Maris Juha
Andmekaitse Inspektsiooni järelevalve juht
Nele Parrest
riigikohtunik
Andmesubjekt esitas halduskohtule kaebuse. Ta palus kohustada maakohut väljastama talle teavet selle kohta, kes ja millal on kohtute infosüsteemis tema andmetega tutvunud. Andmesubjekt esitas logiandmetega tutvumise taotluse esmalt Justiitsministeeriumile, kes edastas selle Harju Maakohtule kui andmesubjektiga seotud kohtasju menetlenud kohtule. Andmesubjekt oli menetlusosaline kahes tsiviilkohtuasjas (üks neist lõppenud) ja ühes kriminaalasjas.
Kes peab kirjeldatud juhtumil vastama andmesubjekti taotlusele väljastada isikuandmete töötlemist puudutav teave? Millised normid vastamist reguleerivad? Millised õiguskaitsevõimalused on isikul kohtu andmetöötlustoimingute vastu? Kuidas erinevad isikuandmete töötlemise seisukohalt pabertoimik ja digitoimik? Kas üks kohtuharu saab kohustada teist? Kas andmesubjekt võib pöörduda Andmekaitse Inspektsiooni poole, et viimane kontrolliks kohtute isikuandmete töötlemise toiminguid?
I Normide rägastik
Nagu mis tahes Euroopa Liidu (EL) õiguse nii ka isikuandmete kaitse õiguse valdkonnas on erinevates õigusaktides orienteerumine ja eri tasandi normide koostoime tulemuse väljaselgitamine sageli keeruline, kui mitte juriidilist kõrgpilotaaži eeldav ülesanne. Alates 1. maist 2018 reguleerib isikuandmete töötlemist isikuandmete kaitse üldmäärus 2016/679 (IKÜM).[2] Lisaks sellele kehtivad õiguskaitseasutuste direktiiv 2016/680[3] ja riigisisese õigusaktina mõnetise hilinemisega Eesti seadusandja vastu võetud ja 15. jaanuaril 2019 jõustunud isikuandmete kaitse seadus (IKS). Nende kõrval ei tohi ära unustada ka Euroopa Nõukogu isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni (mille ratifitseerimise seadus jõustus 2002. a) koos hilisemate lisaprotokollidega (ehk konventsiooni 108+).[4] Konventsiooni viimatised, põhjalikud muudatused jõustusid Eesti jaoks 1. detsembril 2020.
Viidatud õigusaktid ei kohaldu kõikidele asutustele ega menetlustele ühtmoodi. Selles artiklis vaadeldakse, kuidas need kohalduvad kohtutele.
1.1. Konventsioon 108+
Alustada tuleb vanimast, st konventsioonist. Konventsioon 108+ reguleerib isikuandmete töötlemist avalikus ja erasektoris, v.a kui isik töötleb andmeid eranditult isiklikul või kodusel eesmärgil.[5] 2018. a lisaprotokolliga lisati konventsiooni kohtuid käsitlevad erandid. Art-s 11 antakse võimalus piirata liikmesriigi seadusega konventsiooni teatud artiklite kohaldamist (sh art-s 9 sätestatud andmesubjekti õiguseid), kui see on vajalik, et tagada kohtute erapooletuse ja sõltumatuse kaitse. Samuti sätestati, et järelevalveasutustel „ei ole pädevust seoses töötlemisega, mida teevad organid, kes tegutsevad õigusemõistmise funktsiooni piires“ (art 15 lg 10).
Konventsioon nõuab, et konventsiooniosaline võtab vajalikke meetmeid oma õiguses, et konventsiooni sätted jõustada ja tagada nende tõhus kohaldamine (art 4 lg 1), kusjuures riigisiseste meetmete tõhusust hakkab hindama konventsiooni asjakohane komitee. Sellest tuleneb, et liikmesriik peaks lisaks ratifitseerimisele (või ühes sellega) kehtestama riigisisese regulatsiooni. See on analoogne EL-i direktiivi ülevõtmisega.
Konventsiooni ja 2001. a lisaprotokolli ratifitseerimise seaduste eelnõude seletuskirjadest selgub, et konventsiooni rakendusaktideks on peetud sel ajal kehtinud IKS-i.[6] 2018. a lisaprotokolli ratifitseerimise eelnõu seletuskirjas on öeldud, et eelnõu rakendamisega ei kaasne riigile tegevusi ning protokolli rakendamiseks ei ole vaja välja töötada rakendusakte.[7]
Kui vaadata varasemate (1996., 2003. ja 2007. a) IKS-ide kohaldamisala sõnastust, siis need olidki kõikehõlmavad, kuigi otsesõnu konventsioonile ei viidanud. 2019. a jõustunud IKS § 1 seevastu piiritleb IKS-i reguleerimisala üksnes EL-i õiguse Eesti õigusesse ülevõtmise kaudu (IKÜM-i rakendamine ning õiguskaitseasutuste andmetöötlus süütegude menetlemisel). Ka eelnõu seletuskirjast ei leia viiteid, et IKS oleks konventsiooni 108+ rakendama mõeldud õigusakt. Vastupidi, seletuskirjas rõhutatakse korduvalt eelnõu eesmärgina üksnes vajadust EL-i õigus riigisisesesse õigusesse üle võtta.[8]
Niisiis ei ole konventsioonil 108+ enam kehtivat üldrakendusakti. Tõsi, IKÜM-i kohaldamisala ulatuses sisulist probleemi ei ole, sest IKÜM ja konventsioon 108+ on omavahel kooskõlalised. Niisiis on IKÜM-i (ja seda kohaldada aitavate IKS-i) normide kaudu konventsiooni 108+ eesmärgid sisuliselt täidetud. Konventsiooni 108+ selgeteks rakendusaktideks saab pidada ka neid eriseadusi, mis reguleerivad selliste asutuste sellist tegevust, mis IKS § 2 kohaselt ei allu ei IKÜM-ile ega IKS-ile.
IKS-i rakendamise seaduse eelnõu seletuskirjas on loetletud, mis jääb IKS-i (ja seega ka IKÜM-i) rakendusalast välja: „Eelnõu [—] koostamisel lähtuti arusaamast, et isikuandmete kaitse seaduse ja isikuandmete kaitse üldmääruse reguleerimisalast jääb välja isikuandmete töötlemine järgmistes õigusvaldkondades: Põhiseaduslikud institutsioonid nende põhiülesannete täitmisel, sealhulgas seadusloome ja riigieelarve vastuvõtmine. Isikuandmete kaitse üldmäärus võib laieneda isikuandmete töötlemisele põhiseaduslike institutsioonide kantseleiliste, personali- ja varahalduse ülesannete täitmisel.“ Samas seletuskirjas on selgitatud, et nii riigi julgeoleku tagamise valdkonnas kui ka riigi põhiseaduslike institutsioonide olemuslike ülesannete täitmisel saavad liikmesriigid suveräänselt kujundada isikuandmete kaitse regulatsiooni, arvestades põhimõtteid, mis sisalduvad konventsioonis 108+.[9]
Olgu etteruttavalt öeldud, et osundatud seletuskirja väljavõttes kohtuid põhiseaduslikuks institutsiooniks ei peetud, st eelkirjeldatu kohtuid õnneks ei puuduta. Siiski tuleb märkida, et seda, kas ja kuivõrd eriseadused konventsioonile 108+ kohaseid rakendusnorme sisaldavad, saab iga artikli lugeja ise otsida näiteks riigikontrolli seadusest, õiguskantsleri seadusest jms.
Olukorras, kus konventsioonil 108+ selged rakendusnormid puuduvad, saab andmesubjekt oma õigusi teostades tugineda otse konventsioonile üksnes juhul, kui konventsiooni säte on piisavalt selge ega sisalda kaalutlusõigust (vrd nt art 9 „Igaühel on õigus“ ja art 8 „Konventsiooniosaline peab tagama“). Küll aga ei saa sel moel tuletada näiteks Andmekaitse Inspektsiooni järelevalvepädevust põhiseaduslike institutsioonide üle. Nii leidis Riigikohus, analüüsides 2015. a küsimust Andmekaitse Inspektsiooni järelevalvepädevusest Riigikogu Kantselei üle, et võimude lahususe põhimõttest lähtudes oleks selline kontroll võimalik vaid juhul, kui seadusandja oleks Riigikogu ja Riigikogu Kantselei sõnaselgelt sellisele kontrollile allutanud.[10]
1.2. IKÜM, direktiiv ja IKS[11]
IKÜM ei ole ühene küsimuses, kas ja mil määral kohalduvad selles seatud reeglid, kui isikuandmete töötlejaks on kohus. See on avanud ukse erinevatele tõlgendustele. On käsitlusi, kus leitakse, et kohtud on täielikult IKÜM-i kohaldamisalast väljas, või, viidates Euroopa Liidu toimimise lepingu (ELTL) art-le 16, ollakse seisukohal, et IKÜM on rakendatav üksnes olukordades, kus kohtud kohaldavad EL-i õigust, mitte aga puhtalt riigisiseses olukorras. Valitseva arvamuse kohaselt IKÜM kohtutele isikuandmete töötlemisel siiski põhimõtteliselt laieneb. [12][13]
Selgeks üldiseks erandiks IKÜM-i kohtutele laienemises on IKÜM art 2 lg 2 p-st d tulenev õiguskaitseasutuste ehk nn süüteomenetluse erand: „isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil“. St IKÜM ei laiene isikuandmete töötlemisele, mis toimub direktiivi 2016/680 alusel. Eestis on selleks näiteks olukord, kus kohtud kohaldavad süüteomenetlusõigust.
Mõneti ebaselge on ka IKÜM art 2 lg 2 p a kui teine potentsiaalne üldine erand. Selle sätte järgi ei kohaldata IKÜM-i, kui „isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus“, st tegu on väljapoole EL-i õiguse kohaldamisala jääva olukorraga. Kõnealust erandit on senises praktikas tõlgendatud siiski väga kitsalt ja kohtute tegevus õigusemõistmisel selle alla ilmselt pigem ei paigutu (tõsi, kindel ei saa selles olla kuni Euroopa Kohtu sellekohase selge seisukohavõtuni).[14] Kohtujurist Szpunar on kõnealuse erandi kitsast tõlgendusest lähtumist põhjendanud näiteks järgmiselt: „Nagu nähtub ELTL artiklist 16, on andmekaitse omaette liidu poliitikavaldkond. Isikuandmete kaitse üldmäärus ongi konkreetselt mõeldud isikuandmete töötlemisele mis tahes vormis asjasse puutuvast küsimusest sõltumata – ja seda olenemata sellest, kas teostajaks on liikmesriigid või üksikisikud. Isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti a tõlgendamine kitsendavalt nurjaks selle eesmärgi täielikult. Andmekaitsetiigriks mõeldud määrus osutuks hoopis kodukiisuks.“[15]
Kuigi IKÜM (direktiivist 2016/680 tulenevaid erandeid arvestades) kohtutele põhimõtteliselt ilmselt laieneb, kohaldub kohtute jaoks IKÜM-i järgi siiski teatud erirežiim. Seda osas, milles nad täidavad oma „õigust mõistvat funktsiooni“[16] (judicial capacity, fonction juridictionnelle, justiziellen Tätigkeit).[17] Nii võivad kohtud töödelda eriliiki isikuandmeid (art 9 lg 2 p f); kui EL-i või liikmesriigi õigus nii sätestab ja eeldusel, et see on proportsionaalne, võib kohus piirata andmesubjekti õigusi (art 23 lg 1 p f)[18]; kohtud ei pea määrama andmekaitseametnikku (põhjendus 97, art 37 lg 1 p a); samuti ei laiene neile Andmekaitse Inspektsiooni järelevalvepädevus (põhjendus 20, art 55 lg 3). Viimast sätestab õiguskaitseasutuste kohta ka direktiivi 2016/680 art 45.
IKÜM-i põhjendusest 20 ja art-st 23 ning direktiivi 2016/680 põhjendusest 80 on tuletatav kohtutele antud erandite eesmärk – tagada kohtusüsteemi sõltumatus.[19]
Seisukohast, et IKÜM kohaldub kohtutele, on lähtunud ka Eesti seadusandja. Seadusandja sellise tahte väljaselgitamine eeldab siiski mõnetist pingutust. Nimelt sätestab IKS § 2, et IKS-i ja IKÜM-i kohaldatakse „1) süüteomenetlusele ja kohtumenetlusele menetlusseadustikes sätestatud erisustega; 2) põhiseaduslikele institutsioonidele niivõrd, kuivõrd see ei puuduta nende põhiseaduslike ülesannete täitmist ega ole reguleeritud neid puudutavates eriseadustes“.
Toodud sätet analüüsides jõudsid autorid (olles vestelnud ka eelnõu välja töötanud ametnikega) arusaamisele, et IKS § 2 p-s 2 pole põhiseaduslike institutsioonide all kohtuid silmas peetud. Vastasel juhul oleks täiesti sisutu IKS § 2 p 1, mille kohaselt kohaldatakse IKÜM-i ja IKS-i kohtumenetlusele menetlusseadustikes sätestatud eranditega. Ka IKS-i seletuskirjas toodud põhiseaduslike institutsioonide loetelus pole kohtuid eraldi nimetatud.[20] IKÜM-iga kohtutele lubatud „õigusemõistmise“ erand andmesubjekti õiguste piiramisel (art 23) peab sisalduma menetlusseadustikes. Kui menetlusseadustikus erinormi ei ole, kohaldub IKS § 2 p 1 järgi IKÜM ja IKS.
IKS § 2 vaadates lisab segadust siiski asjaolu, et sätte kohaselt kohaldatakse IKS-i ja IKÜM-i ka õiguskaitseasutuse tegevusele „süüteo tõkestamisel, avastamisel ja menetlemisel ning karistuse täideviimisel“, samas kui IKS § 12 lg 3 järgi IKÜM ei peaks kohalduma. IKS-i seletuskirja kohaselt sooviti siiski piir IKÜM-i ja direktiivi kohaldamisala vahel tõmmata selliselt, et kuni süüteomenetluse alustamiseni tuleb lähtuda IKÜM-ist ning väärteo- ja kriminaalmenetluses IKS-i 4. peatükist.[21] Seega, näiteks politsei korrakaitsetegevus ohu ennetamisel ja väljaselgitamisel toimub ühtede andmekaitse reeglite järgi, selle käigus avastatud õigusrikkumise süüteomenetlus aga juba teiste järgi. IKS-i 4. peatükile allub ka karistuse täideviimine, sh kriminaalhooldus.
Väärteomenetlusest rääkides tuleb peatuda veel ühel küsimusel. Nimelt annab IKS-i 6. peatükk Andmekaitse Inspektsioonile pädevuse viia andmekaitsealastes rikkumistes läbi väärteomenetlust ning sätestab väärteokoosseisud (mõned andmekaitsealased süüteokoosseisud on lisaks ka karistusseadustikus (KarS), vt §-d 157 ja 1571). Liialdamata võib öelda, et nende väärteokoosseisude alla annab paigutada pea iga vääratuse. Niisiis võib küsida, kas inspektsioon saab kohtunikku või kohtuametnikku karistada, sh õigusemõistmise raames toime pandud rikkumiste eest, ning kas tegu ei ole „tagaukse“ kaudu järelevalvega kohtute sisulise tegevuse üle, mis IKÜM-i järgi peaks olema keelatud. Andmekaitse Inspektsioon on keerulises olukorras, kuna teda seob väärteomenetluse kohustuslikkuse põhimõte (vt väärteomenetluse seadustiku § 31). Eriti terav on see küsimus nende väärteokoosseisude puhul, mis IKS-i on lisatud IKÜM-i haldustrahvide Eesti õigusesse ülevõtmiseks. Kui meenutada, et IKS-is ja KarS-is sisaldusid väärteokoosseisud ka enne IKÜM-i jõustumist, võis seadusandja teadlikult otsustada, et üksnes menetlusalusest isikust tulenevalt pole mõistlik menetluspädevust Andmekaitse Inspektsiooni ja politsei vahel jagama hakata.
1.3. Vahekokkuvõte
Eeltoodut kokku võttes saab autorite hinnangul teha järelduse, et puudub konventsiooni 108+ formaalne rakendusakt, mistõttu on keeruline öelda, millised on Eesti riigi poolt konventsiooni kohaldamiseks vastu võetud kohtuid puudutavad rakendussätted ja erandid konventsiooni otsekohalduvatest normidest. Sisuliselt on konventsiooni 108+ rakendumine täidetud siiski seeläbi, et kohtutele kohalduvad IKÜM ning IKS (sh IKS-i 4. peatükk), ning need kohalduvad kohtutele omakorda niivõrd, kuivõrd menetlusseadustikud ei sätesta teisiti. Menetlusseadustikud on need, kust peaks nähtuma IKÜM art-s 23 kohtutele võimaldatud „õigusemõistmise“ erandid ning direktiivi 2016/680 kohaldamiseks vajalikud normid. Kuigi Andmekaitse Inspektsioon ei või kontrollida, kas kohtud on õigusemõistmise raames töödelnud isikuandmeid õiguspäraselt, kohaldub kohtute õigusemõistmisest väljapoole jäävale „muule“ tegevusele IKÜM tervikuna, sh Andmekaitse Inspektsiooni järelevalvepädevus.
II Õigusemõistmise erandi tõlgendamise lähtekohad
Selgitamisel, mis on IKÜM-i järgi kohtu „õigust mõistev funktsioon“, ei saa paraku piirduda Eesti õiguse (nt põhiseaduse (PS) XIII ptk, eriti § 146, riigivastutuse seaduse § 15), kohtupraktika (nt kohtuasjad küsimuses, milliseid otsustusi ja toiminguid võivad kohtuametnikud teha[22]) ega õigusteaduslike käsitlustega[23]. Ka siin kehtib teada-tuntud põhimõte, et Euroopa Liidu õiguse terminitel ja normidel on autonoomne sisu ja tähendus.[24] Seega ei ole IKÜM-i erirežiimi ulatuse üle otsustamisel määrav see, et Eesti seadusandja on otsustanud mingi ülesande anda kohtule lahendada ja reguleerinud asjakohast menetlust kohtumenetluse seadustikus. Eesti käsitlused võivad olla üksnes inspiratsiooniallikaks, kuna üldjuhul püüab Euroopa Kohus oma seisukohtades siiski tugineda liikmesriikide ühistele arusaamadele ja konstitutsiooniõiguslikele põhimõtetele. Lõppastmes jääb mõiste määratlemise ja piiride tõmbamise õigus siiski Euroopa Kohtule.
Kohtute sõltumatuse tagamine kui kohtutele antud erandite eesmärk[25] on üks osa õigusriigi põhimõttest, olles seega ka üheks Euroopa Liidu aluspõhimõtteks (Euroopa Liidu lepingu (ELL) art 2). Liikmesriikide kohtud on eeskätt need, kes peavad tagama isiku õiguse tõhusale kohtulikule kaitsele EL-i õigusega hõlmatud valdkondades (ELL art 19 lg 1), sh ka IKÜM-i kohaldades. Tõhusaks kohtulikuks kaitseks vajaliku õiguskaitsevahendi nõue hõlmab ka kohtute sõltumatust kaitsvaid norme, mis peavad „võimaldama välistada mitte ainult igasuguse otsese mõju juhiste kujul, vaid ka kaudsema mõju vormid, mis võivad asjaomaste kohtunike otsuseid suunata“.[26] Liikmesriigi kohtute sõltumatus on eriti oluline lisaks eelotsusemehhanismi raames toimuva õigusalase koostöö seisukohast.[27]
Teisalt on IKÜM-i üks põhieesmärke – tagada õiguse isikuandmete kaitsele üleeuroopaline kõrge kaitsetase – põhiõigus (põhjendused 1 ja 10; Euroopa Liidu põhiõiguste harta art 8).
Seega põrkuvad (vähemasti näiliselt) justkui sama tasandi väärtused. Sestap võib küsida, kas IKÜM-i „õigusemõistmise“ erandi tõlgendamisel kehtib Euroopa Kohtu poolt mitmetes teistes valdkondades kasutatav tõlgendusjuhis, mille järgi tuleb erandeid üldreeglist tõlgendada kitsendavalt. St kohus saab tugineda õigusemõistmise erandile vaid kitsalt piiritletud juhtudel (vt ka direktiivi 2016/680 põhjenduse 80 teine lause). Ilmselt tuleb sellele vastata jaatavalt. Näiteks on Euroopa Kohus sisustanud kitsendavalt avaliku teenistuse ja avaliku võimu teostamise mõisteid kui erandeid töötajate vaba liikumise[28] (ELTL art 45 lg 4) ja asutamisvabaduse[29] (ELTL art 51) põhimõtetest, mille raames liikmesriigid võivad olla huvitatud reserveerimast (tuumik)haldusfunktsioonid vaid oma riigi kodanikele. Andmekaitseõiguses liikmesriikide ainupädevusse kuuluvate valdkondade kitsendava tõlgendamise põhimõttest lähtumine on aimatav ka praegusest Euroopa Kohtu praktikast.[30] Kohtupraktikast saab lisaks järeldada, et Euroopa Kohtu antav tõlgendus kujuneb detailselt konkreetse liikmesriigi organi korraldust, alluvust, täidetavaid ülesandeid jms analüüsides, st ühe liikmesriigi kohta tehtud järeldus ei pruugi automaatselt kehtida teise liikmesriigi samalaadse organi kohta.[31]
III Õigusemõistmisevälised ülesanded
Seadusandja on pidanud õigusemõistmiseväliseks tegevuseks kantseleiliste, personali- ja varahalduse ülesannete täitmist.[32] Kantseleiliste ülesannete all ei tule autorite arvates silmas pidada kohtu kantselei tegevust. Mõeldud on ilmselt dokumendiregistri pidamist, bürootarvete tellimist, hankemenetlusi ja infosüsteemide haldamist.
Kohtute infosüsteemidega seondub siiski oluline nüanss. Nimelt on kohtute infosüsteemi ja e-toimiku andmekogu vastutav töötleja[33] Justiitsministeerium ning neid arendab, hooldab ja majutab Registrite ja Infosüsteemide Keskus (vt kohtute seaduse (KS) § 34 lg 2, justiitsministri 15. veebruari 2006. a määruse nr 5 „Kohtute infosüsteem“ § 5, justiitsministri 3. juuli 2008. a määruse nr 111 „E-toimiku süsteemi asutamine ja e-toimiku süsteemi pidamise põhimäärus“ § 4). Nende kahe asutuse tegevusele kohaldub IKÜM tervikuna ning ka Andmekaitse Inspektsioonil on õigus teha järelevalvet mõlema andmekogu pidamise üle. Muuhulgas on andmesubjektil õigus esitada taotlus tema kohta emmas-kummas andmekogus olevate andmetega tutvumiseks vastutavale töötlejale[34] ning Andmekaitse Inspektsioon saab teha järelevalvet, kas andmesubjekti nõue täideti kohaselt.
Küll tuleb seejuures eristada seda, millega andmesubjekt soovib tutvuda. Kui andmesubjekt soovib tutvuda kohtumenetluse (digitaalse) toimikuga, kohalduvad menetlusseadustikud ja neid täpsustavad kohtu kantselei kodukorra[35] sätted, mis reguleerivad seda, kes ja millises mahus saab andmetega tutvuda ning kellel on selle üle otsustuspädevus.[36] Infosüsteemi tehniline regulatsioon (põhimäärus) ei või muutuda „tagaukseks“, mille kaudu saab menetlusseadustike toimikuga tutvumise normidest mööda hiilida. Kui andmesubjekt aga soovib näiteks üksnes teavet, kas kohtute infosüsteemis on tema isikuandmeid või kas ja kes on tema andmeid kohtute infosüsteemis vaadanud,[37] siis üldjuhul peaks eeldatavasti olema tegu IKÜM-ile ja IKS-ile, mitte menetlusseadustikele allutatud toimikuga tutvumise taotlusega. Kuna tegu ei ole toimikuga tutvumisega, siis ei peaks siin probleemiks olema ka menetlusseadustike nõue teha märge toimikuga tutvumise kohta (nt halduskohtumenetluse seadustiku (HKMS) § 88 lg 3, tsiviilkohtumenetluse seadustiku (TsMS) § 59 lg 51, kohtu kantselei kodukorra § 29 lg 1). Tuleb möönda, et üksikjuhul võib olla keeruline nende kahe olukorra vahele piiri tõmmata ning esimesest teabepäringust, kas infosüsteemis on isikuandmeid, võib hiljem välja kasvada uus toimikuga tutvumise taotlus.
Analoogne olukord on kohtulahendite avalikustamisega Riigi Teatajas. Ka viimane on andmekogu, mille vastutav töötleja on Justiitsministeerium (Riigi Teataja seaduse § 1 lg 2 ja § 8). Andmekaitse Inspektsiooni menetluses on olnud näiteks kaebus, milles juhiti tähelepanu, et kohtulahendis on isikuandmed nõuetekohaselt küll kinni kaetud, kuid isiku nimi sisaldub kohtulahendi faili pealkirjas. Selle asja lahendas inspektsioon Riigi Teataja vastutava töötleja kaudu, kes küll leidis, et ta ei vastuta selle eest, kuidas kohus lahendeid üles laadib. Põhjusel, et see ei sekku enam õigusemõistmisse, on inspektsioon end pädevaks tunnistanud lahendama kaebust, mis puudutas Riigikohtu avalikustatud lahendist isikuandmete eemaldamist karistusregistri seaduse § 28 alusel. Puutumus kohtuga võib esile kerkida ka karistusregistri kannete õigsuse vaidlustamisel, sest karistusregistrit eraldi andmekogumina ei eksisteeri. Selle andmed kuvatakse e-toimiku kannete järgi ning kanded on e-toimikusse teinud kohus.
Selgelt õigusemõistmiseväline on kohtuteenistujate ja kohtunike isikuandmete personalikorralduse eesmärgil toimuv töötlemine, sh värbamine. Kuigi kohtuniku ametisse nimetamise korraldus on üks kohtunike sõltumatuse garantiidest, ei ole erinorme IKÜM-is sellele ette nähtud. Eeldatavasti ei peaks Andmekaitse Inspektsiooni sellealane järelevalve kohtu sõltumatust ohustama, sest Andmekaitse Inspektsiooni enda sõltumatusele on seatud kõrgendatud nõudmised ning inspektsioon teenib andmesubjekti, st kohtuniku ja selleks pürgija õiguste kaitset. Vaidlusruumi siin kahtlemata siiski on.
Õigusemõistmise erandi kaitse ei laiene kohtumenetlusega seotud teiste isikute ja asutuste tegevusele. Praktikas proovitakse Andmekaitse Inspektsiooni tihti kohtumenetluses edu saavutamise vankri ette rakendada. Nii tuleb inspektsioonile rohkelt kaebusi vastaspoole peale, et too on ebaseaduslikult tõendi hankinud ja selle kohtule esitanud. Inspektsioon saab iseenesest kontrollida, kas menetlusosaline on isikuandmeid ebaseaduslikult kogunud, sest see on kohtuväline tegevus. Küll aga ei sekku inspektsioon sellise tõendi kohtule esitamisse, sest see oleks otsene sekkumine õigusemõistmisse. Poolel, kelle õigusi rikuti, on võimalik taotleda kohtult tõendi lubamatuks tunnistamist (nt TsMS § 238 lg 3 p 1, HKMS § 62 lg 3 p 1). Isikuandmete töötlemise reegleid rikkudes saadud tõend ei ole automaatselt lubamatu. Tõendi lubatavus sõltub rikkumise laadist ja raskusest konkreetsel juhul.[38] On olnud ka juhtum, kus menetlusosaline esitas kohtule ekslikult vale inimese kohta käiva dokumendi. Sel juhul kontrollis Andmekaitse Inspektsioon vaid dokumendi esitaja tegevuse õiguspärasust, sekkumata kohtu toimiku koostamisse.
IV Õigusemõistmise piirjuhud
4.1. Kohtule pandud „muud“ ülesanded
Põhiseadus näeb kohtule ette mitmeid selliseid funktsioone, mis ei ole kitsas mõttes õigusemõistmine, kuid kus põhiseadusandja on soovinud tagada mingil mõjuval põhjusel kõrgendatud põhiõiguste kaitse. Näiteks ei ole õigusemõistmine isiku vahi alla võtmine (PS § 21 lg 2), sõnumisaladusse sekkumise lubamine (PS § 43) ega õigusrikkumise eest ühingu, liidu või erakonna tegevuse lõpetamine ja peatamine (PS § 48 lg 4[39]). Lisaks põhiseadusele näevad mitmed seadused ette veel olukordi, kus kohus peab luba andes legitimeerima halduse tegevuse teatud põhiõiguste piiramisel kas kriminaalmenetluses (nt jälitustoimingud, vara arest)[40] või väljaspool seda (vt nt HKMS 27. ptk[41], TsMS 54. ptk).
Ühest küljest, kuna loa andmisel ei ole tegu õigusemõistmisele iseloomuliku vaidluse lahendamisega ega ka karistamisega, mida klassikaliselt peetakse õiguse mõistmise osaks,[42] võiks asuda seisukohale, et loa andmise menetlustele IKÜM ja direktiivi 2016/680 õigusemõistmise klausli erirežiim ei kohaldu. Teisalt, nõue, et vabaduse võib võtta üksnes sõltumatuse ja erapooletuse garantiisid omava kohtu loal, tuleneb Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni (EIÕK) art-st 5. Olukorras, kus erandite eesmärk on sõltumatuse tagamine ja see langeb kokku eesmärgiga, miks kohtule anti põhiõiguse piiramiseks loa andmise pädevus, võib eeldada ehk ka sellisele loa andmisele õigusemõistmise erandi laiendamist. Seejuures ei tundu mõistuspärane omakorda eristada erinevaid kohtulubasid sõltuvalt sellest, mis on tagasiviidav EIÕK-is sätestatule ja mis mitte, kui just seadusandja ei ole kohustanud kohut andma lube olukordades, mis ilmselgelt peaks jääma üksnes haldusorganite pärusmaaks.
Eestis on kohtute ülesandeks ka järgmiste registrite pidamine: äriregister, mittetulundusühingute ja sihtasutuste register, kommertspandiregister, kinnistusraamat, laevakinnistusraamat. Registripidamise puhul võib õigusemõistmise erandi kitsast tõlgendusest lähtudes eeldada, et Euroopa Kohus ei pea seda õigusemõistmise erirežiimi alla kuuluvaks. Kohtule registripidamise ülesande panemise eesmärk on tavaliselt üldistatult käibe- või õiguskindluse tagamine. See argument ei ole aga näiteks Euroopa Kohtu jaoks olnud kuigi kaalukas, otsustamaks selle üle, kas liikmesriik võib reserveerida notariameti üksnes oma kodanikele.[43] Ka Riigikohtu üldkogu on kinnitanud, et registrimenetlus ei ole üldjuhul õigusemõistmine.[44] Küll on õigusemõistmine vaidluse lahendamine registrikande õigsuse üle.
Registritega seotud andmekaitse keerukuste kohta võib näite tuua Andmekaitse Inspektsiooni praktikast. Seaduse järgi peab erakond liikmete nimekirja registriosakonna juures ja see avaldatakse mittetulundusühingute ja sihtasutuste registris (erakonnaseaduse § 81). Kannete muutmise õigus on erakonna juhatusel ja registriosakonnal. Andmekaitse Inspektsiooni poole pöördus isik, kes soovis enda nime kustutamist erakonnaliikmete nimekirjast, väites, et ta pole kunagi erakonda kuulunudki. Kuivõrd erakond inspektsioonile ei vastanud ega kasutanud võimalust vastuväiteid esitada, tegi inspektsioon erakonnale ettekirjutuse isiku nime kustutamise kohta. Kui ka sellele reaktsiooni ei järgnenud, tegi Andmekaitse Inspektsioon asendustäitmise korralduse mittetulundusühingute ja sihtasutuste registri vastutavale töötlejale. Justiitsministeerium kui registri vastutav töötleja aga leidis, et korralduse adressaat peaks olema Registrite ja Infosüsteemide Keskus, kellel on tehniliselt võimalik selline toiming teha. Kohtu registriosakond jäi asjast üldse kõrvale. Artikli autorites tekitab selline lahenduskäik siiski kahtlusi.
Kohtusüsteemi koosseisu kuulub Eestis lisaks maksekäsuosakond (KS § 161). Kui taas vaadata analoogia korras Euroopa Kohtu seisukohti notarile kodakondsuse nõude kehtestamise lubatavuse küsimuses, siis on kohus nentinud, et „notari pädevus, mis põhineb maksekäsu väljaandmise asjades üksnes võlausaldaja ja ka võlgniku tahtel ega puuduta kohtu pädevust pooltevahelise kokkuleppe puudumise korral, … ei ole mingil moel seotud otsese ja eriomase osalemisega avaliku võimu teostamisel“. Seda seisukohta ei muuda ka EL-i piiriülese maksekäsumenetluse määrus 1896/2006, kuna maksekäsumenetlus puudutab vaid vaidlustamata ja sissenõutavaks muutunud rahalisi nõudeid.[45] Arvestades eeltoodut, võiks esmapilgul ennustada, et Euroopa Kohus maksekäsumenetlust üldjuhul ilmselt õigusemõistmiseks ei pea. Tõlgenduse, et tegu ei ole õigusemõistmisega, seab kahtluse alla aga Euroopa Kohtu enda praktika viidatud määruse 1896/2006 kohaldamisel, mis mh nt lubab kohtul[46] omal algatusel kontrollida tarbijalepingute tingimuste õiguspärasust.[47] Autorite hinnangul peaks maksekäsumenetlus pigem õigusemõistmise alla paigutuma.
Eeltoodut arvestades on küsitav ka see, kas kõik maakohtute menetluses lahendatavad hagita menetluse asjad on õigusemõistmine või mitte (TsMS 11. osa, nt üleskutsemenetlus, isiku surnuks tunnistamine, varale hoolduse seadmine jms). Ilmselt sõltub see asja olemusest, sest osa neist kätkeb selgelt vajadust lahendada vaidlus või on tegu loa andmisega põhiõiguse kaitseks; osa neist aga sarnanevad pigem käibekindluse tagamise eesmärgil loodud registriasjadele.
Kokkuvõtlikult, Euroopa Kohtu seisukohtadest erinevates kohtuasjades nähtub esiteks, et otsustamisel, kas avaliku võimu toiming on eriomane avaliku võimu teostamisele, on olulisel kohal (kui mitte määrav) isiku nõusoleku küsimus ehk kas poolte vahel on kokkulepe, mille alusel avalik võim mingi toimingu teeb, või on poolte vahel vaidlus, mille avalik võim peab lahendama. Teiseks, Euroopa Kohus on keelanud kodakondsuse alusel diskrimineerimise selliste ametite puhul, mis hõlmavad tegevusi, „mis on avaliku võimu teostamise suhtes abistavad või ettevalmistavad … või teatavad tegevused, mille juurde kuulub küll regulaarne ja süsteemisisene suhtlemine haldusasutuste või kohtuga – kaasa arvatud kohustuslik osalemine nende tegevuses –, kuid mis ei mõjuta nende institutsioonide kaalutlus- ega otsustusõigust … või teatavad tegevused, mis ei hõlma otsustusõiguse …, sunniõiguse … või sunnimeetmete kohaldamise õiguse teostamist“[48]. Ilmselt võib eeltoodud seisukohti kasutada juhistena otsustamaks, kas mingi kohtule pandud ülesanne lugeda õigusemõistmiseks või mitte.
4.2. Piirjuhud kohtumenetluse „sees“
Kohtumenetlus on ajas kulgev protsess, mis koosneb erinevatest toimingutest: kohtusse saadetud dokumentide vastuvõtmine; nende registris (kohtute infosüsteemis) registreerimine; erinevatele isikutele ja asutustele registris olevate dokumentide kättesaadavaks tegemine; (potentsiaalsete) menetlusosalistega suhtlemine, sh neile dokumentide saatmine (posti, e-posti, Ametlike Teadaannete jms vahendusel); andmete kontrollimine erinevates registrites (nt karistusregistris, rahvastikuregistris jne); kohtuistungi korraldamine; kohtulahendite (määruste ja otsuste) koostamine; kohtumenetlust puudutava teabe avalikustamine (Riigi Teatajas, nt teave kohtuistungi aja ja lahendi teatavaks tegemise aja kohta, kohtulahendid jms); kohtumenetluse käigus kogutud teabele – toimikule – juurdepääsu andmine.
Kõik eelnimetatud toimingud on üldjuhul vältimatult vajalikud, et saavutada eesmärk – lahendada pooltevaheline vaidlus. Need toimingud on osa lahendusprotsessist. Kitsas mõttes õigusemõistmine on ilmselt aga üksnes tuum, s.o kohtuasja käivitanud vaidluse lahendamisel otsuse tegemine kohtumenetluse käigus kogutud asjaolusid ja tõendeid oma siseveendumuse järgi hinnates ning norme tõlgendades ja kohaldades. Sellest lähtudes on nii Eesti seadusandja (vt nt TsMS § 221, HKMS § 12, kriminaalmenetluse seadustiku § 231) kui ka kohtud tunnustanud seda, et teatud etappe eelnimetatutest võib teha kohtuniku asemel kohtuametnik. Näiteks on Riigikohus nentinud, et menetluskulude kindlaksmääramine (mis on olemuslikult kahju hüvitamine) praegusel TsMS-is sätestatud kujul on õigusemõistmine põhiseaduse mõttes.[49] Lahendist järeldub siiski, et kui tegu oleks „tehnilise ja arvutusliku toiminguga“, kus kindlaksmäärajal otsustusruum puudub (kas, millised, mis ulatuses ja proportsioonis), ei oleks see ilmselt õigusemõistmine.[50] Ka õigusrikkumise eest juriidilise isiku lõpetamine ei ole õigusemõistmine, kui see toimub formaalse tehnilise toiminguna, st otsustaja „üksnes kontrollib seaduses selgelt sätestatud asjaolude olemasolu või puudumist“. Kui sundlõpetamine toimub sisulistel põhjustel kaalutlusõiguse alusel, võib olla tegu õigusemõistmisega.[51]
IKÜM-i erirežiimi ulatuse üle otsustamisel võib aga keeruline olla sellist kohtumenetlusesisest piiri tõmmata. Seda põhjusel, et n-ö äärealadele jäävad tegevused võivad suuremal või vähemal määral mõjutada tuuma – seda, kuidas kohtuasi sisuliselt laheneb. Lähtudes sellest, et erirežiimi eesmärk on kohtute sõltumatuse tagamine, tuleks autorite hinnangul siinkohal tõlgendada õigusemõistmist kaitsvaid erinorme pigem laiendavalt.[52] Seda toetab ka IKÜM-i ja direktiivi 2016/680 sõnastus, mis viitab kohtu kui organisatsiooni, mitte kohtuniku kui persooni sõltumatusele. Kui Andmekaitse Inspektsiooni pädevuses oleks kontrollida, kas kaebuse vastu võtnud kantselei teenistuja registreeris kohtuasja korrektselt kohtute infosüsteemis, kas kohtujuristi või nõuniku tehtud registripäringud olid vajalikud kohtuasja lahendamisel, millises mahus tuleks kohtulahend avalikustada, kas kohtutoimiku tutvustamisel teisele menetlusosalisele tuli varjata isikuandmeid vms, võiks selline järelevalvepädevus seada kahtluse alla kohtu sõltumatuse. Erandiks on ehk vaid kohtutoimikule juurdepääs pärast kohtumenetluse lõppu, kuna see ei saa tagantjärele mõju avaldada sellele, kuidas asi laheneb. Toimikule juurdepääsu asjus peaks selgust looma ka Euroopa Kohtu vastus eelotsuse küsimusele.[53]
Kohtuekspertiisiseaduse (KES) norme vaadates tuleb piirjuhtude alla paigutada ka kohtuekspertiis. Seadusandja on kriminaalmenetluses, tsiviil- ja halduskohtumenetluses ning väärteomenetluses määranud kohtu ja ekspertiisi tegija kaasvastutavateks töötlejateks (KES § 41 lg 3).[54] Kuigi andmete töötlemise eesmärgi määrab kohus, siis selleks vajalikud andmed kogub ning nende töötlemise vahendid ja viisi määrab kindlaks kohtuekspert või ekspertiisiasutus. Kuigi ekspertiise tehakse nii haldus-, tsiviil- kui ka süüteoasjades, kohaldatakse KES § 41 lg 2 järgi ekspertiisiasutusele ekspertiisi ettevalmistamisel ja tegemisel IKS-i 4. ptk õiguskaitseasutuse sätteid ning seda sõltumata menetluse liigist. Seevastu riiklikult tunnustatud eksperti seletuskirja järgi õiguskaitseasutusena ei käsitata ning tema tegevus on alati allutatud IKÜM-i regulatsioonile, arvestades siiski menetlusseadustikest tulenevaid erisusi.[55]
Autorite hinnangul sarnaneb kohtuekspert olemuslikult näiteks audiitorile, kes saab ülesande küll ettevõttelt, kuid teeb auditi sõltumatult ning eriseaduse normide kohaselt. Audiitorit peetakse iseseisvaks vastutavaks töötlejaks. Üllatav on tsiviilkohtumenetluse riikliku ekspertiisiasutuse ekspertiiside allutamine õiguskaitseasutuste regulatsioonile, samal ajal kui ülejäänud kohtumenetlus allub IKÜM-ile (menetlusseadustikus toodud erandeid arvestades). Piir IKÜM-i ja IKS-i 4. ptk kohaldumise vahel on tõmmatud ekspertiisi tegijast, mitte menetlusliigist sõltuvalt.
V Isikuandmete töötlemine õigusemõistmisel „menetlusseadustikes sätestatud erisustega“
Nagu mis tahes muu isikuandmete töötlemisjuhu puhul, tuleb ka kohtu poolt õigusemõistmise käigus isikuandmete töötlemise õiguspärasuse hindamisel esmalt küsida, kes on vastutav töötleja (IKÜM art 4 p 7), st kas kohus kui institutsioon või konkreetne kohtuasja lahendav kohtukoosseis (ainuisikuliselt või kollegiaalselt). Ilmselt on vastutav töötleja üldjuhul pigem kohus organisatsioonina, sest kohtunik ei saa otsustada, milliseid kohtuasju ta lahendab, mitmed andmetöötlusküsimused on infosüsteemides ette ära otsustatud ning ka IKÜM-is on kohut käsitatud tervikuna.[56]
Seejärel tuleb otsustada, mis on töötleja seaduslik alus andmeid töödelda (IKÜM art-d 6 ja 9), ning hinnata, kas järgitud on andmetöötluspõhimõtteid (IKÜM art 5) ja muid asjakohaseid norme.
Jättes kõrvale direktiivi 2016/680 kohaldamisalasse kuuluva kohtu õigusemõistmisealase tegevuse, tuleneb kohtu jaoks õiguslik alus isikuandmeid töödelda IKÜM art 6 lg 1 p-st e ja lg-st 3. Sisuliselt on tegu viitenormiga, mis tähendab liikmesriigi kohustust asjakohane normistik luua, järgides EL-i seadusandja seatud juhiseid. Nagu öeldud, saab liikmesriik piirata andmesubjekti õigusi eeldusel, et „selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse“ (art 23 lg 1 p f).
Ei ole kahtlust, et Eesti kohtutel on seaduslik alus isikuandmeid, sh eriliigilisi isikuandmeid, töödelda. Küsimus võib olla vaid selles, kas konkreetsel juhul järgiti riigisiseses õiguses andmete mahu (nt kas oleks piisanud isikukoodist või oli vajalik ka aadress) või töötlemise viisi (nt kas andmed tulnuks avalikustada või vaid menetlusosalistele teatavaks teha, kui suurele auditooriumile andmeid avalikustati jms) kohta sätestatud reegleid. Alati tuleb siiski meeles pidada, et piirangud võivad subsidiaarselt tuleneda IKÜM art-s 5 sätestatud isikuandmete töötlemise põhimõtetest (nt eesmärgipärasus, minimaalsus, õigsus, ajakohasus).
Eestis ei ole tehtud (vähemasti autoritele ei ole teada) detailset analüüsi selle kohta, kas menetlusseadustike normistik on piisav IKÜM-ist tulenevate andmesubjekti õiguste kohta erisuste sätestamisel ning kas kõik piirangud vastavad IKÜM art-s 23 sätestatud „kvaliteedinõuetele“. Näiteks IKÜM-is ette nähtud andmete parandamise[57] (art 16), kustutamise[58] (art 17) ja vastuväite esitamise (art 21) õigus ei ole ilmselt üldjuhul ühildatav vähemasti kohtumenetluse toimumise ajal õigusemõistmise vajadustega, sest sel juhul võib olla pärsitud kohtuasja lahendamiseks vajalike asjaolude väljaselgitamine ning asja õige ja õiglane lahendamine.[59] Nagu viidatud, IKS § 2 p 1 järgi kohaldub kohtu tegevusele IKÜM, v.a kui menetlusseadustik näeb ette erisuse. Kehtivad menetlusseadustikud ei näe sõnaselgelt ette, kas üht või teist IKÜM-is sätestatud õigust on võimalik kohtumenetluses kasutada. See tõstatab küsimuse, kas mingi küsimuse reguleerimata jätmine menetlusseadustikus viitab, et sooviks oli näha ette erisus IKÜM-ist või just kohaldada IKÜM-i. Seadusandja võiks probleemi lahendada enne, kui tekivad suuremad probleemid konkreetsetel juhtumitel.
Nagu öeldud, õigusemõistmise erandi järgi ei laiene kohtutele isikuandmete töötlemisel Andmekaitse Inspektsiooni järelevalvepädevus ja kohtud ei ole kohustatud nimetama ametisse andmekaitseametnikku. IKÜM-i põhjendusest 20 tuleneb, et „andmetöötlustoimingute järelevalve peaks olema võimalik teha ülesandeks liikmesriigi kohtusüsteemi konkreetsetele asutustele, kes peaksid eelkõige tagama käesoleva määruse eeskirjade järgimise, teavitama kohtunikke nende käesoleva määruse kohastest kohustustest ning käsitlema selliste andmetöötlusega seotud toimingute suhtes esitatud kaebusi“. Teisisõnu, kohtusüsteemi sees peaks toimetama isik või organ, kes tegeleb isikuandmete kaitse valdkonnas üldise ennetustegevusega (teavitamine, süsteemne meetmete vajalikkuse ja nende tõhususe hindamine jms). Samuti peab isik saama esitada kaebuse, kui ta leiab, et kohus on tema andmekaitsealaseid õigusi rikkunud. Tõsi, EL-i õigusakti preambulil ei peaks olema liikmesriigile siduvat õigusjõudu.[60]
Eestis eraldi ennetustegevusega ja kaebuste lahendamisega tegelevat mehhanismi loodud ei ole. Kohtumenetluse seadustikud võimaldavad esitada kohtu tegevuse kohta kohtumenetluse käigus vastuväite (nt HKMS § 90, TsMS § 333), piiratud ulatuses on menetlustoimingud vaidlustatavad määruskaebe korras (nt HKMS § 79 lg 5, § 88 lg 5, § 89 lg 5; TsMS § 59 lg 6) ning minetustele alama astme kohtu tegevuses saab juhtida kõrgemalseisva kohtu tähelepanu ka üldist edasikaebeõigust teostades. IKÜM-i põhjendus 20 jätab lahtiseks, kas eelkirjeldatud kohtusüsteemisisene kaebemenetlus peab vastama tõhusa õiguskaitsevahendi nõudele ning kui see nii on, siis millised on need kriteeriumid, millele vastavust tuleks nt Eestis kasutatavate lahenduste puhul hinnata. Kuna õigus tõhusale õiguskaitsevahendile (vt ka IKÜM art 79)[61] on EL-i põhiõiguste harta art 47 järgi põhiõigus, siis ilmselt kehtib see ka olukorras, kus kohus on vastutav või volitatud töötleja. Kuna kohus on ise vastustaja, siis tunduvalt keerulisem on aga küsimus, kuidas kõnealust õigust sisustada, sest inimõigusi käsitlevad aktid ei näe üldjuhul ette edasikaebeõigust kõrgemalseisvale kohtule, vaid piirduvad üksnes juurdepääsuõigusega kohtule. Ebaselge on, kas piisab sellest, et on võimalus juhtida töötlejast kohtu tähelepanu tema enda võimalikule eksimusele.
Lõpetuseks
Tuleb tunnustada neid, kes selle tiheda ja keerulise teksti lõpuni lugesid. Nüüd võib igaüks artiklist saadud teadmiste toel hinnata, kas oskab lahendada artikli alguses toodud näidiskaasust: kes, milliste normide alusel ja mida peab otsustama ning millised on andmesubjekti õiguskaitsevõimalused.
Isikuandmete kaitse normistik on keeruline ja ilmselt võõristust tekitav nii terminoloogiliselt kui ka eri tasandi õigusaktide koostoimet silmas pidades. Normide kohaldamine õigusemõistmisel on veelgi enam peavalu tekitav. Seda mitte üksnes põhjusel, et paberimaailmale mõeldud reeglite ülekandmine digimaailma võib osutuda keerukaks, vaid ka seetõttu, et õige lahendini jõudmine eeldab tihtipeale lisaks õigusteadmistele ka andmetöötluse tehnoloogilise korralduse tundmist. Näiteks tuleb olla kursis sellega, mis on andmekogu ja mis infosüsteem, kes ja mille eest vastutab, kuidas andmed liiguvad, kes juurdepääsuõigusi annab ja millised need on ning mida on võimalik logidest välja lugeda. Lisaks tuleb mõista seoseid avalikule teabele juurdepääsu regulatsiooniga.
Loodetavasti pakkus artikkel mõtteainet ja andis oma panuse õige ja õiglase lahenduse leidmiseks konkreetsel juhul.
____________________________
[1] Artikkel väljendab autorite isiklikke seisukohti, mis ei ole omistatavad asutustele, mille teenistuses autorid on, ega seo neid nende edasises ametitegevuses.
[2] Euroopa Parlamendi ja nõukogu 27. aprill 2016. a määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta.
[3] Euroopa Parlamendi ja nõukogu 27. aprill 2016. a direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK.
[4] Konventsiooni konsolideeritud tekst on leitav üksnes inglise keeles, Euroopa Nõukogu veebilehel. Protokoll on eesti keeles avaldatud RT II, 03.07.2020, 2.
[5] Konventsiooni ega selle lisaprotokollide ratifitseerimisel ei ole Eesti seadusandja teinud reservatsioone konventsiooni kohaldamisala ulatuses.
[6] Isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni ratifitseerimise seaduse eelnõu 549 SE seletuskiri (Riigikogu IX koosseis); Isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni lisaprotokolli ratifitseerimise seaduse eelnõu 442 SE seletuskiri (Riigikogu XI koosseis).
[7] Isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni muutmise protokolli ratifitseerimise seaduse eelnõu 143 SE seletuskiri, lk 23 (Riigikogu IV koosseis). Konventsiooni algne tekst ei sisaldanud järelevalveasutuse sätteid. Selle art 13 lg 2 käsitles liikmesriikide koostööd ning Andmekaitse Inspektsioon määrati ratifitseerimisseadusega (RT II 2001, 1, 3) konventsiooni art 13 lg 2 kohaseks volitatud asutuseks. Kuigi järelevalveasutuse määramise nõue lisandus konventsiooni alles 2001. a lisaprotokolliga ja see jõustus Eesti suhtes 2009. a (vt isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni järelevalveasutusi ja andmete liikumist üle piiri käsitlev lisaprotokoll (RT II 2009, 17, 44)), on 2018. a lisaprotokolli ratifitseerimise seaduse eelnõu seletuskirjas öeldud järgmist: „Eesti on konventsiooni ratifitseerimisel 2000 nimetanud volitatud ametiasutuseks Andmekaitse Inspektsiooni ning seega ei ole vaja järelevalveasutust uuesti nimetada“ (seaduse eelnõu 143 SE seletuskiri, lk 16). Seletuskirjas on ilmselgelt eksitud inspektsiooni järelevalveasutuseks nimetamise aastanumbriga.
[8] Vt isikuandmete kaitse seaduse eelnõu 679 SE seletuskiri (Riigikogu XIII koosseis), lk 5: „Esimene on isikuandmete kaitse üldmääruse rakendamine ulatuses, mis liikmesriigile on antud diskretsiooniõigusega üldmääruse normide täpsustamiseks. Teine eesmärk on üle võtta direktiiv, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel õiguskaitseasutuste poolt süütegude tõkestamisel, avastamisel, menetlemisel või karistuste täideviimisel.“
[9] Isikuandmete kaitse seaduse rakendamise seaduse eelnõu 778 SE seletuskiri, lk 5–6 (Riigikogu XIII koosseis).
[10] RKHKo 3-3-1-90-14. Inspektsiooni järelevalvepädevus tugines avaliku teabe seadusele, mis nägi ette riikliku ja haldusjärelevalve teabevaldajate üle. Riigikohus märkis, et haldusjärelevalvet teostatakse vastavalt Vabariigi Valitsuse seaduse §-le 751, mis määratleb haldusjärelevalve kui ühe haldusorgani kontrolli teise haldusorgani üle. Riigikogu Kantselei on küll riigiasutus, kuid Vabariigi Valitsuse seaduse tähenduses ei ole Riigikogu Kantselei käsitatav haldusorganina.
[11] EL-i pädevusest jäävad välja julgeolekuasutuste sisuline tegevus ning riigikaitseliste asutuste tegevus riigikaitse tagamisel (vt nt IKÜM-i põhjendus 16, direktiivi 2016/680 põhjendus 14). Ilmselt ei kohaldata IKÜM-i, direktiivi 2016/680 ega IKS-i seetõttu nt halduskohtutele julgeolekuasutuste seaduse alusel põhiõiguste piiramiseks lubade andmisel. Täit selgust selles küsimuses siiski ei ole ja teema vajaks lõpliku seisukoha kujundamiseks täiendavat analüüsi.
[12] Vt koos edasiste viidetega nt S. Ory, S. Weth. Betroffenenrechte in der Justiz – Die DS-GVO auf Konfrontationskurs mit der ZPO? – NJW 2018, lk 2829; A. Wiebe, M. Eichfeld. Spannungsverhältnis Datenschutzrecht und Justiz. – NJW 2019, lk 2734; A. Roβnagel. Artikel 2. – Datenschutzrecht. DSGVO mit BDSG. S. Smitis, G. Hornung, I. Spiecker (Hrsg.), NomosKommentar, 2019, p 19; H. Kranenborg. Article 2. – The EU General Data Protection Regulation (GDPR). A Commentary. C. Kuner, A. A. Bygrave, C. Docksey (ed.), Oxford University Press, 2020, lk 70.
[13] IKÜM-i kohaldamisala ei mõjuta ka see, kas kohus menetleb asja digitoimiku või pabertoimiku alusel, sest viimane on samuti „andmete kogum“ art 2 lg 1 mõttes.
[14] Vt nt C-272/19: Land Hessen, p-d 66–73, kus Euroopa Kohus jaatas IKÜM-i kohaldatavust isegi Saksamaa liidumaa parlamendi petitsioonikomisjoni sisulisele tegevusele.
[15] Kohtujurist Maciej Szpunar C-439/19: Latvijas Republikas Saeima (Points de pénalité), p 52.
[16] Materiaalses mõttes õigusemõistmisega tegelevad kohtueelselt ka mitmed teised organid ja asutused lisaks kohtule (nt väärteo kohtuväline menetlemine). Arvestades artikli eesmärki keskenduda kohtutele, neid järgnevalt ei käsitleta.
[17] IKÜM-is on kasutatud ka „kohtumenetlusega seotud ülesanded“ ja „kohtumenetlus“ (judicial tasks/judicial proceedings, gerichtlichen Aufgaben/Gerichtsverfahren, missions/procédures judiciaires).
[18] Art 23 ei viita küll õigusemõistmisele, kuid rõhutab „kohtusüsteemi sõltumatust“ kui eesmärki andmesubjekti õiguste piiramisel. Seega, ilmselt peetakse silmas samuti õigusemõistmist kui kohtu tuumikfunktsiooni.
[19] Sõltumatus on kohtu funktsiooni lahutamatu osa ja Euroopa Liidu põhiõiguste harta art-st 47 tuleneva õiguse n-ö väliseks aspektiks, mis eeldab, et „asjassepuutuv organ täidab kohtu ülesandeid täiesti iseseisvalt, olemata kellegagi hierarhilises või alluvussuhtes ja saamata kelleltki korraldusi või juhiseid, ning et ta on seega kaitstud väljastpoolt tuleva sekkumise või surve eest, mis võib kahjustada selle organi liikmete otsustusvabadust ja mõjutada nende otsuseid“ (EKo C-64/16: Associação Sindical dos Juízes Portugueses, p 44; vt ka nt C-272/19: Land Hessen, p-d 45 jj.)
[20] Seletuskirjas on loetletud neli põhiseaduslikku institutsiooni: Riigikogu, Riigikontroll, õiguskantsler ja Vabariigi President. Seaduse eelnõu 679 SE seletuskiri, lk 4.
[21] Seaduse eelnõu 679 SE seletuskiri, lk 20.
[22] RKÜKo 3-4-1-29-13 (kohtujuristi pädevus määrata kindlaks menetluskulud); RKÜKm 3-2-1-153-13, p-d 57–60 (kohtunikuabi pädevus määrata kindlaks menetluskulud); RKÜKo 2-17-10423/20, p-d 31–38 (kohtunikuabi pädevus otsustada registrist kustutamine). Vt ka RKÜKm 3-2-1-153-13, p-d 73–74 (advokaadi kulude piirmäära seadmine kui PS § 104 lg 2 p 14 reguleerimisalasse kuuluv küsimus) ja RKÜKo 3-2-1-40-15, p 45 (riigi õigusabi osutava advokaadi sõidukulude tõendamine ja hüvitamine ei kuulu PS § 104 kohaldamisalasse).
[23] Nt J. Laidvee, V. Saarmets. Kommentaarid §-le 146. – Eesti Vabariigi põhiseadus. Kommenteeritud väljaanne, 2020; J. Jäätma. Kas õigusemõistmine on üksnes õiguse mõistmine? – Juridica 2016, nr 2, lk-d 75–86.
[24] Nt EKo C-524/06: Huber, p 52; C-673/17: Planet49, p 47.
[25] Sõltumatuse tagamist kui lähtekohta rõhutatakse ka nt A. Wiebe, M. Eichfeld. Spannungsverhältnis Datenschutzrecht und Justiz. – NJW 2019, lk 2737.
[26] EKo C-619/18: komisjon vs. Poola, p-d 46–58, 108, 112.
[27] Nt EKo C‑274/14: Banco de Santander, p 56.
[28] Nt EKo 149/79: komisjon vs. Belgia.
[29] Notarite näitel EKo C‑47/08: komisjon vs. Belgia, C‑50/08: komisjon vs. Prantsusmaa, C‑51/08: komisjon vs. Luksemburg, C‑53/08: komisjon vs. Austria, C‑54/08: komisjon vs. Saksamaa, C‑61/08: komisjon vs. Kreeka, C‑157/09: komisjon vs. Madalmaad, C‑151/14: komisjon vs. Läti, C-392/15: komisjon vs. Ungari.
[30] Vt nt C-73/16: Puškár, p 38; C-272/19: Land Hessen, p-d 68–70; samuti EKo C-623/17: Privacy International, p-d 30–49, kus Euroopa Kohus jaatas seda, et direktiivi 2002/58 kohaldamisalasse kuuluvad liikmesriigi õigusnormid, mis võimaldavad riigivõimu kandjal panna elektroonilise side teenuste osutajatele riigi julgeoleku kaitsmise eesmärgil kohustuse edastada julgeoleku- ja luureteenistustele liiklus- ja asukohaandmeid. Seda vaatamata mitme liikmesriigi argumendile, et julgeoleku- ja luuretegevus kuulub liikmesriikide põhifunktsioonide hulka, mis on seotud avaliku korra säilitamise ning sisejulgeoleku ja riigi territoriaalse terviklikkuse kaitsega, ning seega kuulub see tegevus ELL art 4 lg 2 järgi liikmesriikide ainupädevusse.
[31] Vt eespool viited notarite kohta (joonealune 29), samuti prokuröride sõltumatust käsitlevad kaasused: C-508/18 ja C-82/19 PPU: OG ja PI; C-509/18: PF; C-489/19 PPU: NJ; C-566/19 PPU ja C-626/19PPU: Parquet général du Grand-Duché de Luxembourg ja Openbaar Ministerie; C-625/19 PPU: Openbaar Ministerie; C-627/19 PPU: Openbaar Ministerie; C-510/19: Openbaar Ministerie. Eesti prokurörid C-746/18: Prokuratuur.
[32] Vt seaduse eelnõu 679 SE seletuskiri, lk 7.
[33] Oluline on seejuures silmas pidada, et eristada tuleb andmekogu vastutavat töötlejat ning andmete vastutavat töötlejat. Nii on kohtute infosüsteemi ja e-toimiku andmekogude vastutav töötleja Justiitsministeerium, kuid selles olevate isikuandmete vastutav töötleja kohus. Avaliku teabe seaduse § 434 kohaselt on andmekogu vastutav töötleja (haldaja) riigi- või kohaliku omavalitsuse asutus, muu avalik-õiguslik juriidiline isik või avalikke ülesandeid täitev eraõiguslik isik, kes korraldab andmekogu kasutusele võtmist, teenuste ja andmete haldamist. Andmekogu vastutav töötleja vastutab andmekogu haldamise seaduslikkuse ja andmekogu arendamise eest.
[34] Kohtute infosüsteemi põhimääruse § 15 lg 4 viitab seejuures üksnes IKS-ile, kuigi andmesubjekti tutvumisõigus tuleneb otse lisaks IKÜM-ist.
[35] Vt justiitsministri 8. veebruari 2018. a määruse nr 7 „Maa-, haldus- ja ringkonnakohtu kantselei kodukord“ §-d 28 jj. Ka kõnealune määrus viitab tutvumisõiguse puhul üksnes IKS-ile.
[36] Menetlusseadustikest on erinorm siiski KS § 34 lg 4, mille järgi on kohtute infosüsteemi andmetele juurdepääsuõigus näiteks riigiasutusel seadusega sätestatud ülesannete täitmiseks. Nii on juurdepääsuõigus Õiguskantsleri Kantselei teatud ametnikel (vt kohtute infosüsteemi põhimääruse § 6 lg 1 p 6; vrd siiski § 17 lg 7 teise lausega). Vt ka õiguskantsleri 19. juuni 2020. a selleteemalist ettepanekut justiitsministrile.
[37] Iseküsimus on, kas andmesubjekt peaks saama teada ka logis sisalduva isiku (ametniku) nime, kes tema andmeid on vaadanud. IKÜM art 15 lg 4 kohaselt ei tohi enda andmetest koopia saamine kahjustada teiste isikute õigusi ja vabadusi. Siiski on küsitav, kas ametniku tööülesannete täitmine selle alla mahub. Mõnede kohtute infosüsteemile juurdepääsu omavate ametnike nimed on seejuures juurdepääsupiiranguga teave (vt politsei ja piirivalve seaduse § 4 lg 5) ning päringu tegemine võib olla osa menetlusest, mille andmetele juurdepääs on piiratud (nt kriminaalmenetlus, riikliku järelevalve menetlus vms).
[38] Vrd ka nt RKTKo 2-15-12216/93, p 17; RKHKo 3-16-1298/30, p 21.
[39] Õigusemõistmiseks saab ilmselgelt siiski pidada PS § 48 lg-s 4 nimetatud trahvimist või seda, kui tegevus lõpetatakse karistusena (KarS § 46 kaotas kehtivuse alates 1. jaanuarist 2015).
[40] Vt ka RKKKm 3-1-1-34-16, p 26: „Menetlustoimingute tegemiseks nõutavad kohtu load peavad kohtueelses kriminaalmenetluses tagama põhiõiguste ennetava kaitse ega ole seetõttu käsitatavad õigusemõistmisena materiaalses tähenduses (nt isikute süüküsimuse ja karistamise otsustamine kriminaalmenetluses).“
[41] Nii annab halduskohus loa nt maksuhaldurile pangakonto arestimiseks jms tagamistoimingute tegemiseks enne maksuotsust (maksukorralduse seaduse § 1361), välismaalase kinnipidamiseks kinnipidamiskeskuses (välismaalasele rahvusvahelise kaitse andmise seaduse §-d 361 jj, väljasõidukohustuse ja sissesõidukeelu seaduse § 15), kutsealuse mitme loa ja õiguse peatamiseks (kaitseväeteenistuse seaduse § 331) jne.
[42] Vt nt RKÜKo 3-1-1-86-07, p 26. Iseküsimus on, mida pidada karistamiseks – vt nt RKÜKo 3-4-1-4-13, p-d 40–55 (ja seal tehtud viited).
[43] Vt nt C‑47/08: komisjon vs. Belgia, p-d 95, 97; C‑50/08: komisjon vs. Prantsusmaa, p-d 85, 87; C‑51/08: komisjon vs. Luksemburg, p-d 95, 97; C‑53/08: komisjon vs. Austria, p-d 94, 96; C‑54/08: komisjon vs. Saksamaa, p-d 96, 98; C‑61/08: komisjon vs. Kreeka, p-d 87, 89; C‑151/14: komisjon vs. Läti, p 60. Vt ka C-392/15: komisjon vs. Ungari, p-d 136, 137 (kannete tegemine registrites).
[44] RKÜKo 2-17-10423/20, p 35.
[45] Vt C-392/15: komisjon vs. Ungari, p-d 110–114.
[46] Määruse art 5 p 3: “kohus” – liikmesriigi ametiasutus, kes on pädev Euroopa maksekäsu osas või sellega seotud küsimustes.
[47] EKo C‑453/18 ja C‑494/18: Bondora, p-d 44 jj ning seal viidatud kohtupraktika.
[48] Nt EKo C-392/15: komisjon vs. Ungari, p 108.
[49] RKÜKo 3-4-1-29-13, p-d 43–47.
[50] Samas, p-d 46, 48.
[51] RKÜKo 2-17-10423/20, p 37.
[52] Vt ka EKo C-619/18: komisjon vs. Poola, p-d 72, 108: „[K]aitstud väljastpoolt tuleva sekkumise või surve eest, mis võib kahjustada selle organi liikmete otsustusvabadust ja mõjutada nende otsuseid [—]. Sõltumatust ja erapooletust tagavad normid peavad olema sellised, et need võimaldavad ümber lükata õigussubjektide mis tahes põhjendatud kahtlused selles suhtes, kas nimetatud organ on väljaspool väliste tegurite haardeulatust ja kas ta on vastanduvaid huvisid arvestades neutraalne“; p 112: „peab seega täpsemalt võimaldama välistada mitte ainult igasuguse otsese mõju juhiste kujul, vaid ka kaudsema mõju vormid, mis võivad asjaomaste kohtunike otsuseid suunata.“ Vastupidine seisukoht A. Wiebe, M. Eichfeld. Spannungsverhältnis Datenschutzrecht und Justiz. – NJW 2019, lk 2737–2738, kus autor arutleb selle üle, kas õigusemõistmise erand peaks kohalduma kohe, kui algab kohtumenetlus, kuid jõuab lõpuks järeldusele, et lähtekohaks peaks olema toimingu tegija: kui tegu on kohtuniku tegevusega, on see õigusemõistmine, kõigi ülejäänud kohtuteenistujate tegevus aga mitte.
[53] Vt EK C-245/20: Autoriteit Persoonsgegevens, kus ajakirjanik tutvus kohtuistungi päeval kohtuasja menetlusdokumentidega, mis Hollandi Riiginõukogu halduskolleegiumi üldise praktika järgi pandi paberkandjal ajakirjanikele istungi jälgimise hõlbustamiseks tutvumiseks välja (artikli valmimise ajal ei ole kohtujurist ega Euroopa Kohus oma seisukohta kujundanud). Vt ka EK C-470/19 (artikli valmimise ajal ei ole Euroopa Kohus oma seisukohta kujundanud, kuid kohtujuristi arvates ei ole lõppenud kohtuasja menetlusdokumentidega tutvumise taotluse lahendamine haldusülesanne).
[54] WP29 oli seisukohal, et vastutava töötleja määramisel ei ole oluline see, kes formaalselt, vaid faktiliselt määrab kindlaks eesmärgid ja vahendid. Vt 10.02.2010. a arvamus 1/2010 mõistete „vastutav töötleja“ ja „volitatud töötleja“ kohta. Vt ka H. Erkelenz, A. Leopold. Datenschutz beim Beweis durch Sachverständige. – NZS 2019, lk 926 jj: kohus määrab töötlemise eesmärgi, ekspert aga üldjuhul vahendid; lõppastmes sõltub vastutava töötleja määramine üksikjuhust.
[55] Vt seaduse eelnõu 778 SE seletuskiri, lk 53.
[56] Sama seisukoht A. Wiebe, M. Eichfeld. Spannungsverhältnis Datenschutzrecht und Justiz. – NJW 2019, lk 2736.
[57] Iseseisev isikuandmete parandamise õigus (st lisaks menetlusseadustiku regulatsioonile) piirdub igal juhul vaid faktide õigsuse küsimusega: diagnoosi vms hinnangut sisaldav ekspertiisiakt, nagu ka õiguslik hinnang faktidele ei ole fakti parandamise küsimus (analoogselt RKTKo 3-2-1-53-07, p 19: õiguslik hinnang ei ole faktiväide). Samas võib vaidlus selles seisnedagi, milline fakt on õige. Vt ka H. Erkelenz, A. Leopold. Datenschutz beim Beweis durch Sachverständige. – NZS 2019, lk 925.
[58] Vt ka artikli III osa lõpus toodud näide, kus menetlusosaline esitas kohtule ekslikult teise isiku isikuandmeid sisaldava tõendi. Küsimus on, kas andmesubjektil, kelle kohta käiv dokument ekslikult toimikusse lisamiseks esitati, on õigus nõuda kohtult, et kohus selle toimikust kustutataks (IKÜM art 17 lg 1 p d), sest art 17 lg 3 p b „sel määral, mil isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks“ erand kustutamisnõudest pole täidetud. Dokumendi esitajal endal ei pruugi enam olla võimalik dokumenti toimikust „kustutada“.
[59] S. Ory, S. Weth. Betroffenenrechte in der Justiz – Die DS-GVO auf Konfrontationskurs mit der ZPO? – NJW 2018, lk 2832; H. Erkelenz, A. Leopold. Datenschutz beim Beweis durch Sachverständige. – NZS 2019, lk 929.
[60] Nt EKo C-303/19: Istituto Nazionale della Previdenza Sociale, p 26. Vt ka eelviidatud õiguskantsleri 19. juuni 2020. a ettepanek justiitsministrile, kus õiguskantsler asub seisukohale, et vajalik on süsteemne järelevalve kohtute infosüsteemi kasutamise õiguspärasuse üle, kuid vähemasti kohtusüsteemisiseste päringute puhul Justiitsministeerium seda teha ei saa.
[61] Analoogse direktiivi 95/46 art 22 kohta vt nt C-73/16: Puškár, kus Euroopa Kohus põhimõtteliselt pidas lubatavaks kohustusliku kohtueelse menetluse kehtestamist andmekaitsevaldkonnas tingimusel, et nende õiguskaitsevahendite kasutamise konkreetsed tingimused (kaasnev viivitus, menetluskulu) ei kahjusta ebaproportsionaalselt harta art-s 47 ette nähtud õigust tõhusale õiguskaitsevahendile. Samuti H. K. Ellingsen. Effective judicial protection of individuaal data protection rights: Puškár. – CMLR 55, 2018, lk 1879–1898.