Aktualizácia francúzskeho práva

Úryvok z knihy Bruna DUMAYA: DEŠIFROVANIE GDPR – Pre manažérov, strategické oddelenia a zamestnancov spoločností a organizácií – Predslov od Gaëlle MONTEILLER

Posledné dva riadky GDPR, ktorým sa ruší článok 94 smernice 95/46/ES, t. j. predchádzajúci referenčný text o ochrane údajov, znejú takto: „Uplatňuje sa od 25. mája 2018. Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.“ Preto nie je potrebné ho transkripovať do zákona na vnútroštátnej úrovni. Štáty sú však vyzvané, aby tak urobili, čo zodpovedá praxi mnohých z nich. Zatiaľ čo vidíme, že Európa ešte nie je federáciou, zďaleka nie.

Francúzsko preto vypracovalo návrh zákona (text predložený parlamentu, jedinému nositeľovi legislatívnej moci, ale navrhnutý vládou), ktorý obsahuje ustanovenia európskeho nariadenia o ochrane osobných údajov (známeho ako „európsky balík“). Tento text, ktorý v polovici decembra 2017 predložila ministerka spravodlivosti Nicole Belloubetová, prijalo Národné zhromaždenie 13. februára 2018 s veľmi veľkou väčšinou (505 hlasov za, 18 hlasov proti a 24 sa zdržalo hlasovania). Aby nadobudol účinnosť, musí ho ešte schváliť Senát, ktorý ho bude preskúmavať od 20. marca (preto v čase písania tohto článku, teda začiatkom marca, nepoznáme výsledok, ale nie je dôvod, aby senátori v tomto bode hlasovali inak ako ich kolegovia poslanci).

Včera platil zákon o ochrane údajov z roku 1978. Táto dlhovekosť svedčí o inteligencii vtedajších promotérov tohto zákona (internet neexistoval), aj keď je dnes už zastaraný. Nový zákon teda nahrádza zákon z roku 1978, rovnako ako GDPR nahrádza smernicu z roku 1995 na európskej úrovni. K ustanoveniam nariadenia, ktoré sme videli, pridáva ustanovenia smernice uplatniteľnej na trestné spisy (ktoré by sa týkali najmä národného súboru genetických odtlačkov prstov, zákazov vstupu na štadióny alebo dokonca spracovania trestných záznamov).

„To zahŕňa zefektívnenie predbežných formalít v prospech procesu zodpovednosti zainteresovaných strán a posilnenie individuálnych práv. Na oplátku sa posilnia právomoci CNIL a výrazne sa zvýšia uložené sankcie,“ povedala pani Belloubetová, čím sa zopakovala filozofia európskeho nariadenia.

Zákon ide ešte ďalej ako GDPR v dvoch bodoch: vek „digitálnej plnoletosti“ a hromadné žaloby. V prvom bode pripomíname, že GDPR ho stanovuje na 16 rokov, ale umožňuje štátom znížiť ho na 13 rokov. Francúzsko zvolilo medziľahlú pozíciu: „Maloletá osoba môže sama súhlasiť so spracovaním osobných údajov od 15 rokov“ (toto zníženie o jeden rok neprišlo od vlády, ale od samotných poslancov, a to vo forme pozmeňujúceho návrhu k pôvodnému návrhu). Medzi 13 a 15 rokmi je potrebný súhlas rodičov. Pod 13 rokmi je akýkoľvek zber údajov zakázaný. Ako však možno takéto ustanovenia presadzovať, keď vieme, že podľa štúdie CNIL z júna 2017 je 63 % 11 – 14 ročných registrovaných na sociálnej sieti, že 4 z 10 klamú o svojom veku a že platformy alebo sociálne siete si stanovujú vlastné pravidlá (registrovať sa na Facebooku bez súhlasu rodičov je možné od 13 rokov)?

Ďalším silným bodom nového zákona o ochrane údajov je možnosť hromadných žalôb, ktoré už boli iniciované zákonmi z rokov 2014 a 2016, ale tentoraz by umožňovali náhradu škody „materiálnej alebo morálnej povahy“, zatiaľ čo doteraz sa brali do úvahy iba ekonomické škody. Napriek ťažkostiam s implementáciou takéhoto postupu je to ďalší prostriedok nátlaku na spoločnosti, ktorý zavádza nový francúzsky zákon.

Francúzsky text v súlade s GDPR, ktorý stanovuje výnimky pre oblasti súvisiace s bezpečnosťou, zachováva predchádzajúce povolenie na spracovanie „biometrických údajov potrebných na identifikáciu alebo overenie totožnosti fyzických osôb“. Podobne sa európske právo nevzťahuje na tucet takzvaných „suverenitatívnych“ súborov, ako je napríklad súbor záznamov na predchádzanie radikalizácii teroristickej povahy (FSPRT).

Jeden prekvapivý aspekt zákona sa zrejme takmer vôbec nespomenul: návrh zákona oprávňuje vládu prepísať celý zákon o ochrane údajov do šiestich mesiacov formou nariadenia (článok 38 Ústavy, vláda koná v oblasti, ktorá je najmä oblasťou pôsobnosti Parlamentu). Tento nový zákon o ochrane údajov by teda mal obmedzenú platnosť? Nielenže sa to zdá prekvapujúce, keďže hlavným obsahom zákona je transpozícia dôležitého európskeho nariadenia, ktoré je určené na trvalú platnosť. Okrem toho sa však človek pýta, prečo by sa Parlament vzdal svojej právomoci v takejto zásadnej otázke. Nakoniec, ako môžeme od spoločností požadovať, aby do 25. mája 2018 splnili svoje požiadavky, ak sa pravidlá hry v nasledujúcich mesiacoch zmenia?

Vzácny konsenzus v našej krajine ohľadom nových opatrení v prospech ochrany údajov by nám nemal brániť v načúvaní kritike, keď prichádza od ľudí s nepopierateľnými odbornými znalosťami v danej oblasti. Spomenieme len dve z nich.

Prvý je od Yanna Padovu, bývalého generálneho tajomníka CNIL, teraz právnika v Baker McKenzie, ktorý 29. januára v Les Échos napísal: „Náš svet zažíva záplavu dát, ktorých objem sa každých dvadsaťštyri mesiacov zdvojnásobuje. Uľahčenie ich analýzy, hľadanie nových korelácií a podpora vzniku inovatívnych služieb – to je výzva pre veľké dáta dnes a umelú inteligenciu zajtra. Odmietnutím využiť túto možnosť si návrh zákona vyberá konzervativizmus. Vzhľadom na silné stránky nášho francúzskeho priemyslu a našej matematickej školy je táto voľba poľutovaniahodná. Opäť raz demonštruje nedostatok zohľadnenia súvislosti medzi inováciou, ochranou údajov a priemyselným rozvojom.“

Druhý je od Laurenta Alexandra, špecialistu na umelú inteligenciu (okrem iného), ktorého objasňujúce analýzy nám už roky osvetľujú vplyv technológií NBIC (nano, bio, informatika, kognitívna veda) na naše životy. Vo svojom stĺpčeku z 24. januára 2018 s názvom „Mala by byť CNIL zrušená?“ píše: „... UI nachádza neočakávané korelácie medzi údajmi, ktoré sa a priori zdajú byť nezaujímavé. Akékoľvek obmedzenie zberu údajov určite znevýhodňuje všetkých prevádzkovateľov, ale predovšetkým umožňuje čínskym alebo americkým spoločnostiam prosperovať bez európskej konkurencie.“ A ďalej: „V Bruseli potrebujeme Thatcherovú dát, ktorá povedie technologickú vojnu. Vo francúzskom meradle musíme zrevolucionizovať CNIL, ktorú vedie pozoruhodný tím, ale ktorá sleduje nesprávny cieľ. Musíme obohatiť jej poslanie integráciou technologických záujmov našej krajiny.“

Toto nie je miesto na otváranie diskusie. Tieto dva múdre pohľady nám však ukazujú, že legitímna ochrana osobných údajov sa nesmie uplatňovať na úkor inovácií a hospodárskeho rozvoja, inak budeme vazalizovaní.