GDPR apstrādes revolucionārie principi

Fragments no Bruno DUMAY grāmatas: GDPR ATŠĶIRŠANA – uzņēmumu un organizāciju vadītājiem, stratēģiskajiem departamentiem un darbiniekiem – Gaëlle MONTEILLER priekšvārds

5. pants gan burtiski, gan garīgi ir revolucionārs, ja godīgi aplūkojam praksi, kas bija spēkā pirms 2018. gada.

"Personas dati ir jāapstrādā likumīgi, godprātīgi un datu subjektam pārredzamā veidā" (1.a punkts). Lai gan var piekrist, ka process bija likumīgs, jāatzīst, ka pārredzamības un taisnīguma kritēriji tikpat kā netika ņemti vērā. Neviena persona, kuras dati tika iegūti, netika informēta par šīs iegūšanas metodēm un mērķiem. Ja mums tagad ir jāievēro šis jaunais noteikums, un mums tas ir jādara, nepieciešamās izmaiņas gan perspektīvas, gan prakses ziņā ir ievērojamas.

Tā paša 5. panta 1. punkta b) apakšpunkts ir pietiekams, lai mūs apstulbinātu, atvainojiet, apgaismotu, vēl vairāk: "Personas dati ir jāvāc konkrētiem, nepārprotamiem un likumīgiem mērķiem, un tos nedrīkst tālāk apstrādāt veidā, kas nav savienojams ar šiem mērķiem." Citiem vārdiem sakot, mārketinga direktors joprojām ir atbildīgs par datiem, ko viņš ir savācis, pat ja to izmantošana laika gaitā mainās. Un šīs izmaiņas nedrīkst būt nesavienojamas ar iemesliem, kas norādīti vākšanas sākumā. Jēdziens "konkrēti, nepārprotami mērķi" pats par sevi, ja tiesnesis to saprot stingrā nozīmē, varētu reducēt savāktos personas datus līdz vienam lietojumam.

Arī 1. punkta c) apakšpunkts nav slikts: "Personas datiem jābūt adekvātiem, atbilstošiem un ierobežotiem līdz tam, kas nepieciešams saistībā ar mērķiem, kādiem tie tiek apstrādāti (datu minimizēšana)." Vairs nekādu visaptverošu stratēģiju un plašas meklēšanas, lai atgūtu pēc iespējas vairāk informācijas. Katra darbība ir jākalibrē atbilstoši konkrētam mērķim un tikai šim mērķim. Šeit atkal parādās teksta filozofija: runa ir par personas datu izplatīšanas pēc iespējas lielāku ierobežošanu, lai neviena persona nevarētu apgalvot, ka bez viņas piekrišanas ir tikusi atņemta informācija par viņu.

Arī saglabāšanas periods ir aplūkots (5. panta 1. punkta e) apakšpunktā): tas nedrīkst pārsniegt "to, kas nepieciešams saistībā ar mērķiem, kuriem tie tiek apstrādāti". Tas, būsim godīgi, nozīmē datu iznīcināšanu pēc izmantošanas; atzīsim, ka tas nav mūsu ieradums.

Apstrādes likumībai tagad ir pamats, kas atgādināts 6. pantā, kurā uzskaitīti seši nosacījumi, no kuriem vismaz viens ir jāizpilda. Tā kā pēdējie četri ir veltīti nekomerciāliem jautājumiem, mūs skar tikai pirmie divi. Vai nu "datu subjekts ir piekritis personas datu apstrādei vienam vai vairākiem konkrētiem mērķiem", vai "apstrāde ir nepieciešama līguma, kurā datu subjekts ir līgumslēdzēja puse, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas". Tādēļ ir skaidrs: lai izmantotu personas informāciju, ir nepieciešama piekrišana vai līgums. Nepilngadīgajam, kas jaunāks par 16 gadiem, vecumam, ko dalībvalstis var samazināt līdz 13 gadiem (Francija tikko ir izvēlējusies skaitlisku vairākumu 15 gadu vecumā), piekrišana ir jādod personai, kurai ir vecāku atbildība (8. panta 1. punkts). Runājot par bērniem, termini jāizvēlas atbilstoši vecumam, lai veicinātu izpratni (12. panta 1. punkts).

Strīda gadījumā piekrišanas pierādīšanas pienākums ir pārzinim, nevis personai, kura uzskata, ka ir cietusi no kaitējuma (7. pants). Un GDPR blīvajā redakcijā ir paredzēts viss iespējamais, lai uzraudzības iestādei būtu līdzekļi izlemt, vai piekrišana patiešām ir sniegta un kādam nolūkam.

Vairs nav vietas divdomībai, uz kuru visi ir spēlējušies divdesmit gadus: "Ja attiecīgās personas piekrišana tiek sniegta rakstiskas deklarācijas kontekstā, kas attiecas arī uz citiem jautājumiem, piekrišanas pieprasījums jāiesniedz tādā formā, kas to skaidri nošķir no šiem citiem jautājumiem, saprotamā un viegli pieejamā formā, un jāformulē skaidri un vienkārši" (7-2. pants). Šo piekrišanu var atsaukt jebkurā laikā. Un ir aizliegts sarežģīt šīs iespējas izmantošanu: "Piekrišanu ir tikpat vienkārši atsaukt kā dot piekrišanu" (7-3. pants).

Tas nav nekas jauns, vismaz ne Francijā, bet gan skaidri apstiprināts 9. pantā: apstrāde, kas atklātu attiecīgo personu rases vai etnisko izcelsmi, politiskos uzskatus, reliģisko pārliecību, veselības stāvokli vai seksuālo orientāciju, ir aizliegta (9. panta 1. punkts), izņemot desmit konkrētus gadījumus, kas saistīti ar darba tiesībām vai sabiedrības interesēm. Viens no šiem izņēmumiem ir interesants un pārsteidzošs, jo tas atkāpjas no teksta aizsargājošā rakstura: kad dati ir "acīmredzami publiskoti no attiecīgās personas puses" (9. panta 2. punkta e) apakšpunkts). Šajā gadījumā var tikt atklāta tā sauktā sensitīvā informācija, kas, ņemot vērā valdošo ekshibicionismu, var ietekmēt daudzus cilvēkus.