Деконфінація GDPR - це не погано освоєна зброя, а бронежилет; Мережа DPO

Цей текст є відповіддю на текст під назвою "Визначення:" Ми знову вистрілили собі в ногу з GDPR ", опублікований у колонках" Le Monde "у п'ятницю, 24 квітня 2020 р.

освоєна

Не займаючи позиції щодо питання відстеження, ми вважаємо, що висловлені зауваження, швидше за все, можуть ввести в оману широку громадськість, оскільки вони стверджують, що GDPR сам по собі є перешкодою для цього заходу і, отже, він "ризикує нас вбити". Крім того, ці слова також призводять до маскування справжньої дискусії, яка є перш за все етичною та політичною.

Ось чому нам здалося важливим відповісти на нього.

GDPR - це Загальне положення про захист персональних даних. Про точність, яку часто забувають, це також текст, що дозволяє їх вільне обіг. Він також не вимагає систематичної згоди фізичних осіб, і обробка може бути законно впроваджена, якщо вона точно відповідає юридичним зобов’язанням. Тому, GDPR - це не ганебна сорочка, яку денонсують деякі, а текст збалансованості та консенсусу. За своїм напористим ліберальним характером він без труднощів адаптується до політичного режиму держав-членів Європейського Союзу, такого як наш, який є репресивним з точки зору суспільних свобод.

На відміну від превентивного режиму, в якому заборонено все, крім того, що прямо дозволено, репресивний режим - навіть якщо він може здатися неінтуїтивним на перший погляд - є більш ліберальним. Спираючись на відповідальність кожної людини, він закріплює апріорну свободу дій особи, як аналог, загрозу апостеріорних репресій у разі протиправної поведінки. Таким чином, будь-яка особа може здійснити те, що заздалегідь не було прямо заборонено.

Набрання чинності GDPR є частиною цієї ліберальної та репресивної логіки з наслідком зникнення, в більшості випадків, обов’язкових формальностей, які слід виконати з наглядовим органом - CNIL, у Франції - до здійснення обробки даних . Основний принцип GDPR, відповідальність ("підзвітність") спрощує здійснення обробки персональних даних. Зараз багато операцій з обробки можна виконувати без необхідності "адміністративних формальностей", крім ведення внутрішнього реєстру.

Тим не менше, європейський законодавець почув виключити з цієї свободи обробки певні спеціальні категорії даних, інакше відомий як "конфіденційні дані". Сюди входять дані про стан здоров’я. В принципі, їх обробка заборонена. Як це часто буває в практиці, цей принцип гартується різними винятками. Ось як згода суб’єкта даних тут може призвести до скасування заборони. Той самий випадок, коли на карту поставлені вищі інтереси - які повинні переважати права і свободи суб'єкта даних. Особливо це стосується забезпечення "захисту від серйозних транскордонних загроз, що важать для здоров'я". У такій гіпотезі, GDPR також не вимагає згоди суб'єкта даних.

Хоча заборону на обробку даних про здоров'я може бути скасовано без згоди зацікавлених людей, нинішня ситуація зі здоров'ям не дозволяє діяти поза будь-якою законодавчою базою. Особа, відповідальна за таку обробку, зокрема, повинна буде надати "відповідні та конкретні заходи для захисту прав і свобод суб'єкта даних, зокрема професійної таємниці". Технічні рішення, що розробляються декількома дослідницькими групами в галузі інформатики та криптографії, йдуть у цьому напрямку, навіть якщо деякі з цих дослідників вже стверджують, що анонімізація буде неможливо гарантувати на практиці (Larousserie D., Untersinger M., "Coronavirus: Tracing Patient" додатки розділяють дослідників у Європі ", Le Monde (цифрове видання) 23 квітня 2020 р.). Однак анонімізація, здається, не є умовою законності обробки, передбаченої GDPR. І тут принцип відповідальності надає контролеру свободу вживати заходів, які мають бути прийняті для виконання своїх зобов’язань щодо захисту даних, за умови, що він може це обґрунтувати та оцінити ризики.

Усвідомлюючи стрімкий розвиток інформаційно-комунікаційних технологій, автори GDPR подбали про те, щоб підготувати текст, який є агностичним щодо технічних аспектів. Як і наш національний закон 1978 р. До цього, GDPR, таким чином, становить гнучку структуру, придатну для адаптації до прогресу знань, зокрема в ІТ. Ця конструкція значно обмежує ризик того, що GDPR найближчим часом перешкоджатиме інноваціям.

Далеко не є перешкодою для здійснення широкомасштабного відстеження з метою епідемічного контролю, GDPR є простором свободи, в якому можна діяти з метою захисту громадського здоров'я, зберігаючи, наскільки це можливо, конфіденційність громадяни.

Ось чому неправильно стверджувати, що GDPR створює нові обмеження - ті, що існували більш-менш ідентично раніше у Франції, - або навіть "ризик вбити нас", оскільки це за своєю природою буде перешкодою., тут трасування. Рішення вдатися до такого технічного рішення - це перш за все питання етики, а також збалансування основних прав які становлять право на здоров'я та життя, з одного боку, та право на приватність та захист даних, з іншого. Це рішення не може бути без демократичних дебатів, єдиних, здатних визначити обмеження індивідуальних свобод, які суспільство в цілому готове надати в загальних інтересах.

Написано 24 квітня 2020 року

- Йоанн Гонтьє Ле Гуен, консультант із захисту даних;

- Віктор Ларгер, відповідальний за захист даних;

- Фабріс Леклер, відповідальний за захист даних;

- Флоренс Челен, відповідальний за захист даних (державний сектор);

- Жульєн Россі, викладач-дослідник Університету Ренна 2;

- Жан - Люк Тессьє, відповідальний за захист даних;

- Андре Віталіс, заслужений професор Університету Бордо Монтень;

- Франческа Мусіані, заступник директора Інтернет-центру та суспільства CNRS;

- Патрік Гійо, керівник відділу захисту даних;

- Гійом Пурк'є, відповідальний за захист даних;

- Гай Бісьйо, відповідальний за захист даних;

- Керолайн Маскрет, викладач-дослідник та керівник тренінгу "Захист персональних даних у фармацевтичній промисловості" в Університеті Париж-Сакла;

- Гаел Мае, консультант із захисту даних;

- Стефан Борцмайер, мережевий інженер;

- Наталі Марціал - Браз, професор приватного права Паризького університету, член Інституту університету Франції;

- П'єр Буде, віце-президент з інформаційних систем Сорбонського університету Париж-Норд;

- Сара Паулойн, відповідальний за захист даних;

- Френсіс Фейту, керівник відділу захисту даних;

- Патрік Блюм, колишній пенсіонер, відповідальний за захист даних;

- Маріон Леманс, відповідальний за захист даних.

Цей текст також отримав підтримку:

- Елен Джоссо-Бушар, керівник відділу захисту даних;

- Олів’є Адам, відповідальний за захист даних;

- Ксав’єр Пікетті, відповідальний за захист даних;

- Федеріка Мінічіелло, відповідальний за захист даних;

- Гійом Брут, відповідальний за захист даних;

- Лоран Гартнер, відповідальний за захист даних;

- Одрі Віртц, керівник відділу захисту даних;

- Домінік Франсуа, відповідальний за захист даних;

- Фабріс Молло, відповідальний за захист даних;

- Сільві Турньє, відповідальний за захист даних;

- Паскаль Бурбон, відповідальний за захист даних;

- Лайонел Клері, відповідальний за захист даних.