Nr 23

Laadi alla

Jaga

Prindi

Eesti andmekaitse Euroopa Kohtu praktika peeglis

  • Liina Kanger

    Liina Kanger

    Riigikohtu õigusteabe osakonna haldusõiguse analüütik

  • Eve Rohtmets

    Eve Rohtmets

    Riigikohtu õigusteabe osakonna kohtupraktika analüütik

Andmekaitsedirektiivi Eesti õiguskorda ülevõtmise õnnestumist saab hinnata Euroopa Kohtu praktikast lähtuvalt.

Euroopa Kohus on Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitsest isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (andmekaitsedirektiiv) tõlgendanud seitsmes eelotsuse taotluse alusel tehtud kohtuotsuses ja kohaldanud kolmes kaebuse alusel kohtusse jõudnud asjas.

Euroopa Kohtu praktika on mitmekesine, ulatudes isikuandmete töötlemisest lennuliinide automaatsetes broneeringusüsteemides (parlament vs nõukogu, 30.05.2006 otsus liidetud kohtuasjades C-317/04 ja C-318/04) kuni isikuandmete avaldamiseni internetis isiklikul kodulehel (Lindqvist, 6.11.2003 otsus kohtuasjas C-101/01).Raske on neis kümnes otsuses käsitlemist leidnud õiguslikes küsimustes ühisosa leida.

Mõned näited: millised on isikute maksuandmete töötlemise nõuded; kas isikuandmete avaldamine internetis tähendab nende edastamist kolmandatesse riikidesse; kas sõltumatu andmekaitse järelevalve asutuse üle haldusjärelevalve tegemine on lubatud; kas töötajate sissetulekute avalikustamine on lubatud?

Enamikust eespool toodud lahenditest saab vastuseid üksikküsimustele, mis põhimõtteliselt võivad tõusetuda ka Eestis, kuid mille juhtnöörid ei ole siiski nii tooniandvad, et neid siinkohal abstraktselt käsitleda. Seevastu suurt tähelepanu väärivad kaks kohtuasja, millele tuginedes saab artikli autorite arvates teha järeldusi andmekaitsedirektiivi ülevõtmise õnnestumise kohta Eesti õiguskorras. Need lahendid on Lindqvist (6.11.2003 otsus kohtuasjas C-101/01) ja komisjon vs Saksamaa (9.03.2010 otsus kohtuasjas C-518/07).

Direktiivi ülevõtmise nõuded Lindqvisti kohtuasjas

Aastal 2001 esitas Rootsi Göta Apellatsioonikohus (Göta hovrätt) Euroopa Ühenduse asutamislepingu artikli 234 alusel Euroopa Kohtule eelotsusetaotluse andmekaitsedirektiivi tõlgendamiseks. Ühelt poolt on Lind­qvisti vaidluses tehtud Euroopa Kohtu otsus huvitav, sest käsitleb eraisikute poolt andmete levitamist internetis – mis on tänapäeval tavalisemaid nähtusi –, kuid sellist tegevust kontrollida on järjest raskem, arvestades ka seda, et õiguslik raamistik alles kujuneb.

Euroopa Komisjoni hiljutises teatises “Terviklik lähenemisviis isikuandmete kaitsele Euroopa Liidus” on rõhutatud, et tehnoloogia kiire areng ja üleilmastumine on maailma põhjalikult muutnud ning tekitanud isikuandmete kaitse valdkonnas uusi probleeme, mistõttu võetakse ette edasisi samme andmekaitseõiguse täpsustamiseks Euroopa Liidus. Teiselt poolt on 2003. aastal tehtud otsuses toodud andmekaitsedirektiivi ülevõtmise nõuded, mis peaksid ka Eestile siduvaks juhiseks olema.

Küsimused tekkisid Rootsi kohtus pooleli olnud kriminaalasjas, milles Bodil Lindqvisti süüdistati isikuandmete kaitset reguleerivate Rootsi õigusaktide rikkumises, sest ta avaldas oma veebilehel mitme isiku andmed, kes töötasid nagu temagi vabatahtlikena Rootsi protestantliku kiriku koguduse juures. Põrkusid sõnavabadus ja andmekaitse, mille tasakaalustamise vajadust Euroopa Kohus oma otsuses tugevasti toonitas. Kohus märkis, et erinevate õiguste ja huvide tasakaalustamist võimaldavad mehhanismid sisalduvad esiteks andmekaitsedirektiivis ja teiseks tulenevad liikmesriikide kehtestatud sätetest, mis tagavad direktiivi ülevõtmise liikmesriigi õigusesse, samuti nende sätete kohaldamisest liikmesriikide ametiasutuste poolt (punkt 82).

Kohus sõnastas riigisisese regulatsiooni ülevõtmise kohta üldisi suuniseid ning nõudeid, mille alusel on ka Eestil kui liikmesriigil võimalik hinnata ülevõtmise õnnestumist. Kõigepealt põhjendas Euroopa Kohus liikmesriikide kohustust direktiivi täpsustada järgmiselt: andmekaitsedirektiivi sätted ise on paratamatult üldised, sest direktiiv peab reguleerima suurt hulka erinevaid olukordi, kuid direktiivis sisalduvate nõuete teatav paindlikkus on põhjendatud. Põhjendatud on ka see, et üksikasjade üle otsustamine või mitme võimaluse hulgast valiku tegemine on paljudel juhtudel jäetud liikmesriikide hooleks (punkt 83). Seejärel rõhutas kohus, et liikmesriikidel on andmekaitsedirektiivi ülevõtmisel mitmes suhtes tegutsemisruumi (punkt 84), ning tegi lõppjärelduse, et seega tulebki õige tasakaal osutatud õiguste ja huvide vahel leida pigem direktiivi ülevõtmiseks vastu võetud õigusaktide üksikjuhtude kaupa riigi tasandil rakendamise käigus (punkt 85). Sama seisukohta kordas kohus oma 29.01.2008 otsuses kohtuasjas Promusicae (C-275/06, punkt 66–67). Lindqvisti kohtuasjas tehtud otsuses on tajutav etteheide liikmesriigile, kes ei ole oma õiguses täpseid regulatsioone loonud.

Hinnang Eesti isikuandmete kaitse seadusele

Kui Lindqvist oleks tegutsenud Eesti õiguse alusel, oleks tõenäoliselt Euroopa Kohus Eestilegi ette heitnud, et direktiivi ülevõtmisel ei ole me konkretiseerinud isiku õiguste ja huvide tasakaalu internetis andmete avalikustamise regulatsiooni loomise kaudu, sest isikuandmete kaitse seadusest jääb isikule selgusetuks, mis tingimustel võib või ei või eraisik internetis avalikustada teise isiku kohta käivaid isikuandmeid.

Siit tekib küsimus: kas ja kuivõrd on Eesti üldse suutnud reguleerida andmekaitset üksikjuhtude kaupa ja konkretiseerida direktiivi sätteid? Pigem tuleb artikli autorite arvates tõdeda, et Eesti isikuandmete kaitse seadus võtab direktiivi üle samas printsipiaal­suse astmes, kui on direktiiv ise. Riigisisese õigusega direktiivi eriti ei täpsustata, kuigi seda lubab otsesõnu direktiivi artikkel 5 ja toonitab ka Euroopa Kohus. Ilmselt eriregulatsioonide loomise tarvidust isikuandmete kaitse seaduse kehtestamise ajal ei nähtud, kuid nüüd on see vajadus tekkinud. Isikuandmete kaitse seaduse üldseaduse iseloomu ja samas eriseadustes või isikuandmete kaitse seaduses erinormide puudumist võib pidada üheks andmekaitseprobleemide rohkuse peamiseks põhjuseks Eestis. Isikuandmete kaitse seadus toimib edukalt kui üldosaseadus, puuduvad aga eriosa normid, mis jätab seaduse rakendajatele laia diskretsiooniõiguse ning sellega koos ka kohaldamisraskused. Samateemaline diskussioon on algatatud ka justiitsministeeriumis, kes näeb peamist probleemi selles, et isikuandmete kaitse seaduses ei ole õiguslikud alused isikuandmete töötlejate jaoks piisavalt selged.

Justiitsministeeriumi õiguspoliitika asekantsler Martin Hirvoja esitas ettekandes “Õiguspoliitika arengutest ja justiitsministeeriumi rollist selles” 28. jaanuaril 2011 advokatuuri seminaril ettepaneku eristada ja süstematiseerida isikuandmete töötlemisele esitatavaid nõudeid ning teha teatud nõuetest erandeid, tagades piisava andmekaitsepõhimõtete ­järgimise muude vahenditega, näiteks järelevalve tõhustamisega. “Võimalik, et edaspidi tuleks eristada lihtisikuandmete töötlemise ning delikaatsete isikuandmete töötlemise erandeid, täpsustamist vajaksid isikuandmete töötlemine töösuhtes ja avalikus teenistuses. Samuti ilmnes mitmeid probleemkohti kriminaalmenetluse raames kogutavate ja riiklikesse registritesse kantavate delikaatsete isikuandmete (DNA ja sõrmejäljed) regulatsioonis,” märkis Hirvoja. Artikli autorid nõustuvad selle kriitikaga, toetades isikuandmete kaitse seaduse täpsustamist või muudesse seadustesse erinormide lisamist, et ületada seaduse liigne abstraktsus.

Liikmesriigi tegutsemisruum direktiivi ülevõtmisel

Kui otsida Euroopa Kohtu praktikast näiteid, kus kirjeldatakse lähemalt liikmesriigi tegutsemisruumi ulatust direktiivist täpsemate regulatsioonide loomisel, on üks selliseid Euroopa Kohtu otsus Rijkeboeri kohtuasjas (C-553/07). Madalmaade kohtust (Raad van State) laekunud eelotsusetaotluses küsiti, kas andmekaitsedirektiivi (eelkõige selle artikli 12 punkti a) kohaselt võib isiku õigust tutvuda teabega teda käsitlevate isikuandmete kohta piirata üheaastasele perioodile. Liikmesriigi regulatsiooniga oli seega seatud konkreetne tähtaeg, mis direktiivist ei tulene. Kohus hoiatas esmalt, et artikli 12 punkti a ülevõtmiseks on olemas tegutsemisruum, kuid see ei ole siiski piiramatu (punkt 56), seejärel andis piirangule kõrge üldistusastmega hinnangu. Ta sedastas, et liikmesriikide ülesanne on kehtestada selline teabe säilitamise tähtaeg ja sellele vastav õigus teabega tutvuda, mis väljendab õiglast tasakaalu ühelt poolt andmesubjekti huvi vahel kaitsta oma eraelu puutumatust, kasutades eelkõige direktiivis ette nähtud sekkumisvõimalusi ja õiguskaitsevahendeid, ning teiselt poolt koormuse vahel, mis selle teabe säilitamise kohustuse tõttu vastutava töötleja jaoks kaasneb (punkt 70). Kohus leidis, et kui teavet isiku pöördumiste kohta (s.o võrreldav meie teabenõuete ja selgitustaotlustega) säilitatakse ametiasutustes ainult üks aasta, piirab see ebaproportsionaalselt isikuõigusi ehk on liiga lühike tähtaeg, välja arvatud siis, kui tõendatakse, et selle teabe pikemaajalisem säilitamine koormaks liigselt vastutavat töötlejat. Näitest ilmneb, et sellise konkreetsusastmega õigusnorm, mis nägi ette andmete säilitamise üheaastase tähtaja, võib põhimõtteliselt olla riigisiseseks direktiivi edasiarenduseks.

Andmekaitsedirektiivi riigisisese edasiarendusena võib ette näha ka isikuandmete tõhusama kaitse või kaitse laiemas kohaldamisalas, kui tuleneb direktiivist. Euroopa Kohtu tõlgenduse kohaselt lubab andmekaitsedirektiiv liikmesriigil jätta kehtima või kehtestada erieeskirju eriliste olukordade jaoks. Seda tuleb teha direktiivis ettenähtud viisil ja kooskõlas direktiivi eesmärgiga, mis seisneb tasakaalu säilitamises isikuandmete vaba liikumise ja eraelu puutumatuse kaitse vahel. Liikmesriigil ei ole takistusi direktiivi sätteid ülevõtvate riigisiseste õigusaktide ulatuse laiendamiseks selle direktiivi kohaldamisalasse mittekuuluvatele valdkondadele, kui see ei lähe vastuollu mõne muu ühenduse õigusnormiga (punktid 97–99).

Eesti võimalused andmekaitse tõhustamiseks

Eestil tuleb vastata küsimusele, millistes valdkondades me täiendavat andmekaitseregulatsiooni vajame. Kooskõlas direktiivi piiridega oleks see võimalik kehtestada. Praegu võib valdkondlikke erinorme isikuandmete kaitse seadusest leida ajakirjanduse (§ 11 lõige 2) ning teadusuuringu ja statistika (§ 16) kohta. Erinormid sisalduvad ka direktiivis. Üks valdkondi, mille kohta saab kindlalt väita, et Eesti on erinormid loonud, on kohtumenetlus. Peab aga nentima, et kohtumenetluse regulatsioonides on andmekaitselisi lünki: näiteks on reguleerimata, kas jõustumata kohtulahendid on kättesaadavad ka kolmandatele isikutele. Ehk mitte regulatsiooni, küll aga diskussiooni vääriks ­küsimus, kuidas ja millal peaks kohus selgitama menetlusosalisele isikuandmete kaitse alaseid õigusi, juhuks kui ta soovib esitada taotluse lahendist oma nime või muude isikuandmete eemaldamiseks.

Veel üks valdkond, kus vähemasti osaliselt on olemas erisätted, on avalik sektor. Erisätted ei tohiks aga pakkuda põhjendamatult nõrgemat isiku õiguste kaitset kui isikuandmete kaitse seadus. Näiteks Euroopa Inimõiguste Kohtu (vt otsus 16. detsembrist 1992 Niemitz vs Saksamaa; otsus 4. maist 2000 Rotaru vs Rumeenia) ja Euroopa Kohtu (otsus 20. maist 2003C‑465/00, C‑138/01 ja C‑139/01 Österreichischer Rundfunk) praktikas on avalikus sektoris töötavate isikute palga­andmete avalikustamist peetud intensiivseks eraelu riiveks.

Eestis on see intensiivne riive ametnike suhtes kahjuks paratamatuks kaasnähteks sellele, et avaliku teabe seaduse § 28 lõike 1 punkti 25, mis näeb ette kohustuse avalikustada riigi- ja kohaliku omavalitsuse asutuses kehtivad palgamäärad, -juhendid ja lisatasukorrad, rakendatakse erinevalt. Näiteks on mõnede asutuste ametnike palgad (mitte palgamäär) koos haiguse ajal makstava hüvitise, lisatasude ja puhkusetasudega nime ja perioodi äranäitamisega internetis kättesaadavad (näiteks PRIA ja päästeameti koduleht). Riigikohtu praktika selles küsimuses piirdub põhiseaduslikkuse järelevalve kolleegiumi 24. detsembri 2002. aasta lahendiga nr 3‑4‑1‑10‑02, mis puudutab riigi vähemusotsustusõigusega äriühingutes erahuve esindavate isikute palgaandmete avaldamist. Ka Riigikohus ei pidanud Euroopa Inimõiguste Kohtu eeskujul nende andmete avalikustamist vajalikuks ega põhjendatuks (punkt 33).

Seaduse rakenduspraktika ühetaolisuse eelduseks on õigusselgus. Kui eeldada, et isikuandmete kaitse seadus sisaldab keeldu avalikustada palgaandmeid (minimaalsuse põhimõte § 6 lõige 3), peab see olema seaduse rakendajale selgesti äratuntav. Kui piirang avalikustada palgaandmeid tuleneb isikuandmete kaitse seaduse mõnest liiga üldise sõnastusega sättest, ei olegi võimalik eeldada, et kõik seaduse rakendajad seda ühtemoodi tõlgendaksid. Ühtse rakenduspraktika kindlustamiseks võiks isikuandmete kaitse seaduses kehtestada näidisloetelu andmetest, mida peetakse isikuandmeteks ja mille töötlemine üldjuhul ilma loata ei ole lubatud. Diskuteerida võiks selle üle, et ka palgaandmed kuuluksid sellesse loetellu.

Kokkuvõttes on andmekaitse valdkonnas direktiivist tulenevalt kõrge kaalutlusõiguse osakaal. Eestis on kaalutlusõiguse määr kõrge ka isikuandmete kaitse seaduses, sest seadusandja on direktiivi üle võtnud täpsustusi tegemata. Tulemuseks on see, et liiga abstraktseid norme on keeruline rakendada.

Nõuded sõltumatule järelevalve­asu­tusele kohtuasjas komisjon vs Saksamaa

Andmekaitsedirektiivi artikli 28 lõikes 1 on sätestatud, et “iga liikmesriik näeb ette ühe või mitu riigiasutust, et teostada järelevalvet tema territooriumil direktiivi kohaselt vastuvõetud sätete kohaldamise üle. Kõnealused asutused tegutsevad neile usaldatud ülesannete täitmisel täiesti sõltumatult”. Kohtuasjas komisjon vs Saksamaa võttis Euroopa Kohus seisukoha väljendi “täiesti sõltumatult” tõlgendamiseks.

Küsimus tekkis sellest, et Saksamaal on andmekaitse järelevalveasutus allutatud omakorda riiklikule järelevalvele, mis Euroopa Komisjoni ja Euroopa andmekaitseinspektori arvates on vastuolus nõudega, et järelevalveasutust ei tohi teiste asutuste poolt või haldusväliselt kuidagi mõjutada. Euroopa Kohus leidis, et direktiivi artikli 28 lõike 1 teise lõigu sõnastusele ning direktiivi eesmärkidele ja ülesehitusele tuginedes on võimalik jõuda artikli 28 lõike 1 teise lõigu selge tõlgenduseni. Kohus alustas grammatilisest tõlgendusest, märkides, et kuna kõnealuses sättes ei määratleta väljendit “täiesti sõltumatult”, tuleb arvesse võtta selle tavapärast tähendust. Avalik-õigusliku organi puhul tähendab mõiste “sõltumatus” harilikult staatust, mis tagab asjaomasele organile võimaluse tegutseda vabalt, juhenditest sõltumata ning surveta. Seejärel juhtis kohus tähelepanu sätte eesmärgile, märkides, et liikmesriikide järelevalveasutuste sõltumatuse tagatise eesmärk on tagada isikuandmete töötlemisel üksikisikute kaitset käsitlevate sätete järgimise üle teostatava kontrolli tõhusus ja usaldusväärsus.

Kohus selgitas, et sõltumatuse tagatist ei kehtestatud mitte selleks, et anda nendele asutustele ja nende töötajatele eriline seisund, vaid eesmärgiga tugevdada nende isikute ja asutuste kaitset, keda järelevalveasutuste otsused puudutavad. Sellest järeldub, et ülesannete täitmisel peavad järelevalveasutused tegutsema objektiivselt ja erapooletult ning olema kaitstud igasuguse välise mõju eest, kaasa arvatud riigi või liidumaade otsene või kaudne mõju (punkt 25).

Tähelepanu väärib otsuse punkt 36, milles kohus rõhutas: pelk oht, et riiklikku järelevalvet teostavad asutused võiksid poliitiliselt mõjutada järelevalveasutuste otsuseid, on piisav selleks, et takistada viimati nimetatute poolt nende ülesannete täitmisel sõltumatult tegutsemist. Kohus lisas, et järelevalveasutustele pandud eraelu puutumatuse kaitsja roll nõuab, et nende otsused ning seega ka nemad ise oleksid väljaspool igasugust erapoolikuse kahtlust. Esitatud põhjendustest lähtudes otsustas Euroopa Kohus, et kuna Saksamaa Liitvabariik allutas riiklikule järelevalvele asutused, kes on liidumaades pädevad teostama järelevalvet isikuandmete töötlemise üle erasektoris, ning ei võtnud seetõttu õigesti üle nõuet, et need asutused tegutsevad oma ülesannete täitmisel täiesti sõltumatult, on nimetatud liikmesriik rikkunud direktiivi 95/46 artikli 28 lõike 1 teisest lõigust tulenevaid kohustusi.

Artikli kirjutamise ajal on Euroopa Kohtu menetluses veel üks kohtuasi – komisjon vs Austria (C-614/10), mille hagis märgib komisjon, et Austrias teeb Föderaalkantselei andmekaitsekomisjoni teenistujate üle teenistuslikku järelevalvet ning on ühtlasi vastutav nimetatud komisjoni tehniliste seadmetega varustatuse eest. Peale selle allub andmekaitse­komisjoni juhtkond ühele Föderaalkantselei ametnikule, kellele on kohustuslikud tema tööandja juhised ja kes on tema teenistusliku järelevalve all. Komisjoni hinnangul tekitab see olukord ilmse lojaalsuse ja huvide konflikti ning on olemas poliitilise mõjutamise oht.

Eelnevast nähtub, et andmekaitse üle järelevalvet tegeva organi sõltumatus on komisjoni tugeva tähelepanu all, mistõttu tuleb kontrollida, kas Eestis järelevalveasutuse ülesandeid täitvale Andmekaitse Inspektsioonile on tagatud täielik sõltumatus direktiivi artikli 28 lõige 1 tähenduses.

Andmekaitse Inspektsiooni sõltumatus

Vabariigi Valitsuse seaduse § 59 lõike 3 kohaselt on Andmekaitse Inspektsioon justiitsministeeriumi valitsemisalas, samuti kuuluvad justiitsministeeriumi valitsemisalasse andmekaitsealased küsimused (sama paragrahvi lõige 1). Tulenevalt § 41 lõikes 1 sätestatust on inspektsioon aruandekohustuslik justiitsministri ees, kes suunab ja koordineerib tema tegevust ning teostab tema üle seaduses sätestatud korras teenistuslikku järelevalvet. Isikuandmete kaitse seaduse § 32 lõige 2 sätestab, et Andmekaitse Inspektsioon on nimetatud seadusest tulenevate ülesannete täitmisel sõltumatu ja tegutseb isikuandmete kaitse seadusest, muudest seadustest ja nende alusel kehtestatud õigusaktidest lähtudes. Inspektsiooni juht ei tohi ametisoleku ajal osaleda erakondade tegevuses, töötada muudel palgalistel töö- või ametikohtadel, välja arvatud pedagoogiline ja teadustöö (isikuandmete kaitse seaduse § 34 lõige 3), sõltumatuse tagamiseks on inspektsiooni juhi ametissenimetamisel ja ametist vabastamisel ette nähtud erisused võrreldes Vabariigi Valitsuse seaduses sätestatuga.

Andmekaitse Inspektsiooni sõltumatus on selle 12-aastase ajaloo jooksul korduvalt päevakorda tõusnud. Veel vahetult enne Euroopa Liiduga liitumist ei pidanud Euroopa Komisjon Andmekaitse Inspektsiooni sõltumatust küllaldaseks (inspektsiooni 2004. a ettekanne Riigikogu põhiseaduskomisjonile ja õiguskantslerile). Et vältida inspektsiooni kuulumist politseiasutustega samasse haldusalasse ja tagada sellega tema sõltumatus, viidi 1999. aastal siseministeeriumi valitsemisalas loodud asutus 2007. aasta veebruarist üle justiitsministeeriumi valitsemisalasse. Muudatusi inspektsiooni sõltumatuse tagamiseks sisaldab ka 01.01.2008 jõustunud isikuandmete kaitse seadus. Nagu selle seaduse eelnõu seletuskirjast võib lugeda, peeti isikuandmete tõhusa kaitse tagamiseks äärmiselt oluliseks, et tagatud oleks ka andmekaitse järelevalveasutuse piisav institutsionaalne ja otsustuslik sõltumatus.

Andmekaitse Inspektsiooni sõltumatuse küsimus tõusetus ka 2009. aasta kevadel isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni lisaprotokolli ratifitseerimise seaduse eelnõu lugemisel Riigikogus. Kuivõrd lisaprotokolliga nähti ette sisuliselt sama regulatsioon, nagu see on kehtestatud Euroopa Liidu tasandil andmekaitsedirektiivi artikliga 28, leidis justiitsministeerium, et lisaprotokollist tulenevad nõuded on riigisisese õigusega juba tagatud. Eelnõu lugemisel Riigikogus justiitsministri ja Riigikogu põhiseaduskomisjoni esimehe antud kinnitustest võib järeldada, et isikuandmete kaitse seaduses sätestatud sõltumatuse garantiisid peetakse sõltumatuse nõudele vastavaks. Ometi tekitab Andmekaitse Inspektsiooni staatus Euroopa Kohtu poolt kohtuasjas komisjon vs Saksamaa antud tõlgenduse puhul küsimusi, mis on pannud artikli autoreid kõnealuse nõude täitmises kahtlema.

Andmekaitse Inspektsiooni sõltumatuse riived

Esiteks nõuab Euroopa Kohus, et välistatud oleks igasugune riigi otsene või kaudne mõju järelevalveasutusele. Austria juhtumi näitel võib selline mõju seisneda kas või tehniliste seadmetega varustatuses. Justiitsministeeriumi haldusalas olles ei saa niisugune mõju puududa, liiatigi kui inspektsiooni põhimääruse § 4 lõikes 1 on kirjas, et inspektsiooni eelarve kinnitab, muudab ja eelarve täitmist kontrollib justiitsminister. Inspektsiooni majanduslik sõltuvus täidesaatva võimu otsusdiskretsioonist ei vasta artikli autorite arvates täieliku sõltumatuse nõudele.

Teiseks peaks sõltumatus andmekaitsedirektiivi tähenduses tähendama organisatsioonilist lahutatust täidesaatvast riigivõimust. Näiteks võib võrrelda soolise võrdõiguslikkuse ja võrdse kohtlemise voliniku institutsiooni, mis ei ole loodud sotsiaalministeeriumi valitsemisalas oleva ameti või inspektsioonina (vrd Vabariigi Valitsuse seaduse § 67 lõiget 2), vaid iseseisvalt tegutseva institutsioonina. Täitevvõimu struktuurist tuleks lahutada ka Andmekaitse Inspektsioon, et välistada direktiivi artikli 28 lõikes 1 sätestatud nõude rikkumise oht.

Kolmandaks allub inspektsioon ministeeriumi valitsemisalas tegutseva valitsusasutusena teenistuslikule järelevalvele Vabariigi Valitsuse seaduses ette nähtud alluvuskorras (§ 93 lõige 4). See tähendab, et nimetatud seaduse § 95 lõike 1 alusel valvab justiitsminister Andmekaitse Inspektsiooni ja tema ametiisikute tegevuse seaduslikkuse ja otstarbekuse üle. Järelevalve üheks hoovaks on see, et minister tunnistab kehtetuks inspektsiooni peadirektori akte ja toiminguid, mis ei ole vastavuses põhiseaduse, muude seaduste, Vabariigi Valitsuse määruste ja korralduste ning ministri määruste ja korraldustega, või ebaotstarbekuse tõttu, kui akt või toiming on ilmses mittevastavuses seadusest tuleneva ning Vabariigi Valitsuse või ministeeriumi realiseeritava riikliku poliitikaga või põhjustab riigi vara ja eelarveliste vahendite ebaratsionaalset kasutamist või muul viisil kahjustab riiklikke huve (Vabariigi Valitsuse seaduse § 95 lõiked 2 ja 3 ning § 100). Niisugune ministri järelevalvepädevus ei saa artikli autorite arvates olla kooskõlas direktiivis ette nähtud sõltumatuse nõude ega Euroopa Kohtu tõlgendusega, mis eeldab võimalust tegutseda vabalt, juhenditest sõltumata ja surveta.

Neljandaks läheb sõltumatuse nõudega vastuollu õiguslike vaidluste lahendamise kord riigi- ja valitsusasutuste vahel, sest Vabariigi Valitsuse seaduse § 101 näeb ette ministri otsustava sõnaõiguse vaidluse lahendamisel. § 101 lõige 1 näeb ette, et valitsusasutuste ja muude riigiasutuste omavahelised õiguslikud vaidlused lahendatakse alluvuskorras, mis tähendab, et justiitsministeeriumi ja Andmekaitse Inspektsiooni vaheline andmekaitsevaidlus peaks samuti lahenema alluvuskorras.

Allutatus ja sõltumatus on vastandlikud mõisted, mida ei saa korraga ühele organile omistada. Sama probleem tekib ka Vabariigi Valitsuse seaduse § 101 lõike 2 alusel. Nimelt lahendab ministeeriumi struktuuriüksuste vahelised ja ministeeriumi hallatavate riigiasutuste õiguslikud vaidlused minister, mis tähendab, et Andmekaitse Inspektsiooni vaidlus näiteks vanglaga taandub samuti justiitsministri otsustuspädevusele. Kui riigiasutused kuuluvad eri valitsemisaladesse, lahendavad nende õiguslikud vaidlused sama paragrahvi lõike 3 järgi asjaomased ministrid. Kokkuleppe mittesaavutamisel lahendab vaidluse Vabariigi Valitsus. Seega läheb andmekaitsevaidluse lahendamine taas üle kõrgemalseisvale organile.

Ühelt poolt tundub artikli autoritele, et Vabariigi Valitsuse seaduse § 101 ei ole kooskõlas direktiiviga, sest muudel riigiorganitel ei tohiks direktiivi mõtte kohaselt olla riikliku järelevalve menetlusse sekkumise õigust. Direktiivi artikli 28 lõige 3 nõuab, et järelevalveasutusel peab olemas olema volitus osaleda kohtumenetluses ja volitus juhtida rikkumistele õigusasutuste tähelepanu. Kui andmekaitsevaidluse lahendamine läheb inspektsioonilt üle ministri või valitsuse pädevusse, ei ole inspektsioonil enam võimalik teostada direktiivist tulenevaid volitusi. Teiselt poolt tähendab inspektsiooni allutamine ministrile või valitsusele sõltumatuse riivet, sest kõrgemalseisva organi lahendus vaidlusele kujuneb juhiseks järgmiste vaidluste lahendamisel. Pole välistatud ka poliitiline või isiklik mõju inspektsiooni valikutele edaspidistes järelevalvemenetlustes avaliku sektori üle. Seega ei saa artikli autorite ­arvates riigiorganitevahelise andmekaitsevaidluse puhul Andmekaitse Inspektsiooni sõltumatusest rääkida.

Sõltumatus ja võimude tasakaal

Artikli autorid soovivad rõhutada, et Andmekaitse Inspektsiooni sõltumatus ei tähenda samal ajal seadusandliku, täidesaatva ja kohtuvõimu volituste kumuleerumist ühele asutusele. Ei saa õigusriigi põhimõttega kooskõlas olevaks pidada olukorda, kui üks ja sama organ annab seaduste tõlgendamise juhiseid, kontrollib seaduste täitmist enda antud juhiste valguses ning karistab mittetäitmise eest. Kui üle vaadatakse inspektsiooni sõltumatus, tuleb samal ajal tegelda ka inspektsiooni pädevustes õigusriigile omase tasakaalu otsimisega ning küsimusega, kas inspektsiooni otsuste vaidlustamiseks on olemas tõhus menetlus. Artikli autorid arvavad, et eraisikute jaoks on selline menetlus vaide ja halduskohtusse kaebuse esitamise võimaluse kaudu tagatud, kuid näiteks põhiseaduslike institutsioonide jaoks on menetluslik võimalus inspektsiooni ebaõige järelevalve otsuse vaidlustamiseks ebaselge. Vabariigi Valitsuse seaduse § 101 kohaldamine Andmekaitse Inspektsiooni ja põhiseadusliku institutsiooni vahel tekkivate õigusvaidluste lahendamiseks on küsitav, sest põhiseaduslikud institutsioonid ei kuulu ühegi ministeeriumi valitsemisalasse.

Olukorras, kus Andmekaitse Inspektsioon algatab näiteks ekslikult väärteomenetluse ja kohaldab sunniraha põhiseadusliku institutsiooni suhtes või teeb muul põhjusel õigusvastase järelevalveotsuse, peab olema ka tõhus võimalus selle otsuse vaidlustamiseks ja väärpraktika muutmiseks. Järelevalveasutuse sõltumatus ei tähenda niisiis selle otsuste vaidlustamise võimaluse puudumist ega ka mitte sellist tegevusvälja, mis hõlmab korraga kõigi riigivõimu harude funktsioonid, ilma välise tasakaalustuse võimaluseta. Niisamuti ei saa liiga abstraktset seadusandlust leevendada sellega, et Andmekaitse Inspektsiooni tõlgendused ja juhised astuvad seaduse tähendusse.

Kaks järeldust

Euroopa Kohtu praktikast saab teha kaks Eesti jaoks põhimõttelise tähtsusega järeldust:

  • andmekaitsedirektiivi paindlikkus toob liikmesriigile kaasa kohustuse see omalt poolt sisustada konkreetsete õiguslike alustega üksikjuhtude kaupa, mis vastaksid piisava määratletuse põhimõttele;
  • Andmekaitse Inspektsioon kui sõltumatu järelevalveasutus peab riigiasutuste süsteemis seisma väljaspool ühegi ministeeriumi kontrolli majandusliku, organisatsioonilise ja isikliku sõltumatuse tähenduses, et välistada isikute põhi­õiguste kaitse taseme sõltuvus poliitilisest tahtest.

Praktilises mõttes tähendavad need kaks järeldust esiteks, et sotsiaal- ja õigusteadlastel, infotehnoloogidel ja paljude muude valdkondade spetsialistidel tuleb teha tõhusat koostööd andmekaitsealase õigusliku raamistiku sidususe suurendamiseks. Teisiti ei ole mõeldav isikuandmete kaitse seaduse eriosa normide loomine. Teiseks eeldab institutsioonilise struktuuri tugevdamine, arvestades andmekaitse valdkonna kasvavat olulisust infoühiskonnas, riiklikku initsiatiivi viia see valdkond väljapoole poliitiliselt mõjutatavat sfääri ja samas leida järelevalveasutuse volituste teostamisel sobiv tasakaal.

Lisa

Euroopa Kohtu otsused isikuandmete kaitse valdkonnas alates 1. maist 2004:

  1. 20. mai 2003. a otsus liidetud kohtuasjades C-465/00, C-138/01 ja C-139/01: Österrei­chischer Rundfunk jt, Euroopa Kohtu lahendid 2003, lk I-04989*;
  2. 6. novembri 2003. a otsus kohtuasjas C-101/01: Lindqvist, Euroopa Kohtu lahendid 2003,
    lk I-12971*;
  3. 30. mai 2006. a otsus liidetud kohtuasjades C-317/04 ja C-318/04: parlament vs nõukogu, Euroopa Kohtu lahendid 2006, lk I-04721;
  4. 29. jaanuari 2008. a otsus kohtuasjas C-275/06: Promusicae, Euroopa Kohtu lahendid 2008,
    lk I-00271*;
  5. 16. detsembri 2008. a otsus kohtuasjas C-524/06: Huber, Euroopa Kohtu lahendid 2008,lk I-09705*;
  6. 16. detsembri 2008. a otsus kohtuasjas C-73/07: Satakunnan Markkinapörssi ja Satamedia, Euroopa Kohtu lahendid 2008, lk I-09831*;
  7. 7. mai 2009. a otsus kohtuasjas C-553/07: Rijkeboer, Euroopa Kohtu lahendid 2009, lk I-03889*;
  8. 9. märtsi 2010. a otsus kohtuasjas C-518/07: komisjon vs Saksamaa;
  9. 29. juuni 2010. a otsus kohtuasjas C-28/08 P: komisjon vs Bavarian Lager;
  10. 9. novembri 2010. a otsus liidetud kohtuasjades C‑92/09 ja C‑93/09: Volker und Markus Schecke*.

Kohtulahendid

  • Euroopa Kohtu 20. mai 2003. a otsus liidetud kohtuasjades C-465/00, C-138/01 ja C-139/01: Österreichischer Rundfunk jt, Euroopa Kohtu lahendid 2003, lk I-04989.
  • Euroopa Kohtu 6. novembri 2003. a otsus kohtuasjas C-101/01: Lindqvist, Euroopa Kohtu lahendid 2003, lk I-12971.
  • Euroopa Kohtu 29. jaanuari 2008. a otsus kohtuasjas C-275/06: Promusicae, Euroopa Kohtu lahendid 2008, lk I-00271.
  • Euroopa Kohtu 7. mai 2009. a otsus kohtuasjas C-553/07: Rijkeboer,Euroopa Kohtu lahendid 2009,
    lk I-03889.
  • Euroopa Kohtu 9. märtsi 2010. a otsus kohtuasjas C-518/07: komisjon vs Saksamaa.
  • Euroopa Inimõiguste Kohtu 16. detsembri 1992. a otsus kohtuasjas 13710/88: Niemitz vs Saksamaa, Series A, nr 251-B.
  • Euroopa Inimõiguste Kohtu 4. mai 2000. a otsus kohtuasjas 28341/95: Rotaru vs Rumeenia, Reports of Judgments and Decisions 2000-V.
    22. detsembril 2010 esitatud hagi kohtuasjas C-614/10: Euroopa Komisjon vs Austria Vabariik, Euroopa Liidu Teataja C 072, 05/03/2011, lk 0013 – 0013.
  • Riigikohtu põhiseaduslikkuse järelevalve kolleegiumi 24. detsembri 2002. aasta otsus nr 3‑4‑1‑10‑02. Riigi Teataja III 2003, 2, 16.

Kasutatud kirjandus

  • Andmekaitse Inspektsiooni 2004. a ettekanne Riigikogu põhiseaduskomisjonile ja Õiguskantslerile. – http://www.aki.ee/est/?part=html&id=39
  • KOM (2010), 609, 4. novembri 2010 teatis “Terviklik lähenemisviis isikuandmete kaitsele Euroopa Liidus”.
  • Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta. ­– EÜT L 281, lk 31; ELT eriväljaanne 13/15, lk 355.
  • Isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni lisaprotokolli ratifitseerimise seaduse eelnõu seletuskiri. – http://www.riigikogu.ee/?page=eelnou&op=ems&emshelp=true&eid=565529&u=20110413170222
  • Isikuandmete kaitse seadus. – Riigi Teataja I, 30.12.2010, 11.
  • Isikuandmete kaitse seaduse eelnõu seletuskiri. – http://www.riigikogu.ee/?op=emsplain&content_type=text/html&page=mgetdoc&itemid=063130007
  • Justiitsministeeriumi õiguspoliitika asekantsleri Martin Hirvoja ettekanne 28. jaanuaril 2011. a advokatuuri seminaril “Õiguspoliitika arengutest ja justiitsministeeriumi rollist selles” [p 5.10, lk 21]. – http://www.just.ee/53344.
  • Justiitsministri 14.02.2007 määrus nr 10 “Andmekaitse Inspektsiooni põhimäärus, struktuur ja koosseis”. – Riigi Teataja Lisa 2007, 17, 266; Riigi Teataja I, 17.03.2011, 7.
  • PRIA – http://www.pria.ee/et/pria/palgad
  • Päästeamet – http://www.rescue.ee/434.
  • Vabariigi Valitsuse seadus. – Riigi Teataja I, 15.03.2011, 22.

Märkus: * Eelotsuse taotluse alusel tehtud otsused.

Tagasiside