Prin decizia nr. 20/2022, definitivă, Curtea de Apel București a hotărât că „în situația în care se produce un risc pentru drepturile și libertățile persoanelor fizice sau atunci când o persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal le prelucrează fără cererea operatorului (ipoteza din speță), se naște prezumția relativă că operatorul nu a luat masuri organizatorice si tehnice adecvate. Va reveni deci operatorului sarcina sa demonstreze ca, în realitate, a luat măsuri organizatorice și tehnice adecvate. In speță însă, deși a susținut existenta acestor masuri, apelanta-reclamanta nu a depus la dosar niciun înscris doveditor”.
Ce s-a întâmplat?
La originea cauzei se află o amendă de 150.000 EURO aplicată Băncii Raiffeisen SA în cursul anului 2019 de către Autoritatea Națională a Supravegherii Prelucrării Datelor cu Caracter Personal (ANSPDCP) pentru o breșă de securitate care a afectat 1177 persoane fizice. Raiffeisen a contestat amenda în instanță și a obținut reducerea amenzii în fața instanței de fond (Tribunalul București). Ulterior, a declarat apel susținând, printre altele, că nu poate fi considerată răspunzătoare pentru incidentul de securitate deoarece la nivelul Băncii existau implementate măsuri tehnice și organizatorice, având ca scop asigurarea unui nivel adecvat de securitate corespunzător riscului prelucrărilor de date cu caracter personal efectuate.
Te-ar putea interesa și:
Hotărârea Curții de Apel București
Curtea de Apel București a respins apelul Băncii Raiffeisen. Instanța a considerat că, odată ce incidentul de securitate s-a produs, banca este prezumată relativ că nu a luat măsuri tehnice și organizatorice adecvate. Pentru a putea fi exonerat de răspundere, operatorul trebuie să demonstreze, prin furnizarea unor înscrisuri doveditoare, că au fost implementate măsuri tehnice și organizatorice adecvate pentru prevenirea unor breșe de securitate. Conform Curții, nici în fața ANSPDCP și nici în fața instanței, nu sunt suficiente afirmațiile cu privire la existența acestor măsuri, ci aceste măsuri trebuie dovedite prin furnizarea unor înscrisuri doveditoare.
Implementează GDPR și evită amenzile!
Ce reținem din această hotărâre?
Această hotărâre a Curții de Apel București este o hotărâre-pilot în materia protecției datelor cu caracter personal care lămurește mai multe aspecte privind răspundere pentru breșe de securitate. În primul rând, din această decizie de trage concluzia că obligația de a asigura securitatea și confidențialitatea datelor cu caracter personal nu este o obligație de rezultat, ci o obligație de mijloace. Cu alte cuvinte, operatorul trebuie să depună toate eforturile pentru a proteja datele cu caracter personal, însă, în situația în care breșa s-a produs în ciuda existenței diligenței necesare, operatorul nu va putea fi tras la răspundere. În al doilea rând, această decizia clarifică rolul înscrisurilor doveditoare pentru conformitatea cu GDPR (proceduri, politici, etc) care sunt mijloace de probă pentru a demonstra conformitatea cu GDPR. Astfel, în situația producerii unei breșe de securitate, dacă operatorul a implementat măsuri adecvate, tehnice și organizatorice, pentru a preveni respectiva breșă de securitate și poate furniza înscrisuri doveditoare privind implementarea acestor măsuri (de exemplu, politici de securitate, management al accesului, politici privind parolele, etc), operatorul nu va putea fi tras de răspundere contravențională conform GDPR deoarece nu ar fi culpabil. În final, această decizie ne relevă și cât de importantă este apărarea pe care și-o construiește operatorul atât pe parcursul investigației, cât și pe parcursul procesului, Curtea de Apel București afirmând că:
„Apărarea apelantei-reclamantei, in sensul ca masurile nu i-au fost solicitate de către Autoritate, este nerelevanta, nimic neîmpiedicând reclamanta sa depună ea însăși aceste înscrisuri in dosarul administrativ al investigației desfășurate de parata si, evident, cu atât mai mult, nimic neîmpiedicând-o pe reclamanta sa depună aceste înscrisuri in dosarul instanței, mai ales in condițiile in care ea însăși si-a întemeiat apărarea pe existenta lor”.
->> Pentru șabloane DPIA editabile și alte documente și proceduri GDPR, îți recomandăm KIT-ul nostru de implementare GDPR.
->> Vrei să afli mai multe despre implementarea GDPR? Atunci înscrie-te la webinar!
->> Dorești să externalizezi implementarea GDPR către un profesionist? Atunci consultă oferta noastră de servicii de implementare GDPR & DPO!