Tere, Gerttu Johanna
Täname, et pöördusite oma küsimustega inspektsiooni poole. Nüüd tuleb küll pikem vastus, kuid tundub, et peame natuke tausta avama. Eristada tuleks täitmisregistrist kui sellist ja selle asutamise ning kasutuselevõtuga õiguslikke probleeme (puudub põhimäärus,
läbimata andmekogu kooskõlastus- ja registreerimisprotseduur) ja täitmisregistri kui tehnilise vahendi kasutamist päringute tegemiseks ja võimalikke õiguslikke küsimusi selle ümber.
Hetkel on suurim mure selles, et täitmisregister on kasutusele võetud õigusaktides kehtestatud kordasid eirates. Tänaseks on teada, et vähemasti üks oluline puudus on kõrvaldatud – andmekogu põhimääruse kehtestamine. Täitmisregistri vastutav töötleja on Justiits-
ja Digiministeerium, kuid registri osana loodud tehnilise võimaluse kasutamisel päringute tegemise osas on vastutav iga päringut tegev asutus. See tähendab, et päringute tegijatel sh Rahapesu Andmebürool (RAB) kas tuleb või ei tule õiguslik alus selliseid
andmeid pärida tema tööd reguleerivatest õigusaktidest.
Ehk siis esmalt peaks saama vastuse küsimusele, kas näiteks RAB-il, Maksu- ja Tolliametil (MTA) ja Politsei- ja Piirivalveametil (PPA) on olnud tarvis mõne menetluse raames isikute pangakonto väljavõtet küsida, seejärel kas täitmisregistri kasutamine selliste
päringute tegemiseks on olnud õiguspärane.
Üldiselt Teie küsimuste juurde minnes, siis igasuguseks isikuandmete töötlemiseks peab alati olema õiguslik alus. Siinkohal peaks hindama kahte küsimust, kas RAB-il on seadustest tulenev õigus isikute pangakonto väljavõtet saada ja kas ta võib isikuandmeid
töödelda ehk päringuid teha täitmisregistri kaudu. Plaanime algatada järelevalvemenetluse täitmisregistri üle. Kui andmete töötlemiseks õiguslik alus puudub on tegemist rikkumisega.
Siinkohal peab siiski toonitama, et isikuandmete töötlemise õiguspärasuse eest vastutab ikkagi ennekõike iga vastutav töötleja ehk iga asutus ise. Tänases olukorras peaks ta vaatama üle ka oma päringud, hindama ja vastavalt sellele tegutsema. Juhime tähelepanu,
et igas avaliku sektori asutuses peab olema määratud andmekaitsespetsialist, kelle roll on just selliseid sõltumatuid andmekaitseauditeid läbi viia. Kui juba on toimunud rikkumine, siis sellest teavitamise kohustus tuleb isikuandmete kaitse üldmäärusest
(IKÜM) ja päringuid teinud asutused peavad võimaliku rikkumise korral hindama, kas tegemist on sellise rikkumisega, mis nõuab ka teavitamist. Et selliseid olukordi vältida, peab iga ministeerium üle vaatama kogu oma valitsemisala andmekogud ja nende pidamist
reguleerivad õigusaktid, et tagada nende vastavuse isikuandmete kaitse reeglitele ja pidamist reguleerivatele normidele, eelkõige seaduses olevad volitusnormid ja kas isikuandmete töötlus on arusaadav ja läbipaistev.
Saatja: Gerttu Johanna Riik <
[email protected]>
Saadetud: teisipäev, 8. juuli 2025 14:19
Adressaat: press - AKI <
[email protected]>
Teema: Küsimused seoses RAB ligipääsuga pangaväljavõtetele täitmisregistri kaudu
|
Tähelepanu!
Tegemist on välisvõrgust saabunud kirjaga.
Tundmatu saatja korral palume linke ja faile mitte avada.
|
Tere!
Mina olen Gerttu, Postimehe majandustoimetuse suvereporter ja kirjutan seoses avalikuks tulnud probleemiga, mille kohaselt on Rahapesu Andmebürool olnud ligipääs inimeste ja ettevõtete pangaväljavõtetele läbi täitmisregistri. Õiguskantsleri hinnangul võib selline
andmetele ligipääsu praktika olla vastuolus põhiseadusega.
Palun Andmekaitse Inspektsiooni kommentaari järgmistele küsimustele:
-
Kas Andmekaitse Inspektsioon peab Rahapesu Andmebüroo tegevust sel juhul probleemseks isikuandmete töötlemise seisukohalt?
-
Kas selline andmete kogumine ja kasutamine täitmisregistri kaudu vastab kehtivale õigusele?
-
Kas Andmekaitse Inspektsioon on algatanud selle juhtumiga seoses järelevalvemenetluse või plaanib seda teha?
-
Kas teie hinnangul tuleks inimesi, kelle andmetele ligi pääseti, sellest teavitada? Kas kehtiv õigus seda nõuab või võimaldab?
-
Kas teie hinnangul oleks vaja teha sõltumatu audit või andmekaitseline hindamine, et selgitada, kui ulatuslik oli andmetele ligipääs, kui palju juhtumeid olid tööülesannetest tingitud
ja kui palju võis olla võimalikke kuritarvitusi?
-
Milliseid samme võiks riik või andmekogude haldajad edaspidi astuda, et sarnaseid olukordi vältida ning parandada läbipaistvust ja andmekaitset?
Ootan vastuseid võimalusel homseks (9. juuliks) kella 12-ks.
Lugupidamisega
Gerttu Johanna Riik
Postimehe majandustoimetus
53341934