Javascript is required

Isikuandmete kaitse saab novembrist uue hoo sisse

Eesti Advokatuuri intellektuaalse omandi- ja IT-õiguse komisjon

Isikuandmete rikkumisega seotud rahatrahvide eest on Eesti ettevõtted ja asutused siiani kerge vaevaga pääsenud, kuid juba novembrist jõustuvate seadusemuudatustega võib see üsna pea muutuda

Käesoleva aasta 1. novembril jõustub karistusseadustiku muutmise ja sellega seonduvalt teiste seaduste muutmise seadus, mida tuntakse ka kui Euroopa Liidu õigusest tulenevate rahatrahvide eelnõu. Selle eesmärgiks on võimaldada Euroopa Liidu õigusega sätestatud haldustrahvide kohaldamist Eestis toimetatavas väärteomenetluses. Seadusega täiendatakse karistusseadustikku (KarS) selliselt, et see võimaldaks täita Euroopa Liidu õiguses sätestatud nõudeid ja kohaldada konkreetsetes valdkondades (eelkõige finantssektor ja andmekaitse) senisest oluliselt suuremaid rahatrahve.

Haldustrahvide regulatsiooni vajadus tekkis muuhulgas isikuandmete kaitse üldmääruse (IKÜM) tõhusama rakendamise elluviimiseks. Kui pärast IKÜM-i jõustumist 2018.a. said peaaegu kõik Euroopa Liidu liikmesriigid asuda IKÜM-i alusel haldustrahve määrama, siis Eesti ja Taani õigussüsteem ei võimaldanud IKÜM-i alusel trahve määrata. Põhjus seisnes selles, et Eesti ja Taani õigussüsteemis puudus haldustrahvi õiguslik kontseptsioon. Teistes Euroopa Liidu liikmesriikides on haldustrahvid juba pikemat aega levinud. Ükski kehtiv Eesti seadus aga haldustrahvi kohaldamise võimalust ei sätestanud.

Senine karistusõiguse regulatsioon on osutunud hambutuks

Esiteks, IKÜM-i jõustumisel Eestis vastu võetud isikuandmete kaitse seadusega (IKS) sätestati küll IKÜM-i haldustrahvide maksimummääradele vastavad väärteokoosseisud (20 miljonit eurot või neli protsenti käibest), kuid nendele kohalduv KarS üldosa nägi maksimaalse rahatrahvi karistusena juriidilisele isikule ette 400 000-eurose trahvilae. Pinge viidatud KarS üldosa sätte ning IKS-i rakendussätetetega üle võetud IKÜM-i trahvide vahel on olnud senini ebaselge lahendusega. Eesti kohtud ei ole IKÜM-i veidi enam kui selle 5-aastase kohaldamise perioodi jooksul vastava pinge osas oma seisukohta andnud. Igal juhul tuleks süüteomenetluses selliseid õigusaktide lahknevusi tõlgendada potentsiaalse rikkuja kui menetlusaluse isiku kasuks.

Teiseks, praktikas valmistas  raskusi tavapäraste väärteomenetluse normide kohaldamise nõue, sh probleemid juriidilise isiku vastutuse avamisega konkreetse teo toime pannud ja kindlatele tunnustele vastava füüsilise isiku või isikute kaudu.

Kolmandaks esines probleem seoses väärtegude kiire aegumisega.

Seadusemuudatused toovad kaasa pikema aegumistähtaja ja võimaluse määrata suuremaid trahve

Seadusemuudatused võimaldavad juriidilisele isikule määrata andmekaitsealaste rikkumiste eest trahvi, lähtudes IKÜM-ist tulenevatest ülemmääradest, s.o. karistada rikkujat rahatrahviga kuni 20 miljon eurot või kuni neli protsenti tema eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

Seaduses säilitatakse tänased väärteo vastutuse alused, kuid neid täiendatakse. Teatud juhtudel ei ole vajalik järgida ranget füüsilise isiku kaudu tuletatud vastutust ning juriidiline isik võib vastutada ka siis, kui vahetult tegutsenud isikut ei õnnestu tuvastada või ei ole muul põhjusel võimalik ühtki füüsilist isikut vastutusele võtta, näiteks juriidilise isiku puuduliku töökorralduse või järelevalve tõttu. See kahtlemata lihtsustab andmekaitse rikkumistega seotud väärteomenetluste läbiviimist ja karistuste määramist.

Isikuandmete rikkumistega seotud väärtegude aegumistähtaega pikendatakse kahelt aastalt kolmele, mis avardab Andmekaitse Inspektsiooni (AKI või Inspektsioon) võimalusi väärtegusid tõhusamalt menetleda ja asjakohaseid trahve määrata.

Oluline on, et seaduse tagasiulatuva jõu keelu printsiibist tulenevalt on eelviidatud seadusemuudatuste alusel võimalik väärteo eest isikut vastutusele võtta üksnes selliste andmekaitsenõuete rikkumiste eest, mis on toime pandud alates käesoleva aasta 1. novembrist, või mis on jätkunud alates eelviidatud kuupäevast.

Inspektsioonine senine lähenemine on olnud nn „turgu hariv“

AKI praktika IKÜM-i rakendamisel on seni olnud pigem leebe kui karm. Inspektsioon on võtnud lähenemise, mille kohaselt soovitakse ettevõtteid ja asutusi andmekaitsenõuete rikkumiste korral eeskätt nõustada ja juhendada, mitte karistada.

Rikkumiste korral on Inspektsioon tüüpjuhul võimaliku trahvi või sunniraha kohaldamise eest hoiatanud ning suunanud rikkujat õiguspäraselt tegutsema. Märkimisväärsemad juhtumid Inspektsiooni praktikast pärinevad 2020.a. sügisest ning tänavu kevadest.

AKI määras 2020.a. novembris  100 000 euro suuruse sunniraha ettekirjutus-hoiatuse kolmele apteegiketile, mis võimaldasid oma e-apteegis teise inimese isikukoodi teades vaadata tema kehtivaid retsepte ilma, et retseptiomanik oleks andnud selleks nõusoleku.

Selle aasta kevadel otsustas AKI IKÜM-i tänastele rakendusprobleemidele vaatamata määrata Ida-Tallinna Keskhaiglale 200 000 euro suuruse trahvi seoses isikuandmete töötlemise turvanõuete rikkumisega, sest patsientide haiguslugusid hoiustati valveta ehituskonteineris. Esimese astme kohus otsustas AKI trahvi määramise otsuse tühistada – otsus ei ole artikli kirjutamise aja seisuga veel jõustunud.

Näited Euroopast teevad suurte trahvide osas valvsaks

Soomes on ühed kõrgemad määratud trahvid olnud 608 000 eurot ja 750 000 eurot. Viimase trahvi puhul oli rikkujaks inkassoettevõte, mis ei olnud andmesubjekti õiguste teostamise taotlustele vastanud. Lätis on trahve määratud näiteks suurusjärgus 65 000 eurot ja 150 000 eurot. Leedus on määratud trahv näiteks suuruses 110 000 eurot, seda isikuandmete töötlemise ebapiisavate turvameetmete rakendamise tõttu.

2020.a. määras Luksemburgi järelevalveasutus IKÜM-i nõuete rikkumiste eest Amazon’ile trahvi suuruses 746 miljonit eurot, WhatsApp on saanud Iirimaal trahvi suuruses 225 miljonit eurot ning hiljutise arenguna on määratud mais 2023 Meta’le trahv suuruses 1,2 miljardit eurot, mis on seni IKÜM-i rikkumiste eest määratud kõrgeim trahv. Kümnetesse ja sadadesse miljonitesse ulatuvaid näiteid on mitmeid veel.

Eeltoodud juhtumid kinnitavad, et teiste liikmesriikide järelevalveasutused ei ole IKÜM-i tõhusate ja heidutatavate eesmärkidega trahvide määramisel end tagasi hoidnud ning kasutanud oma volitusi julgelt. Novembrist saab senisest oluliselt paremad võimalused tegutseda karmikäelisemalt ka AKI.

IKÜM-i kohaldamine ja trahvid piiriüleste juhtumite korral

Lisaks on oluline mõju AKI poolt andmekaitsenõuete täitmise tagamisel ka IKÜM-is sätestatud nn ühetaolise kohaldamise mehhanismidel, mis näevad ette siseriiklike andmekaitseasutuste ühise koostöö IKÜM-i ühtse ja tõhusa rakendamise eesmärgil, seda kogu Euroopa Liidus. Nimetatud mehhanismid on rikkumiste kontekstis relevantsed juhul, kui esineb märkimisväärne mõju andmesubjektidele, kes asuvad mitmes liikmesriigis, eestkätt ka Eestis.

Seega võivad nimetatud mehhanismide abil teiste liikmesriikide andmekaitseasutuste praktika ja suuniseid omada mõju ka Inspektsioonile piiriülese mõjuga IKÜM-i rikkumiste korral, kus Inspektsiooni poolt viiakse läbi uurimine koostöös teiste asjaomaste andmekaitseasutustega. See võib endaga kaasa tuua Inspektsiooni poolt teatud ulatuses suuremate trahvide määramist, kui seda on Eestis senini tehtud üksnes siseriikliku mõjuga juhtumite korral.

Sellega seoses on peagi uusi arenguid oodata ka Euroopa Liidu tasandilt, nimelt on alates 2023.a. juulist arutlusel uue õigusakti vastuvõtmine, millega plaanitakse ühtlustada veel enam andmekaitseasutuste vahelist koostööd piiriüleste juhtumite korral. Planeeritava õigusaktiga kehtestatakse konkreetsed menetluseeskirjad reguleerimaks piiriülese mõjuga juhtumeid, sh toetamaks veel enam liikmesriikide vahel konsensuse leidmist IKÜM-i ühetaolise ja tõhusa kohaldamise eesmärgil, st ka rikkumiste korral trahvide määramise (ja kohaldatavate määrade arvutamise) kontekstis.

Ressursipuuduses jääb seadusemuudatustest väheks

Milline saab seadusemuudatuste valguses olema lähitulevik Eestis? Kas nüüd peaksid ettevõtted hakkama kartma n-ö miljonitrahve? Tõenäoliselt mitte.

Esiteks peavad kõik IKÜM-i alusel määratud karistused olema lisaks tõhususele ka õiglased ja proportsionaalsed. See tähendab, et kuigi karistus peab olema piisavalt suur, et hirm karistuse ees motiveeriks õiguspäraselt tegutsema, siis ei saa ühegi trahvi eesmärk olla ettevõtte pankrotistamine.

Seega, kui näiteks Google’i-suguse hiidettevõtte jaoks on motiveeriv sadadesse miljonitesse ulatuv karistus, siis Eesti kontekstis oleks enamike ettevõtete jaoks motiveeriv ja proportsionaalne oluliselt väiksem karistus. Siiski on metoodilised üldsuunised trahvide kohaldamisel ja arvutamisel Euroopa andmekaitseasutustele samad. Sellega seoses on Euroopa Andmekaitsenõukogu tänaseks välja töötanud ka kompleksse trahvide arvutamise juhendi andmekaitseasutuste poolt rakendatavate trahvimistavade ühtlustamiseks, mida liikmesriikide järelevalveasutused praktikas ka järgivad.

Samuti, ainuüksi seadusemuudatused ei pruugi AKI menetlusi tõhusaks muuta. Inspektsioon vaevleb täna raha ja tööjõu puuduses, mis teeb keerukaks suure hulga menetluste kiire ja tõhusa läbiviimiseks. Kui riigi eesmärk on parandada IKÜM-i tõhusat täitmist ja võimaldada järelevalveasutusel kohaldada sarnastes määrades trahve teiste Euroopa Liidu liikmesriikide andmekaitse järelevalveasutustega, tuleks lisaks seaduse muutmisele eraldada AKI-le ka senisest suuremad vahendid efektiivseks tegutsemiseks.

Tuleviku ennustamine on tänamatu töö, kuid uutel seadusemuudatustel põhinev Inspektsiooni jõustamispraktika võib ilmselt tõsisemalt avalduda ja ettevõtetele märkimisväärset ning järjepidevat mõju avaldada teatud hilinemisega.