Posilnené práva jednotlivcov voči spoločnostiam

Úryvok z knihy Bruna DUMAYA: DEŠIFROVANIE GDPR – Pre manažérov, strategické oddelenia a zamestnancov spoločností a organizácií – Predslov od Gaëlle MONTEILLER

Normy demokratických spoločností majú zaručovať rovnováhu medzi záujmami, ktoré môžu byť protichodné. Väčšina významných textov však obsahuje orientáciu – o ktorej som hovoril vyššie – ktorá uprednostňuje jednu stranu na úkor druhej, buď preto, že autorita, ktorá tieto texty zavádza, chce dať nový smer, alebo preto, že potreba opätovného vyváženia sa pocítila po určitých odklonoch jedným smerom, ktoré viedli k asymetrickému vzťahu medzi stranami. GDPR je nepochybne nástrojom na obnovenie práv jednotlivcov tvárou v tvár všemocným spoločnostiam, ktoré sa už veľmi nestarajú o rešpektovanie súkromia.  

Kapitola III nariadenia je celá venovaná „právam dotknutej osoby“. Za uľahčenie výkonu týchto práv je zodpovedný „prevádzkovateľ údajov“. Musí odpovedať „čo najskôr a v každom prípade do jedného mesiaca od doručenia žiadosti. V prípade potreby možno túto lehotu predĺžiť o dva mesiace, berúc do úvahy zložitosť a počet žiadostí“ (článok 12-3). Dalo by sa teda vyvodiť, že na odpoveď na žiadosť sú tri mesiace a že táto lehota sama o sebe môže mnohých žiadateľov odradiť. V skutočnosti nie; na jednej strane preto, že toto predĺženie musí byť odôvodnené „potrebou“ alebo „zložitosťou“, na druhej strane preto, že osoba, ktorá podáva žiadosť, musí byť do jedného mesiaca informovaná o dôvodoch tohto predĺženia (opäť článok 12-3). A ak prevádzkovateľ údajov usúdi, že žiadosť je neopodstatnená, je na ňom, aby túto neopodstatnenosť preukázal (článok 12-5).

Článok 13 uvádza všetky informácie, ktoré musia byť poskytnuté pri zhromažďovaní údajov o jednotlivcovi. Ide o revolučný vývoj: nemôžeme ho akceptovať bez toho, aby sme najprv poskytli záruky integrity, pokiaľ ide o ustanovenia nariadenia. Nikto sa nebude môcť spoliehať na svoju veľkosť, reputáciu alebo senioritu, aby presvedčil používateľov internetu, aby sa odhalili.

Spoločnosť preto musí vopred poskytnúť nasledujúce informácie:

– totožnosť a kontaktné údaje prevádzkovateľa;

– kontaktné údaje zodpovednej osoby (v štruktúrach, kde je to povinné, sa k nim priblížime);

– účely spracovania, na ktoré sú údaje určené, ako aj právny základ pre toto spracovanie;

– príjemcovia údajov, a to aj v prípade, keď sa plánuje prenos do tretej krajiny.

Po prijatí údajov (text označuje „v čase…“) je potrebné oznámiť aj toto:

– trvanlivosť;

– právo na opravu, vymazanie, obmedzenie spracovania, namietanie proti spracovaniu, prenosnosť údajov (ku každému z týchto práv sa ešte vrátime);

– právo podať sťažnosť dozorným orgánom;

– dôsledky neposkytnutia údajov;

– dôsledky poskytovania údajov, najmä z hľadiska automatizovaného rozhodovania alebo profilovania.

Ak údaje neboli zhromaždené od dotknutej osoby, povinnosti sú rovnaké, ku ktorým sa pridáva „zdroj, z ktorého osobné údaje pochádzajú“. Táto informácia sa nevyžaduje, ak sa údaje spracúvajú na archivačné, výskumné alebo štatistické účely verejného záujmu.  

Keď dotknutá osoba údaje prenesie, už jej neuniknú (opäť aká zmena oproti súčasným postupom). GDPR v skutočnosti najprv (znovu) vytvára právo na prístup (článok 15). Toto právo na prístup už existuje vo Francúzsku, ale je málo známe a jeho implementácia je zložitá. V tomto prípade sa vzťahuje na všetky informácie uvedené v článku 13. Prístup sa realizuje prenosom na základe jednoduchej žiadosti: „Prevádzkovateľ údajov poskytne kópiu spracovávaných osobných údajov“ (článok 15-3). Táto kópia je bezplatná (za ďalšiu kópiu sa môžu účtovať primerané poplatky). Ak sa žiadosť podá elektronicky, odpoveď sa poskytne v rovnakej forme, pokiaľ sa žiadosť nelíši.

Druhé právo výslovne zakotvené: právo na opravu (čl. 16). Toto právo sa týka údajov, ktoré sú nepresné a neúplné vzhľadom na účel spracovania.

Dôležitosť tretieho práva sa postupne prejavovala v priebehu posledných desiatich rokov, od vzniku Webu 2.0 a sociálnych sietí. Práve od tohto dátumu si uvedomujeme dôležitosť údajov a zbierky sa organizujú a znásobujú. Keďže informácie o nás sú v rukách neznámych osôb, požiadavka na právo na vymazanie (alebo právo na zabudnutie) sa formalizovala. Francúzsko sa o to pokúsilo v roku 2010 prijatím Charty o práve na zabudnutie, ale Facebook a Google ich odmietli podpísať. Bol to Súdny dvor Európskej únie, ktorý v júni 2014 zaviedol toto právo na zabudnutie, po čom hlavní digitálni hráči vrátane spoločnosti Google museli zaviesť postupy vrátane zverejnenia online „formulára“, ktorý používateľovi internetu umožnil uplatniť si toto právo. Vďaka formuláru mohli státisíce ľudí odstrániť svoje výsledky zo svojej databázy.

GDPR zakotvuje toto právo na európskej úrovni a stanovuje ho jednoduchým spôsobom (článok 17). Na žiadosť dotknutej osoby je prevádzkovateľ povinný vymazať osobné údaje „čo najskôr“:

– ak údaje už nie sú potrebné na účely, na ktoré boli zhromaždené;

– ak je súhlas odvolaný;

– ak existuje námietka voči spracovaniu.

Dotknutá osoba nemusí svoju žiadosť odôvodňovať. Jediné obmedzenia tohto práva na vymazanie sú:

– splnenie právnej povinnosti vyplývajúcej z práva Únie alebo členského štátu;

– výkon zákonných práv;

– dôvody verejného archivovania, vedeckého výskumu alebo štatistiky, ako aj verejného zdravia;

– nakoniec, „uplatňovanie práva na slobodu prejavu a informácií“ (článok 17-3a). Človek sa pýta, čo s tým má spoločné sloboda prejavu a informácií. Mali lobistické skupiny zastupujúce záujmy médií nejaký vplyv? Alebo to bola jednoducho všemohúcnosť médií – rovnako silná ako všemohúcnosť údajov – ktorá sa vnútila autorom textu?

Taktiež je stanovené „právo na obmedzenie spracovania“, najmä počas overovania presnosti údajov alebo ak je spracovanie nezákonné, ale dotknutá osoba namieta proti vymazaniu (článok 18). Obmedzenie, rovnako ako spracovanie, musí byť dotknutej osobe oznámené (článok 19).        

Vďaka „právu na prenosnosť“ umožňuje GDPR jednotlivcovi získať späť údaje, ktoré poskytol organizácii, „v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte“ (článok 20-1). Môže tak urobiť buď pre vlastnú osobnú potrebu, alebo ich preniesť do inej organizácie. Môže dokonca požiadať o priamy prenos svojich údajov od jedného prevádzkovateľa k druhému. CNIL špecifikuje, že údaje, ktoré sú „odvodené, vypočítané alebo odvodené“, t. j. vytvorené organizáciou, nemožno vyžadovať (toto sa líši od práva na prístup). Získané údaje však môžu „sekundárne“ obsahovať informácie týkajúce sa tretích strán.

WP29, európska pracovná skupina zriadená podľa článku 29 európskej smernice z roku 1995, ktorá pracuje na objasnení GDPR pred svojou transformáciou na Európsky výbor pre ochranu údajov, odporúča mechanizmus nahrávania na prenos údajov v rámci práva na prenosnosť. Vo všetkých prípadoch musí byť toto ustanovenie ľahko dostupné a bezpečné. V súčasnosti nie je uvedený žiadny konkrétny formát, ale „WP29 nabáda aktérov v odvetví a profesijné združenia, aby pracovali na súbore interoperabilných štandardov a formátov s cieľom rešpektovať tieto predpoklady práva na prenosnosť.“

Prevádzkovateľ údajov sa vyzýva, aby jasne komunikoval o práve na prenosnosť, aby pred prenosom požadovaných údajov zaviedol postup overovania a aby túto službu poskytoval bezplatne, pokiaľ nie je žiadosť zjavne neopodstatnená alebo neprimeraná, „najmä z dôvodu jej opakujúcej sa povahy“. Treba poznamenať, že údaje prenesené na základe práva na prenosnosť nemusia byť vymazané z pôvodného súboru.

Každý má právo kedykoľvek namietať (článok 21). Táto námietka sa môže týkať akéhokoľvek spracovania, alebo konkrétnejšie prieskumu (článok 21-2) a dokonca aj vedeckého alebo historického výskumu, „pokiaľ spracovanie nie je nevyhnutné na splnenie úlohy vykonávanej vo verejnom záujme“ (článok 21-6). Je možné, že toto právo bude použité predovšetkým na odpor proti komerčným účelom.

Napokon, GDPR upravuje profilovanie. „Dotknutá osoba má právo nebyť predmetom rozhodnutia založeného výlučne na automatizovanom spracovaní vrátane profilovania, ktoré má právne účinky, ktoré sa jej týkajú, alebo ju podobne významne ovplyvňuje“ (článok 22). Je to povolené v rámci zmluvy alebo ak je založené na výslovnej dohode. V týchto prípadoch prevádzkovateľ zabezpečuje „ochranu práv a slobôd a oprávnených záujmov dotknutej osoby“.