Eesti Advokatuuri intellektuaalse omandi- ja IT-õiguse komisjon
Isikuandmete rikkumisega seotud rahatrahvide eest on Eesti ettevõtted ja asutused siiani kerge vaevaga pääsenud, kuid juba novembrist jõustuvate seadusemuudatustega võib see üsna pea muutuda
Käesoleva aasta 1. novembril jõustub karistusseadustiku muutmise ja sellega seonduvalt teiste seaduste muutmise seadus, mida tuntakse ka kui Euroopa Liidu õigusest tulenevate rahatrahvide eelnõu. Selle eesmärgiks on võimaldada Euroopa Liidu õigusega sätestatud haldustrahvide kohaldamist Eestis toimetatavas väärteomenetluses. Seadusega täiendatakse karistusseadustikku (KarS) selliselt, et see võimaldaks täita Euroopa Liidu õiguses sätestatud nõudeid ja kohaldada konkreetsetes valdkondades (eelkõige finantssektor ja andmekaitse) senisest oluliselt suuremaid rahatrahve.
Haldustrahvide regulatsiooni vajadus tekkis muuhulgas isikuandmete kaitse üldmääruse (IKÜM) tõhusama rakendamise elluviimiseks. Kui pärast IKÜM-i jõustumist 2018.a. said peaaegu kõik Euroopa Liidu liikmesriigid asuda IKÜM-i alusel haldustrahve määrama, siis Eesti ja Taani õigussüsteem ei võimaldanud IKÜM-i alusel trahve määrata. Põhjus seisnes selles, et Eesti ja Taani õigussüsteemis puudus haldustrahvi õiguslik kontseptsioon. Teistes Euroopa Liidu liikmesriikides on haldustrahvid juba pikemat aega levinud. Ükski kehtiv Eesti seadus aga haldustrahvi kohaldamise võimalust ei sätestanud.
Senine karistusõiguse regulatsioon on osutunud hambutuks
Esiteks, IKÜM-i jõustumisel Eestis vastu võetud isikuandmete kaitse seadusega (IKS) sätestati küll IKÜM-i haldustrahvide maksimummääradele vastavad väärteokoosseisud (20 miljonit eurot või neli protsenti käibest), kuid nendele kohalduv KarS üldosa nägi maksimaalse rahatrahvi karistusena juriidilisele isikule ette 400 000-eurose trahvilae. Pinge viidatud KarS üldosa sätte ning IKS-i rakendussätetetega üle võetud IKÜM-i trahvide vahel on olnud senini ebaselge lahendusega. Eesti kohtud ei ole IKÜM-i veidi enam kui selle 5-aastase kohaldamise perioodi jooksul vastava pinge osas oma seisukohta andnud. Igal juhul tuleks süüteomenetluses selliseid õigusaktide lahknevusi tõlgendada potentsiaalse rikkuja kui menetlusaluse isiku kasuks.
Teiseks, praktikas valmistas raskusi tavapäraste väärteomenetluse normide kohaldamise nõue, sh probleemid juriidilise isiku vastutuse avamisega konkreetse teo toime pannud ja kindlatele tunnustele vastava füüsilise isiku või isikute kaudu.
Kolmandaks esines probleem seoses väärtegude kiire aegumisega.
Seadusemuudatused toovad kaasa pikema aegumistähtaja ja võimaluse määrata suuremaid trahve
Seadusemuudatused võimaldavad juriidilisele isikule määrata andmekaitsealaste rikkumiste eest trahvi, lähtudes IKÜM-ist tulenevatest ülemmääradest, s.o. karistada rikkujat rahatrahviga kuni 20 miljon eurot või kuni neli protsenti tema eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.
Seaduses säilitatakse tänased väärteo vastutuse alused, kuid neid täiendatakse. Teatud juhtudel ei ole vajalik järgida ranget füüsilise isiku kaudu tuletatud vastutust ning juriidiline isik võib vastutada ka siis, kui vahetult tegutsenud isikut ei õnnestu tuvastada või ei ole muul põhjusel võimalik ühtki füüsilist isikut vastutusele võtta, näiteks juriidilise isiku puuduliku töökorralduse või järelevalve tõttu. See kahtlemata lihtsustab andmekaitse rikkumistega seotud väärteomenetluste läbiviimist ja karistuste määramist.
Isikuandmete rikkumistega seotud väärtegude aegumistähtaega pikendatakse kahelt aastalt kolmele, mis avardab Andmekaitse Inspektsiooni (AKI või Inspektsioon) võimalusi väärtegusid tõhusamalt menetleda ja asjakohaseid trahve määrata.
Oluline on, et seaduse tagasiulatuva jõu keelu printsiibist tulenevalt on eelviidatud seadusemuudatuste alusel võimalik väärteo eest isikut vastutusele võtta üksnes selliste andmekaitsenõuete rikkumiste eest, mis on toime pandud alates käesoleva aasta 1. novembrist, või mis on jätkunud alates eelviidatud kuupäevast.
Inspektsioonine senine lähenemine on olnud nn „turgu hariv“
AKI praktika IKÜM-i rakendamisel on seni olnud pigem leebe kui karm. Inspektsioon on võtnud lähenemise, mille kohaselt soovitakse ettevõtteid ja asutusi andmekaitsenõuete rikkumiste korral eeskätt nõustada ja juhendada, mitte karistada.
Rikkumiste korral on Inspektsioon tüüpjuhul võimaliku trahvi või sunniraha kohaldamise eest hoiatanud ning suunanud rikkujat õiguspäraselt tegutsema. Märkimisväärsemad juhtumid Inspektsiooni praktikast pärinevad 2020.a. sügisest ning tänavu kevadest.
AKI määras 2020.a. novembris 100 000 euro suuruse sunniraha ettekirjutus-hoiatuse kolmele apteegiketile, mis võimaldasid oma e-apteegis teise inimese isikukoodi teades vaadata tema kehtivaid retsepte ilma, et retseptiomanik oleks andnud selleks nõusoleku.
