Posodobitev francoske zakonodaje

Odlomek iz knjige Bruna DUMAYA: DEŠIFRIRANJE GDPR – Za vodje, strateške oddelke in zaposlene v podjetjih in organizacijah – Predgovor Gaëlle MONTEILLER

Zadnji dve vrstici GDPR, ki razveljavlja 94. člen Direktive 95/46/ES, tj. prejšnje referenčno besedilo o varstvu podatkov, se glasita: »Uporablja se od 25. maja 2018. Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.« Zato ni potrebe po prenosu v zakon na nacionalni ravni. Kljub temu so države pozvane, da to storijo, kar ustreza praksi mnogih med njimi. Kjer vidimo, da Evropa še ni federacija, je to daleč od tega.

Francija je zato pripravila osnutek zakona (besedilo, predloženo parlamentu, edinemu nosilcu zakonodajne oblasti, a ga je predlagala vlada), ki vključuje določbe evropske uredbe o varstvu osebnih podatkov (znane kot "evropski paket"). To besedilo, ki ga je sredi decembra 2017 predstavila ministrica za pravosodje Nicole Belloubet, je 13. februarja 2018 sprejel državni zbor z zelo veliko večino (505 glasov za, 18 glasov proti in 24 vzdržanih). Da bi začel veljati, ga mora še odobriti senat, ki ga bo preučeval od 20. marca (zato v času pisanja tega besedila, v začetku marca, še ne poznamo izida, vendar ni razloga, da bi senatorji o tej točki glasovali drugače kot njihovi kolegi poslanci).

Včeraj je veljal zakon o varstvu podatkov iz leta 1978. Ta dolgoživost kaže na inteligenco takratnih promotorjev tega zakona (internet takrat še ni obstajal), čeprav je zdaj zastarel. Novi zakon torej nadomešča tistega iz leta 1978, tako kot GDPR nadomešča direktivo iz leta 1995 na evropski ravni. Določbam uredbe, ki smo jih videli, dodaja določbe direktive, ki se uporablja za kazenske evidence (ki bi se nanašale predvsem na nacionalno evidenco genetskih prstnih odtisov, prepovedi vstopa na stadione ali celo obdelavo kazenskih evidenc).

»To vključuje poenostavitev predhodnih formalnosti v korist postopka odgovornosti deležnikov in krepitev individualnih pravic. Posledično se okrepijo pristojnosti CNIL in znatno povečajo kazni,« je dejala ga. Belloubet, s čimer je ponovila filozofijo evropske uredbe.

Zakon gre v dveh točkah še dlje od GDPR: starosti "digitalne polnoletnosti" in skupinskih tožbah. Glede prve točke spomnimo, da GDPR določa starost 16 let, vendar državam dovoljuje, da jo znižajo na 13 let. Francija je izbrala vmesno stališče: "Mladoletnik lahko sam privoli v obdelavo osebnih podatkov od 15. leta starosti" (to znižanje za eno leto ni prišlo od vlade, temveč od samih poslancev, v obliki spremembe prvotnega osnutka). Med 13. in 15. letom starosti je potrebno soglasje staršev. Pod 13. letom starosti je vsako zbiranje podatkov prepovedano. Toda kako je mogoče takšne določbe uveljavljati, če vemo, da je po študiji CNIL iz junija 2017 63 % otrok, starih od 11 do 14 let, registriranih na družbenem omrežju, da 4 od 10 laže o svoji starosti in da platforme ali družbena omrežja določajo svoja pravila (na Facebooku se je mogoče registrirati brez starševskega dovoljenja od 13. leta starosti)?

Druga močna točka novega zakona o varstvu podatkov je možnost skupinskih tožb, ki so bile že sprožene z zakonoma iz let 2014 in 2016, vendar bi tokrat omogočale odškodnino za škodo "materialne ali moralne narave", medtem ko se je do zdaj upoštevala le ekonomska škoda. Kljub težavam pri izvajanju takšnega postopka je to dodatno sredstvo pritiska na podjetja, ki ga uvaja novi francoski zakon.

Francosko besedilo v skladu z GDPR, ki določa izjeme za področja, povezana z varnostjo, ohranja predhodno dovoljenje za obdelavo "biometričnih podatkov, potrebnih za identifikacijo ali preverjanje identitete posameznikov". Podobno se evropska zakonodaja ne uporablja za ducat tako imenovanih "suverenih" datotek, kot je na primer datoteka z opozorili za preprečevanje radikalizacije teroristične narave (FSPRT).

Zdi se, da je bil en presenetljiv vidik zakona deležen le malo pozornosti: predlog zakona pooblašča vlado, da v šestih mesecih preoblikuje celoten zakon o varstvu podatkov v obliki odloka (38. člen ustave, vlada deluje na področju, ki je predvsem področje parlamenta). Ta novi zakon o varstvu podatkov bi torej imel omejeno trajanje? To se ne zdi presenetljivo le, saj je glavna vsebina zakona prenos pomembne evropske uredbe, ki je zasnovana tako, da traja. Poleg tega se človek sprašuje, zakaj bi se parlament odpovedal svojim pristojnostim glede tako temeljnega vprašanja. Nenazadnje, kako lahko od podjetij zahtevamo, da do 25. maja 2018 upoštevajo predpise, če se bodo pravila igre v prihodnjih mesecih spremenila?

Redko soglasje v naši državi glede novih ukrepov v prid varstva podatkov nas ne bi smelo odvrniti od poslušanja kritik, kadar te prihajajo od ljudi z nedvomnim strokovnim znanjem na tem področju. Omenili bomo le dve.

Prvo je od Yanna Padove, nekdanjega generalnega sekretarja CNIL, zdaj odvetnika pri Baker McKenzie, ki je 29. januarja v Les Échos zapisal: »Naš svet doživlja poplavo podatkov, njihova količina se podvoji vsakih štiriindvajset mesecev. Olajšanje njihove analize, iskanje novih korelacij in spodbujanje nastanka inovativnih storitev – to je izziv velikih podatkov danes in umetne inteligence jutri. Z zavrnitvijo izkoriščanja te možnosti se zakon odloča za konzervativizem. Glede na prednosti naše francoske industrije in naše matematične šole je ta izbira obžalovanja vredna. Še enkrat dokazuje pomanjkanje upoštevanja povezave med inovacijami, varstvom podatkov in industrijskim razvojem.«

Drugo je od Laurenta Alexandreja, specialista za umetno inteligenco (med drugim), čigar pronicljive analize nas že leta osvetljujejo o vplivu tehnologij NBIC (nano, bio, računalništvo, kognitivna znanost) na naša življenja. V svojem stolpcu z dne 24. januarja 2018 z naslovom »Ali naj bi CNIL ukinili?« piše: »... UI odkriva nepričakovane korelacije med podatki, ki se a priori zdijo nezanimivi. Vsaka omejitev zbiranja podatkov zagotovo ovira vse operaterje, predvsem pa omogoča kitajskim ali ameriškim podjetjem, da uspevajo brez evropske konkurence.« In še: »V Bruslju potrebujemo Thatcherjevo podatkovno agencijo, ki bo vodila tehnološko vojno. V francoskem merilu moramo revolucionirati CNIL, ki ga vodi izjemna ekipa, a ki zasleduje napačen cilj. Njegovo poslanstvo moramo obogatiti z vključevanjem tehnoloških interesov naše države.«

To ni mesto za odpiranje razprave. Vendar nam ti dve modri perspektivi kažeta, da se legitimno varstvo osebnih podatkov ne sme izvajati v škodo inovacij in gospodarskega razvoja, sicer bomo podrejeni.