Riigikogu võttis 19. juunil vastu rahapesu ja terrorismi rahastamise tõkestamise seaduse ning rahvusvahelise sanktsiooni seaduse muutmise seaduse (640 SE) ja saatis selle Vabariigi Presidendile välja kuulutamiseks. FinanceEstonia nagu ka Eesti Kaubandus-Tööstuskoda ja Eesti Advokatuur peavad praegusel kujul seadust vastuolus olevaks nii põhiseaduse kui ka Euroopa Liidu õigusega, mistõttu pöörduti Vabariigi Presidendi ja õiguskantsleri poole.
Seadus annab rahapesu andmebüroole võimaluse koondada paljudest registritest eraisikute ja ettevõtete andmed kokku üheks tehisintellekti abil loetavaks andmelaoks, et sõeluda välja ebaharilikud mustrid, mis viitavad võimalikule rahapesule. Paraku kaasneb sellega ka andmelekke ja valede järelduste tegemise risk.
Kuivõrd Riigikogu võttis eelnõu vastu, palub FinanceEstonia nüüd Vabariigi Presidendil analüüsida, kas esinevad alused seaduse välja kuulutamata jätmiseks. Seaduse jõustumisel palutakse õiguskantsleril analüüsida, kas esineb alus põhiseaduslikkuse järelevalve menetluse algatamiseks.
FinanceEstonia toob eelnõu olulisemate puudustena välja järgmist:
- eelnõule ei ole koostatud väljatöötamiskavatsust ning menetluse jooksul ei ole toimunud piisavat mõjutatud osapoolte kaasamist;
- põhiõiguste riive proportsionaalsuse hindamine on puudulik;
- andmekaitsealane mõjuanalüüs on puudulik;
- isikuandmete kaitse põhimõtetega ei ole arvestatud;
- andmete pseudonüümimist ei ole piisavalt selgelt käsitletud;
- profiilianalüüsi ja automatiseeritud andmetöötlusega kaasnevaid riske ei ole piisavalt analüüsitud;
- tehisintellekti määruse nõudeid ei ole käsitletud;
- puudulik mõju hindamine kohustatud isikute osas.
Eelnõud ei saadetud FinanceEstoniale kooskõlastamiseks ning FinanceEstonia juhatuse esimehe Kaido Saare sõnul on puudulik kaasamine põhjustanud olulisi sisulisi puudusi eelnõus ning seaduse välja kuulutamine võib viia põhiõiguste intensiivse riiveni. Seletuskirjas ei ole seejuures adekvaatselt hinnatud kavandatava põhiõiguste riive proportsionaalsust.
“Hinnangud andmetöötluse sobivusele, vajalikkusele ja mõõdukusele piirduvad paljasõnaliste väidetega, et andmetöötlus on proportsionaalne, sest selle kaudu saab efektiivsemalt tõkestada rahapesu, kuid puudub igasugune analüüs, millist mõju avaldab see andmesubjektidele, milliseid põhiõigusi millise intensiivsusega riivatakse,” ütles Saar.
Piisava põhjalikkusega ei ole analüüsitud plaanitava andmetöötluse riske ega hinnatud riskide maandamise võimalusi. “Eelnõu seletuskirjast nähtub suhtumine, et koguda tuleks igaks juhuks võimalikult palju andmeid, sest ainult nõnda on võimalik tõhusalt võidelda rahapesu ja terrorismi vastu. See on vastuolus töötlemise minimaalsuse põhimõttega, mille järgi tohib andmeid koguda vaid nii palju, kui on eesmärgi saavutamiseks vajalik,” lisas Saar.
FinanceEstonia hinnangul piirab seadus väga tugevalt andmesubjeki õigusi, sealhulgas õigust saada teada tema isikuandmete töötlemisest, andmete edastamisest ja isikuandmetega seotud rikkumistest, nõuda töötlemise piiramist ja esitada vastuväiteid. Samuti esineb mitmeid ebakõlasid eelnõu ja seletuskirja vahel, millest üks on seotud pseudonüümimisega.
“Seletuskirjas öeldakse, et enne andmete RABi andmekogusse salvestamist teostatakse isikuandmete pseudonüümimine, ent eelnõu tekst seda nõuet ei sätesta, et andmed kogutakse pseudonümiseeritult,” selgitas FinanceEstonia juhatuse esimees. Samuti ei selgitata seletuskirjas ega reguleerita eelnõus, kuidas pseudonüümimine läbi viiakse ja kuidas maandatakse isiku taastuvastamise riske suuremahulise andmete kombineerimise korral.