个人数据处理:实施两年后,欧洲委员会发布了有关名为GDPR 的欧洲数据保护法规的第一份报告。该报告说,该法规已经实现了其大部分目标,保证了欧盟公民的牢固权利,并建立了新的欧洲治理体系。报告指出:“ GDPR加强了数据保护保障,为个人提供了更多和更强大的权利,提高了透明度,并确保在其适用范围内处理个人数据的所有人员更加负责和负责”。
很难不同意该声明:该法规规定了保护个人的重要权利,并为负责个人数据处理的人创造了负责任的条件。
但是对此有任何认识吗?确保尊重这些权利并执行这些权利的文化是否真的广泛存在?
个人数据处理:最近几个月的经验
回顾过去的几个月,人们产生了一些疑问。可以说这段时期是例外的,在受到侵犯的权利中,隐私权最令人担忧。但是,问题不是我们是否愿意放弃处理非常危险局势的权利,而是我们是否知道我们正在这样做。只有这样,我们才能评估这种情况是否合理,因此,这确实是必要的。
在欧洲层面上存在的担忧首先导致欧洲数据保护委员会(EDPB)发布了在新冠背景下使用位置数据和联系人跟踪工具的准则(关于位置数据使用的准则04/2020和在新冠爆发期间的联系跟踪工具),然后领导委员会与Apps on Communication保持联系,以支持应对新冠大流行的斗争。
在意大利,第 2020年4月30日第28号决议确立了疫情警报系统必须遵守的原则,条件是必须进行法规要求的影响评估并不断进行更新。在意大利数据保护局发布了关于该提案的意见的规定,旨在从新冠(2020 4月29日)跟踪接触传染的申请和授权的基础上,影响评估所进行的使用应用程序(2020年6月1日)的卫生部(2020年5月28日)。
争议一直持续到今天:不是每个人都相信该应用程序没有侵犯我们的个人数据权利,但这是民主辩论的一部分。此外,不同意的权利在主要原则中得到巩固,该主要原则直接来自《条例》,该条例将处理Immuni应用程序的个人数据合法化,个人可以随时下载该数据
但是,对于连续不断的个人健康数据请求并没有给予类似的关注。这几乎就像我们的数据成为个人数据一样,因此只有在国家要求时才应对其进行保护。但是,以某种方式,当其他人(雇主,您的孩子的夏令营组织者,餐厅经理,监管进入工作场所的地方当局,公寓管理员或自制应用程序)提出要求时,它变得不那么私人化。
管理数据和利益相关者
似乎我们一直与老式的隐私观念联系在一起,在这种观念中,我们的权利必须受到“老大哥”的捍卫,而没有意识到分布式技术和广泛的处理能力使我们所有人都是数据管理者(根据法规)和数据主体,即数据所引用的人员。从这种双重作用中,随之而来的是一种含糊和共谋,而不是鼓励人们对法规和我们自己的责任给予更多的关注和认识。结果是随意收集个人数据,通常是健康数据,几乎没有意识到。想想一下,店主要求顾客签署声明说自己没有发烧,或者雇主每天记录员工的体温,即使这些体温是正常的并且不超过37.5摄氏度的门槛。
由于对个人数据的保护充耳不闻,并伴随着一种狭隘的心态。因此,如如果法律规定禁止进入发烧的公共场所,则该场所的管理者是不仅要简单地告知访问者,还要求他正式声明他知道禁令,甚至声明他没有发烧,没有考虑到这需要收集个人数据,有时甚至是健康数据
如果个人实际上意识到自己的“附加和更强的权利”,并且如果他们面临是否选择以“更负责和更负责任”的方式收集数据的选择,那么对抗冠状病毒的自我认证途径将不存在。
收集个人数据的允许范围是多少?
据说,该条例允许在有必要维护数据主体或他人的切身利益时处理个人数据。但是,我们真的确定签署的宣言比提供足够的信息会更有效地保护这些利益吗?
对于那些敢于质疑数据收集合法性的人,答案是“这是法律所要求的”。但是,该法规允许在必须履行法律义务时可以处理个人数据,但问题是,履行该法律涉及收集这种法律的法律是什么?
让我们以餐饮业为例。根据2020年6月11日的总理令,允许餐厅活动,遵循各地区或地区会议通过的准则中指示的协议。后者规定的行为规则在两种情况下可以收集个人客户数据:评估客户的温度,以确保没有一个温度高于阈值的人可以进入房屋;存储在餐厅用餐了14天的人的预订数据,以便在有冠状病毒的人暴露时能够对其进行跟踪。伦巴第大区准则允许保留在餐厅预订餐桌的顾客名单,但只考虑员工的体温。
基于这些考虑,餐厅显然没有法律依据(因此是不合法的)来收集顾客的声明,即他们没有与感染该疾病的人接触过,也不维护顾客或雇员的体温记录。同样没有法律依据的是那些将义务解释为保留预订数据的必要性的人的数据收集,使客户填写姓名,住址,出生年月,手机号码和电子邮件。相反,该准则仅规定公司维护与预订有关的数据,即仅名字,姓氏和手机号码。
在某些情况下,客户还需要声明坐在他或她餐桌旁的食客是亲戚,因此不要求他们遵守社会隔离规则。伦巴第大区准则明确规定,这是个人责任之一。维护声明显然是不合理的。
餐厅只是一个例子。在其他情况下,尽管在全面的突发卫生事件中,应该收集和不应该收集的内容,保护个人数据的主管机构已给出了准确的指示,但仍会不加选择地收集个人数据。
在与公共和私人工作环境中的个人数据处理有关的常见问题解答中,该法规已阐明,例如,雇主可以在场所入口处对员工,用户,供应商,访客和客户的温度进行调节。但是,它只能记录员工超过温度阈值的情况,并在任何情况下(如果有必要)记录导致某人无法进入工作场所的原因。保持输入日志中的数据,时间和温度显然是非法的。这是惯例,这一事实并没有使它变得越来越不正确。
似乎常常会引起注意的就是所谓的“最小化原则”,根据该原则,数据必须足够,相关且仅限于处理它们所需的目的。然而,这是《规章》整个结构所依据的中心枢纽之一。与其他同样被忽视的透明原则一起。收集数据的表格很少附有足够的信息。结果,不仅没有实际需要就收集了数据,而且还不知道数据会发生什么,与谁通信,以及将数据存储多长时间等。
个人资料的存储
保质期是个人数据处理的另一个方面,值得考虑。虽然Immuni应用程序指定了删除数据的截止日期,但对于其他数据收集而言,这通常是一个谜。预订餐厅的顾客名单应保留14天,但是各种记录要保留多长时间?
确定数据应保留多长时间是数据控制器的责任,这是他或她在管理数据处理中的“责任感”的体现。不幸的是,这些信息在出现时通常是指法律的一般性条款。对于那些密切关注它的人来说,这并不令人放心。法律实际上并没有规定处理个人数据,甚至没有定义其存储期限,因此,对它所规定的内容的引用非常令人费解。
剩下要做的就是相信所收集的数据对所有者没有太大的兴趣,因此所有者没有理由保留它。但这是真的吗?收集的数据可以揭示有关客户的很多信息:他的习惯,相识,人际关系等,因此,这些数据代表了大量有关客户的信息,在新冠之前的世界中,这些信息不容易处理。 。
目标:改变文化和行为
因此,要真正行使和尊重个人数据规则所承认的权利,还有很长的路要走。此外,欧洲委员会本身在其报告中指出,“ GDPR的最终目标是为了个人的利益而改变所有参与者的文化和行为”,并在其未来目标中确立了创造“欧洲的数据保护通用文化”,它可以为所有人的利益带来预期的行为改变。
遗憾的是,所有未来行动都没有适当的目的,而是旨在让欧洲公民正确了解其对个人数据和数据的保护权。他们被要求处理他人的个人数据时的相应责任。