Pastiprinātas privātpersonu tiesības pret uzņēmumiem

Fragments no Bruno DUMAY grāmatas: GDPR ATŠĶIRŠANA – uzņēmumu un organizāciju vadītājiem, stratēģiskajiem departamentiem un darbiniekiem – Gaëlle MONTEILLER priekšvārds

Demokrātisku sabiedrību normām ir jāgarantē līdzsvars starp interesēm, kas var būt pretrunīgas. Tomēr lielākajā daļā nozīmīgāko tekstu ir ietverta orientācija — es iepriekš runāju par filozofiju —, kas dod priekšroku vienai pusei, kaitējot otrai, vai nu tāpēc, ka šos tekstus uzspiedusī iestāde vēlas dot jaunu virzienu, vai arī tāpēc, ka nepieciešamība pēc atkārtota līdzsvara ir radusies pēc dažām novirzēm vienā virzienā, kas ir novedušas pie asimetriskām attiecībām starp pusēm. GDPR neapšaubāmi ir instruments, lai atjaunotu indivīdu tiesības pret visvareniem uzņēmumiem, kuri vairs īpaši neuztraucas par privātuma ievērošanu.  

Regulas III nodaļa ir pilnībā veltīta “Datu subjekta tiesībām”. Tieši “datu pārzinis” ir atbildīgs par šo tiesību īstenošanas veicināšanu. Viņam ir jāatbild “cik vien iespējams ātrāk un jebkurā gadījumā viena mēneša laikā pēc pieprasījuma saņemšanas. Vajadzības gadījumā šo termiņu var pagarināt par diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu” (12. panta 3. punkts). Tādēļ varētu secināt, ka atbildēt uz pieprasījumu ir trīs mēneši, un ka šis termiņš vien var atturēt daudzus pieteikuma iesniedzējus. Patiesībā nē; no vienas puses, tāpēc, ka šim pagarinājumam jābūt pamatotam ar “vajadzību” vai “sarežģītību”, no otras puses, tāpēc, ka pieprasījuma iesniedzējs viena mēneša laikā ir jāinformē par šī pagarinājuma iemesliem (atkal 12. panta 3. punkts). Un, ja datu pārzinis uzskata, ka pieprasījums ir nepamatots, viņam ir jāpierāda šis nepamatotums (12. panta 5. punkts).

13. pantā ir uzskaitīta visa informācija, kas jāsniedz, vācot datus par indivīdu. Šī ir revolucionāra attīstība: mēs nevaram to pieņemt, vispirms nesniedzot garantijas par regulas noteikumu integritāti. Neviens nevarēs paļauties uz savu lielumu, reputāciju vai darba stāžu, lai pārliecinātu interneta lietotājus atklāt savu informāciju.

Tāpēc uzņēmumam iepriekš jāsniedz šāda informācija:

– datu pārziņa identitāte un kontaktinformācija;

– datu aizsardzības speciālista kontaktinformācija (struktūrās, kur tas ir obligāti, mēs to norādīsim vēlāk);

– apstrādes mērķi, kādiem dati paredzēti, kā arī šīs apstrādes juridiskais pamats;

– datu saņēmēji, tostarp, ja ir plānota datu pārsūtīšana uz trešo valsti.

Pēc datu saņemšanas (tekstā norādīts “… laikā”) joprojām ir jāpaziņo:

– glabāšanas laiks;

– tiesības uz datu labošanu, dzēšanu, apstrādes ierobežošanu, iebilst pret apstrādi, datu pārnesamību (pie katras no šīm tiesībām mēs atgriezīsimies vēlāk);

– tiesības iesniegt sūdzību uzraudzības iestādēm;

– datu nesniegšanas sekas;

– datu sniegšanas sekas, jo īpaši automatizētas lēmumu pieņemšanas vai profilēšanas ziņā.

Ja dati nav iegūti no datu subjekta, pienākumi ir tādi paši, kam pievienots "avots, no kura iegūti personas dati". Šī informācija nav nepieciešama, ja dati tiek apstrādāti arhivēšanas, pētniecības vai statistikas nolūkos sabiedrības interesēs.  

Kad datu subjekts ir nosūtījis datus, tie viņam vairs netiek izstumti (kāda pārmaiņa salīdzinājumā ar pašreizējo praksi). Patiešām, GDPR vispirms (atjaunoja) piekļuves tiesības (15. pants). Šīs piekļuves tiesības jau pastāv Francijā, taču tās ir maz zināmas un sarežģīti īstenojamas. Šeit tās aptver visu 13. pantā minēto informāciju. Piekļuve tiek nodrošināta, nosūtot datus pēc vienkārša pieprasījuma: "Datu pārzinis sniedz apstrādājamo personas datu kopiju" (15. panta 3. punkts). Šī kopija ir bez maksas (par papildu kopiju var tikt iekasēta saprātīga maksa). Ja pieprasījums tiek iesniegts elektroniski, atbilde tiek sniegta tādā pašā formā, ja vien pieprasījums nav atšķirīgs.

Otrās skaidri noteiktās tiesības: tiesības uz labošanu (16. pants). Šīs tiesības attiecas uz datiem, kas ir neprecīzi un nepilnīgi attiecībā uz apstrādes mērķi.

Trešo tiesību nozīme ir pakāpeniski kļuvusi acīmredzama pēdējo desmit gadu laikā, kopš Web 2.0 un sociālo tīklu parādīšanās. Tieši kopš šī datuma mēs esam apzinājušies datu nozīmi un kolekcijas ir tikušas organizētas un vairotas. Tā kā informācija par mums nonāk nezināmu personu rīcībā, prasība pēc tiesībām uz dzēšanu (jeb tiesībām tikt aizmirstam) ir formalizēta. Francija 2010. gadā mēģināja to izdarīt, pieņemot Hartas par tiesībām tikt aizmirstam, taču Facebook un Google atteicās tās parakstīt. Tieši Eiropas Savienības Tiesa 2014. gada jūnijā ieviesa šīs tiesības tikt aizmirstam, pēc kā galvenajiem digitālajiem dalībniekiem, tostarp Google, bija jāizveido procedūras, tostarp jāizvieto tiešsaistē "veidlapa", kas ļauj interneta lietotājam īstenot šīs tiesības. Pateicoties veidlapai, simtiem tūkstošu cilvēku varēja panākt, lai viņu rezultāti tiktu noņemti no viņu datubāzes.

GDPR nostiprina šīs tiesības Eiropas līmenī un izklāsta tās vienkāršā veidā (17. pants). Pēc datu subjekta pieprasījuma datu pārzinim ir pienākums "cik drīz vien iespējams" dzēst personas datus:

– ja dati vairs nav nepieciešami mērķiem, kādiem tie tika vākti;

– ja piekrišana tiek atsaukta;

– ja pastāv iebildumi pret apstrādi.

Datu subjektam nav jāpamato savs pieprasījums. Vienīgie ierobežojumi attiecībā uz šīm dzēšanas tiesībām ir šādi:

– no Savienības tiesību aktiem vai dalībvalsts tiesību aktiem izrietoša juridiska pienākuma izpilde;

– likumīgo tiesību īstenošana;

– publiskas arhivēšanas, zinātniskās pētniecības vai statistikas, kā arī sabiedrības veselības apsvērumu dēļ;

– visbeidzot, “vārda un informācijas brīvības īstenošana” (17. panta 3. punkta a) apakšpunkts). Rodas jautājums, kāds tam sakars ar vārda un informācijas brīvību. Vai lobijiem, kas pārstāvēja plašsaziņas līdzekļu intereses, bija kāda ietekme? Vai arī teksta veidotājiem uzspieda vienkārši plašsaziņas līdzekļu visvarenība – tikpat spēcīga kā datu visvarenība?

Ir paredzētas arī “tiesības ierobežot apstrādi”, jo īpaši datu precizitātes pārbaudes laikā vai ja apstrāde ir nelikumīga, bet datu subjekts iebilst pret dzēšanu (18. pants). Ierobežojums, tāpat kā apstrāde, ir jāpaziņo datu subjektam (19. pants).        

Ar "tiesībām uz datu pārnesamību" GDPR ļauj indivīdam iegūt datus, ko tas ir sniedzis organizācijai, "strukturētā, plaši izmantotā un mašīnlasāmā formātā" (20. panta 1. punkts). To var darīt vai nu personīgai lietošanai, vai arī pārsūtīt datus citai organizācijai. Viņi pat var pieprasīt, lai viņu dati tiktu tieši pārsūtīti no viena datu pārziņa citam. CNIL nosaka, ka nevar pieprasīt datus, kas ir "atvasināti, aprēķināti vai secināti", t.i., ko radījusi organizācija (tas atšķiras no piekļuves tiesībām). Tomēr iegūtie dati var saturēt "sekundāri" informāciju, kas attiecas uz trešajām personām.

WP29, Eiropas darba grupa, kas izveidota saskaņā ar 1995. gada Eiropas direktīvas 29. pantu un kas strādā, lai precizētu GDPR pirms tās pārveidošanas par Eiropas Datu aizsardzības kolēģiju, iesaka augšupielādes mehānismu datu pārraidei saistībā ar tiesībām uz datu pārnesamību. Visos gadījumos noteikumam jābūt viegli pieejamam un drošam. Pagaidām nav norādīts konkrēts formāts, taču "WP29 mudina nozares dalībniekus un profesionālās asociācijas strādāt pie sadarbspējīgu standartu un formātu kopuma, lai ievērotu šīs tiesību uz datu pārnesamību priekšnoteikumus".

Datu pārzinis tiek mudināts skaidri paziņot par tiesībām uz datu pārnesamību, ieviest autentifikācijas procedūru pirms pieprasīto datu pārsūtīšanas un sniegt šo pakalpojumu bez maksas, ja vien pieprasījums nav acīmredzami nepamatots vai pārmērīgs, "jo īpaši tā atkārtotā rakstura dēļ". Jāatzīmē, ka dati, kas pārsūtīti saskaņā ar tiesībām uz datu pārnesamību, nav jādzēš no sākotnējā faila.

Ikvienam ir tiesības jebkurā laikā iebilst (21. pants). Šie iebildumi var attiekties uz jebkādu apstrādi vai, konkrētāk, izpēti (21. panta 2. daļa) un pat zinātnisku vai vēsturisku izpēti, "ja vien apstrāde nav nepieciešama sabiedrības interesēs veicama uzdevuma veikšanai" (21. panta 6. daļa). Ir iedomājams, ka šīs tiesības galvenokārt tiks izmantotas, lai iebilstu pret komerciāliem mērķiem.

Visbeidzot, GDPR regulē profilēšanu. “Datu subjektam ir tiesības netikt pakļautam lēmumam, kas balstīts tikai uz automatizētu apstrādi, tostarp profilēšanu, kas rada viņam vai viņai juridiskas sekas vai līdzīgi būtiski ietekmē viņu” (22. pants). Tas ir atļauts līguma ietvaros vai ja tas ir balstīts uz skaidru vienošanos. Šādos gadījumos pārzinis nodrošina “datu subjekta tiesību, brīvību un leģitīmo interešu aizsardzību”.