Kas GDPRi alusel saab Eestis trahve määrata?

Fakt, et kehtiva isikuandmete kaitse seaduse järgi võib andmekaitse inspektsioon trahve määrata, on õige. Kehtiv isikuandmete kaitse seadus sätestab, et isikuandmete töötlemise nõuete eiramise eest võib andmekaitse inspektsioon määrata juriidilisele isikule trahvi kuni 32 000 eurot.

GDPR näeb aga karistusena ette rahatrahvi maksimumsummas kuni 20 miljonit eurot või juriidilise isiku puhul kuni 4% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem. Täna ei ole Eesti õiguskorras ühtegi kehtivat väärteokoosseisu või kehtivat normi, mis annaks andmekaitse inspektsioonile pädevuse hiigeltrahve määrata. andmekaitse inspektsioonil on küll õigus teostada järelevalvet andmekaitse valdkonnas, kuid on enam kui küsitav, kas AKI saab täna määrata trahve GDPRi sätestatud maksimumsummas. Selguse huvides olgu üle korratud, et tekkinud segases olukorras ei ole kuidagi süüdi andmekaitse inspektsioon, sest andmekaitse inspektsiooni ülesanne ei ole olnud uue isikuandmete kaitse seaduse eelnõu koostamine ega selle vastuvõtmine.

Küsimus taandub sellele, kas riik saab teostada karistusvõimu otse Euroopa Liidu õigusest tulenevalt või mitte. See tuleks jätta kohtute lahendada. Karistusvõimu, mille üheks osaks Eesti õiguses on ka väärteomenetlus, ei saa teostada meelevaldselt, vaid vajalik on kehtiva riigisisese pinnase loomine. Ka justiitsministeerium on pidanud tegelikult vajalikuks karistusseadustiku üldosa muutmist selleks, et tulevikus oleks võimalik suuri haldustrahve kohaldada.

Kui GDPRist tulenev oleks otsekohalduv, siis puuduks ju vajadus karistusseadustiku üldosa muutmiseks ja eelnõu koostamiseks ministeeriumi poolt. Tänase seisuga on eelnõu riigikogu menetluses.