Επαναστατικές αρχές επεξεργασίας GDPR

Απόσπασμα από το βιβλίο του Bruno DUMAY: ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ GDPR – Για διευθυντές, στρατηγικά τμήματα και υπαλλήλους εταιρειών και οργανισμών – Πρόλογος από την Gaëlle MONTEILLER

Το Άρθρο 5 είναι, τόσο κατά γράμμα όσο και κατά πνεύμα, επαναστατικό, αν εξετάσουμε με ειλικρίνεια τις πρακτικές που ίσχυαν πριν από το 2018.

«Τα προσωπικά δεδομένα πρέπει να υποβάλλονται σε επεξεργασία νόμιμα, δίκαια και με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων» (παρ. 1α). Ενώ μπορεί να συμφωνηθεί ότι η διαδικασία ήταν νόμιμη, πρέπει να αναγνωριστεί ότι τα κριτήρια της διαφάνειας και της δίκαιης μεταχείρισης ελάχιστα ελήφθησαν υπόψη. Κανένα άτομο του οποίου τα δεδομένα συλλέχθηκαν δεν ενημερώθηκε για τις μεθόδους και τους σκοπούς αυτής της συλλογής. Αν πρέπει τώρα να συμμορφωθούμε με αυτή τη νέα διάταξη, και πρέπει, οι αλλαγές που πρέπει να γίνουν, τόσο από άποψη προοπτικής όσο και από άποψη πρακτικής, είναι σημαντικές.

Η παράγραφος 1β του ίδιου Άρθρου 5 είναι αρκετή για να μας αφήσει άναυδους, συγγνώμη, να μας διαφωτίσει, ακόμη περισσότερο: «Τα προσωπικά δεδομένα πρέπει να συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και να μην υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασυμβίβαστο με τους σκοπούς αυτούς». Με άλλα λόγια, ένας διευθυντής μάρκετινγκ παραμένει υπεύθυνος για τα δεδομένα που έχει συλλέξει, ακόμη και αν η χρήση τους αλλάζει με την πάροδο του χρόνου. Και αυτή η αλλαγή δεν πρέπει να είναι ασυμβίβαστη με τους λόγους που δίνονται κατά την έναρξη της συλλογής. Η έννοια των «καθορισμένων, σαφών σκοπών» θα μπορούσε από μόνη της, εάν γίνει κατανοητή με την αυστηρή έννοια από έναν δικαστή, να περιορίσει τα προσωπικά δεδομένα που συλλέγονται σε μία μόνο χρήση.

Η παράγραφος 1γ δεν είναι κακή επίσης: «Τα προσωπικά δεδομένα πρέπει να είναι επαρκή, σχετικά και να περιορίζονται σε ό,τι είναι απαραίτητο σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία (ελαχιστοποίηση δεδομένων).» Τέλος στις γενικές στρατηγικές και τις σαρωτικές αναζητήσεις για την ανάκτηση όσο το δυνατόν περισσότερων πληροφοριών. Κάθε λειτουργία πρέπει να βαθμονομείται σύμφωνα με έναν συγκεκριμένο στόχο και μόνο αυτόν τον στόχο. Η φιλοσοφία του κειμένου εμφανίζεται ξανά εδώ: πρόκειται για τον περιορισμό της διάδοσης των προσωπικών δεδομένων όσο το δυνατόν περισσότερο, έτσι ώστε κανένα άτομο να μην μπορεί να ισχυριστεί ότι του έχουν αφαιρεθεί πληροφορίες που το αφορούν χωρίς τη συγκατάθεσή του.

Η περίοδος διατήρησης καλύπτεται επίσης (από την παράγραφο 1ε του άρθρου 5): δεν πρέπει να υπερβαίνει «την απαραίτητη σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία». Αυτό συνεπάγεται, ας είμαστε σαφείς, καταστροφή των δεδομένων μετά τη χρήση· αυτό, ας το παραδεχτούμε, δεν είναι συνήθειά μας.

Η νομιμότητα της επεξεργασίας έχει πλέον μια βάση, η οποία υπενθυμίζεται στο Άρθρο 6, το οποίο απαριθμεί έξι προϋποθέσεις, εκ των οποίων πρέπει να πληρούται τουλάχιστον μία. Οι τέσσερις τελευταίες είναι αφιερωμένες σε μη εμπορικά ζητήματα, και μόνο οι δύο πρώτες μας αφορούν. Είτε «το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς», είτε «η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατόπιν αιτήματος του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης». Είναι επομένως σαφές: για τη χρήση προσωπικών πληροφοριών, η συναίνεση ή η σύναψη σύμβασης είναι απαραίτητη. Για έναν ανήλικο κάτω των 16 ετών, ηλικία την οποία τα κράτη μέλη μπορούν να μειώσουν στα 13 έτη (η Γαλλία μόλις επέλεξε την αριθμητική ενηλικίωση στην ηλικία των 15 ετών), η συναίνεση πρέπει να παρέχεται από τον κάτοχο της γονικής μέριμνας (Άρθρο 8-1). Όταν απευθύνονται σε παιδιά, οι όροι πρέπει να επιλέγονται ανάλογα με την ηλικία, ώστε να διευκολύνεται η κατανόηση (άρθρο 12-1).

Σε περίπτωση διαφοράς, το βάρος της απόδειξης της συγκατάθεσης βαρύνει τον υπεύθυνο επεξεργασίας και όχι το πρόσωπο που θεωρεί ότι έχει υποστεί ζημία (άρθρο 7). Και όλα προβλέπονται στις πυκνές γραμμές του ΓΚΠΔ για να δοθεί στην εποπτική αρχή τα μέσα να αποφασίσει εάν όντως έχει δοθεί συγκατάθεση και για ποιο λόγο.

Δεν υπάρχει πλέον περιθώριο για ασάφεια, με την οποία όλοι παίζουν εδώ και είκοσι χρόνια: «Εάν η συγκατάθεση του ενδιαφερομένου παρέχεται στο πλαίσιο γραπτής δήλωσης που αφορά και άλλα θέματα, το αίτημα συγκατάθεσης υποβάλλεται σε μορφή που τη διακρίνει σαφώς από αυτά τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή και διατυπώνεται με σαφείς και απλούς όρους» (άρθρο 7-2). Η συγκατάθεση αυτή μπορεί να ανακληθεί ανά πάσα στιγμή. Και απαγορεύεται να περιπλέκεται η χρήση αυτής της δυνατότητας: «Είναι τόσο απλό να ανακαλέσετε τη συγκατάθεση όσο και να δώσετε τη συγκατάθεση» (άρθρο 7-3).

Αυτό δεν είναι κάτι καινούργιο, τουλάχιστον στη Γαλλία, αλλά επιβεβαιώνεται σαφώς στο Άρθρο 9: η επεξεργασία που θα αποκάλυπτε τη φυλετική ή εθνοτική καταγωγή, τις πολιτικές απόψεις, τις θρησκευτικές πεποιθήσεις, την υγεία ή τον σεξουαλικό προσανατολισμό των εν λόγω προσώπων απαγορεύεται (Άρθρο 9-1), εκτός από δέκα συγκεκριμένες περιπτώσεις που σχετίζονται με το εργατικό δίκαιο ή το δημόσιο συμφέρον. Μία από αυτές τις εξαιρέσεις είναι ενδιαφέρουσα και εκπληκτική επειδή αποκλίνει από τον προστατευτικό χαρακτήρα του κειμένου: όταν τα δεδομένα «δημοσιοποιούνται προδήλως από το εν λόγω πρόσωπο» (Άρθρο 9-2ε). Σε αυτήν την περίπτωση, μπορούν να αποκαλυφθούν οι λεγόμενες ευαίσθητες πληροφορίες, οι οποίες, δεδομένου του επικρατούντος επιδειξιομανία, μπορούν να επηρεάσουν πολλούς ανθρώπους.