Päivitys Ranskan lainsäädännöstä

Ote Bruno DUMAYn kirjasta: GDPR:n purkaminen – yritysten ja organisaatioiden johtajille, strategisille osastoille ja työntekijöille – Esipuhe: Gaëlle MONTEILLER

Yleisen tietosuoja-asetuksen kaksi viimeistä riviä, jotka kumoavat direktiivin 95/46/EY 94 artiklan eli aiemman tietosuojaa koskevan viitetekstin, kuuluvat seuraavasti: "Sitä sovelletaan 25. toukokuuta 2018 alkaen. Tämä asetus on kaikilta osiltaan velvoittava ja sellaisenaan sovellettava kaikissa jäsenvaltioissa." Näin ollen ei ole tarvetta siirtää sitä laiksi kansallisella tasolla. Valtioita kuitenkin kehotetaan tekemään niin, mikä vastaa monien niiden käytäntöä. Siinä missä Eurooppa ei vielä ole liittovaltio, olemme kaukana siitä.

Ranska on siksi laatinut lakiluonnoksen (teksti, joka on jätetty parlamentille, ainoalle lainsäädäntövallan haltijalle, mutta jota hallitus on ehdottanut), johon sisällytetään henkilötietojen suojaa koskevan eurooppalaisen asetuksen (ns. "eurooppalainen paketti") säännökset. Oikeusministeri Nicole Belloubet esitteli tämän tekstin joulukuun puolivälissä 2017, ja kansalliskokous hyväksyi sen 13. helmikuuta 2018 erittäin suurella enemmistöllä (505 ääntä puolesta, 18 ääntä vastaan ja 24 tyhjää). Jotta se tulisi voimaan, senaatin on vielä hyväksyttävä se, ja se käsittelee sitä 20. maaliskuuta alkaen (emme siis tiedä tulosta kirjoitushetkellä, maaliskuun alussa, mutta senaattoreilla ei ole mitään syytä äänestää tästä asiasta eri tavalla kuin kollegoillaan).

Eilen sovellettiin vuoden 1978 tietosuojalakia. Tämä pitkäikäisyys osoittaa lain edistäjien älykkyyttä tuolloin (internettiä ei ollut olemassa), vaikka se onkin nyt vanhentunut. Uusi laki korvaa siis vuoden 1978 lain, aivan kuten GDPR korvaa vuoden 1995 direktiivin Euroopan tasolla. Asetuksen säännöksiin, jotka olemme nähneet, se lisää rikosrekisteritietoja koskevan direktiivin säännökset (jotka koskisivat erityisesti geneettisten sormenjälkien kansallista rekisteriä, stadionkieltoja tai jopa rikosrekisterien käsittelyä).

”Tämä tarkoittaa alustavien muodollisuuksien virtaviivaistamista sidosryhmien vastuuvelvollisuuden edistämiseksi ja yksilöiden oikeuksien vahvistamiseksi. Vastineeksi CNIL:n valtuuksia vahvistetaan ja määrättäviä seuraamuksia kovennetaan huomattavasti”, sanoi Belloubet toistaen eurooppalaisen sääntelyn filosofiaa.

Laki menee jopa GDPR:ää pidemmälle kahdessa kohdassa: "digitaalisen täysi-ikäisyyden" ikäraja ja ryhmäkanteet. Ensimmäisen kohdan osalta muistutamme, että GDPR asettaa ikärajaksi 16 vuotta, mutta sallii osavaltioiden laskea sen 13 vuoteen. Ranska on valinnut tämän välimuodon: "Alaikäinen voi antaa yksin suostumuksensa henkilötietojensa käsittelyyn 15-vuotiaasta lähtien" (tämä vuoden alentaminen ei tullut hallitukselta, vaan kansanedustajilta itseltään alkuperäisen luonnoksen tarkistuksen muodossa). 13–15-vuotiaiden kohdalla vaaditaan vanhempien suostumus. Alle 13-vuotiaiden kohdalla kaikki tiedonkeruu on kielletty. Mutta miten tällaisia säännöksiä voidaan valvoa, kun tiedämme, että CNIL:n kesäkuussa 2017 tekemän tutkimuksen mukaan 63 % 11–14-vuotiaista on rekisteröitynyt sosiaaliseen verkostoon, että neljä kymmenestä valehtelee iästään ja että alustat tai sosiaaliset verkostot asettavat omat sääntönsä (Facebookiin on mahdollista rekisteröityä ilman vanhempien lupaa 13-vuotiaasta lähtien)?

Uuden tietosuojalain toinen vahvuus on ryhmäkanteiden mahdollisuus, joka otettiin käyttöön jo vuoden 2014 ja 2016 laeilla, mutta tällä kertaa ne mahdollistaisivat korvauksen "aineellisista tai moraalisista" vahingoista, kun tähän asti huomioon otettiin vain taloudelliset vahingot. Vaikka tällaisen menettelyn toteuttaminen on vaikeaa, se on uusi Ranskan laki, joka luo lisäpainostusta yrityksiin.

Ranskankielinen teksti, GDPR:n mukaisesti, joka sisältää poikkeuksia turvallisuuteen liittyvillä aloilla, säilyttää ennakkoluvan sellaisten biometristen tietojen käsittelyyn, jotka ovat tarpeen "henkilöiden tunnistamiseksi tai henkilöllisyyden varmentamiseksi". Vastaavasti eurooppalainen lainsäädäntö ei koske tusinaa niin kutsuttua "suvereniteettitiedostoa", kuten terroristisen radikalisoitumisen estämiseksi tehtyjen kuulutusten tiedostoa (FSPRT).

Yksi yllättävä lain puoli näyttää jääneen vaille huomiota: lakiesitys antaa hallitukselle valtuudet kirjoittaa koko tietosuojalaki uudelleen kuuden kuukauden kuluessa asetuksen muodossa (perustuslain 38 §, hallitus toimii erityisesti eduskunnan toimivaltaan kuuluvalla alueella). Tällä uudella tietosuojalailla olisi siis rajoitettu kesto? Tämä ei ainoastaan vaikuta yllättävältä, kun otetaan huomioon, että lain pääsisältö on merkittävän, pysyvästi tarkoitetun eurooppalaisen asetuksen saattaminen osaksi kansallista lainsäädäntöä. Lisäksi herää kysymys, miksi eduskunta luopuisi vallastaan näin perustavanlaatuisessa asiassa. Lopuksi, miten voimme vaatia yrityksiä noudattamaan lakia 25. toukokuuta 2018 mennessä, jos pelisääntöjä muutetaan tulevina kuukausina?

Maassamme harvinaisen yksimielisyyden uusista tietosuojaa edistävistä toimenpiteistä ei pitäisi estää meitä kuuntelemasta kritiikkiä, kun se tulee ihmisiltä, joilla on kiistaton asiantuntemus aiheesta. Mainitsemme vain kaksi heistä.

Ensimmäinen on Yann Padova, CNIL:n entinen pääsihteeri, joka työskentelee nykyään Baker McKenzien lakimiehenä. Hän kirjoitti Les Échos -lehdessä 29. tammikuuta: "Maailmamme kokee datatulvan, ja sen määrä kaksinkertaistuu 24 kuukauden välein. Datan analysoinnin helpottaminen, uusien korrelaatioiden etsiminen ja innovatiivisten palveluiden syntymisen edistäminen – tämä on Big Datan haaste tänään ja tekoälyn haaste huomenna. Kieltäytymällä hyödyntämästä tätä mahdollisuutta lakiesitys valitsee konservatiivisuuden. Ottaen huomioon Ranskan teollisuutemme ja matemaattisen koulukuntamme vahvuudet, tämä valinta on valitettava. Se osoittaa jälleen kerran, ettei innovaatioiden, tietosuojan ja teollisen kehityksen välistä yhteyttä ole otettu huomioon."

Toinen on Laurent Alexandrelta, tekoälyn (muun muassa) asiantuntijalta, jonka valaiseva analyysi on valaisemassa meitä jo vuosia NBIC-teknologioiden (nano-, bio-, tietojenkäsittelytiede, kognitiotiede) vaikutuksesta elämäämme. 24. tammikuuta 2018 julkaistussa kolumnissaan "Pitäisikö CNIL lakkauttaa?" hän kirjoittaa: "... Tekoäly löytää odottamattomia korrelaatioita datan välillä, jotka vaikuttavat lähtökohtaisesti epäkiinnostavilta. Kaikki datankeruun rajoitukset varmasti haittaavat kaikkia toimijoita, mutta ennen kaikkea ne antavat kiinalaisille tai amerikkalaisille yrityksille mahdollisuuden menestyä ilman eurooppalaista kilpailua." Ja edelleen: "Brysselissä tarvitsemme Thatcherin datan johtamaan teknologista sotaa. Ranskalaisessa mittakaavassa meidän on mullistattava CNIL, jota johtaa merkittävä tiimi, mutta joka pyrkii väärään päämäärään. Meidän on rikastettava sen tehtävää integroimalla maamme teknologiset edut."

Tämä ei ole oikea paikka keskustelun aloittamiselle. Mutta nämä kaksi viisasta näkökulmaa osoittavat meille, että henkilötietojen oikeutettua suojaa ei saa käyttää innovaatioiden ja talouskehityksen kustannuksella, muuten meidät alistaa.