isikutelt ja
asutustelt andmeid saada ei saa tuleneda andmekogu põhimäärusest, vaid seaduse
menetlusnormidest, mis asutuste tegevusele kohalduvad.
Sama lõike teine lause näeb ette, et andmevahetus andmekogudega toimub
andmevahetuskihi X-tee kaudu. Juhime tähelepanu sellele, et AvTS § 439 lõike 5
alusel peabki andmevahetus riigi infosüsteemi kuuluvate andmekogudega ja riigi
infosüsteemi kuuluvate andmekogude vahel toimuma läbi riigi infosüsteemi
andmevahetuskihi ning seadus ei näe ette muid viise. Seetõttu puudub vajadus seda
põhimääruses üle korrata.
6. Eelnõu § 1 punktiga 18 täiendatakse põhimääruse § 25 uue lõikega, millega piiratakse
andmesubjekti juurdepääsu tema kohta andmekogus sisalduvatele andmetele,
sealjuures järgitakse andmete väljastamisel RahaPTS sätestatud piiranguid.
4 (4)
Selgitame, et IKÜM artiklist 15 tuleneb andmesubjekti õigus tutvuda tema kohta
kogutud andmetega. Seda õigust võib IKÜM artikkel 23 lõike 1 kohaselt piirata
seadusandliku meetmega, kui selline piirang austab põhiõiguste ja -vabaduste olemust
ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede.1
Seega võimaldab IKÜM küll piirata andmesubjekti õigusi siseriikliku seadusega, kuid
seda ainult IKÜM artikkel 23 lõikes 1 loetletud eesmärkidel ning selgelt piiritletult.
IKÜM artikkel 23 lõige 2 sätestab, millistele nõuetele selline norm peab vastama ehk
lühidalt öeldes peab normist selguma, kes, miks, millisel juhul ja viisil ning kui pikaks
ajaks võib andmesubjekti õigusi piirata, kuidas andmesubjektile vastatakse ning kus
saab vaidlustada.
Põhimääruse eelnõus viidatud RahaPTS normid on üldkehtivad kõigile ja neid ei saa
pidada kooskõlas olevaks IKÜM artiklis 23 kehtestatud nõuetega.
Andmekogude kontekstis on Andmekaitse Inspektsiooni eesmärk püüelda selle poole, et
andmekogu pidamist reguleerivaid sätteid lugedes oleks kiirelt ja üheselt võimalik aru saada,
miks ja milliseid andmeid kogutakse, kuhu neid kogutakse, kust andmed on saadud ja kellega
neid jagatakse. Just andmekogu põhimäärus peakski looma siin selgust ja läbipaistvust ning
selles osas on eelnõul teatud vajakajäämisi.
Lugupidamisega
(allkirjastatud digitaalselt)
Liisa Ojangu
valdkonnajuht
peadirektori ülesannetes
Koostaja: Terje Enula
[email protected], telefon 627 4144
1 IKÜM põhjenduspunkt 73 selgitab, et piirangud, mis puudutavad konkreetseid põhimõtteid ja õigust saada
teavet, andmetega tutvuda, nõuda nende parandamist ja kustutamist või õigust andmeid ühest süsteemist teise
üle kanda, õigust esitada vastuväiteid, profiilianalüüsil põhinevaid otsuseid, samuti andmesubjekti
isikuandmetega seotud rikkumisest teavitamist ning vastutavate töötlejate teatavaid seonduvaid kohustusi, võib
kehtestada liidu või liikmesriigi õiguses, kui selline piirang on demokraatlikus ühiskonnas vajalik ja
proportsionaalne selleks, et tagada avalik julgeolek, sealhulgas inimelude kaitsmine eelkõige loodus- ja
inimtegevusest tingitud õnnetustele reageerimisel, süütegude tõkestamine, uurimine ja nende eest vastutusele
võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest
kaitsmine või nende ennetamine või reguleeritud kutsealade ametieetika rikkumise ennetamine, liidu või
liikmesriigi muu üldise avaliku huvi, eelkõige liidu või liikmesriigi olulise majandus- või finantshuvi oluline
eesmärk; üldisest avalikust huvist lähtuvate avalike registrite pidamine, arhiveeritud isikuandmete täiendav
töötlemine endise totalitaarse riigikorra tingimustes toimunud poliitilise tegevusega seotud konkreetse teabe
andmiseks, andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse, sealhulgas sotsiaalkaitse,
rahvatervis ja humanitaareesmärgid. Nimetatud piirangud peaksid vastama hartas ning Euroopa inimõiguste ja
põhivabaduste kaitsekonventsioonis sätestatud nõuetele.
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Põhimääruse muutmise määrus | 15.02.2024 | 40 | 1.2.-4/24/433-1 🔒 | Sissetulev kiri | aki | Rahandusministeerium |