Incidentele de securitate: Persoanele prejudiciate pot să ceară despăgubiri firmelor care prelucrează date

"Șansele" unui incident de securitate există și sunt cu atât mai ridicate cu cât măsurile tehnice și organizatorice luate în companie pentru a preveni astfel de incidente sunt mai firave sau chiar inexistente. Angajații lipsiți de training pe zona de prelucrare a datelor personale și care nu conștientizează importanța protecției datelor sunt o verigă slabă (avem amenzi date de Autoritatea de Protecția Datelor de la noi pentru fapte ale angajaților care, firește, atrag răspunderea companiei pe protecția datelor).

Dar nu numai sancțiunile care vin de la Autoritate în cazul unui astfel de incident (eventual, neraportat la timp sau al cărui management a fost totalmente defectuos) sunt riscul principal: dacă "s-au scurs" date personale importante ale persoanelor (să ne gândim la date bancare, de sănătate, ce privesc viața intimă sau privată a persoanelor, care le-ar putea aduce prejudicii de imagine ș.a.m.d.) și dacă ele au fost prejudiciate ca urmare a incidentului, atunci vorbim deja de riscul plății unor despăgubiri către aceste persoane.

Util: Ce sancțiuni și măsuri poate aplica ANSPDCP când vine în control la o firmă ce prelucrează date personale

Într-un recent material dedicat, specialiștii Deloitte (Olanda) atrag atenția asupra acestor despăgubiri la care cei prejudiciați sunt cât se poate de îndreptățiți. Și atât operatorul de date cât și persoana împuternicită se pot trezi cu pretenții de despăgubire de la persoanele afectate de incident. Ceea ce subliniază specialiștii e că, indiferent de înțelegerea dintre părți, cel afectat are dreptul să dea în judecată pe oricare -- că e operator, că e împuternicit -- și să obțină reparațiile de la oricare dintre ei.

"Pentru persoanele fizice poate fi greu de determinat gradul de responsabilitate al fiecărei părți implicate. Prin urmare, ei au dreptul să ceară întreaga despăgubire de la oricare dintre părți. Iar aceasta va fi ținută să-i plătească întreaga sumă, indiferent că e operator sau persoană împuternicită. Desigur, ea are apoi posibilitatea regresului contra celeilalte părți/celorlalte părți. În această privință, e important ca înțelegerea dintre operator și persoana împuternicită să stabilească clar care sunt obligațiile fiecăruia într-o atare situație. Este esențială includerea unei clauze de compensație în contract pentru situațiile în care o parte ajunge să fie obligată să plătească despăgubiri unei persoane din cauza unui incident cauzat din vina celeilalte părți", spun cei de la Deloitte (traducere).

Util: Ești operator de date sau împuternicit când vine vorba de prelucrarea datelor personale?

Despăgubirile pot să fie atât pentru daune materiale, cât și morale (daune de imagine și chiar un disconfort psihologic cauzat de pierderea datelor sale personale). Chiar dacă practica instanțelor din România nu ne oferă prea multe exemple de daune morale colosale câștigate în instanță, costul unui proces este, în fapt, mai ridicat decât ceea ce reprezintă daunele încuviințate de instanță.

Când compania ta e afectată de un incident de securitate care implică un număr mare de persoane (clienții tăi și angajații), fiecare pas pe care îl faci va fi atent urmărit, atrag atenția cei de la Deloitte. Cum aproape toată lumea a aflat astăzi ce sunt datele personale și cum stă treaba cu protecția acestora și ce pot pretinde companiilor, neglijența în urma unui incident de securitate poate fi costisitoare. Mai mult, sunt de părere specialiștii Deloitte, compania trebuie să fie atentă la nevoile imediate ale celor vizați de incidentul de securitate și să fie proactivă.

"De exemplu, dacă există anumite lucruri pe care cei afectați le-ar putea face, imediat după incident, pentru a reduce riscurile implicate de acesta pentru datele lor, atunci anunță-le din timp. În comunicarea către ei, fii deschis cu privire la explicarea riscurilor implicate și oferă-le datele de contact pentru a putea lua legătura cu tine dacă au îngrijorări legate de incidentul de securitate.

Poți să le oferi o degrevare de costurile pricinuite de incidentul de securitate? Le poți oferi servicii specifice industriei tale care să le ofere asistență suplimentară? Ai putea să te gândești inclusiv la reduceri pentru clienții tăi. Dă-ți seama care sunt nevoile persoanelor afectate și oferă-le ajutorul de care au nevoie. În felul acesta, îți clădești încrederea lor în tine - chiar și în ipoteza unui incident de securitate", conchide Deloitte.

Util: GDPR, aplicat practic - Exemple utile pentru înțelegerea relației dintre operator și împuternicit