Janar Pilve: kas teie ettevõte on valmis seisma silmitsi Euroopa uue e-tõendite korraga?

Peatselt hakkab otse kohalduma Euroopa Liidu määrus, mis puudutab peaaegu kõiki digiteenuse pakkujaid – alates telekomidest kuni väikeste veebimajutusettevõteteni. 2026. aasta augustist saavad liikmesriikide ametiasutused pöörduda e-tõendite saamiseks otse teenuseosutaja poole. Muudatust käsitleb Euroopa Parlamendi ja Nõukogu 12.07.2023 määrus nr 2023/1543. Teemat avab Ellex Raidla jurist Janar Pilve.

Kellele määrus kohaldub?

Määrus hakkab puudutama elektroonilise side teenuse osutajad nagu Telia, Elisa ja Tele2 AS-d; interneti doomeninime teenuse osutajad nagu Eesti Interneti Sihtasutus aga ka näiteks Zone Media, Elkdata ja Radicenter OÜ-sid, kes pakuvad lisaks domeeninimede registreerimisele ka veebimajutus- ja andmesalvestusteenust. Toodud loetelu pole ammendav. Määrus laieneb kõigile teenuseosutajatele, kes tegutsevad Euroopa Liidus või pakuvad teenuseid Euroopa Liidu kasutajatele – sõltumata äriühingu asukohariigist või suurusest. Regulatsioon hõlmab kõiki, kes osutavad ühte või mitut järgnevat teenust: elektroonilise side teenus (näiteks IP-kõne, kiirsuhtlus ja e-posti teenused), interneti domeeninime ja IP-numbriteenus (nagu IP-aadressi määramine, domeeninimede register, -registraator ning domeeninimedega seotud privaatsus- ja proksiteenused) ja muu infoühiskonna teenus, mis võimaldavad kasutajate vahelist suhtlust või võimaldavad andmeid salvestada või neid muul viisil kliendi nimel töödelda ning andmete salvestamine on osutatava teenuse määrav element. Viimane hõlmab näiteks internetipõhised kauplemiskohti, kus kasutajad saavad omavahel suhelda, majutusteenuseid, sh kui teenust osutatakse läbi pilvandmetöötluse aga ka internetimängude platvorme ja interneti hasartmängude platvorme.

Mis muutub?

Alates 18. augustist 2026 võib iga Euroopa Liidu liikmesriigi ametiasutus pöörduda kriminaalasjades otse Eestis registreeritud või siin esindatud teenuseosutaja poole määrusega esitada (EPO) või säilitada (EPO-PR) elektroonilisi tõendeid olenemata andmete asukohast. Teenuseosutaja muutub laekunud määruse õiguspärasuse hindamisel esmavastutavaks.

Kontrollnimekiri – peamised tegevused valmistumisel

Loo andmekaart. Milliseid andmeid töötled ning kus need asuvad? Kui ei ole ülevaadet kogutavatest andmetest, on EPO-t või EPO-PR keeruline lühikese aja jooksul täita. Määruse järgi tuleb olla valmis säilitama ja väljastama järgnevaid andmeid: abonendi- (ingl k subscriber data ehk kliendi identiteedi, teenuse liigi ning kestusega seotud andmed); andmeliiklus- (ingl k traffic data ehk sideseanssi osalisi, liiki, kestust, aega jne kirjeldavad andmed) ja sisuandmeid (ingl k content data nagu digitaalses vormingus häält, tekst, videod jne).

Vaata üle teemakohased sisekorrad ja vastutajad või loo need. Siseprotseduur aitab kiirel ajal hoida selget pead ning reageerida asjatundlikult. Määra vastutav isik või tiim (nt juriidiline osakond koostöös IT-ga), kes kontrollib laekunud määruse õiguspärasust ning korraldab andmete kogumise ja edastamise taotlevale riigile. Mõtle läbi, millist lahendust hakkad kasutama andmete edastamiseks. Kooskõlasta valitud lahendus Justiits- ja Digiministeeriumiga.

Taga 24/7 reageerimisvalmidus. Kiireloomulised määrused võivad välisriigilt laekuda ka väljaspool tööaega. Hinda valmisolekut ning vajadusel eralda ressurssi valveajaks.

Määra ametlik kontaktpunkt. Määrata tuleb, kes on see töötaja või osakond, kellele ja kuhu saab välisriik edastada EPO või EPO-PR. Edasta seotud teave ja muudatused Justiits- ja Digiministeeriumile. Kajasta see teave ka näiteks oma kodulehel.

Vaata üle ning vajadusel uuenda lepinguid ning privaatsuspoliitikat. Veendu, et dokumentatsioon oleks ajakohastatud küsimustes, kellele ja mis alusel võib teavet edastada ning kui kaua tuleb andmeid sellel eesmärgil säilitada. Kaardista ja hinda õigusriske. Kui hoiad andmeid väljaspool Eestit või Euroopa Liitu, pole välistatud konflikt kolmandate riikide õigusnormidega. Selgita välja kolmanda riigi asjakohased õigusnormid, nende võimalik kohaldatavus ja vastuolu EPO täitmisel aga ka tagajärjed teenuse osutamisele kolmandas riigis, kui EPO tuleb siiski täita. Ole valmis õigusnormide konflikti asjaolusid kirjalikult põhjendama nii oma riigile kui ka taotlevale riigile.

Teenuseosutaja vastutus

Määrus paneb teenuseosutajatele otsese vastutuse EPO ja EPO-PR täitmise eest. Kui tunnustatud määrusest tulenevad kohustused jäävad täitmata, võib täitva riigi ametiasutus määrata oma teenuseosutajale rahalise karistuse, mis võib olla kuni 2% teenuse osutaja eelmise eelarve aasta ülemaailmsest aastasest kogukäibest. 2026. aasta august tähistab ajapunkti, mil uus kord hakkab reaalselt tööle. See on osa laiemast EL-i suunast, millega rõhutatakse e-tõendite olulisust kuritegude uurimisel, küberruumi kaitsel ning efektiivset ja kiiret riikidevahelist koostööd selliste tõendite kogumiseks ning vahetamiseks. Tegemist on viimase aja ühe kõige ulatuslikuma regulatsiooniga kriminaalasju puudutavas rahvusvahelises koostöös ning just seepärast tasub teenuseosutajatel riskid õigeaegselt läbi mõelda ja vajalikud protsessid paika seada.

Artikkel ilmus esmakordselt Äripäevas.