Napäté narodeniny

Právne správy č. 24 – Máj 2020

Napäté narodeninyGDPR oslavuje svoje druhé výročie v obzvlášť turbulentnom kontexte pre základné práva.

Aká odolnosť bude európsky systém ochrany údajov voči súčasným výzvam v oblasti zdravia?

Je základ práv, ktoré chránia jednotlivcov v Európe, už podrobený skúške v boji proti terorizmu a prispôsobený vývoju, ktorý dnes zažívame?

• Zákony o núdzových situáciách a technologický „riešiteľský“ systém

Zákony o núdzových situáciách a technologický vývoj umožňujúci sledovanie jednotlivcov sa množia v Európe a zvyšku sveta.

Pri bližšom pohľade zistíme, že nie všetky tieto iniciatívy sú rovnaké.

V rámci samotnej Európskej únie sa napríklad francúzske a maďarské zákony o núdzovom stave veľmi líšia, čo sa týka obmedzení a rozsahu pôsobnosti.

Vo Francúzsku čelila vláda búrlivej parlamentnej diskusii, najmä o otázkach sledovania nakazených ľudí a preventívnej karantény chorých ľudí. Niektoré ustanovenia boli dokonca cenzurované Ústavnou radou.

Maďarsko ide ešte ďalej a všeobecne obmedzuje úlohu svojho parlamentu, ako aj konkrétnejšie ochranu poskytovanú GDPR týkajúcu sa profilovania, práva jednotlivcov na prístup k svojim údajom a práva byť zabudnutý.

Významné rozdiely existujú aj pri porovnaní nemeckej aplikácie na sledovanie „covidu“, ktorá je založená na decentralizovanom systéme s minimálnym zberom údajov, a britskej aplikácie, ktorej (identifikovateľné) údaje uchováva vláda dvadsať rokov bez predchádzajúceho posúdenia vplyvu.

Agentúra Európskej únie pre základné práva (FRA) zverejnila dve správy, ktoré hodnotia vplyv opatrení prijatých európskymi štátmi na základné práva.

Varuje pred tým, vývoj intruzívnych opatrení azávislosť k tomuto novému stavu vecí.

Hoci jednotlivci musia mať samozrejme k dispozícii čo najúplnejšie informácie, ako aj prostriedky kontroly (súhlas, právo namietať a vymazať) v rámci implementácie systémov sledovania, Orgány na ochranu údajov poukazujú na to, že zákonnosť týchto systémov nemôže byť založená výlučne na súhlase dotknutých osôb..

Ako CNIL uvádza vo svojom stanovisku k už funkčnej aplikácii StopCovid, „skutočnú užitočnosť zariadenia bude potrebné presnejšie preskúmať po jeho spustení“.

Trvanie implementácie systému musí byť podmienené výsledkami tohto pravidelného hodnotenia.“

Budú takéto ex post hodnotenia postačujúce? Dôkladné preskúmanie užitočnosti nových sledovacích zariadení by v zásade malo predchádzať implementácii spracovania, a to aj (a najmä) v núdzových situáciách, keď sa spracúvajú citlivé údaje.

• Inštitucionálne záruky

Okrem Parlamentu a inštitúcií, ako je CNIL, sú o zhromažďovaní údajov požiadané aj francúzske súdy a tribunály.

Tak je to aj v prípade Štátnej rady, ktorá nariadením z 18. mája nariadila štátu, aby zastavil všetky opatrenia dohľad nad dronom kontrolovať väznenie v Paríži.

To isté platí pre súd v Rennes, ktorý opísalpomocou súboru ADOC (súbor o pokutách) na kontrolu opakovaných priestupkov nedodržiavania pravidiel obmedzenia pohybu.

Treba poznamenať, že tieto nedávne rozhodnutia sú založené na existencii alebo neexistencii právneho základu bez toho, aby zásadnejším spôsobom spochybňovali primeranosť donucovacích opatrení.

A čo teda primeranosť týchto opatrení? Boli dostatočne zohľadnené etické otázky, ktoré vyvoláva možný posun v metódach sledovania?

Nedávne odporúčania WHO týkajúce sa etiky technológií sledovania poukazujú na tenká hranica medzi zdravotným dohľadom a dohľadom nad populáciou, a zvýšené riziká, ktorým čelia marginalizované osoby.

WHO sa zasadzuje za účinný dohľad nad verejnými a súkromnými aktérmi zapojenými do správy údajov o populácii.

Dokument uvádza základné zásady, ktoré treba v súčasnom kontexte dodržiavať, a poskytuje veľmi užitočný zoznam nedávnych oznámení od verejných orgánov a medzinárodných organizácií (rozsiahla kompilácia je k dispozícii aj na webovej stránke Globálneho zhromaždenia o ochrane súkromia).

• Základná úloha aktérov stojacich za liečbou

Tieto úvahy zdôrazňujú potrebu hĺbkovej reflexie o zodpovednosti aktérov zapojených do systémov dohľadu, a to na úrovni verejných orgánov, ale aj súkromných subjektov.

Predtým, ako sa premietneme do „potomského sveta“, pozrime sa najprv na nástroje, ktoré máme dnes.

Originalita GDPR v porovnaní s predchádzajúcim právnym rámcom spočíva najmä v opatreniach týkajúcich sa zodpovednosti, ktoré poskytuje.  Prevádzkovateľ údajov, či už štátny alebo súkromný subjekt, musí niesť zodpovednosť.

Je zodpovedný za hodnotenie vývoja nástrojov na správu údajov nielen z hľadiska ekonomických alebo politických otázok, ale aj základných práv, najmä prostredníctvom predchádzajúcej analýzy vplyvu spracovania na práva jednotlivcov.

A táto povinnosť je sprevádzaná pokutami, ako to práve utrpela spoločnosť Finland Post, ktorá bola odsúdená za to, že pred zavedením spracovania údajov nevykonala takúto analýzu vplyvu.

Integrácia ochrany údajov do návrhu zariadenia na spracovanie a konfigurácia zariadenia tak, aby obmedzovala zhromažďované údaje, známa aj ako „ochrana súkromia už v štádiu návrhu“ a „ochrana súkromia ako predvolená“, predstavujú dva ďalšie základné prvky zohľadnenia práv jednotlivcov pred akýmkoľvek spracovaním údajov.

Práve túto kľúčovú úlohu GDPR pripomína predsedníčka Európskeho výboru pre ochranu údajov Andrea Jelinek vo svojom posolstve pri príležitosti výročia nariadenia.

GDPR je prispôsobené krízam, ktorými prechádzame, ale je zodpovednosťou nielen dozorných orgánov, ale aj a predovšetkým prevádzkovateľov údajov. hrať hru.

THE rešpektovanie základných práv je nepochybne, dnes viac ako kedykoľvek predtým, nevyhnutným krokom k zabezpečeniu dôvera a má toprijatie jednotlivcami z hľadiska nového technologického vývoja.

Bez dôvery je ohrozená účinnosť zdravotníckych opatrení a samotný výsledok krízy, ktorou prechádzame. 

Anne Christine Lacoste

Ako právnička špecializujúca sa na právo týkajúce sa údajov pôsobila ako vedúca oddelenia medzinárodných vzťahov v Európskom dozornom úrade pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.