Naujausia informacija apie Prancūzijos įstatymus

Ištrauka iš Bruno DUMAY knygos: GDPR IŠŠIKRAVIMAS – vadovams, strateginiams skyriams ir įmonių bei organizacijų darbuotojams – Gaëlle MONTEILLER pratarmė

Dvi paskutinės BDAR eilutės, kuriomis panaikinamas Direktyvos 95/46/EB 94 straipsnis, t. y. ankstesnis informacinis tekstas dėl duomenų apsaugos, yra tokios: „Jis taikomas nuo 2018 m. gegužės 25 d. Šis reglamentas yra privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.“ Todėl nėra poreikio jį perkelti į nacionalinio lygmens įstatymą. Nepaisant to, valstybės raginamos tai padaryti, ir tai atitinka daugelio jų praktiką. Matome, kad Europa dar nėra federacija, bet toli gražu ne.

Todėl Prancūzija parengė įstatymo projektą (tekstą, pateiktą parlamentui, vieninteliam įstatymų leidžiamosios valdžios turėtojui, bet pasiūlytą vyriausybės), į kurį įtrauktos Europos asmens duomenų apsaugos reglamento (vadinamo „Europos paketu“) nuostatos. Šį tekstą, kurį 2017 m. gruodžio viduryje pateikė teisingumo ministrė Nicole Belloubet, 2018 m. vasario 13 d. Nacionalinė Asamblėja priėmė labai didele balsų dauguma (505 balsai už, 18 prieš ir 24 susilaikė). Kad jis įsigaliotų, jį dar turi patvirtinti Senatas, kuris jį svarstys nuo kovo 20 d. (todėl rašymo metu, kovo pradžioje, rezultato nežinome, tačiau nėra jokios priežasties, kodėl senatoriai turėtų balsuoti kitaip nei jų kolegos parlamentarai šiuo klausimu).

Vakar galiojo 1978 m. Duomenų apsaugos įstatymas. Toks ilgaamžiškumas rodo šio įstatymo šalininkų sumanumą tuo metu (interneto dar nebuvo), net jei jis dabar yra pasenęs. Todėl naujasis įstatymas pakeičia 1978 m. įstatymą, lygiai taip pat, kaip BDAR pakeičia 1995 m. direktyvą Europos lygmeniu. Prie reglamento nuostatų, kurias matėme, pridedamos direktyvos, taikomos baudžiamosioms byloms, nuostatos (kurios visų pirma būtų susijusios su nacionaline genetinių pirštų atspaudų byla, stadionų draudimų byla ar net baudžiamųjų bylų tvarkymu).

„Tai reiškia preliminarių formalumų supaprastinimą, siekiant užtikrinti suinteresuotųjų šalių atskaitomybę ir sustiprinti individualias teises. Dėl to sustiprinami CNIL įgaliojimai ir gerokai padidinamos skiriamos baudos“, – teigė ponia Belloubet, atkartodama Europos reglamento filosofiją.

Įstatymas dviem punktais dar labiau viršija BDAR: „skaitmeninės daugumos“ amžių ir kolektyvinius ieškinius. Kalbant apie pirmąjį punktą, primename, kad BDAR nustato šį amžių – 16 metų, tačiau leidžia valstybėms jį sumažinti iki 13 metų. Prancūzija pasirinko tarpinę poziciją: „Nepilnametis gali pats sutikti tvarkyti asmens duomenis nuo 15 metų“ (šį vienerių metų sutrumpinimą pasiūlė ne vyriausybė, o patys deputatai, pateikdami pradinio projekto pakeitimą). Nuo 13 iki 15 metų amžiaus reikalingas tėvų sutikimas. Jaunesniems nei 13 metų amžiaus bet koks duomenų rinkimas yra draudžiamas. Tačiau kaip galima įgyvendinti tokias nuostatas, kai žinome, kad, remiantis 2017 m. birželio mėn. CNIL tyrimu, 63 % 11–14 metų amžiaus vaikų yra užsiregistravę socialiniame tinkle, kad 4 iš 10 meluoja apie savo amžių ir kad platformos ar socialiniai tinklai nustato savo taisykles (registruotis „Facebook“ be tėvų leidimo galima nuo 13 metų)?

Kitas naujojo duomenų apsaugos įstatymo privalumas – galimybė pareikšti kolektyvinius ieškinius, kurie jau buvo inicijuoti 2014 ir 2016 m. įstatymais, tačiau šį kartą jie leistų atlyginti „materialinio ar moralinio pobūdžio“ žalą, o iki šiol buvo atsižvelgiama tik į ekonominę žalą. Nepaisant tokios procedūros įgyvendinimo sunkumų, tai yra papildoma spaudimo įmonėms priemonė, kurią nustato naujasis Prancūzijos įstatymas.

Prancūziškame tekste, laikantis BDAR, kuriame numatytos išimtys su saugumu susijusiose srityse, išlaikomas išankstinis leidimas tvarkyti „biometrinius duomenis, būtinus asmenų tapatybei nustatyti ar patikrinti“. Panašiai Europos teisė netaikoma dvylikai vadinamųjų „suvereniteto“ bylų, tokių kaip perspėjimų dėl teroristinio pobūdžio radikalizacijos prevencijos byla (FSPRT).

Vienas stebinantis įstatymo aspektas, regis, buvo mažai paminėtas: įstatymo projektu vyriausybė įgaliojama per šešis mėnesius perrašyti visą Duomenų apsaugos įstatymą potvarkio forma (Konstitucijos 38 straipsnis, vyriausybė veikia srityje, kuri, visų pirma, yra Parlamento kompetencija). Todėl šis naujas duomenų apsaugos įstatymas turėtų ribotą galiojimo laiką? Tai ne tik stebina, atsižvelgiant į tai, kad pagrindinis įstatymo turinys yra svarbaus Europos reglamento, skirto ilgalaikiam galiojimui, perkėlimas į nacionalinę teisę. Be to, kyla klausimas, kodėl Parlamentas atsisakytų savo galios tokiu esminiu klausimu. Galiausiai, kaip galime reikalauti, kad įmonės laikytųsi reikalavimų iki 2018 m. gegužės 25 d., jei žaidimo taisyklės bus pakeistos ateinančiais mėnesiais?

Retas mūsų šalyje pasiektas sutarimas dėl naujų duomenų apsaugos priemonių neturėtų mums trukdyti išgirsti kritiką, kai ji sklinda iš žmonių, turinčių neginčijamų šios srities žinių. Paminėsime tik du iš jų.

Pirmąjį parašė Yann Padova, buvęs CNIL generalinis sekretorius, dabar dirbantis „Baker McKenzie“ teisininku, kuris sausio 29 d. žurnale „Les Échos“ rašė: „Mūsų pasaulis patiria duomenų antplūdį, jų kiekis padvigubėja kas dvidešimt keturis mėnesius. Palengvinti jų analizę, ieškoti naujų koreliacijų ir skatinti novatoriškų paslaugų atsiradimą – tai šiandienos didžiųjų duomenų ir ateities dirbtinio intelekto iššūkis. Atsisakydamas išnaudoti šią galimybę, įstatymo projektas renkasi konservatyvumą. Atsižvelgiant į mūsų Prancūzijos pramonės ir matematikos mokyklos stipriąsias puses, šis pasirinkimas yra apgailėtinas. Tai dar kartą parodo, kad nepakankamai atsižvelgiama į ryšį tarp inovacijų, duomenų apsaugos ir pramonės plėtros.“

Antrasis straipsnis – Laurent Alexandre, dirbtinio intelekto (be kitų) specialisto, kurio įžvalgios analizės jau daugelį metų mums padeda suprasti NBIC (nano, bio, kompiuterių mokslo, kognityvinių mokslų) technologijų poveikį mūsų gyvenimui. Savo 2018 m. sausio 24 d. skiltyje „Ar CNIL turėtų būti panaikinta?“ jis rašo: „... DI aptinka netikėtų koreliacijų tarp duomenų, kurios a priori atrodo neįdomios. Bet koks duomenų rinkimo apribojimas neabejotinai trukdo visiems operatoriams, bet svarbiausia, kad Kinijos ar Amerikos įmonėms klestėtų be Europos konkurencijos.“ Ir toliau: „Briuselyje mums reikia duomenų Thatcherio, kuris vadovautų technologiniam karui. Prancūzijos mastu turime revoliucionizuoti CNIL, kuriai vadovauja nuostabi komanda, bet kuri siekia neteisingo tikslo. Turime praturtinti jos misiją, integruodami mūsų šalies technologinius interesus.“

Čia ne vieta pradėti diskusiją. Tačiau šios dvi išmintingos perspektyvos rodo, kad teisėta asmens duomenų apsauga negali būti vykdoma inovacijų ir ekonomikos plėtros sąskaita, antraip būsime pavergti.