Autorid: Lee Laanemäe, õigusnõustaja ja Maili Torma, andmekaitse spetsialist (CIPP/E, CIPM, ISO27001 juhtivaudiitor)
Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni, millega oleks edaspidi võimalik tõhusamalt reageerida nii finants-, konkurentsi- kui ka andmekaitseõiguse rikkumistele. Haldustrahviõigusega kavandatakse Eesti õiguskorda uus haldussanktsiooni liik, mis on ette nähtud Euroopa Liidu õiguses rahalise karistuse – haldustrahvi – ülevõtmiseks.[1]
Miks muudatusi tehakse?
Euroopa Parlament ja Nõukogu on erinevates valdkondades – eelkõige konkurentsiõiguses, finantsõiguses ja andmekaitses – võtnud vastu mitmeid õigustloovaid akte, milles on liikmesriikidele ette nähtud kohustus sätestada neis valdkondades teatud nõuete rikkumise eest trahve ja haldusmeetmeid. Eestis on sellised õigusrikkumised olnud sätestatud süütegudena ja enamjaolt on neid menetletud väärteomenetlustes. Küll aga ulatuvad Euroopa Liidu õigusaktides sätestatud trahvimäärad kümnetesse miljonitesse, mis tähendab, et Eestis ette nähtud karistused konkurentsi- või finantsvallas või andmekaitses toime pandud väärtegude eest ei ole enam piisavad.
Eesti järelevalveasutused on tähelepanu juhtinud nt probleemidele juriidiliste isikute vastutusele võtmisega, tõendite ülekandmisega riikliku järelevalve menetlusest väärteomenetlusse jms. Selleks, et Eesti suudaks täita Euroopa Liidu õigusest tulenevat kohustust, otsustaski justiitsministeerium koostada seaduseelnõu, millega võimaldatakse selliste trahvide kohaldamist haldusmenetluses.[2]
Haldustrahvimenetluses järgitakse üldiseid haldusmenetluse põhimõtteid, mida täiendavad haldustrahvi seaduses kehtestatavad erisused. Haldustrahvimenetluse võib algatada haldusorgan kas iseseisva haldusmenetlusena või ka riikliku järelevalve menetluse käigus. Haldustrahvi on võimalik vaidlustada halduskohtus.[3]
Milliseid muudatusi plaanitakse?
Eesti õiguses luuakse uus haldussanktsiooni liik, milleks on haldustrahv. Seda kohaldatakse seaduses ettenähtud juhul kindlate rikkumiste eest ning trahvimäär võib olla võrdlemisi suur, olles võrreldav ka süüteo eest ettenähtud karistusega või isegi suurem. Üldreeglina on haldustrahv ette nähtud juriidilise isiku õigusrikkumise eest, kui just eriseaduses ei ole selgelt sätestatud, et haldustrahvi võib määrata ka füüsilisele isikule. Põhjus on lihtne – üldjuhul on rikkumised, mille eest haldustrahv ette nähakse just sellised, mille panevad toime juriidilised isikud oma majandustegevuses. Lisaks on trahvimäärad füüsiliste isikute jaoks ka liialt suured. Küll aga on mitmed juhud, kui ka füüsilisele isikule on võimalik haldustrahvi kohaldada – nt isikuandmete töötlemise nõuete rikkumine vastutava või volitatud töötleja poolt.[4]
Haldustrahv määratakse juhul, kui selleks on vastavad eeldused täidetud. Rikkuja peab süüliselt rikkumise eest vastutama ning haldustrahv peab olema rikkumist ja isiku käitumist arvestades proportsionaalne. Haldustrahvi määramise otsus on menetleja kaalutlusotsus, mis tähendab seda, et isegi kui kõik eeldused trahvi määramiseks on täidetud, ei pea menetleja trahvi määrama, kui ta leiab, et see ei ole otstarbekas. Trahvi määramisel võetakse muu hulgas arvesse nt rikkumise raskusastet ja kestust, rikkumise toime pannud isiku vastutuse ulatust ja süüd ning ka tema finantsseisundit. Haldustrahvi otsus peab olema kirjalik ning põhjendatud.[5]
Miks on haldustrahvi tegemise võimekus hea?
Haldustrahvi tegemine peaks halduskohtute koormust suurendama, kuid siiski lihtsustuks ka kohtunike töö, kuna tõendite ristkasutamine ja kohtuvaidlused on lihtsamad, kui kõik toimub samas menetlusliigis (haldusmenetluses). Ettevõtjate seaduskuulekus ja soov vältida rikkumisi paraneb ilmselt samuti jõudsalt, sest haldustrahvi määrad on suuremad kui seni väärteomenetlustes määratud trahvid. Lisaks muutub trahvi tegemine lihtsamaks ja kiiremaks. See kõik peaks vähendama ka järelevalveasutuste koormust.[6]
Charloti ja Swedbanki juhtumid
2019. aasta juuli alguses tuli avalikuks, et Eestis, Lätis ja Leedus tegutsev veebipood Charlot OÜ oli hoolimatusest lekitanud kogu oma kliendiandmebaasi. Ühtekokku lekkisid 14 000 kliendi ees- ja perenimed, telefoninumbrid, meiliaadressid, e-poes kasutatud paroolid, aadressid ning teatud juhtudel ka isikukoodid. Kui lekke avastaja teavitas poe omanikku, siis esialgu eitas poe omanik, et mingi leke oli toimunud, mille peale lekke avastaja teavitas nii CERT.ee-d kui ka andmekaitseinspektsiooni (AKI).[7] Kuna AKI on avalikult tunnistanud, et neil puudub huvi kohtumenetlustega tegeleda, siis kehtiva seadusandluse alusel on ebatõenäoline, et isikuandmete turvalise töötlemise põhimõtteid jämedalt rikkunud ettevõttele rahaline trahv määratakse. Haldustrahvi kontseptsiooni vastuvõtmisel saaks AKI trahvi määrata ilma kohtuta.
Teine näide on Swedbank, kellele Finantsinspektsioon tegi ettekirjutuse, millega kohustati panka võtma kasutusele meetmeid, mis parandaksid rahapesu vastu võitlemise kontrollsüsteeme[8]. Rootsi Finantsinspektsioon viis läbi ka enda järelevalvemenetluse, mille käigus selgus, et Swedbank AB ei olnud Balti riikide tütarettevõtetes rahapesu vastu võitlemise meetmete rakendamist täiel määral kontrollinud ega juhtinud. Lisaks selgus, et Swedbank AB ei täitnud rahapesu vastu võitlemise nõudeid ka Rootsis. Selle järelevalvemenetluse tulemusel otsustas Rootsi Finantsinspektsioon teha Swedbank AB-le hoiatuse ning lisaks määrati üsnagi suur trahv – koguni neli miljardit Rootsi krooni[9].
Kuigi kontseptsioonis ei ole veel täpselt defineeritud, kes hakkavad haldustrahve määrama, siis suure tõenäosusega ei looda trahvide määramiseks ja menetlemiseks uut ametit ja praegused sektori järelevaatajad AKI, Finantsinspektsioon ja Konkurentsiamet saavad õiguse määrata haldustrahve juriidilistele isikutele ning ei pea enam kulukat kohtuteed ette võtma.
