Ministeerium: GDPRi trahvide määramist ei takista miski

"Eesti siseriiklik GDPR-i rakendusakt ehk uus isikuandmete kaitse seadus ehk uus IKS, ei ole Riigikogus vastu võetud ja GDPRi trahve ei saa täna veel mitte ühelegi Eesti ettevõttele rakendada," ütles advokaadibüroo Ellex Raidla advokaat Merlin Liis Kaubanduse aastakongressil 2018.

Justiitsministeeriumist seevastu kinnitati, et andmekaitse inspektsioonil on ka praegu olemas kõik volitused ja pädevused selleks, et trahve määrata. "Isikuandmete kaitse määrus on otsekohalduv – see tähendab, et määruse nõuete rikkumise eest ettenähtud trahvide määramise kohustus tuleneb määrusest," kommenteeris ministeeriumi pressiesindaja Kristin Rammus.

"Kuna Eesti õigussüsteemis ei ole halduskaristusi, on meie jaoks on määruses erisus, mille kohaselt võib (see on võimalus, mitte kohustus) andmekaitse inspektsioon trahve määrata väärteomenetluse raames. Tuleb aga meeles pidada, et riigisisesest õigusest on ülimuslikkuse põhimõttest tulenevalt Euroopa Liidu õigus siiski üle," selgitas ta.

See tähendab, et hetkel veel kehtiv isikuandmete kaitse seadus (vana IKS) on kehtiv selles ulatuses, milles ta ei ole vastuolus andmekaitse üldmäärusega. Vana IKS ja üldmäärus annavadki andmekaitse inspektsioonile pädevuse trahve määrata.

"Trahvisummad on otsekohalduvad, trahvide kohaldamise menetlus on üldmääruses kirjas, väärteomenetluse seadustikus vastuolusid üldmäärusega ei ole, sest menetlus trahvide määramiseks ongi riigisisesel õigusel põhinev," lisas Rammus.

Seega ongi andmekaitse inspektsioonil olemas kõik volitused ja pädevused selleks, et trahve määrata.