Avertisment: această postare reprezintă înțelegerea mea și nu este o opinie calificată cu valoare juridică.

Să luăm ca exemplu o „persoană vizată„ medie cu mențiunea:

• fiecare organizație are propriile sale provocări
• fiecare persoană vizată are propriile sale interese

Persoana are un serviciu de unde primește un salariu.

Angajatorul are dosarul de personal: CV, diplome studii, certificat de naștere, certificat de căsătorie, copii aflați în întreținere (cel puțin unul), evaluări profesionale, stare de sănătate, evaluare psihologică (poate și certificat de cazier).

Din comoditate, folosește emailul și calculatorul de serviciu și în scopuri personale. Are însă și un cont pe gmail/yahoo.

Angajatorul intră în relație cu banca prin intermediul căreia își ridică ridică persoana vizată salariul, cu CNAS…

Are și o proprietate imobiliară (casă/apartament/teren) și un autoturism. Intră în relație și cu alte instituții: cadastru, finanțe locale… Și aici se prelucrează date personale (suprafață proprietate, valoare..) în baza unor documente ce conțin date personale: CI, copie contract etc. Tuturor le-a furnizat numărul de telefon și adresa de email dar nu a fost contactat niciodată.

Persoana are și un credit. A furnizat la cererea băncii destul de multe informații: situație financiară/adeverință venit (inclusiv soțul/soția), alte proprietăți, eventual garanți, extras de carte funciară etc. Banca la rîndul său se supune normelor BNR și intră în relație cu alte instituții: Oficiul pentru spălarea banilor, Biroul de credite….

Pentru utilitățile de pe proprietate a intrat în relație cu anumiți furnizori: gaze, electricitate, internet/TV, apă-canal. Tuturor le-a furnizat date personale: copie CI, copie contract locuință. Utilitățile le plătește de obicei online, printr-un terț cu care furnizorul are contract.

În „civilie„ folosește telefonul mobil și internetul. De obicei citește știri și emaliuri, dar se întîmplă să mai și cumpere cîte ceva din online. În acest ultim caz furnizorul are nevoie de date de contact (nume prenume, adresă de livrare, telefon). Plata o face de cele mai multe ori ramburs dar, în cazul rezervărilor de hotel/vacanțe, o face online.

La cîteva zile după Black Friday a observat ceva ce l-a pus pe gînduri. A intrat pe situl unui mare magazin online și a căutat un anumit produs. L-a comandat, dar nu a finalizat comanda. A măi făcut o căutare și a dat de situl furnizorului direct unde prețul era ceva mai mic. A revenit la magazinul inițial și și-a anulat comanda. Cînd a accesat din nou cel de al doilea site, prețul crescuse fiind acum identic cu cel din comanda inițială. A renunțat.

Cîteodată mai merge și la cursuri de instruire plătite de angajator. Pe foaia de înscriere de la furnizorul de instruire menționeză că nu dorește mîncare care să conțină mărar.

Persoană deține cel puțin două carduri de fidelitate de la comercianți, dintre care unul este de la o farmacie. Din cînd în cînd mai primește cîte un SMS de la dealerul de la care a cumpărat mașina anterioară. Și banca al cărui client a fost pînă în urmă cu 2 ani îi mai trimite cîte o ofertăpe email.

Cînd și-a achiziționat un aparat electrocasnic s-a întîmplat ca, pentru completarea certificatului de garanție, să i se ceară datele din CI. Copie după CI i se cere cam de fiecare dată cînd interacționează cu o instituție deși prelucrarea CNP este reglementată de prin 2011.

__________________________________________________________________________________________________________

Putem constata că cele mai complete date personale despre persoana vizată se regăsesc în cadrul instituțiilor statului (poate aceasta este și explicația pentru care astfel de instituții trebuie să aibă responsabil cu protecția datelor??) și la angajator.

Vor fi cu siguranță situații în care și firme private vor avea suficiente date sau, dacă nu, măcar date sensibile: de exemplu un laborator de analize medicale sau un spital.

Operatorul și-a inventariat datele personale pe care le-a colectat/colectează. A desenat și fluxul acestor date și pentru fiecare activitate de prelurare știe acum baza legală. Pentru o mai bună gestiune a datelor nestructurate (cele ce se regăsesc prin fișiere pe calculatoarele angajaților) a decis deja să instaleze/achiziționeze o soluție pentru managementul documentelor și să șteragă tot de pe stațiile angajaților apoi criptarea HDD și a oricărui dispozitiv extern de stocare.

Acum trebuie să realizeze o estimare și evaluare/apreciere a riscurilor la care poate fi expusă persoana vizată pentru a decide ulterior ce alte măsuri tehnice sînt necesare (cele administrative sînt în lucru)

Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitatede materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile și libertățile lor sau împiedicate să-și exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența sindicală; sunt prelucrate date genetice, date privind sănătatea sau date privind viața sexuală sau privind condamnările penale și infracțiunile sau măsurile de securitate conexe; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal și afectează un număr larg de persoane vizate. – Recital 75

Probabilitatea de a se materializa și gravitatea riscului pentru drepturile și libertățile persoanei vizate ar trebui să fie determinate în funcție de natura, domeniul de aplicare, contextul și scopurile prelucrării datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluări obiective prin care se stabilește dacă operațiunile de prelucrare a datelor prezintă un risc sau un risc ridicat. – Recital 76

Ce presupune această estimare și apreciere a riscurilor după ce au fost stabilite contextul, scopurile și legalitatea prelucrării? Să găsească răspuns la întrebarea: dacă este afectată confidențialitatea, integritatea sau/și disponibilitatea datelor, ce pierderi/suferințe (fizice, materiale și/sau morale) va avea persoana vizată? Aceste pierderi pot fi tangibile (de exemplu un angajat al băncii îi folosește identitatea pentru obținerea unui credit) sau intangibile (manipularea prețurilor în online).

Pun o întrebare retorică: există vreo prevedere legală care să impună insituțiilor statului asigurarea disponibilității prelucrărilor? (aduc aminte cazul cînd s-a defectat serverul folosit pentru managementul permiselor auto)

Din punctul meu de vedere (am ridicat această problemă și pe o postare pe linkedin) cînd discutăm de riscuri legate de viața privată va trebui să avem în vedere cît de rezonabil este să individualizăm persoana vizată (Gigel Popescu este o dată cu caracter personal, poate fi identificat, dar încă nu știm cu exactitate cine este, chiar dacă aș ști „populația„ de Gigel Popescu. Altfel spus, în afară de nume și prenume mai am nevoie de alte informații, cum ar fi data nașterii/adresa/numărul de telefon).

În acel scenariu de risc pe care trebuie să îl închipuim sînt implicați oameni, echiipamente, date/documente, terți.