Head Riigikogu liikmed!

Uut isikuandmete seadust Riigikogule esitledes tõin ma esile objektiivsed põhjused, miks Eesti õiguskord uut seadust vajab.

2016. aasta kevadel kiitis Euroopa Parlament heaks uued andmekaitsereeglid, mis annavad inimestele kontrolli oma isikuandmete üle ja loovad ühtlase andmekaitsetaseme kogu Euroopa Liidus. Võrreldes seni kehtinud õiguskorraga laienevad nüüd isikuandmete töötlemise õiguslikud alused. Inimene on selgemalt ja tugevamalt oma andmete peremees. Näiteks on lihtsam juurde pääseda oma andmetele, sh teavitatakse põhjalikumalt sellest, kuidas andmeid töödeldakse, ning tagatakse, et asjaomane teave on esitatud selgel ja arusaadaval viisil. Teiseks, uus õigus andmeid üle kanda, mis tähendab isikuandmete hõlpsat ülekandmist teenuseosutajate vahel. Kolmandaks, selgem õigus andmete kustutamisele ehk n-ö õigus olla unustatud. See tähendab, et kui inimene ei soovi enam lasta oma andmeid töödelda ja kui andmete säilitamiseks puudub õiguslik alus, siis andmed kustutatakse. Näiteks võib inimene Google'ilt, telefonisideoperaatorilt või postimüügiportaalilt nõuda oma spetsiifiliste isikuandmete kustutamist, kui nende andmete töötlemiseks puudub õiguslik alus. Neljandaks, õigus teada saada oma isikuandmete ründamisest. See tähendab, et ettevõtjad ja organisatsioonid peavad inimesi tõsistest andmetega seotud rikkumistest kohe teavitama ning samuti tegema teavituse asjaomasele andmekaitse järelevalve asutusele.


Isikuandmete kaitse uue õiguskeskkonna lähtekoht seisneb selles, et see on eeldus digitaalse turu rakendamiseks Euroopas. See on nurgakivi, et me saaksime digitaalset turgu võimestavate üleeuroopaliste reeglitega edasi liikuda. Teiseks, see kindlasti hõlbustab Eesti ettevõtjate tegevust, kes tegelevad kaupade või teenuste müügiga teistes liikmesriikides ja töötlevad ka isikuandmeid. See tähendab, et varasemate, uutest üsnagi erinevate isikuandmete kaitse reeglite nüansseerituse tõttu pidid Eesti ettevõtjad olema kursis Euroopa Liidu liikmesriikide nõuetega ja järgima neid asukohariigis isikuandmete töötlemisel, aga nüüd, otsekohalduva määruse jõustumisel, tuleb juhinduda selles määruses tagatud platvormist ning selline tegevus on ühetaoline. 

Euroopa Komisjoni mõjuanalüüsi järgi säästavad üleeuroopalised ühtsed eeskirjad hinnanguliselt 2,3 miljardit eurot aastas. Oluline on see, et ettevõtjad peavad suhtlema ainult ühe järelevalveasutusega selles Euroopa Liidu liikmesriigis, kus on nende peamine asukoht. Väljaspool Euroopa Liitu asuvad ettevõtjad kohaldavad Euroopa Liidu turul kaupu või teenuseid pakkudes või Euroopa Liidus inimeste käitumist jälgides samu Euroopa Liidu eeskirju. Oluline on see, et innovatsiooni soosivad eeskirjad tagavad, et andmekaitsemeetmed on toodetesse ja teenustesse integreeritud juba kavandamise algusetapist peale. Samuti võetakse kasutusele eraelu puutumatust austavad tehnilised võtted. Näiteks, pseudonüümistamine ehk isiku tuvastamist võimaldavad andmekirjaväljad asendatakse ühe või mitme väljamõeldud identifikaatoriga, või krüpteerimine, mis tähendab seda, et andmed kodeeritakse selliselt, et ainult vastava loaga osapooled saavad neid lugeda. 

Uus isikuandmete kaitse seadus reguleerib isikuandmete kaitse vallas küsimusi, mis täpsustavad isikuandmete üldmääruses sätestatut, nagu isikuandmete töötlemise seaduslikkus, eri liiki isikuandmete töötlemine ning tingimused, mida kohaldatakse lapse nõusolekule seoses infoühiskonna teenustega, samuti järelevalve ja vastutusega seotud küsimused, ning teise plokina küsimusi, mis on jäetud liikmesriikide reguleerida, näiteks isikuandmete töötlemine ajakirjanduslikul eesmärgil, kunstilise ja kirjandusliku eneseväljenduse tarbeks, teadusuuringu ja riikliku statistika vajadusteks, avalikes huvides toimuva arhiveerimise eesmärgil, pärast andmesubjekti surma, krediidivaldkonnas ning avalikus kohas ning isikute ja vara kaitseks, samuti isikuandmete töötlemine õiguskaitse valdkonnas.

Elame üha enam digitaliseeruvas maailmas. Digimajanduse ja e-riigi areng jääks kängu, kui inimesed ei usaldaks seda, kuidas ettevõtted ja asutused nende andmeid koguvad ja kasutavad. Andmekaitseõiguse eesmärk on luua kindlustunnet – andes inimestele kontrolli enda kohta käivate andmete osas ning pannes paika andmetöötlejate kohustused.

Kuid andmekaitse ei ole asi iseeneses. Õigus eraelule ja õigus isikuandmete kaitsele ei ole piiramatu. Isikuandmete määrus sedastab selgelt, et õigus andmekaitsele pole absoluutne, vaid seda tuleb kaaluda ja tasakaalustada teiste põhiõigustega – sealhulgas sõnavabadusega.

Iga ühiskond vajab, et ajakirjanduses saaks kajastada ühiselus olulist vabalt ja ausalt. Seetõttu võimaldab andmekaitseõigus teha ajakirjanduse osas vajalikke erandeid – kui eraellu sekkumiseks on avalik huvi. Niisuguses sõnastuses jõudis see seaduseelnõu ka valitsusest rahvaesindusse. See ei olnud sugugi juhus.

Nõnda vastasin ma Riigikogu infotunnis rahvaesindaja Hanno Pevkuri küsimusele, miks otsustas valitsus loobuda terminist „ülekaalukas“ seaduse eelnõu tekstis. Osundan: „…peame aru saama, et Euroopa andmekaitse määrus väga selge tahtliku valikuna sätestab siin erandi. Liikmesriigid sisustavad andmesubjekti nõusolekuta isikuandmete töötlemist ajakirjandusliku huvi eesmärgil iseseisvalt. Ma pean oluliseks ajakirjandusvabadust ja selle kaitset, sellest lähtuvalt on tehtud ka see muudatus. Loomulikult on ajakirjandusel oma selgelt piiritletud raamid, kuidas ta andmesubjekti nõusolekuta isikuandmeid töötleb. Ma arvan, et selles küsimuses oli see lähtekoht, miks valitsus sellekohase seaduseelnõu sellise muudatusega esitas.“ Tsitaadi lõpp.

Riigikogu menetluses lisati avaliku huvi ette sõna „ülekaalukas“ – nagu see on senises seaduses. Iseenesest võib öelda, et „ülekaalukas“ väljendab lihtsalt seda, et põhiõiguste põrkumisel kaalutakse, kumb kaalub teise üle – õigus eraelule versus avaliku huviga põhjendatav sõnavabadus. Kuid „ülekaalukal“ on ka teine tähendus. Mida tähendab „ülekaalukas võit“ jalgpallis? Mitte lihtsalt skoori 1:2, vaid näiteks 1:7. Võttes hoopis selle arusaama eraelu ja sõnavabaduse põrkealasse, läheksid nad tasakaalust välja.

Rõhutan, et sõna „ülekaalukas“ kasutamise kohta on viidatud, otsekui see termin tuleneks varasemast kehtinud isikuandmete kaitse direktiivist. See nii pole. Isikuandmete kaitse varasem direktiiv sedastab, et kui isikuandmeid töödeldakse ainut ajakirjanduse jaoks, sätestavad liikmesriigid erandid või kõrvalekalded ainult siis, kui see on vajalik selleks, et viia omavahel vastavusse eraelu puutumatuse õigust ja sõnavabadust reguleerivad eeskirjad. Mingit nõuet sõna „ülekaalukas“ kasutamiseks ei tulene ka uuest jõustunud isikuandmete kaitse määrusest, mille artikkel 85 sätestab, et liikmesriigid ühitavad siseriiklike seadustega õiguse andmekaitsele sõna ja teabevabadusega, sealhulgas ajakirjandusvabadusega. Avalikkuses viidatud ingliskeelne sõna „substantial“, mida eesti õigustõlge on määratlenud kui sõna „oluline“, puudutab hoopis eriliiki ehk delikaatsete isikuandmete töötlemise ühe erisuse eeldust siseriiklikus õiguskorras.

Ma olen kaugel sellest, et ühineda mõttekäiguga, et kehtiva siseriikliku õiguse kasutuses olnud sõna ülekaalukas lisamine põhiseaduskomisjonis oli otsekui soov nagu siin Marju Lauristin on öelnud, et Ungari ja Poola arenguid esile kutsuda. Jättes kõrvale hinnangud meie headele partnerriikidele ja meediavabadusele neis riikides, tsiteerin tänases päevalehes Raidla büroo advokaatide Merlin Liisi ja Eneken Tikki artiklit, milles nad ratsionaalselt nendivad, et Euroopa Inimõiguste kohtu ja andmekaitseasutuste praktikat arvesse võttes ei tohiks tõlgendamisel justkui olla vahet kas seaduses see ülekaalukas on või mitte. Kuid lugupeetavad advokaadid rõhutavad, et normitehniliselt peaks mis tahes seaduse tekstist välja sõnad, millel pole seaduse rakendamise seisukohalt iseseisvat õiguslikku tähtsust.

Vallandunud debatt pole kauget enam muidugi juriidiline. Autorid nendivadki, et praegusel juhul on üks sõna tekitanud Eesti ümber ajakirjandusvabaduse skandaali, mille klaarimisse on sekkunud nii meediategelased, poliitikud kui ka juristid ning kuigi ühegi õigusvaidluse tulemus tüliõunaks kujunenud sõnast ilmselt ei muutu, on tekkinud mulje, otsekui tahetaks Eestis ajakirjandusvabaduse tagatisi vähendada. Taolises olukorras ei soovi valitsus asetada rahvaesindust sümboolsesse hääletusse mitte enam juriidiliste terminite, vaid ajakirjandusvabaduse kaitse üle, sest selles valikus on valitsus jätkuval seisukohal, et Eesti ühiskonna usalduse ja läbipaistvuse garant on vaba meedia. Ning kui määrus kaitseb tugevamalt isikuandmeid, peame proportsionaalselt ka siseriiklikus õiguses andma tugevama ajakirjandusvabaduse tagatise. Seetõttu esitas valitsus parlamendi menetlusse eelnõu ilma terminita „ülekaalukas“.

28 liikmesriigist 7 on siseriiklikus õiguskorras oma täpsustavad seadused jõustanud. Eelistan uue isikuandmete kaitse seaduse hilisemat vastuvõtmist kui põhiõiguste omavahelise tasakaalu ohtu seadmist, olgu see oht siis mitmete hinnangute järgi õiguslikus mõttes tegelik või ennekõike psühholoogiliselt tajutav või siis võimalikul tulevasel pahatahtlikul tõlgendamisel ajakirjandust piirav viisil, mida vähemalt sõnades keegi soovinud pole.

Mitmel varasemal korral on seadusandja enamuse valdav soov muutunud võrreldes selle tahtega, kuidas eelnõu on läinud teisele lugemisele, kuid kodukorra seadus seda ei võimalda vastupidiselt riigieelarve menetlemisele. Seega pole seadusandjal võimalik kolmandal lugemisel muudatusi teha.

Seda arvestades võtan valitsuse nimel isikuandmete kaitse seaduse eelnõu riigikogu menetlusest tagasi.

Mis saab edasi? Euroopa isikuandmete määrus kehtib, määrusest tulenevate erisustega kehtib ka senine isikuandmete kaitse seadus.

Kavatsen homme esitada valitsusele Riigikogule arutamiseks ja otsustamiseks isikuandmete kaitse seaduse eelnõu, milles kõnealust sätet ei ole ning loodan asjalikule koostööle nii riigikogu kui huvirühmadega, nagu see seni kulgenud on!

Aitäh teile!