Täna jõustuv karistusseadustiku muudatus lubab ka Eesti väärteomenetluses kasutada Euroopa Liidu õigusest pärit haldustrahve, mis tähendab senisest oluliselt suuremaid rahatrahve eeskätt finantssektoris ja andmekaitses.
Kuigi trahvide maksimummäärad tõusevad mitmekordseks, ei hakka Eesti ettevõtteid tõenäoliselt tabama n-ö miljonitrahvid, prognoosib Eesti Advokatuuri intellektuaalse omandi ja IT-õiguse komisjon advokatuuri blogis avaldatud analüüsis. „Kõik Euroopa Liidu isikuandmete kaitse üldmääruse (GDPR) alusel määratud karistused peavad olema õiglased ja proportsionaalsed,“ rõhutab komisjon analüüsis. „Ühegi trahvi eesmärk ei saa olla ettevõtte pankrotistamine.“
Seadusemuudatus sai vajalikuks, kuna Eesti õiguses puudub GDPR-is kasutatav ja Euroopa riikides levinud haldustrahvi mõiste. Seetõttu tekkis vastuolu, kus GDPR-i põhjal kehtestatud isikuandmete kaitse seadus sätestas küll GDPR-ile vastavad väärteokoosseisud ja trahvimäärad ehk 20 miljonit eurot või 4% globaalsest käibest, kuid neile kohalduv karistusseadustik piiras juriidilise isiku trahvid maksimaalselt 400 000 euroga.
„Kohtud pole tekkinud ebaselgusele hinnangut andnud, lisaks valmistas isikuandmeid puudutavate rikkumiste menetlemine puhtalt väärteo normide järgi mitmeid praktilisi probleeme,“ tõdeb komisjon uusi trahvimäärasid käsitlevas artiklis. Teisisõnu, karistusseadustik osutus komisjoni hinnangul isikuandmete tõhusal kaitsmisel hambutuks.
Täna jõustunud seadusemuudatused lubavad trahvida juriidilist isikut andmekaitsealaste rikkumiste eest GDPR-i määrade järgi ehk kuni 20 miljoni euroga või nelja protsendiga eelmise majandusaasta ülemaailmsest kogukäibest, sõltuvalt sellest, kumb summa on suurem. Seadusemuudatus täiendab ka seni kehtinud väärteo vastutuse aluseid, näiteks pole teatud juhtudel vaja taandada vastutust füüsilisele isikule. Isikuandmete rikkumisega seotud väärtegude aegumistähtaega pikendatakse kahelt aastalt kolmele.
Advokatuuri komisjon rõhutas blogis, et karistuste karmistamine ei kehti tagantjärele, karmistunud sätete alusel saab isikut vastutusele võtta ainult selliste rikkumiste eest, mis on toime pandud või jätkunud pärast tänast kuupäeva.
„Andmekaitse Inspektsioon on GDPR-i rakendamisel olnud seni pigem leebe, rikkujast ettevõtteid karistamise asemel võimalusel pigem nõustades ja juhendades,“ tõdeb komisjon. Märkimisväärsemad karistused pärinevad meditsiinisektorist, kui 2020. aastal määrati 100 000 eurone sunniraha kolmele apteegiketile, kes võimaldasid kõrvalistel isikutel näha e-apteegis isikukoodi järgi inimese kehtivaid retsepte ilma inimese nõusolekuta. Tänavu kevadel määras inspektsioon 200 000 euro suuruse trahvi isikuandmete töötlemisel väidetavalt turvanõudeid rikkunud Ida-Tallinna Keskhaiglale, kuna patsientide haiguslugusid hoiustati valveta ehituskonteineris. Esimese astme kohus on trahvi tühistanud, kuid otsus pole praeguseks jõustunud.
Eesti Advokatuuri intellektuaalse omandi ja IT-õiguse komisjon osaleb seadusandja partnerina õigusloomes, nõustab advokatuuri juhatust intellektuaalomandi ja IT-õiguse vallas ja töötab ka valdkonna oluliste teemade avalikkusele selgitamiseks.