CJUE: Operatorii pot fi amendați pentru încălcarea GDPR doar dacă sunt vinovați

Ieri, 5 decembrie 2023, în cauza C-683/21, Curtea de Justiție a Uniunii (CJUE) a explicat că prevederile GDPR cu privire la aplicarea amenzilor administrative trebuie interpretate în sensul în care operatorii pot fi sancționați doar dacă încălcările Regulamentului au fost comise intenționat sau din neglijență. Conform CJUE, operatorii nu pot fi sancționați pentru situațiile în care nu pot fi considerați culpabili pentru încălcarea GDPR.

Pentru a înțelege pe deplin problematica „culpei” în aplicarea amenzilor GDPR, este necesară analiza conceptului de „vinovăție” conform art. 16 din Codul Civil. Codul Civil tratează conceptul de vinovăție printr-o abordare detaliată care se concentrează pe răspunderea personală, intenția și culpa. Conform art. 16 din Codul Civil, răspunderea personală este limitată la acțiunile intenționate sau neglijente ale unei persoane, cu excepția cazului în care există prevederi legale care specifică altfel. În ceea ce privește intenția, o faptă este considerată intenționată atunci când autorul fie își propune să realizeze un anumit rezultat prin acțiunea sa și anticipează acest rezultat, fie acceptă posibilitatea producerii acestui rezultat, chiar dacă nu îl urmărește în mod direct. În privința culpei, există două forme principale: culpa cu prevedere – care apare atunci când autorul anticipează rezultatul faptei sale, dar nu îl acceptă, crezând în mod eronat că nu se va produce și culpa fără prevedere – când autorul nu anticipează rezultatul, deși ar fi trebuit să o facă. Mai mult, există conceptul de culpă gravă, care este aplicat în situațiile în care autorul acționează cu o neglijență sau imprudență atât de mare, încât nici cea mai nepricepută persoană nu ar manifesta-o în gestionarea propriilor interese.

 

Te-ar putea interesa și: 

• Ce este GDPR? Regulament GDPR explicat în 5 minute

• Supravegherea video la locul de muncă. În ce condiții poate fi realizată?

• Riscurile inteligenței artificiale. Care sunt acestea și cum le prevenim? 

 

CJUE nu oferă exemple de situații în care operatorul nu poate fi considerat a fi culpabil pentru încălcarea GDPR. Cu toate acestea, în acest articol, vom trece în revistă câteva exemple de situații în care operatorii nu pot fi amendați deoarece încălcarea GDPR a fost săvârșită fără culpă.

1. Forța majoră

Dacă încălcarea GDPR este rezultatul unor evenimente dincolo de controlul rezonabil al operatorului, cum ar fi dezastrele naturale, atacuri teroriste sau alte situații de forță majoră.

2. Respectarea legislației

Dacă operatorul este obligat să prelucreze datele într-un anumit mod care rezultă în încălcarea GDPR datorită unei alte obligații impuse de legislație.

Implementează GDPR și evită amenzile! 

 

3. Cauze externe imposibil de anticipat și prevenit

Dacă operatorul a implementat măsuri de securitate adecvate și conform standardelor GDPR, dar datele sunt totuși compromise din cauze externe care nu puteau fi rezonabil anticipate sau prevenite. De exemplu, există anumite atacuri cibernetice (e.g., Zero Day) care folosesc vulnerabilități necunoscute până în momentul atacului. Deoarece vulnerabilitățile nu sunt cunoscute înainte, este extrem de dificil pentru operatori să le prevină sau să se apere împotriva lor.

4. Probleme tehnice dificil de anticipat și prevenit

Dacă o încălcare a securității datelor apare din cauza unor probleme tehnice care erau dincolo de cunoștințele sau tehnologia disponibilă la momentul implementării sistemului, iar operatorul a acționat în conformitate cu standardele tehnologice actuale.

5. Comportamentul persoanei vizate

De exemplu, într-o situație în care persoana vizată a furnizat o adresă de e-mail eronată, operatorul nu poate fi considerat vinovat dacă a trimis datele cu caracter personal către acea adresă de e-mail.  O altă situație este aceea când persoana vizată a neglijat să își securizeze conturile prin folosirea unor parole slabe sau prin partajarea neglijentă a parolelor, permițând astfel accesul neautorizat la datele sale personale.

 6. Erori ale Angajaților în Ciuda Instruirii Adecvate

Dacă un angajat al operatorului comite o greșeală care duce la încălcarea GDPR, în ciuda faptului că a primit instruirea adecvată și instrucțiuni clare privind protecția datelor.

7. Încălcări ale Operatorului Asociat/Persoanei Împuternicite

Măsuri de Securitate Insuficiente ale Operatorului Asociat/Persoanei Împuternicite: Dacă operatorul asociat sau persoana împuternicită (o entitate terță angajată pentru a prelucra date în numele operatorului) nu a implementat măsuri adecvate de securitate și acest lucru duce la o încălcare a datelor, operatorul nu va răspunde dacă și-a respectat toate obligațiile prevăzute de GDPR (e.g, auditarea persoanei împuternicite, încheierea unor acorduri clare, furnizarea unor instrucțiuni precise cu privire la prelucrarea datelor).

Neglijență sau Erori ale Persoanei Împuternicite: Dacă persoana împuternicită comite o eroare sau acționează în mod neglijent, ducând la o încălcare a securității datelor, în ciuda faptului că operatorul a efectuat o evaluare temeinică a capacităților acestuia de a proteja datele, a stabilit obligații contractuale stricte referitoare la protecția datelor și a respectat toate obligațiilor prevăzute de GDPR cu privire la gestionarea adecvată a relației cu persoana împuternicită.