Prantsuse õiguse värskendus

Katkend Bruno DUMAY raamatust: GDPR DEKRÜPTSIOON – ettevõtete ja organisatsioonide juhtidele, strateegilistele osakondadele ja töötajatele – eessõna Gaëlle MONTEILLERilt

Isikuandmete kaitse üldmääruse kaks viimast rida, mis tunnistavad kehtetuks direktiivi 95/46/EÜ artikli 94, st eelmise andmekaitsealase viiteteksti, on järgmised: „Seda kohaldatakse alates 25. maist 2018. Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.“ Seega ei ole vaja seda riiklikul tasandil seadusesse üle võtta. Sellegipoolest kutsutakse riike üles seda tegema, mis vastab paljude riikide praktikale. Kuigi näeme, et Euroopa ei ole veel föderatsioon, on see kaugel sellest.

Seetõttu on Prantsusmaa koostanud seaduseelnõu (tekst, mis esitati parlamendile, kellel on seadusandlik võim ainuisikuliselt, kuid mille algatas valitsus), mis inkorporeerib Euroopa isikuandmete kaitse määruse (tuntud kui „Euroopa pakett“) sätted. Justiitsminister Nicole Belloubeti poolt 2017. aasta detsembri keskel esitatud tekst võeti Rahvusassamblee poolt 13. veebruaril 2018 vastu väga suure häälteenamusega (505 poolt-, 18 vastu- ja 24 erapooletut). Jõustumiseks peab selle veel heaks kiitma senat, mis arutab seda alates 20. märtsist (seega ei tea me kirjutamise ajal, märtsi alguses, tulemust, kuid senaatoritel pole põhjust selles küsimuses oma kolleegidest erinevalt hääletada).

Eile kehtis 1978. aasta andmekaitseseadus. See pikaealisus näitab selle seaduse tolleaegsete edendajate intelligentsust (interneti siis veel polnud), isegi kui see on nüüdseks vananenud. Seega asendab uus seadus 1978. aasta seaduse, just nagu GDPR asendab Euroopa tasandil 1995. aasta direktiivi. Määruse sätetele, mida oleme näinud, lisab see kriminaaltoimikutele kohaldatava direktiivi sätted (mis puudutaksid eelkõige geneetiliste sõrmejälgede riiklikku toimikut, staadionikeeldude toimikut või isegi karistusregistrite töötlemist).

„See hõlmab esialgsete formaalsuste lihtsustamist sidusrühmade vastutusprotsessi kasuks ja üksikisikute õiguste tugevdamist. Vastutasuks tugevdatakse CNIL-i volitusi ja määratakse märkimisväärselt suuremaid karistusi,“ ütles pr Belloubet, korrates Euroopa määruse filosoofiat.

Seadus läheb kahes punktis isegi kaugemale kui GDPR: „digitaalse täisealiseks saamise” vanus ja kollektiivhagid. Esimese punkti osas tuletame meelde, et GDPR määrab selleks 16 aastat, kuid lubab riikidel seda langetada 13-ni. Prantsusmaa on valinud vahepealse seisukoha: „Alaealine võib alates 15. eluaastast anda iseseisva nõusoleku isikuandmete töötlemiseks” (see üheaastane langetamine ei tulnud valitsuselt, vaid saadikutelt endilt esialgse eelnõu muudatusettepaneku vormis). 13–15-aastaste puhul on vaja vanemate nõusolekut. Alla 13-aastaste puhul on igasugune andmete kogumine keelatud. Aga kuidas saab selliseid sätteid jõustada, kui me teame, et CNIL-i 2017. aasta juuni uuringu kohaselt on 63% 11–14-aastastest registreerunud sotsiaalvõrgustikus, et 4 kümnest valetab oma vanuse kohta ja et platvormid või sotsiaalvõrgustikud kehtestavad oma reeglid (Facebookis on võimalik registreeruda ilma vanemate loata alates 13. eluaastast)?

Uue andmekaitseseaduse teine tugev külg on kollektiivhagi võimalus, mis oli juba 2014. ja 2016. aasta seadustega algatatud, kuid seekord võimaldaks see hüvitada „materiaalset või moraalset kahju“, samas kui seni arvestati ainult majanduslikku kahju. Vaatamata sellise menetluse rakendamise raskustele on see uue Prantsuse seadusega kehtestatud täiendav survevahend ettevõtetele.

Prantsuskeelne tekst säilitab kooskõlas isikuandmete kaitse üldmäärusega, mis näeb ette erandeid julgeolekuga seotud valdkondades, eelneva loa nõude „biomeetriliste andmete töötlemiseks, mis on vajalikud isikute tuvastamiseks või isikusamasuse kontrollimiseks“. Samamoodi ei kohaldata Euroopa õigust tosinale nn suveräänsusfailile, näiteks terroristliku radikaliseerumise ennetamise hoiatuste failile (FSPRT).

Üks seaduse üllatav aspekt näib olevat vähe mainitud: eelnõu annab valitsusele õiguse kirjutada kogu andmekaitseseadus kuue kuu jooksul ümber määruse vormis (põhiseaduse artikkel 38, valitsus tegutseb valdkonnas, mis on eelkõige parlamendi pädevuses). Seega oleks sellel uuel andmekaitseseadusel piiratud kestus? See ei tundu mitte ainult üllatav, arvestades, et seaduse peamine sisu on olulise Euroopa määruse ülevõtmine, mis on loodud kestma. Lisaks tekitab küsimust, miks parlament loobuks oma võimust nii olulise küsimuse üle. Lõpuks, kuidas me saame ettevõtetelt nõuda vastavuse saavutamist 25. maiks 2018, kui mängureegleid muudetakse lähikuudel?

Meie riigis valitsev haruldane üksmeel andmekaitset toetavate uute meetmete osas ei tohiks takistada meil kriitikat kuulamast, kui see tuleb inimestelt, kellel on selles valdkonnas vaieldamatu kogemus. Mainime neist vaid kahte.

Esimene pärineb Yann Padova'lt, CNIL-i endiselt peasekretärilt, kes töötab nüüd Baker McKenzie juristina ja kirjutas 29. jaanuaril ajalehes Les Échos järgmist: „Meie maailm kogeb andmete uputust, nende maht kahekordistub iga 24 kuuga. Nende analüüsi hõlbustamine, uute korrelatsioonide otsimine ja uuenduslike teenuste tekkimise soodustamine – see on suurandmete väljakutse täna ja tehisintellekti väljakutse homme. Keeldudes seda võimalust kasutamast, valib seaduseelnõu konservatiivsuse. Arvestades meie Prantsuse tööstuse ja matemaatikakooli tugevusi, on see valik kahetsusväärne. See näitab taas kord innovatsiooni, andmekaitse ja tööstusarengu vahelise seose arvestamata jätmist.“

Teine on Laurent Alexandre'ilt, tehisintellekti spetsialistilt (muuhulgas), kelle valgustavad analüüsid on meile aastaid valgust pakkunud NBIC (nano-, bio-, arvutiteaduse ja kognitiivteaduse) tehnoloogiate mõju meie elule. Oma 24. jaanuari 2018. aasta veerus pealkirjaga „Kas CNIL tuleks kaotada?“ kirjutab ta: „... tehisintellekt leiab andmete vahel ootamatuid seoseid, mis tunduvad a priori ebahuvitavad. Igasugune andmete kogumise piiramine kahjustab kindlasti kõiki operaatoreid, kuid ennekõike võimaldab Hiina või Ameerika ettevõtetel õitseda ilma Euroopa konkurentsita.“ Ja edasi: „Brüsselis vajame tehnoloogilise sõja juhtimiseks andmete Thatcherit. Prantsuse mastaabis peame CNIL-i revolutsiooniliselt muutma, mida juhib tähelepanuväärne meeskond, kuid mis taotleb valet eesmärki. Peame rikastama selle missiooni, integreerides meie riigi tehnoloogilised huvid.“

See ei ole õige koht arutelu alustamiseks. Kuid need kaks tarka vaatenurka näitavad meile, et isikuandmete õiguspärast kaitset ei tohi teostada innovatsiooni ja majandusarengu arvelt, vastasel juhul meid vasallitakse.