avocatnet.ro 
Într-un articol apărut pe site-ul firmei de avocatură Boyes Turner, este prezentat un caz -- apărut în Marea Britanie -- în care un angajat al unei companii a încălcat intenționat anumite prevederi din legislația privind protecția datelor (ale cărei principii există și în GDPR).
Practic, acesta a copiat, pe un stick USB, date privind angajații companiei, publicându-le ulterior pe internet. De asemenea, s-a folosit de identitatea unui alt angajat pentru a nu fi depistat.
Este clar că o astfel de faptă încalcă GDPR și că angajatul ar putea răspunde, în civil (și chiar penal), pentru o astfel de încălcare, față de persoanele ale căror date au fost compromise.
Însă apare întrebarea dacă ar putea fi trasă compania la răspundere, întrucât șansele de obținere a unor despăgubiri reale, care să poată fi și plătite, există doar dacă persoanele afectate se îndreaptă împotriva companiei.
În cazul respectiv, Curtea de Apel a Angliei și Țării Galilor a reținut că răspunzătoare pentru această faptă este (și) compania în cauză. Bineînțeles, trebuia demonstrată o conexiune relevantă între angajarea celui care a divulgat datele (și atribuțiile sale de serviciu) și fapta ilegală în sine.
Curtea a reținut că acea conexiune s-a creat la momentul transferului datelor pe stick-ul USB, necontând dacă celelalte fapte au fost comise în afara orelor de serviciu.
De asemenea, toate faptele trebuie văzute ca făcând parte dintr-o secvență care este circumscrisă unui plan, astfel încât conexiunea cu fapta exista, prin caracterul general al faptelor, luate împreună, nu separat.
În plus, în prezentarea hotărârii instanței față de care s-a făcut apel, o altă firmă de avocatură, Gilson Gray, a menționat, într-un articol, că, la baza răspunderii companiei se află și faptul că aceasta i-a dat acces, în cunoștință de cauză, angajatului la datele respective. Astfel, din momentul acela, compania și-a asumat răspunderea pentru acțiunile angajatului.
Un alt lucru care merită menționat, chiar dacă nu reiese direct din hotărârile menționate anterior, este faptul că, într-un astfel de caz, există un anumit grad de risc în ceea ce privește securitatea datelor personale.
Riscul s-a manifestat prin acțiunile unui angajat față de care compania nu avea și nu putea să aibă control absolut.
Totuși, din cauză că riscul trebuie suportat de cineva, se poate argumenta că instanțele au considerat că acea companie, în desfășurarea activității, ar trebui să-și asume riscul unor încălcări ale legislației care protejează datele personale.
Atenție! Chiar dacă la baza cauzei a stat un act normativ britanic privind protecția datelor personale și chiar dacă hotărârea instanțelor britanice nu are efecte obligatorii în România, problema este una relevantă. Pe de o parte, principiile care stau la baza actului normativ britanic sunt asemănătoare cu cele prevăzute în GDPR, care are efecte obligatorii în România. Pe de altă parte, hotărârea instanței britanice poate avea putere interpretativă (chiar dacă nu obligatorie formal).
bog24