Napet rojstni dan

Pravna ura št. 24 – Maj 2020

Napet rojstni danGDPR praznuje svojo drugo obletnico v še posebej turbulentnem kontekstu za temeljne pravice.

Kako odporen bo evropski sistem varstva podatkov na trenutne zdravstvene izzive?

Ali so temeljne pravice, ki ščitijo posameznike v Evropi in so že bile preizkušene v boju proti terorizmu, prilagojene razvoju dogodkov, ki jih doživljamo danes?

• Zakoni o izrednih razmerah in tehnološki »rešitveni sistem«

Zakoni o izrednih razmerah in tehnološki razvoj, ki omogočajo sledenje posameznikom se množijo v Evropi in preostalem svetu.

Ob natančnejšem pregledu se izkaže, da niso vse te pobude enake.

Znotraj same Evropske unije se na primer francoska in madžarska zakonodaja o izrednih razmerah zelo razlikujeta glede omejitev in področja uporabe.

V Franciji se je vlada soočila z burno parlamentarno razpravo, zlasti o vprašanjih sledenja okuženim ljudem in preventivne karantene bolnih. Nekatere določbe je celo cenzuriral ustavni svet.

Madžarska gre še dlje, saj na splošno omejuje vlogo svojega parlamenta, pa tudi, natančneje, zaščito, ki jo zagotavlja GDPR glede profiliranja, pravice posameznikov do dostopa do svojih podatkov in pravice do pozabe.

Pomembne razlike so tudi pri primerjavi nemške aplikacije za sledenje "covidu", ki temelji na decentraliziranem sistemu z minimalnim zbiranjem podatkov, in britanske aplikacije, katere (prepoznavne) podatke vlada hrani dvajset let brez predhodne ocene učinka.

Agencija Evropske unije za temeljne pravice (FRA) je objavila dve poročili, v katerih ocenjujeta vpliv ukrepov, ki so jih sprejele evropske države, na temeljne pravice.

Ona svari pred razvoj vsiljivih ukrepov inodvisnost na to novo stanje.

Čeprav morajo posamezniki očitno imeti na voljo čim bolj popolne informacije, pa tudi sredstva nadzora (soglasje, pravice do ugovora in izbrisa) v okviru izvajanja sistemov sledenja, Organi za varstvo podatkov poudarjajo, da zakonitost teh sistemov ne more temeljiti zgolj na soglasju zadevnih oseb..

Kot poudarja CNIL v svojem mnenju o zdaj delujoči aplikaciji StopCovid, "bo treba resnično uporabnost naprave natančneje preučiti po njeni predstavitvi."

Trajanje izvajanja sistema mora biti pogojeno z rezultati tega rednega ocenjevanja.“

Ali bodo takšne naknadne ocene zadostovale? Temeljit pregled uporabnosti novih sledilnih naprav bi moral načeloma predhoditi izvajanju obdelave, tudi (in še posebej) v nujnih primerih, ko se obdelujejo občutljivi podatki.

• Institucionalni zaščitni ukrepi

Poleg Parlamenta in institucij, kot je CNIL, so o zbiranju podatkov pozvana tudi francoska sodišča in tribunali.

Takšen je primer državnega sveta, ki je z odredbo z dne 18. maja državi naročil, naj preneha z vsemi ukrepi nadzor z droni nadzorovati zaprtje v Parizu.

Enako velja za sodišče v Rennesu, ki je opisaloz uporabo datoteke ADOC (datoteka z globami) za preverjanje ponavljajočih se kršitev pravil o zaprtju.

Treba je opozoriti, da te nedavne odločitve temeljijo na obstoju ali odsotnosti pravne podlage, ne da bi pri tem bolj temeljno podvomile o sorazmernosti prisilnih ukrepov.

Kaj pa sorazmernost teh ukrepov? Ali so bila etična vprašanja, ki jih sproža morebitno spreminjanje metod nadzora, dovolj upoštevana?

Nedavna priporočila SZO glede etike tehnologij sledenja kažejo na tanka meja med zdravstvenim nadzorom in nadzorom prebivalstva, in povečana tveganja, s katerimi se soočajo marginalizirane osebe.

SZO se zavzema za učinkovit nadzor javnih in zasebnih akterjev, ki sodelujejo pri upravljanju podatkov o prebivalstvu.

Dokument navaja bistvena načela, ki jih je treba spoštovati v trenutnih okoliščinah, in ponuja zelo uporaben seznam nedavnih sporočil javnih organov in mednarodnih organizacij (obsežna zbirka je na voljo tudi na spletni strani Globalne skupščine o zasebnosti).

• Bistvena vloga akterjev, ki stojijo za zdravljenjem

Ti premisleki poudarjajo potrebo po poglobljenem razmisleku o odgovornosti akterjev, vključenih v sisteme nadzora, tako na ravni javnih organov kot tudi zasebnih akterjev.

Preden se projiciramo v »svet po smrti«, si najprej poglejmo orodja, ki jih imamo danes.

Izvirnost GDPR v primerjavi s prejšnjim pravnim okvirom je zlasti v ukrepih odgovornosti, ki jih zagotavlja.  Upravljavec podatkov, pa naj bo to državno ali zasebno podjetje, mora biti odgovoren.

Odgovoren je za ocenjevanje razvoja orodij za upravljanje podatkov ne le glede na ekonomska ali politična vprašanja, temveč tudi temeljne pravice, zlasti s predhodno analizo vpliva obdelave na pravice posameznikov.

In to obveznost spremljajo globe, kot jih je pravkar utrpela Finska pošta, ki je bila obsojena, ker pred uvedbo obdelave podatkov ni izvedla takšne analize vpliva.

Vključevanje varstva podatkov v zasnovo naprave za obdelavo in konfiguriranje naprave za omejevanje zbranih podatkov, znano tudi kot „vgrajena zasebnost“ in „privzeta zasebnost“, predstavljata dva druga bistvena elementa upoštevanja pravic posameznikov pred kakršno koli obdelavo podatkov.

Prav na to ključno vlogo GDPR se v svojem sporočilu ob obletnici uredbe spominja predsednica Evropskega odbora za varstvo podatkov Andrea Jelinek.

GDPR je prilagojen krizam, ki jih preživljamo, vendar je odgovornost ne le nadzornih organov, temveč tudi in predvsem upravljavcev podatkov. igraj igro.

TA spoštovanje temeljnih pravic je nedvomno, danes bolj kot kdaj koli prej, bistven korak za zagotovitev zaupanje in ga imasprejemanje s strani posameznikov zaradi novih tehnoloških dosežkov.

Brez zaupanja je ogrožena učinkovitost zdravstvenih ukrepov in sam izid krize, ki jo preživljamo. 

Anne Christine Lacoste

Kot odvetnica, specializirana za pravo podatkov, je bila vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in se je ukvarjala z izvajanjem GDPR v Evropski uniji.