Andmekaitse

Andmekaitse õiguslik reguleerimine Eestis on kooskõlas asjakohase Euroopa Liidu ja rahvusvahelise õigusega. EL-i õigus on rakendatud täies ulatuses ja silmnähtavaid puudujääke seda ala reguleerivas eesti õiguses ei ole. See ala on peamiselt kaitstud isikuandmete kaitse seadusega (edaspidi IKS),[1] kuigi sama õigus on kehtestatud ka Eesti Vabariigi põhiseaduses.[2] IKS rakendab direktiivi 95/46/EÜ[3] täies ulatuses, alates selle muudatusest aastal 2008.

Andmekaitse Inspektsioon

Eesti Andmekaitse Inspektsioon (edaspidi AKI) loodi IKS-ga ja see toimib iseseisva institutsioonina Justiitsministeeriumi pädevusalas. AKI-d peetakse üldiselt suhteliselt proaktiivseks iseseisvalt kaebuste algatamisel ja avalikkuse teadlikkuse tõstmisel institutsiooni ja admekaitse õiguste teemal üldiselt. Viimane on eriti oluline, kuna avalikkuse teadlikkus andmekaitseõiguste ja -põhimõtete teemal on äärmiselt madal. Ainus uurimus sel teemal viidi läbi 2006. aastal ja see näitas andmekaitse regulatsiooni madalat teadlikkust nii laiema avalikkuse kui andmete töötlejate endi hulgas.

Hoolimata sellest, et andmekaitseõigus on heal tasemel ja puuduvad ilmsed puudujäägid, on ometi teemasid, mida tuleks käsitleda põhjalikumalt. AKI struktuuri ja juhtimisega seondub mitmeid probleeme. Esiteks, selle institutsiooni eelarve kiidab heaks ja parandab ning selle täitmist hindab justiitsminister. Teiseks, peadirektor määratakse ametisse viieks aastaks; ametisse nimetajaks on valitsus, kes toimib justiitsministri soovituse kohaselt. Kolmandaks, AKI pädevusala ei piirdu andmekaitsega, AKI teostab ka avaliku teabe seaduse järelvalvet, mis lubab juurdepääsu avalikule informatsioonile.[4]

See, et eelarve allub justiitsministeeriumi kontrollile, on murettekitav, kuna seda seost võidakse kasutada vahendina AKI mõjutamiseks. Kui valitsus kasutab seda meetodit AKIle kaudselt mõju avaldamiseks, võib see tõsiselt mõjutada AKI võimet tegutseda iseseisva institutsioonina.

Peadirektori ametissemääramisel on valikuprotsess täielikult justiitsministeeriumi ja valitsuse käes. Esiteks, on selle läbipaistvus küsitav, kuna seda teostatakse täielikult asutusesiseselt. Teiseks, asjaolu, et valik on valitsuse kätes välise järelevalveta, võib ohtu seada institutsiooni edasise iseseisvuse ja erapooletuse. Näiteks võib tuua uue AKI juhi ametisse nimetamise 2008. aastal, kus ühena mitmest kandidaadile esitatavatest nõuetest avalikul konkursil oli “riigi huvidest lähtuv orienteeritus”.

AKI-l on kahetine pädevus: tegeletakse nii andmekaitsega kui juurdepääsuga avalikule informatsioonile. See tähendab, et üks institutsioon tegeleb kahe sisuliselt erineva valdkonnaga, mis võivad ka vastuolla sattuda. Üks institutsioon, millel on üks eelarve, töötajaskond ja piiratud vahendid, tegeleb kahe vastandliku õigusega, mistõttu tekib küsimus, kas mitte üht õigust teisele ei eelistata ning mis ulatuses võivad kannatada andmekaitse funktsioonid. Seda ohtu suurendavad kaks eelnevat küsimust valitsuse mõju kohta AKI üle.

Nagu eelnevalt mainitud, on AKI üritanud tegeleda avalikkuse teadlikkuse tõstmisega andmekaitseõiguste ja -põhimõtete teemal. Sellegipoolest peab mainima, et ei ole tehtud laiaulatuslikke kampaaniaid. Peamiselt on AKI selle eesmärgi saavutamiseks pidanud iga-aastaseid konverentse rahvusvahelisel isikuandmete kaitse päeval. Kuigi see on samm õiges suunas, tõmbavad sellised konverentsid tõenäolisemalt ligi inimesi, kes niigi andmekaitse vastu huvi tunnevad, mitte aga laiemat avalikkust. Kokkuvõtteks, tulevikus tuleks kasutusele võtta tõsisemad ja laiaulatuslikumad meetmed, et üldsuse teadlikkust kasvatada.

Sanktsioonid, kompensatsioonid ja juriidilised tagajärjed

Eesti õiguses on andmekaitse rikkumisele võimalik määrata kas kriminaal- (vastavalt karistusseadustikule)[5] või haldussanktsioone (vastavalt IKS-le). IKS-st lähtuvad maksimumtrahvid juriidiliste isikute poolt korda saadetud isiklike andmete menetlemise reeglite rikkumise eest on 2007. aastast suurenenud kümmekordselt. See peaks toimima mõjusa vahendina ettevõtetele, mis andmekaitse reegleid rikuvad.

Praktikas on AKI sanktsioone kehtestanud üsnagi vastumeelselt, mis avaldub osaliselt ka madalates trahvisummades. Tundub, et inspektsioon on eelistanud andmete menetleja karistamisele lähenemist, mille tulemusel andmete menetleja saaks reeglid selgeks ja edaspidi järgib neid. AKIle kaebuse esitamine on tasuta: see peaks julgustama isikuid avaldusi esitama. Ainus ilmne puudus on see, et peale kaebuse esitamist ei ole kaebuse esitajal enam mõju menetlusprotsessi üle.

Andmekaitsereeglite rikkumisega seotud kriminaalsanktsioonide küsimuses tekitavad muret kaks aspekti. Esiteks on politseiametnike kompetents sellel alal küsitav ja see paneb seaduse tulemusliku kohaldamise kahtluse alla. Teiseks võimaldavad sätted laia tõlgendamist, mis eelneva kohtupraktika puudumisel teeb keeruliseks kohustuste täitmise. Kohtupraktika üleüldine puudumine andmekaitse alal muudab keeruliseks prognoosimise, kas kohtud määravad hüvitisi, eriti mittemateriaalse kahju eest. Eesti kohtud on osutunud tõrksaks mittemateriaalse kahju eest hüvitiste määramisel kõiksuguste nõuete puhul ning see on murettekitav.


[1] Isikuandmete kaitse seadus (RT I 2007, 24, 127; RT I 2007, 68, 421).

[2] Eesti Vabariigi põhiseadus (RT 1992, 26, 349; RT I 2007, 33, 210), §42 ja 44.

[3] Euroopa Parlamendi ja nõukogu direktiiv 95/46/EÜ, 24. oktoober 1995, üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta.

[4] Avaliku teabe seadus (RT I 2000, 92, 597; RT I 2009, 63, 408), §44.

[5] Karistusseadustik (RT I 2001, 61, 364; RT I 2010, 8, 34).