GDPR-käsittelyn vallankumoukselliset periaatteet

Ote Bruno DUMAYn kirjasta: GDPR:n purkaminen – yritysten ja organisaatioiden johtajille, strategisille osastoille ja työntekijöille – Esipuhe: Gaëlle MONTEILLER

Artikla 5 on sekä kirjaimeltaan että hengeltään mullistava, jos tarkastelemme rehellisesti ennen vuotta 2018 voimassa olleita käytäntöjä.

"Henkilötietoja on käsiteltävä lainmukaisesti, oikeudenmukaisesti ja rekisteröidyn kannalta läpinäkyvästi" (1a kohta). Vaikka voidaankin myöntää, että prosessi oli laillinen, on myönnettävä, että läpinäkyvyyden ja oikeudenmukaisuuden kriteerejä ei juurikaan otettu huomioon. Kenellekään, jonka tietoja kerättiin, ei kerrottu tietojen keräämisen menetelmistä ja tarkoituksista. Jos meidän on nyt noudatettava tätä uutta säännöstä, ja meidän on, sekä näkökulman että käytännön kannalta tarvittavat muutokset ovat huomattavia.

Saman artiklan 5 1b kohta riittää hämmästyttämään meitä, anteeksi, valistamaan meitä, jopa enemmän: "Henkilötiedot on kerättävä tiettyjä, nimenomaisia ja laillisia tarkoituksia varten, eikä niitä saa käsitellä edelleen näiden tarkoitusten kanssa yhteensopimattomalla tavalla." Toisin sanoen markkinointijohtaja on edelleen vastuussa keräämistään tiedoista, vaikka niiden käyttötarkoitus muuttuisi ajan myötä. Ja tämä muutos ei saa olla ristiriidassa keräämisen alkuperässä annettujen perusteiden kanssa. "Tietyjen, nimenomaisten tarkoitusten" käsite voisi sinänsä, jos tuomari ymmärtää sen suppeassa merkityksessä, supistaa kerätyt henkilötiedot yhteen käyttötarkoitukseen.

Myöskään 1c kohta ei ole huono: "Henkilötietojen on oltava riittäviä, olennaisia ja rajoituttava siihen, mikä on tarpeen niiden käsittelyn tarkoitusten kannalta (tietojen minimointi)." Ei enää yleisiä strategioita ja laajoja hakuja mahdollisimman monen tiedon saamiseksi. Jokainen toiminto on kalibroitava tietyn tavoitteen ja ainoastaan kyseisen tavoitteen mukaan. Tekstin filosofia näkyy tässä jälleen: kyse on henkilötietojen levittämisen rajoittamisesta mahdollisimman paljon, jotta kukaan ei voi väittää, että häntä koskevia tietoja on riistetty ilman suostumustaan.

Myös säilytysaikaa käsitellään (5 artiklan 1 kohdan e alakohdassa): se ei saa ylittää "sen aikaa, joka on tarpeen niiden käyttötarkoitusten kannalta, joita varten tietoja käsitellään". Tämä tarkoittaa, selvennetään, tietojen tuhoamista käytön jälkeen; myönnetään, ettei tämä ole tapanamme.

Käsittelyn laillisuudella on nyt perusta, joka mainitaan 6 artiklassa, jossa luetellaan kuusi ehtoa, joista ainakin yhden on täytyttävä. Koska neljä viimeistä koskevat ei-kaupallisia kysymyksiä, meitä koskevat vain kaksi ensimmäistä. Joko "rekisteröity on antanut suostumuksensa henkilötietojen käsittelyyn yhteen tai useampaan erityiseen tarkoitukseen" tai "käsittely on tarpeen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osapuolena, tai toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä ennen sopimuksen tekemistä". Siksi on selvää: henkilötietojen käyttämiseen tarvitaan suostumus tai sopimus. Alle 16-vuotiaan alaikäisen osalta, jonka iän jäsenvaltiot voivat alentaa 13 vuoteen (Ranska on juuri päättänyt 15 vuoden enemmistöön), suostumus on annettava vanhempainvastuunkantajan toimesta (8 artiklan 1 kohta). Lapsia puhuttaessa termit on valittava iän mukaan, jotta ymmärtäminen helpottuu (12 artiklan 1 kohta).

Riitatilanteissa suostumuksen todistamisen taakka on rekisterinpitäjällä, ei sillä henkilöllä, joka katsoo kärsineensä vahinkoa (7 artikla). Ja GDPR:n tiiviissä säännöksissä on säädetty kaikki mahdollinen, jotta valvontaviranomaisella on keinot päättää, onko suostumus todella annettu ja mitä varten.

Epäselvyyksille, joilla kaikki ovat leikkineet kahdenkymmenen vuoden ajan, ei ole enää sijaa: "Jos asianomaisen henkilön suostumus annetaan kirjallisen ilmoituksen yhteydessä, joka koskee myös muita asioita, suostumuspyyntö on esitettävä muodossa, joka selvästi erottaa sen näistä muista asioista, ymmärrettävässä ja helposti saatavilla olevassa muodossa ja selkeästi ja yksinkertaisesti muotoiltuna" (artikla 7-2). Tämä suostumus voidaan peruuttaa milloin tahansa. Ja tämän mahdollisuuden käyttöä on kielletty vaikeuttamaan: "Suostumuksen peruuttaminen on yhtä helppoa kuin suostumuksen antaminen" (artikla 7-3).

Tämä ei ole uutta, ainakaan Ranskassa, mutta se on selvästi vahvistettu 9 artiklassa: käsittely, joka paljastaisi kyseisten henkilöiden rodullisen tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset vakaumukset, terveydentilan tai seksuaalisen suuntautumisen, on kielletty (9 artiklan 1 kohta), lukuun ottamatta kymmentä erityistapausta, jotka liittyvät työoikeuteen tai yleiseen etuun. Yksi näistä poikkeuksista on mielenkiintoinen ja yllättävä, koska se poikkeaa tekstin suojaavasta luonteesta: kun tiedot "asianomainen henkilö on nimenomaisesti julkistanut" (9 artiklan 2 kohdan e alakohta). Tässä tapauksessa voidaan paljastaa niin sanottuja arkaluonteisia tietoja, jotka vallitsevan ekshibitionismin vuoksi voivat vaikuttaa moniin ihmisiin.