Des droits renforcés pour les individus face aux entreprises

Vahvistetut yksilöiden oikeudet yrityksiä vastaan

Ote Bruno DUMAYn kirjasta: GDPR:n purkaminen – yritysten ja organisaatioiden johtajille, strategisille osastoille ja työntekijöille – Esipuhe: Gaëlle MONTEILLER

Demokraattisten yhteiskuntien normien on tarkoitus taata tasapaino mahdollisesti ristiriitaisten intressien välillä. Useimmat merkittävät tekstit sisältävät kuitenkin suuntautumisen – puhuin edellä filosofiasta – joka suosii yhtä osapuolta toisen vahingoksi, joko siksi, että näitä tekstejä säätävä viranomainen haluaa antaa uuden suunnan, tai siksi, että tasapainottamisen tarve on tuntunut jonkinasteisten yhteen suuntaan ajautuneiden ajautumien jälkeen, jotka ovat johtaneet epäsymmetriseen suhteeseen osapuolten välillä. GDPR on epäilemättä työkalu yksilöiden oikeuksien palauttamiseksi kaikkivoipaisten yritysten edessä, jotka eivät enää välitä yksityisyyden kunnioittamisesta.  

Asetuksen III luku on kokonaan omistettu "rekisteröidyn oikeuksille". "Rekisterinpitäjän" vastuulla on helpottaa näiden oikeuksien käyttämistä. Hänen on vastattava "mahdollisimman pian ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Tarvittaessa tätä määräaikaa voidaan pidentää kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja lukumäärä" (artikla 12-3). Tästä voitaisiin päätellä, että pyyntöön vastaamiseen on kolme kuukautta aikaa ja että pelkästään tämä määräaika voi karkottaa monia hakijoita. Itse asiassa ei; yhtäältä siksi, että pidennyksen on oltava perusteltua "tarpeella" tai "monimutkaisuudella", ja toisaalta siksi, että pyynnön esittäjälle on ilmoitettava kuukauden kuluessa pidennyksen syyt (jälleen artikla 12-3). Ja jos rekisterinpitäjä katsoo pyynnön olevan perusteeton, hänen on osoitettava tämä perusteettomuus (artikla 12-5).

Artikla 13 luettelee kaikki tiedot, jotka on annettava yksilöä koskevia tietoja kerättäessä. Tämä on mullistava kehitysaskel: emme voi hyväksyä sitä antamatta ensin takeita asetuksen säännösten rehellisyydestä. Kukaan ei voi enää luottaa kokoonsa, maineeseensa tai asemaansa saadakseen internetin käyttäjät paljastamaan itsensä.

Siksi yrityksen on toimitettava seuraavat tiedot etukäteen:

– rekisterinpitäjän henkilöllisyys ja yhteystiedot;

– tietosuojavastaavan yhteystiedot (rakenteissa, joissa se on pakollista, käsittelemme tämän myöhemmin);

– tietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperusta;

– tietojen vastaanottajat, mukaan lukien tapaukset, joissa tietoja on tarkoitus siirtää kolmanteen maahan.

Tietojen vastaanottamisen jälkeen (tekstissä on merkintä ”…hetkellä”) on edelleen ilmoitettava seuraavista:

– säilyvyysaika;

– oikeus oikaisuun, poistamiseen, käsittelyn rajoittamiseen, vastustamiseen ja tietojen siirrettävyyteen (palaamme näihin oikeuksiin myöhemmin);

– oikeus tehdä valitus valvontaviranomaisille;

– tietojen toimittamatta jättämisen seuraukset;

– tietojen antamisen seuraukset, erityisesti automatisoidun päätöksenteon tai profiloinnin kannalta.

Kun tietoja ei ole kerätty rekisteröidyltä itseltään, velvollisuudet ovat samat, ja niihin lisätään "lähde, josta henkilötiedot ovat peräisin". Näitä tietoja ei vaadita, kun tietoja käsitellään yleisen edun mukaisia arkistointi-, tutkimus- tai tilastollisia tarkoituksia varten.  

Kun rekisteröity on toimittanut tiedot, ne eivät jää heiltä huomaamatta (mikä muutos nykyisiin käytäntöihin verrattuna, jälleen kerran). Itse asiassa GDPR (luo) ensin (uudelleen) tiedonsaantioikeuden (artikla 15). Tämä tiedonsaantioikeus on jo olemassa Ranskassa, mutta se on vähän tunnettu ja monimutkainen toteuttaa. Täällä se kattaa kaikki 13 artiklassa mainitut tiedot. Tietojen saaminen tapahtuu siirtämällä tiedot yksinkertaisesta pyynnöstä: "Rekisterinpitäjä toimittaa kopion käsiteltävistä henkilötiedoista" (artikla 15-3). Tämä kopio on maksuton (lisäkopiosta voidaan periä kohtuullinen maksu). Kun pyyntö toimitetaan sähköisesti, vastaus annetaan samassa muodossa, ellei pyyntö ole erilainen.

Toinen nimenomaisesti vahvistettu oikeus: oikeus oikaista tiedot (artikla 16). Tämä oikeus koskee tietoja, jotka ovat virheellisiä ja puutteellisia käsittelyn tarkoituksen kannalta.

Kolmannen oikeuden merkitys on vähitellen tullut ilmeiseksi viimeisten kymmenen vuoden aikana, Web 2.0:n ja sosiaalisten verkostojen syntymisen jälkeen. Juuri tästä lähtien olemme tulleet tietoisiksi datan tärkeydestä, ja kokoelmia on järjestetty ja moninkertaistettu. Koska meitä koskevat tiedot ovat tuntemattomien käsien hallussa, vaatimus oikeudesta tietojen poistamiseen (tai oikeudesta tulla unohdetuksi) on virallistunut. Ranska yritti tätä vuonna 2010 hyväksymällä peruskirjat oikeudesta tulla unohdetuksi, mutta Facebook ja Google kieltäytyivät allekirjoittamasta niitä. Euroopan unionin tuomioistuin antoi tämän oikeuden tulla unohdetuksi kesäkuussa 2014, minkä jälkeen tärkeimpien digitaalisten toimijoiden, mukaan lukien Googlen, oli otettava käyttöön menettelyjä, mukaan lukien "lomakkeen" julkaiseminen verkossa, jonka avulla internetin käyttäjä voi vedota tähän oikeuteen. Lomakkeen ansiosta sadattuhannet ihmiset ovat pystyneet poistamaan tuloksensa tietokannastaan.

GDPR vahvistaa tämän oikeuden Euroopan tasolla ja esittää sen yksinkertaisella tavalla (artikla 17). Rekisteröidyn pyynnöstä rekisterinpitäjän on poistettava henkilötiedot "mahdollisimman pian":

– jos tietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin;

– jos suostumus peruutetaan;

– jos käsittelyä vastustetaan.

Rekisteröidyn ei tarvitse perustella pyyntöään. Ainoat rajoitukset tähän poisto-oikeuteen ovat:

– unionin oikeudesta tai jäsenvaltion oikeudesta johtuvan lakisääteisen velvoitteen noudattaminen;

– laillisten oikeuksien käyttäminen;

– julkisen arkistoinnin, tieteellisen tutkimuksen tai tilastoinnin sekä kansanterveyden vuoksi;

– lopuksi ”sananvapauden ja tiedonvälityksen vapauden käyttäminen” (artikla 17-3a). On pakko kysyä, mitä tekemistä sananvapaudella ja tiedonvälityksen vapaudella on tämän kanssa. Oliko median etuja ajavilla lobbausryhmillä mitään vaikutusvaltaa? Vai oliko kyse yksinkertaisesti median kaikkivoipaisuudesta – yhtä vahvasta kuin datan – joka pakotti tekstin laatijat?

Myös "oikeus käsittelyn rajoittamiseen" on säädetty, erityisesti tietojen paikkansapitävyyden varmentamisen ajaksi tai silloin, kun käsittely on laitonta, mutta rekisteröity vastustaa tietojen poistamista (artikla 18). Rajoituksesta, kuten itse käsittelystäkin, on ilmoitettava rekisteröidylle (artikla 19).        

GDPR:n "siirrettävyysoikeuden" avulla yksilö voi hakea organisaatiolle toimittamansa tiedot "jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa" (artikla 20-1). He voivat tehdä tämän joko omaan henkilökohtaiseen käyttöönsä tai siirtääkseen tiedot toiselle organisaatiolle. He voivat jopa pyytää tietojensa siirtämistä suoraan yhdeltä rekisterinpitäjältä toiselle. CNIL täsmentää, että "johdettuja, laskettuja tai pääteltyjä" tietoja eli organisaation luomia tietoja ei voida vaatia (tämä eroaa tiedonsaantioikeudesta). Haetut tiedot voivat kuitenkin sisältää "toissijaisesti" tietoja, jotka liittyvät kolmansiin osapuoliin.

WP29, vuoden 1995 eurooppalaisen direktiivin 29 artiklan nojalla perustettu eurooppalainen työryhmä, joka pyrkii selkeyttämään yleistä tietosuoja-asetusta ennen sen muuttamista Euroopan tietosuojaneuvostoksi, suosittelee latausmekanismia tiedonsiirtoa varten siirrettävyysoikeuden puitteissa. Kaikissa tapauksissa säännöksen on oltava helposti saatavilla ja turvallinen. Tällä hetkellä ei ole ilmoitettu erityistä muotoa, mutta "WP29 kannustaa alan toimijoita ja ammattijärjestöjä työskentelemään yhteentoimivien standardien ja muotojen parissa näiden siirrettävyysoikeuden edellytysten kunnioittamiseksi".

Rekisterinpitäjää kannustetaan viestimään selkeästi oikeudesta siirtää tiedot, toteuttamaan todennusmenettelyn ennen pyydettyjen tietojen siirtämistä ja tarjoamaan tämä palvelu maksutta, ellei pyyntö ole ilmeisen perusteeton tai kohtuuton, "erityisesti toistuvan luonteensa vuoksi". On huomattava, että siirrettävyysoikeuden nojalla siirrettyjä tietoja ei tarvitse poistaa alkuperäisestä tiedostosta.

Jokaisella on oikeus vastustaa henkilötietojen käsittelyä milloin tahansa (artikla 21). Tämä vastustus voi koskea mitä tahansa käsittelyä tai erityisesti etsintää (artikla 21-2) ja jopa tieteellistä tai historiallista tutkimusta, "ellei käsittely ole tarpeen yleisen edun mukaisen tehtävän suorittamiseksi" (artikla 21-6). On mahdollista, että tätä oikeutta käytetään ensisijaisesti kaupallisten tarkoitusten vastustamiseen.

Lopuksi, GDPR sääntelee profilointia. ”Rekisteröidyllä on oikeus olla joutumatta sellaisen automaattisen käsittelyn, mukaan lukien profiloinnin, kohteeksi, jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi” (artikla 22). Se on sallittua sopimuksen puitteissa tai jos se perustuu nimenomaiseen sopimukseen. Näissä tapauksissa rekisterinpitäjä varmistaa ”rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen turvaamisen”.

fiFI