Ojačana prava pojedinaca protiv tvrtki

Ulomak iz knjige Bruna DUMAYA: DEŠIFRACIJA GDPR-a – Za menadžere, strateške odjele i zaposlenike tvrtki i organizacija – Predgovor Gaëlle MONTEILLER

Norme demokratskih društava trebale bi jamčiti ravnotežu između interesa koji mogu biti kontradiktorni. Većina važnih tekstova, međutim, sadrži orijentaciju - o kojoj sam već govorio o filozofiji - koja favorizira jednu stranu na štetu druge, bilo zato što vlast koja nameće te tekstove želi dati novi smjer, bilo zato što se potreba za ponovnim uspostavljanjem ravnoteže osjetila nakon nekih skretanja u jednom smjeru, koja su dovela do asimetričnog odnosa između stranaka. GDPR je nesumnjivo alat za vraćanje prava pojedincima suočeni sa svemoćnim tvrtkama koje se više nisu previše brinule o poštivanju privatnosti.  

Poglavlje III. uredbe u cijelosti je posvećeno „Pravima ispitanika“. „Voditelj podataka“ je taj koji je odgovoran za olakšavanje ostvarivanja tih prava. On mora odgovoriti „što je prije moguće, a u svakom slučaju u roku od mjesec dana od primitka zahtjeva. Ako je potrebno, taj se rok može produžiti za dva mjeseca, uzimajući u obzir složenost i broj zahtjeva“ (čl. 12-3). Stoga bi se moglo zaključiti da se za odgovor na zahtjev imaju tri mjeseca i da samo taj rok može odvratiti mnoge podnositelje zahtjeva. Zapravo, ne; s jedne strane, jer to produljenje mora biti opravdano „potrebom“ ili „složenošću“, a s druge strane, jer osoba koja podnosi zahtjev mora biti obaviještena, u roku od mjesec dana, o razlozima za to produljenje (opet članak 12-3). A ako voditelj podataka smatra da je zahtjev neutemeljen, na njemu je da dokaže tu neutemeljenost (čl. 12-5).

Članak 13. navodi sve informacije koje se moraju dostaviti prilikom prikupljanja podataka o pojedincu. Ovo je revolucionaran razvoj: ne možemo prihvatiti bez prethodnog pružanja jamstava o integritetu u vezi s odredbama uredbe. Nitko se neće moći oslanjati na svoju veličinu, ugled ili stariji položaj kako bi nagovorio korisnike interneta da se otkriju.

Stoga tvrtka mora unaprijed dostaviti sljedeće:

– identitet i kontaktni podaci voditelja obrade podataka;

– kontakt podatke službenika za zaštitu podataka (u strukturama gdje je to obvezno, doći ćemo do toga);

– svrhe obrade za koje su podaci namijenjeni, kao i pravna osnova za tu obradu;

– primatelji podataka, uključujući i kada se planira prijenos u treću zemlju.

Po primitku podataka (tekst označava „u vrijeme…“), i dalje je potrebno obavijestiti sljedeće:

– rok trajanja;

– pravo na ispravak, brisanje, ograničavanje obrade, protivljenje obradi, prenosivost podataka (na svako od ovih prava ćemo se vratiti);

– pravo na podnošenje pritužbe nadzornim tijelima;

– posljedice nepružanja podataka;

– posljedice davanja podataka, posebno u smislu automatiziranog donošenja odluka ili profiliranja.

Kada podaci nisu prikupljeni od ispitanika, obveze su iste, uz dodatak „izvora iz kojeg potječu osobni podaci“. Ovaj podatak nije potreban kada se podaci obrađuju u arhivske, istraživačke ili statističke svrhe od javnog interesa.  

Nakon što subjekt podataka prenese podatke, oni mu ne izmiču (opet kakva promjena u odnosu na trenutne prakse). Doista, GDPR prvo (ponovno) stvara pravo pristupa (čl. 15.). Ovo pravo pristupa već postoji u Francuskoj, ali je malo poznato i komplicirano ga je provesti. Ovdje pokriva sve informacije navedene u članku 13. Pristup se ostvaruje prijenosom na jednostavan zahtjev: „Voditelj podataka dostavlja kopiju osobnih podataka koji se obrađuju“ (čl. 15-3). Ova kopija je besplatna (za dodatnu kopiju mogu se naplatiti razumne naknade). Kada se zahtjev podnosi elektronički, odgovor se dostavlja u istom obliku, osim ako zahtjev nije drugačiji.

Drugo pravo izričito utvrđeno: pravo na ispravak (čl. 16.). Ovo pravo se odnosi na podatke koji su netočni i nepotpuni s obzirom na svrhu obrade.

Važnost trećeg prava postupno je postajala očita tijekom proteklih deset godina, od pojave Weba 2.0 i društvenih mreža. Doista, od tog datuma postali smo svjesni važnosti podataka te su se zbirke organizirale i umnožile. Budući da su informacije o nama u posjedu nepoznatih ruku, zahtjev za pravom na brisanje (ili pravom na zaborav) postao je formaliziran. Francuska je pokušala 2010. godine usvajanjem Povelja o pravu na zaborav, ali Facebook i Google odbili su ih potpisati. Sud Europske unije donio je ovo pravo na zaborav u lipnju 2014., nakon čega su glavni digitalni igrači, uključujući Google, morali uspostaviti postupke, uključujući objavljivanje "obrasca" na mreži, omogućujući korisniku interneta da ostvari ovo pravo. Zahvaljujući obrascu, stotine tisuća ljudi mogle su ukloniti svoje rezultate iz svoje baze podataka.

GDPR utvrđuje ovo pravo na europskoj razini i postavlja ga na jednostavan način (članak 17.). Na zahtjev ispitanika, voditelj obrade podataka dužan je izbrisati osobne podatke „što je prije moguće“:

– ako podaci više nisu potrebni za svrhe za koje su prikupljeni;

– ako je privola povučena;

– ako postoji protivljenje obradi.

Ispitanik ne mora opravdati svoj zahtjev. Jedina ograničenja ovog prava na brisanje su:

– poštivanje pravne obveze koja proizlazi iz prava Unije ili prava države članice;

– ostvarivanje zakonskih prava;

– razlozi javnog arhiviranja, znanstvenog istraživanja ili statistike, kao i javno zdravlje;

– konačno, „ostvarivanje prava na slobodu izražavanja i informiranja“ (čl. 17-3a). Čovjek se pita kakve veze sloboda izražavanja i informiranja ima s tim. Jesu li lobiji koji prenose interese medija imali ikakav utjecaj? Ili se jednostavno svemoć medija – jednako jaka kao i svemoć podataka – nametnula sastavljačima teksta?

Također je predviđeno „pravo na ograničenje obrade“, posebno dok se provjerava točnost podataka ili kada je obrada nezakonita, ali subjekt podataka prigovara brisanju (čl. 18.). Ograničenje, kao i obrada, moraju se obavijestiti subjekta podataka (čl. 19.).        

S „pravom na prenosivost“, GDPR omogućuje pojedincu da preuzme podatke koje je dostavio organizaciji „u strukturiranom, uobičajeno korištenom i strojno čitljivom formatu“ (čl. 20-1). To može učiniti ili za vlastitu osobnu upotrebu ili za prijenos u drugu organizaciju. Mogu čak zatražiti da se njihovi podaci izravno prenesu od jednog kontrolora podataka drugome. CNIL navodi da se podaci koji su „izvedeni, izračunati ili indirektno izvedeni“, tj. koje je stvorila organizacija, ne mogu zahtijevati (ovo se razlikuje od prava pristupa). Međutim, preuzeti podaci mogu „sekundarno“ sadržavati informacije koje se odnose na treće strane.

WP29, europska radna skupina osnovana prema članku 29. europske direktive iz 1995., koja radi na pojašnjenju GDPR-a prije nego što se transformira u Europski odbor za zaštitu podataka, preporučuje mehanizam prijenosa podataka u okviru prava na prenosivost. U svim slučajevima, odredba mora biti lako dostupna i sigurna. Zasad nije naveden određeni format, ali „WP29 potiče aktere u industriji i strukovna udruženja da rade na skupu interoperabilnih standarda i formata kako bi se poštovali ovi preduvjeti prava na prenosivost.“

Voditelja obrade podataka potiče se da jasno komunicira o pravu na prenosivost, da provede postupak provjere autentičnosti prije prijenosa traženih podataka i da ovu uslugu pruži besplatno, osim ako je zahtjev očito neutemeljen ili pretjeran, „posebno zbog svoje ponovljene prirode“. Treba napomenuti da se podaci preneseni na temelju prava na prenosivost ne moraju izbrisati iz izvorne datoteke.

Svatko ima pravo prigovoriti u bilo kojem trenutku (čl. 21). Taj prigovor može se odnositi na bilo koju obradu, odnosno preciznije na istraživanje podataka (čl. 21-2), pa čak i na znanstveno ili povijesno istraživanje, „osim ako je obrada nužna za obavljanje zadatka koji se provodi u javnom interesu“ (čl. 21-6). Moguće je da će se ovo pravo prvenstveno koristiti za suprotstavljanje komercijalnim svrhama.

Konačno, GDPR regulira profiliranje. „Ispitanik ima pravo da ne bude predmet odluke koja se temelji isključivo na automatiziranoj obradi, uključujući profiliranje, koja proizvodi pravne učinke u vezi s njim ili na sličan način značajno utječe na njega“ (čl. 22.). To je dopušteno u okviru ugovora ili ako se temelji na izričitom sporazumu. U tim slučajevima, voditelj obrade osigurava „zaštitu prava i sloboda te legitimnih interesa ispitanika“.