ACCES PREMIUM
De ce premium?
CJUE clarifică responsabilitatea operatorilor de date în caz de atacuri cibernetice - posibilitatea de a cere despăgubiri pentru simpla temere față de posibile consecințe negative ale atacului
Curtea de Justiție a Uniunii Europene (CJUE) a pronunțat recent o hotărâre importantă referitoare la responsabilitatea operatorilor de date cu caracter personal atunci când datele sunt compromise în urma unui atac cibernetic. Decizia CJUE oferă clarificări cu privire la interpretarea GDPR și la modul în care operatorii de date trebuie să gestioneze riscurile de securitate. Una dintre sublinierile importante ale deciziei vizează însă temerea persoanei ale cărei date au fost compromise cu privire la posiblitatea producerii unui prejudiciu din cauza atacului.
Articolul continuă mai jos
Conform hotărârii în cauza
C‑340/21, o breșă de securitate produsă de un terț, adică o persoană sau entitate care nu este sub controlul operatorului, nu implică automat că măsurile de securitate luate de operator au fost inadecvate. Operatorii nu sunt prezumați responsabili exclusiv pe baza faptului că datele au fost compromise. În schimb, este necesar ca instanțele să evalueze în mod concret dacă operatorul și-a îndeplinit obligațiile de protecție a datelor în conformitate cu GDPR.
Curtea a subliniat că operatorii au o anumită marjă de apreciere în stabilirea măsurilor tehnice și organizatorice corespunzătoare pentru a proteja datele, în funcție de riscurile specifice asociate prelucrării acestora. Totuși, instanțele naționale sunt îndreptățite să verifice și să evalueze dacă măsurile adoptate de operatori sunt adecvate în contextul dat.
În plus, hotărârea menționează că sarcina de a demonstra că măsurile de securitate au fost adecvate revine operatorului, în contextul unei acțiuni în despăgubire. Aceasta înseamnă că operatorii trebuie să fie pregătiți să prezinte dovezi că au luat toate măsurile necesare pentru a preveni încălcările de protecție a datelor.
Curtea a clarificat și că operatorii nu pot fi exonerați de răspundere doar pentru că atacul cibernetic a fost realizat de o parte terță. Ei trebuie să demonstreze că nu sunt responsabili pentru evenimentul care a cauzat prejudiciul. Prin urmare, dacă operatorul nu a respectat cerințele GDPR și aceasta a contribuit la breșa de securitate, el poate fi ținut răspunzător pentru prejudiciile cauzate.
Referitor la prejudiciul moral care poate rezulta dintr-o încălcare a GDPR, Curtea a stabilit că temerile unei persoane cu privire la utilizarea abuzivă a datelor sale personale în viitor pot constitui un prejudiciu moral în sine. Acest lucru înseamnă că o persoană poate cere despăgubiri pentru simpla temere față de posibile consecințe negative, chiar dacă o utilizare abuzivă a datelor nu a avut loc încă.
Această hotărâre relevă importanța unei evaluări atente și continue a riscurilor în contextul GDPR și subliniază nevoia operatorilor de a avea măsuri solide de securitate a datelor, precum și de a-și asuma responsabilitatea atunci când aceste măsuri eșuează.
--
Acest material este destinat exclusiv informării dumneavoastră personale, conform
termenilor și condițiilor de furnizare a serviciilor avocatnet.ro. Dacă reprezentaţi o instituţie media sau o companie şi doriţi un acord pentru republicarea articolelor noastre, va rugăm să ne trimiteţi o solicitare pe adresa
office@avocatnet.ro.