Revolucionarna načela obdelave GDPR

Odlomek iz knjige Bruna DUMAYA: DEŠIFRIRANJE GDPR – Za vodje, strateške oddelke in zaposlene v podjetjih in organizacijah – Predgovor Gaëlle MONTEILLER

Člen 5 je tako po črki kot po duhu revolucionaren, če pošteno pogledamo prakse, ki so veljale pred letom 2018.

„Osebne podatke je treba obdelovati zakonito, pošteno in pregledno v odnosu do posameznika, na katerega se nanašajo osebni podatki“ (odstavek 1a). Čeprav se je mogoče strinjati, da je bil postopek zakonit, je treba priznati, da merila preglednosti in poštenosti skoraj niso bila upoštevana. Nobena oseba, katere podatki so bili zajeti, ni bila obveščena o metodah in namenih tega zajema. Če moramo zdaj upoštevati to novo določbo, in moramo, so spremembe, ki jih je treba narediti, tako z vidika perspektive kot prakse, precejšnje.

Že odstavek 1b istega 5. člena je dovolj, da nas osupne, oprostite, celo razsvetli: »Osebni podatki se morajo zbirati za določene, eksplicitne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni.« Z drugimi besedami, direktor marketinga ostaja odgovoren za podatke, ki jih je zbral, tudi če se njihova uporaba sčasoma spremeni. In ta sprememba ne sme biti nezdružljiva z razlogi, navedenimi ob začetku zbiranja. Pojem »določenih, eksplicitnih namenov« bi lahko sam po sebi, če bi ga sodnik razumel v ožjem pomenu besede, zmanjšal zbrane osebne podatke na enkratno uporabo.

Tudi odstavek 1c ni slab: »Osebni podatki morajo biti ustrezni, relevantni in omejeni na tisto, kar je potrebno glede na namene, za katere se obdelujejo (minimizacija podatkov).« Konec je treba uporabiti strategije, ki zajemajo vse, in obsežna iskanja za pridobitev čim več informacij. Vsaka operacija mora biti umerjena glede na določen cilj in samo ta cilj. Filozofija besedila se tukaj znova pojavi: gre za čim večjo omejitev razširjanja osebnih podatkov, tako da noben posameznik ne more trditi, da so mu bili brez njegove privolitve odvzeti podatki o njem.

Obdobje hrambe je prav tako zajeto (v odstavku 1e člena 5): ne sme presegati „tistega, kar je potrebno glede na namene, za katere se obdelujejo“. To pomeni, bodimo jasni, uničenje podatkov po uporabi; to, priznajmo, ni naša navada.

Zakonitost obdelave ima zdaj podlago, omenjeno v 6. členu, ki navaja šest pogojev, od katerih mora biti izpolnjen vsaj eden. Ker so zadnji štirje namenjeni nekomercialnim vprašanjem, nas zadevata le prva dva. Ali je „posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo osebnih podatkov za enega ali več določenih namenov“ ali pa je „obdelava potrebna za izpolnjevanje pogodbe, katere stranka je posameznik, na katerega se nanašajo osebni podatki, ali za ukrepanje na zahtevo posameznika, na katerega se nanašajo osebni podatki, pred sklenitvijo pogodbe“. Zato je jasno: za uporabo osebnih podatkov je bistvenega pomena privolitev ali pogodba. Za mladoletnika, mlajšega od 16 let, starost, ki jo lahko države članice znižajo na 13 let (Francija se je pravkar odločila za številčno večino pri 15 letih), mora privolitev dati nosilec starševske odgovornosti (člen 8-1). Pri nagovarjanju otrok je treba izraze izbrati glede na starost, da se olajša razumevanje (člen 12-1).

V primeru spora dokazno breme glede privolitve nosi upravljavec, ne oseba, ki meni, da je bila oškodovana (7. člen). V strnjenih besedilih GDPR je predvideno vse, da se nadzornemu organu da možnost odločiti, ali je bila privolitev dejansko dana in za kaj.

Ni več prostora za dvoumnost, na katero vsi igrajo že dvajset let: »Če je privolitev zadevne osebe dana v okviru pisne izjave, ki se nanaša tudi na druge zadeve, se zahteva za privolitev predloži v obliki, ki jo jasno loči od teh drugih zadev, v razumljivi in lahko dostopni obliki ter formulirana v jasnih in preprostih izrazih« (člen 7-2). To privolitev je mogoče kadar koli preklicati. In prepovedano je otežiti uporabo te možnosti: »Preklic privolitve je prav tako preprost kot njena podaritev« (člen 7-3).

To vsaj v Franciji ni novo, vendar je jasno potrjeno v 9. členu: obdelava, ki bi razkrila rasno ali etnično poreklo, politična mnenja, verska prepričanja, zdravje ali spolno usmerjenost zadevnih oseb, je prepovedana (9. člen, 1. člen), razen v desetih posebnih primerih, povezanih z delovnim pravom ali javnim interesom. Ena od teh izjem je zanimiva in presenetljiva, ker odstopa od zaščitne narave besedila: ko podatke "očitno objavi zadevna oseba" (9. člen, 2. člen, e). V tem primeru se lahko razkrijejo tako imenovane občutljive informacije, kar lahko glede na prevladujoči eksibicionizem prizadene številne ljudi.