Liis-Toomela ja Pärna: kes on positiivse krediidiregistri peremees?
Positiivse krediidiregistri loomine tõstatab mitmeid andmekaitse küsimusi, kuid esmalt tasub küsida, kas registrit peaks haldama riik või erasektor, kirjutavad Merlin Liis-Toomela ja Hegle Pärna.
Möödunud nädalal kõlas meedias, et positiivset krediidiregistrit puudutav eelnõu suunatakse peagi esimesele kooskõlastusringile. Sellise krediidiregistri loomise ideest ja vajadusest Eestis on räägitud juba aastaid ning see on olemas ka teistes Euroopa Liidu liikmesriikides.
Positiivne krediidiregister peaks ühest küljest aitama kaasa tarbijate vastutustundlikule laenamisele ning teisalt toetama laenuandjaid krediidiotsuste tegemisel. Praegu ei ole laenuandjatel – pankadel, liisinguandjatel jne – kohustust omavahel vahetada infot laenusaaja finantskohustuste kohta, nagu laenud või järelmaksud, mis takistab vastutustundliku laenamise põhimõtte täitmist.
Kuigi laenusaajatel on kehtivast seadusest tulenevalt uute finantslepingute sõlmimisel kohustus jagada laenuandjaga õiget informatsiooni oma finantskohustuste kohta, ei toimi see praktikas alati nii, nagu peaks. Positiivse krediidiregistri eesmärk on seda olukorda parandada, koondades ühte registrisse isikute finantskohustuste tervikpilt.
Positiivse krediidiregistri kaudu hakataks seega töötlema ulatuslikult isikute finantskohustusi puudutavaid andmeid. Sellise töötlemisega kaasnevad paratamatult riskid isikute eraelu kaitsele ning privaatsusele. Võimalikud riskid privaatsusele sõltuvad muuhulgas sellest, kuidas registrist peetakse. Positiivse krediidiregistri loomine tõstatab mitmeid andmekaitse küsimusi, kuid esmalt tasub küsida: kas registrit peaks haldama riik või erasektor?
Krediidiregistri pidaja
Kuigi positiivse krediidiregistri seaduseelnõu pole veel avalik, siis väljatöötamiskavatsuse järgi võimaldaks positiivne krediidiregister ligipääsu suurele hulgale isikute finantsandmetele. Sealhulgas saaks registri kaudu teabe õigeaegselt tasutud laenumaksetest, laenujääkidest, laenukohustustega seotud intressimääradest jms.
Selliste andmete töötlemine nõuab erilist andmekaitselist tähelepanu, sest registris olevate andmete kaudu on võimalik teha mitmeid järeldusi isiku majandusliku olukorra ning huvide kohta, mis kujutab endast riivet isiku privaatsusõigustele (s.o eraelu puutumatusele). Kes peaks selliste andmete töötlemise eest vastutama?
Cybernetica tänavu koostatud raportist ja rahandusministeeriumi väljatöötamiskavatsusest ilmneb, et positiivse krediidiregistri haldamise osas puudub praegu konkreetne lahendus.
Raportist joonistub välja kolm võimalikku valikut krediidiregistri pidaja leidmiseks. Esimeseks võimaluseks on anda krediidiregistri pidamine sellistele eraõiguslikele juriidilistele isikutele, kes on saanud loa finantsinspektsioonilt. Teine võimalus on delegeerida see halduslepinguga avaliku ülesande täitmisena erasektori teenuseosutajale. Kolmas variant on konkurss, mille kaudu valitaks registripidajad, kellele väljastatakse tegevusload.
Esimene ja viimane lahendus tähendavad, et krediidiregistri pidajaid võib olla ka mitu. See aga tähendaks seda, et positiivses krediidiregistris sisalduvate finantsandmete vastutavaks töötlejaks oleksid mitmed teenuseosutajad ning ka riigi enda kontroll võib jääda nõrgemaks.
Praktika on paraku näidanud, et mida rohkem on vastutajaid ja keerulisem rollijaotus mistahes isikuandmete töötlemise juhtudel, seda suurem on oht tarbijate privaatsusõigusi ohustavate juhtumite ja küberintsidentide tekkeks – vastutus kipub hajuma ja veeretatakse teisele osapoolele.
Eeltoodut arvestades võiks krediidiregistri pidamiseks olla parim variant teine ehk registri pidamine võiks olla halduslepinguga delegeeritud eraõiguslikule juriidilisele isikule. Positiivne krediidiregister võiks olla üles ehitatud selliselt, et riigil säilib kontroll selle üle, kuidas registripidaja oma teenust osutab. See lahendus võimaldaks riigil tagada andmete kvaliteet ja kaitse, hoides registri haldamise siiski eraõigusliku isiku käes.
Ühe alternatiivina, mida raportis otseselt ei käsitleta, võiks kaaluda krediidiregistri pidamise jätmist täielikult riigi ülesandeks, integreerides positiivse krediidiregistri näiteks maksuameti maksehäireregistriga.
Kui riigil oleks juba olemas tehniline baas ja sobivad haldussüsteemid, võiks selline liitmine osutuda kuluefektiivseks lahenduseks. Ühtne register koondaks kõik finantskohustusi kajastavad andmed ühte süsteemi, pakkudes põhjalikumat ülevaadet laenuvõtjate kohustustest ja muutes krediidiriski hindamise täpsemaks ja läbipaistvamaks. Samuti aitaks riiklik haldus vältida vastutuse hajumist, mis mitme vastutava töötleja puhul sageli tekib, ja suurendaks seeläbi süsteemi usaldusväärsust.
Erinevates riikides erinev praktika
Kuigi erinevates Euroopa Liidu liikmesriikides on registripidaja osas võetud küllaltki erinevad lähenemised, siis suures joones on enamikes riikides jäetud samamoodi registri pidamise eest vastutavaks riik.
Näiteks on selle aasta kevadel Soomes loodud positiivse krediidiregistri puhul registri eest vastutavaks sealne maksuamet, kes peab tagama lisaks muudele kohustustele ka registri tehnilise toimimise ning andmeturbe.
Mõneti on selline lahendus igati loogiline. Soome positiivset krediidiregistrit käsitleva seaduse kohaselt on registrisse kogutavate andmete hulgas lisaks erinevatele finantskohustustele alates liisingu- ning lõpetades kodulaenulepinguid puudutavate tingimusteni, nagu näiteks lisanduva intressi kohta ka tarbijate sissetulekute kohta.
On ka selliseid Euroopa riike, kus positiivne krediidiregister on riigi hallatav, näiteks Belgia, Hispaania ning Portugal. Nende kõigi puhul on positiivne krediidiregister riigi keskpanga hallatav. Teistmoodi on Saksamaal, kus on mitmeid eraõiguslikke teenusepakkujaid, nagu näiteks SCHUFA, kes vastutab nii positiivse kui ka negatiivse krediiditeabe töötlemise eest.
Mõttekohad tulevikuks
Sõltumata sellest, missugusel viisil valitakse kavandatava krediidiregistri jaoks registripidaja ning milline roll jääb seejuures andmete töötlemisel kanda riigil, peaks olema tagatud koostöö erinevate järelevalveasutustega. Lisaks finantsinspektsioonile ja tarbijakaitse ja tehnilise järelevalve ametile on seejuures oluline tagada koostöö ka andmekaitse inspektsiooni ning riigi infosüsteemi ametiga.
Lisaks peaks positiivse krediidiregistri puhul olema selgelt läbi mõeldud, et tarbijatel kui registri andmesubjektidel oleks võimalus kasutada kõiki olemasolevaid isikuandmete kaitse üldmäärusest tulenevaid õigusi, sh õigust tutvuda registris olevate andmetega, saada teavet selle kohta, kes on andmetega tutvunud, jne.
Õigus tutvuda registris olevate andmetega aitab kaasa ka sellele, et juhul, kui registrisse on kantud ebaõiged andmed, saab andmesubjekt paluda nende andmete parandamist või kustutamist.
Samuti tuleb registri pidamisel täita andmekaitses kehtivat minimaalsuse põhimõtet, mis tähendab, et registrisse peaksid jõudma vaid need andmed, mis on vajalikud registri eesmärgi saavutamiseks ehk vastutustundliku laenamise põhimõtte järgimiseks. Lisaks tuleb selgelt määratleda, kellel ja millistel õiguslikel alustel on ligipääs registriandmetele. Ligipääsu aluseks võib olla krediidiandjatele kehtiv seadusest tulenev kohustus tagada vastutustundlik laenamine või hoopistükkis andmesubjekti nõusolek.
Kokkuvõttes on selge, et positiivse krediidiregistri loomine tõstatab mitmeid olulisi andmekaitsealaseid küsimusi. On hädavajalik leida tasakaal registris töödeldavate andmete ulatuse ja minimaalsuse põhimõtte järgimise vahel, et vältida liigsete isikuandmete töötlemist. Samuti on oluline määratleda, kellel ja mis alustel on ligipääs registriandmetele, et tagada privaatsus ja andmete kaitse.
Loodame, et seadusandja on need küsimused põhjalikult läbi mõelnud ning et valitakse sobiv mudel registripidaja valimiseks. Krediidiregister võib küll olla vajalik vahend vastutustundliku laenamise toetamiseks, kuid selle pidamine peab toimuma kooskõlas privaatsusõiguste austamisega.
Toimetaja: Kaupo Meiel