Revolucionarni principi obrade GDPR-a

Ulomak iz knjige Bruna DUMAYA: DEŠIFRACIJA GDPR-a – Za menadžere, strateške odjele i zaposlenike tvrtki i organizacija – Predgovor Gaëlle MONTEILLER

Članak 5. je, i slovom i duhom, revolucionaran, ako iskreno pogledamo prakse koje su bile na snazi prije 2018. godine.

„Osobni podaci moraju se obrađivati zakonito, pošteno i na transparentan način u odnosu na ispitanika“ (stavak 1.a). Iako se može složiti da je postupak bio zakonit, mora se priznati da se kriteriji transparentnosti i poštenja gotovo nisu uzimali u obzir. Nijedna osoba čiji su podaci prikupljani nije bila obaviještena o metodama i svrhama tog prikupljanja. Ako se sada moramo pridržavati ove nove odredbe, a moramo, promjene koje je potrebno napraviti, i u smislu perspektive i u praksi, su značajne.

Stavak 1b istog članka 5. dovoljan je da nas zapanji, oprostite, prosvijetli, čak i više: „Osobni podaci moraju se prikupljati u određene, eksplicitne i legitimne svrhe i ne smiju se dalje obrađivati na način koji nije u skladu s tim svrhama.“ Drugim riječima, direktor marketinga ostaje odgovoran za podatke koje je prikupio, čak i ako se njihova upotreba s vremenom promijeni. I ta promjena ne smije biti nespojiva s razlozima navedenima u početku prikupljanja. Pojam „određenih, eksplicitnih svrha“ sam po sebi bi, ako ga sudac shvati u strogom smislu, mogao svesti prikupljene osobne podatke na jednokratnu upotrebu.

Ni stavak 1c nije loš: „Osobni podaci moraju biti adekvatni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe za koje se obrađuju (minimiziranje podataka).“ Nema više strategija koje obuhvaćaju sve i sveobuhvatnih pretraga kako bi se prikupilo što više informacija. Svaka operacija mora biti kalibrirana prema određenom cilju i samo tom cilju. Filozofija teksta ovdje se ponovno pojavljuje: radi se o što većem ograničavanju širenja osobnih podataka kako nijedna osoba ne bi mogla tvrditi da su joj bez pristanka uklonjene informacije o njoj.

Razdoblje čuvanja također je obuhvaćeno (stavkom 1e članka 5.): ne smije premašiti „ono što je nužno u odnosu na svrhe za koje se obrađuju“. To podrazumijeva, budimo jasni, uništavanje podataka nakon upotrebe; to, priznajmo, nije naša navika.

Zakonitost obrade sada ima osnovu, na koju se poziva članak 6., koji navodi šest uvjeta, od kojih barem jedan mora biti ispunjen. Budući da su posljednja četiri posvećena nekomercijalnim pitanjima, nas se tiču samo prva dva. Ili je „ispitanik pristao na obradu osobnih podataka u jednu ili više određenih svrha“ ili je „obrada potrebna za izvršenje ugovora čija je stranka ispitanik ili radi poduzimanja koraka na zahtjev ispitanika prije sklapanja ugovora“. Stoga je jasno: za korištenje osobnih podataka ključna je privola ili ugovor. Za maloljetnika mlađeg od 16 godina, dob koju države članice mogu sniziti na 13 godina (Francuska se upravo odlučila za brojčanu većinu u dobi od 15 godina), privolu mora dati nositelj roditeljske odgovornosti (čl. 8-1). Prilikom obraćanja djeci, izrazi se moraju birati prema dobi kako bi se olakšalo razumijevanje (čl. 12-1).

U slučaju spora, teret dokazivanja privole leži na kontroloru, a ne na osobi koja smatra da je oštećena (čl. 7.). I sve je predviđeno gustim redcima GDPR-a kako bi se nadzornom tijelu dalo sredstvo da odluči je li privola doista dana i za što.

Više nema mjesta dvosmislenosti, na koju svi igraju već dvadeset godina: „Ako je privola dotične osobe dana u kontekstu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora se podnijeti u obliku koji je jasno razlikuje od tih drugih pitanja, u razumljivom i lako dostupnom obliku te formuliran jasnim i jednostavnim riječima“ (čl. 7-2). Ova se privola može povući u bilo kojem trenutku. I zabranjeno je komplicirati korištenje ove mogućnosti: „Povlačenje privole jednako je jednostavno kao i davanje privole“ (čl. 7-3).

To nije novost, barem ne u Francuskoj, ali je jasno potvrđeno u članku 9: obrada koja bi otkrila rasno ili etničko podrijetlo, politička mišljenja, vjerska uvjerenja, zdravlje ili seksualnu orijentaciju dotičnih osoba zabranjena je (čl. 9-1), osim u deset specifičnih slučajeva povezanih s radnim pravom ili javnim interesom. Jedna od tih iznimki je zanimljiva i iznenađujuća jer odstupa od zaštitne prirode teksta: kada podatke "očito objavi dotična osoba" (čl. 9-2e). U tom slučaju mogu se otkriti takozvane osjetljive informacije; što, s obzirom na prevladavajući ekshibicionizam, može utjecati na mnoge ljude.