Jännittävä syntymäpäivä

Oikeudellinen valvonta nro 24 – Toukokuu 2020

Jännittävä syntymäpäiväGDPR juhlii toista vuosipäiväänsä perusoikeuksien kannalta erityisen myrskyisässä tilanteessa.

Kuinka kestävä eurooppalainen tietosuojajärjestelmä on nykyisten terveyshaasteiden edessä?

Onko terrorismin vastaisessa taistelussa jo koeteltu, onko eurooppalaisten yksilöiden oikeuksia suojaava perusta mukautettu tämän päivän kehitykseen?

• Hätätilalait ja teknologinen ”ratkaisumielisyys”

Hätätilalait ja teknologinen kehitys mahdollistavat yksilöiden seuranta lisääntyvät Euroopassa ja muualla maailmassa.

Lähemmin tarkasteltuna kaikki aloitteet eivät ole samanlaisia.

Esimerkiksi Euroopan unionin sisällä Ranskan ja Unkarin hätätilalait eroavat toisistaan hyvin paljon rajoitusten ja soveltamisalan suhteen.

Ranskassa hallitus on kohdannut kiivasta parlamentaarista keskustelua erityisesti tartunnan saaneiden jäljittämisestä ja sairaiden ennaltaehkäisevästä karanteenista. Joitakin säännöksiä on jopa sensuroitu perustuslakineuvoston toimesta.

Unkari menee pidemmälle rajoittamalla yleisesti parlamenttinsa roolia sekä erityisesti GDPR:n tarjoamaa suojaa profiloinnin, yksilöiden oikeuden tutustua omiin tietoihinsa ja oikeuden tulla unohdetuksi osalta.

Merkittäviä eroja on myös verrattaessa saksalaista "covid"-seurantasovellusta, joka perustuu hajautettuun järjestelmään ja jossa tiedonkeruu on minimaalinen, ja brittiläistä sovellusta, jonka (tunnistettavissa olevia) tietoja hallitus säilyttää 20 vuotta ilman ennakkoarviointia.

Euroopan unionin perusoikeusvirasto (FRA) on julkaissut kaksi raporttia, joissa arvioidaan Euroopan valtioiden toteuttamien toimenpiteiden vaikutusta perusoikeuksiin.

Hän varoittaa siitä, puuttuvien toimenpiteiden kehittäminen jariippuvuus tähän uuteen tilanteeseen.

Vaikka yksilöiden on ilmeisesti saatava mahdollisimman täydelliset tiedot sekä valvontakeinot (suostumus, vastustusoikeus ja poistamisoikeus) seurantajärjestelmien käyttöönoton puitteissa, Tietosuojaviranomaiset huomauttavat, että näiden järjestelmien laillisuus ei voi perustua pelkästään asianomaisten henkilöiden suostumukseen..

Kuten CNIL huomauttaa lausunnossaan nyt toiminnassa olevasta StopCovid-sovelluksesta, "laitteen todellista hyödyllisyyttä on tutkittava tarkemmin sen käyttöönoton jälkeen".

Järjestelmän täytäntöönpanon keston on oltava ehdollinen tämän säännöllisen arvioinnin tuloksista.”

Riittävätkö tällaiset jälkikäteisarvioinnit? Uusien seurantalaitteiden hyödyllisyyden perusteellinen tarkastelu tulisi periaatteessa tehdä ennen tietojenkäsittelyn toteuttamista, jopa (ja erityisesti) hätätilanteissa, kun käsitellään arkaluonteisia tietoja.

• Institutionaaliset suojatoimet

Parlamentin ja CNIL:n kaltaisten instituutioiden lisäksi Ranskan tuomioistuimia ja muita lainkäyttöelimiä pyydetään päättämään tiedonkeruusta.

Näin on valtioneuvoston tapauksessa, joka määräsi 18. toukokuuta annetulla asetuksella valtion lopettamaan kaikki toimenpiteet, jotka drone-valvonta hallita Pariisin sulkemista.

Sama pätee Rennesin alioikeuteen, joka kuvailiADOC-tiedoston käyttäminen (sakkotiedosto) tarkistaakseen toistuvia vankeusrangaistusten noudattamatta jättämisiä.

On huomattava, että nämä viimeaikaiset päätökset perustuvat oikeusperustan olemassaoloon tai puuttumiseen kyseenalaistamatta perustavanlaatuisemmin pakkokeinojen oikeasuhteisuutta.

Entä sitten näiden toimenpiteiden oikeasuhtaisuus? Onko valvontamenetelmien mahdollisen muutoksen herättämiä eettisiä kysymyksiä otettu riittävästi huomioon?

WHO:n viimeaikaiset suositukset seurantateknologioiden eettisyydestä viittaavat siihen, että terveyden seurannan ja väestön seurannan välinen hieno raja, ja syrjäytyneiden ihmisten kohtaamat lisääntyneet riskit.

WHO kannattaa väestötietojen hallintaan osallistuvien julkisten ja yksityisten toimijoiden tehokasta valvontaa.

Asiakirjassa luetellaan nykytilanteessa noudatettavat keskeiset periaatteet ja esitetään erittäin hyödyllinen luettelo viranomaisten ja kansainvälisten järjestöjen viimeaikaisista tiedonannoista (laaja kokoelma on saatavilla myös Global Privacy Assemblyn verkkosivuilla).

• Hoitojen takana olevien toimijoiden keskeinen rooli

Nämä näkökohdat korostavat tarvetta pohtia perusteellisesti valvontajärjestelmiin osallistuvien toimijoiden vastuuta niin julkisten elinten kuin yksityisten toimijoidenkin tasolla.

Ennen kuin projisoimme itsemme "tuonpuoleiseen maailmaan", katsotaanpa ensin työkaluja, joita meillä on tänään.

GDPR:n omaperäisyys aiempaan lainsäädäntöön verrattuna piilee erityisesti sen tarjoamissa vastuuvelvollisuustoimenpiteissä.  Rekisterinpitäjän, olipa kyseessä sitten valtio tai yksityinen yritys, on oltava vastuussa.

Se vastaa tiedonhallintatyökalujen kehityksen arvioinnista paitsi taloudellisten tai poliittisten kysymysten myös perusoikeuksien valossa, erityisesti analysoimalla etukäteen käsittelyn vaikutusta yksilöiden oikeuksiin.

Ja tähän velvoitteeseen liittyy sakkoja, kuten Suomen Posti juuri kärsi saatuaan tuomion tällaisen vaikutusanalyysin tekemättä jättämisestä ennen tietojenkäsittelyn käyttöönottoa.

Tietosuojan integrointi käsittelylaitteen suunnitteluun ja laitteen konfigurointi kerätyn tiedon rajoittamiseksi, jotka tunnetaan myös nimillä "sisäänrakennettu yksityisyyden suoja" ja "oletusarvoinen yksityisyyden suoja", ovat kaksi muuta olennaista elementtiä yksilöiden oikeuksien huomioon ottamisessa ennen tietojenkäsittelyä.

Juuri tätä GDPR:n keskeistä roolia Euroopan tietosuojaneuvoston puheenjohtaja Andrea Jelinek muistuttaa asetuksen vuosipäivän johdosta pitämässään viestissä.

GDPR on mukautettu käymiimme kriiseihin, mutta se ei ole ainoastaan valvontaviranomaisten, vaan myös ja ennen kaikkea rekisterinpitäjien vastuulla. pelaa peliä.

THE perusoikeuksien kunnioittaminen on epäilemättä tänään enemmän kuin koskaan olennainen askel sen varmistamiseksi, luottamus ja sillä on sehyväksyminen yksilöiden toimesta uusien teknologisten kehitysten myötä.

Ilman luottamusta terveystoimenpiteiden tehokkuus ja koko kriisin lopputulos ovat vaakalaudalla. 

Anne Christine Lacoste

Tietosuojalainsäädäntöön erikoistuneena lakimiehenä hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.