Koda ei poolda rahapesu andmebüroo andmetöötlusõiguste laiendamist
Koda saatis riigikogu rahanduskomisjonile arvamuse rahapesu andmebüroo andmetöötlust laiendava eelnõu kohta, mis puudutab peamiselt seda, kuidas, mis eesmärgil ja milliseid isikuandmeid rahapesu andmebüroo töödelda võib. Koja hinnangul annab eelnõu rahapesu andmebüroole liiga laia õiguse varjata inimeste eest teavet selle kohta, et nende isikuandmeid kogutakse ja töödeldakse. Koda ei toeta eelnõu vastuvõtmist praegusel kujul, kuna kavandatavad muudatused eiravad isikuandmete kaitsest tulenevaid kohustusi ning riivavad intensiivselt isikute põhiõigusi.
Andmesubjekti õiguste piiramise probleemi lahendus ei ole piisav
Riigikogu võttis rahapesu andmebüroo andmetöötlust puudutava seaduse eelmisel aastal vastu, kuid vabariigi president jättis selle välja kuulutamata. Nüüd on eelnõu uuesti riigikogus arutamisel ja selle kohta on esitatud mitmeid muudatusettepanekud.
President märkis mullu oma otsuses, et seadus ei olnud kooskõlas põhiseadusega, kuna piiras liialt informatsioonilise enesemääramise õigust. President kritiseeris eelkõige sätet, mis andis rahapesu andmebüroole praktiliselt piiramatu õiguse jätta inimesed teadmatusse nende isikuandmete töötlemise kohta. Nimelt olid rahapesu andmebüroo ülesanded seaduses niivõrd laialt kirjeldatud, et nendele tuginedes sai isikuandmealaseid õigusi piirata sisuliselt alati.
Muudatusettepanekutega muudetakse piiramise alust selliselt, et edaspidi oleks rahapesu andmebürool õigus andmesubjekti õigusi piirata üksnes juhul, kui teabe väljastamine kahjustaks või takistaks konkreetselt operatiivanalüüsi või strateegilise analüüsi ülesande täitmist.
Koda peab piiramise aluse kitsendamist sammuks õiges suunas, kuid leiab, et see ei kõrvaldaks puudust sisuliselt, sest võimalus andmesubjekti õiguste piiramiseks jääks endiselt liiga laiaks. Sel viisil saaks rahapesu andmebüroo edaspidi praktiliselt kõigi oma ülesannete raames isikuandmeid töödelda.
Tehisintellekti määruse ja andmekaitsealase mõjuanalüüsi eiramine
Koda ja advokatuur esitasid 2025. aastal pärast seaduse vastuvõtmist vabariigi presidendile ühiskirja, kus viitasime mitmele eelnõus sisalduvale murekohale, sh asjaolule, et eelnõu koostamisel on eiratud tehisintellekti määrusest tulenevaid nõudeid ja kohustuslikku andmekaitsealast mõjuanalüüsi. Mõlemad on tähelepanuta jäetud ka muudatusettepanekute selgitustes, kuid vajaksid selgelt kajastamist.
Nimelt on rahapesu andmebüroo kasutatav profiilianalüüs ja andmekaevandamine tõenäoliselt kõrge riskiga tehisintellektisüsteem tehisintellekti määruse mõttes. Sellisest määratlusest tulenevad eraldi kohustused, näiteks mõjuhinnangu läbiviimine, läbipaistvuse tagamine ning tulemuste kvaliteedikontroll. Muudatusettepanekutes ei ole neid kohustusi silmas peetud. Küll aga lisatakse eelnõusse keeld teha otsuseid andmesubjekti kohta üksnes automatiseeritud töötlusel ehk iga tehtud otsuse puhul oleks edaspidi vajalik ka inimese juuresolek.
Plaanitavad muudatused jõustuksid üldises korras ehk 10. päeval pärast Riigi Teatajas avaldamist. Seega ei ole hetkel täpne jõustumise aeg teada. Erandina jõustuksid rahapesu andmebüroole teadete esitamiseks ette nähtud süsteemi puudutavad sätted 20. jaanuaril 2027. aastal.
Eelnõu menetlusega riigikogus saab tutvuda siin.