Revolučné princípy spracovania GDPR

Úryvok z knihy Bruna DUMAYA: DEŠIFROVANIE GDPR – Pre manažérov, strategické oddelenia a zamestnancov spoločností a organizácií – Predslov od Gaëlle MONTEILLER

Článok 5 je revolučný, a to ako z hľadiska litery, tak aj z hľadiska ducha, ak sa úprimne pozrieme na praktiky platné pred rokom 2018.

„Osobné údaje musia byť spracované zákonným, spravodlivým a transparentným spôsobom vo vzťahu k dotknutej osobe“ (odsek 1a). Hoci možno súhlasiť s tým, že proces bol zákonný, treba uznať, že kritériá transparentnosti a spravodlivosti sa sotva zohľadnili. Žiadna osoba, ktorej údaje boli zhromažďované, nebola informovaná o metódach a účeloch tohto zhromažďovania. Ak teraz musíme dodržiavať toto nové ustanovenie, a musíme, zmeny, ktoré je potrebné vykonať, z hľadiska perspektívy aj praxe, sú značné.

Odsek 1b toho istého článku 5 stačí na to, aby nás ohromil, prepáčte, osvietil, ešte viac: „Osobné údaje sa musia zhromažďovať na určené, explicitné a legitímne účely a nesmú sa ďalej spracovávať spôsobom, ktorý je s týmito účelmi nezlučiteľný.“ Inými slovami, marketingový riaditeľ zostáva zodpovedný za údaje, ktoré zhromaždil, aj keď sa ich použitie v priebehu času mení. A táto zmena nesmie byť nezlučiteľná s dôvodmi uvedenými na začiatku zhromažďovania. Pojem „určené, explicitné účely“ by sám o sebe, ak by ho sudca chápal v užšom zmysle slova, mohol zredukovať zhromaždené osobné údaje na jedno použitie.

Odsek 1c tiež nie je zlý: „Osobné údaje musia byť primerané, relevantné a obmedzené na to, čo je nevyhnutné vo vzťahu k účelom, na ktoré sa spracúvajú (minimalizácia údajov).“ Koniec s univerzálnymi stratégiami a rozsiahlymi vyhľadávaniami s cieľom získať čo najviac informácií. Každá operácia musí byť kalibrovaná podľa konkrétneho cieľa a len tohto cieľa. Filozofia textu sa tu opäť objavuje: ide o čo najväčšie obmedzenie šírenia osobných údajov, aby žiadny jednotlivec nemohol tvrdiť, že mu boli bez jeho súhlasu odobraté informácie.

Aj doba uchovávania je upravená (odsek 1e článku 5): nesmie presiahnuť „dobu nevyhnutnú vzhľadom na účely, na ktoré sa spracúvajú“. To znamená, povedzme si úprimne, zničenie údajov po použití; priznajme si, že to nie je náš zvyk.

Zákonnosť spracovania má teraz základ, ktorý je pripomenutý v článku 6, ktorý uvádza šesť podmienok, z ktorých musí byť splnená aspoň jedna. Keďže posledné štyri sa venujú nekomerčným otázkam, týkajú sa nás iba prvé dve. Buď „dotknutá osoba súhlasila so spracovaním osobných údajov na jeden alebo viac konkrétnych účelov“, alebo „spracovanie je nevyhnutné na plnenie zmluvy, ktorej je dotknutá osoba zmluvnou stranou, alebo na vykonanie krokov na žiadosť dotknutej osoby pred uzavretím zmluvy“. Je teda jasné: na použitie osobných údajov je nevyhnutný súhlas alebo zmluva. V prípade maloletej osoby mladšej ako 16 rokov, čo je vek, ktorý môžu členské štáty znížiť na 13 rokov (Francúzsko sa práve rozhodlo pre číselnú väčšinu vo veku 15 rokov), musí súhlas udeliť nositeľ rodičovských práv a povinností (článok 8-1). Pri oslovovaní detí sa musia pojmy voliť podľa veku, aby sa uľahčilo porozumenie (článok 12-1).

V prípade sporu dôkazné bremeno o súhlase nesie prevádzkovateľ, nie osoba, ktorá sa považuje za poškodenú (článok 7). A v hustých riadkoch GDPR je stanovené všetko, aby dozorný orgán mal prostriedky na rozhodnutie, či bol súhlas skutočne udelený a na aký účel.

Už nie je priestor pre nejednoznačnosť, na ktorú všetci hrajú už dvadsať rokov: „Ak je súhlas dotknutej osoby udelený v kontexte písomného vyhlásenia, ktoré sa týka aj iných záležitostí, žiadosť o súhlas sa predloží vo forme, ktorá ho jasne odlišuje od týchto ostatných záležitostí, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasnými a jednoduchými slovami“ (článok 7-2). Tento súhlas možno kedykoľvek odvolať. A je zakázané komplikovať využitie tejto možnosti: „Odvolať súhlas je rovnako jednoduché ako udeliť súhlas“ (článok 7-3).

Toto nie je nič nové, aspoň nie vo Francúzsku, ale jasne potvrdené v článku 9: spracovanie, ktoré by odhalilo rasový alebo etnický pôvod, politické názory, náboženské presvedčenie, zdravotný stav alebo sexuálnu orientáciu dotknutých osôb, je zakázané (článok 9-1), s výnimkou desiatich špecifických prípadov súvisiacich s pracovným právom alebo verejným záujmom. Jedna z týchto výnimiek je zaujímavá a prekvapujúca, pretože sa odchyľuje od ochrannej povahy textu: keď sú údaje „zjavne zverejnené dotknutou osobou“ (článok 9-2e). V tomto prípade môžu byť zverejnené tzv. citlivé informácie, ktoré vzhľadom na prevládajúci exhibicionizmus môžu ovplyvniť mnohých ľudí.