Revoliuciniai duomenų tvarkymo principai pagal BDAR

Ištrauka iš Bruno DUMAY knygos: GDPR IŠŠIKRAVIMAS – vadovams, strateginiams skyriams ir įmonių bei organizacijų darbuotojams – Gaëlle MONTEILLER pratarmė

5 straipsnis yra revoliucinis tiek raide, tiek dvasia, jei sąžiningai pažvelgsime į iki 2018 m. galiojusią praktiką.

„Asmens duomenys turi būti tvarkomi teisėtai, sąžiningai ir skaidriai duomenų subjekto atžvilgiu“ (1a pastraipa). Nors galima sutikti, kad procesas buvo teisėtas, reikia pripažinti, kad skaidrumo ir sąžiningumo kriterijai buvo beveik neatsižvelgti. Nė vienas asmuo, kurio duomenys buvo renkami, nebuvo informuotas apie šio rinkimo metodus ir tikslus. Jei dabar privalome laikytis šios naujos nuostatos, o privalome, reikalingi dideli pokyčiai tiek perspektyvos, tiek praktikos požiūriu.

To paties 5 straipsnio 1b dalies pakanka, kad mus priblokštų, atsiprašau, bet dar labiau mus apšviestų: „Asmens duomenys turi būti renkami konkrečiais, aiškiai apibrėžtais ir teisėtais tikslais ir negali būti toliau tvarkomi tokiu būdu, kuris nesuderinamas su šiais tikslais.“ Kitaip tariant, rinkodaros direktorius išlieka atsakingas už surinktus duomenis, net jei jų naudojimas laikui bėgant keičiasi. Ir šis pasikeitimas neturi būti nesuderinamas su priežastimis, nurodytomis renkant duomenis. Pati sąvoka „nurodyti, aiškūs tikslai“, jei teisėjas ją suprastų griežtąja prasme, galėtų sumažinti surinktų asmens duomenų naudojimo būdą iki vieno tikslo.

1c pastraipa taip pat nėra bloga: „Asmens duomenys turi būti adekvatūs, aktualūs ir apsiriboti tik tuo, kas būtina siekiant tikslų, kuriems jie tvarkomi (duomenų kiekio mažinimas).“ Daugiau jokių universalių strategijų ir plataus masto paieškų, siekiant surinkti kuo daugiau informacijos. Kiekviena operacija turi būti kalibruojama pagal konkretų tikslą ir tik pagal tą tikslą. Čia vėlgi atsispindi teksto filosofija: kalbama apie kuo didesnį asmens duomenų platinimo ribojimą, kad joks asmuo negalėtų teigti, jog be jo sutikimo buvo prarasta informacija apie jį.

Taip pat aptariamas saugojimo laikotarpis (5 straipsnio 1 dalies e punktas): jis neturi viršyti „laiko, reikalingo tikslams, kuriems jie tvarkomi“. Tai reiškia, aiškiai pasakysiu, kad duomenys po panaudojimo sunaikinami; pripažinkime, kad tai nėra mūsų įprotis.

Duomenų tvarkymo teisėtumas dabar turi pagrindą, primenamą 6 straipsnyje, kuriame išvardytos šešios sąlygos, iš kurių bent viena turi būti įvykdyta. Kadangi paskutinės keturios yra skirtos nekomerciniams klausimams, mums svarbios tik pirmosios dvi. Arba „duomenų subjektas sutiko, kad asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais“, arba „tvarkymas yra būtinas sutarčiai, kurios šalis yra duomenų subjektas, įvykdyti arba norint imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį“. Todėl akivaizdu: norint naudoti asmeninę informaciją, būtinas sutikimas arba sutartis. Nepilnamečiui iki 16 metų, kurį valstybės narės gali sumažinti iki 13 metų (Prancūzija ką tik pasirinko skaitinę daugumą – 15 metų), sutikimą turi duoti tėvų pareigų turėtojas (8-1 straipsnis). Kalbant apie vaikus, terminai turi būti parenkami pagal amžių, kad būtų lengviau suprasti (12-1 straipsnis).

Kilus ginčui, sutikimo įrodymo našta tenka duomenų valdytojui, o ne asmeniui, kuris mano, kad jam buvo padaryta žala (7 straipsnis). BDAR numatyta viskas, kad priežiūros institucija turėtų priemonių nuspręsti, ar sutikimas iš tikrųjų buvo duotas ir dėl ko.

Nebėra vietos dviprasmybei, kuria visi žaidė jau dvidešimt metų: „Jei atitinkamo asmens sutikimas duodamas rašytinio pareiškimo, susijusio ir su kitais klausimais, kontekste, prašymas duoti sutikimą turi būti pateiktas tokia forma, kuri aiškiai atskirtų jį nuo šių kitų klausimų, suprantama ir lengvai prieinama forma, suformuluotas aiškiai ir paprastai“ (7-2 str.). Šį sutikimą galima bet kada atšaukti. Ir draudžiama apsunkinti šios galimybės naudojimą: „Atšaukti sutikimą yra taip pat paprasta, kaip ir duoti sutikimą“ (7-3 str.).

Tai nėra naujiena, bent jau Prancūzijoje, tačiau 9 straipsnyje tai aiškiai patvirtinta: draudžiama tvarkyti duomenis, kurie atskleistų atitinkamų asmenų rasinę ar etninę kilmę, politines pažiūras, religinius įsitikinimus, sveikatą ar seksualinę orientaciją (9-1 str.), išskyrus dešimt konkrečių atvejų, susijusių su darbo teise ar viešuoju interesu. Viena iš šių išimčių yra įdomi ir stebina, nes ji nukrypsta nuo teksto apsauginio pobūdžio: kai duomenys „akivaizdžiai paskelbiami suinteresuoto asmens“ (9-2 str. e). Tokiu atveju gali būti atskleista vadinamoji jautri informacija, kuri, atsižvelgiant į vyraujantį ekshibicionizmą, gali paveikti daugelį žmonių.