CJUE: Operatorii de date pot fi trași la răspundere pentru prejudiciul moral cauzat de temerea privind consecințele unui atac cibernetic

December 15, 2023
admin
CYBER SECURITY
0

Curtea de Justiție a Uniunii Europene (CJUE) a emis recent o decizie în ceea ce privește responsabilitatea operatorilor de date în cazul în care datele cu caracter personal sunt compromise în urma unui atac cibernetic. Această hotărâre oferă o interpretare detaliată a GDPR și stabilește clar modul în care trebuie evaluată răspunderea operatorilor în astfel de situații.

Una dintre concluziile-cheie ale deciziei este că temerea justificată a unei persoane privind posibile consecințe negative rezultate din compromiterea datelor sale personale poate constitui, în sine, un prejudiciu moral, suficient pentru a justifica solicitarea de despăgubiri.

În cauza C‑340/21, Curtea a precizat că simplul fapt că o breșă de securitate a fost cauzată de un terț nu presupune automat că operatorul este vinovat sau că măsurile sale de protecție au fost inadecvate. În schimb, instanțele trebuie să analizeze în mod concret dacă operatorul și-a respectat obligațiile legale privind protecția datelor.

CJUE subliniază că operatorii dispun de o anumită libertate în alegerea măsurilor tehnice și organizatorice, dar acestea trebuie întotdeauna adaptate riscurilor asociate prelucrării datelor. Cu toate acestea, sarcina probei revine operatorului – acesta trebuie să demonstreze că măsurile de securitate implementate au fost adecvate și suficiente pentru a preveni incidentul.

De asemenea, instanțele naționale au competența de a evalua dacă soluțiile de securitate alese sunt conforme cu exigențele impuse de GDPR, iar simpla implicare a unui atacator extern nu exonerează automat operatorul de responsabilitate.

În ceea ce privește prejudiciile morale, hotărârea confirmă că nu este necesar un prejudiciu material concret – temerile rezonabile privind eventuale abuzuri viitoare ale datelor personale pot fi suficiente pentru a solicita despăgubiri, chiar dacă încă nu s-a produs nicio utilizare abuzivă a acestora.

Această decizie reiterează responsabilitatea majoră pe care o au operatorii de date, nu doar în ceea ce privește implementarea de măsuri de protecție, ci și în capacitatea de a demonstra eficiența acestor măsuri în cazul unor incidente. De asemenea, subliniază importanța unei abordări proactive și documentate a riscurilor în domeniul securității datelor cu caracter personal.