Avertisment:

Nu sînt „expert GDPR„. Nu am nici studii juridice. Următoarele rînduri reprezintă înțelegerea mea asupra abordării GDPR ca rezultat al interacțiunilor (prezentări publice, cursuri, articole/cărți citite, convorbiri telefonice…) din ultimii 2 ani pe acest subiect. Le mulțumesc tuturor.

 

Justificare

Nu spun nimic nou dacă afirm că pe lîngă foarte multe avantaje, tehnologia poate avea și un impact negativ asupra vieții noastre private iar noi trebuie să putem să controlăm ceea ce se întîmplă cu datele noastre (despre noi). Dar unde începe și unde se termină „viața privată„? Dar cea profesională/publică? Cum înțelegem „protecția datelor„?

Legalitatea prelucrării înseamnă consistență cu TOATE legile aplicabile unei spețe/scop.

Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental.

Dreptul la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității.

Prezentul regulament respectă toate drepturile fundamentale și libertățile și principiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieții private și de familie, a reședinței și a comunicațiilor, a protecției datelor cu caracter personal, a libertății de gândire, de conștiință și de religie, a libertății de exprimare și de informare, a libertății de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică.

Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice și care, prin urmare, nu are legătură cu o activitate profesională sau comercială.

Orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă.

Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimțământului persoanei vizate sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act din dreptul Uniunii sau din dreptul intern, după cum se prevede în prezentul regulament, inclusiv necesitatea respectării obligațiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizată este parte sau pentru a parcurge etapele premergătoare încheierii unui contract, la solicitarea persoanei vizate.

Pentru a favoriza respectarea dispozițiilor prezentului regulament în cazurile în care operațiunile de prelucrare sunt susceptibile să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul ar trebui să fie responsabil de efectuarea unei evaluări a impactului asupra protecției datelor, care să estimeze, în special, originea, natura, specificitatea și gravitatea acestui risc. Rezultatul evaluării ar trebui luat în considerare la stabilirea măsurilor adecvate care trebuie luate pentru a demonstra că prelucrarea datelor cu caracter personal respectă prezentul regulament.

Ar trebui efectuată o evaluare a impactului asupra protecției datelor și în situațiile în care datele cu caracter personal sunt prelucrate în scopul luării de decizii care vizează anumite persoane fizice în urma unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, pe baza creării de profiluri pentru datele respective, sau în urma prelucrării unor categorii speciale de date cu caracter personal, a unor date biometrice sau a unor date privind condamnările penale și infracțiunile sau măsurile de securitate conexe. Este la fel de necesară o evaluare a impactului asupra protecției datelor pentru monitorizarea la scară largă a zonelor accesibile publicului, mai ales în cazul utilizării dispozitivelor optoelectronice sau pentru orice alte operațiuni în cazul în care autoritatea de supraveghere competentă consideră că prelucrarea este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile persoanelor vizate, în special deoarece acestea împiedică persoanele vizate să exercite un drept sau să utilizeze un serviciu ori un contract.

Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale.

Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. deoarece acestea sunt efectuate în mod sistematic la scară largă.

Evaluarea conține cel puțin:

(a) o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;

(b) o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;

(c) o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate menționate la alineatul (1); și

(d) măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.

Regulamentul nu impune „avioane„ ci lucruri de bun simț! Am deja senzația că discuțiile se duc numai spre extreme omițîndu-se esența.

Numele și prenumele, adresa de email nu vor fi tratate din punct de vedere al protecției (dacă nu vor fi agregate cu alte informații) la fel ca datele financiare sau cele despre sănătate!

Cazul 1: B2B

1.a ) În ultimii 4 ani m-am ocupat și de vînzarea de diferite soluții de securitate (hardware și software) de la diferiți furnizori (între timp am renunțat 🙂 ). Pentru desfășurarea activității, fiecare furnizor avea un  sistem (CRM) în care primeam acces individual în numele persoanei fizice pe care o reprezentam. La înrolare în sistem am furnizat (pe lîngă alte documente oficiale ale organizației) și date personale: nume și prenume, număr de telefon, adresă de email, adresa sediu companie. Ale mele și ale altor angajați! Aceste date erau structurate în sistemele furnizorilor.

Să presupunem că s-ar fi întîmplat ca aceste date ar fi ajuns publice. Sau ar fi fost modificate ilegal. Sau ar fi fost indisponibile (s-a întîmplat de multe ori ca sistemele furnizorilor să nu fie disponibile).

Care ar fi fost impactul asupra drepturilor și VIEȚII MELE PRIVATE?

1.b) La rîndul meu, am colectat date personale de la cei cărora le vindeam acele soluții: nume prenume, număr de telefon, adresă de email, adresa companiei. Am colectat aceste date sub formă de „comandă„ și le-am folosit pentru emiterea facturilor. Aceste date au fost păstrate într-o formă oarecum structurată: fișiere Excel.

Presupunînd că aceste date ar fi devenit publice sau ar fi fost modificate, respectiv ar fi devenit indisponibile

Care ar fi fost impactul asupra drepturilor și VIEȚII PRIVATE a persoanelor vizate?

Cazul 2: B2C

Am cumpărat, la fel ca mulți alții, bunuri de pe situri, plasînd mai întîi o comandă furnizorilor: nume și prenume, adresă de email, număr de telefon, adresă de livrare. Plata se face on-line (în toate cazurile a fost un terț) sau la livrare.

Presupunînd că aceste date ar fi devenit publice sau ar fi fost modificate respectiv ar fi devenit indisponibile

Care ar fi fost impactul asupra drepturilor și VIEȚII MELE PRIVATE?

Dar dacă ar fi devenit publică lista/istoricul cu serviciile/bunurile cumpărate?

Cazul 3: date despre sănătate

Mi-am exercitat dreptul de acces la datele personale în relație cu CNAS, în baza Legii 677/2001. În răspunsul primit am descoperit că figurez cu niște servicii medicale de care nu am beneficiat niciodată. Din contră, am plătit cu totul altceva.

Care este impactul asupra drepturilor și VIEȚII MELE PRIVATE?

Cazul 4: o petrecere privată

Sînt la o petrecere privată. O nuntă să spunem. Cunosc o persoană și facem schimb de cărți de vizită sau pur și simplu îi spun numărul de telefon și adresa de email.

Sînt la un curs sau la o prezentare organizate de o companie. Fac schimb de cărți de vizită sau am datele de contact pe un slide.

Care este impactul asupra drepturilor și VIEȚII MELE PRIVATE?

Cazul 5: sînt profesor

Datele mele de contact sînt pe situl universității. Numele și prenumele, adresa de email apar pe toate articolele publicate.

Care este impactul asupra drepturilor și VIEȚII MELE PRIVATE?

Am acces pe mai multe platforme academice unde înscrierea și accesul au presupus să furnizez nume-prenume și adresă de email. Atît.

Care este impactul asupra drepturilor și VIEȚII MELE PRIVATE?

Compartimentul resurse umane deține și datele despre sănătatea mea.

Care este impactul asupra drepturilor și VIEȚII MELE PRIVATE?

Cazul 6: acasa

Furnizorului de electricitate, la încheierea contractului, i-am furnizat o copie după contractul proprietății. Fiind vorba de întregul contract, include și suprafața și valoarea.

Furnizorul are aparat de măsură a consumului cu autocitire (încă nu, dar va avea). Pe lîngă nume, adresă, valoarea proprietății, furnizorul (unul sau mai mulți angajați) va ști aproape în timp real cînd și ce consum am.

Care este impactul asupra drepturilor și VIEȚII MELE PRIVATE?

Exemplele pot continua dar cred că sînt suficiente.