Okrepljene pravice posameznikov v odnosu do podjetij

Odlomek iz knjige Bruna DUMAYA: DEŠIFRIRANJE GDPR – Za vodje, strateške oddelke in zaposlene v podjetjih in organizacijah – Predgovor Gaëlle MONTEILLER

Norme demokratičnih družb naj bi zagotavljale ravnovesje med interesi, ki so si lahko nasprotujoči. Vendar pa večina pomembnih besedil vsebuje usmeritev – o kateri sem govoril zgoraj – ki daje prednost eni strani v škodo druge, bodisi zato, ker želi oblast, ki vsiljuje ta besedila, dati novo smer, bodisi zato, ker se je potreba po ponovnem uravnoteženju čutila po nekaterih premikih v eno smer, ki so privedli do asimetričnega odnosa med strankama. GDPR je nedvomno orodje za povrnitev pravic posameznikom v soočenju z vsemogočnimi podjetji, ki se niso več preveč obremenjevala s spoštovanjem zasebnosti.  

Poglavje III uredbe je v celoti posvečeno „pravicam posameznika, na katerega se nanašajo osebni podatki“. Za omogočanje uveljavljanja teh pravic je odgovoren „upravljavec podatkov“. Odgovoren mora biti „čim prej in v vsakem primeru v enem mesecu od prejema zahteve. Po potrebi se lahko ta rok podaljša za dva meseca, pri čemer se upošteva kompleksnost in število zahtev“ (člen 12-3). Iz tega bi lahko sklepali, da ima posameznik tri mesece časa za odgovor na zahtevo in da lahko že samo ta rok odvrne številne prosilce. Pravzaprav ne; po eni strani zato, ker mora biti to podaljšanje utemeljeno s „potrebo“ ali „kompleksnostjo“, po drugi strani pa zato, ker mora biti oseba, ki vlaga zahtevo, v enem mesecu obveščena o razlogih za to podaljšanje (spet člen 12-3). In če upravljavec podatkov meni, da je zahteva neutemeljena, mora to neutemeljenost dokazati (člen 12-5).

Člen 13 navaja vse informacije, ki jih je treba zagotoviti pri zbiranju podatkov o posamezniku. To je revolucionaren razvoj: tega ne moremo sprejeti, ne da bi najprej zagotovili integriteto glede določb uredbe. Nihče se ne bo mogel zanašati na svojo velikost, ugled ali delovno dobo, da bi prepričal uporabnike interneta, da se razkrijejo.

Zato mora podjetje vnaprej zagotoviti naslednje:

– identiteto in kontaktne podatke upravljavca podatkov;

– kontaktne podatke pooblaščene osebe za varstvo podatkov (v strukturah, kjer je to obvezno, bomo to navedli);

– namene obdelave, za katere so podatki namenjeni, ter pravno podlago za to obdelavo;

– prejemnike podatkov, vključno s primeri, ko je načrtovan prenos v tretjo državo.

Po prejemu podatkov (besedilo označuje »ob času ...«) je treba še vedno sporočiti naslednje:

– rok uporabnosti;

– pravica do popravka, izbrisa, omejitve obdelave, ugovora obdelavi, prenosljivosti podatkov (k vsaki od teh pravic se bomo vrnili);

– pravica do vložitve pritožbe pri nadzornih organih;

– posledice neposredovanja podatkov;

– posledice posredovanja podatkov, zlasti v smislu avtomatiziranega odločanja ali profiliranja.

Kadar podatki niso bili zbrani od posameznika, na katerega se nanašajo osebni podatki, so obveznosti enake, k čemur se doda še „vir, iz katerega izvirajo osebni podatki“. Ta informacija ni potrebna, kadar se podatki obdelujejo za arhiviranje, raziskave ali statistične namene javnega interesa.  

Ko posameznik, na katerega se nanašajo osebni podatki, podatke enkrat posreduje, mu ti ne uidejo (spet kakšna sprememba v primerjavi s trenutnimi praksami). GDPR dejansko najprej (ponovno) ustvarja pravico do dostopa (15. člen). Ta pravica do dostopa v Franciji že obstaja, vendar je malo znana in njena izvedba zapletena. Tukaj zajema vse informacije, omenjene v 13. členu. Dostop se materializira s prenosom na podlagi preproste zahteve: »Upravljavec podatkov zagotovi kopijo osebnih podatkov, ki se obdelujejo« (15-3. člen). Ta kopija je brezplačna (za dodatno kopijo se lahko zaračunajo razumne pristojbine). Ko je zahteva oddana elektronsko, se odgovor posreduje v isti obliki, razen če je zahteva drugačna.

Druga izrecno zagotovljena pravica: pravica do popravka (16. člen). Ta pravica se nanaša na podatke, ki so netočni in nepopolni glede na namen obdelave.

Pomen tretje pravice se je postopoma uveljavil v zadnjih desetih letih, od pojava spleta 2.0 in družbenih omrežij. Prav od takrat naprej se zavedamo pomena podatkov ter se zbiranje podatkov organizira in množi. Ker so informacije o nas v rokah neznancev, se je zahteva po pravici do izbrisa (ali pravici do pozabe) formalizirala. Francija je leta 2010 poskusila s sprejetjem listin o pravici do pozabe, vendar sta jih Facebook in Google zavrnila podpisati. Sodišče Evropske unije je junija 2014 uvedlo to pravico do pozabe, po čemer so morali glavni digitalni akterji, vključno z Googlom, vzpostaviti postopke, vključno z objavo spletnega "obrazca", ki je uporabniku interneta omogočil uveljavljanje te pravice. Zahvaljujoč obrazcu je lahko več sto tisoč ljudi odstranilo svoje rezultate iz svoje baze podatkov.

GDPR to pravico določa na evropski ravni in jo na enostaven način določa (člen 17). Na zahtevo posameznika, na katerega se nanašajo osebni podatki, je upravljavec podatkov dolžan osebne podatke izbrisati »v najkrajšem možnem času«:

– če podatki niso več potrebni za namene, za katere so bili zbrani;

– če je soglasje preklicano;

– če obstaja ugovor obdelavi.

Posamezniku, na katerega se nanašajo osebni podatki, ni treba utemeljiti svoje zahteve. Edine omejitve te pravice do izbrisa so:

– izpolnjevanje pravne obveznosti, ki izhaja iz prava Unije ali prava države članice;

– uveljavljanje zakonskih pravic;

– razlogi javnega arhiviranja, znanstvenih raziskav ali statistike ter javno zdravje;

– končno, „uresničevanje pravice do svobode izražanja in obveščanja“ (člen 17-3a). Človek se sprašuje, kaj ima s tem opraviti svoboda izražanja in obveščanja. Ali so imeli lobiji, ki so posredovali interese medijev, kakršen koli vpliv? Ali pa se je preprosto vsemogočnost medijev – tako močna kot podatkov – vsiljevala pripravljavcem besedila?

Prav tako je določena „pravica do omejitve obdelave“, zlasti med preverjanjem točnosti podatkov ali kadar je obdelava nezakonita, vendar posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu (člen 18). Omejitev je treba, tako kot obdelava, sporočiti posamezniku, na katerega se nanašajo osebni podatki (člen 19).        

S „pravico do prenosljivosti“ GDPR posamezniku omogoča, da pridobi podatke, ki jih je posredoval organizaciji, „v strukturirani, splošno uporabljeni in strojno berljivi obliki“ (člen 20-1). To lahko stori bodisi za lastno osebno uporabo bodisi za prenos v drugo organizacijo. Lahko celo zahteva, da se njegovi podatki prenesejo neposredno od enega upravljavca podatkov k drugemu. CNIL določa, da se podatki, ki so „izpeljani, izračunani ali sklepani“, tj. ki jih je ustvarila organizacija, ne morejo zahtevati (to se razlikuje od pravice do dostopa). Vendar pa lahko pridobljeni podatki „sekundarno“ vsebujejo informacije, ki se nanašajo na tretje osebe.

Delovna skupina WP29, evropska delovna skupina, ustanovljena v skladu s členom 29 evropske direktive iz leta 1995, ki si prizadeva razjasniti GDPR, preden se preoblikuje v Evropski odbor za varstvo podatkov, priporoča mehanizem nalaganja za prenos podatkov v okviru pravice do prenosljivosti. V vseh primerih mora biti določba lahko dostopna in varna. Zaenkrat ni določena nobena posebna oblika, vendar »WP29 spodbuja akterje v industriji in poklicna združenja, naj delajo na nizu interoperabilnih standardov in oblik, da bi spoštovali te predpogoje pravice do prenosljivosti.«

Upravljavca podatkov se spodbuja, da jasno sporoči pravico do prenosljivosti, da pred prenosom zahtevanih podatkov izvede postopek preverjanja pristnosti in da to storitev zagotovi brezplačno, razen če je zahteva očitno neutemeljena ali pretirana, „zlasti zaradi njene ponavljajoče se narave“. Treba je opozoriti, da podatkov, prenesenih v skladu s pravico do prenosljivosti, ni treba izbrisati iz prvotne datoteke.

Vsakdo ima pravico kadar koli ugovarjati (člen 21). Ta ugovor se lahko nanaša na katero koli obdelavo, oziroma natančneje na iskanje podatkov (člen 21-2) in celo na znanstvene ali zgodovinske raziskave, »razen če je obdelava potrebna za opravljanje naloge, ki se izvaja v javnem interesu« (člen 21-6). Možno je, da se bo ta pravica uporabljala predvsem za nasprotovanje komercialnim namenom.

Nazadnje, GDPR ureja profiliranje. »Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da ni predmet odločitve, ki temelji izključno na avtomatizirani obdelavi, vključno s profiliranjem, ki ima pravne učinke v zvezi z njim ali ga podobno pomembno vpliva« (člen 22). Dovoljeno je v okviru pogodbe ali če temelji na izrecnem dogovoru. V teh primerih upravljavec zagotavlja »varstvo pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki«.