Viimase pooleteise aasta jooksul on Eesti riigiasutused, sealhulgas Politsei- ja Piirivalveamet, Maksu- ja Tolliamet ning Rahapesu Andmebüroo, esitanud pankadele kümneid tuhandeid päringuid kodanike ja ettevõtete kontode kohta, sealhulgas nõudnud ka tehingute väljavõtteid. Kõik see toimus täitemenetlusregistri kaudu – see on süsteem, millel puudub kinnitatud reglement ja nõuetekohane kontroll. Õiguskantsler Ülle Madise on teatanud, et mitmel juhul pääseti pangainfole ligi ilma seadusliku aluseta. Mis see täpsemalt on – seaduse puudujääk, süsteemne tõrge või volituste laiendamine ilma kooskõlastuseta – seda uuris MK-Estonia.
Skandaal klientide pangatehingute andmetele ligipääsemise üle on Eestis viimaste nädalate üks kõige rohkem kõneainet pakkuvamaid teemasid. Kümnete tuhandete päringute tegemine kodanike ja ettevõtete kontodele, registri kasutamise kinnitatud korra puudumine, väited võimalikest seaduse- ja inimõiguste rikkumistest – kõik see on tekitanud ägedat ühiskondlikku ja poliitilist vastukaja.
Tekkisid kahtlused
Õiguskantsleri büroo esindaja Janar Filippov selgitab, et kontrolli algatamise ajendiks sai kahtlus, et täitmisregistri kaudu saavad riigiasutused ilma Riigikogu loata juurde pangakontode väljavõtetele. Büroo tegi kahtluse kontrollimiseks selgeks kõik asutused, kes üle täitmisregistri neid andmeid kätte saavad, ning kas neil, kes andmetele juurde saavad, on selleks seaduses selge alus.
Filippovi sõnul näitas analüüs, et kuritegude uurimiseks ja jälitusasutustele on Riigikogu seadusega selle loa andnud. Kuid näiteks Rahapesu Andmebüroo (RAB) puhul aga osutus õiguslik alus palju ebaselgemaks.
Büroo pööras erilist tähelepanu registri kasutamise välise järelevalve küsimusele.
„Välist järelevalvet sisuliselt ei ole,” tõdeb Filippov. „Ministeerium ega RIK ei kontrolli, kas seaduslik alus on üldse olemas ega seda, kas juhul, kui seaduslik alus on olemas, on konkreetne päring õigustatud. Võimalik, et kolmandana nimetatud kontrolli -asutus, kes põhimõtteliselt tohib andmeid saada, seda õigust alati õigesti kasutab- teeb asutus osaliselt ise. Vajalik on siiski ka süsteemne väliskontroll.”
Ta juhtis tähelepanu ka järgmisele aspektile: kui inimese konto väljavõte (st info kõikidest ülekannetest, laekumistest, kaardimaksetest) on saadud vastava seadusliku aluseta ja kontrollita, on see iseenesest tõsine probleem.
„Inimesed, kes seda väga tundlikku infot nägid, ei tohtinud seda näha ega kasutada,” rõhutas ta.
Mis puudutab võimalikku põhiseaduslikkuse järelevalvet, siis Filippov selgitas, et see on vajalik siis, kui Riigikogu peaks nõustuma RAB tõlgendusega (mille kohaselt saab õiguse pangakonto väljavõttega tutvumiseks tuletada kaude, sätetest, mis üldse ei ole mõeldud andmete kasutamise eesmärke ega viise reguleerima).
„Selline tõlgendus on meie hinnangul õiguslikult absurdne, aga kui see loetakse võimalikuks, tuleb seesuguse tõlgenduse aluseks olevad sätted vaidlustada,” konstateerib Filippov.
Politsei: „Me ei vaata niisama“
Keskkriminaalpolitsei juht Leho Lauri sõnul on pangaandmed kriminaalpolitseile vajalikud. Neid kasutatakse kuritegude uurimisel tõendite kogumiseks. Eriti majanduskuritegude, korruptsiooni, kelmuste ja rahapesu puhul.
„Nendes juhtumites on see üks tähtsamaid tõendeid,“ rõhutab ta. „Me otsime kahtlase ja kuritegelikul teel saadud raha liikumist.“
Nagu Laur selgitab, saadab politsei päringu pangaandmete saamiseks täitmisregistri kaudu, kuna tegemist on sisuliselt elektroonilise suhtluskanaliga krediidiasutuste ja politsei vahel. „Me saame teha pangale päringu kontrollimaks kas inimesel on konto või küsida selle väljavõtet,“ täpsustab ta.
Laur toob välja statistika: politsei küsib pankadelt täitmisregistri kaudu andmeid ca 7% kõikidest kriminaalmenetlustest. Eelmisel aastal tegid uurijad pangapäringuid seoses ca 2200 kriminaalmenetlusega, kuritegusid registreeriti samal ajal üle 28 000.
Ta juhib tähelepanu, et üks päring võib sisaldada mitut asja, näiteks kas inimesel üldse on pangas konto, mis on konto saldo ja konto väljavõtet, siis kõik need kirjed kajastuvad statistikas eraldi päringuna.
Nagu Laur märgib, sätestab Euroopa Parlamendi ja Nõukogu direktiiv üldised tingimused sellele, milliseid andmeid õiguskaitseasutused pangalt kaudu saavad küsida. PPA lähtub päringute tegemisel kriminaalmenetluse seadustikust ja krediidiasutuste seadusest.
„Päringuid teeb PPA ainult seoses kriminaalmenetluse ja rahvusvahelise õigusabiga,“ rõhutab ta.
Laur lisab, et PPAs on olemas täitmisregistri kasutusjuhend, mis selgitab üldise korra ja kasutustingimused.
„Õigus päringuid teha on vaid kriminaalmenetlusega tegelevatel ametnikel,“ võtab Laur kokku.
„Oleme tegutsenud seaduse piires“
Portaali Postimees andmetel, tuvastas Õiguskantsleri Kantselei laekunud kaebusi menetledes, et Rahapesu Andmebüroo (RAB) küsis pankadelt kontoväljavõtteid täitmisregistri kaudu, kuigi kehtiv seadusandlus sellist protseduuri otseselt ette ei näe.
Filippovi sõnul on bürool praegu õigus saada vaid infot konto avamise aja ja selle tegeliku omaniku kohta.
RAB sellise tõlgendusega ei nõustu. Nagu selgitab ameti kommunikatsioonijuht Õnne Mets, ei ei ole Õiguskantsler kahtluse alla seadnud RABi õigust küsida pangakonto väljavõtteid. Tema sõnul seisnes küsimus teabe küsimise kanalis: „Tema seisukoht oli, et seadusandja ei ole sõnaselgelt nimetanud, et täitmisregistri kaudu tohib pangakontode väljavõtteid saada.“
RAB aga leiab, et registri selline kasutus oli õiguspärane, kuna seadusandja on sätestanud avatud loetelu andmepositsioonidest, mida saame oma seadusega pandud ülesannete täitmiseks küsida.
„RAB-i päringute õiguslik alus on sätestatud krediidiasutuste seadusega, mis annab RABile selge ja vaidlustamatu õiguse pääseda ligi pangasaladusele, sealhulgas pangakontodele, kui see on vajalik rahapesu või terrorismi rahastamise tõkestamiseks ning rahvusvahelise santsiooni seaduses sätestatud juhtudel,“ ütleb Mets.
Sellest hoolimata, kinnitab ta, lõpetas RAB pangakontode küsimise täitmisregistri kaudu 2. juulil. Kohe pärast seda, kui Ülle Madise oma arvamuse avaldas, peatas RAB pangakontode andmete küsimise täitmisregistri kaudu seniks, kuni on saavutatud täielik õigusselgus. See tähendab tagasipöördumist aeganõudvama praktika juurde, küsides andmeid välja e-kirja teel ja töödeldes vastuskirjadena saabuvaid faile käsitsi.
Metsa sõnul võimaldab see RABil oma mandaati täita, kuid ei ole rahapesu ja terrorismi rahastamise tõkestamisel selgelt sama efektiivne.
„Täitmisregistri näol oli tegemist kiirema ja turvatud X-teel põhineva lahendusega teabe vahetamiseks,“ rõhutab ta.
Mets kinnitab ka, et pangaandmetele ligipääs toimus eranditult rahapesu või terrorismi rahastamise kahtluste korral. Täitmisregistri kaudu tehti päringuid haldusmenetluse käigus, millest tulenevalt peab iga päring olema kirjalikult põhjendatud, kõik põhjendused on süsteemis talletatud.
Justiitsministeerium tunnistas eksimust
Selgitades seda, hakati täitemenetluste registrit rakendama enne selle aluseks oleva määruse kinnitamist, märgib Justiits- ja Digiministeeriumi asekantsler Mari-Liis Mikli: „Asutuste üldine õigus saada (otse küsides või seaduses määratud tehnilisi lahendusi kasutades) isikute pangakontode väljavõtteid tuleneb krediidiasutuse seadusest ja konkreetse asutuse tegevust reguleerivates seadustest (näiteks maksukorralduse seadus või kriminaalmenetluse seadustik).“
Tema sõnul oli süsteem esimeseks tehniliseks lahenduseks, üle mille said asutused üksikpäringuid (tuues ära aluse jms) neid päringuid teha, sai lahendus nimega e-arest (elektrooniline arestimissüsteem).
„Selleks võttis riigikogu 17.06.2020 vastu rahapesu ja terrorismi rahastamise tõkestamise seaduse muutmise, mille alusel anti 2020-2021 aastal liitumistaotluste esitajatele (PPA-le, KAPO-le, RAB-ile, VLA-le, MTAle) õigus kasutada päringute tegemiseks ühise infovahetuskanalina e-aresti,“ selgitab ta.
Seejärel jõustusid 01.01.2024 täitemenetluse seaduse muudatused, mis nägid ette e-aresti funktsiooni viimise täitmisregistri alla. Täitmisregister ise ei ole veel tänaseks lõplikult valmis arendatud, ent pärast arutelusid osapooltega ja vastavate tehniliste lahenduste loomist oli võimalik 2025.a veebruaris käivitada üks osa täitmisregistrist, ehk just see e-aresti kaudu pangapäringute tegemise funktsionaalsus.
„2020. ja 2021. aastal liitunud asutused kasutasid vastavalt neile eriseadustes antud õigusele päringute tegemiseks uut platvormi ja midagi seotud osapoolte sisulises tööprotsessis ei muutunud,“ rõhutab Mikli.
Peamine probleem oli tema sõnul selles, et üleminek e-arestilt täitmisregistri kasutamisele toimus ilma, et vastu oleks võetud täitmisregistri põhimäärus, kus oleks väga täpselt kirjas, milles on nõuded asutustel, kes varem tegid päringuid üle e-aresti ja alates sellest kuupäevast üle täitmisregistri.
„Oleme seda viga avalikult tunnistanud ja ministri tasemele Eesti rahva ees vabandanud ning sel nädalal kinnitas minister selle põhimääruse ka ära,“ lisab ta.
Mis puudutab vastutuse jaotamist, selgitab Mikli: e-arestiga liitumise üldtingimuste järgi pidi asutus liitumistaotluse esitama Registrite ja Infosüsteemide Keskusele (RIK), kes pidi saatma selle ministeeriumile liitumise otsustamiseks.
Pärast testimise läbimist anti taotlejale juurdepääs süsteemile kümne tööpäeva jooksul. Kõik avaldused ja kooskõlastused toimusid tema sõnul valdavalt e-kirja teel.
„Ministeeriumi tasandil käivitasime kõikide ministeeriumi haldusala andmekogude alused ära kontrollida. Seejuures kontrollime üle kõik asjaolud, mis puudutavad täitmisregistri kasutusse võtmist,“ ütleb Mikli.
Samas puudub tema sõnul Justiits- ja Digiministeeriumil õigus ja pädevus kontrollida teiste riigiasutuste sisekontrolli toimimist või näiteks ka üksikute kriminaalmenetluste raames tehtavate mis iganes päringut õiguspärasust.
„Õiguskantsler tegi oma pöördumises ettepaneku leida Eestis selline asutus, kes vastava pädevuse päringute üle järelevalve tegemiseks saab. See küsimus on ka nüüd arutlusel,“ järeldab ta.
Seadus oli, selgitusi mitte
Rahandusministeerium ei pea olukorda kriitiliseks. Rahandusministeeriumi rahandusteabe poliitika osakonna juhataja Rainer Osanik sõnul eeldab Rahandusministeerium, et riigiasutused küsivad pangakonto väljavõtteid üksnes selge põhjendatuse korral ja õiguslikul alusel.
Ta juhtis tähelepanu, et ametiasutustel on seadusest tulenev õigus saada nii pangasaladusega hõlmatud teavet kui ka pangakonto väljavõtteid.
„Meile teadaolevalt ei ole õiguskantsler leidnud, et kumbki neist asutustest oleks küsinud – sealhulgas täitmisregistri kaudu – teavet, milleks neil puuduks õiguslik alus või põhjendatud vajadus,“ rõhutab Osanik.
Tema sõnul jätkavad asutused ka edaspidi menetluste läbiviimisel vajaliku teabe küsimist pankadelt. Kuni täitmisregistri õiguslikud küsimused ei ole lahendatud, toimub teabevahetus pankadega kirjalikult, nagu see toimis aastaid enne registri kasutuselevõttu.
Samas rõhutab Rahandusministeerium, et digitaalses ühiskonnas on võimatu tagasi pöörduda aegunud praktikate juurde ning hakata andmepäringuid tegema posti või e-kirja teel ja neile siis käsitsi vastama.
Osaniku sõnul peab andmevahetus olema turvaline ning tagama, et andmetele ei pääseks ligi isikud, kellel puudub selleks õigus, ning et päringud tehakse vaid põhjendatud menetluse raames. Kõik sellised päringud peavad olema logitavad ja kontrollitavad.
Ministeerium ei pea hetkel vajalikuks muuta pangasaladuse regulatsiooni.
„Täitmisregistri kaudu tehtud automatiseeritud päringute probleem ei seisnenud mitte ligipääsu õiguslikus aluses, vaid selles, et päringute põhjused ei olnud süsteemis selgelt tuvastatavad.“
P.S. 9. juulil sulges justiits- ja digiminister Liisa-Ly Pakosta registrile ligipääsu, teatades, et nüüd peavad ametiasutused oma päringuid põhjendama.
Kommentaar
Katrin Haug, Andmekaitse Inspektsiooni esindaja
Hetkel on suurim mure selles, et täitmisregister on kasutusele võetud õigusaktides kehtestatud kordasid eirates. Tänaseks on teada, et vähemasti üks oluline puudus on kõrvaldatud – andmekogu põhimääruse kehtestamine. Täitmisregistri vastutav töötleja on Justiits- ja Digiministeerium, kuid registri osana loodud tehnilise võimaluse kasutamisel päringute tegemise osas on vastutav iga päringut tegev asutus.
Iga asutus peaks vaatama üle ka oma päringud, hindama nende õiguslikku alust ja vastavalt sellele tegutsema. Igas avaliku sektori asutuses peab olema määratud andmekaitsespetsialist, kelle roll on just selliseid sõltumatuid andmekaitseauditeid läbi viia.
Et selliseid olukordi vältida, peab iga ministeerium üle vaatama kogu oma valitsemisala andmekogud ja nende pidamist reguleerivad õigusaktid, et tagada nende vastavuse isikuandmete kaitse reeglitele ja pidamist reguleerivatele normidele, eelkõige seaduses olevad volitusnormid ja kas isikuandmete töötlus on arusaadav ja läbipaistev.
Andmekaitse inspektsioon algatas järelevalvemenetluse täitmisregistri üle.
Kommentaar
Simo Sepp, Coop Pank esindaja
Coop Pank on eArestiga olnud liidestatud alates 2018. aastast. Riik alustas oma nägemusest, sh õiguslikust keskkonnast lähtudes Täitmisregistri arendust ning pankadele jäi kohustus sellega konkreetseks tähtajaks liidestuda. Coop Pangal on liidestus Täitmisregistriga alates 19. veebruarist 2025.
Täitemenetluse seadustiku § 63 järgi on täitmisregister riigi infosüsteemi andmekogu ja infovahetuskanal, mille eesmärk on täitemenetluse andmete kogumine ja nendele andmetele juurdepääsu võimaldamine, võlgnike kontode arestimine ja arestide haldamine. Täitmisregistri kaudu peab krediidi- ja makseasutus infovahetuskanalina tagama päringute tegemise võimaluse tema valduses olevate andmete kohta. Andmete küsimine tuleneb seadusest tulenevate ülesannete täitmisest. Täitmisregistri vastutav töötleja on Justiits- ja Digiministeerium.
Rahapesu ja terrorismi rahastamise tõkestamise seaduse § 81 kehtestab krediidi- ja finantseerimisasutustele maksekonto teabe automatiseeritud edastamise kohustuslikkuse, mille kohaselt peab krediidi- ja finantseerimisasutus tagama täitmisregistri kaudu info kättesaadavuse isiku konto ja hoiulaeka kohta.
Pankadel on kohustus hoida pangasaladusena kõiki andmeid ja hinnanguid, mis klientide kohta on teada. Samal ajal on kõikidel krediidiasutustel kohustus avaldada pangasaladust ametiasutustele õigustatud päringu alusel.
Kõik päringud peavad vastama konkreetse asutuse või isiku tegevust reguleerivatele õigusaktidele. Krediidiasutus ei või omavoliliselt pangasaladuse infot jagada ega ka keelduda info jagamisest, kui selleks on seaduslik alus. Coop Pank ei teosta kontrolli päringute õiguspärasuse üle ning eeldab, et seaduses nimetatud päringu esitajal on selleks olemas korrektsed alused.
Kusjuures on pangal kohustus vastata täitmisregistri kaudu edastatud automatiseeritud päringutele. Kui päring tuleb väljaspoolt täitmisregistrit, vaatab Coop Pank päringu sisu ja õiguslikud alused üle vastavalt krediidiasutuste seaduse §-s 88 sätestatule.
Klientidele info andmine seoses riigiasutuste päringutega on seadusega piiratud ja hõlmab endas näiteks kriminaalmenetlusi, Rahapesu Andmebüroo ettekirjutusi jms.
Seda, kas ja mis ulatuses tuleb ja võib isikuid toimuvast menetlusest teavitada, saab hinnata riigiasutus ise tulenevalt uuritavast menetlusest.
Õiguskantsler on teinud ministrile ettepaneku sisulise järelevalve reguleerimiseks ja põhiõiguste piirangute selgeks sätestamiseks ehk registri kasutamise reeglite kehtestamiseks ning ootab riigiasutustelt vastust septembri lõpuks.
Kommentaar
Monika Kallas-Anton, SEB esindaja:
Pangal on kohustus alluda talle õigusaktiga kehtestatud riigi poolt juhitud protsessidele. See tähendab, et täitemenetluse registri läbi esitatud automaatsetele päringutele tuleb pangal vastata. Pangal ei ole seadustega antud õigust ega võimalust sekkuda uurimisasutuste protseduuridesse. Samuti ei pea pank kontrollima päringus toodud andmete õigsust või uurimisasutuste poolt toodud päringu aluseks oleva õigusliku aluse paikapidavust. Seega ei saa pank garanteerida küsitud andmete kasutamise eesmärgipärasust. Leiame, et erasektor ei saa asendada riiki andmete kasutamisele kaitsegarantiide andmises ning sellega seotud kontrollitegevustes. Tervitame positiivselt justiitsministri poolt ellu kutsutud riigipoolselt algatust seotud uurimisasutuse õiguslike aluste terviklikumaks ja sisulisemaks kontrolliks. Oleme alati valmis edasiseks dialoogiks, et toetada õigusriigile vastavate ja tehniliselt tasakaalustatud lahenduste leidmist.
Kommentaar
Kadri Kiisel, Eesti Pangaliidu juht
Õiguskantsler on oma märgukirjas juhtinud tähelepanu väga teravale probleemile, kuidas riik oma ülesannete täitmiseks kasutab inimeste isiklikke andmeid. Õiguskantsleri sõnu kasutades on riik andnud erinevatele ametkondadele õiguse pääseda üsna lihtsasti ligi iseäranis tundlikule teabele ja pankadel puudub võimalus keelduda selle info andmisest. Probleeme, millele õiguskantsler sellega seoses tähelepanu juhib, on sisuliselt kaks. Esiteks puudub kontroll selle üle, kuidas riik oma juurdepääsuõigust teostab ja teiseks on küsitav, kas alati peaks juurdepääsuõigus üldse olemas olema.
Jagame õiguskantsleri seisukohta, et temaatika pole piisavalt läbimõeldud ega läbipaistvalt reguleeritud. Seniks on täitmisregistri kaudu andmete küsimine peatatud. Ootame koos klientidega riigilt selget ja kõiki ametkondi hõlmavat ühtset sõnumit, kuidas ning millal tekkinud olukord lahenduse leiab.
Kommentaar
Kilvar Kessler, Finantsinspektsiooni juhatuse esimees
Finantsinspektsiooni õiguskantsleri kirjas küll ei mainitud ja me selliselt pangasaladusega ka ümber ei käi, kuid peame siiski vajalikuks sel teemal kaasa rääkida, sest tõstatatud probleem on vabaduse, finantsstabiilsuse ja süsteemide kontrolli vaatest ülioluline.
Pangakonto on inimese peegeldus just kõrgelt digitaliseeritud ja sularahata majanduses nagu Eestis. Kui kodu on kodaniku kindel füüsiline kants ja pelgupaik, siis pangakonto on täpselt sama “iseoma” rahalises mõttes. Seetõttu tuleb kõike pangakontodesse puutuvat käsitleda riigil äärmiselt hoolikalt, konservatiivselt ja õiguslikult kõrgeimate standardite järgi.
Põhiseaduse kohaselt on meie riik rajatud vabadusele, õiglusele ja õigusele. Põhiseaduse kohaselt ei ole eestlaste riik rajatud bitile, andmeaidale ega tehisarule. Minu arvates ei tohi riik teha vähemalt finantssektoris tehnoloogilisi katsetusi, mis selge õigusliku aluseta kompavad kodanike vabaduste piire.
Jah, tehnoloogia peaks olema kuritegevuse vastase võitluse teenistuses. Kuid see ei tähenda, et tehnoloogilise arengu tõttu peaksime loobuma vabadusest. Vabadus aga tähendab kõige muu kõrval ka võimalust eksida ja teha vigu.
Õiguskantsleri järeldusi arvestades tuleb nüüd rahvast esindaval parlamendil otsustada laias laastus edasine tee vabaduse ja seadusjärgsete eesmärkide tasakaalu leidmiseks.
