Operatorul este considerat în culpă în măsura în care nu implementează măsuri adecvate de prevenție!
Instanțele judecătorești au stabilit că operatorul este în culpă ori de câte ori nu poate dovedi că a luat măsuri organizatorice și tehnice suficiente pentru a preveni încălcarea securității datelor cu caracter personal.
Ce înseamnă o breșă de securitate?
O breșă de securitate reprezintă orice încălcare a securității care conduce, fie accidental, fie intenționat, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate în alt mod, precum și la accesul neautorizat la aceste date.
CE AU STABILIT INSTANȚELE DE JUDECATĂ ÎN CAZUL ÎN CARE SE CONSTATĂ O ÎNCĂLCARE A SECURITĂȚII DATELOR CU CARACTER PERSONAL?
Referitor la acest aspect, în baza Deciziei nr. 20/2022 pronunțate de Curtea de Apel București, s-au reținut următoarele: „în situația în care se produce un risc pentru drepturile și libertățile persoanelor fizice sau atunci când o persoană fizică acționează sub autoritatea operatorului și are acces la date cu caracter personal, prelucrându-le fără consimțământul operatorului, se prezumă relativ că operatorul nu a implementat măsuri organizatorice și tehnice adecvate. Operatorului îi revine sarcina de a demonstra că, în realitate, a aplicat astfel de măsuri. În acest caz, deși apelanta-reclamanta a susținut existența acestor măsuri, nu a depus la dosar niciun document doveditor.”
Această hotărâre a Curții de Apel București constituie o decizie-pilot în domeniul protecției datelor cu caracter personal, clarificând diverse aspecte privind răspunderea pentru breșele de securitate.
Ce măsuri putem lua pentru prevenirea breșelor de securitate?
În linii mari, următoarele acțiuni ar trebui să fie considerate de către companii pentru a preveni încălcarea securității datelor cu caracter personal:
– Organizarea de traininguri periodice pentru instruirea corespunzătoare a angajaților;
– Limitarea accesului angajaților doar la informațiile necesare îndeplinirii atribuțiilor de serviciu;
– Criptarea datelor personale stocate electronic care ar putea provoca daune în cazul pierderii sau furtului;
– Eliminarea în siguranță a tuturor datelor cu caracter personal înainte de casarea computerele vechi;
– Implementarea unui sistem de operare configurat pentru a primi actualizări automate;
– Protejarea computerelor prin actualizări de securitate pentru a acoperi vulnerabilitățile;
– Adoptarea unor documente interne, cum ar fi Planul de reacție la incidentele de securitate, planul de continuitate a activității, manualul de gestiune a breșelor de securitate, politici și proceduri (ex. politica de gestionare a parolelor, politica de securitate IT etc);
– Criptarea serverelor.
Articol redactat de avocat Hedeșiu Ioana Arina
Drumul meu profesional nu a fost conturat de o chemare către avocatură, ci de un profund sentiment de justiție. Aceasta este realitatea care a stat la baza deciziei mele de a deveni avocat.