Euroopa Liidu andmekaitsemääruse (tuntud kui GDPR või IKÜM) tulekuga aastal 2018 räägiti suure innuga ka Eestis miljonitrahvide tulekust. Teiste Euroopa Liidu liikmesriikide uudiseid jälgides näemegi mitmeid suuri trahve, mis on andmekaitse rikkumise eest määratud. Luksemburgi järelevalveasutus on määranud Amazonile trahvi suuruses 746 miljonit eurot, WhatsApp on saanud Iirimaal trahvi suuruses 225 miljonit eurot ning Facebook suuruses 265 miljonit eurot. Eestis on meie järelevalveasutus, s.o Andmekaitse Inspektsioon teinud määratud trahvide teemal vaid mõne tagasihoidliku avalduse. Seega tekib põhjendatult küsimus, mis kännu taga need Eesti trahvid siis on.

Poolik regulatsioon

Probleemid Eesti trahvi regulatsiooniga algavad sellest, et kui teistes Euroopa Liidu liikmesriikides tuleneb põhiline trahvinormistik otse GDPRst, siis Eestiga on lugu keerulisem. GDPRi preambula punkt 151 ütleb, et Eesti õigussüsteem ei võimalda määrata trahve määruses sätestatu kohaselt. See tähendab, et Eestis toimub trahvide määramine väärteomenetluse raames ning vastu tuleb võtta korralik siseriiklik normistik. Isikuandmete kaitse seadussesse toodigi selleks tarbeks väärteokoosseisud, mis võimaldavad ka miljonitesse ulatuvaid väärteo trahve. Plaaniti muuta ka karistusseadustikku ja lisada sinna regulatsioon, mis puudutab kõrgendatud ülemmääraga rahatrahvi ning annab trahvi arvutamiseks täiendavaid juhiseid. Seda normi pole aga siiani karistusseadustikku lisatud. Ehk valitseb olukord, kus karistusseadustik endiselt suuremast rahatrahvist kui 400 000 eurot ei räägi. Sellises segases õiguslikus keskkonnas on arusaadav ka Andmekaitse Inspektsiooni tagasihoidlik entusiasm trahvide määramisel.

Väärteomenetluse sobimatus

Andmekaitse Inspektsioon on vähemalt aastast 2017 juhtinud Justiitsministeeriumi tähelepanu asjaolule, et andmekaitse valdkonnas on väärteomenetluse rahatrahvidega keeruline opereerida. Seda ka juhul kui kogu vajalik regulatsioon ja karistusseadustiku muudatused on vastu võetud. Nimelt on Andmekaitse Inspektsioon rõhutanud, et esmalt ei sobi: „üldmääruse hiigeltrahvid Eesti õigusruumi, kuna need on pigem mõeldud haldustrahvidena, mida meie õigusmaastik ei tunnista.“ Teiseks on Andmekaitse Inspektsioon kritiseerinud ka väärteo kiiret aegumist ning asjaolu, et väärteomenetluses: „on vajalik juriidilise isiku vastutusele võtmise puhul tuvastada teo toime pannud füüsilise isiku käitumine (kelle tegevust juriidilisele isikule omistatakse).“ Aastal 2020 ilmusid uudised, et Eesti plaanibki haldustrahvi regulatsiooni, kuid käesolevaks hetkeks ei ole andmekaitsevaldkonnas enam eelnõust midagi kuulda.

Eestis opereerib Andmekaitse Inspektsioon ettekirjutuste ja sunnirahadega

Segadus trahvi regulatsiooniga ei tähenda, et Eesti Andmekaitse Inspektsioon on täitsa hambutu. Andmekaitse Inspektsiooni roll on aina suurenenud ning inspektsiooni peadirektor Pille Lehis lisati ka 2022. aasta Eesti mõjukamate nimekirja. Eestis opereerib inspektsioon haldusmenetluse raames ning ettekirjutuse ja sunnirahade abil. Nimelt teeb Andmekaitse Inspektsioon rikkujatele ettekirjutusi rikkumise lõpetamiseks ning kui isik määratud kuupäevaks rikkumist ei kõrvaldada, on inspektsioonil õigus määrata rikkujale ka kopsakas sunniraha. Seega erinevalt trahvist võimaldab ettekirjutus rikkujal oma tegevust korrigeerida ning sunniraha maksmisest sellega pääseda. Millal ja kas inspektsioon ka toimiva (haldus)trahvi määramise õiguse saab, ei ole selge.