| Dokumendiregister | Rahandusministeerium |
| Viit | 1.1-10.1/1802-1 |
| Registreeritud | 22.04.2026 |
| Sünkroonitud | 23.04.2026 |
| Liik | Õigusakti eelnõu |
| Funktsioon | 1.1 ÜLDJUHTIMINE JA ÕIGUSALANE TEENINDAMINE |
| Sari | 1.1-10.1 Ministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega (Arhiiviväärtuslik) |
| Toimik | 1.1-10.1/2026 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Jarmo Lilium (Rahandusministeerium, Kantsleri vastutusvaldkond, Finants- ja maksupoliitika valdkond, Finantsteenuste poliitika osakond) |
| Originaal | Ava uues aknas |
1
Aprill, 2026
MÄRKUSTE TABEL
Võlaõigusseaduse ja krediidiasutuste seaduse muutmise seadus
Nr
Märkused
Arvestatud/
Mitte-
arvestatud/
Selgitatud
RaM märkused
Justiitsministeerium
1 Eelnõu §-ga 1 antakse makseteenuse pakkujatele
tööriistad finantspettuste tõkestamiseks, mh sätestatakse
õiguslik alus maksejuhise täitmisest keeldumiseks juhul,
kui esineb kuritarvituse kahtlus.
A. Tegu on valdkonnaga, kus eksisteerib tugev EL õiguse
komponent, kuivõrd makseteenuste toimimine siseturul
on reguleeritud EL määrustega (Euroopa Parlamendi ja
nõukogu direktiiv (EL) 2015/2366 makseteenuste kohta
siseturul ja Euroopa Parlamendi ja nõukogu määrus (EL)
nr 260/2012). Eelnõukohase võlaõigusseaduse (VÕS)
muudatusega jäetakse finantsteenuse pakkujale küllaltki
suur otsustusvabadus selle jaoks, mis asjaoludel keelduda
maksejuhise täitmisest. Nähakse ette, et makseteenuse
pakkuja võib keelduda autoriseeritud maksejuhise
täitmisest, kui pärast komisjoni delegeeritud määruses
(EL) 2018/3899 ette nähtud turvameetmete täiendavat
rakendamist on makseteenuse pakkujal põhjendatud
kahtlus, et maksetehingu täitmiseks antud nõusolek on
saadud andmete väärkasutamise, pettuse või maksja
manipuleerimise teel. Samas ei direktiiv (EL) 2015/2366
ega määrus (EL) nr 260/2012 otseselt sellist võimalust ega
kohustust teenusepakkujatele ette ei näe. Eeldusel, et
direktiiv (EL) 2015/2366 ei ole maksimumharmoneeriv,
on liikmesriikidel ilmselt võimalik minna kaugemale ja
täpsemaks direktiivis sätestatust, kuid sellisel juhul
palume, et seletuskirjas oleks rohkem selgitusi ja
Arvestatud A. Seletuskirjas on täiendavalt selgitatud kooskõla makseteenuste
diretiivi ja välkmaksete määrusega.
B. Seletuskirjas on selgitatud maksejuhise täitmiseks antud
nõusoleku seost tsiviisseadustiku üldosa seadusega.
C. Seletuskirjas on selgitatud kooskõla välkmaksete määrusega. Ka
välkmaksete puhul kehtib makseteenute direktiivi artiklis 64
sätestatud maksetehingute autoriseerimise põhimõtted. Selle atikli
lõike 1 kohaselt maksetehing loetakse autoriseerituks ainult siis, kui
maksja on andnud nõusoleku maksetehingu täitmiseks. Kui
nõusolek puudub, käsitatakse maksetehingut autoriseerimata
maksetehinguna. Makseteenuse pakkujal on õigus keelduda
autoriseerimata maksejuhise täitmisest.
D. Seletuskirja on täiendatud selgitusega vastutusest vabastamise
kohta, kui makseteenuse pakkuja viivitab maksekorralduse
elluviimisega selleks, et täita täiendavaid turvameetmeid
2
pidepunkte olukordadeks, mil maksejuhis jääb täitmata.
Pettustega võitlemine on küll vajalik, kuid praktikas võib
ette tulla ka olukordi, mil konto omaja ja maksja ei pruugi
olla rahul sellega, et tema poolt soovitud makse viibib või
jääb täitmata. Maksja vaatenurgast on oluline, et
makseteenuse pakkuja tegutsemispraktikad ei muutuks
ebamõistlikult konservatiivseks. Seletuskirjas võiks
kinnitada, et liikmesriigil ei ole keelatud kehtestada
maksejuhiste täitmata jätmise ja pettuste vältimise puhuks
reegleid, mis on põhjalikumad, kui praegune EL
regulatsioon ette näeb.
B. Eelnõuga nähakse ette, et makseteenuse pakkuja võib
keelduda autoriseeritud maksejuhise täitmisest, kui pärast
komisjoni delegeeritud määruses (EL) 2018/3899
(edaspidi komisjoni delegeeritud määrus) ette nähtud
turvameetmete täiendavat rakendamist on makseteenuse pakkujal põhjendatud kahtlus, et maksetehingu täitmiseks
antud nõusolek on saadud andmete väärkasutamise,
pettuse või maksja manipuleerimise teel. Samas on
nõusoleku andmine käsitatav ühepoolse tehinguna,
millele sellisel juhul peaks kohalduma ka tsiviilseadustiku
üldosa seaduse (TsÜS) reeglid seoses tehingutega. Tekib
küsimus, kuidas seostub see alus nõusoleku/tehingu
„tunnustamisest“ keeldumiseks TsÜS § 90 lõikes 1
sätestatud tehingu tühistamise aluste (oluline eksimus,
pettus, ähvardus või vägivalla mõju) või esindusõiguseta
isiku tehtud tehingu tühisuse regulatsiooniga (TsÜS §
128). Paremini võiks sobituda tsiviilõiguse süsteemi
konstruktsioon, mille puhul saab rääkida sellest, et
eksisteerib põhjendatud kahtlus, et maksetehingu
täitmiseks antud nõusolek võib kas osutuda tühiseks või
olla tühistatav vastavalt TsÜS-s tehingute kohta
sätestatule.
C. Täiendavad küsitavused ilmnevad
välkmaksekorralduste puhul (mis Eestis on hetkel
3
valdavad). VÕS-i muudatustega sätestatakse, et
välkkreeditkorralduse puhul tuleb maksejuhise täitmisest
keelduda kooskõlas Euroopa Parlamendi ja nõukogu
määrusega (EL) nr 260/2012 (eelnõu § 1 p 1, lg 43). See
määrus (konsolideeritud kujul, koos määrusest nr (EL)
2024/886 tulenevate muudatustega) keskendub aga
maksejuhise täitmisest keeldumise reguleerimisel
asjaoludele, mis seonduvad makse saaja isikuga. Määrus
sätestab korra, kuidas tuleb kontrollida makse saaja isikut
(art 5c) ning lisaks kehtib eraldi regulatsioon selle kohta,
kuidas välkkreeditkorraldusi pakkuvad makseteenuse
pakkujad kontrollivad, kas mõni nende makseteenuse
kasutajatest on isik või üksus, kelle suhtes kohaldatakse
sihipäraseid piiravaid finantsmeetmeid (art 5d). Määrus ei
näe ette selgeid aluseid maksejuhise täitmisest
keeldumiseks olukordadeks, mil pettus või kuritarvitus
seisneb maksekorralduse andja isiku identiteedivarguses,
või siis kui isik, kes annab maksekorralduse, on viidud
kolmandate isikute poolt eksitusse ja tegutseb nende poolt
saadud pahatahtlike suuniste alusel. Juhul, kui eelnõu
autorite hinnangul EL määrus ei takista siseriiklike
täpsustatud reeglite kehtestamist, võiks seda seletuskirjas
üle kinnitada.
D. Juhime tähelepanu ka makseteenuse pakkuja
vastutusest vabastamisele juhul, kui viimane viivitab
maksekorralduse elluviimisega selleks, et täita
täiendavaid turvameetmeid (VÕS § 7339 lg 3). Kuivõrd
makseteenuse pakkujal on lai diskretsioon selle
hindamiseks, kas täiendavad turvameetmed on vajalikud,
tekib küsimus, kas on õigustatud teenusepakkuja
vastutusest vabastamine. Lisaks näib vähemalt
esmapilgul, et see on küsimus, mida eelloetletud EL
õigusaktid ei reguleeri sellisel kujul (erinevalt nt
olukorrast, mil määrus ütleb, et makseteenuse pakkuja ei
vastuta valele makse saajale direktiivi (EL) 2015/2366
artiklis 88 sätestatud väära kordumatu tunnuse alusel
4
suunatud kreeditkorralduse täitmise eest, tingimusel et ta
on täitnud käesoleva artikli nõuded). Jällegi, kui EL
regulatsioon Eesti seaduste detailsemaks minemisele
takistusi ei sea, võiks selle seletuskirjas kirja panna.
2 Eelnõu §-ga 2 täiendatakse krediidiasutuste seadust
(KAS) §-ga 894, nähes ette andmete avaldamise
tingimused pettuste tõkestamise eesmärgil.
A. Viidatud paragrahvis on ette nähtud ulatuslik andmete
ja teabe avaldamise õigus, sh ka maksekonto kohta.
Toetame ja mõistame vajadust tõhustada finantspettuste
ennetamise ja tõkestamise meetmeid. Samas peame
oluliseks, et isiku põhiõiguste ja -vabaduste riive analüüs
oleks andmete avaldamiseks ulatuslike õiguste andmisel
läbi viidud põhjalikult ning tagatud riivete
proportsionaalsus. Seletuskirjas on küll lühidalt
analüüsitud üksikute riivete põhiseaduspärasust, kuid
JDM hinnangul on analüüs pinnapealne ning üldistatud
erinevate riivete kontekstis ning vajalik on teostada ja
esitada seletuskirjas põhjalikum analüüs iga riive kohta
eraldiseisvalt. Mõõdukuse hindamisel tuleb põhjalikult
kaaluda, kas riive abil saavutatav legitiimne eesmärk
kaalub üles põhiõiguse kandjale tekitatava kahju,
tagamaks, et riive ei moonuta põhiõiguse olemust (PS §
11 teine lause). Ei piisa üksnes väitest, et meetmed on
mõõdukad, kuna need on piiritletud, vaid vajalik on
mõlema kaalukausi sisuline põhjendamine. Paralleelselt
tuleb hinnata riive intensiivsust ja võimalikku mõju
põhiõiguse olemusele, et seletuskirja lugeja saaks
eesmärgi ja riive tasakaalu mõistlikult hinnata. Samuti
tuleb vajalikkuse all selgitada täpsemalt, kas ei leidu
muud, põhiõigusi vähem piiravat, end sama efektiivset
meedet. Viitame ka õiguskantsleri poolt maksukorralduse
seaduse ning rahapesu ja terrorismi rahastamise
tõkestamise seaduse muutmise seaduse eelnõu (EIS-is
eelnõu toimiku number: 25- 1000) raames viidatud
murekohtadele, mh et nt kui pangakontode väljavõtetele
Arvestatud
osaliselt
A. Seletuskirja mõjude osas on teostatud põhjalikum analüüs iga
riive (andmekoosseisu osas, mida jagatakse) kohta eraldiseisvalt.
B. Eelnõust on välja jäetud ennetuse eesmärgil panagasaladuse
andmete jagamine.
C. Krediidiasutuste seaduse § 88 on täiendatud ning ette nähtud, et
andmeid võib jagada lisaks ka eelnõuga seadusesse lisatava KAS §
894 lõike 2 alusel.
Eelnõus ei ole peetud vajalikuks eristada andmeid, mida võib
edastada teisele krediidiasutusele ning mida PPA-le, kuivõrd
nimetatud andmekoosseisud on samad.
Eelnõu on täiendatud makseasutuste ja e-raha asutuste seaduse
muutmisega. Ette on nähtud, et ka makseasutused ja e-raha asutused
võivad avaldada samu andmeid nagu krediidiasutused, kuna ka
makseasutused ja e-raha asutused osutavad makseteenuseid.
Seletuskirja on täiendatud selgitusega, milliseid andmeid võib
edastada kliendi tuvastamiseks.
Eriliiki isikuandmete jagamine ei ole eelnõu kohaselt lubatud,
pangakonto väljavõtte avaldamine ei ole lubatud, maksekonto all on
peetud silmas selle IBAN-i. Selguse mõttes on paragrahvi
täiendatud uue lõikega ning sätestatud, et eriliiki isikuandmete
avaldamine ei ole lubatud.
5
juurdepääsu laiendatakse seaduses, peab sellega
kaasnema põhjalik proportsionaalsuse analüüs
(õiguskantsleri 1. juuli 2025. a kirja nr 7-
7/250081/2504808 kokkuvõtte p 3). Kui eelnõu tulemusel
on võimalik ka pangakonto väljavõtetele ja
pangasaladusele juurdepääs, tuleb analüüsi täiendada
õiguskantsleri kirjas viidatu valguses, analüüsides
sealviidatud põhiõiguste ja -vabaduste riiveid ning
täpsustades vastavalt ka eelnõu. Eeltoodust tulenevalt
palume seletuskirjas põhiseaduspärasuse analüüsi
täiendada, pidades silmas ka eelnimetatud õiguskantsleri
1. juuli 2025. a kirjas viidatut. Palume eelnõu seletuskirjas
põhiseaduspärasuse analüüs esitada seletuskirja 3. osas
“Eelnõu sisu ja võrdlev analüüs” eraldi viimase
alajaotusena. Kui loetavuse huvides on mõttekam esitada
põhiseaduspärasuse põhjalik analüüs konkreetse sätte
põhjenduse juures, saab seletuskirja 3. osa viimases
alajaotuses esitada viite vastavale argumenteeritud
analüüsile ning alajaotuses esitada üksnes kokkuvõtlik
järeldus. Või vastupidi, põhjalik analüüs esitatakse
viimases alajaotuses ning vastavat piirangut sisaldavate
normide juures on viide eraldi alaosas esitatud
põhiseaduspärasuse analüüsile.
B. KAS § 894 lg 1 näeb ette, et krediidiasutusel on õigus
avaldada andmeid ja teavet teisele krediidiasutusele ning
Politsei- ja Piirivalveametile (PPA) maksetehingutega
seotud pettuste avastamiseks, väljaselgitamiseks ja
ennetamiseks juhul, kui krediidiasutusel on objektiivselt
põhjendatud alus kahtlustada, et klient või maksetehing
võib olla seotud pettusega. Leiame, et ennetuseks
sedavõrd tundlike andmete töötlemise õiguse andmine ei
ole proportsionaalne meede (st meede ei pruugi olla
kooskõlas eesmärgipärasuse ja minimaalsuse
põhimõttega). Palume piirduda üksnes pettuste
avastamise ja väljaselgitamisega ning välja jätta üldine
ennetus.
6
C. KAS § 88 lg 3 p 1 sätestab, et krediidiasutusel on õigus
avaldada klienti puudutav pangasaladus kolmandale
isikule, kui krediidiasutuse õigus või kohustus avaldada
pangasaladust tuleneb käesolevas paragrahvis sätestatust
[…]. Kuna kõnealune säte näeb selgelt ette, et
pangasaladust võib jagada ainult paragrahvis 88
sätestatud juhul, tuleks täiendada ka KAS § 88 lg 3 p 1 ja
näha ette, et „krediidiasutuse õigus või kohustus avaldada
pangasaladust tuleneb käesolevas paragrahvis ja
käesoleva seaduse § 894 sätestatust […]“. D. KAS § 894
lg 2 sätestab teabe, mida võib jagada teistele
krediidiasutustele ning PPA-le. Palume eristada, millist
teavet jagatakse PPA-ga ning millist teiste
krediidiasutustega. Lisaks tuleks KAS § 894 lg 2 p-s 1
täpsustada, milliseid andmeid võib edastada kliendi
tuvastamiseks. Samuti on KAS § 894 lg 2 p-s 3 ilmselt
puudu eriliiki isikuandmed, kuna pangakonto väljavõttelt
nähtub rohkem isikuandmeid kui vaid tundlikud
makseandmed (nt terviseandmed, kuuluvus kuhugi
organisatsiooni, poliitilised vaated jne).
3 II. Märkused normitehnika, keele ja mõju kohta Palume
arvestada ka käesoleva kirja lisades esitatud eelnõu ja
seletuskirja failis jäljega tehtud normitehniliste ja
keelemärkustega ning märkustega eelnõu mõjuanalüüsi
kohta.
Arvestatud Eelnõus ja seletuskirjas on arvestatud esitatud märkustega.
Siseministeerium
4 Eelnõuga on kavas täiendada ja muuta krediidiasutuste
seaduse 7. peatüki 3 jagu §-ga 894 järgmises sõnastuses:
„§ 894. Andmete avaldamine pettuste tõkestamise
eesmärgil
(1) Krediidiasutusel on õigus avaldada andmeid ja teavet
teisele krediidiasutusele ning Politsei- ja Piirivalveametile
maksetehingutega seotud pettuste avastamiseks,
väljaselgitamiseks ja ennetamiseks juhul, kui
krediidiasutusel on objektiivselt põhjendatud alus
Mittearvestatud Ettepanek kasutada mõiste „pettus” asemel mõistet „kelmus” ei ole
põhjendatud. Kavandatav säte ei reguleeri konkreetse
karistusõigusliku koosseisu kvalifitseerimist, vaid
maksetehingutega seotud pettusjuhtumite avastamist,
väljaselgitamist. Seetõttu on mõiste „pettus” käesolevas kontekstis
sisuliselt täpsem ja ulatuslikum kui mõiste „kelmus”, mis viitab
kitsamalt KarS-s sätestatud konkreetsele süüteokoosseisule. Säte
peab hõlmama ka nt pettusekatseid, manipulatsioonitehnikaid ja
muid maksepettustele viitavaid asjaolusid, mille puhul ei pruugi
andmevahetuse hetkel olla veel võimalik või vajalik anda lõplikku
7
kahtlustada, et klient või maksetehing võib olla seotud
pettusega.
(2) Käesoleva paragrahvi lõikes 1 nimetatud isikutele on
lubatud avaldada andmeid ja teavet:
1) kliendi tuvastamiseks;
2) makse saaja ja maksekonto kohta;
3) maksetehingute kohta, sealhulgas tundlikke
makseandmeid;
4) pettuse teel tehtud tehingute või pettusekatsete ja nende
asjaolude kohta;
5) maksetehinguga seotud pettuse või muu süüteo
tunnustele vastava teo tuvastamiseks, sealhulgas
kasutatud seadmete, makseinstrumendi või
turvaelementide kohta.
(3) Krediidiasutusel on õigus Riigi Infosüsteemi Ametile
avaldada küberturvalisuse seaduse § 5 lõike 3 punktist 3
tulenevate ülesannete täitmise eesmärgil käesoleva
paragrahvi lõike 2 punktides 4 ja 5 sätestatud andmeid ja
teavet.“.
Kommentaar:
Paragrahvi pealkirjas sõna „pettus“ kasutamine.
Nimelt tekib küsimus, kas on õige kasutada mõistet
„pettus“. PPA-le teabe edastamise eesmärk peaks olema
seotud süütegude ennetamise, avastamise, tõkestamise
või menetlemisega, KarS-s sellise nimetusega
süüteokoosseisu kui „pettus“ ei ole. KrMS 13. peatüki 2.
jao 1. jaotise pealkiri on „Kelmus“, sellesse jaotisse
kuuluvad kelmuste alaliigid, nt § 209. Kelmus, § 211.
Investeerimiskelmus, § 213. Arvutikelmus.
KarS § 209 lõike 1 kohaselt loetakse kelmuseks teisele
isikule varalise kahju tekitamise eest tegelikest
asjaoludest teadvalt ebaõige ettekujutuse loomise teel
varalise kasu saamise eesmärgil.
karistusõiguslikku kvalifikatsiooni. Mõiste „pettus” on ühtlasi
kooskõlas makseteenuste valdkonnas kasutatavate mõistetega.
8
Inglise keeles on jaotise ning § 209 pealkirjaks „Fraud“.
Kui KarS-i mõnedes koosseisudes (nt § 133.
Inimkaubandus, § 134. Isikuvabadust piiravasse riiki
toimetamine jne) kasutatakse mõistet „pettus“, siis see on
tõlgitud „deceit“.
Ettepanek I: Kaaluda, kas mõiste „pettus“ asemel oleks
korrektsem kasutada mõistet „kelmus“.
5 Eesmärgi sõnastus. Viidatud sätte pealkiri on andmete
avaldamine pettuste tõkestamise eesmärgil, samas lõike 1
kohaselt on krediidiasutusel õigus avaldada andmeid
pettuste avastamiseks, väljaselgitamiseks ja
ennetamiseks, mida ei saa käsitada pettuste
tõkestamisena. Ka seletuskirjas kasutatakse läbisegi
mõisteid ennetamine, tõkestamine, avastamine ja
väljaselgitamine.
Näiteks seletuskirjas: „…Teiseks, eelnõuga muudetakse
krediidiasutuste seadust (edaspidi KAS), millega antakse
krediidiasutustele õigus jagada vajalikku teavet pettuste
avastamiseks, väljaselgitamiseks ja ennetamiseks. Seda
juhul, kui krediidiasutusel on objektiivselt põhjendatud
alus kahtlustada, et klient või maksetehing võib olla
seotud pettusega. Eelnimetatud teave võib mh
kvalifitseeruda ka pangasaladuseks. Krediidiasutusel saab
olema õigus omal initsiatiivil jagada vajalikku teavet
teiste krediidiasutustega, Politsei- ja Piirivalveametiga
(edaspidi PPA) ning Riigi Infosüsteemi Ametiga (edaspidi
RIA). Kehtivas õiguses selline õigus puudub ning see on
osutunud probleemiks pettuste avastamisel ja
tõkestamisel. Praktikas tähendab see, et näiteks
olukordades, kus krediidiasutusel on kahtlus, et
konkreetne maksekonto (lihtsustatult arvelduskonto) on
seotud pettuste toimepanemisega, siis seda teadmist teiste
krediidiasutustega jagada ei tohi. Sellise õiguse
Arvestatud Eelnõua on ühtlustatud mõistete kasutust.
9
puudumine on takistuseks tõhusamalt ennetada pettuste
toimepanemist….“.
Tegemist on oma sisult erinevate mõistetega. Ennetamine
ja väljaselgitamine tulenevad KorS-st, neile laieneb
Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679
füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja
selliste andmete vaba liikumise ning direktiivi 95/46/EÜ
kehtetuks tunnistamise kohta (isikuandmete kaitse
üldmäärus), avastamisele ja tõkestamisele aga Euroopa
Parlamendi ja nõukogu direktiiv (EL) 2016/680, mis
käsitleb füüsiliste isikute kaitset seoses pädevates
asutustes isikuandmete töötlemisega süütegude
tõkestamise, uurimise, avastamise ja nende eest
vastutusele võtmise või kriminaalkaristuste täitmisele
pööramise eesmärgil ning selliste andmete vaba liikumist
ning millega tunnistatakse kehtetuks nõukogu raamotsus
2008/977/JSK (õiguskaitseasutuste direktiiv).
Avastamise ja tõkestamise legaaldefinitsioon seaduses
puudub, v.a JAS, mille § 4 kohaselt on kuriteo
tõkestamine JAS tähenduses kuriteo ärahoidmine mis
tahes seaduslikul viisil enne selle toimepanemist.
Ennetamise mõiste on toodud KorS § 4 lõikes 7, mille
kohaselt on ohu ennetamine see osa korrakaitsest, kus
puudub ohukahtlus, kuid saab pidada võimalikuks
olukorda, mille realiseerumisel tekib ohukahtlus või oht.
Ohu ennetamine on muu hulgas teabe kogumine,
vahetamine ja analüüs, toimingute kavandamine ja
elluviimine ning riikliku järelevalve meetmete
kohaldamine avalikku korda tulevikus ähvardada võivate
ohtude tõrjumiseks, sealhulgas süütegude ennetamine.
Praeguse käsitluse juures jäävad õhku küsimused: mis
vahe on avastamisel ja väljaselgitamisel?; kas saab
rääkida ennetamisest, kui krediidiasutusel on juba kahtlus
tekkinud?
10
Ettepanek II: Pöörata tähelepanu terminite kasutamisele
pealkirjas ning sisus, et need oleksid kohased ning
kaaluda, kas lõikes 1 tuleks täpsustada, mis eesmärgil
krediidiasutus andmeid edastada võib.
6 Asutusele viide. Lõikes 2 sätestatakse: „Käesoleva
paragrahvi lõikes 1 nimetatud isikutele on lubatud
avaldada andmeid ja teavet:…“. Samas pöörame
tähelepanu, et pole ilmselt kõige korrektsem mainida, et
Politsei- ja Piirivalveamet on isik.
Ettepanek III: Kaaluda tekstis sõna „isik“ asendamist.
Mittearvestatud Mõkste „isik“ kasutamine on seaduse tekstides sellistel puhkudel
tavapärane.
7 Indikaatorid. Lõike 2 punkti 4 kohaselt võib
krediidiasutus edastada andmeid pettuse teel tehtud
tehingute või pettusekatsete ja nende asjaolude kohta.
Kui edastatakse andmeid kelmuse/pettuse teel tehtud
tehingute kohta, siis valdavalt ei saa süütegu enam
ennetada, avastada ega tõkestada. Lisaks jääb sellise
sõnastuse korral õhku küsimus: kas krediidiasutus on
pädev hindama, kas just kelmus/pettus on toime pandud?
Seletuskirja järgi on selle punkti all peetud silmas pigem
pettuseindikaatoreid – „Punktiga 4 nähakse ette andmete
ja teave jagamine pettuse teel tehtud tehingute või
pettusekatsete ja nende asjaolude kohta. Need on nn
pettuseindikaatorid, mis kirjeldavad petuskeemi
toimimist, nagu näiteks tehingu ajastus ja korduvad
summad ning mitme isiku samasugused käitumisjooned.
See aitab pettuste toimepanemist avastada näiteks
olukorras, kus mitmed kliendid saavad samal päeval
panga nimel petukõnesid, siis on võimalik jagada
pettusekatsete mustreid teiste krediidiasutustega ning
tuvastada nn saripettuse toimepanemine võimalikult vara
ka teistel krediidiasutustel ning seeläbi kahjusid
vähendada. Eeltoodu võib olla ka makseteenuse
Mittearvestatud Mõiste „indikaatorid” kasutamine ei ole põhjendatud. Punkti 4
eesmärk on määrata andmekategooria, mida võib pettuste
avastamiseks ja väljaselgitamiseks jagada. Sõnastus „pettuse teel
tehtud tehingute või pettusekatsete ja nende asjaolude kohta”
hõlmab nii juba toime pandud juhtumeid kui ka katseid ning nende
faktilisi asjaolusid. Juba toime pandud pettusjuhtumi kohta käiva
teabe jagamine ei ole suunatud üksnes tagasiulatuvale
tuvastamisele, vaid võimaldab ära hoida sama skeemi jätkumist,
seostada omavahel korduvaid juhtumeid ja vähendada edasist
kahju. Samuti ei tähenda see sõnastus, et krediidiasutus annaks
lõpliku karistusõigusliku hinnangu süüteo toimepanemise kohta;
tegemist on objektiivselt põhjendatud pettusekahtlusega seotud
faktiliste asjaolude kirjeldamisega. Mõiste „indikaatorid”
kasutamine seaduse tekstis oleks kitsam ja ebaselgem ning ei
hõlmaks sama selgelt konkreetseid pettuse teel tehtud tehinguid,
pettusekatseid ega nende asjaolusid.
11
osutamisel tuvastatud manipulatsioonitehnikaid või muud
pettuslikud võtted. Pettuse toimepanijate nn töövõtted on
näiteks krediidiasutuse töötajana esinemise legend, kiire
tegutsemise surve kindlate pettuse liikide puhul, pahavara
allalaadimise juhendamine jne. Näiteks krediidiasutusele
teavitavad mitmed isikud samasuguse sisuga
krediidiasutuse töötajana esinenud pettuslikust kõnest.“
Ettepanek IV: Kaaluda tekstis sõna „…indikaatorid“
kasutamist.
8 Sõnastus. Sõnastuse juures tekib küsimus, kas
krediidiasutus peaks avaldama andmeid ja teavet üksnes
juhul, kui krediidiasutusel on alus kahtlustada, et tegemist
on kelmuse/pettusega? Tegelikult tuleks PPA-d teavitada
ka teiste kuritegude kahtlusest (nt omastamine).
Sellisele võimalusele viitab ka kõnealuse paragrahvi lõike
2 punkt 5:
5) maksetehinguga seotud pettuse või muu süüteo
tunnustele vastava teo tuvastamiseks, sealhulgas
kasutatud seadmete, makseinstrumendi või
turvaelementide kohta.
Ettepanek V: Kaaluda kõnealuse paragrahvi sõnastamist
järgmiselt:
§ 894. Andmete avaldamine kuritegude ennetamise,
avastamise ja tõkestamise eesmärgil
(1) Krediidiasutusel on õigus avaldada andmeid ja teavet
teisele krediidiasutusele ning Politsei- ja Piirivalveametile
maksetehingutega seotud kuritegude ennetamiseks,
avastamiseks ja tõkestamiseks.
(2) Käesoleva paragrahvi lõikes 1 nimetatud eesmärgil
võib avaldada andmeid ja teavet:
1) kliendi tuvastamiseks;
2) makse saaja ja maksekonto kohta;
3) maksetehingute kohta, sealhulgas tundlikke
makseandmeid;
Mittearvestatud Ettepanek asendada pettustele viitav sõnastus üldise kuritegude
ennetamisele, avastamisele ja tõkestamisele ei ole põhjendatud.
Kavandatav säte on suunatud kitsamalt maksetehingutega seotud
pettuste avastamisele ja väljaselgitamisele ning selline eesmärk
vastab ka makseteenuste direktiivi artiklis 94 kasutatud andmete
avaldamise eesmärgile, milleks on: liikmesriigid lubavad
maksesüsteemidel ja makseteenuse pakkujatel töödelda
isikuandmeid, kui see on vajalik maksepettuste ärahoidmise,
uurimise ja avastamise tagamiseks. Mõiste „kuriteod” laiendaks
normi eset oluliselt ja muudaks selle üldiseks süütegude kohta teabe
vahetamise sätteks, milleks eelnõu ei ole mõeldud. See oleks
problemaatiline ka põhiõiguste riive proportsionaalsuse vaatest,
kuna lubatud andmevahetuse eesmärk muutuks liiga avaraks.
Asjaolu, et üksikute andmekategooriate kirjelduses viidatakse ka
muu süüteo tunnustele vastavale teole, ei muuda paragrahvi
põhieesmärki, vaid võimaldab pettusekahtluse faktilisi asjaolusid
kirjeldada piisava täpsusega.
12
4) maksetehinguga seotud kuriteo tunnustele vastava teo
tuvastamiseks, sealhulgas kasutatud seadmete,
makseinstrumendi või turvaelementide kohta.
5) makseteenuse osutamisel tuvastatud kuriteomustrite ja
-skeemide ning manipulatsioonivõtete kohta.
9 Seletuskirjas selgitatakse: „Kehtiv KAS § 88 lg 5 p 2
võimaldab pangasaladuse avaldamist uurimisasutusele
üksnes kriminaalmenetluse raames. Seega on politseil
küll võimalik saada pettuste uurimisel informatsiooni,
kuid see on piiratud, sest andmete avaldamine eeldab
kriminaalmenetluse algatamist. Eelnõuga kavandatav
paragrahv loob õigusliku aluse, mis võimaldab
krediidiasutusel objektiivselt põhjendatud pettuse
kahtluse korral edastada andmeid enne
kriminaalmenetluse algatamist. See võimaldab kiiremat
reageerimist ja kahju ennetamist olukordades, kus
menetluse alustamine võib toimuda alles pärast esmast
juhtumi analüüsi ning pettuse ennetamise ja ärahoidmise
vaatest seega liiga hilja.“
Kriminaalmenetlust ei algatata, vaid tulenevalt KrMS §
193 lõikest 1 alustatakse seda esimese uurimis- või muu
menetlustoiminguga.
Ettepanek VI: Kaaluda sõna „algatamine“, asendamist
sõnaga „alustamine“.
Arvestatud Seletuskirja on vastavalt muudetud.
10 KAS § 88 lõike 5 punkt 2 sõnastus. Kehtiva KAS § 88
lõike 5 punkt 2 sõnastus on ebaselge, mistõttu praktikas
on see tekitanud tõlgendamise probleeme:
„2) kohtueelse uurimise asutusele ja prokuratuurile
alustatud kriminaalmenetluses, sealhulgas välislepingus
sätestatud korras välisriigist saabunud õigusabi taotluse
alusel või Euroopa Liidu õiguses sätestatud kohustuse
täitmiseks rahvusvahelise konventsiooni või muu
välislepingu või politsei või muu sellesarnase pädeva
asutuse koostöölepingu täitmiseks;“
Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse
pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt
maksepettustega seotud. Toome siinkohal välja, et
rahandusministeeriumil on välja töötamisel eelnõu, millega
muudetakse viidatud KAS §-i 88 tervikuna.
13
Muudatuse eesmärk on tagada kõnealuse sätte
õigusselgus, viies see mh kooskõlla kehtivates
õigusaktides kasutatavate mõistetega. Sätte sisu ei
muudeta ega kellelegi täiendavaid õigusi ei anta.
KrMS ei kasuta sellist mõistet kui „kohtueelse uurimise
asutus“ vaid „uurimisasutus“. KrMS 19. peatüki
„Rahvusvaheline koostöö kriminaalmenetluses“ 3. jao
kohaselt toimub vastastikune abistamine
kriminaalmenetluses abistamistaotluse, mitte õigusabi
taotluse alusel. Koostööd kriminaalmenetluses Euroopa
Liidu liikmesriikide vahel reguleerib 8. jagu, millest
tulenevalt taotletakse teises liikmesriigis
menetlustoimingu tegemist, kui eesmärgiks on hankida
tõendeid või teises liikmesriigis asuvad tõendid üle anda
või hoiule võtta, Euroopa uurimismäärusega.
Lisaks siseriiklikus kriminaalmenetluses ning välisriigist
saabunud abistamistaotluse või Euroopa uurimismääruse
alusel tehtavatele päringutele nähakse ka kehtivas sättes
ette päringu tegemise võimalus välislepingutes,
rahvusvahelistes konventsioonides ning Euroopa Liidu
õigusaktis sätestatud kohustuse täitmiseks. 2014. aastal
muudeti sellega seonduvalt KAS-i, mille kohta on
seletuskirjas märgitud:
„Olulisema muudatusena tuleb välja tuua punkti 2
sõnastus, millega on laiendatud pangasaladuseks oleva
teabe saamise võimalusi seoses rahvusvahelise koostööga
kriminaalmenetlustes. Teised riigid esitavad Eesti
õiguskaitseasutustele konkreetsetes kriminaalasjades
taotlusi ka Euroopa Liidu Nõukogu 6. detsembri 2007.
aasta otsuse 2007/845/JSK, mis käsitleb kriminaaltulu
jälitamise talituste vahelist koostööd kuritegelikul teel
saadud tulu või kuritegevusega seotud muu vara
jälitamise ja tuvastamise valdkonnas, alusel läbi riiklike
kriminaaltulu üksuste. Tegemist ei ole rahvusvahelise
14
abistamistaotlusega KrMS 19. peatüki 3. jao mõistes.
Samuti ei ole tegemist mitte Eesti Vabariigis, vaid
välisriigis alustatud kriminaalmenetlusega. Kui taotlus on
välisriigis alustatud kriminaalmenetluse raames esitatud
eelnimetatud otsuse 2007/845/JSK alusel läbi riikliku
kriminaaltulu üksuse ilma õigusabitaotlust tegemata, ei
tohi kehtiva regulatsiooni kohaselt pangasaladust
edastada. Tulenevalt eelnimetatud raamotsusest toimub
koostöö kriminaaltulu jälitamise talituste vahel ning
kriminaaltulu jälitamise talituste ja teiste asutuste vahel,
mille ülesanne on kuritegelikul teel saadud tulu
kindlakstegemise ja uurimise hõlbustamine, nõukogu 18.
detsembri 2006. aasta raamotsuses 2006/960/JSK
(Euroopa Liidu liikmesriikide õiguskaitseasutuste
vahelise teabe ja jälitusteabe vahetamise lihtsustamise
kohta) sätestatud menetluste ja tähtaegade alusel, kaasa
arvatud seal toodud keeldumise põhjused. Seega tuleb
KrAS § 88 lõike 7 punkt 2 sõnastada selliselt, et oleks
mõistetav, et Politsei- ja Piirivalveameti
keskkriminaalpolitsei kriminaaltulu tuvastamise bürool
on võimalus saada pangasaladust puudutavat teavet
raamotsuse 2007/845/JSK alusel esitatud päringutele
vastamisel.“
Käesolevaks ajaks on raamotsus 2006/960/JSK kehtetu,
koostööd tehakse Euroopa parlamendi ja nõukogu
direktiiviga (EL) 2023/977, mis käsitleb liikmesriikide
õiguskaitseasutuste vahelist teabevahetust ja millega
tunnistatakse kehtetuks nõukogu raamotsus
2006/960/JSK, sätestatud tingimustel ja korras.
Rahvusvahelise konventsioonina võib välja tuua nt
Rahvusvahelise organiseeritud kuritegevuse vastu
võitlemise Ühinenud Rahvaste Organisatsiooni
konventsiooni, mille artikkel 12 „Konfiskeerimine ja
arestimine“ sõnastab: „1. Osalisriik võtab oma seaduse
15
alusel võimalikult suures ulatuses meetmeid, mis
võimaldavad konfiskeerida:
a) konventsioonis nimetatud kuriteo toimepanemisega
saadud vara või vara, millel on sama väärtus;
2. Osalisriik võtab meetmeid, et tagada lõikes 1 nimetatud
eseme kindlakstegemine, jälgimine ja arestimine selle
võimalikuks konfiskeerimiseks.
6. Käesoleva artikli ja artikli 13 kohaselt volitab osalisriik
oma kohtu või muu pädeva asutuse andma panga- või
muu finantsdokumendi või äridokumendi esitamise või
arestimise määruse. Osalisriik ei või käesoleva lõike
täitmisest keelduda, viidates pangasaladuse hoidmisele.“
Ettepanek VII: Kaaluda paragrahvi 88 lõike 5 punkt 2
muutmist ja sõnastamist järgmiselt:
„2) uurimisasutusele ja prokuratuurile alustatud
kriminaalmenetluses, sealhulgas välisriigist saabunud
abistamistaotluse või Euroopa uurimismääruse alusel või
välislepingus, rahvusvahelises konventsioonis või
Euroopa Liidu õigusaktis sätestatud kohustuse täitmiseks.
11 Väärteomenetlus, teadmata kadunud isiku asukoha
tuvastamine. Käesoleval ajal väärteomenetluses
krediidiasutusele päringu tegemine ei ole võimalik, v.a
kõnealuses paragrahvis toodud erisused. Teatud juhtudel
on aga väärtegude tõendamine pangasaladust
(pangatehingute andmeid) avaldamata võimatu või
ebamõistlikult koormav. Nt KarS §-s 213 (Arvutikelmus)
sätestatud teo toimepanemisel, kui kahju on alla 200 euro
(teise isiku pangakaardiga võetakse välja raha alla 200
euro), kvalifitseeritakse see § 218 alusel väärteona.
Sarnaselt VTMS § 312 lõikes 3 ette nähtud
regulatsiooniga võiks päringu krediidiasutusele teha
üksnes siis, kui see on vältimatult vajalik
väärteomenetluse eesmärgi saavutamiseks. Esitatud
sättega soovime rõhutada ultima ratio põhimõtte
Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse
pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt
maksepettustega seotud. Toome siinkohal välja, et
rahandusministeeriumil on välja töötamisel eelnõu, millega
muudetakse viidatud KAS §-i 88 tervikuna.
16
kasutamist – päringu saab teha üksnes siis, kui see on
vajalik ja põhjendatud.
KAS-i täiendamisega teadmata kadunud isikute asukoha
tuvastamisega seonduvalt luuakse PPA-le võimalus saada
põhjendatud taotluse alusel ning kohtu loal ja ulatuses
teavet pangatehingute kohta, mis on vajalik teadmata
kadunud isiku asukoha tuvastamiseks, et välja selgitada
oht isiku elule ja kehalisele puutumatusele (kõrgendatud
oht), ja vajadusel vastav oht tõrjuda. Muudatusega
antakse teadmata kadunute otsimisega tegelevatele
ametnikele lisavõimalus teadmata kadunu isiku asukoha
kiireks ja tulemuslikuks väljaselgitamiseks ning süüteo
tunnuste ilmnemise korral kriminaalmenetluse
alustamiseks. Seejuures tuleb rõhutada, et muudatus ei
muuda teadmata kadunud isiku pangatehingute andmete
küsimist igas kaasuses nö vaikimisi toiminguks, sest
toimingu tegemise vajadus ja proportsionaalsus on
allutatud kohtu kontrollile, kes tagab sõltumatuse
vältimatu vajalikkuse ehk ultima ratio põhimõtte
järgimisel.
Aastas laekub PPA-le üle 4000 teate teadmata kadunud
isiku kohta, kuid enamikel juhtudel leitakse kadunu
muude meetmetega üles mõne päeva jooksul. Kadunu
pangatehingute andmeid võib olla vajalik küsida aastas
kuni paarikümnes juhtumis, kui muud toimingud
teadmata kadunud isiku asukoha väljaselgitamiseks on
ammendunud.
Ettepanek VIII: Kaaluda paragrahvi 88 lõike 5
täiendamist punktidega 41 ja 42 järgmises sõnastuses:
„41) Politsei- ja Piirivalveametile alustatud
väärteomenetluses põhistatud määruse alusel, kui see on
vältimatult vajalik väärteomenetluse eesmärgi
saavutamiseks;“;
17
„42) Politsei- ja Piirivalveametile põhjendatud taotluse
alusel ning kohtu loal teadmata kadunud isiku asukoha
tuvastamiseks;“.
Vajadusel võib punkti 41 täiendada, nähes ette kohtu loa
kohustuslikkuse. Hetkel kehtiva seaduse kohaselt (§ 88
lõike 5 punkt 4) võib pangasaladust avaldada MTA-le
MKS alusel läbiviidavates väärteomenetlustes põhistatud
määruse alusel.
12 KAS § 88 lõiked 61 ja 62 sõnastus. Kehtivad KAS § 88
lõiked 61 ja 62 sätestavad:
„(61) Krediidiasutus avaldab käesoleva paragrahvi lõike 5
punktides 1–4 nimetatud järelepärimise vastusena
pangasaladuse, kui järelepärimises märgitud kliendi kohta
on esitatud vähemalt:
1) andmed kliendi maksekonto, maksekaardi või muu
maksevahendi või makseinstrumendi tunnuse või lepingu
kohta või
2) muud andmed, mis võimaldavad identifitseerida
kliendi isiku.
(62) Krediidiasutus avaldab käesoleva paragrahvi lõike 5
punktides 1–4 nimetatud järelepärimise vastusena
pangasaladuse:
1) järelepärimises märgitud kliendi maksekonto suhtes
esindusõigust omava isiku kohta;
2) kliendi kohta, kelle maksekonto suhtes järelepärimises
märgitud isik esindusõigust omab;
3) käesoleva lõike punktides 1 ja 2 nimetatud kliendi
tegeliku kasusaaja kohta.“
Muudatus on seotud eelmises kommentaaris esitatud
muudatusettepanekutega. KAS § 88 lõigetes 61 ja 62
toodud põhimõtted peaksid kehtima ka juhul, kui PPA
esitab krediidiasutusele järelepärimise alustatud
väärteomenetluses või teadmata kadunud isiku asukoha
tuvastamiseks.
Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse
pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt
maksepettustega seotud. Toome siinkohal välja, et
rahandusministeeriumil on välja töötamisel eelnõu, millega
muudetakse viidatud KAS §-i 88 tervikuna.
18
Ettepanek IX: Kaaluda paragrahvi 88 lõigetes 61 ja 62
tekstiosa „lõike 5 punktides 1-4“ asendamist tekstiosaga
„lõike 5 punktides 1–42“;
13 KAS § 88 lõike 9 sõnastus. KAS sõnastus
„Krediidiasutusel on õigus avaldada pangasaladust
uurijale, prokurörile ja kohtule seoses oma rikutud või
vaidlustatud õiguse või vabaduse kaitsmisega seadusega
kindlaksmääratud korras.“ on eksitav. Nimelt on KrMS §
16 lõike 1 kohaselt menetlejad kohus, prokuratuur ja
uurimisasutus. KrMS § 30 lõike 2 kohaselt teostab
prokuratuuri volitusi kriminaalmenetluses prokuratuuri
nimel prokurör. Tulenevalt § 31 lõikest 5 kehtestab
uurimisasutuse juht nende ametikohtade loetelu, mille
täitjatel on õigus osaleda uurimisasutuse pädevuse piires.
Kõikide loetelus toodud ametikohtadel töötavate
ametnike ametinimetus ei pea olema uurija. Kui KrMS-s
soovitakse rõhutada konkreetset ametnikku, siis
kasutatakse mõistet „uurimisasutuse ametnik“. Nt
sätestab KrMS § 59 lõige 1: „Uurimisasutuse ametnik,
kelle menetluses on kriminaalasi, on kohustatud
taanduma käesoleva seadustiku § 49 lõigetes 1 ja 6
sätestatud alusel.“
Ettepanek X: Kaaluda paragrahvi 88 lõikes 9 tekstiosa
„uurijale, prokurörile“ asendamist tekstiosaga
„uurimisasutusele, prokuratuurile“.
Mittearvestatud Kõnealune eelnõu ei ole mõeldud laiemalt krediidiasutuste seaduse
pangasaladuse paragrahvi muutmiseks, vaid on kitsamalt
maksepettustega seotud. Toome siinkohal välja, et
rahandusministeeriumil on välja töötamisel eelnõu, millega
muudetakse viidatud KAS §-i 88 tervikuna.
Eesti Pank
14 Teeme ettepaneku parema õigusselguse saavutamiseks
täpsustada võlaõigusseaduses (edaspidi ka VÕS) poolte
õigusi ja kohustusi maksejuhise täitmisest keeldumisel.
Mõistame, et muudatuse eesmärgiks on anda
makseteenuse pakkujale kahtluse korral võimalus
veenduda, et maksejuhis on korrektselt kinnitatud ja
Arvestatud/
selgitatud
Eelnõu ja seletuskirja on vastavalt täiendatud.
19
täpsustada täiendava kontrollimise tõttu maksejuhise
hilisema täitmisega kaasuvaid tagajärgi. See tähendab, et
makseteenuse pakkuja makse täitmisest keeldumise
korral tuleb pärast täiendavat kontrolli maksetehing täita
või jätta see täitmata. Neid erinevaid tagajärgi tuleks meie
hinnangul ka seaduses selgemalt reguleerida, sealhulgas
täpsustada poolte vastutust ja maksejuhise kättesaamise
tingimusi. Nii kaua, kui maksejuhisest on õigustatult
keeldutud, siis loetakse, et teenuse pakkuja ei ole
maksejuhist kätte saanud ja teenuse pakkujal puudub
täitmise kohustus. Seetõttu peame oluliseks ka
reguleerida seda, millal tuleb maksejuhist asuda täitma ja
võimalusel täpsustada ka sellise maksejuhise
kättesaamise aega (näiteks kohe, kui täitmisest
keeldumise põhjused on ära langenud, misjärel hakkab
lugema välkmakse 10 sekundit). Täpsustada võiks ka
tingimusi, millise aja jooksul tuleb makseteenuse
pakkujal otsustada vajadus teostada täiendav kontroll ja
milline on maksimaalne täiendava kontrolli aeg, et
otsustada maksejuhise täitmise üle. Samuti tuleks
täpsustada, et kui pärast maksejuhise täiendavat
kontrollimist maksejuhist ei täideta, siis loetakse, et
teenusepakkuja on õigustatult keeldunud maksejuhise
täitmisest ja sellisel juhul ei ole maksjal õigust nõuda
maksejuhise täitmist (so. makset käsitatakse kättesaamata
maksejuhisena vastavalt VÕS § 7243 lõikele 5).
Käesoleva eelnõu puhul on meie hinnangul oluline ka
põhjalikumalt selgitada kliendi (rahaliste vahendite)
kaitsmise ning maksejuhiste täitmisest keeldumise
eesmärki ja tagajärgi eelnõu juurde koostatud
seletuskirjas. Samuti selgitada, millised on poolte õigused
ja kohustused olukorras, kui maksja vaidleb/ei vaidle
täiendavaks kontrolliks peatatud maksejuhise täitmisele
vastu.
15 Teeme ettepaneku täpsustada ka maksekontode
blokeerimise tingimusi võimaliku andmete
väärkasutamise või maksepettusega seotud asjaolude
Selgitatud VÕS-is on §-s 73311 lõikes 3 ette nähtud makseinstrumendi
blokeerimise õigus. Vastavalt sellele, kui makseteenuse lepingus on
nii kokku lepitud, on makseteenuse pakkujal õigus blokeerida
20
väljaselgitamiseks ja ennetamiseks ning ette näha õigus
sellekohast teavet jagada ka teiste makseteenuse
pakkujatega. Eelkõige võimaldaks see makseteenuse
pakkujal ära hoida rahaliste vahendite kättesaadavaks
tegemist makse saajast petturile näiteks
veebikaubanduses või investeerimiskelmuste korral.
makseinstrument objektiivselt põhjendatud kaalutlustel, mis
seonduvad makseinstrumendi turvalisusega, või kui on kahtlus
maksja nõusolekuta või pettuse teel makseinstrumendi kasutamise
kohta või kui krediidiliiniga seotud makseinstrumendi kasutamisel
suureneb oluliselt oht, et maksjal ei ole piisavalt vahendeid
maksekohustuse täitmiseks.
Makseteenuse lepingus saab makseteenuse pakkuja täpsustada
makseinstrumendi blokeerimise tingimusi.
Leiame, et eelnõus sisalduv makseteenuse pakkujate õigus jagada
objektiivselt põhjendatud pettuse kahtluse korral andmeid teiste
makseteenuse pakkujatega katab ära ettepanekus toodud andmete
jagamise eesmärgi.
16 Teeme ettepaneku, et teave, mida makseteenuse pakkujad
on kohustatud klientidele makseteenuse lepingu kohta
andma, võiks sisaldada muu hulgas maksepettusega
seotud tagasinõudeid käsitlevaid tingimusi ja korda.
Arvestatud Eelnõu on vastavalt täiendatud.
17 Parema õiguskindluse huvides teeme ettepaneku
täpsustada võlaõigusseaduses ka makseteenuse pakkuja
poolt turvalisuse nõuete rakendamisega seotud kohustusi
(VÕS § 7246 ). Soovitame ette näha selgem õigus teenuse
pakkujale takistada maksekontole juurdepääs ja mis tahes
elektrooniliste toimingute tegemine, kui juurdepääs on
saadud või seda taotletakse autoriseerimata või pettuse
teel või kui toiminguga kaasneb andmete väärkasutamise
või makseteenusega seotud pettuse oht. Sealhulgas ette
näha selgem kohustus teenusepakkujale takistada
maksekontole juurdepääs interneti teel ja mis tahes
toimingute tegemine, kui teenusepakkujal on põhjendatud
kahtlus, et kliendi tugevaks autentimiseks mõeldud
turvaelementide kasutamine ei vasta makseteenuse
lepingus määratud tugeva autentimise tingimustele, muu
hulgas juhul, kui teenusepakkujal on põhjendatud kahtlus,
et neid võidakse kasutada kliendi teadmata (näiteks, kui
autentimiseks kasutatud seadmete asukoht on erinev, mis
annab alust arvata, et kliendi tugevaks autentimiseks
Selgitatud VÕS-is on §-s 73311 lõikes 3 ette nähtud makseinstrumendi
blokeerimise õigus. Vastavalt sellele, kui makseteenuse lepingus on
nii kokku lepitud, on makseteenuse pakkujal õigus blokeerida
makseinstrument objektiivselt põhjendatud kaalutlustel, mis
seonduvad makseinstrumendi turvalisusega, või kui on kahtlus
maksja nõusolekuta või pettuse teel makseinstrumendi kasutamise
kohta või kui krediidiliiniga seotud makseinstrumendi kasutamisel
suureneb oluliselt oht, et maksjal ei ole piisavalt vahendeid
maksekohustuse täitmiseks.
Makseinstrumendi blokeerimisel on takistatud muuhulgas ka
amksekonto kasutamine ning elektrooniliste toimingute tegemine.
Täpsemad nõuded turvalise teabevahetuse ja turvameetmete kohta
on kehtestatud Euroopa Parlamendi ja nõukogu direktiivi
2015/2366/EL artiklis 98 nimetatud Euroopa Komisjoni
rakendusmääruses.
21
ettenähtud tehniline rakendus ei ole kliendi kontrolli all).
Samuti tuleks ette näha makseteenuse pakkuja kohustus
teavitada eelnimetatud asjaolust ka vastavat tugeva
autentimise lahenduse pakkujat (usaldusteenuse
pakkujat).
18 Eelnõuga nähakse krediidiasutusele õigus pettuse
avastamiseks, ennetamiseks ja välja selgitamiseks
avaldada andmeid ja teavet muu hulgas teisele
krediidiasutusele. Palume kaaluda, kas krediidiasutuste
õigus avaldada andmeid ja teavet oma kliendi kohta võiks
laieneda makseteenuse pakkujatele, kuivõrd
makseteenuseid osutavad ka mitte krediidiasutused
(makseasutused ja e-raha asutused). Vastasel juhul jääb
osa teenusepakkujaid pettuste ennetustegevusest
väljapoole just puuduva info tõttu.
Arvestatud Eelnõu on vastavalt täiendatud ja lisatud maksetasutustele ja e-raha
asutustele andmete avaldamise õigus.
19 Eelnõu kohaselt on krediidiasutusel õigus avaldada teavet
teisele krediidiasutusele juhul, kui krediidiasutusel on
objektiivselt põhjendatud alus kahtlustada, et klient või
maksetehing võib olla seotud pettusega. Palume selgitada,
millist rolli mängib krediidiasutuse pettuse kahtlus teabe
avaldamisel ja hinnata, kas teabe avaldamiseks piisaks,
kui seda tehakse maksetehingutega seotud pettuste
avastamise, väljaselgitamise ja ennetamise eesmärgil (so
loobuda pettuse kahtluse tingimusest).
Selgitatud Leiame, et andmete avaldamise eeldusena objektiivselt põhjendatud
pettusekahtluse tingimusest ei ole põhjendatud loobuda. Nimetatu
eesmärk on andmete avaldamise piiramine, mis seob
andmevahetuse konkreetse juhtumiga. See tagab, et andmeid ei
avaldata üldiselt või ennetavalt kõigi maksetehingute kohta. Selline
juhtumipõhine lävend tagab andmete avaldamise vajalikkust ja
proportsionaalsust, et oleks kooskõla andmete töötlemise
minimaalsuse põhimõttega. Ilma selle tingimuseta muutuks
andmete avaldamise alus liiga avaraks.
Finantsinspektsioon
20 Eelnõu § 1 punktiga 1 täiendatakse võlaõigusseaduse
(edaspidi VÕS) §-i 7243 lõikega 41 järgmiselt: „(41 )
Makseteenuse pakkuja võib keelduda autoriseeritud
maksejuhise täitmisest, kui pärast komisjoni delegeeritud
määruses (EL) 2018/389, millega täiendatakse Euroopa
Parlamendi ja nõukogu direktiivi (EL) 2015/2366
regulatiivsete tehniliste standarditega, mis käsitlevad
kliendi tugevat autentimist ning ühiseid ja turvalisi
teabevahetuse avatud standardeid (ELT L 69/23,
13.03.2018, lk 23–43), ette nähtud turvameetmete
täiendavat rakendamist on makseteenuse pakkujal
põhjendatud kahtlus, et maksetehingu täitmiseks antud
Arvestatud Eelnõusse on lisatud uued lõiked, mis selgitavad täiendavate
turvameetme rakendamise sisu ja eesmärki.
22
nõusolek on saadud andmete väärkasutamise, pettuse või
maksjaga manipuleerimise teel.“ Eelnõus kasutatakse uut
mõistet „täiendavate turvameetmete rakendamine“, kuid
selle sisu ei ole eelnõu tekstis ega seletuskirjas avatud.
Finantsinspektsiooni hinnangul on õigusselguse huvides
vajalik nimetatud mõistet täpsemalt selgitada. Nimelt
seab Eelnõu § 1 punkt 1 kaks eeldust autoriseeritud
maksejuhise täitmisest keeldumiseks: 1) täiendavate
turvameetmete rakendamine; 2) põhjendatud kahtlus
väärkasutamises, pettuses või maksjaga
manipuleerimises. Eelnõu kohaselt on makseteenuse
pakkujal õigus keelduda maksejuhise täitmisest üksnes
pärast täiendavate turvameetmete rakendamist.
Makseteenuse pakkujad on maksetehingute töötlemisel
kohustatud rakendama erinevaid turvameetmeid.
Praktikas rakendatakse neid meetmeid suurel määral
automatiseeritud süsteemide kaudu. Eelnõus kasutatud
mõiste „täiendavate turvameetmete rakendamine“ võib
tekitada tõlgenduslikku ebaselgust selles osas, milliseid
turvameetmeid tuleb pidada täiendavateks võrreldes
makseteenuse pakkujate tavapäraste
kontrollimehhanismidega. Eelkõige võib tekkida
küsimus, millised rakendatavad turvameetmed
(sealhulgas automaatsed pettusetuvastuse süsteemid)
kvalifitseeruvad eelnõu tähenduses täiendavate
turvameetmeteks. Eeltoodut arvestades teeb
Finantsinspektsioon ettepaneku täpsustada eelnõu
seletuskirjas täiendavate turvameetmete rakendamise
mõiste sisu. Finantsinspektsiooni hinnangul tuleks
seletuskirjas vähemalt tuua välja näiteid (nt kliendile
helistamine), milliseid meetmeid silmas peetakse ning
mis vahe on täiendavatel turvameetmetel ja tavapärastel
turvameetmetel.
21 Eelnõu § 1 punktiga 1 täiendatakse VÕS §-i 7243 lõikega
43 järgmiselt: „(43) Välkkreeditkorralduse puhul tuleb
maksejuhise täitmisest keelduda kooskõlas Euroopa
Parlamendi ja nõukogu määrusega (EL) nr 260/2012.“
Arvestad Eelnõu vastavalt muudetud.
23
Euroopa Parlamendi ja nõukogu määrusega (EL) nr
260/2012 kehtestatakse eurodes tehtavatele kreedit- ja
otsekorraldustele tehnilised ja ärilised nõuded ning
muudetakse määrust (EÜ) nr 924/2009. Nõuded
välkkreeditkorraldustele kehtestab Euroopa Parlamendi ja
nõukogu määrus (EL) 2024/886, millega muudetakse
määrusi (EL) nr 260/2012 ja (EL) 2021/1230 ning
direktiive 98/26/EÜ ja (EL) 2015/2366 eurodes
välkkreeditkorralduste osas. Eelnõus on viidatud Euroopa
Parlamendi ja nõukogu määrusele (EL) nr 260/2012, kuid
nõuded välkkreeditkorraldusele kehtestab Euroopa
Parlamendi ja nõukogu määrus (EL) 2024/886. a.
Finantsinspektsiooni teeb ettepaneku muuta Eelnõud
järgmiselt: „(43) Välkkreeditkorralduse puhul tuleb
maksejuhise täitmisest keeldumisel järgida Euroopa
Parlamendi ja nõukogu määruses (EL) 2024/886
sätestatud nõudeid.“
22 Eelnõu § 1 punktid 1 ja 3
Eelnõu § 1 punktiga 1 täiendatakse VÕS §-i 7243 lõikega
41 järgmiselt: „(41) Makseteenuse pakkuja võib keelduda
autoriseeritud maksejuhise täitmisest, kui pärast
komisjoni delegeeritud määruses (EL) 2018/389, millega
täiendatakse Euroopa Parlamendi ja nõukogu direktiivi
(EL) 2015/2366 regulatiivsete tehniliste standarditega,
mis käsitlevad kliendi tugevat autentimist ning ühiseid ja
turvalisi teabevahetuse avatud standardeid (ELT L 69/23,
13.03.2018, lk 23–43), ette nähtud turvameetmete
täiendavat rakendamist on makseteenuse pakkujal
põhjendatud kahtlus, et maksetehingu täitmiseks antud
nõusolek on saadud andmete väärkasutamise, pettuse või
maksjaga manipuleerimise teel.“ Eelnõu § 1 punktiga 3
täiendatakse VÕS §-i 7339 lõikega 3 järgmiselt: „(3)
Makseteenuse pakkuja ei vastuta kahju eest, kui käesoleva
seaduse § 7243 lõike 4¹ alusel ette nähtud turvameetmete
täiendava rakendamise tulemusel täidetakse makse
hilinemisega, tingimusel et nimetatud turvameetmeid
rakendatakse ebamõistliku viivituseta ning rakendamise
Arvestatud Eelnõus on mõisted ühtlustatud.
24
aluseks on objektiivselt põhjendatud kahtlus, et
maksetehingu täitmiseks antud nõusolek on saadud
andmete väärkasutamise, pettuse või maksjaga
manipuleerimise teel“ Eelnõus kasutatakse mõisteid
„põhjendatud kahtlus“ ja „objektiivne põhjendatud
kahtlus“. Finantsinspektsioon teeb õigusselguse huvides
ettepaneku ühtlustada eelnimetatud mõisted. Kui eelnõu
eesmärk on seada mõlemas sättes eelduseks objektiivselt
põhjendatud kahtlus, tuleks seda mõistet kasutada
mõlemas sättes ühtmoodi. Juhul kui eelnõu eesmärk on
nimetatud mõisteid eristada, oleks vajalik seletuskirjas
selgitada nende mõistete sisu, omavahelisi erinevusi ning
seoseid. Eelkõige tuleks avada, millistel juhtudel tuleb
lähtuda põhjendatud kahtlusest ning millistel juhtudel
objektiivselt põhjendatud kahtlusest, ning kas ja mil
määral erinevad nende eeldused normi kohaldamisel.
23 Eelnõu § 1 punktiga 3 täiendatakse VÕS § 7339 lõikega
3 järgmiselt: „(3) Makseteenuse pakkuja ei vastuta kahju
eest, kui käesoleva seaduse § 7243 lõike 4¹ alusel ette
nähtud turvameetmete täiendava rakendamise tulemusel
täidetakse makse hilinemisega, tingimusel et nimetatud
turvameetmeid rakendatakse ebamõistliku viivituseta
ning rakendamise aluseks on objektiivselt põhjendatud
kahtlus, et maksetehingu täitmiseks antud nõusolek on
saadud andmete väärkasutamise, pettuse või maksjaga
manipuleerimise teel.“ Finantsinspektsioon teeb
ettepaneku muuta Eelnõu § 1 punkti 3 ning kasutada
õigusselguse huvides väljendi „nimetatud turvameetmeid
rakendatakse“ asemel väljendit „turvameetmete täiendav
rakendamine teostatakse“, järgmiselt: „(3) Makseteenuse
pakkuja ei vastuta kahju eest, kui käesoleva seaduse §
7243 lõike 4¹ alusel ette nähtud turvameetmete täiendava
rakendamise tulemusel täidetakse makse hilinemisega,
tingimusel et turvameetmete täiendav rakendamine
teostatakse ebamõistliku viivituseta ning rakendamise
aluseks on objektiivselt põhjendatud kahtlus, et
maksetehingu täitmiseks antud nõusolek on saadud
Arvestatud Eelnõu on vastavalt muudetud.
25
andmete väärkasutamise, pettuse või maksjaga
manipuleerimise teel.“
24 Eelnõu §-ga 2 täiendatakse krediidiasutuste seaduse
(edaspidi KAS) §-ga 894 järgmiselt: „(1) Krediidiasutusel
on õigus avaldada andmeid ja teavet teisele
krediidiasutusele ning Politsei- ja Piirivalveametile
maksetehingutega seotud pettuste avastamiseks,
väljaselgitamiseks ja ennetamiseks juhul, kui
krediidiasutusel on objektiivselt põhjendatud alus
kahtlustada, et klient või maksetehing võib olla seotud
pettusega.“ Eelnõu seletuskirja leheküljel 6 on selgitatud
järgmist: „KAS uue §-i 894 lõike 1 kohaselt antakse
krediidiasutusele õigus avaldada erinevat teavet, mh
pangasaladust teisele krediidiasutusele ning Politsei- ja
Piirivalveametile.“ KAS § 88 lõige 3 punkt 1 sätestab
krediidiasutuse õiguse avaldada pangasaladust
kolmandale isikule, kui „krediidiasutuse õigus või
kohustus avaldada pangasaladust tuleneb käesolevas
paragrahvis sätestatust või;“. Finantsinspektsiooni
hinnangul sätestab KAS § 88 lõige 3 kinnise ja
ammendava loetelu, mille kohaselt on krediidiasutusel
õigus avaldada pangasaladust kolmandale isikule üksnes
juhul, kui selline õigus või kohustus tuleneb KAS § 88
muudest sätetest. KAS § 88 lõiget 3 punkti 1 tõlgendades
võib asuda seisukohale, et pangasaladust ei ole võimalik
avaldada muudel alustel kui KAS §-s 88 sätestatud
võimalustel. Sõnastus “tuleneb käesolevas paragrahvis
sätestatust“ välistab teiste erandite alused, mis ei ole KAS
§-is 88 ette nähtud. Seega on seadusandja kehtivas
õiguses sidunud pangasaladuse avaldamise alused
tervikuna sama paragrahvi regulatsiooniga ning
välistanud võimaluse tugineda pangasaladuse avaldamisel
teistele KAS-i sätetele, mis paiknevad väljaspool § 88.
Eelnõuga kavandatav KAS § 894 paikneb väljaspool KAS
§-i 88. KAS § 894 võib olla vastuolus kehtiva seadusega,
mille kohaselt on pangasaladuse avaldamise alused
koondatud KAS §-i 88 ning loetelu on käsitatav
Arvestatud KAS § 88 lõike 3 punkti 1 lisatud viide uuele §-le 894.
26
kinnisena. Eeltoodust tulenevalt tuleb
Finantsinspektsiooni hinnangul täiendavat hinnata KAS §
894 kooskõla KAS § 88 lõikega 3 ning vältida olukorda,
kus pangasaladuse avaldamise alused oleksid seaduses
killustatult reguleeritud või tekitaksid normide vahel
tõlgenduslikku vastuolu. Arvestades, et Eelnõu kohaselt
tekib õigus autoriseeritud maksejuhise täitmisest
keelduda kõigile makseteenuse pakkujatele, siis oleks
Finantsinspektsiooni hinnangul kohane kaaluda ka
teistele makseteenuse pakkujatele, kes ei ole
krediidiasutused, õiguse andmist avaldada andmeid ja
teavet maksetehingutega seotud pettuste avastamiseks,
väljaselgitamiseks ja ennetamiseks teistele makseteenuse
pakkujatele, Politsei- ja Piirivalveametile ning Riigi
Infosüsteemi Ametile. Juhul, kui sellist õigust ei soovita
kõigile makseteenuse pakkujatele anda, siis oleks kohane
vastavat välistust Eelnõu seletuskirjas hinnata ja
selgitada.
25 Eelnõu seletuskirja lk 1 kohaselt: „Esiteks, eelnõuga
muudetakse võlaõigusseaduse (edaspidi VÕS)
regulatsiooni, mis puudutab maksejuhise täitmisest
keeldumist ehk olukorda, kus isik soovib teha
maksetehingut, kuid makseteenuse pakkuja (pank või
makseasutus) saab keelduda maksetehingu täitmisest.“
Finantsinspektsioon juhib tähelepanu, et makseteenuse
pakkujad määratleb MERAS § 3 lõige 6. Eesti turul
tegutsevad makseteenuse pakkujatena nii
krediidiasutused (sh välisriigi krediidiasutuste Eesti
filiaalid), makseasutused kui ka e-raha asutused.
Eeltoodust tulenevalt ei ole Eelnõu seletuskirjas esitatud
makseteenuse pakkujate loetelu täielik.
Finantsinspektsiooni hinnangul tuleb viia seletuskirja
sõnastus vastavusse MERAS-es sätestatud
definitsiooniga ning kasutada läbivalt mõistet
„makseteenuse pakkuja“.
Arvestatud. Makseasutuste ja e-raha asutuste seaduse § 633 täiendatud uue
lõikega, mille kohaselt andmete avaldamisele pettuste
maksepettuste avastamiseks, väljaselgitamiseks ja ennetamiseks
kohaldatakse krediidiasutuste seaduse § 894.
26 Eelnõu seletuskiri lk 1, 10 ja 13 Eelnõu seletuskirja lk 1 kohaselt: „Samuti loob eelnõu
Arvestatud Seletuskirja on vastavalt muudetud.
27
selgema õigusraamistiku ja tugevdab pankade õigust
põhjendatud pettuse kahtluse korral makseid ajutiselt
peatada või makse täitmisest keelduda.“ Eelnõu
seletuskirja lk 10 kohaselt: „7.1 Nähakse
krediidiasutustele ette õigus keelduda maksejuhiste
täitmisest. Sihtrühm nr 1: mõju makseteenuse pakkujatele
Muudatus võib mõju avaldada enamikele Eestis
tegutsevatele (suurematele) krediidiasutustele. Eestis on
hetkeseisuga registreeritud 8 krediidiasutust (kes on
saanud Finantsinspektsioonilt tegevusloa) ning 6
välisriigi krediidiasutuse filiaali. Eestis pakuvad
teadaolevalt põhimakseteenuseid 7 krediidiasutust: AS
LHV Pank, AS SEB Pank, AS TBB pank, Coop Pank AS,
Luminor Bank AS ja Swedbank AS. Lisaks pakub
põhimakseteenuseid üks Eestis tegutsev välisriigi
krediidiasutuse filiaal, milleks on AS Citadele banka Eesti
filiaal. Seega hetkel ei paku põhimakseteenuseid AS
Inbank, Bigbank AS, Holm Bank AS”. Eelnõu seletuskirja
lk 13 kohaselt: „Jõustumistähtaeg on ette nähtud
arvestusega, et krediidiasutustel oleks võimalik
valmistada ette ning teha vajadusel tehnilised
muudatused, mis on vajalikudud maksejuhise täitmisest
keeldumise rakendamiseks /.../“. Finantsinspektsioon
juhib tähelepanu, et Eelnõuga kavandatavad
võlaõigusseaduse muudatused kohalduvad kõigile
makseteenuse pakkujatele, mitte üksnes
krediidiasutustele ehk pankadele. Sellest tulenevalt peaks
ka Eelnõu seletuskiri (sh punkti 7.1 pealkiri) kajastama
muudatuste tegelikku adressaati ning viitama
makseteenuse pakkujatele. Sihtrühma kirjeldamise osas
on oluline ära märkida järgnev. Esiteks ei osuta kõik
krediidiasutused makseteenuseid, mistõttu ei ole kohane
piirduda tegevusluba omavate krediidiasutuste
loetlemisega, kuivõrd kõigile neile muudatus ei kohaldu.
Teiseks ei ole põhimakseteenuste osutajate seletuskirjas
käsitlemine käesoleva Eelnõu esemega otseselt seotud
ning selle väljatoomine mõjuanalüüsi osas võib jätta
28
eksitava mulje regulatsiooni kitsamast kohaldamisalast, st
muudatus ei kohaldu üksnes põhimakseteenuste
osutajatele. Finantsinspektsioon märgib informatiivses
korras, et Eelnõu seletuskirjas esitatud loetelu
põhimakseteenuste osutajatest ei ole ajakohane. Näiteks
on loetelus viidatud krediidiasutusele, mis enam ei tegutse
(AS TBB pank). Siinkohal kordame aga eeltoodut, et
sihtrühma kirjelduses ei ole asjakohane
põhimakseteenuste osutajaid eraldi välja tuua.
Kolmandaks on sihtrühma analüüsist hetkel välja jäänud
nii makseteenuse pakkujad, kes ei ole krediidiasutused kui
ka krediidiasutused, kes ei osuta tarbijatele
põhimakseteenuseid, vaid osutavad makseteenuseid
mitte-tarbijatele. Eeltoodust tulenevalt tuleb
Finantsinspektsiooni hinnangul Eelnõu seletuskirjas
kirjeldada sihtrühmana kõiki makseteenuse pakkujaid,
kelle tegevust kavandatav muudatus mõjutab või
tulevikus mõjutada võib.
27 Eelnõu seletuskirja lk 3 kohaselt: „Euroopa Liidu
tasemel on sisuliselt kokku lepitud uus makseteenuse
määrus, mis hakkab asendama praegu kehtivat
makseteenuste direktiivi 2015/23667. Määrusega
tugevdatakse mh makseteenuste turvalisust ning nähakse
ette ulatuslikumad pettusevastased meetmed, mis aitavad
krediidiasutustel kui ka vastavatel ametiasutustel
tõhusamalt sekkuda pettuste ennetamisse ja tõkestamisse.
Määrus paneb krediidiasutustele kohustuse autoriseeritud
maksete täitmisest keelduda juhul, kui on alus kahtlustada
pettust. Samuti näeb määrus ette andmete vahetamise
krediidiasutuste vahel ning samuti muude asutustega.
Makseteenuste määruse osas jõuti poliitilise
kokkuleppeni 2025. aasta novembris. Määrust hakatakse
eeldatavalt kohaldama 2028. aasta keskpaigas. Käesolev
eelnõu lähtub samast eesmärgist ning loob riigisiseses
õiguses vajalikud õiguslikud alused, mis aitavad pettusi
tõhusamalt ennetada ja tõkestada. Eesmärk on
võimaldada selliste meetmete rakendamist teatud ulatuses
Arvestatud Seletuskirja on täiendatud selgitustega makseteenuste määruse
valikute kohta ning seost kõnealuse eelnõuga.
29
juba enne, kui hakkab kehtima uus makseteenuste määrus.
Arvestades pettuste jätkuvat kasvu ning nende suur kahju
nii isikutele kui ettevõtjatele, on põhjendatud rakendada
sarnase sisuga meetmeid võimalikult varakult. Kui uus
makseteenuse määrus hakkab kehtima, tuleb lähtuvalt
sellest analüüsida ja tõenäoliselt kehtetuks tunnistada
need siseriiklikud sätted, mis tulenevad otse eelnimetatud
EL määrusest.“ Finantsinspektsioon märgib, et Eelnõu
seletuskirja praegune sõnastus jätab mulje, et Eelnõu
puhul on tegemist makseteenuste määruse sätete
ennetähtaegse ülevõtmisega. Arvestades, et määruse
lõplik tekst ei ole veel vastu võetud, on mõistetav, et
Eelnõu seletuskirjas ei ole võimalik viidata konkreetsetele
lõplikele sätetele, kus Eelnõu seletuskirjas mainitud
kohustusi või õigusi sätestatakse. Samas võiks Eelnõu
seletuskiri selgemalt eristada, millises ulatuses tuginevad
kavandatavad normid konkreetselt makseteenuste
määruse ettepanekule või selle kujunemise käigus
saavutatud poliitilistele kokkulepetele ning millises osas
on tegemist Eesti-sisese regulatiivse valikuga, mis on
kujundatud sarnase eesmärgi saavutamiseks.
28 Eelnõu seletuskirja lk 5 kohaselt: „VÕS § 7243 uus lõige
43 – selle kohaselt tuleb välkkreeditkorralduse puhul
maksejuhise täitmisest keelduda kooskõlas välkmaksete
määrusega. Välkmaksete määruse kohaselt teeb makse
saaja makseteenuse pakkuja kümne sekundi jooksul alates
maksja makseteenuse pakkujalt välkkreeditkorralduse
maksekäsundi vastuvõtmise ajast maksetehingu summa
makse saaja maksekontol kättesaadavaks vääringus,
milles makse saaja konto on nomineeritud, ning kinnitab
maksja makseteenuse pakkujale maksetehingu
lõpuleviimist. See tähendab, et makseteenuse pakkuja
peab maksetehingu riskianalüüsi ära tegema kümne
sekundi jooksul ning otsustama, kas on vajalik
turvameetmete täiendav rakendamine. Juhul, kui
maksetehingu riskianalüüsi põhjal selgub, et vajalik on
turvameetmete täiendav, siis täidetakse maksejuhis pärast
Arvestatud Eelnõu seletuskirjas on täpsemalt selgitatud, millisel makseteenuse
pakkujal ja millal tekib õigus maksejuhise vastuvõtmise
edasilükkamiseks.
30
täiendavat kontrolli ning sellisel juhul ei rakendu
välkmaksete määruse kümne sekundi nõue.
Turvameetmete täiendav rakendamine peab toimuma aga
ilma ebamõistliku viivituseta.“ Finantsinspektsioon juhib
tähelepanu, et esiteks tuleb selgelt eristada seda, millisel
makseteenuse pakkujal saab üldse tekkida küsimus
maksejuhise täitmisest keeldumisest. Maksja
makseteenuse pakkuja on see, kes võtab maksejuhise
vastu, kontrollib selle täitmise eeldusi ning otsustab
maksejuhise täitmise üle. Seetõttu saab makse täitmisest
keeldumise küsimus tekkida üksnes maksja makseteenuse
pakkujal. Makse saaja makseteenuse pakkuja roll algab
hetkest, mil kreeditkorraldus on talle edastatud. Teiseks
tuleb eristada seda, millised ajalised raamid seab
välkmaksete määrus maksja makseteenuse pakkujale ning
millised saaja makseteenuse pakkujale. Välkmaksete
määruse artikli 5a(4) punkti c) kohaselt on saaja
makseteenuse pakkuja kohustus kümne sekundi jooksul
teha maksesumma kättesaadavaks makse saaja kontol ja
kinnitada tehingu lõpuleviimine. Maksja makseteenuse
pakkujal on välkmaksete määruse artikli 5a(4) punkti b)
kohaselt kohustus saata maksetehing viivitamata makse
saaja makseteenuse pakkujale. Käesoleva Eelnõu
seletuskirja versiooni tekst jätab ebaselgeks, millistele
makseteenuse pakkujatele millised käitumisootused ning
õigused või kohustused seatakse. Eeltoodust tulenevalt
tuleb Finantsinspektsiooni hinnangul täpsemalt
analüüsida, mis on loodava VÕS § 7243 lõike 43 eesmärk
ning kuidas see suhestub lõikega 41 ja vastavalt sellele
muuta Eelnõu seletuskirja ja/või Eelnõud.
29 Seletuskirja lk 10-11 kohaselt: „Mõju ulatust on
keeruline täpselt hinnata, kuid pigem on see väike, kuna
kõnealune õigus puudutab väikest osa kõikidest
maksetehingutest, valdav enamus makseid on
autoriseeritud ning korrektselt autenditud. Maksejuhise
täitmisest keeldumised kõnealusel põhjusel on harvad
võrreldes maksetehingute koguarvuga. /.../ Mõju
Arvestatud Seletuskirja mõjude osa täiendatud.
31
avaldumise sagedust saab pidada väikeseks seetõttu, et
maksejuhise täitmisest keeldumine on pigem erandlik
ning puudutab väikest osa maksejuhistest. /.../ Muudatus
avaldab potentsiaalselt mõju kõikidele makseteenuse
kasutajatele, kuid igapäevaselt siiski väikesele osale
makseteenuse kasutajatest, kuna enamus makseid on
autoriseeritud ning korrektselt autenditud.“
Finantsinspektsioon juhib tähelepanu, et Eelnõu
seletuskirja mõjuanalüüsis esineb teatud ebakõlasid.
Eelnõuga nähakse makseteenuse pakkujatele ette õigus
keelduda autoriseeritud maksejuhise täitmisest, samas kui
mõjuanalüüsis hinnatakse muu hulgas autoriseerimata
tehingute hulka ja sagedust. Autoriseerimata
maksetehingute statistika põhjal ei ole võimalik teha
põhjendatud järeldusi nende maksejuhiste kohta, mis on
küll autoriseeritud, kuid mille andmine on toimunud
pettuse, andmete väärkasutamise või maksja
manipuleerimise tulemusel. Samuti ei ole põhjendatud
eeldada, et maksejuhise täitmisest keeldumine jääb
erandlikuks, sest kavandatav muudatus loob
makseteenuse pakkujatele täiendava õigusliku aluse
autoriseeritud maksejuhiste täitmisest keeldumiseks.
Maksejuhise täitmisest keeldumised on olnud erandlikud
just sellepärast, et kehtivas õiguses puudus makseteenuse
pakkujal õigus keelduda pettuse korral maksejuhise
täitmisest. Eelnõus kavandatud muudatused võivad
praktikas tõsta oluliselt keeldumiste sagedust võrreldes
senise praktikaga. Finantsinspektsiooni hinnangul tuleks
seetõttu mõjuanalüüsi täiendada, eelkõige hinnates
põhjalikumalt mõju ulatust ja avaldumise sagedust
autoriseeritud, kuid pettuse teel tehtud maksete
kontekstis.
30 Eelnõust jääb ebaselgeks ja Eelnõu seletuskirjas ei ole
selgitatud, millised on tagajärjed juhul, kui makseteenuse
pakkujal on objektiivne põhjendatud kahtlus, et
maksetehingu täitmiseks antud nõusolek on saadud
andmete väärkasutamise, pettuse või maksjaga
Arvestatud Eelnõus on vastavalt täiendatud.
32
manipuleerimise teel, kuid makseteenuse pakkuja ei
kasuta Eelnõuga antavat õigust maksejuhise täitmisest
keelduda ning maksetehing täidetakse. Ebaselgeks jääb,
kas ja kuidas sellises olukorras võiks hinnata
makseteenuse pakkuja vastutust, sealhulgas kas
põhjendatud kahtluse olemasolul võib makse täitmine
mõjutada makseteenuse pakkuja vastutust hilisema
pettuse korral. Finantsinspektsiooni hinnangul tuleks
eeltoodut Eelnõu seletuskirjas kaaluda ja selgitada isegi
juhul, kui Eelnõuga makseteenuste pakkujatele sellist
vastutust ei teki.
Eesti Pangaliit
31 Olukord tuleb reguleerida maksejuhise kättesaamise ja
autoriseerimise hetke kaudu Esitatud eelnõust on välja
jäetud regulatiivne mehhanism, mis seob maksejuhise
kättesaamise hetke ja autoriseerimise protsessi. Eelnõu
reguleerib vaid autoriseeritud maksejuhise poolt, kuid
pettuse kahtlusega seotud maksejuhise (tehnilise)
autoriseerimise saab lõpule viia alles pärast täiendavate
turvameetmete rakendamist. Esmases tagasisides
pakkusime välja sõnastuse, mille kohaselt on
makseteenuse pakkujal õigus lükata maksejuhise
kättesaamine edasi täiendavate turvameetmete
rakendamiseks ning maksejuhis loetakse kättesaaduks
ning autoriseerituks alles siis, kui makseteenuse pakkuja
on lõpetanud täiendavate turvameetmete rakendamise ja
on veendunud, et maksejuhis vastab nõuetele: „(41)
Makseteenuse pakkujal on õigus lükata maksejuhise
kättesaamine edasi täiendavate turvameetmete
rakendamiseks, maksejuhise töötlemiseks vajalike
tehniliste ja turvanõuete täitmise kontrolliks, sealhulgas
autentimise ja riskipõhiste turvameetmete rakendamiseks
ning juhul, kui on põhjendatud alus kahtlustada, et
maksejuhist ei ole maksja poolt autoriseeritud, maksjat on
Arvestatud Eelnõu ja seletuskirja on vastavalt muudetud.
33
manipuleeritud või on autoriseerimine tehtud pettuse teel.
Maksejuhis loetakse makseteenuse pakkujale siduvaks,
kui makseteenuse pakkuja on lõpetanud täiendavate
turvameetmete rakendamise ja maksejuhise töötlemiseks
vajalike tehniliste ja turvanõuete täitmise kontrolli ning
on veendunud, et maksejuhis vastab käesoleva lõike
esimeses lauses nimetatud nõuetele. (42) Makseteenuse
pakkujal on õigus keelduda maksejuhise täitmisest, kui
pärast täiendavate turvameetme rakendamist ei ole olnud
objektiivselt võimalik kõrvaldada kahtlust, et
maksetehing ei ole maksja poolt autoriseeritud või on
autoriseerimine tehtud pettuse teel.“ Meie hinnangul
peaks seletuskiri selgelt avama, et luuakse võimalus
reageerida nii enne kui ka pärast maksejuhise
makseteenuse kasutajalt kättesaamist, kuid enne
autoriseerimist, et tagada pankade/makseasutuste
võimalus operatiivselt ja põhjendatult reageerida enne
rahade edasi liikumist, mis on ka eelnõu eesmärk.
32 Makse loetakse autoriseerituks alles pärast täiendavate
turvameetmete rakendamist. Oleme seisukohal, et
maksejuhis loetakse PSD2 RTS kontekstis autoriseerituks
(tehniliselt) alles pärast maksejuhise osas täiendavate
turvameetmete rakendamist. Tegevused pärast PIN2
kinnitamist, sealhulgas täiendavad kontrollimeetmed,
moodustavad osa täielikust autoriseerimisprotsessist ning
pettuse kahtlus saab maandatud alles siis, kui
autoriseerimine on lõppenud. Vajalik on protsess, kus
peale PIN2 kinnitamist ja summa debiteerimist: (1) klient
saab teate, et makse suunatakse täiendavasse kontrolli; (2)
rakendatakse täiendav tehniline meede (nt ID-kaardi
skännimine, biomeetria vms); (3) kui pettuse kahtlust ei
ole kõrvaldatud, peab klient esitama täiendavat infot ning
pank võtab kliendiga ühendust; (4) kui pettuse kahtlust ei
Arvestatud Eelnõu ja seletuskirja on vastavalt muudetud.
34
saa kõrvaldada, keeldub pank makse teostamisest ning
raha tagastatakse kliendi kontole. See lähenemine on meie
hinnangul kooskõlas PSD2 põhimõtetega, mille kohaselt
on autoriseerimine direktiivi keskne mõiste ning
põhjendatud pettuse kahtluse välistamine ja
turvameetmete rakendamine peaks olema seotud
autoriseerimise kehtivusega.
1.3 Kooskõla EL välkmaksete määrusega Maksejuhise
kättesaamise hetke reguleerimine läbi
autoriseerimisprotsessi tagaks meie hinnangul ka
kooskõla EL välkmaksete määrusega.
Välkkreeditkorralduse puhul tuleks maksejuhise
töötlemiseks vajalike tehniliste ja turvanõuete täitmise
kontroll ning maksejuhise vastuvõtmisest keeldumine
teha kümne sekundi jooksul alates maksekäsundi
vastuvõtmise hetkest, nagu näeb ette välkmaksete määrus.
See tähendab, et kui autoriseerimisprotsess hõlmab
täiendavaid turvameetmeid, ei loeta maksejuhist
kättesaaduks enne nende meetmete rakendamist. See on
ainus loogiline ja õiguslikult järjepidev lähenemine
välkmaksete kontekstis.
Arvestatud
33 Turvameetmete rakendamise aeg
Mõistame, et osapooled võivad väljendada muret, et
selline regulatsioon võib viia selleni, et pangad hoiavad
makseid ebamõistlikult kinni, kuid rõhutame, et
seadusandja poolt on võimalik sätestada, et
turvameetmeid tuleb rakendada ilma ebamõistliku
viivituseta. Täiendavate turvameetmete rakendamine
peab olema proportsionaalne ja põhinema objektiivselt
põhjendatud kahtlusel. Sama punkti sätestab meie
varasemas tagasisides pakutud kahju välistamise punkt:
Makseteenuse pakkuja ei vastuta kahju eest, kui
turvameetmete täiendava rakendamise tulemusel
Arvestatud Eelnõu on muudetud ning ette nähtud täiendavate turvameetmete
rakendamise aeg.
35
täidetakse makse hilinemisega, tingimusel, et nimetatud
turvameetmete rakendamine viiakse läbi põhjendamatu
viivituseta ning rakendamise aluseks on objektiivselt
põhjendatud kahtlus. Sama põhimõte peaks olema selgelt
sätestatud ka siis, kui regulatsioon puudutab maksejuhise
kättesaamise hetke.
34 Välkkrediidikorralduste regulatsiooni ebapiisavus
Eelnõu uus lõige 4³ sätestab, et välkkreeditkorralduse
puhul tuleb maksejuhise täitmisest keelduda kooskõlas
välkmaksete määrusega ning et makseteenuse pakkuja
peab autoriseeritud maksetehingu riskianalüüsi tegema
kümne sekundi jooksul ning otsustama, kas on vajalik
turvameetmete täiendav rakendamine. Juhul, kui
autoriseeritud maksetehingu riskianalüüsi põhjal selgub,
et vajalik on turvameetmete täiendav rakendamine, siis
täidetakse maksejuhis pärast täiendavat kontrolli ning
sellisel juhul ei rakendu välkmaksete määruse kümne
sekundi nõue, kuid turvameetmete täiendav rakendamine
peab toimuma ebamõistliku viivituseta. Meie hinnangul
jääb välkkrediidikorralduste regulatsioon eelnõus
ebapiisavaks, sest ei sisalda selget regulatsiooni selle
kohta, kuidas toimub välkkrediidikorralduse hilinemisega
täitmine olukorras, kus turvameetmete täiendav
rakendamine võtab aega kauem kui 10 sekundit. Kuigi
seletuskiri mainib, et kümne sekundi nõue sel juhul ei
rakendu, puudub selge raamistik selle kohta, millises
täiendavas ajavahemikus peab välkkrediidikorraldus
täidetama ning millised on mõlema poole (maksja ja saaja
makseteenuse pakkuja) täpsed kohustused viivituse
korral. Eelnõus ei ole üheselt välja toodud selget
regulatsiooni selle kohta, kuidas kooskõlastatakse
välkkrediidikorralduse hilinemisega täitmine
Arvestatud Eelnõu seletkirjas on täiendavalt selgitatud kooskõla välkmaksete
määruse nõuetega. Lähtutud on sealhulgas ka Eesti Pangaliidu
varasematest selgitustest (vt punkt )
36
välkmaksete määruse nõuetega, mis on eelnõu üks
alusaktidest.
Regulatsiooni ebatäpsus võib tekitada praktilist
ebakindlust nii pankade kui makseteenuse kasutajate
jaoks. Juhul, kui ministeerium jääb oma esialgselt
pakutud sõnastuse juurde, siis palume eelnõud täiendada
selge ja konkreetse regulatsiooniga
välkkrediidikorralduste hilinemisega täitmise
mehhanismi, sealhulgas mõlema poole makseteenuse
pakkuja kohustuste ja vastutuse osas.
35 Konkreetne viide PSD2 delegeeritud määruse (RTS)
riskianalüüsi sättele ei ole eesmärgipärane. Eelnõuga
nähakse ette, et makseteenuse pakkuja õigus keelduda
autoriseeritud maksejuhise täitmisest seotakse RTS ette
nähtud turvameetmete täiendava rakendamisega. RTS
artikkel 18 käsitleb tehingu riskianalüüsi ning puudutab
olukorda, kus makseteenuse pakkujatele antakse luba
mitte kasutada kliendi tugevat autentimist juhul, kui
maksja algatab elektroonilise kaugmaksetehingu, mille
makseteenuse pakkuja on tehinguseiremehhanismide
alusel lugenud väikese riskiga tehinguks. Käesoleval
juhul on viide RTS artikli 18 riskianalüüsile ebavajalik.
Artikkel 18 on mõeldud SCA rakendamise
leevendamiseks, mitte pettuste tõkestamise eesmärgil
turvameetmete rakendamise aluse loomiseks. Kui eelnõu
esitaja eesmärk on peegeldada vastavaid kriteeriume, siis
tuleks viidata neile mitte konkreetsele artiklile osutades,
vaid asjakohaste kriteeriumite täpsema loetelu kaudu.
Artiklis nimetatud kriteeriumid on järgmised: i) maksja
tavapäratud kulutused või käitumismuster; ii) ebatavaline
teave maksja seadme/tarkvara kasutamise kohta; iii)
pahavaraga nakatumine autentimismenetluse mis tahes
seansi kestel iv) makseteenuste osutamisega seoses
Avestatud Seletuskirja on muudetud. Seletuskirjas on täpsemalt selgitatud, et
viite eesmärk RTS artiklile 18 on näitlikustada ja üldiselt välja tuua,
et mida kõike peavad makseteenuse pakkujad reaalajas tehingu
riskianalüüsi käigus hindama.
Täiendavate turvameetmete rakendamise osas on tehtud viide RTS
artikli 2 lõikele 1.
37
teadaolev petuskeem; v) maksja tavapäratu asukoht; vi)
makse saaja kõrge riskitasemega asukoht. Eelnõus on
eesmärk anda pankadele alus täiendavate turvameetmete
rakendamiseks pettuste tõkestamise eesmärgil. Selleks
asjakohaseks sätteks on RTS artikli 2 lõige 1, mille
kohaselt peavad makseteenuse pakkujatel turvameetmete
rakendamise eesmärgil olema tehinguseiremehhanismid,
mis võimaldavad neil avastada autoriseerimata või
pettuse teel tehtud maksetehinguid. Seletuskirjale tuleks
lisada viide RTS artikli 2 lõike 2 punktile c, mis käsitleb
tehinguseire mehhanisme ja petuskeeme. Palume eelnõust
eemaldada viited RTS artikli 18 riskianalüüsile (nn SCA
erand väikese riskiga tehingutele) ning asendada need
asjakohaste viidetega RTS artikli 2 lõike 1 kohastele
seiremehhanismidele, mis on pettuste tõkestamise
seisukohalt ainus otseselt kohalduv säte.
36 3.1 „Objektiivselt põhjendatud kahtluse“ näitlikustamine
Eelnõu § 1 punktiga 1 täiendatakse VÕS § 724³ lõigetega
41 -4 3 ning nähakse ette, et makseteenuse pakkuja võib
keelduda autoriseeritud maksejuhise täitmisest juhul, kui
esineb objektiivselt põhjendatud kahtlus, et maksetehingu
täitmiseks antud nõusolek on saadud pettuse teel.
Sarnasele mõistele (objektiivselt põhjendatud kahtlus) on
viidatud eelnõu § 1 punktis 3, millega täiendatakse VÕS
§ 7339 lõiget 3 vastutuse piiranguga ning eelnõu § 2,
millega täiendatakse KAS §-ga 894 krediidiasutuse
õigusega avaldada andmeid. Uus õigus keelduda
maksejuhise täitmisest tugineb mõistel „objektiivselt
põhjendatud kahtlus“. Eelnõu seletuskirjas on küll
viidatud riskiteguritele, mida tehinguseiremehhanismid
peaksid arvesse võtma (lk 4 lg 2), riskianalüüsile ja mida
selle raames tuleks näiteks hinnata (lk 4 kg 3) ning kahele
näitele, milline võiks olla objektiivselt põhjendatud
Arvestatud Seletuskirja on täiendatud selgitusega mida käsitletakse
objektiivselt põhjendatud kahtlusena ning toodud näitlik loetelu.
38
kahtlus (lk 6 lg 3), kuid eelnõu ei defineeri seda mõistet
ammendavalt. Praktikas tekib küsimus, millised
kriteeriumid peavad olema täidetud, et kahtlust pidada
objektiivselt põhjendatuks, milline on makseteenuse
pakkuja dokumenteerimiskohustus selles osas ja mille
alusel hinnatakse hiljem panga otsuse õiguspärasust (nt
kohtus või järelevalves). Kuna vastutus makse hilinemise
või täitmata jätmise eest sõltub sama mõiste sisust, võib
ebaselge regulatsioon suurendada vaidlusriski nii
klientide kui ka järelevalveasutustega. Samuti on eelnõu
seletuskirjas KAS § 894 lg 1 juures välja toodud, et
pangasaladuse avaldamine ei ole lubatud iga kahtluse
korral, vaid juhul kui selleks on objektiivselt põhjendatud
alus kahtlustada pettust. See tähendab, et lisaks
kliendivaidlustele suureneb objektiivselt põhjendatud
kahtluse ebamäärasusega ka pangasaladuse jagamise
piiride ületamisega seotud risk. Teeme ettepaneku lisada
VÕS § 724³ lõike 4¹ juurde või eelnõu seletuskirja
definitsioon, mis moodustab objektiivselt põhjendatud
kahtluse. Mõistan, et liiga detailne definitsioon muutuks
kiiresti vananenuks, sest pettuseskeemid arenevad kiiresti
ning see võib halvata operatiivse reageerimise. Ei ole vaja
ammendavat loetelu, vaid raamistust, mis tagaks, et
krediidiasutused, järelevalve ja kohtud hindaksid olukordi
ühtmoodi. Samuti teeme ettepaneku eelnõu seletuskirjas
rõhutada, et krediidiasutus võib tugineda automatiseeritud
riskimudelitele ja tehinguseire süsteemidele
37 3.2 Tähelepanek seletuskirja olevale lõigule „Komisjoni
delegeeritud määruse artikli 2 lõike 2 kohaselt tagavad
makseteenuse pakkujad, et tehinguseiremehhanismid
võtavad arvesse vähemalt kõiki järgmisi riskipõhiseid
tegureid: a) murtud või varastatud autentimisvahendite
loetelu; b) iga maksetehingu summa; c) makseteenuste
Arvestatud Seletuskirja on vastavalt muudetud.
39
osutamisega seoses teada olevad petuskeemid; d) märgid
pahavaraga nakatumise kohta autentimismenetluse mis
tahes seansi kestel; e) juhul kui juurdepääsuseadme või -
tarkvara annab kasutaja käsutusse makseteenuse pakkuja,
logid sellise juurdepääsuseadme või -tarkvara kasutamise
ning juurdepääsuseadme või -tarkvara tavapäratu
kasutamise kohta.“ Punkt „d) märgid pahavaraga
nakatumise kohta autentimismenetluse mis tahes seansi
kestel; “ on midagi, mida on tehniliselt väga keeruline (kui
mitte võimatu) teostada. See tähendaks kogu kliendi
seadmes oleva info kogumist, töötlemist ja protsessimist
ning seda ei saa teha ei tehniliselt ega ka seadusandluse
kontekstis. Teeme ettepaneku sõnastada punkti d asemel:
„seadme ja kasutaja infot, sh IP-aadressi ja kogutavat
seadmete spetsiifilist infot“.
1
Võlaõigusseaduse ja sellega seonduvalt teiste seaduste muutmise
seaduse (finantspettuste ennetamine ja tõkestamine) eelnõu
seletuskiri
1. Sissejuhatus
1.1. Sisukokkuvõte
Eelnõu eesmärk on tõhustada finantspettuste ennetamise ja tõkestamise meetmeid. Viimastel
aastatel on finantspettuste arv ja keerukus märkimisväärselt kasvanud1. Pettuste
toimepanemiseks kasutatakse näiteks erinevaid digitaalseid kanaleid ja tehnilisi vahendeid ning
identiteedivargust ja sotsiaalset manipuleerimist, mille abil petetakse isikutelt raha välja.
Finantspettused on kiiresti kasvav probleem – mullu kaotasid Eesti inimesed petturitele ligi 29
miljonit eurot, peaaegu kaks korda rohkem kui aasta varem. Enamik pettusi algab
telekommunikatsioonikanalite kaudu ja lõpeb pangamaksega, mistõttu on tõhus ennetus
võimalik vaid riigi ja erasektori tihedas koostöös.
Eelnõu tugevdab makseteenuse kasutajate kaitset olukorras, kus makse tegemisel esineb
pettusekahtlus, ning parandab makseteenuse pakkujate võimalusi finantspettusi ennetada ja
tõkestada. Praktikas on pettuste puhul küll makse tehniliselt kinnitatud, kuid hiljem ilmneb, et
maksja ei ole teinud makset oma tegeliku ja vaba tahte alusel, vaid teda on selleks eksitatud.
Kehtiv õigus ei anna selliste olukordade lahendamiseks piisavaid võimalusi. Eelnõu loob
selgema õigusraamistiku ja tugevdab pankade õigust põhjendatud pettuse kahtluse korral
makseid ajutiselt peatada või makse täitmisest keelduda. Eelnõu annab ka krediidiasutustele ja
makseasutustele ja e-raha asutustele (edaspidi koos makseteenuse pakkujad) selge õigusliku
aluse pettusekahtlusega seotud info vahetamiseks teiste krediidiasutuste, makseasutuuste ja e-
raha asutuste, Politsei- ja Piirivalveameti (edaspidi PPA) ning Riigi Infosüsteemi Ameti
(edaspidi RIA) küberintsidentide käsitlemise osakonna CERT-EE-ga (edaspidi CERT).
Esiteks, eelnõuga muudetakse võlaõigusseaduse (edaspidi VÕS) regulatsiooni, mis
puudutab maksejuhise täitmisest keeldumist ehk olukorda, kus isik soovib teha
maksetehingut, kuid makseteenuse pakkuja (pank või makseasutus) saab keelduda
maksetehingu täitmisest. Kehtivas õiguses puudub makseteenuse pakkujal selge õiguslik alus
keelduda maksejuhise täitmisest juhul, kui on põhjendatud kahtlus, et maksetehingu täitmiseks
antud nõusolek on saadud andmete väärkasutamise, pettuse või maksja manipuleerimise teel.
Praktikas võib see tähendada olukorda, kus makseteenuse pakkuja näeb, et makse on küll
kinnitatud nõutud autentimisvahenditega, kuid esineb põhjendatud kahtlus, et need vahendid
on saadud või on neid kasutatud pettuse teel. Näiteks võib isik olla petuskeemi käigus eksitatud
kinnitama makset, uskudes, et ta suhtleb pangaga, kuigi tegelikult suunab teda makset tegema
pettur. Kuigi makse on tehniliselt kinnitatud kliendi autentimisvahendiga, on nõusolek sellisel
juhul antud pettuse teel isiku eksitusse viimisega.
1 Vt Eesti Panga koostatud ülevaadet: https://haldus.eestipank.ee/sites/default/files/2025-12/ep_maksepettuste-
ulevaade-2025_0.pdf
2
Teiseks, eelnõuga muudetakse krediidiasutuste seadust (edaspidi KAS), millega antakse
krediidiasutustele õigus jagada vajalikku teavet pettuste avastamiseks ja väljaselgitamiseks.
Seda juhul kui krediidiasutusel on objektiivselt põhjendatud kahtlus, et klient või maksetehing
võib olla seotud pettusega. Eelnimetatud teave võib mh kvalifitseeruda ka pangasaladuseks.
Krediidiasutusel saab olema õigus omal initsiatiivil jagada vajalikku teavet teiste
krediidiasutustega, makseasutuste ja e-raha asutustega, PPA-ga ning RIA-ga. Kehtivas
õiguses selline õigus puudub ning see on osutunud probleemiks pettuste avastamisel ja
väljaselgitamisel. Praktikas tähendab see, et näiteks olukordades, kus krediidiasutusel on
kahtlus, et konkreetne maksekonto (lihtsustatult arvelduskonto) on seotud pettuste
toimepanemisega, siis seda teadmist teiste krediidiasutustega jagada ei tohi. Sellise õiguse
puudumine on takistuseks tõhusamalt ennetada pettuste toimepanemist. Samuti antakse
krediidiasutusele õigus avaldada andmeid e-identimise ja e-tehingute usaldusteenuste seaduse
tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale. Krediidiasutus ise ei halda
usaldusteenuse osutaja allkirjastamiskeskkonda ega selle tehnilisi logisid. Andmete avaldamise
eesmärk on võimaldada usaldusteenuse osutajal kontrollida, kas pettuslik tehing seostub näiteks
sama kasutaja või sama seadmega.
Kolmandaks, eelnõuga muudetakse makseasutuste ja e-raha asutuste seadust (edaspidi
MERAS) ja antakse makseasutustele ja e-raha asutustele õigus avaldada andmeid ja teavet
teisele makseasutusele ja e-raha asutusele, krediidiasutusele, PPA-le ning RIA-le maksepettuste
avastamiseks ja väljaselgitamiseks KAS §-is 894 sätestatud tingimustel. Kuna makseteenuseid
osutavad ka makseasutused ja e-raha asutused, antakse ka neile krediidiasutusega samasugune
õigus andmeid avaldada. Vastasel juhul jääks osa teenusepakkujaid pettuste ennetustegevusest
väljapoole puuduva info tõttu. Andmete avaldamise eesmärk ja koosseis on sama nagu
krediidiasutustel.
Kavandatavad muudatused võimaldavad makseteenuse pakkujatel pettusekahtluse korral
kiiremini sekkuda ning teha omavahel, samuti PPA ja RIA-ga, koostööd, aidates seeläbi
vähendada pettustega tekitatud kahju ja suurendada finantssüsteemi turvalisust. Muudatused ei
too kaasa täiendavat halduskoormust makseteenuse pakkujatele ega avaliku sektori asutustele,
vaid aitavad pettuste ennetamist ja tõkestamist paremini korraldada.
1.2 Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on koostanud Rahandusministeeriumi finantsteenuste poliitika osakonna
nõunik Jarmo Lilium (e-post: [email protected]). Eelnõu juriidilist kvaliteeti kontrollis
õigusosakonna nõunik Marge Kaskpeit (e-post: [email protected]). Eelnõu on keeleliselt
toimetanud Rahandusministeeriumi personali- ja õigusosakonna keeletoimetaja Heleri Piip (e-
post: [email protected]).
1.3 Märkused
Eelnõuga muudetakse:
Krediidiasutuste seadust redaktsioonis RT I, 13.02.2026, 7;
Võlaõigusseadust redaktsioonis RT I, 11.11.2025, 16;
3
Makseasutuste ja e-raha asutuste seadust redaktsioonis RT I, 13.02.2026, 9.
Eelnõu on seotud järgmiste Euroopa Liidu õigusaktiga:
Euroopa Parlamendi ja nõukogu direktiiv (EL) 2015/2366 makseteenuste kohta
siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr
1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta (ELT L
337, 23.12.2015, lk 35–127)2 (edaspidi makseteenuste direktiiv);
Euroopa Parlamendi ja nõukogu määrus (EL) 2024/886, millega muudetakse määrusi
(EL) nr 260/2012 ja (EL) 2021/1230 ning direktiive 98/26/EÜ ja (EL) 2015/2366
eurodes välkkreeditkorralduste osas (ELT L, 19.3.2024.)3 (edaspidi välkmaksete
määrus).
Eelnõu ei ole seotud muu menetluses oleva eelnõuga, kuid on seotud Vabariigi Valitsuse 2025–
2027 tegevusprogrammiga. Koalitsioonileppe punkti 308 kohaselt on ette nähtud, et koostöös
Eesti Panga, erasektori ja teiste asutustega töötakse välja finantspettuste tõkestamise
tegevuskava ja tehakse selle põhjal vajalikud muudatused seadusandluses.4
Vastavalt Eesti Vabariigi põhiseaduse (edaspidi PS) §-le 73 võetakse eelnõu seadusena vastu
Riigikogu poolthäälte enamusega, kui PS ei näe ette teisiti. Eelnõus ei ole sätteid, mis
puudutaksid PS §-s 104 toodud Riigikogu koosseisu häälteenamuse nõuet.
2. Seaduse eesmärk
Eelnõu eesmärk on tõhustada finantspettuste avastamist, väljaselgitamist ja tõkestamist, andes
makseteenuse pakkujatele selge õigusliku aluse maksejuhise täitmisest keeldumiseks ning
krediidiasutustele õiguse jagada pettuse kahtluse korral vajalikku teavet teiste krediidiasutuste,
PPA ning RIA-ga.
Kehtiv õigus ei võimalda finantspettuste kahtluse korral piisavalt kiiresti ja tõhusalt sekkuda,
kuna maksejuhise täitmisest keeldumise õigus on kitsalt piiritletud. Samuti ei sisalda kehtiv
õigus selgeid aluseid vajaliku ja õigeaegse info jagamiseks ning seeläbi ei toimi tõhusalt ka
erinevate osapoolte omavaheline koostöö.
Üldjuhul töödeldakse makseid reaalajas, mis tähendab, et makse saaja kontole jõuavad need
sekunditega. Eestis oli välkmaksete osakaal 2025. aasta juuli seisuga 87%5. Pettuse toimepanija
jaoks tähendab see seda, et juhul kui saadakse isik pettuse teel makset tegema, laekub raha kohe
petturi kontrolli all olevale maksekontole, tihtipeale nn rahamuula maksekontole, kust see
järgmisesse riiki kantakse. Seetõttu on oluline, et makseteenuse pakkujatel oleks selge õiguslik
alus maksejuhise täitmisest keeldumiseks ning väga oluline on andmete vahetamine erinevate
osapoolte vahel.
2 Directive - 2015/2366 - EN - Payment Services Directive - EUR-Lex 3 https://eur-lex.europa.eu/eli/reg/2024/886/oj 4 https://valitsus.ee/valitsuse-eesmargid-ja-tegevused/valitsemise-alused/koalitsioonilepe-2025-
2027/riigirahandus 5 maksete-ulevaade-2025_2-avalik.xlsx
4
Finantspettustega võitlemine on kesksel kohal ka Euroopa Liidu õigusloomes. Nimelt on
Euroopa Liidu tasemel sisuliselt kokku lepitud uus makseteenuse määrus6, mis hakkab
asendama praegu kehtivat makseteenuste direktiivi 2015/23667. Määrusega tugevdatakse
muuhulgas makseteenuste turvalisust ning nähakse ette ulatuslikumad pettusevastased
meetmed, mis aitavad makseteenuse pakkujatel kui ka vastavatel ametiasutustel tõhusamalt
sekkuda pettuste avastamisse, väljaselgitamisse ja tõkestamisse. Määrus paneb muuhulgas
makseteenuse pakkujatele kohustuse autoriseeritud maksete täitmisest keelduda juhul, kui on
alus kahtlustada pettust. Samuti näeb määrus ette andmete vahetamise makseteenuse pakkujate
vahel ning samuti muude asutustega. Makseteenuste määruse osas jõuti poliitilise kokkuleppeni
2025. aasta novembris8. Määrust hakatakse eeldatavalt kohaldama 2028. aasta lõpus.
Euroopa Liidu Nõukogu töögruppides oli üheks keskseks teemaks pettuste vastased meetmed
uues makseteenuste määruses, sealhulgas ka pettuslike maksete blokeerimine ja andmete
vahetamine makseteenuse pakkujate ning teiste asutuste vahel. Komisjoni esialgne ettepanek
neid meetmeid ei sisaldanud, kuid arutelude käigus tõusetusid need kui väga olulised ja
vajalikud meetmed pettustega võitlemisel. Erinevalt käesolevast eelnõust on uues
makseteenuste määruses andmete vahetamine ja tehingute blokeerimine makseteenuse
pakkujale kohustuslik.
Käesolev eelnõu lähtub samast eesmärgist ning loob riigisiseses õiguses vajalikud õiguslikud
alused, mis aitavad pettusi tõhusamalt avastada, välja selgitada ja tõkestada. Eesmärk on
võimaldada selliste meetmete rakendamist teatud ulatuses juba enne, kui hakkab kehtima uus
makseteenuste määrus. Arvestades pettuste jätkuvat kasvu ning nende tekitatud suurt kahju nii
isikutele kui ettevõtjatele, on põhjendatud rakendada sarnase sisuga meetmeid võimalikult
varakult. Kui uus makseteenuse määrus hakkab kehtima, tuleb lähtuvalt sellest analüüsida ja
tõenäoliselt kehtetuks tunnistada need siseriiklikud sätted, mis tulenevad otse eelnimetatud EL
määrusest.
Seaduseelnõule ei ole koostatud väljatöötamiskavatsust ega ka õiguslikke valikuid kajastavat
kontseptsiooni, kuna eelnõu käsitleb EL õiguse rakendamist ning EL õigusakti eelnõu
menetlemisel on sisuliselt lähtutud HÕNTE § 1 lg 1 nõuetest. („Hea õigusloome ja
normitehnika eeskirja“ § 1 lõike 2 punkt 2).
3. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb kolmest paragrahvist.
Eelnõu §-ga 1 muudetakse VÕS-i.
Eelnõu § 1 punktiga 1 täiendatakse VÕS § 711 lõiget 1 punktiga 151, mille kohaselt tuleb
makseteenuse pakkujal esitada makseteenuse lepingu tingimustes igale kliendile maksejuhise
6 EUR-Lex - 52023PC0367 - ET - EUR-Lex 7 https://eur-lex.europa.eu/eli/dir/2015/2366/oj/eng 8 https://www.europarl.europa.eu/news/en/press-room/20251121IPR31540/payment-services-deal-more-
protection-from-online-fraud-and-hidden-fees
5
täitmise edasilükkamise tingimused tulenevalt käesoleva seaduse §-st 7247. VÕS § 711 näeb
ette teabe, mille peab makseteenuse pakkuja kliendile esitama makseteenuse lepingu tingimuste
kohta. Kuivõrd makseteenuse pakkujal on õigus maksejuhise kättesaamist edasi lükata, siis
sätestatakse seaduses, et sellest tuleb klienti teavitada. peab kliendil olema õigus sellest ja selle
tingimustest ka ette teada. Seeläbi saab klient teada, et maksejuhise kättesaamise
edasilükkamine ei ole makseteenuse pakkuja suvaotsus, vaid selline õigus tuleneb seadusest
ning selle eesmärk on kaitsta klientide vara finantspettuste eest.
Eelnõu § 1 punktiga 2 täiendatakse VÕS-i §-ga 7247, mis näeb ette lisaturvameetmete
rakendamine pettusekahtluse korral.
Eelnõu § 1 punktiga 2 VÕS-i lisatav § 7247 lõige 1 näeb ette, millisel juhul on makseteenuse
pakkujal õigus maksejuhise kättesaamine edasi lükata ja rakendada lisaturvameetmeid. Selline
õigus on juhul, kui maksja makseteenuse pakkujal on objektiivselt põhjendatud kahtlus, et:
1) maksejuhist ei ole autoriseerinud maksja või
2) maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga
manipuleerimise teel.
Järgnevalt on maksejuhise autoriseerimise ning maksejuhise kättesaaduks lugemise paremaks
mõistmiseks välja toodud makseprotsessis autoriseerimise ja selle käigus toimuva pettuslike
maksete tõkestamise tehnilisem kirjeldus.
Tegevused saab jagada kaheks – need, mis toimuvad enne PIN 2 sisestamist ning need mis
pärast seda.
Esiteks on tegevused, mis toimuvad enne PIN 2 sisestamist. Esmalt isik kinnitab oma
tavapäraste autentimisvahenditega logimise internetipanka (nt PIN 1, biomeetria). Juba
internetipanka sisse logimisel on makseteenuse pakkuja kohustatud tegema tavapärast kontrolli
ja riskihindamist. Kui isik soovib teha makset, on tinglikult võimalikud kolm erinevat
lõpptulemust. Esiteks, makseteenuse pakkuja tuvastab juba internetipanka sisselogimise
andmete põhjal pettuse kahtluse ning siis on võimalus kasutajatunnus või konto blokeerida.
Teiseks, pettuse kahtlus tuvastatakse siis, kui isik täidab maksevormi. Sellisel juhul on võimalus
keelduda makset kinnitamast juba enne PIN 2 sisestamist ning sellest teavitatakse klienti.
Kolmandaks, pettusekahtlust ei ole ning isik kinnitab makse tavapäraselt PIN 2-ga. Eeltoodust
tulenevalt asub sellisel juhul kontrolli kese monitooringus, mis tehakse enne PIN 2-ga
maksejuhise kinnitamist ehk et tehingu autoriseerimine ei ole tehniliselt veel lõppenud.
Teiseks on tegevused, mis toimuvad pärast PIN 2 sisestamist. Sellisel juhul on maksejuhise
autoriseerimine tehniliselt lõpuni viidud, kuid sellest hoolimata võib ka siis tekkida või
kinnitust leida objektiivselt põhjendatud pettusekahtlus ning peab olema võimalus sellise
maksejuhise täitmisest keelduda. Pärast PIN 2 sisestamist on makseteenuse pakkujal võimalus
rakendada mitmeastmelist kontrolli. Kui tekib pettusekahtlus edastatakse näiteks isikule
teavitus, et makse suunatakse täiendavasse tehnilisse kontrolli, nt biomeetria kontroll või mõni
muu lisaverifitseerimise meetod. Pärast täiendavat maksejuhise kontrolli on võimalik kaks
olukorda. Esiteks, kui pettusekahtlus saab maandatud ning autoriseerimine loetakse lõppenuks,
6
ja asutakse maksejuhist täitma. Teiseks, kui pettusekahtlust ei ole olnud võimalik kõrvaldada ja
keeldutakse maksejuhise täitmisest.
Kehtiv õigusraamistik võimaldab makseteenuse pakkujatel pettuste tõkestamisse maksejuhise
täitmisel kõige tõhusamalt sekkuda enne PIN 2 sisestamist, ehk et tehniliselt enne
autoriseerimise lõppemist. Makseteenuse pakkujate kohustus avastada autoriseerimata või
pettuse teel tehtud maksetehinguid ei lõpe aga ühes PIN 2 sisestamisega, vaid ka pärast seda.
Eelnõu annab siinkohal makseteenuse pakkujatele selge õigusliku aluse ja kriteeriumid, et
sekkuda pettuse kahtluse puhul maksetehingu täitmisesse pärast PIN 2 sisestamist.
VÕS-i lisatava § 7247 lõike 1 kohaselt tekib makseteenuse pakkujal õigus maksejuhise
kättesaamine edasi lükata ja lisaturvameetmeid rakendada juhul, kui tal esineb objektiivselt
põhjendatud kahtlus, et maksejuhist ei ole autoriseerinud maksja või maksejuhis on
autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel, mis
tähendab, et kahtlus peab tuginema konkreetsetele asjaoludele ja riskinäitajatele. Objektiivselt
põhjendatud kahtlus võib muu hulgas tugineda näiteks järgmistele asjaoludele:
maksejuhis erineb oluliselt maksja tavapärasest maksekäitumisest (nt ebatavaliselt suur
summa ning uus makse saaja, ebatavaline kellaaeg või geograafiline asukoht);
makse tegemisel kasutatakse seadmeid, IP-aadresse või autentimisviise, mis erinevad
maksja tavapärasest kasutusmustrist;
makseteenuse pakkuja tehinguseiremehhanismid tuvastavad tehingus mustreid, mis on
iseloomulikud pettustele või andmete väärkasutusele;
makse on seotud teadaolevate või kõrgendatud riskiga maksekontode, isikute või
tegevustega;
maksja käitumine viitab pettusele, nt ebatavaline maksete tegemise kiirus, korduvad
katsed, vastuolulised sisestused, korraga kõikide maksete limiitide tõstmine.
Seejuures tuleb hinnata kõiki asjaolusid kogumis ning üksik riskitegur ei pruugi alati olla piisav
maksejuhise kättesaamise edasilükkamiseks, et rakendada lisaturvameetmeid. Oluline on, et
makseteenuse pakkuja tegevus oleks proportsionaalne ja põhjendatud – objektiivse kahtluse
olemasolu peab olema dokumenteeritav ning vajaduse korral hiljem kontrollitav. Kehtiv VÕS
§ 7334 lõige 1 näeb ette, e kui on vaieldav, kas maksetehing on autoriseeritud või nõuetekohaselt
täidetud, peab makseteenuse pakkuja või asjakohasel juhul makseteenuse pakkuja, kelle makse
algatamise teenuse kaudu makse algatati, tõendama, et maksetehing on autenditud, muu hulgas
rakendatud kliendi tugevat autentimist, korrektselt dokumenteeritud ja kontodel kajastatud ning
tehingu tegemist ei ole mõjutanud ükski puudus. See tagab, et makseteenuse pakkuja ei kasuta
talle antud õigust meelevaldselt, vaid üksnes juhtudel, kus see on maksete turvalisuse
tagamiseks vältimatult vajalik. Võib eeldata, et makseteenuse pakkujate huvides ei ole ka
nimetatud meetme kergekäeline rakendamine, sest see mõjutab negatiivselt kliendi kogemust
teenuse kasutamisel ning võib viia kliendi teise makseteenuse pakkuja pakutavate teenuste
juurde.
Eelnõuga lisatav säte toob eraldi välja kaks peamist olukorda, mille esinemisel võib
makseteenuse pakkuja maksejuhise kättesaamise edasilükkamise õigust kasutada.
7
Esiteks, on õigus maksejuhise kättesaamine edasi lükata VÕS-i lisatava 7247 lõike 1 punkti 1
kohaselt juhul, kui on põhjendatud kahtlus, et maksejuhist ei ole autoriseerinud maksja. See
hõlmab olukordi, kus makse võib olla tehtud ilma maksja teadmise või nõusolekuta, näiteks
juhul, kui kolmas isik on saanud ligipääsu maksja autentimisvahenditele või maksekontole. Ehk
et tegemist on kehtiva VÕS-i järgi autoriseerimata maksega. VÕS § 7241 lõige 1 sätestab, et
maksetehing on maksjale siduv, kui ta on selle täitmiseks andnud nõusoleku. Nõusoleku võib
anda enne tehingu tegemist või poolte kokkuleppel ka tagantjärele heakskiiduna. See tähendab,
et juhul, kui makse on tehtud, kasutades kadunud või varastatud makseinstrumenti, on tegemist
autoriseerimata maksega, sest puudub isiku nõusolek sellise makse tegemiseks.
Makseteenuste direktiivi artikli 64 lõike 1 kohaselt peavad liikmesriigid tagama, et maksetehing
loetakse autoriseerituks üksnes siis, kui maksja on andnud nõusoleku maksetehingu täitmiseks,
maksja võib sealjuures autoriseerida makse enne maksetehingu täitmist või maksja ja tema
makseteenuse pakkuja vahelise kokkuleppe korral pärast maksetehingu täitmist (heakskiit).
Artikli 64 lõike 4 kohaselt määratakse nõusoleku andmise viis ja kord poolte kokkuleppega.
Sama artikli lõike 2 teises lauses on peetud oluliseks rõhutada, et kui mainitud „nõusolek“
puudub, loetakse maksetehing „autoriseerimata maksetehinguks“. Põhimõtteliselt võtab see
mõistemääratlus hilisemates makseteenuse kasutaja ja makseteenuse pakkuja vastutuse sätetes
kokku juhtumid, kus puudub maksejuhis või selle jõustumise täiendava eeldusena maksja
nõusolek (maksevahendi kasutamise kaudu) makse tegemiseks. Sellisel juhul rakendub
maksetehingu tegemise korral makseteenuse kasutaja ja makseteenuse pakkuja vastutus (st
toimus autoriseerimata maksetehing). Maksja „nõusolekut“ reguleeriv säte on rakendatav juhul,
kui maksejuhise andmiseks kasutatakse mõnda maksevahendit, ülekannete puhul loetakse
maksejuhis jõustunuks, kui see on kätte saadud (vt VÕS § 7242), ehk et „nõusolek“ langeb kokku
maksejuhise kättesaamise hetkega. Küll aga vaadeldakse „autoriseerimata maksena“ seega nii
makset, mille tegemiseks puudus maksejuhis, kui ka makset, mille tegemiseks puudus maksja
„nõusolek“. Mõlemal juhul rakendub vastutus makseteenuse eest „autoriseerimata“ maksete
korral. Kokkuvõtteks on makse autoriseerimise kontseptsioon „maksele nõusoleku andmine“.
Kui tegemist on maksja enda antud maksejuhisega (nt isik teeb ise elektroonilise makse), siis
sisaldub nõusolek maksetehingu tegemiseks juba iseenesest maksejuhises. Kui tegemist on
saaja kaudu algatatud maksega (nt algatab kaupmees makse korduvate tellimuste puhul, kui
maksja on andnud eelnevalt selleks nõusoleku), väljendub nõusolek maksevahendi kasutamises
(VÕS § 7241 lg 3). Nendel juhtudel annab maksja selgelt ja üheselt mõistetavalt oma nõusoleku
enne maksetehingu täitmist, hilisema heakskiidu järele puudub vajadus, puudub ka võimalus
jätta nõusolek andmata ning autoriseerida makse heakskiiduga. Seega on autoriseerimine
hilisema heakskiidu andmise näol mõeldav üldiselt vaid saaja poolt algatatud maksetehingute
puhul.
Teiseks, on õigus maksejuhise kättesaamine edasi lükata VÕS-i lisatava 7247 lõike 1 punkti
2 kohaselt juhul, kui maksejuhis on küll formaalselt autoriseeritud, kuid see on toimunud
andmete väärkasutamise, pettuse või maksjaga manipuleerimise tulemusena. Siia alla kuuluvad
näiteks juhtumid, kus maksjat on eksitatud (nt sotsiaalse manipulatsiooni teel) tegema makset,
mida ta ei oleks teinud, kui tal oleks olnud asjaolude kohta õige teave. Tsiviilseadustiku üldosa
seaduse (edaspidi TsÜS) § 94 lõike 1 kohaselt on pettus isiku tahtlik eksimusse viimine või
8
eksimuses hoidmine temale ebaõigete asjaolude avaldamise teel, eesmärgiga kallutada isik
tehingut tegema. Sama paragrahvi lõike 2 kohasel on ebaõigete asjaolude avaldamisega
võrdsustatud nendest asjaoludest teatamata jätmine, millest vastavalt hea usu põhimõttele oleks
tulnud teatada, samuti selliste asjaolude tõesena avaldamine, mille tõele vastavust avaldaja ei
ole kontrollinud ja mis hiljem osutuvad ebaõigeks.
Sellised olukorrad on pettuste toimepanemisel praktikas sagenenud ning nende puhul ei pruugi
pelgalt autoriseerimise fakt tähendada seda, et isik ka tegelikult soovis sellist makset teha
olukorras, kus talle esitati ebaõigeid asjaolusid ja viidi seeläbi isik eksimusse ning selle
tulemusel andis isik nõusoleku maksetehingu tegemiseks, kui õigete asjaolude teadmisel ei
oleks ta sellist kinnitust andnud.
Maksejuhise kättesaamise ajutiselt edasi lükkamise vaatest on oluline see, et mida pidada
täpsemalt silmas maksejuhise kättesaamise all. Makseteenuste direktiivi artikkel 78 lõige 1
sätestab, et liikmesriigid tagavad, et laekumise ajaks on aeg, mil maksekäsund laekub maksja
makseteenuse pakkujale. Kättesaamise konkreetse ajahetke määratlemine on oluline seepärast,
et sellest alates hakkavad kulgema erinevad tähtajad (maksejuhise täitmine ja täitmisest
keeldumise teate esitamine vt VÕS § 7243, § 728). Oluline on see, et konkreetse ajahetke kaudu
määratletakse arvelduspäev, millest järgneval saaja arvelduspäeval tuleb VÕS § 728 lõike 1
järgi maksejuhis täita (T+1 põhimõte).
Tegemist on kõrvalekaldega TsÜS §-ist 135 tähtaja kulgemise alguse regulatsioonist, sest T+1
eeldab, et kättesaamisele järgneval päeval oleks maksejuhis täidetud. Maksejuhise kättesaamine
on samastatav põhimõtteliselt TsÜS § 69 regulatsiooniga ja tahteavalduse jõustumise
kontseptsiooniga. TsÜS § 69 lõike 1 kohaselt tuleb kindlale isikule suunatud tahteavaldus
väljendada ja see muutub kehtivaks kättesaamisega.
Maksejuhise kui tahteavalduse jõustumisel ehk maksejuhise kättesaamisel võib tegemist olla
nii eemalviibijale kui kohalviibijale tehtud tahteavalduse jõustumisega. Eemalviibijale tehtava
tahteavaldusega on tegemist juhul, kui maksejuhise andmine toimub kasutades mõnd
elektroonilist vahendit (nt ülekanne internetipangas, kaardimakse jms), mis ei võimalda
reeglina vahetut dialoogi tahteavalduse tegija (maksja) ja saaja (makseteenuse pakkuja) vahel.
Kohalviibijale tehtud tahteavaldusega on tegemist siis, kui maksejuhis antakse pangakontoris
pangatellerile. Kohalviibijale tehtud tahteavaldus jõustub isiklikult teatavaks tegemisega ehk
siis hetkel, mil maksja teeb maksejuhise pangatellerile teatavaks, loetakse maksejuhis
kättesaaduks. Kohalviibijale antava maksejuhise ajahetk on seega kindlalt ja üheselt
määratletav.
Eemalviibijale antava maksejuhise puhul on olukord keerulisem. TsÜS § 69 lõike 2 kohaselt
loetakse eemalviibijale tehtud tahteavaldus kättesaaduks, kui see jõuab eemalviibija asukohta
ja tahteavalduse saajal on mõistlik võimalus sellega tutvuda. Kättesaamine toimub siis, kui
tahteavaldus on jõudnud avalduse saaja mõjusfääri, nii et tal on objektiivselt võimalik
tahteavalduse sisust teada saada ning tavapärastel oludel võib tahteavaldusest teadasaamisega
arvestada.9
9 Liis Hallik, Tahteavaldus tsiviilõiguses, Magistritöö, 2005, lk 88, viide 248 Brox’ile
9
Valitseva arvamuse kohaselt on tahtevalduse kättesaamise hetkeks see hetk, mil tahteavalduse
adressaadil oleks normaalsetes oludes võimalus tahteavalduses toodud teave omaks võtta. Kui
adressaat tutvub teabega varem, kui seda võiks temalt mõistlikult oodata, siis loetakse, et
tahteavaldus on teabega tutvumise ajal kätte saadud.10
Maksejuhise laekumise aja kindlaksmääramisel ei lähe arvesse võimalik eelnev maksejuhise
kättesaamiseks ja töötlemiseks ettevalmistav protsess (näiteks erinevate turva- ja kaitsenõuete
täitmine).11 Olenevalt maksejuhise esitamise kanalist (internetipank, pangakontor) viiakse osa
kontrollidest läbi juba enne maksejuhise vastuvõtmist ning puudustest teavitatakse maksejuhise
saatjat kohe.
Maksejuhise töötlemiseks ja kättesaamiseks vajaliku ettevalmistava protsessi lugemine
kättesaamisele eelnevale ajale langevaks tegevuseks, on sisuliselt TsÜS-i § 69 lõike 2 lause 2
tahteavaldusega tutvumiseks mõistliku võimaluse jätmise ja erinevate kättesaamisteooriate
väljendus maksejuhise kättesaamise kontekstis.
Maksejuhise kui tahteavalduse sisust teadasaamiseks ei saa lugeda aega, mil toimub erinevate
formaalsete ja tehniliste nõuete täitmine. Sellisel ajahetkel ei tegeleta veel maksejuhise kui
tahteavalduse sisuga, vaid maksejuhise tehnilise, formaalse ning välise poolega. Seega tuleb
maksejuhise kättesaamise hetke kindlaksmääramisel arvestada võimalust maksejuhise sisuga
tutvuda.
Maksejuhise kättesaamise hetkeks tuleks lugeda hetke, mil on juba eelnevalt tuvastatud, et
maksejuhis vastab tehnilistele nõuetele ja täidetud on vajalikud kriteeriumid turvanõuete
järgimiseks ning seda on võimalik täitma hakata. Maksejuhise võib kättesaaduks lugeda siis,
kui on võimalik tutvuda maksejuhise sisuga ja kui seda on võimalik sisuliselt täita.
Makseteenuse pakkujad peavad kasutama autentimisel ning rahaliste vahendite kinnitamise ja
piiramise ning samuti makse algatamise teenuse ja kontoteabe teenuse osutamise korral
turvalist teabevahetamise viisi ning rakendama turvameetmeid, mis tagavad isikustatud
turvaelementide konfidentsiaalsuse ja andmete tervikluse (VÕS § 7246 lõige 1). Sama
paragrahvi lõige 2 näeb ette, et täpsemad nõuded käesoleva paragrahvi lõikes 1 nimetatud
turvalise teabevahetuse ja turvameetmete kohta kehtestatakse Euroopa Parlamendi ja nõukogu
direktiivi 2015/2366/EL (edaspidi komisjoni rakendusmäärus) artiklis 98 nimetatud Euroopa
Komisjoni rakendusmäärusega.
Komisjoni rakendusmääruse artikli 2 lõike 1 kohaselt peavad makseteenuse pakkujatel
turvameetmete rakendamise eesmärgil olema tehinguseiremehhanismid, mis võimaldavad neil
avastada autoriseerimata või pettuse teel tehtud maksetehinguid. Need mehhanismid peavad
tuginema maksetehingute analüüsile, mille juures võetakse arvesse elemente, mis on
makseteenuse kasutajale iseloomulikud isikustatud turvavolituste tavapärase kasutamise puhul.
10 D. Einsele, Münchener Kommentar, BGB, Band I Allgemeiner Teil, § 130, Verlag C. H. Beck, München 2001,
S. 1254 11 Saksamaa BGB muutmise seaduse eelnõu seletuskiri, S 174
10
Komisjoni rakendusmääruse artikli 2 lõike 2 kohaselt tagavad makseteenuse pakkujad, et
tehinguseiremehhanismid võtavad arvesse vähemalt kõiki järgmisi riskipõhiseid tegureid:
a) murtud või varastatud autentimisvahendite loetelu;
b) iga maksetehingu summa;
c) makseteenuste osutamisega seoses teada olevad petuskeemid;
d) märgid pahavaraga nakatumise kohta autentimismenetluse mis tahes seansi kestel;
e) juhul kui juurdepääsuseadme või -tarkvara annab kasutaja käsutusse makseteenuse
pakkuja, logid sellise juurdepääsuseadme või -tarkvara kasutamise ning
juurdepääsuseadme või -tarkvara tavapäratu kasutamise kohta.
Lisaturvameetmete rakendamine ei ole nii-öelda eraldi süsteem, vaid juba olemasolevate
turvameetmete sihipärane täiendav kasutamine olukorras, kus tekib kahtlus, et maksejuhis ei
ole maksja poolt autoriseeritud või maksejuhis on autoriseeritud andmete väärkasutamise,
pettuse või maksjaga manipuleerimise teel. Lisaturvameetmete rakendamise sisu on konkreetse
maksejuhise täiendav kontroll pettuse tõkestamise eesmärgil, kui tehingu riskianalüüsi põhjal
tekib eelnevalt nimetatud kahtlus, ehk et risk on tavapärasest suurem.
Makseteenuste direktiiv on artikli 107 kohaselt üldjuhul maksimumharmoniseeriv, mistõttu ei
saa liikmesriik kehtestada direktiivis sätestatust teistsugust regulatsiooni. Käesolev eelnõu ei
lähtu sellest, et makseteenuse pakkujal oleks õigus juba kättesaadud ja autoriseeritud
maksejuhise täitmine ühepoolselt peatada. Eelnõu täpsustab olukorda, kus makseteenuse
pakkuja peab enne maksejuhise kättesaamist teostama kontrolli, kas maksejuhis vastab
kõikidele vastuvõtmise tingimustele, sealhulgas kas tegemist on maksja poolt autoriseeritud
maksejuhisega ning kas tegemist ei ole olukorraga, kus makse on autoriseeritud andmete
väärkasutamise, pettuse või maksjaga manipuleerimise teel. Ehk tegemist on maksejuhise
täiendava kontrolliga selle vastuvõtmise eelses faasis.
Makseteenuse pakkuja poolt rakendatavad lisaturvameetmed võivad hõlmata näiteks maksjaga
ühenduse võtmist, et välja selgitada, kas maksejuhise on esitanud ikka isik ise või kas teda on
manipuleeritud sellist makset tegema. Samuti muud kontrollid, näiteks makse saaja
makseteenuse pakkujaga info vahetamine, et välja selgitada, kas konkreetne maksekonto võib
olla seotud pettuste toimepanemisega. Meetmete täpne sisu ja ulatus sõltub konkreetsest
olukorrast ning maksega seotud riskist. Oluline on hinnata kõiki asjaolusid ja koguda vajadusel
täiendavat teavet. Üksik riskitegur ei pruugi olla piisav asjaolude väljaselgitamiseks. Eeltoodust
tulenevalt saab lisaturvameetmeid käsitada laia mõistena, mis hõlmab nii tehnilisi,
organisatsioonilisi kui ka menetluslikke meetmeid, mille eesmärk on maksete turvalisuse
tagamine ja pettuste ennetamine.
Makseteenuste direktiivi artikli 64 kohaselt loetakse maksetehing autoriseerituks üksnes siis,
kui maksja on andnud nõusoleku maksetehingu tegemiseks. Sellest tulenevalt ei pea
makseteenuse pakkuja pettusekahtluse korral piirduma üksnes formaalse autentimise fakti
tuvastamisega, vaid tal peab olema võimalik hinnata, kas tehniline autoriseerimise fakt
väljendab tegelikku nõusolekut. Seda kinnitab ka kehtiv VÕS § 7334 lõige 2, mis sätestab, et
kui on vaieldav, kas makseinstrumendi abil tehtud maksetehing on autoriseeritud, ei ole
11
ainuüksi makseinstrumendi kasutamise dokumenteerimine makseteenuse pakkuja ja
asjakohasel juhul makse algatamise teenust osutanud makseteenuse pakkuja poolt küllaldane
selle tõendamiseks, et: 1) maksetehing on autoriseeritud; 2) makseinstrumenti on kasutatud
pettuse teel; 3) rikutud on ühte või mitut käesoleva seaduse §-s 73310sätestatud nõuet või
4) rikutud on tahtlikult või raske hooletuse tõttu ühte või mitut makseinstrumendi väljastamise
ja kasutamise tingimust.
Euroopa Pangandusjärelevalve on 2025. aasta vastuses küsimusele „2023_6873 PISP payment
order cancellation due to fraud prevention reasons“12 selgitatud, et juhul, kui enne maksejuhise
täitmist tekib küsimus, kas see oli üldse autoriseeritud, peab kontot haldav makseteenuse
pakkuja olemasolevate elementide põhjal hindama, kas tehing oli autoriseeritud või mitte. Seda
toetavad koosmõjus makseteenuste direktiivi artiklid 78 ja 83. Artikkel 78 seob maksejuhise
kättesaamise aja hetkega, mil maksejuhis jõuab maksja makseteenuse pakkujani, ning artikkel
83 seob makse täitmise tähtaja selle kättesaamise hetkega. Komisjoni rakendusmäärus lähtub
riskipõhisest kontrollist ja näeb ette, et makseteenuse pakkujad rakendavad tehingute
riskianalüüsi, et tuvastada volitamata või pettuslikke tehinguid. Seetõttu on põhjendatud
lisaturvameetmete rakendamine olukorras, kus makseteenuse pakkujal on objektiivselt
põhjendatud kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või on autoriseeritud
andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Kui makseteenuse
pakkuja on selle kontrolli tulemusel veendunud, et maksejuhis ei ole autoriseeritud andmete
väärkasutamise, pettuse või maksjaga manipuleerimise teel, tuleb maksejuhis viivitamata saata
edasi makse saaja makseteenuse pakkujale.
Makseteenuste direktiivi maksete autoriseerimise regulatsioon ning komisjoni
rakendusmääruse nõuded kehtivad ka välkmaksetele. Välkmaksete määruse kohaselt peab
maksja makseteenuse pakkuja kohe pärast välkmaksejuhise kättesaamist kontrollima, kas
makse töötlemise tingimused on täidetud ja kas vajalikud vahendid on olemas, ning saatma
maksetehingu viivitamata saaja makseteenuse pakkujale. Välkmaksete määruse kohaselt
olenemata direktiivi (EL) 2015/2366 artiklist 83 (eelnevalt välja toodud selgitus maksejuhise
täitmise T+1 põhimõte), kontrollib maksja makseteenuse pakkuja viivitamata pärast
välkkreeditkorralduse maksekäsundi vastuvõtmise aega, kas kõik maksetehingu töötlemiseks
vajalikud tingimused on täidetud ja kas vajalik raha on kättesaadav, reserveerib maksetehingu
summa maksja kontol või debiteerib selle maksja kontolt ja saadab maksetehingu viivitamata
makse saaja makseteenuse pakkujale.
Välkmaksete määruse kohaselt (artikkel 5c lõige 1) pakub maksja makseteenuse pakkuja
maksjale teenust, millega tagatakse selle makse saaja kontrollimine, kellele maksja kavatseb
kreeditkorralduse saata (edaspidi „makse saaja kontrollimise teenus“). Maksja makseteenuse
pakkuja osutab makse saaja kontrollimise teenust viivitamata pärast seda, kui maksja esitab
asjakohase teabe makse saaja kohta, ja enne seda, kui maksjale pakutakse võimalust kõnealune
kreeditkorraldus autoriseerida. Selle kohaselt peab maksja makseteenuse pakkuja kontrollima,
kas makse töötlemise tingimused on täidetud enne maksejuhise autoriseerimist. Juhul, kui
maksja makseteenuse pakkujal tekib autoriseerimise protsessi käigus objektiivselt põhjendatud
kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või on autoriseeritud andmete
12 2023_6873 PISP payment order cancellation due to fraud prevention reasons | European Banking Authority
12
väärkasutamise, pettuse või maksjaga manipuleerimise teel, on võimalik enne maksejuhise
kättesaamist rakendada täiendavat kontrolli.
Juhul, kui makseteenuse pakkujal ei oleks õigust välkmakse maksejuhise vastuvõtmist edasi
lükata ning vajadusel selle täitmisest keelduda, siis olukorras, kus makseteenuse pakkujal on
objektiivselt põhjendatud kahtlus, et maksejuhist ei ole autoriseerinud isik ise ja seda tehti
näiteks andmete väärkasutamise teel, ning selline maksejuhis täidetakse, siis vastutab
makseteenuse pakkuja autoriseerimata maksega tekitatud kahju eest.
Kehtivas õiguses on makseteenuse pakkujatele pandud kohustus (komisjoni rakendusmäärus
artikkel 2) omada tehinguseiremehhanisme, mis võimaldavad neil avastada autoriseerimata või
pettuse teel tehtud maksetehinguid. Pettuste vastu võetavad meetmed võib tinglikult jagada
kolmeks. Esiteks on ennetavad tehnilised meetmed, nagu näiteks kliendi tugev autentimine
ning turvalised autentimisvahendid. Teiseks on erinevad kontrollimeetmed, nagu tehingute
reaalaajas riskianalüüs, mis peab arvestama näiteks erinevaid maksemustreid, isiku ebatavalist
käitumist jne. Kolmandaks saab pidada sekkuvaid meetmeid, ehk meetmed mida saab võtta
siis, kui on tuvastatud pettusekahtlus, ning vajalikud on riske maandavad meetmed nagu näiteks
maksetehingu täitmisest keeldumine. Praegu on olukord, kus seaduses sätestatud sekkumist
lubavad meetmed ei ole pettuste tõkestamiseks piisavad. Ilmselgelt ei ole võimalik läbi
ennetavate ja kontrollmeetmete rakendamise ära hoida kõiki pettusi. Samuti ei ole võimalik
kõiki pettusi ära hoida lisaks eelnevatele ka erinevate sekkumismeetmega, kuid nende
olemasolu on siiski selle eesmärgi saavutamisel oluline. Seepärast on vajalik seaduses sätestada
makseteenuse pakkujatele selge alus pettusekahtluse korral rakendada maksejuhise osas
lisaturvameetmeid. Kui komisjoni rakendusmääruses on makseteenuse pakkujatele peale
pandud kohustus avastada autoriseerimata või pettuse teel tehtud tehinguid, siis peavad selle
eesmärgi täitmiseks olema ka asjakohased meetmed, mis takistavad selliste maksetehingute
tegemist.
Komisjoni rakendusmääruse põhjenduspunkt 1 näeb ette, et „Elektrooniliselt pakutavad
makseteenused tuleks teostada turvaliselt, võttes kasutusele tehnoloogia, mis suudab tagada
kasutaja turvalise autentimise ja vähendada maksimaalselt pettuse ohtu. Autentimismenetlus
peaks üldiselt hõlmama mehhanisme tehingute seireks, et tuvastada katseid kasutada
makseteenuse kasutaja isikustatud turvavolitusi, mis on kaotatud või varastatud või mida on
väärkasutatud; samuti tuleks sellega tagada, et makseteenuse kasutaja on seaduslik kasutaja ja
annab seega isikustatud turvavolitusi tavapärasel viisil kasutades oma nõusoleku rahaliste
vahendite ülekandmiseks ja oma kontoandmetele juurdepääsuks. Lisaks tuleb kindlaks määrata
nõuded seoses kliendi tugeva autentimisega, mida tuleks kasutada iga kord, kui maksja siseneb
interneti kaudu oma maksekontole, algatab elektroonilise maksetehingu või teeb
kaugejuurdepääsu teel mis tahes muu toimingu, mille puhul võib esineda maksepettuse või muu
kuritarvitamise oht, nõudes selliste autentimiskoodide genereerimist, mille puhul ei ole ohtu, et
neid saaks kas tervikuna või mõne nende genereerimiseks kasutatud elemendi avalikustamise
läbi võltsida.“. Makseteenuste direktiivi ja komisjoni rakendusmäärusega makseteenuse
pakkujatele pandud üldine kohustus on ennetada pettusi ja hinnata maksetega seotud riske ning
makseteenuse pakkuja peab rakendama asjakohaseid turvameetmeid eelkõige olukordades, kus
maksetehing võib kaasa tuua pettuse või muu väärkasutuse riski. Üheks selle eesmärgi
13
saavutamise vajalikuks osaks on ka maksejuhise vastuvõtmise edasilükkamine, mis võimaldab
nimetatud eesmärki saavutada. Komisjoni rakendusmäärus kehtib ka välkmaksete puhul.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 2 näeb ette, millel peab objektiivselt
põhjendatud kahtlus põhinema ning millised asjaolud iseseisvalt ei ole piisavad maksejuhise
kättesaamise edasilükkamiseks.
Sätte kohaselt peab objektiivselt põhjendatud kahtlus põhinema makseteenuse pakkuja
riskihindamisel, sealhulgas Euroopa Parlamendi ja nõukogu direktiivi 2015/2366/EL
makseteenuste kohta siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja
määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta
(ELT L 337, 23.12.2015, lk 35–127) artiklis 98 nimetatud Euroopa Komisjoni
rakendusmääruses (edaspidi komisjoni rakendusmäärus) sätestatud riskipõhisel lähenemisel
ning muudel objektiivsetel asjaoludel. Makseteenuse pakkujad peavad hindama maksetega
seotud riske, võttes arvesse muu hulgas näiteks maksja käitumismustreid, tehingu iseloomu
ning võimalikke pettusenäitajaid. Seega lähtub kavandatav regulatsioon samast põhimõttest,
mille kohaselt ei ole kõik maksed nii öelda selle poolest „võrdsed“, vaid neid hinnatakse
lähtuvalt konkreetsest riskitasemest.
Komisjoni rakendusmääruse artikkel 18 käsitleb olukorda, kus makseteenuse pakkujatele
antakse luba mitte kasutada kliendi tugevat autentimist juhul, kui maksja algatab elektroonilise
kaugmaksetehingu, mille makseteenuse pakkuja tehinguseiremehhanismide alusel lugenud
väikese riskiga tehinguks. See artikkel küsitleb küll tehingu riskianalüüsi olukorras, kus on ette
nähtud erand kliendi tugeva autentimise kohustusest, kuid see artikkel piltlikustab, milliseid
asjaolusid tuleb muuhulgas näiteks reaalajas toimuva riskianalüüsi käigus hinnata.
Hinnata tuleb näiteks seda, kas makseteenuse pakkujad ei ole reaalajas toimuva riskianalüüsi
tulemusena avastanud ühtegi järgmistest asjaoludest: a) maksja tavapäratud kulutused või
käitumismuster; b) ebatavaline teave maksja seadme/tarkvara kasutamise kohta; c) pahavaraga
nakatumine autentimismenetluse mis tahes seansi kestel; d) makseteenuste osutamisega seoses
teadaolev petuskeem; e) maksja tavapäratu asukoht; f) makse saaja kõrge riskitasemega
asukoht.
Kehtiv VÕS ei näe otseselt ette, et juhul, kui makseteenuse pakkujal tekib objektiivselt
põhjendatud kahtlus, et maksetehingu täitmiseks antud nõusolek on saadud andmete
väärkasutamise, pettuse või maksja manipuleerimise teel, on tal õigus autoriseeritud
maksejuhise kättesaamine täiendavaks kontrolliks edasi lükata. Kehtiv VÕS § 7243 lõige 4
sätestab, et makseteenuse pakkujal ei ole õigust keelduda autoriseeritud maksejuhise täitmisest,
kui maksejuhis vastab makseteenuse lepingus määratud tingimustele ning maksejuhise
täitmisega ei rikuta mõnes muus õigusaktis sätestatud kohustust. Kuid lisaks sellele, et
maksejuhis peab vastama lepingus määratud tingimustele, peab maksejuhis vastama ka
komisjoni rakendusmääruses kehtestatud nõuetele. Selles osas, et maksejuhise täitmisega ei
rikuta mõnes muus õigusaktis sätestatud kohustusi, on eelkõige silmas peetud rahapesu ja
terrorismi rahastamise tõkestamise regulatsioonist tulenevaid nõudeid. VÕS § 7246 lõige 1 küll
viitab autentimise nõuetele komisjoni rakendusmääruses, kuid ei anna selget õigust
14
maksejuhise täitmisest keelduda. Ehk et juhul, kui isik on makse autoriseerinud ka pettuse teel,
ei ole VÕS § 7243 lõike 4 kohaselt makseteenuse pakkujal õigust keelduda sellise maksejuhise
täitmisest.
VÕS § 7246 lõige 5 sätestab, et maksejuhist, mille täitmisest on õigustatult keeldutud,
käsitatakse kättesaamata maksejuhisena tulenevalt käesoleva seaduse §-des 728 ja
7333 sätestatust. See omab tähtsust nii maksejuhise täitmise tähtaja kui ka makseteenuse
pakkuja vastutuse kontekstis. Kui maksejuhise täitmisest on õigustatult keeldutud, käsitatakse
maksejuhist kättesaamata maksejuhisena, see tähendab, et maksejuhisest ei tulene
makseteenuse pakkujale ega ka makseteenuse kasutajale mingeid õigusi ega kohustusi.
Lisatava lõike eesmärk on tagada, et makseteenuse pakkuja õigus maksejuhise kättesaamine
edasi lükata oleks selgelt piiritletud ning ei võimaldaks maksejuhise põhjendamatut
kättesaamisega viivitamist. Selleks sätestatakse, et kahtlus peab olema objektiivselt
põhjendatud ning tulenema riskihindamisest või muudest objektiivsetest asjaoludest.
Eraldi on välja toodud, et makseteenuse pakkuja ei või maksejuhise kättesaamise edasi
lükkamisel tugineda üksnes Euroopa Parlamendi ja nõukogu määruse (EL) nr 260/2012 alusel
pakutavale makse saaja kontrollimise teenusele (nn IBAN-nime kontroll). Nimetatud teenuse
eesmärk on anda maksjale lisateavet makse saaja kohta, kuid selle tulem ei pruugi olla lõplik
ega ammendav ning võib sõltuda andmete kättesaadavusest või tehnilistest piirangutest.
Seetõttu ei saa üksnes selle teenuse tulemusest järeldada, et maksejuhis ei ole maksja poolt
autoriseeritud või maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga
manipuleerimise teel.
Samuti ei ole piisav alus maksejuhise kättesaamise edasilükkamiseks asjaolu, et makse on
makseteenuse pakkujale ebatavaline või arusaamatu. Kuigi maksejuhise ebatavalisus võib olla
üks riskihindamise element, ei anna see iseseisvalt alust järeldada, et tegemist on nt pettuse või
andmete väärkasutusega. Vastupidine käsitlus tooks kaasa olukorra, kus makseteenuse
pakkujad võiksid laialdaselt ja ebamääraste kriteeriumide alusel maksete täitmisega viivitada.
Oluline on, et makseteenuse pakkuja poolt maksejuhise kättesaamise edasilükkamine oleks
erandlik ning selgelt põhjendatud. Kavandatava regulatsiooni eesmärk on tasakaalustada
maksete turvalisuse ja kiiruse eesmärke ning samas mitte kahjustada maksete usaldusväärsust,
võimaldades makseteenuse pakkujal maksejuhise kättesaamine edasi lükata üksnes siis, kui see
on riskihindamise alusel põhjendatud, vältides samas põhjendamatuid viivitusi.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 3 näeb ette, et makseteenuse leping peab
sisaldama muu hulgas tingimusi maksja teavitamiseks lisaturvameetmete rakendamisest ja
põhjustest enne nende rakendamist või viivitamata pärast seda. Makseteenuse pakkuja ei pea
lisaturvameetmete rakendamise põhjusi maksjale teatama, kui teabe edastamine on vastuolus
objektiivselt põhjendatud turvalisuse kaalutlusega või ei ole muul seaduses sätestatud põhjusel
lubatud. Selline lähenemine on kooskõlas makseteenuste direktiivi põhimõtetega, et
makseteenuse pakkuja peab ühelt poolt tagama makseteenuste läbipaistvuse ja kasutajate
teavitamise, kuid teiselt poolt ka maksete turvalisuse ja pettuste ennetamise. Sarnane tasakaalu
15
leidmine on omane ka muudele menetlustele, kus isiku teavitamine võib olla piiratud, kui see
ohustab turvalisust.
Lõike 3 eesmärk on tagada maksja teavitamine olukorras, kus makseteenuse pakkuja rakendab
lisaturvameetmeid ja lükkab maksejuhise kättesaamise edasi. Kuna see võib mõjutada makse
täitmise kiirust ja maksja ootusi selle täitmise osas, on oluline, et maksja oleks teadlik nii
võimalikest meetmetest kui ka nende rakendamise tingimustest. Seeläbi saab isik teada, miks
tema maksejuhise täitmine võib viibida või miks temalt nõutakse näiteks täiendavat
informatsiooni. Teisalt kaitseb see ka makseteenuse pakkujat, kes saab tugineda seaduses
sätestatule ning aitab vältida isikute arusaamist, et tegemist on makseteenuse pakkuja nn
omavoliga.
Teavitamise kohustus hõlmab nii eelnevat kui ka vahetut teavitamist. Üldreeglina tuleks
maksjat teavitada enne lisaturvameetmete rakendamist, võimaldades vajaduse korral maksjal
täiendavaid selgitusi anda. Kui eelnev teavitamine ei ole võimalik, näiteks seetõttu, et
turvameetme tõhusus eeldab viivitamatut sekkumist, tuleb maksjat teavitada viivitamata pärast
nende meetmete rakendamist. Selline paindlikus võimaldab makseteenuse pakkujal reageerida
pettustele kiiresti, kuid säilib maksja teadlikus olukorra põhjustest.
Säte tagab, et maksja ei jää teadmatusse maksejuhiste täitmist mõjutavate tegurite osas,
säilitades samas võimaluse piirata teabe avaldamist juhtudel, kus see on vajalik maksete
turvalisuse ja pettuste ennetamise seisukohalt.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 4 näeb ette, et kui maksja makseteenuse
pakkuja lükkab maksejuhise kättesaamise lisaturvameetmete rakendamiseks edasi, siis
loetakse, et makseteenuse pakkuja on maksejuhise kätte saanud hetkest, kui makseteenuse
pakkuja on lõpetanud lisaturvameetmete rakendamise ja on veendunud, et maksejuhis ei ole
autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. Nimetatud
tingimuste täitmise korral on maksja makseteenuse pakkujal kohustus saata maksetehing
viivitamata makse saaja makseteenuse pakkujale.
Nimetatud lõige näeb ette, millisest hetkest alates loetakse maksejuhis makseteenuse pakkuja
poolt kättesaaduks olukorras, kus makse täitmine ei alga kohe selle kättesaamisel, vaid sellele
eelneb täiendav riskipõhine kontroll. Kehtivas makseteenuste regulatsioonis on maksejuhise
kättesaamise hetk keskse tähtsusega, kuna sellest sõltuvad nii makse täitmise tähtajad kui ka
makseteenuse pakkuja vastutus. Seetõttu on oluline vältida olukorda, kus makseteenuse
pakkuja oleks kohustatud järgima täitmise tähtaegu ajal, mil ta ei ole veel saanud veenduda, kas
maksejuhis on maksja poolt autoriseeritud või on see autoriseeritud andmete väärkasutamise,
pettuse või maksjaga manipuleerimise teel. Kuigi makseteenuste direktiiv ja välkmaksete
määrus eeldab maksete kiiret täitmist, ei saa seda igas olukorras tõlgendada viisil, mis
kohustaks makseteenuse pakkujat täitma maksejuhiseid olukorras, kus esineb põhjendatud
kahtlus, et need on toime pandud pettuse teel.
Lõike 4 kohaselt loetakse maksejuhis kättesaaduks alles pärast seda, kui makseteenuse pakkuja
on lõpetanud lisaturvameetmete rakendamise ning on veendunud, et maksejuhis ei ole seotud
16
andmete väärkasutamise, pettuse või maksjaga manipuleerimisega. See tagab, et makse täitmise
tähtaegade arvestus algab alles hetkest, mil makseteenuse pakkuja on pärast vajalike kontrollide
tegemist saanud asuda sisuliselt maksejuhist täitma.
Lõikes 4 on selgelt välja toodud, et pärast lisaturvameetmete rakendamise lõppu ning kahtluste
kõrvaldamist on makseteenuse pakkujal kohustus edastada maksetehing viivitamata makse
saaja makseteenuse pakkujale. Välkmaksete kontekstis on oluline, et makseteenuse pakkuja
sekkumine maksejuhise täitmisesse selle kättesaamisega edasilükkamisega toimuks üksnes
enne makse lõplikku töötlemist ning oleks ajaliselt selgelt piiritletud.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 5 näeb ette, et maksja makseteenuse pakkuja
ei või maksejuhist lisaturvameetmete rakendamiseks edasi lükata kauemaks, kui käesoleva
paragrahvi lõikes 4 nimetatud asjaolu väljaselgitamiseks mõistlikult vajalik. Võimalusel peab
maksja makseteenuse pakkuja lähtuma eelkõige käesoleva seaduse §-s 728 sätestatud
tähtaegadest. Nimetatud lõige sätestab lisaturvameetmete rakendamise ajapiiri kontrollimaks,
kas maksejuhis vastab kõikidele selle töötlemiseks vajalikele nõuetele ega ole seotud andmete
väärkasutamise, pettuse või maksjaga manipuleerimisega. See tähendab, et lähtepunktiks
jäävad üldised täitmise tähtajad ning nendest võib eemalduda ainult nii palju, kui konkreetne
kontrolli vajadus seda tingib. Eesmärk on tagada, et lisaturvameetmete rakendamise õigus ei
oleks ajaliselt piiritlemata, vaid oleks seotud konkreetse kontrollivajaduse ja selle kestusega.
Lõike 5 mõte on tasakaalustada kahte olulist eesmärki. Ühelt poolt peab makseteenuse pakkujal
olema tegelik võimalus pettuseriski korral sekkuda ning teha vajalikud maksejuhise
kontrollitoimingud. Teiselt poolt ei tohi lisaturvameetmete rakendamine viia selleni, et maksete
täitmine venib põhjendamatult või et makseteenuse kasutaja jääb määramata ajaks ebakindlasse
olukorda. Seetõttu seob säte lubatava viivituse kestuse otseselt kontrolli eesmärgiga: viivitus
on lubatav üksnes seni, kuni kestab põhjendatud kontroll ning ainult ulatuses, mis on selle
kontrolli läbiviimiseks mõistlikult vajalik.
Eelnõus on loobutud rangest ajapiiri sätestamisest, sest kontrolli kestus ei pruugi kõikidel
juhtudel olla sama. Mõnes olukorras piisab automaatsest kontrollist või lisakinnituse
küsimisest, mille saab teha väga kiiresti, muus olukorras võib olla vaja teha täiendav
riskihindamine või saada maksjalt kinnitus eri kanali kaudu.
Nimetatud tähtaeg kehtib ka välkmaksetele ning seda tuleb arvestada ka välkmaksete puhul
maksejuhise täitmisel. Välkmaksete määruse kohaselt peab maksja makseteenuse pakkuja kohe
pärast välkmaksejuhise kättesaamist kontrollima, kas makse töötlemise tingimused on täidetud
ja kas vajalikud vahendid on olemas, ning saatma maksetehingu viivitamata saaja makseteenuse
pakkujale. Saaja makseteenuse pakkuja peab omakorda tegema summa saaja kontol
kättesaadavaks 10 sekundi jooksul alates sellest, kui maksja makseteenuse pakkuja
välkmaksejuhise kätte sai. See näitab, et liidu seadusandja eesmärk on maksete, eriti
välkmaksete, võimalikult kiire täitmine.
17
Teisalt ei saa turvakontrolli ajaline piirang muuta seda ebaefektiivseks. Välkmaksete määrus
küll eeldab väga kiiret maksete täitmist, kuid samas säilib makseteenuse pakkuja kohustus
ennetada pettusi ja rakendada turvanõudeid. Makseteenuste direktiiv ja komisjoni
rakendusmäärus lähtuvad sellest, et maksete kõrgetasemeline turvalisus on makseteenuste
toimimise üks põhielement. Kõnealune lõige 5 tasakaalustab neid kahte vastuolulist eesmärki:
makseteenuse pakkuja võib maksejuhise kättesaamise edasi lükata, kuid ainult nii kaua, kui tal
on tegelikult vaja tuvastada, kas tehing on õiguspärane; pärast seda tuleb maksejuhis saata
viivitamata makse saaja makseteenuse pakkujale. Nii-öelda lubatav viivitus lõpeb siis, kui
lõikes 4 nimetatud asjaolu väljaselgitamiseks mõistlikult vajalik aeg on möödunud. See
võimaldab hiljem hinnata makseteenuse pakkuja tegevuse õiguspärasust ning vastutuse
olemasolu.
Makseteenuste direktiivi järgi on makse täitmise tähtaeg seotud maksejuhise kättesaamise
ajaga, artikli 78 lõike 1 kohaselt on maksejuhise kättesaamise aeg see hetk, mil maksja
makseteenuse pakkuja maksejuhise kätte saab, ning artikli 83 lõike 1 kohaselt peab maksja
makseteenuse pakkuja tagama, et pärast seda hetke kantakse maksesumma saaja makseteenuse
pakkuja kontole hiljemalt järgmise tööpäeva lõpuks. Makseteenuste direktiiv näeb ette, et kui
makseteenuse pakkuja keeldub õiguspäraselt maksejuhise täitmisest, loetakse selline
maksejuhis täitmise tähtaegade mõttes kättesaamata maksejuhisena. Seega on maksejuhise
“kättesaamise” mõiste otseselt seotud sellega, millal hakkavad kulgema täitmise tähtajad ning
millal tekib makseteenuse pakkujal kohustus makset edasi töödelda.
Komisjoni rakendusmäärus lähtub tehingu riskipõhisest lähenemisest ning näeb ette, et
makseteenuse pakkujatel peavad olema tehingute jälgimise mehhanismid, mis võimaldavad
tuvastada autoriseerimata või pettuslike maksetehinguid. Need mehhanismid peavad põhinema
maksetehingute analüüsil, arvestades seda, mis on konkreetse makseteenuse kasutaja puhul
tavapärane, ning võtma arvesse vähemalt riskitegureid nagu maksja tavapäratud kulutused või
käitumismuster; ebatavaline teave maksja seadme/tarkvara kasutamise kohta; pahavaraga
nakatumine autentimismenetluse mis tahes seansi kestel ning makseteenuste osutamisega
seoses teadaolev petuskeem (artikkel 2 lõige 2). Sama määruse põhjenduspunktis 14 on
rõhutatud, et kui reaalajas riskianalüüs ei võimalda tehingut pidada madala riskiga tehinguks,
tuleb makseteenuse pakkujal minna tagasi tugevdatud kontrolli juurde. Seega eeldab liidu
õigus, et makseteenuse pakkuja teeb vajaduse korral lisakontrolle, kuid need kontrollid peavad
olema seotud konkreetse riskihindamisega.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 6 näeb ette, et maksja makseteenuse pakkujal
on õigus keelduda maksejuhise täitmisest, kui pärast käesoleva paragrahvi lõikes 1 nimetatud
lisaturvameetme rakendamist ei ole olnud objektiivselt võimalik kõrvaldada kahtlust, et
maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga manipuleerimise
teel. Sätte eesmärk on võimaldada makseteenuse pakkujal ennetada kahju tekkimist juba enne
makse lõplikku täitmist.
Lõike 6 sõnastuses kasutatud kriteerium „objektiivselt võimalik“ piirab makseteenuse pakkuja
kaalutlusruumi ning välistab keeldumise pelgalt nn üldise riskihindamise või ebamäärase
põhjenduse alusel. Keeldumine eeldab, et makseteenuse pakkuja on eelnevalt rakendanud
18
lisaturvameetmeid ning nende tulemusel ei ole kahtlust õnnestunud kõrvaldada. Seega peab
keeldumise alus olema kontrollitav ja põhjendatav lähtuvalt faktiliselt olukorrast.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 7 näeb ette, et kui maksejuhise täitmine viibib
käesoleva paragrahvi lõikes 1 sätestatud lisaturvameetmete rakendamise tõttu, hakkab
käesoleva seaduse §-s 728 sätestatud maksejuhise täitmise tähtaeg kulgema alates maksejuhise
kättesaamisest käesoleva paragrahvi lõikes 4 sätestatud tähenduses. Kõnealune lõige on seotud
lõikega 4, sest juhul, kui maksejuhis loetakse kättesaaduks pärast lisaturvameetmete
rakendamist, peab samas hetkest kulgema hakkama ka maksejuhise täitmise tähtaeg.
Makseteenuste direktiivi artikkel 83 lähtub samuti sellest, et täitmise aeg arvutatakse alates
artikli 78 tähenduses maksejuhise kättesaamise ajast. Kõnealune lõige tagab, et maksejuhise
täitmise tähtaja arvestus järgib sama põhimõtet ka pettusekahtlusega juhtumite korral. Säte
väldib olukorda, kus makseteenuse pakkuja satuks tähtaega rikkuma ajal, mil ta täidab seadusest
tulenevat kohustust kohaldada lisaturvameetmeid.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 8 näeb ette, et kui käesoleva paragrahvi lõikes
1 nimetatud lisaturvameetmete rakendamise tulemusel täidetakse makse hilinemisega,
kohaldatakse makse täitmisele käesoleva seaduse § 7333 lõigetes 41 ja 42 sätestatut.
VÕS § 7333 lõiked 41 ja 42 käsitlevad väärtuspäeva korrigeerimist hilinenud makse korral.
Eelnõuga kõnealune VÕS-i lisatav § 7247 lõige 9 näeb ette õiguse lisaturvameetmete
rakendamiseks ning asjaolude väljaselgitamisele, kas maksetehingu täitmiseks antud nõusolek
on saadud andmete väärkasutamise, pettuse või maksja manipuleerimise teel, võib kuluda
rohkem aega, kui on ette nähtud maksetehingu täitmiseks. Sellisel juhul tagab saaja
makseteenuse pakkuja maksja makseteenuse pakkuja taotlusel, et saaja maksekonto
krediteerimise väärtuspäevaks loetakse maksetehingu nõuetekohaseks täitmiseks määratud
väärtuspäev. Seeläbi ei halvene maksja olukord, kuna kontole laekunud raha väärtuspäevaks
loetakse algselt makse nõuetekohaseks täitmiseks ette nähtud kuupäev, isegi kui raha jõuab
vastavale kontole tegelikult hiljem.
Kõnealune säte järgib juba kehtivat VÕS-i regulatsiooni hilinenud makse täitmise tagajärgede
kohta ning ei loo selles osas eraldiseisvat regulatsiooni. Sätte eesmärk on tagada, et
lisaturvameetmete rakendamine ei katkestaks kehtivas õiguses juba olemasolevat hilinenud
makse täitmise tagajärgede regulatsiooni, vaid lähtuks samast loogikast. Tegemist ei ole
eraldiseisva hilinenud täitmise režiimi loomisega, vaid olemasolevate tagajärgede kohaldamise
täpsustamisega olukorras, kus maksetehingu täitmine viibib õiguspäraselt rakendatud
lisaturvameetmete tõttu. VÕS § 7333 lõiked 41 ja 42 reguleerivad juba praegu, milline peab
olema saaja maksekonto krediteerimise väärtuspäev juhul, kui makse täidetakse hilinemisega.
Käesolev lõige tagab, et sama põhimõte kohaldub ka siis, kui hilinemise põhjus seisneb
makseteenuse pakkuja poolt pettuskahtluse kontrollimiseks rakendatud lisaturvameetmetes.
Sellega välditakse olukorda, kus makse formaalselt hilineb, kuid hilinemise mõju saaja konto
väärtuspäeva osas jääks reguleerimata. Lahendus on kooskõlas ka makseteenuste direktiivis
sätestatud hilinenud täitmise regulatsiooniga, mille kohaselt tuleb hilinenud makse korral
tagada, et saaja konto krediteerimise päev ei oleks hilisem päevast, mil tehing oleks pidanud
19
olema õigesti täidetud. Makseteenuste direktiivi artikkel 89 näeb selle põhimõtte sõnaselgelt
ette.
Kui maksejuhise on algatanud maksja, kohaldub VÕS § 7333 lõige 41. Selle järgi tagab saaja
makseteenuse pakkuja maksja makseteenuse pakkuja taotlusel, et saaja maksekonto
krediteerimise väärtuspäevaks loetakse maksetehingu nõuetekohaseks täitmiseks määratud
väärtuspäev. Seega tagab lõige 8, et lisaturvameetmete tõttu tekkinud viivitus ei muudaks
hilinenud makse tagajärgede käsitlust võrreldes muude hilinenud maksetega. Maksja algatatud
makse puhul näiteks olukord, kus isik teeb internetipangas ülekande teisele isikule. Tegemist
on maksja algatatud maksega ning kohaldub VÕS § 7333 lõige 41.
Kui makse on algatatud saaja poolt või tema kaudu, kohaldub VÕS § 7333 lõige 42. Selle järgi
loetakse saaja maksekonto krediteerimise väärtuspäevaks samuti maksetehingu
nõuetekohaseks täitmiseks määratud väärtuspäev. Kõnealusel juhul näiteks kui makse saaja
algatatud makse korral võetakse isiku kontolt otsekorralduse alusel makse kommunaalteenuse
osutajale. Sellisel juhul kohaldub VÕS § 7333 lõige 42.
Eelnõu § 1 punktiga 2 VÕS-i lisatav 7247 lõige 9 näeb ette, et makseteenuse leping võib
sisaldada tingimust, mille kohaselt maksja ei või nõuda lisaturvameetmete rakendamiseks
maksejuhise kättesaamise edasi lükkamise korral maksja makseteenuse pakkujalt kahju
hüvitamist. Hüvitist ei või nõuda tingimusel, et nimetatud turvameetmeid rakendatakse
ebamõistliku viivituseta ning rakendamise aluseks on objektiivselt põhjendatud kahtlus, et
maksejuhise autoriseerimiseks antud nõusolek on saadud andmete väärkasutamise, pettuse või
maksjaga manipuleerimise teel. See lepingu tingimus ei välista ega piira maksja muu nõude
esitamist muul alusel.
Kui makseteenuse pakkuja rakendab maksetehingu kontrollimiseks lisaturvameetmeid võib
selle peale kuluda rohkem aega, kui on ette nähtud maksetehingu täitmiseks. Alati ei pruugi
lisaturvameetmete rakendamise tulemuseks olla maksejuhise täitmisest keeldumine, kuna
kontrolli tulemusel selgub, et tegemist ei ole pettusega ning isik on andnud nõusoleku
maksetehingu täitmiseks. Juhul, kui makseteenuse pakkuja on turvameetme täiendava
rakendamise läbi viinud õiguspäraselt vastavalt eelnõuga VÕS-i lisatava § 7339 lõike 3
tingimustele, ei vastuta makseteenuse pakkuja kahju eest, mis on tekkinud tehingu hilinenud
täitmise tõttu.
Sätte eesmärk on tagada, et makseteenuse pakkuja ei oleks kohustatud kandma kahju seetõttu,
et ta tegutses maksja kaitseks ja tema pettuseohvriks langemise ärahoidmiseks. Kui
makseteenuse pakkuja rakendab põhjendatud kahtluse korral viivitamata lisaturvameetmeid on
selle eesmärgiks kliendi kaitse. Sellises olukorras oleks ebamõistlik panna makseteenuse
pakkujale automaatne kahju hüvitamise kohustus pelgalt ajutise viivituse tõttu. Säte
tasakaalustab maksja huvi makse kiire täitmise vastu ning maksesüsteemi turvalisuse tagamist.
Kõnealuse lõikes 9 vastutuse piiramine on sõnastatud kitsalt ja tingimuslikult. Vastutus ei ole
välistatud igas olukorras, vaid eeldab kumulatiivselt, et lisaturvameetmeid rakendatakse
ebamõistliku viivituseta ning nende aluseks on objektiivselt põhjendatud kahtlus. Lisaks on
20
sättes selgelt toodud, et see lepingu tingimus ei välista ega piira maksja muu nõude esitamist
muul alusel. Seega ei kõrvalda muudatus makseteenuse pakkuja üldist vastutust ega kahjusta
maksja õigust tugineda muudele õiguskaitsevahenditele, kui makseteenuse pakkuja on
tegutsenud õigusvastaselt, ebaproportsionaalselt või põhjendamatult. Selline lahendus on
kooskõlas makseteenuste direktiivi üldise vastutuse loogikaga, mille kohaselt makseteenuse
pakkuja vastutus makse mittetäitmise, puuduliku täitmise või hilinenud täitmise eest on
reguleeritud, kuid direktiiv ei välista, et riigisisene õigus näeb ette riigisisese vastutuse.
Kõnealune säte ei muuda üldiselt makseteenuste direktiivi kahju hüvitamise loogikat, kus
makseteenuse pakkuja vastutab autoriseerimata kahju hüvitamise eest. Kõnealust põhimõtet ei
muudeta, sest muudatuse näol on tegemist võimaliku kahjuga, mis on tekkinud autoriseeritud
maksejuhise kontrollimisel ja maksejuhise hilisema täitmise korral. On oluline rõhutada, et
käesolev muudatus annab makseteenuse pakkujatele õiguse keelduda autoriseeritud
maksejuhise täitmisest, mis on erinev üldisest loogikast, et makseteenuse pakkuja ei või
keelduda autoriseeritud maksejuhise täitmisest. Ehk et olukorras, kus makseteenuse pakkuja ei
ole tõkestanud maksejuhise täitmist, mille isik on ise manipuleerimise teel PIN 2-ga kinnitanud,
siis tegemist on ikkagi autoriseeritud maksejuhisega ning sellises olukorras ei kohaldu
makseteenuse pakkuja vastutus autoriseerimata makse puhul kahju hüvitamiseks.
Eelnõu §-ga 2 muudetakse KAS-i.
Eelnõu § 2 punktiga 1 täiendatakse KAS §-i 88 lõike 3 punkti 1 pärast tekstiosa „käesolevas
paragrahvis“ tekstiosaga „või käesoleva seaduse §-s § 894“.
KAS § 88 lõige 3 punkt 1 sätestab krediidiasutuse õiguse avaldada pangasaladust kolmandale
isikule, kui krediidiasutuse õigus või kohustus avaldada pangasaladust tuleneb käesolevas
paragrahvis sätestatust. See annab ammendava loetelu, mille kohaselt on krediidiasutusel õigus
avaldada pangasaladust kolmandale isikule üksnes juhul, kui selline õigus või kohustus tuleneb
KAS § 88 muudest sätetest, ehk muudel alustel ei ole võimalik pangasaladust avaldada.
Eeltoodust tulenevalt sätestatakse KAS §-i 88 ka võimalus avaldada pangasaladust eelnõuga
loodava § 894 alusel.
Eelnõu § 2 punktiga 2 täiendatakse KAS-i 7. peatüki 3. jaotist §-ga 894.
KAS-i lisatav uus paragrahv annab krediidiasutustele selged õiguslikud alused avaldada
andmeid ja teavet pettuste avastamiseks ja väljaselgitamiseks juhul, kui krediidiasutusel on
objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega. Kehtiv
KAS § 88 reguleerib iseenesest juba pangasaladuse avaldamist, mh näeb ette, et millistel
tingimustel ja kuidas võib pangasaladust edastada nii PPA-le kui RIA-le. Samas kehtiv KAS §
88 ei näe otseselt ette krediidiasutustele õigust jagada pettuse kahtluse korral andmeid nii teiste
krediidiasutustega, makseasutuste ja e-raha asutustega kui ka teiste ametiasutustega. Uue KAS
§-s 894 ettenähtud andmete puhul ei pruugi aga tingimata tegemist olla pangasaladusega (nt
tegemist võib olla koondandmetega või muude sarnaste andmetega, mille põhjal ei saa kindlaks
teha üksikkliendi andmeid). Tulenevalt eeltoodust on otsustatud, et ei täiendata kehtivat KAS
§-i 88, vaid konstrueeritakse KASi vastav uus § 894. Lisaks tuleb suure tõenäosusega vastav
21
normistik kehtetuks tunnistada, kui tulevikus hakkab kehtima eespool nimetatud EL
makseteenuste määrus (ehk ka õigustehniliselt on lihtsam kustuda eraldiseisvat paragrahvi).
KAS uue §-i 894 lõike 1 kohaselt antakse krediidiasutusele õigus avaldada erinevat teavet, mh
pangasaladust teisele krediidiasutusele, makseasutusele ja e-raha asutusele ning PPA-le
maksetehingutega seotud pettuste avastamiseks ja väljaselgitamiseks juhul, kui krediidiasutusel
on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla seotud pettusega.
Pettuste tõkestamisel on oluline kiirus ning koostöö, et oleks võimalik operatiivselt sekkuda.
Kehtiva KAS-i § 88 lõike 5 punkt 2 võimaldab pangasaladuse avaldamist uurimisasutusele
üksnes kriminaalmenetluse raames. Seega on politseil küll võimalik saada pettuste uurimisel
informatsiooni, kuid see on piiratud, sest andmete avaldamine eeldab kriminaalmenetluse
algatamist. Eelnõuga kavandatav paragrahv loob õigusliku aluse, mis võimaldab
krediidiasutusel objektiivselt põhjendatud pettuse kahtluse korral edastada andmeid
enne kriminaalmenetluse algatamist. See võimaldab kiiremat reageerimist ja kahju tekkimist
olukordades, kus menetluse alustamine võib toimuda alles pärast esmast juhtumi analüüsi ning
pettuse ärahoidmise vaatest seega liiga hilja.
Antud juhul nähakse ette andmete jagamine krediidiasutusele õigusena, kui selliste andmete
jagamine osutub krediidiasutuse hinnangul vajalikuks. Pangasaladuse avaldamine ei ole
lubatud iga kahtluse korral, vaid juhul, kui selleks on objektiivselt põhjendatud pettuse kahtlus,
näiteks:
isik võib olla seotud pettuse toimepanemisega või konkreetne maksetehing võib olla
seotud pettusega, ning see peab tuginema kontrollitavatele asjaoludele;
esinevad pettustele iseloomulikud tehingumustrid, kus lühikese aja jooksul tehakse
mitmeid uutele saajatele suurtes summades ülekandeid ning samuti tehnilised andmed,
kus seade või sessioon kattub varem tuvastatud pettusega.
Uue paragrahvi § 894 lõige 2 näeb ette, millist liiki andmete avaldamine lubatud on. Pettuseid
ei pruugi olla võimalik avastada nn üksiku „andmetüki“ põhjal, vaid praktikas on vajalik
andmete kogum, mille põhjal saab omavahel siduda pettuse kahtlusega isikud, kontod,
seadmed, sessioonid jne.
Antud lõike punktis 1 nimetatud andmed kliendi kohta on isiku tuvastamiseks vajalikud
unikaalsed identifikaatorid, mille abil saab kindlaks teha millise isikuga on tegemist. Nendeks
võivad olla näiteks kliendi-ID, isikukood või kontonumber. Näiteks krediidiasutus A tuvastab,
et kliendi kontolt tehakse ebaharilikke makseid erinevatele saajatele ning on alus kahtlustada
pettuse toimepanemist, siis on võimalik teavitada krediidiasutust B, kellele makseid tehakse
ning edastada isiku andmed, et saaks kontrollida, kas saaja või tema maksekonto võib olla
seotud pettusega.
Punkti 2 kohaselt saab edastada andmeid makse saaja ja maksekonto kohta, mis on vajalikud
saaja identifitseerimiseks, et tuvastada pettuse ahelas saaja pool. Näiteks olukord, kus mitmed
isikud teevad ebaharilikke makseid ühele makse saajale. Sel juhul saab krediidiasutus edastada
makse saaja krediidiasutusele kõnealused andmed, et teine krediidiasutus saaks hinnata, kas
tegemist võib olla nn rahamuula maksekontoga. See aitab tuvastada erinevate petta saanud
22
isikute maksed sama makse saaja krediidiasutusele ning takistada raha liikumist rahamuulade
maksekontode vahel.
Punkti 3 kohaselt saab edastada andmeid maksetehingute kohta, mis on konkreetse
maksetehingu tunnused, näiteks tehingu ID. Nimetatud andmed maksetehingu kohta hõlmavad
üksnes konkreetse pettusekahtlusega seotud makse asjaolusid, mis on vajalikud pettuse
avastamiseks ja väljaselgitamiseks. Nende andmete all ei peeta silmas kliendi konto väljavõtet
ega muud terviklikku ülevaadet kliendi maksekäitumisest, selliste andmete väljastamine ei ole
lubatud. Konto väljavõtte avaldamine ületaks kõnealuse regulatsiooni eesmärgi ning ei oleks
kooskõlas andmete minimaalsuse põhimõttega. Seetõttu on lubatud avaldada üksnes selliseid
konkreetse maksetehingu andmeid, nagu tehingu aeg, tehingu liik, kasutatud kanal või muud
asjaolud, millel on vahetu tähendus pettusekahtluse kontrollimiseks.
Punktis 4 nimetatud andmed kasutatud seadme, makseinstrumendi või turvaelementide kohta
on vajalikud selleks, et maksetehinguga seotud pettusi oleks võimalik avastada ja välja selgitada
ka olukorras, kus pettusekahtlus ei ilmne üksnes kliendi, saaja või konkreetse makseandmete
pinnalt, vaid eeskätt sellest, millise tehnilise vahendi või autentimisviisiga tehing tehti. Pettused
võivad avalduda näiteks olukordades, kus kasutatakse sama seadet, sama autentimisvahendit
või samu turvaelemente mitme kahtlase tehingu tegemisel. Selliste andmete võrdlemine
võimaldab tuvastada pettusmustreid, seostada omavahel eri juhtumeid ning hinnata, kas
tegemist võib olla andmete väärkasutamise, identiteedi kuritarvitamise või muu pettusliku
skeemiga.
Kasutatud seadme, makseinstrumendi või turvaelementide kohta käiv teave ei kattu täielikult
ei kliendiandmete, makse saaja ja maksekonto andmete ega ka üksnes maksetehingu
andmetega. Kliendi või konto tuvastamine ei näita veel, kuidas tehing tehniliselt tehti või
milliseid autentimisvahendeid kasutati. Just seadme, makseinstrumendi või turvaelementide
kohta käiv info võib osutada, et näiliselt erinevad tehingud on tegelikult omavahel seotud,
näiteks kui need on tehtud sama seadme või sama maksevahendi abil. Selline teave võib olla
määrava tähtsusega, et eristada kliendi tavapärast maksekäitumist olukorrast, kus
maksevahendit või autentimisvahendeid on väärkasutatud.
Andmeteks on näiteks seadme- ja sessiooniandmed ning muud pettuse tuvastamist võimaldavad
tehnilised andmed, mille alusel saab tuvastada, kas makse algatamise keskkond on ebatavaline,
näiteks seadme-ID, brauser, IP-aadress. See aitab tuvastada, kas erinevate isikute kontodelt
algatatakse makseid sama seadmega või samalt IP-aadressilt, kuigi isikud on erinevates
piirkondades. Nende andmete jagamine aitab tuvastada pettuse toimepanemist laiemalt
erinevate krediidiasutuste üleselt, mida üks krediidiasutus oma andmete pinnalt ei pruugi
tuvastada.
Punktiga 5 nähakse ette andmete ja teabe jagamine maksetehinguga seotud pettuse või muu
süüteo tunnustele vastava teo kohta. See on andmed ja teave mille järgi on näha, et tegemist
võib olla pettus või muu süüteoga. Tegemist ei pea olema juba kinnitust leidnud
pettusjuhtumiga, vaid pigem andmete ja tunnustega, mis osutavad võimalikele rikkumise
tunnustele. Siia võivad kuuluda näiteks andmed ebatavalise käitumismustri kohta, vastuolud
23
makse algatamise tavapärases loogikas, andmed selle kohta, et kasutatud on võõrast või
ootamatut seadet, turvaelemente on kasutatud ebatavapärasel viisil, või muud asjaolud, mis
eraldi või kogumis loovad objektiivselt põhjendatud kahtluse, et tehing võib olla seotud pettuse
või muu süüteoga. See on suunatud ennekõike süüteotunnuste, riskinäitajate ja kahtlust
toetavate asjaolude kirjeldamisele. Selle punkti eesmärk on võimaldada vahetada sellist teavet,
mis aitab pettust või muud võimalikku süütegu tuvastada, selle olemasolu kontrollida ja
hinnata, kas on alust võtta kasutusele täiendavaid meetmeid.
Erinevalt punktist 6 ei ole käesoleva punkti 5 puhul tegemist juba toimunud pettusejuhtumiga.
Pettuste avastamise ja väljaselgitamise seisukohast on oluline võimalus vahetada ka sellist
teavet, mis ei kirjelda veel lõplikult tuvastatud pettust, kuid mis võib viidata pettuse või muu
süüteo tunnustele ning aidata ennetada kahju tekkimist või levikut. Samal ajal on vajalik eraldi
nimetada ka juba toime pandud pettuse teel tehtud tehingud ja pettusekatsed, sest nende kohta
kogutav ja vahetatav teave on tavaliselt konkreetsem, detailsem ja otsesemalt seotud konkreetse
juhtumi lahendamisega.
Punktiga 6 nähakse ette andmete ja teabe jagamine pettuse teel tehtud tehingute või
pettusekatsete ja nende asjaolude kohta. Need on andmed ja teave toime pandud või toime
panna üritatud pettusjuhtumi ning selle konkreetsete asjaolude kohta. Need on nn
pettuseindikaatorid, mis kirjeldavad petuskeemi toimimist, nagu näiteks tehingu ajastus ja
korduvad summad ning mitme isiku samasugused käitumisjooned. See aitab pettuste
toimepanemist avastada näiteks olukorras, kus mitmed kliendid saavad samal päeval panga
nimel petukõnesid, siis on võimalik jagada pettusekatsete mustreid teiste krediidiasutustega
ning tuvastada nn saripettuse toimepanemine võimalikult vara ka teistel krediidiasutustel ning
seeläbi kahjusid vähendada.
Eeltoodu võib olla tuvastatud manipuleerimise tehnikad või muud pettuslikud võtted. Pettuse
toimepanijate nn töövõtted on näiteks krediidiasutuse töötajana esinemise legend, kiire
tegutsemise surve kindlate pettuse liikide puhul, pahavara allalaadimise juhendamine jne.
Näiteks krediidiasutusele teavitavad mitmed isikud samasuguse sisuga krediidiasutuse
töötajana esinenud pettuslikust kõnest.
Uue § 894 lõikega 3 nähakse krediidiasutusele ette õigus avaldada pangasaladust ka RIA-le.
Kehtiv KAS § 88 lg 43 annab krediidiasutusele õiguse avaldada pangasaladust RIA-le
küberturvalisuse seaduses sätestatud riikliku järelevalve tegemisel.
RIA on Eesti küberturvalisuse keskus, mis tegeleb avaliku sektori ja kriitilise infrastruktuuri
küberturvalisusega ning on võrgu- ja infosüsteemide turbe direktiivi (NIS)13 mõistes
küberturvalisuse pädev asutus ja kontaktpunkt.
Nagu eespool juba märgitud, siis uue paragrahvi kohaselt RIA-le avaldatatavad andmed ei
pruugi kõik kvalifitseeruda pangasaladuseks. Lisaks arvestades RIA ülesannet on temale
avaldada lubatud andmete koosseis lõike 3 näol kitsam (kui lõikes 1 PPA puhul), piirdudes
üldisemalt andmetega pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta
13 https://eur-lex.europa.eu/eli/dir/2022/2555/oj/est
24
ning maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo tuvastamist
võimaldavaid andmeid. RIA-le ei avaldata andmeid ja teavet 1) kliendi tuvastamiseks; 2) makse
saaja ja maksekonto kohta ning 3) maksetehingute kohta, sealhulgas muid makseandmeid.
Lõikes 3 nähakse ette, et RIA-le saab andmeid jagada küberturvalisuse seaduse (edaspidi KüTS)
§ 5 lõige 3 punkt 3 alusel. See punkt sätestab, et RIA täidab EL direktiivi (EL) 2022/2555 artikli
10 lõikes 1 nimetatud küberintsidentide käsitlemise üksuse ülesanded. Eelnimetatud direktiivi
artikli lõige 2 viitab ülesannetele, mis on sätestatud direktiivi artikli 11 lõikes 3. Näiteks on
artikli 11 lõike 3 kohaselt vastavateks ülesanneteks:
- tagada küberohtude, nõrkuste ja intsidentide kohta varajaste hoiatuste, hoiatuste ja teadete
edastamine ning teabe levitamine asjaomastele elutähtsatele ja olulistele üksustele ning
pädevatele asutustele ning muudele asjaomastele sidusrühmadele, võimaluse korral
reaalajalähedaselt;
- lahendada intsidente ning, kui see on kohaldatav, abistada asjaomaseid elutähtsaid ja olulisi
üksusi.
Kuna kehtiv KAS annab võimaluse avaldada pangasaladust üksnes riikliku järelevalve
tegemisel, ei ole RIA-l võimalik väljaspool seda sekkuda küberturvalisust ohustavatele
olukordadele. Majandus- ja kommunikatsiooniministeeriumi 25. aprilli 2011. aasta määruse nr
28 „Riigi Infosüsteemi Ameti põhimäärus“ § 8 lõike 4 punkti 3 kohaselt täidab küberturvalisuse
valdkonnas amet küberturvalisuse seaduse § 5 tähenduses pädeva asutuse, ühtse kontaktpunkti,
ulatuslike küberintsidentide ja kriiside ohjamise eest vastutava pädeva asutuse,
küberintsidentide käsitlemise üksuse ja turvahaavatavuse koordineeritult avaldamise
koordinaatori ülesandeid ning koordineerib küberintsidentide käsitlemist. Sama paragrahvi
lõige 4 punkt 4 kohaselt korraldab küberturvalisuse amet küberturvalisust ohustavate riskide
seiret, analüüsi ja ohtudest teavitamist. KAS-i lisatav uus paragrahv annab võimaluse avaldada
andmeid ja teavet ka olukordades, mis on väljaspool riikliku järelevalve menetlust. See annab
võimaluse sekkuda küberintsidentide puhul operatiivselt. Andmete avaldamise korral üksnes
järelevalve menetluse raames jõuab teave RIA-le liiga hilja ning see takistab RIA-l sekkuda
intsidentidesse reaalajas.
RIA töötleb andmeid avalikes huvides oleva ülesande täitmiseks, milleks on küberintsidentide
käsitlemine ja küberturvalisust ohustavate riskide ennetamine. Maksetehingutega seotud
pettused on sageli seotud infosüsteemide ründamise, autentimisvahendite kuritarvitamise või
muu küberohuga ning võivad kujutada endast osa laiemast või koordineeritud
küberintsidendist. Selliste juhtumite puhul ei ole tegemist üksnes isiku varakahjuga, vaid
riskiga maksesüsteemide ja infosüsteemide turvalisusele laiemalt. RIA kui küberturvalisuse
pädev asutus vajab teavet pettuse olemuse, ründeviiside ja kasutatud tehniliste vahendite kohta,
et tuvastada rünnakumustreid, hinnata riske ning vajaduse korral teavitada teisi
teenuseosutajaid ja koordineerida reageerimist.
Kokkuvõttes ei avaldata RIA-le andmeid kliendi tuvastamiseks, makse saaja ega maksekonto
andmeid ega muid makseandmeid. Avaldada on lubatud üksnes pettuse teel tehtud tehingute või
pettusekatsete asjaolusid ning maksetehinguga seotud pettuse või muu süüteo tunnustele
25
vastava teo tuvastamist võimaldavaid andmeid. Seega on andmete avaldamine suunatud eeskätt
tehnilise ja mustripõhise analüüsi võimaldamisele, mitte üksikisikute tuvastamisele.
Uue § 894 lõike 4 kohaselt on krediidiasutusel õigus avaldada e-identimise ja e-tehingute
usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale
käesoleva paragrahvi lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja, seadme- ja
sessiooniandmed ning kasutaja elektroonilise side võrgu identifikaatori andmed.
Nimetatud andmete avaldamise vajadus seisneb selles, et pettusekahtluse korral ei pruugi
krediidiasutusel olla võimalik üksnes enda valduses oleva info põhjal kontrollida, kas e-
allkirjastamine või muu usaldusteenuse kasutamine toimus tegelikult selle kasutaja enda poolt
või kasutati seda pettuslikult. Usaldusteenuse osutaja on see osapool, kellel on info e-
allkirjastamise või muu usaldusteenuse kasutamise tehniliste andmete kohta. Seetõttu võib
pettuse avastamiseks või väljaselgitamiseks olla vajalik, et krediidiasutus saaks konkreetse
juhtumi puhul avaldada usaldusteenuse osutajale piiratud hulka identifitseerivaid ja tehnilisi
andmeid. Andmete avaldamine on ühepoolne ning selle põhjal saab usaldusteenuse osutaja
kontrollida, kas tema teenust on konkreetse pettusekahtlusega juhtumi raames kasutatud pettuse
teel, ning rakendada vajaduse korral enda pädevuses olevaid kaitsemeetmeid, näiteks teenuse
kasutamist ajutiselt piirata.
Ilma kõnealuste andmeteta ei oleks võimalik usaldusteenuse pakkujal kontrollida, kas
vaidlusalune allkirjastamistoiming või muu usaldusteenuse kasutamine toimus sama isiku
nimel, kelle maksetehingu suhtes tekkis pettusekahtlus. Seadme- ja sessiooniandmed on
vajalikud selleks, et võrrelda, kas konkreetne teenuse kasutus langes kokku usaldusteenuse
osutaja süsteemides registreeritud tehniliste tunnustega, näiteks kas kasutati sama seadet, sama
sessiooni või sarnast tehnilist keskkonda. Kasutaja elektroonilise side võrgu identifikaatori
andmed aitavad kontrollida, kas vaidlusalune kasutamine toimus samast võrgukeskkonnast või
sama tehnilise lähtepunkti kaudu, mis seostub ka võimaliku pettusliku maksetehinguga. Säte
eesmärk on lubada andmete avaldamist üksnes konkreetse pettusekahtlusega juhtumi
kontrollimiseks ja ulatuses, mis võimaldab konkreetset juhtumit kontrollida.
Uue § 894 lõikega 5 nähakse ette, et andmete ja teabe avaldamisel ei ole lubatud avaldada
eriliiki isikuandmeid. Andmete ja teabe avaldamise eesmärk on maksepettuse avastamine ja
väljaselgitamine ning selle eesmärgi saavutamiseks ei ole eriliiki isikuandmete avaldamine
üldjuhul vajalik. See suurendaks põhiõiguste riivet ja oleks vastuolus andmete minimaalsuse
ning ebaproportsionaalne.
Eelnõu §-ga 3 muudetakse MERAS-t.
Eelnõu §-ga 3 täiendatakse MERAS §-i 63³ lõigetega 2 ja 3. Lõike 2 kohaselt on
makseteenuse pakkujatele õigus avaldada andmeid ja teavet teisele makseasutusele ja e-raha
asutusele, krediidiasutusele, PPA-le ning RIA-le maksepettuste avastamiseks ja
väljaselgitamiseks krediidiasutuste seaduse §-is 894 sätestatud tingimustel. Kuna
makseteenuseid osutavad ka makseasutused ja e-raha asutused, antakse ka neile
krediidiasutusega samasugune õigus andmeid avaldada. Vastasel juhul jääb osa
26
teenusepakkujaid pettuste ennetustegevusest väljapoole just puuduva info tõttu. Andmete
avaldamise eesmärk ja koosseis on sama nagu krediidiasutustel.
Lõike 3 kohaselt on makseteenuse pakkujal on õigus avaldada E-identimise ja e-tehingute
usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale
krediidiasutuste seaduse § 894 lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja isikukood,
seadme- ja sessiooniandmed ning kasutaja elektroonilise side võrgu identifikaatori andmed. Ka
siin on andmete avaldamise eesmärk ja koosseis sama nagu krediidiasutustel.
4. Eelnõu vastavus Eesti Vabariigi põhiseadusele
4.1 Andmete avaldamise ja töötlemise vastavus põhiseadusele
Isikute põhiõigus võib piirata ainult kooskõlas põhiseadusega. Isikute põhiõigustesse
sekkumine on põhiseaduspärane, kui see on formaalselt ja materiaalselt põhiseadusega
kooskõlas. Materiaalne põhiseaduspärasus tähendab, et põhiõiguse riive on kehtestatud (a)
legitiimselt ehk põhiseadusega lubatava eesmärgi saavutamiseks ning (b) on selle legitiimse
eesmärgi saavutamiseks proportsionaalne. Materiaalset põhiseaduspärasust kontrollitakse
järgmise skeemi alusel: esmalt tehakse kindlaks põhiõiguse esemeline ja isikuline kaitseala ning
seejärel kirjeldatakse, kuidas õigusakt põhiõigust riivab. Tuleb hinnata, kas riivel on legitiimne
eesmärk ning teostada proportsionaalsuse test - kas riive on legitiimse eesmärgi saavutamiseks
sobiv, vajalik ja mõõdukas. Andmete kogumine füüsiliste ja juriidiliste kohta riivab eelkõige
õigust eraelu puutumatusele (PS § 26) ja õigust informatsioonilisele enesemääramisele (PS §
19). Õigus eraelu puutumatusele PS § 26 kaitseb isiku õigust eraelu puutumatusele ning keelab
riigil sellesse sekkuda muul juhul, kui seaduses sätestatud juhtudel ja korras tervise, kõlbluse,
avaliku korra või teiste inimeste õiguste ja vabaduste kaitseks, kuriteo tõkestamiseks või
kurjategija tabamiseks. Õigus informatsioonilisele enesemääramisele Samuti riivab
isikuandmete töötlemine PS §-ist 19 tulenevat isiku informatsioonilist enesemääramist.
Informatsiooniline enesemääramine tähendab, et igaühel on õigus ise otsustada, kas ja kui palju
tema kohta andmeid kogutakse ja salvestatakse.
Andmete töötlemise eesmärk on maksetehingutega seotud pettuste avastamine ja
väljaselgitamine ning kaitsta seeläbi makseteenuse kasutajaid varalise kahju eest. Isikuandmete
kaitse üldmääruse artikli 6 lõike 1 punkti e kohaselt on isikuandmete töötlemine seaduslik juhul,
kui isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või
vastutava töötleja avaliku võimu teostamiseks. Pettused makseteenuste valdkonnas põhjustavad
klientidele varalist kahju ning kahjustavad usaldust maksesüsteemi kui terviku vastu. Pettuste
ärahoidmine on ka üheks makseteenuste direktiivi eesmärgiks ning artikli 94 lõike 1 kohaselt
liikmesriigid lubavad maksesüsteemidel ja makseteenuse pakkujatel töödelda isikuandmeid,
kui see on vajalik maksepettuste ärahoidmise, uurimise ja avastamise tagamiseks.
Eelnõu annab makseteenuse pakkujatele õiguse avaldada pettusekahtluse korral piiratud
adressaatide ringile andmeid kliendi, makse saaja, maksekonto, maksetehingu, pettuse või muu
süüteo tunnustele vastava teo, kasutatud seadme, makseinstrumendi või turvaelementide ning
pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta. Kuna riive ei ole kõigi
27
andmekategooriate puhul ühesugune, tuleb põhiseaduspärasust hinnata erinevate
andmekategooriate kaupa, mis võimaldab hinnata, kas iga konkreetse andmeliigi avaldamine
on eesmärgi saavutamiseks sobiv, vajalik ja mõõdukas.
1. Kliendi kohta käivate andmete avaldamine
Kliendiandmete avaldamine riivab eraelu puutumatust ja informatsioonilist enesemääramist,
sest tegemist on isikut tuvastada võimaldava teabega. Kliendiandmete avaldamise legitiimne
eesmärk on maksepettuste avastamine ja väljaselgitamine ning seeläbi teiste isikute varaliste
õiguste kaitse ja kuritegude tõkestamine. Nende andmete avaldamine on eesmärgi
saavutamiseks sobiv, sest ilma kliendi identiteeti siduva teabeta ei ole võimalik kontrollida, kas
sama isik on seotud ka teiste võimalike pettuse juhtumitega teiste makseteenuse pakkujate
juures või PPA menetlustes. Pettustega seotud teave on praktikas sageli killustunud erinevate
krediidiasutuste, teiste makseteenuse pakkujate ja ametite vahel ning kliendi andmete
õigeaegne jagamine võimaldab kontrollida, kas ta on seotud teiste samalaadsete juhtumisega.
Andmeid avaldatakse määratletud isikute ringile ning konkreetsel eesmärgil.
Meede on ka vajalik, sest vähem riivavam lahendus, näiteks pseudonümiseeritud või
anonüümseks muudetud andmed ei võimaldaks konkreetset isikut tuvastada ega seostada
erinevates süsteemides ilmnenud pettusekahtlustega. Mõõdukuse seisukohalt kaalub riivega
saavutatav hüve võimaliku kahju üles, kui avaldatakse üksnes konkreetse juhtumi
lahendamiseks vajalikud kliendiandmed, mitte kogu kliendiprofiil või kliendisuhte ajalugu.
2. Makse saaja ja maksekonto kohta käivate andmete avaldamine
Ka makse saaja ja maksekonto kohta andmete avaldamise legitiimne eesmärk on maksepettuste
avastamine ja väljaselgitamine ning seeläbi teiste isikute varaliste õiguste kaitse ja kuritegude
tõkestamine. Nende andmete avaldamine on eesmärgi saavutamiseks sobiv, sest pettuse teel
saadud rahalised vahendid kantakse konkreetsele makse saajale ja maksekontole ning pettuste
avastamiseks ja väljaselgitamiseks on vaja tuvastada, kuhu rahalised vahendid kanti ja samuti
kas sama konto või saaja on seotud teiste sarnaste juhtumisega. Meede on vajalik, sest ilma
andmeteta makse saaja ja maksekonto kohta ei oleks teistel makseteenuse pakkujatel ega PPA-
l võimalik konkreetset maksetehingut kontrollida ega võtta vajaduse korral samme kahju
vältimiseks või selle suurenemiseks. Oluline on, et maksekonto väljavõtte avaldamine on
keelatud ehk et ei ole võimalik teha selle põhjal järeldusi nt isiku finantssuhete, varalise seisu
või üldiselt maksekäitumise kohta. Seetõttu saab meedet pidada mõõdukaks, kuna teavet
avaldatakse üksnes konkreetse juhtumi kohta ning ulatuses, mis on vältimatult vajalik pettuse
avastamiseks või väljaselgitamiseks. Ainult makseteenuse pakkuja sisemisest kontrollist ei
pruugi piisata, kui pettus hõlmab teise makseteenuse pakkujate kontot ning teise makseteenuse
pakkuja kaudu tehtud tehinguid, mis ilmnevad alles eri juhtumite omavahelisel võrdlemisel.
3. Maksetehingu kohta käivate andmete avaldamine
Kõnealuste andmete avaldamine on eesmärgi saavutamiseks sobiv, sest pettuse avastamine ei
sõltu üksnes osapoolte identifitseerimisest, vaid ka võimaliku pettusliku maksetehingu
28
tunnustest. Nimetatud andmed maksetehingu kohta hõlmavad üksnes konkreetse
pettusekahtlusega seotud makse asjaolusid, mis on vajalikud pettuse avastamiseks ja
väljaselgitamiseks. Nende andmete all ei peeta silmas kliendi konto väljavõtet ega muud
terviklikku ülevaadet kliendi maksekäitumisest, selliste andmete väljastamine ei ole lubatud.
Näiteks võib maksetehingu summa, ajastus ning selle unikaalne tunnus maksetehingu üheselt
kindlaks teha. Vähem õigusi riivama meetmena näiteks üksnes anonümiseeritud või statistilise
info jagamine ei võimaldaks konkreetse pettuskahtluse korral tuvastada asjaosalisi ning siduda
konkreetseid tehinguid ja kontosid ega võtta viivitamata tarvitusele abinõusid konkreetse kahju
ärahoidmiseks. Samuti ei täidaks eesmärki see, et andmeid võiks edastada alles pärast
süüteomenetluse alustamist, sest pettuste puhul on andmete kiirel liikumisel otsene tähtsus
kahju tekkimise või selle suurenemise ärahoidmisel. Seetõttu on kavandatud piiratud
andmevahetuse õigus eesmärgi saavutamiseks vajalik.
4. Andmed kasutatud seadme, makseinstrumendi või turvaelementide kohta
Meede on eesmärgi saavutamiseks sobiv, sest maksepettused on tihti seotud korduvate tehniliste
tunnustega ning sama seade, makseinstrument või autentimisviis võib siduda näiliselt
eraldiseisvaid juhtumeid. Kasutatud seadme, makseinstrumendi või turvaelementide kohta käiv
teave ei kattu täielikult ei kliendiandmete, makse saaja ja maksekonto andmete ega ka üksnes
maksetehingu andmetega. Kliendi või konto tuvastamine ei näita veel, kuidas tehing tehniliselt
tehti või milliseid autentimisvahendeid kasutati. Just seadme, makseinstrumendi või
turvaelementide kohta käiv info võib osutada, et näiliselt erinevad tehingud on tegelikult
omavahel seotud, näiteks kui need on tehtud sama seadme või sama maksevahendi abil. Selline
teave võib olla määrava tähtsusega, et eristada kliendi tavapärast maksekäitumist olukorrast,
kus maksevahendit või autentimisvahendeid on väärkasutatud.
Andmeteks on näiteks seadme- ja sessiooniandmed ning muud pettuse tuvastamist võimaldavad
tehnilised andmed, mille alusel saab tuvastada, kas makse algatamise keskkond on ebatavaline,
näiteks seadme-ID, brauser, IP-aadress. See aitab tuvastada, kas erinevate isikute kontodelt
algatatakse makseid sama seadmega või samalt IP-aadressilt, kuigi isikud on erinevates
piirkondades. Nende andmete jagamine aitab makseteenuse pakkujatel tuvastada pettuse
toimepanemist laiemalt erinevate makseteenuse pakkujate üleselt, mida üks neist oma andmete
pinnalt ei pruugi tuvastada. Samuti aitab teabe edastamine PPA-le siduda üksikjuhtumeid
laiemate petuskeemidega. Seega aitab andmete avaldamise õigus otseselt kaasa eelnõu
eesmärgi saavutamisele. Osaliselt on tegemist tehniliste andmetega, mille privaatsusriive on
väiksem, kui näiteks maksetehingu kohta avaldatavate andmete puhul, kuid samas võib tekkida
oht, et selliste andmete laialdane jagamine koos muu infoga võib võimaldada isiku tegevuse
kohta laiemalt teada saada. Seepärast on lubatud on üksnes niisuguste tehniliste tunnuste
jagamine, mis on pettusmustri tuvastamiseks vajalikud, mitte kogu tehnilise logi või
autentimisajaloo avaldamine.
5. Andmed maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo kohta
Need on nn pettuseindikaatorid, mis kirjeldavad petuskeemi toimimist, nagu näiteks tehingu
ajastus ja korduvad summad ning mitme isiku samasugused käitumisjooned. See aitab pettuste
29
toimepanemist avastada näiteks olukorras, kus mitmed kliendid saavad samal päeval panga
nimel petukõnesid, siis on võimalik jagada pettusekatsete mustreid teiste krediidiasutustega
ning tuvastada nn saripettuse toimepanemine võimalikult vara ka teistel krediidiasutustel ning
seeläbi kahjusid vähendada. Sellise teabe avaldamine on eesmärgi saavutamiseks sobiv, sest
üksnes kliendi, konto või tehingu tehnilistest andmetest ei pruugi piisata, et tuvastada
saripettuse mustrit või erinevate makseteenuse pakkujate juures ilmnenud juhtumite seost.
Näiteks olukord, kus mitmed kliendid saavad samal päeval krediidiasutuse nimel petukõnesid,
siis on võimalik jagada pettusekatsete mustreid teiste krediidiasutustega ning tuvastada nn
saripettuse toimepanemine võimalikult vara ka teistel krediidiasutustel ning seeläbi kahjusid
vähendada. Vähem riivavam lahendus oleks näiteks üksnes neutraalse tehnilise info jagamine,
kuid see ei oleks eesmärgi saavutamiseks sobiv, sest ei võimaldaks tuvastada konkreetset
võimalikku maksetehinguga seotud pettust ning eristada seda lihtsalt maksetehingust, mis on
tvapärasega võrreldes ebatavaline. Selliseid andmeid tohib avaldada ainult konkreetse juhtumi
puhul ning mitte üldise riskiprofiili loomiseks.
6. Andmed pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta
Kõnealune meede on eesmärgi saavutamiseks sobiv. Pettuse teel tehtud tehingute või
pettusekatsete ja nende asjaolude kohta käiv teave võimaldab makseteenuse pakkujatel
tuvastada korduvaid pettusmustreid, seostada omavahel üksikjuhtumeid ning tuvastada
kiiremini olukordi, kus sama skeemi kasutatakse mitme makseteenuse kasutaja või mitme
makseteenuse pakkuja suhtes. Need andmed võimaldavad edasi anda pettuste mustrit, ehk
selline info aitab ära tunda saripettusi ja katkestada sama skeemi edasise kasutamise. Nimetatud
andmete avaldamine aitab kaasa seaduse eesmärgi saavutamisele.
Meede on ka vajalik, sest sama eesmärki ei ole võimalik saavutada üksnes anonümiseeritud või
statistilise info edastamisega, sest siis ei oleks võimalik tuvastada, et eri juhtumid kuuluvad
tegelikult sama petuskeemi alla. Pettusekatsete ja nende asjaolude kirjeldus võimaldab mõista
ja ära tunda, milles sarnasus teiste juhtumitega seisneb. Vähem riivav abinõu oleks näiteks
ainult üldiste hoiatusmustrite jagamine ilma konkreetsete juhtumite asjaoludeta, kuid see ei
oleks sama tõhus, sest ei võimaldaks konkreetseid juhtumeid omavahel seostada.
Meetme mõõdukuse puhul tuleb kaaluda ühelt poolt riive intensiivsust ja teiselt poolt selle abil
saavutatava hüve kaalukust. Selliste andemete avaldamine võib anda infot selle kohta, kas
konkreetse isik või konto võib olla seotud pettusega ning seetõttu käsitada neid nn kõrgendatud
riskiga. Kui pettusekahtlus hiljem ei kinnitu ei tohi see isikut negatiivselt mõjutada. Sellise info
avaldamine võib mõjutada asjaomase isiku või konto käsitamist kõrgendatud riskiga objektina
ning seetõttu puudutab see lisaks privaatsusele ka mainehuve. Eriti tundlik on see olukorras,
kus pettusekahtlus hiljem ei kinnitu. Seetõttu ei tohi seda andmekategooriat tõlgendada kui alust
süü omistamiseks või lõpliku õigusliku hinnangu andmiseks. Avaldama peaks faktilised
asjaolud ja mustrid, mis on objektiivselt põhjendatud ning see iseenesest ei tohi olla järelduseks,
et tehing on tehtud pettuse teel või isik on seotud pettusega.
Teisalt just pettusekatsete ja pettuse teel tehtud tehingute asjaolude jagamine võimaldab kõige
tõhusamalt avastada saripettusi, kaitsta teisi võimalikke kannatanuid, takistada sama skeemi
korduvat kasutamist ning piirata tekkiva kahju ulatust. Kui sellist teavet ei saaks jagada,
väheneks oluliselt makseteenuse pakkujate ja PPA võimekus avastada saripettusi, mis
30
joonistuvad välja mitmete juhtumite võrdlemisel. See aitab kaitsta isikute vara, maksesüsteemi
usaldusväärsust ning aitab pettusi avastada ja välja selgitada. Andmeid tohiks avaldada üksnes
siis, kui on objektiivne kahtlus konkreetse tehingu osas, mitte laiemalt üldise riskihinnangu
põhjal. Sellise teabe avaldamine iseenesest ei tohi muutuda isiku üldiseks riskiprofiiliks, mis
võib mõjutada isikut väljaspool seda konkreetset juhtumit. Arvestades eeltoodut saab pidada
nimetatud andmete avaldamist proportsionaalseks ega moonuta põhiõiguste olemust. Andmete
avaldamise hüve on kaalukas, sest aitab suures ulatuses avastada erinevaid petuskeeme ja
mustreid makseteenuse pakkujate üleselt ning samuti suureneb PPA võimekus pettusi avastada.
RIA täidab küberturvalisuse seaduse tähenduses küberintsidentide käsitlemise üksuse
ülesandeid ning koordineerib küberintsidentide käsitlemist ning kõnealused andmed aitavad
RIA-l tuvastada, ennetada ja ohjata maksepettustega seotud küberintsidente ning
pettusmustreid. Need andmed aitavad mõista, milline tehniline või käitumuslik muster viitab
pettusele, mis võib osutada laiemale küberohule.
4.2 Maksejuhise kättesaamise edasilükkamise põhiseaduspärasus
Kavandatav VÕS § 7247 annab maksja makseteenuse pakkujale õiguse objektiivselt
põhjendatud pettusekahtluse korral maksejuhise kättesaamine ajutiselt edasi lükata, rakendada
lisaturvameetmeid ning vajaduse korral keelduda maksejuhise täitmisest. Regulatsioon riivab
eeskätt maksja omandipõhiõigust, täpsemalt PS § 32 lõikes 2 tagatud õigust oma vara vabalt
kasutada ja käsutada, kuna rahaliste vahendite kasutamist võib ajutiselt edasi lükata.
Meede on eesmärgi saavutamiseks sobiv. Kui makseteenuse pakkujal tekib objektiivselt
põhjendatud kahtlus, et maksejuhis ei ole maksja poolt autoriseeritud või on autoriseeritud
pettuse, andmete väärkasutamise või maksja manipuleerimise teel, võimaldab maksejuhise
kättesaamise ajutine edasilükkamine ja täiendavate turvameetmete rakendamine kontrollida,
kas maksejuhis vastab maksja tegelikule tahtele.
Meede on vajalik. Vähem koormavad meetmed ei võimaldaks sama tõhusalt saavutada
eesmärki tõkestada pettuse teel tehtud maksetehinguid. Kliendi tugev autentimine ei ole kõikide
pettuse liikide puhul alati piisav, sest isiku manipuleerimise teel kinnitab ta maksejuhise ise.
Uued pettuseliigid põhinevad üha enam maksja manipuleerimisel, mis nõuab lisameetmeid
lisaks tavapärasele autentimisele. Petturid kannavad rahalised vahendid kiiresti edasi teistele
kontodele ja välisriiki ning raha tagasisaamine on raske kui mitte võimatu. Seetõttu ei ole sama
eesmärgi saavutamiseks olemas leebemat meedet, mis võimaldaks enne maksejuhise täitmist
tõkestada pettuse toimepanemist.
Meede on ka mõõdukas ehk proportsionaalne kitsamas tähenduses. Maksejuhise kättesaamise
edasilükkamine on lubatud juhul, kui on objektiivselt põhjendatud kahtlus, et tegemist võib olla
pettusega. Samuti nähakse ette, et makseteenuse pakkuja ei saa tugineda üksnes makse saaja
kontrollimise teenusele või pelgalt sellele, et maksejuhis tundub ebatavaline või arusaamatu.
Lisaks on maksejuhise kättesaamise edasilükkamine ajutine ning ajaliselt piiratud, see on
lubatud üksnes seni kuni täiendav kontroll on lõpetatud ning lähtuma peab eelkõige kehtivast
VÕS-i regulatsioonist, et maksja makseteenuse pakkuja peab tagama, et maksesumma laekuks
saaja makseteenuse pakkuja kontole hiljemalt maksejuhise kättesaamisele järgneval
31
arvelduspäeval. Meede riivab küll makseteenuse kasutaja õigust oma rahalisi vahendeid
kasutada, kuid samas on selle eesmärk kaitsta isiku rahalisi vahendeid.
5. Eelnõu terminoloogia
Eelnõus ei kasutata uusi termineid.
6. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu on vastavus järgmiste Euroopa Liidu õigusaktidega:
Euroopa Parlamendi ja nõukogu direktiiviga (EL) 2015/2366 makseteenuste kohta
siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr
1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta (ELT L
337, 23.12.2015, lk 35–127) ning
Parlamendi ja nõukogu määrusega (EL) 2024/886, millega muudetakse määrusi (EL) nr
260/2012 ja (EL) 2021/1230 ning direktiive 98/26/EÜ ja (EL) 2015/2366 eurodes
välkkreeditkorralduste osas (ELT L, 19.3.2024.).
7. Seaduse mõjud
Seaduse rakendamise peamine mõju on seotud finantspettuste ennetamise ja tõkestamisega ning
maksete turvalisuse suurendamisega. Muudatused mõjutavad eelkõige majandust, riigiasutuste
töökorraldust ja sotsiaalvaldkonda ning puudutavad peamiselt makseteenuse pakkujaid
(krediidiasutusi ja makseasutusi ja e-raha asutusi), makseteenuse kasutajaid ning pettuste
tõkestamisega tegelevaid riigiasutusi.
Majanduslik mõju avaldub peamiselt krediidiasutustele, kellel tekib selgem õiguslik alus
pettusekahtlusega maksete peatamiseks ja pettustega seotud teabe jagamiseks, mis aitab
vähendada pettustest tulenevat kahju ja suurendab maksesüsteemi usaldusväärsust. Sotsiaalne
mõju seisneb maksete suuremas turvalisuses ja elanike finantsilise turvatunde paranemises.
Riigiasutuste (PPA ja RIA) töökorraldust mõjutab eelkõige parem teabevahetus.
Muudatused ei avalda mõju elu- ja looduskeskkonnale, riigi julgeolekule ja välissuhetele ega
regionaalarengule. Kokkuvõttes on muudatustega kaasnev mõju valdavalt positiivne ning
kaasnev ebasoovitavate mõjude risk on madal.
7.1 Nähakse makseteenuse pakkujatele ette õigus keelduda maksejuhiste täitmisest
Sihtrühm nr 1: mõju makseteenuse pakkujatele
Muudatus avaldab mõju kõikidele Eestis tegutsevatele krediidiasutustele ning makseasutustele
ja e-raha asutustele.
Mõju ulatus: Mõju ulatust saab pidada väikeseks, kuna täpsustatakse maksejuhise täitmisest
keeldumise alust, kuid see ei muuda makseteenuse pakkujate igapäevast maksete täitmise
praktikat. Makseteenuse pakkujad kontrollivad ka praegu, kas makse on autoriseeritud ning
32
korrektselt autenditud. Mõju ulatust on keeruline täpselt hinnata, kuid pigem on see väike, kuna
kõnealune õigus puudutab väikest osa kõikidest maksetehingutest, valdav enamus makseid on
autoriseeritud ning korrektselt autenditud. Maksejuhise täitmisest keeldumised kõnealusel
põhjusel on harvad võrreldes maksetehingute koguarvuga.
Mõju avaldumise sagedus: Mõju avaldamise sagedust on keeruline hinnata, sest ei ole
võimalik täpselt välja tuua, et kui palju sellist lisaturvameetmete rakendamise õigust
kasutatakse. Võib eeldada, et avaldumise sagedus võrreldes maksete koguarvuga on pigem
väike. Lisaturvameetmeid on õigus rakendada ette nähtud kriteeriumite alusel, mitte
umbmääraste põhjenduste alusel laiemalt. Ka praegu teostavad makseteenuse pakkujad
maksejuhiste puhul turvakontrolle ning tegemist ei ole nn uue režiimi loomisega.
Ebasoovitavate mõjude avaldumise risk: Selline mõjude avaldumise risk on väike. Tegemist
on positiivset mõju omava muudatusega, sest makseteenuse pakkujad saavad selge õigusliku
aluse rakendada lisaturvameetmeid ning vajadusel maksejuhise täitmisest keeldumiseks, mis
aitab pettuste tõkestamise eesmärki saavutada.
Sihtrühm 2. mõju makseteenuse kasutajatele
Muudatus avaldab potentsiaalselt mõju kõikidele makseteenuse kasutajatele, kes igapäevaselt
makseid teevad. Ka siinkohal on keeruline hinnata, kui suurele osale makseteenuse kasutajatest
see tegelikult mõju avaldab, kuna ei ole üheselt prognoositav, kui palju makseteenuse pakkujad
maksete täitmisel sellist õigust kasutavad. Enamus makseid on siiski korrektselt autenditud ning
isiku enda pool autoriseeritud.
Mõju ulatus: Mõju ulatust saab pidada pigem väikeseks, kuna isikud puutuvad igapäevaselt
sellega kokku harva ja üksikjuhtumitel sest lisaturvakontrolli ei kasutata kõikide maksete puhul.
Enamik maksetehinguid täidetakse tavapäraselt ning maksejuhised vastavad üldjuhul
makseteenuse lepingus sätestatud tingimustele ning tugev autentimine on tehniliselt
nõuetekohane ja maksejuhis on isiku poolt autoriseeritud.
Mõju avaldumise sagedus: Mõju avaldumise sagedus on väike, kuna eelnõu ei näe ette, et
kõikide maksete puhul tuleb lisaturvameetmeid rakendada ning maksejuhise kontrolle
teostatakse kõikide maksete puhul ka praegu. Lisaturvameetmete rakendamisega puutuvad
isikud kokku ebaregulaarselt ja üksikute maksete korral, kui on täidetud selle rakendamise
tingimused. Seetõttu võib eeldada, et makseteenuse kasutajad ei puutu pärast muudatust
sagedasti kokku lisaturvameetmete rakendamisega ning maksejuhise täitmisest keeldumisega.
Ebasoovitavate mõjude avaldumise risk: Sellise mõju avaldumise risk on madal, tegemist on
positiivset mõju omava muudatusega, sest aitab kaasa pettuste tõkestamisele. Muudatus aitab
ennetada pettusi ning vähendada isikutele rahalise kahju tekkimise riski. Kuigi üksikjuhtudel
võib isiku makse täitmine pettusekahtluse tõttu ajutiselt viibida, on selle eesmärk makseteenuse
kasutaja kaitse ning maksete turvalisuse suurendamine.
33
7.2 Nähakse makseteenuse pakkujatele ette õigus avaldada pettuste avastamise ja
väljaselgitamise eesmärgil andmeid ja teavet
Sihtrühm 1. Makseteenuse pakkujad
Muudatus võib mõju avaldada kõikidele Eestis tegutsevatele makseteenuse pakkujatele.
Mõju ulatus: Makseteenuse pakkujate jaoks on muudatuse mõju pigem keskmine, kuna
andmete avaldamine on ette nähtud õigusena, mitte kohustusena ning seda võib teha juhul, kui
makseteenuse pakkujal on objektiivselt põhjendatud kahtlus, et klient või maksetehing võib olla
seotud pettusega. Pettuste avastamine ja väljaselgitamine on makseteenuse pakkujate
igapäevane tegevus ning sellel eesmärgil ka juba vajalikke andmeid töödeldakse. Muudatus
aitab paremini pettusi avastada ja välja selgitada ning koostöö teiste makseteenuse pakkujatega
ning PPA-ga aitab vähendada pettustega tekitatud kahju, mistõttu on tegemist positiivse
mõjuga.
Mõju avaldumise sagedus: Mõju avaldumise sagedust on keeruline hinnata, kuid arvestades
maksete koguarvuga saab seda pidada pigem väikeseks, sest andmete avaldamine on lubatud
ette nähtud tingimustel ning mitte laialdaselt kõikide maksetehingute puhul. Arvestades, et
enamus makseid on korrektselt autenditud ja autoriseeritud, on andmete avaldamine pigem
erandlik.
Ebasoovitavate mõjude avaldumise risk: Selline risk on madal, tegemist on positiivse
muudatusega, mis aitab makseteenuse pakkujatel efektiivsemalt pettusi tõkestada. Arvestades,
et andmete avaldamine on lubatud kindlal eesmärgil ning on ette nähtud õigusena, mitte
kohustusena, ei ole põhjust eeldada negatiivset mõju makseteenuse pakkujate tavapärasele
tegevusele.
Sihtrühm 2. Makseteenuse kasutajad
Muudatus avaldab potentsiaalselt mõju kõikidele makseteenuse kasutajatele, kuid igapäevaselt
siiski väikesele osale makseteenuse kasutajatest, sest pettuste osakaal kogu maksetehingute
arvust on väike.
Mõju ulatus: Makseteenuse kasutajate jaoks on muudatuse mõju kaudne. Muudatus ei mõjuta
makseteenuste kasutamist üldiselt, vaid puudutab üksnes neid olukordi, kus esineb põhjendatud
pettuse kahtlus ning makseteenuse pakkuja avaldab pettuse avastamise ja väljaselgitamise
eesmärgil isiku andmeid.
Mõju avaldumise sagedus: Mõju avaldumise sagedus on pigem väike, sest muudatus ei mõjuta
makseteenuse kasutajat igapäevaselt ning kokkupuude sellega on ebaregulaarne ja harv. Eelnõu
näeb andmete avaldamiseks ette kriteeriumid ning makseteenuse pakkujatel ei ole õigust jagada
andmeid laiemalt ebamäärastel eesmärkidel. Mõju avaldub üksnes olukordades, kus andemete
avaldamine on vajalik pettuse avastamise ja väljaselgitamise eesmärgil.
34
Ebasoovitavate mõjude avaldumise risk: Selline risk on pigem madal, tegemist on positiivset
mõju omava muudatusega. See aitab vähendada rahalise kahju tekkimise riski ning suurendab
maksete turvalisust. Andmeid tohib avalda üksnes piiratud ulatuses ja eesmärgil. Samas võib
avalduda risk, et andmeid isiku kohta avaldatakse pettusekahtluse korral, kus see kahtlus
kinnitust ei leia, ehk et tegemist on valepositiivse kahtlusega. Samas ei ole selliste juhtumite
täielik välistamine võimalik ning andmete avaldamise eesmärgiks on isiku kaitsmine pettuse
ohvriks langemise eest. Nimetatud juhul ei tohi andmete avaldamine isikule kaasa tuua mingeid
negatiivsed tagajärgi. Makseteenuse pakkujad peavad siinkohal rangelt kinni pidama andmete
minimaalsuse ja eesmärgipärase töötlemise põhimõtetest. Andmete avaldamine peab olema
logitud ning tagantjärele kontrollitav. Isikul peab olema õigus teada saada, milliseid tema
andmeid ja kellele edastati. Seda ulatuses, millises on makseteenuse pakkujal seaduse järgi õigus
avaldada, arvestades muuhulgas näiteks rahapesu ja terrorismi rahastamise tõkestamise
seadusest tulenevaid piiranguid.
Sihtrühm 3. Politsei- ja Piirivalveamet
Muudatus avaldab mõju PPA-le.
Mõju ulatus: PPA-le tähendab muudatus laiemat ligipääsu pettustega seotud andmetele, mis
parandab oluliselt petuskeemide tuvastamist ning seostamist ja parandab selles osas PPA
võimekust. Seeläbi paraneb PPA ennetav töö. Muudatus ei too kaasa PPA-le täiesti uue ülesande
tekkimist ega muudatusi töökorralduses.
Mõju avaldumise sagedus: PPA jaoks ei saa pidada mõju avaldumise sagedust suureks. PPA
tegeleb ka praegu igapäevaselt pettuste tõkestamisega ning andmete edastamine parandab sellist
võimekust. Mõju sagedus on üksikjuhtumi põhine, kui makseteenuse pakkuja avaldab
pangasaladust konkreetse pettuse kahtluse korral.
Ebasoovitavate mõjude avaldumise risk: Selline risk on väike, tegemist on positiivset mõju
omava muudatustega, mis aitab parandada pettuste tõkestamise võimekust.
Sihtrühm 4. Riigi Infosüsteemi Amet
Mõju ulatus: Muudatus annab RIA-le võimaluse saada makseteenuse pakkujalt piiratud
ulatuses teavet maksetehingutega seotud pettuste ja pettusekatsete asjaolude ning kasutatud
tehniliste vahendite kohta.
Mõju RIA tegevusele seisneb selles, et täieneb sisend küberintsidentide analüüsiks ja
riskihindamiseks ning seeläbi suureneb võimekus info töötlemiseks ja seostamiseks
olemasoleva küberohuteabega. RIA pädevus ei muutu – amet täidab ka kehtiva õiguse alusel
küberintsidentide käsitlemise, riskide seire ja ohtudest teavitamise ülesandeid.
Mõju avaldumise sagedus: Mõju avaldub juhtumipõhiselt, sõltuvalt maksetehingutega seotud
pettuste ja pettusekatsete arvust ning makseteenuse pakkuja hinnangust objektiivselt
põhjendatud kahtluse olemasolule. Arvestades, et maksepettused on sagedased ning sageli
35
seotud infosüsteemide ründamise või autentimisvahendite kuritarvitamisega, võib RIA-le
edastatava info hulk olla regulaarne, kuid tegemist ei ole automaatse ega pideva andmevooga.
Ebasoovitavate mõjude avaldumise risk: Sellist riski saab hinnata väikeseks - RIA-le
avaldatav andmekoosseis on kitsalt piiritletud ega hõlma otseseid kliendi tuvastus- ega
kontoteavet. Krediidiasutused edastavad andmeid juhtumipõhiselt ning selliste andmete
töötlemine eeldatavalt RIA töökoormust ei suurenda.
8. Seaduse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad
kulud ja tulud
Seaduse rakendamisega ei kaasne tulusid ega kulusid riigieelarvele ning eelnõu ei ole seotud
kohalike omavalitsuste tegevusega.
PPA-l ja RIA-l on vaja teha tehnilisi ja korralduslikke ettevalmistusi turvaliseks ja sihipäraseks
andmevahetuseks krediidiasutustega. Tegemist on nende asutusete jaoks olemasolevate
tööprotsesside täpsustamisega ning see ei eelda täiendavaid kulusid.
9. Rakendusaktid
Käesoleva seadusega ei kehtestata uusi rakendusakte ega muudeta olemasolevaid. Samuti ei
kaasne seadusega rakendusaktide kehtetuks muutumist.
10. Seaduse jõustumine
Seadus jõustub üldises korras.
11. Eelnõu kooskõlastamine ja huvirühmade kaasamine
Eelnõu esitati kooskõlastamiseks ja arvamuse avaldamiseks Justiits- ja Digiministeeriumile,
Siseministeeriumile, Politsei- ja Piirivalveametile, Eesti Pangale, Eesti Pangaliidule, Riigi
Infosüsteemi Ametile, Finantsinspektsioonile, Eesti Infotehnoloogia ja Telekommunikatsiooni
Liidule.
Eelnõule esitasid arvamuse Justiits- ja Digiministeerium, Siseministeerium, Eesti Pank, Eesti
Pangaliit, Riigi Infosüsteemi Amet ning Finantsinspektsioon. Esimese kooskõlastusringil
esitatud märkused ning Rahandusministeeriumi selgitused on leitavad seletuskirjale lisatud
kooskõlastustabelist.
Lähtuvalt esitatud märkustest on eelnõu muudetud ning arvestades esitatut on eelnõu
paragrahvide sõnastus ning eelnõu struktuur oluliselt muutunud. Muudatused on tehtud
eelkõige eelnõu paragrahvis 1. Vaatamata paragrahvide sõnastuste muutmisest ning uutest
lisatud lõigetest ei ole eelnõu sisu muutunud.
36
Algatab Vabariigi Valitsus ….. 2026. a
Vabariigi Valitsuse nimel
(allkirjastatud digitaalselt)
Heili Tõnisson
Valitsuse nõunik
1
EELNÕU
15.04.2026
Võlaõigusseaduse ja sellega seonduvalt teiste seaduste muutmise
seadus
(finantspettuste ennetamine ja tõkestamine)
§ 1. Võlaõigusseaduse muutmine
Võlaõigusseaduses tehakse järgmised muudatused:
1) paragrahvi 711 lõiget 1 täiendatakse punktiga 151 järgmises sõnastuses:
„151) maksejuhise täitmise edasilükkamise tingimused tulenevalt käesoleva seaduse
§-st 7247;“;
2) seadust täiendatakse §-ga 7247 järgmises sõnastuses:
㤠7247. Lisaturvameetmete rakendamine pettusekahtluse korral
(1) Maksja makseteenuse pakkujal on õigus maksejuhise kättesaamine ajutiselt edasi lükata ja
rakendada lisaturvameetmeid, kui tal on objektiivselt põhjendatud kahtlus, et:
1) maksejuhist ei ole autoriseerinud maksja või
2) maksejuhis on autoriseeritud andmete väärkasutamise, pettuse või maksjaga
manipuleerimise teel.
(2) Käesoleva paragrahvi lõikes 1 nimetatud objektiivselt põhjendatud kahtlus peab põhinema
makseteenuse pakkuja riskide hindamisel, sealhulgas komisjoni rakendusmääruses
(EL) 2018/389 sätestatud riskipõhisel lähenemisel ning muudel objektiivsetel asjaoludel.
Maksja makseteenuse pakkuja ei või maksejuhise kättesaamise edasilükkamisel tugineda
üksnes Euroopa Parlamendi ja nõukogu määruses (EL) nr 260/2012 nimetatud makse saaja
kontrollimise teenusele või asjaolule, et maksejuhis on makseteenuse pakkujale ebatavaline või
arusaamatu.
(3) Käesoleva paragrahvi lõikes 1 sätestatud juhul peab makseteenuse leping sisaldama muu
hulgas tingimusi maksja teavitamiseks lisaturvameetmete rakendamisest ja nende rakendamise
põhjustest enne rakendamist või viivitamata pärast seda. Makseteenuse pakkuja ei pea maksjale
lisaturvameetmete rakendamise põhjusi teatama, kui teabe edastamine on vastuolus
objektiivselt põhjendatud turvakaalutlusega või ei ole muul seaduses sätestatud põhjusel
lubatud.
(4) Kui maksja makseteenuse pakkuja lükkab maksejuhise kättesaamise lisaturvameetmete
rakendamiseks edasi, loetakse maksejuhis makseteenuse pakkuja poolt kättesaaduks käesoleva
seaduse § 724² tähenduses hetkest, kui makseteenuse pakkuja on lõpetanud nende
turvameetmete rakendamise ja on veendunud, et maksejuhis ei ole autoriseeritud andmete
väärkasutamise, pettuse või maksjaga manipuleerimise teel. Nimetatud tingimuste täitmise
korral on maksja makseteenuse pakkujal kohustus saata maksetehing viivitamata makse saaja
makseteenuse pakkujale.
2
(5) Maksja makseteenuse pakkuja ei või maksejuhist lisaturvameetmete rakendamiseks edasi
lükata kauemaks, kui käesoleva paragrahvi lõikes 4 nimetatud asjaolu väljaselgitamiseks on
mõistlikult vajalik. Võimaluse korral peab maksja makseteenuse pakkuja lähtuma eelkõige
käesoleva seaduse §-s 728 sätestatud tähtaegadest.
(6) Maksja makseteenuse pakkujal on õigus keelduda maksejuhise täitmisest, kui pärast
käesoleva paragrahvi lõikes 1 nimetatud lisaturvameetmete rakendamist ei ole olnud
objektiivselt võimalik kõrvaldada kahtlust, et maksejuhis on autoriseeritud andmete
väärkasutamise, pettuse või maksjaga manipuleerimise teel.
(7) Kui maksejuhise täitmine viibib käesoleva paragrahvi lõikes 1 sätestatud lisaturvameetmete
rakendamise tõttu, hakkab käesoleva seaduse §-s 728 sätestatud maksejuhise täitmise tähtaeg
kulgema arvates maksejuhise kättesaamisest käesoleva paragrahvi lõike 4 tähenduses.
(8) Kui käesoleva paragrahvi lõikes 1 nimetatud lisaturvameetmete rakendamise tulemusel
täidetakse makse hilinemisega, kohaldatakse makse täitmisele käesoleva seaduse § 7333
lõigetes 41 ja 42 sätestatut.
(9) Makseteenuse leping võib sisaldada tingimust, mille kohaselt selleks, et rakendada
lisaturvameetmeid ja lükata edasi maksejuhise kättesaamist, ei või maksja nõuda maksja
makseteenuse pakkujalt kahju hüvitamist. Hüvitist ei või nõuda tingimusel, et nimetatud
turvameetmeid on rakendatud ebamõistliku viivituseta ning nende rakendamine põhineb
objektiivselt põhjendatud kahtlusel, et maksejuhise autoriseerimiseks antud nõusolek ei ole
saadud andmete väärkasutamise, pettuse või maksjaga manipuleerimise teel. See
lepingutingimus ei välista ega piira maksja õigust esitada muu nõue muul alusel.“.
§ 2. Krediidiasutuste seaduse muutmine
Krediidiasutuste seaduses tehakse järgmised muudatused:
1) paragrahvi 88 lõike 3 punkti 1 täiendatakse pärast tekstiosa „käesolevas paragrahvis“
tekstiosaga „või käesoleva seaduse §-s § 894“;
2) seaduse 7. peatüki 3. jagu täiendatakse §-ga 894 järgmises sõnastuses:
„§ 894. Andmete avaldamine pettuste tõkestamise eesmärgil
(1) Krediidiasutusel on õigus avaldada andmeid ja teavet teisele krediidiasutusele,
makseasutusele ja e-raha asutusele makseasutuste ja e-raha asutuste seaduse tähenduses ning
Politsei- ja Piirivalveametile maksetehingutega seotud pettuste avastamiseks ja
väljaselgitamiseks, kui krediidiasutusel on objektiivselt põhjendatud kahtlus, et klient või
maksetehing võib olla seotud pettusega.
(2) Käesoleva paragrahvi lõikes 1 nimetatud andmed ja teave sisaldavad omakorda andmeid ja
teavet:
1) kliendi kohta;
2) makse saaja ja maksekonto kohta;
3) maksetehingu kohta;
4) kasutatud seadme, makseinstrumendi või turvaelementide kohta;
3
5) maksetehinguga seotud pettuse või muu süüteo tunnustele vastava teo kohta;
6) pettuse teel tehtud tehingute või pettusekatsete ja nende asjaolude kohta.
(3) Krediidiasutusel on õigus Riigi Infosüsteemi Ametile avaldada küberturvalisuse seaduse § 5
lõike 3 punktis 3 nimetatud ülesannete täitmise eesmärgil käesoleva paragrahvi lõike 2
punktides 5 ja 6 sätestatud andmeid ja teavet.
(4) Krediidiasutusel on õigus avaldada e-identimise ja e-tehingute usaldusteenuste seaduse
tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale käesoleva paragrahvi
lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja isikukood, seadme- ja sessiooniandmed
ning kasutaja elektroonilise side võrgu identifikaatori andmed.
(5) Käesolevas paragrahvis sätestatud juhtudel ei ole lubatud avaldada eriliiki isikuandmeid.“.
§ 3. Makseasutuste ja e-raha asutuste seaduse muutmine
Makseasutuste ja e-raha asutuste seaduse § 633 senine tekst loetakse lõikeks 1 ja paragrahvi
täiendatakse lõigetega 2 ja 3 järgmises sõnastuses:
„(2) Makseasutusel ja e-raha asutusel on õigus avaldada andmeid ja teavet teisele
makseasutusele ja e-raha asutusele, krediidiasutusele, Politsei- ja Piirivalveametile ning Riigi
Infosüsteemi Ametile maksepettuste avastamiseks ja väljaselgitamiseks krediidiasutuste
seaduse §-s 894 sätestatud tingimustel.
(3) Makseasutusel ja e-raha asutusel on õigus avaldada e-identimise ja e-tehingute
usaldusteenuste seaduse tähenduses e-allkirjastamist võimaldavale usaldusteenuse osutajale
krediidiasutuste seaduse § 894 lõikes 1 nimetatud eesmärgil usaldusteenuse kasutaja isikukood,
seadme- ja sessiooniandmed, samuti kasutaja elektroonilise side võrgu identifikaatori
andmed.“.
Lauri Hussar
Riigikogu esimees
Tallinn, „….“ ……………… 2026
Algatab Vabariigi Valitsus……………. 2026
(allkirjastatud digitaalselt)
Suur-Ameerika 1 / 10122 Tallinn / 611 3558 / [email protected] / www.rahandusministeerium.ee
registrikood 70000272
Justiits- ja Digiministeerium
Võlaõigusseaduse ja sellega
seonduvalt teiste seaduste
muutmise seaduse (finantspettuste
ennetamine ja tõkestamine) eelnõu
kooskõlastamiseks esitamine
Esitame kooskõlastamiseks võlaõigusseaduse ja sellega seonduvalt teiste seaduste muutmise
seaduse eelnõu, mis on koos seletuskirjaga kättesaadav õigusaktide eelnõude elektroonilise
kooskõlastamise süsteemi EIS vahendusel http://eelnoud.valitsus.ee/.
Lugupidamisega
(allkirjastatud digitaalselt)
Jürgen Ligi
rahandusminister
Lisa:
1. Eelnõu
2. Seletuskiri
3. Märkuste tabel
Jarmo Lilium 5302 6314
Meie 22.04.2026 nr 1.1-10.1/1802-1
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|