Vandeadvokaat: justiitsministeerium levitab andmekaitse üldmääruse trahvide kohta valeinfot
Kuniks uus isikuandmete kaitse seaduse eelnõu vastu võetakse, ei ole Eesti Vabariigis ühtegi asutust ega organit, kellel oleks seadusest tulenev pädevus teostada isikuandmete kaitse üldmääruse (GDPR) nõuete täitmise üle järelevalvet ja määrata üldmäärusega ette nähtud trahve.
Justiitsministeerium avaldas eile Äripäevas seisukohta, et Andmekaitse Inspektsioonil on praegu olemas kõik volitused ja pädevused selleks, et määrata 25. mail jõustunud Euroopa Liidu isikuandmete kaitse üldmääruse alusel trahve, sealhulgas asjakohasel juhul kuni 20 miljonit eurot. Ministeerium tõrjus andmekaitseõiguse praktikute seisukohta, mille kohaselt takistab uue Eesti isikuandmete kaitse seaduse eelnõu jõustumise viivitus trahvide määramist, kuna samas eelnõus sisalduvad ka inspektsioonile järelevalvet ja karistuste määramist võimaldavad pädevusnormid. Ministeerium leidis vastukaaluks, et isikuandmete kaitse määrus on otsekohalduv, mis tähendavat, et määruse nõuete rikkumise eest ettenähtud trahvide määramise kohustus tuleneb määrusest.
Ministeeriumi seisukoht on ebaõige. Seejuures on kummastav, et ministeerium peab põhjendatuks eirata Eesti Vabariigi põhiseadusest tulenevat seaduslikkuse põhimõtet, mille eest peaks ministeerium nagu ka iga teine riigiasutus seisma.
Põhiseadusest tuleneb, et riigivõimu teostatakse üksnes põhiseaduse ja sellega kooskõlas olevate seaduste alusel. Seda nimetatakse seaduslikkuse põhimõtteks. Üheks seaduslikkuse põhimõtte lahutamatuks osaks on see, et riigiasutus täidab üksnes selliseid ülesandeid ja rakendab seejuures vaid selliseid võimuvolitusi (sealhulgas haldussundi ja repressiivvõimu volitusi), mis on sellisele asutusele seadusega ette nähtud.
Et jutt kuivaks ei jääks, võtame konkreetse näite. Tarbijakaitseseaduse § 61 lg 1 näeb ette, et riiklikku järelevalvet tarbijakaitseseaduse ja teiste õigusaktide alusel tarbijale antud õiguste tagamise üle teostab Tarbijakaitseamet. Sama seaduse § 75 näeb ette tarbijakaitseseaduses sätestatud väärtegude kohtuvälised menetlejad, kelle hulka kuulub samuti Tarbijakaitseamet. Nimetatud normid annavad seega Tarbijakaitseametile õiguse teostada järelevalvet ja määrata teatud kindlate väärtegude eest trahve.
Kuidas on lood isikuandmete kaitse seadusega?
Ministeeriumi arvates on hetkel veel kehtiv isikuandmete kaitse seadus (ehk nn vana IKS) kehtiv selles ulatuses, milles ta ei ole vastuolus üldmäärusega. Vana IKS ja üldmäärus andvatki andmekaitse inspektsioonile pädevuse trahve määrata.
Mida aga ütleb vana IKS ehk veel täna kehtiv seadus?
Selle § 32 lg 1 sätestab, et käesolevas seaduses ja selle alusel kehtestatud õigusaktides sätestatud nõuete täitmise üle teostab riiklikku ja haldusjärelevalvet Andmekaitse Inspektsioon. Seaduse § 44 sätestab inspektsiooni kohtuvälise menetleja pädevuse üksnes selles seaduses sätestatud väärtegude osas. Kehtivas seaduses ei ole sõnagi üldmäärusest ega selles sätestatud trahvidest. Järeldus on ühene: seaduslikkuse põhimõttest tulenevalt puudub inspektsioonil õigus teostada järelevalvet üldmääruse täitmise üle ja määrata üldmäärusega sätestatud trahve.
Üldmääruse pädevus nähaksegi inspektsioonile ette just uue isikuandmete kaitse seaduse eelnõuga, mille vastuvõtmine juunikuus asetleidnud ajakirjandusvabaduse poliitfiasko tõttu edasi lükkus.
Eelnõus sätestatakse selgelt, et käesolevas seaduses ja selle alusel kehtestatud õigusaktides, Euroopa Parlamendi ja nõukogu määruses (EL) nr 2016/679 sätestatud nõuete ning muudes seadustes isikuandmete töötlemisele kehtestatud nõuete täitmise üle teostab riiklikku ja haldusjärelevalvet Andmekaitse Inspektsioon (eelnõu § 55 lg 1). Eelnõu kuues peatükk võtab üle üldmäärusest tuntud trahvid ja näeb ühtlasi ette, et nende kohtuväline menetleja on Andmekaitse Inspektsioon.
Seega on ilmne, et üldmäärusega ette nähtud hiigeltrahvid peavad oma aega veel ootama, kuniks jõustub vastavaid pädevusnorme sisaldav siseriiklik seadus. Üldmäärus on küll otsekohalduv ja andmetöötlejad on kohustatud selle nõudeid täitma, kuid ilma, et kehtiksid sunni- ja sanktsiooninormide kohaldamist sätestavad pädevusnormid, ei saa ükski siseriiklik asutus astuda põhiseadusega ette nähtud seaduslikkuse põhimõttest kõrgemale ja asuda sundi ning sanktsioone omaalgatuslikult kohaldama. Sellega oleks otseselt ohustatud demokraatia ja õigusriigi põhimõtted.
Ühelt poolt on see teatav leevendus andmetöötlejatele, kuid teisalt rikub Eesti riik iga päevaga, mil uue seaduse vastuvõtmine viibib, Euroopa Liidu õiguse tõhusa rakendamise kohustust, millega võivad kaasneda liidupoolsed trahvid Eesti riigile.
Jääb loota, et seadus võetakse juba lähiajal vastu.
