Käesoleva aasta 1. novembril jõustub Eestis uus karistusseadustiku redaktsioon, võimaldades tõhusamat ja otsustavamat Euroopa Liidu õigusest tulenevate trahvide määramist. See on hea uudis nende jaoks, kes on mures isikuandmete kaitse õiguse rikkumiste pärast, kuivõrd Eesti (mille praegune õigusraamistik ei tunnusta selliste rikkumiste eest halduskaristusi ja selle asemel määratakse trahve väärteomenetluses) on siiani määranud võrreldes teiste ELi liikmesriikidega isikuandmete kaitse üldmääruse (GDPR-i) rikkumiste eest väga madalaid trahve.

Uus seadus lahendab osa riigi väärteomenetlusõiguse piirangutest, tehes ettevõtjate rikkumiste eest vastutusele võtmise lihtsamaks. Üks olulisemaid seadusemuudatusi on väärtegude aegumistähtaja pikendamine GDPR-i rikkumistest tulenevate väärtegude puhul kahest aastast kolmeni. See ajapikendus võimaldab Eesti Andmekaitse Inspektsioonil uurida võimalikke rikkumisi pikema aja jooksul.

Teine oluline muudatus on karistusseadustikust väärteotrahvide ülemise lävendi (400 000 eurot) kaotamine andmekaitsealaste rikkumiste korral: sätestatakse, et kui valdkonna eriseadus näeb ette trahvide määramise teistsugustes summades ja teistel alustel, siis ülempiir ei kohaldu. See tähendab, et Andmekaitse Inspektsioon saab nüüd määrata suuremaid väärteotrahve kui 400 000 eurot, mis muudab rikkumiste tõkestamise tõhusamaks.

Lisaks sellele muudetakse üldreeglit seoses juriidilise isiku vastutusega. Uue seadusesättega nähakse ette, et juriidiline isik vastutab ka siis, kui rikkumine on toime pandud mistahes isiku poolt juriidilise isiku organi, tema liikme, juhtivtöötaja või pädeva esindaja korraldusel või kui rikkumine on tingitud juriidilise isiku puudulikust töökorraldusest või järelevalvest. Seaduses sätestatakse selgelt, et kui juriidiline isik on kohustatud seaduse alusel tegutsema, vastutab ta oma tegevusetuse eest sõltumata sellest, kas ka füüsilisel isikul oli kohustus tegutseda. See lihtsustab trahvide määramist juriidilistele isikutele, muutes nende vastutuse andmekaitse rikkumiste eest kergemini rakendatavaks.

Oluline on märkida, et neid reegleid saab kohaldada ainult GDPR rikkumiste suhtes, mis on toime pandud alates 1. novembrist 2023 või mis on jätkunud sellest kuupäevast alates. See tuleneb  üldpõhimõttest, mille kohaselt karistusi määratakse vastavalt tegude toimepanemise ajal kehtinud seadusele. Seadused, mis tunnistavad teo karistatavaks, raskendavad karistust või halvendavad muul viisil isiku olukorda, ei ole tagasiulatuva mõjuga.

Kokkuvõttes on uus seadusandlik raamistik Eesti andmekaitse valdkonnas oluline samm edasi, muutes ettevõtjate vastutuse GDPR-i rikkumiste eest hõlpsamini rakendatavaks. Uued sätted võimaldavad Andmekaitse Inspektsioonil olla tõhusam rikkumiste tõrjumisel ja rikkujate karistamisel, muutes andmekaitset kõikide Eesti kodanike jaoks paremaks, kuid samal ajal muutes andmekaitsealast vastavuskontrolli ettevõtjatele veelgi olulisemaks.