Ažuriranje francuskog zakona

Ulomak iz knjige Bruna DUMAYA: DEŠIFRACIJA GDPR-a – Za menadžere, strateške odjele i zaposlenike tvrtki i organizacija – Predgovor Gaëlle MONTEILLER

Posljednja dva retka GDPR-a, kojim se ukida članak 94. Direktive 95/46/EZ, tj. prethodni referentni tekst o zaštiti podataka, glase: „Primjenjuje se od 25. svibnja 2018. Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.“ Stoga nema potrebe za prenošenjem u zakon na nacionalnoj razini. Ipak, države su pozvane da to učine, što odgovara praksi mnogih od njih. Tamo gdje vidimo da Europa još nije federacija, daleko smo od toga.

Francuska je stoga sastavila nacrt zakona (tekst podnesen parlamentu, jedinom nositelju zakonodavne vlasti, ali ga je predložila vlada) kojim se uključuju odredbe europske uredbe o zaštiti osobnih podataka (poznate kao "europski paket"). Ovaj tekst, koji je sredinom prosinca 2017. predstavila ministrica pravosuđa Nicole Belloubet, usvojila je 13. veljače 2018. Nacionalna skupština s vrlo velikom većinom (505 glasova za, 18 glasova protiv i 24 suzdržana). Da bi stupio na snagu, još ga treba odobriti Senat, koji će ga razmatrati od 20. ožujka (dakle, rezultat ne znamo u trenutku pisanja, početkom ožujka, ali nema razloga da senatori o toj točki glasaju drugačije od svojih kolega zastupnika).

Jučer se primjenjivao Zakon o zaštiti podataka iz 1978. godine. Ta dugovječnost pokazuje inteligenciju tadašnjih promotora ovog zakona (internet nije postojao), čak i ako je sada zastario. Novi zakon stoga zamjenjuje onaj iz 1978., baš kao što GDPR zamjenjuje direktivu iz 1995. na europskoj razini. Odredbama uredbe koje smo vidjeli dodaje se i ona iz direktive koja se primjenjuje na kaznene dosjee (što bi se posebno odnosilo na nacionalnu datoteku genetskih otisaka prstiju, zabranu ulaska na stadione ili čak obradu kaznenih dosjea).

„To uključuje pojednostavljenje preliminarnih formalnosti u korist procesa odgovornosti dionika i jačanja individualnih prava. Zauzvrat, ovlasti CNIL-a su ojačane, a kazne su znatno povećane“, rekla je gđa Belloubet, ponavljajući filozofiju europske uredbe.

Zakon ide čak i dalje od GDPR-a u dvije točke: dob "digitalne punoljetnosti" i kolektivne tužbe. U prvoj točki podsjećamo da GDPR postavlja dob na 16 godina, ali dopušta državama da je snize na 13. Francuska je odabrala međupoziciju: "Maloljetnik može sam dati privolu za obradu osobnih podataka od 15. godine" (ovo snižavanje za jednu godinu nije došlo od vlade, već od samih zastupnika, u obliku amandmana na početni nacrt). Između 13. i 15. godine potreban je pristanak roditelja. Ispod 13. godine svako prikupljanje podataka je zabranjeno. Ali kako se takve odredbe mogu provoditi kada znamo da je, prema studiji CNIL-a iz lipnja 2017., 63% djece u dobi od 11 do 14 godina registrirano na društvenoj mreži, da 4 od 10 laže o svojoj dobi i da platforme ili društvene mreže postavljaju vlastita pravila (moguće se registrirati na Facebooku bez roditeljskog odobrenja od 13. godine)?

Druga jaka strana novog zakona o zaštiti podataka je mogućnost kolektivnih tužbi, koje su već pokrenute zakonima iz 2014. i 2016., ali koje bi ovaj put omogućile naknadu štete "materijalne ili moralne prirode", dok se do sada uzimala u obzir samo ekonomska šteta. Unatoč teškoćama provedbe takvog postupka, to je dodatno sredstvo pritiska na tvrtke koje je utvrđeno novim francuskim zakonom.

Francuski tekst, u skladu s GDPR-om, koji predviđa iznimke za područja povezana sa sigurnošću, zadržava prethodno odobrenje za obradu „biometrijskih podataka potrebnih za identifikaciju ili provjeru identiteta pojedinaca“. Slično tome, europsko pravo ne primjenjuje se na desetak takozvanih „suverenitetskih“ datoteka, poput datoteke upozorenja za sprječavanje radikalizacije terorističke prirode (FSPRT).

Čini se da je jedan iznenađujući aspekt zakona dobio malo spomena: prijedlog zakona ovlašćuje vladu da u roku od šest mjeseci prepiše cijeli Zakon o zaštiti podataka, u obliku uredbe (članak 38. Ustava, vlada djeluje u području koje je posebno područje djelovanja Parlamenta). Stoga bi ovaj novi zakon o zaštiti podataka imao ograničeno trajanje? To ne samo da se čini iznenađujućim s obzirom na to da je glavni sadržaj zakona prenošenje važne europske uredbe, osmišljene da traje. No, nadalje, pita se zašto bi se Parlament odrekao svoje ovlasti nad tako temeljnim pitanjem. Konačno, kako možemo zahtijevati od tvrtki da se pridržavaju propisa do 25. svibnja 2018. ako se pravila igre promijene u nadolazećim mjesecima?

Rijedak konsenzus u našoj zemlji o novim mjerama u korist zaštite podataka ne bi nas trebao spriječiti da slušamo kritike kada dolaze od ljudi s neospornim stručnim znanjem u tom području. Spomenut ćemo samo dvije od njih.

Prvo je od Yanna Padove, bivšeg glavnog tajnika CNIL-a, sada odvjetnika u Baker McKenzieju, koji je 29. siječnja u Les Échosu napisao: „Naš svijet doživljava poplavu podataka, njihov se volumen udvostručuje svakih dvadeset četiri mjeseca. Olakšavanje njihove analize, traženje novih korelacija i poticanje pojave inovativnih usluga - to je izazov velikih podataka danas i umjetne inteligencije sutra. Odbijanjem iskorištavanja ove mogućnosti, zakon bira konzervativizam. S obzirom na snage naše francuske industrije i naše matematičke škole, ovaj je izbor žalosan. On još jednom pokazuje nedostatak razmatranja veze između inovacija, zaštite podataka i industrijskog razvoja.“

Drugi je od Laurenta Alexandrea, stručnjaka za umjetnu inteligenciju (između ostalog), čije nas prosvjetljujuće analize godinama prosvjetljuju o utjecaju NBIC (nano, bio, računalna znanost, kognitivna znanost) tehnologija na naše živote. U svojoj kolumni od 24. siječnja 2018. pod naslovom "Treba li ukinuti CNIL?" piše: "... UI pronalazi neočekivane korelacije između podataka, koji se a priori čine nezanimljivima. Svako ograničenje prikupljanja podataka svakako hendikepira sve operatere, ali prije svega omogućuje kineskim ili američkim tvrtkama da prosperiraju bez europske konkurencije." I dalje: "U Bruxellesu nam je potrebna Thatcherica podataka koja će voditi tehnološki rat. Na francuskoj razini moramo revolucionirati CNIL, koji vodi izvanredan tim, ali koji teži pogrešnom cilju. Moramo obogatiti njegovu misiju integrirajući tehnološke interese naše zemlje."

Ovo nije mjesto za otvaranje rasprave. Ali ove dvije mudre perspektive pokazuju nam da se legitimna zaštita osobnih podataka ne smije provoditi na štetu inovacija i gospodarskog razvoja, inače ćemo biti vazali.