GDPR-i töötlemise revolutsioonilised põhimõtted

Katkend Bruno DUMAY raamatust: GDPR DEKRÜPTSIOON – ettevõtete ja organisatsioonide juhtidele, strateegilistele osakondadele ja töötajatele – eessõna Gaëlle MONTEILLERilt

Artikkel 5 on nii sõna kui ka vaimu poolest revolutsiooniline, kui me vaatame ausalt enne 2018. aastat kehtinud tavasid.

„Isikuandmeid tuleb töödelda seaduslikult, õiglaselt ja andmesubjekti jaoks läbipaistvalt“ (lõige 1a). Kuigi võib nõustuda, et protsess oli seaduslik, tuleb tunnistada, et läbipaistvuse ja õigluse kriteeriume peaaegu üldse ei arvestatud. Ühtegi isikut, kelle andmeid koguti, ei teavitatud selle kogumise meetoditest ja eesmärkidest. Kui me peame nüüd seda uut sätet järgima ja me peame, siis on nii perspektiivi kui ka praktika osas vajalikud muudatused märkimisväärsed.

Sama artikli 5 lõige 1b on piisav, et meid jahmatada, vabandust, aga isegi rohkem valgustada: „Isikuandmeid tuleb koguda täpselt kindlaksmääratud, selgetel ja õiguspärastel eesmärkidel ning neid ei tohi edasi töödelda viisil, mis ei ole nende eesmärkidega kooskõlas.“ Teisisõnu, turundusdirektor jääb vastutavaks tema kogutud andmete eest, isegi kui nende kasutusala aja jooksul muutub. Ja see muutus ei tohi olla vastuolus kogumise alguses esitatud põhjustega. Mõiste „täpseltmääratud, selged eesmärgid“ võiks iseenesest, kui kohtunik seda kitsamas tähenduses mõistab, taandada kogutud isikuandmed üheks kasutusotstarbeks.

Lõige 1c pole samuti halb: „Isikuandmed peavad olema piisavad, asjakohased ja piirduma sellega, mis on vajalik nende eesmärkide saavutamiseks, milleks neid töödeldakse (andmete minimeerimine).“ Enam pole vaja kõikehõlmavaid strateegiaid ja laiaulatuslikke otsinguid võimalikult suure teabe saamiseks. Iga toiming tuleb kalibreerida vastavalt konkreetsele eesmärgile ja ainult sellele eesmärgile. Teksti filosoofia ilmneb siin taas: see puudutab isikuandmete levitamise võimalikult suurt piiramist, et ükski isik ei saaks väita, et tema kohta käiv teave on tema nõusolekuta ära võetud.

Säilitusaeg on samuti käsitletud (artikli 5 lõike 1 punktis e): see ei tohi ületada „seda, mis on vajalik eesmärkide saavutamiseks, milleks andmeid töödeldakse“. See tähendab, olgem ausad, andmete hävitamist pärast kasutamist; see pole, tunnistagem, meie harjumus.

Töötlemise seaduslikkusel on nüüd alus, mida tuletab meelde artikkel 6, mis loetleb kuus tingimust, millest vähemalt üks peab olema täidetud. Kuna viimased neli on pühendatud mittekaubanduslikele küsimustele, puudutavad meid ainult kaks esimest. Kas „andmesubjekt on andnud nõusoleku isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil” või „töötlemine on vajalik lepingu täitmiseks, mille pooleks andmesubjekt on, või lepingu sõlmimisele eelnevate meetmete võtmiseks andmesubjekti taotlusel”. Seega on selge: isikuandmete kasutamiseks on oluline nõusolek või leping. Alla 16-aastase alaealise puhul, kelle vanust liikmesriigid võivad langetada 13-le aastale (Prantsusmaa on just valinud numbrilise enamuse 15-aastaselt), peab nõusoleku andma vanemliku vastutuse kandja (artikkel 8-1). Lastega suhtlemisel tuleb terminid valida vastavalt vanusele, et hõlbustada mõistmist (artikkel 12-1).

Vaidluse korral lasub nõusoleku tõendamise kohustus vastutaval töötlejal, mitte isikul, kes peab end kahju kannatanuks (artikkel 7). Ja isikuandmete kaitse üldmääruse tihedas reas on kõik ette nähtud, et anda järelevalveasutusele vahendid otsustada, kas nõusolek on tõepoolest antud ja milleks.

Ebaselguse võimalusele, millele kõik on kakskümmend aastat mänginud, pole enam ruumi: „Kui asjaomase isiku nõusolek antakse kirjaliku avalduse raames, mis käsitleb ka muid küsimusi, tuleb nõusoleku taotlus esitada vormis, mis eristab seda selgelt nendest muudest küsimustest, arusaadaval ja kergesti ligipääsetaval kujul ning selgelt ja lihtsalt sõnastatud“ (art 7-2). Selle nõusoleku saab igal ajal tagasi võtta. Ja selle võimaluse kasutamist on keelatud keerulisemaks muuta: „Nõusoleku tagasivõtmine on sama lihtne kui nõusoleku andmine“ (art 7-3).

See pole uus, vähemalt mitte Prantsusmaal, kuid artiklis 9 on seda selgelt kinnitatud: töötlemine, mis paljastaks asjaomaste isikute rassilise või etnilise päritolu, poliitilised vaated, usulised veendumused, tervise või seksuaalse sättumuse, on keelatud (artikkel 9-1), välja arvatud kümme konkreetset tööõiguse või avaliku huviga seotud juhtumit. Üks neist eranditest on huvitav ja üllatav, kuna see kaldub kõrvale teksti kaitsvast olemusest: kui andmed on "asjaomane isik ilmselgelt avalikustanud" (artikkel 9-2e). Sellisel juhul võib avalikustada nn tundlikku teavet, mis valitseva ekshibitsionismi tõttu võib mõjutada paljusid inimesi.