Coordonator: Av. Marius-Cătălin Preduţ

Prima pagină » Articole juridice » GDPR - Protectia Datelor cu Caracter Personal » Raspunderea operatorului de date cu caracter personal in cazul unui incident de securitate

Raspunderea operatorului de date cu caracter personal in cazul unui incident de securitate

  Publicat: 19 May 2020       429 citiri       Sursa: avocat Irina Maria Diculescu | MCP Cabinet avocati        Secţiunea: GDPR - Protectia Datelor cu Caracter Personal  


Reprezinta anularea, suprimarea unei legi sau a unei dispozitii legale si care are ca rezultat scoaterea din vigoare, in total sau in parte, a unui act normativ printr-un alt act normativ de aceeasi valoare juridica sau de o valoare juridica superioara.
Orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”);
Omul considerat in mod individual, ca membru al societatii, avand calitatea de subiect de drept.
Potrivit Regulamentului (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul General privind Protectia Datelor), operatorul de date cu caracter personal reprezinta persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.

Ansamblu unitar al regulilor de conduita obligatorii, susceptibile de a fi aduse la indeplinire prin puterea de stat.
Omul considerat in mod individual, ca membru al societatii, avand calitatea de subiect de drept.
inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care,
Orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”);
Orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”);
inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care,
Orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”);
Mijloc procesual care da posibilitatea de a se invoca unele stari de fapt si situatii (lipsa unui martor, a unor acte) pe care instanta trebuie sa le solutioneze imediat.
Rezultat al masurilor de protectie a muncii si al acelor masuri care urmaresc asigurarea confortului fizic, psihic si social al omului in procesul muncii.
Mijloc procesual care da posibilitatea de a se invoca unele stari de fapt si situatii (lipsa unui martor, a unor acte) pe care instanta trebuie sa le solutioneze imediat.
Orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”);
Orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”);
Mijloc procesual care da posibilitatea de a se invoca unele stari de fapt si situatii (lipsa unui martor, a unor acte) pe care instanta trebuie sa le solutioneze imediat.
Mijloc procesual care da posibilitatea de a se invoca unele stari de fapt si situatii (lipsa unui martor, a unor acte) pe care instanta trebuie sa le solutioneze imediat.
Infractiune care face parte din grupul infractiunilor contra patrimoniului,
Orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”);
Infractiune care face parte din grupul infractiunilor contra patrimoniului,
inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care,
Este acel raport juridic in continutul caruia intra dreptul subiectului activ, denumit creditor, de a cere subiectului pasiv, denumit debitor, sa dea, sa faca sau sa nu faca ceva, sub sanctiunea constrangerii de stat in cazul neexecutarii de buna voie.
Modalitate a actului juridic, obligatie, care consta intr-un eveniment viitor si sigur, care suspenda, pana la indeplinirea lui, punerea in executare a actului sau exigibilitatea obligatiei, termen suspensiv,
Modalitate a actului juridic, obligatie, care consta intr-un eveniment viitor si sigur, care suspenda, pana la indeplinirea lui, punerea in executare a actului sau exigibilitatea obligatiei, termen suspensiv,
Orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”);
inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care,
Mijloc procesual care da posibilitatea de a se invoca unele stari de fapt si situatii (lipsa unui martor, a unor acte) pe care instanta trebuie sa le solutioneze imediat.
Rezultat al masurilor de protectie a muncii si al acelor masuri care urmaresc asigurarea confortului fizic, psihic si social al omului in procesul muncii.
inseamna o incalcare a securitatii care duce, in mod accidental sau ilegal,
Este acea imprejurare ce intervine in desfasurarea procesului civil, de natura sa aduca modificari cu privire la cadrul litigiului sau cu privire la instanta sesizata, precum:
Orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”);
inseamna persoana fizica sau juridica
Orice persoana fizica sau juridica a carei activitate profesionala consta in a pune la dispozitie comerciantului una sau mai multe tehnici de comunicatie la distanta.
inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care,
Acord liber consimtit intre doua sau mai multe persoane fizice sau juridice, in scopul nasterii, modificarii sau stingerii unor raporturi juridice, rezultat al unor negocieri.
Este acel raport juridic in continutul caruia intra dreptul subiectului activ, denumit creditor, de a cere subiectului pasiv, denumit debitor, sa dea, sa faca sau sa nu faca ceva, sub sanctiunea constrangerii de stat in cazul neexecutarii de buna voie.
Este acel raport juridic in continutul caruia intra dreptul subiectului activ, denumit creditor, de a cere subiectului pasiv, denumit debitor, sa dea, sa faca sau sa nu faca ceva, sub sanctiunea constrangerii de stat in cazul neexecutarii de buna voie.
Orice persoana fizica sau juridica a carei activitate profesionala consta in a pune la dispozitie comerciantului una sau mai multe tehnici de comunicatie la distanta.
inseamna persoana fizica sau juridica
inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care,
inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care,
inseamna persoana fizica sau juridica
inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care,
Ca si componenta a structurii organizatorice, totalitate a posturilor care au aceleasi caracteristici principale referitoare la obiective, sarcini, autoritate si responsabilitate.
Orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”);
1. Din punct de vedere filozofic, acel fenomen care produce, genereaza efectul. Fenomenul care determina nasterea altui fenomen.
Modalitate a actului juridic, obligatie, care consta intr-un eveniment viitor si sigur, care suspenda, pana la indeplinirea lui, punerea in executare a actului sau exigibilitatea obligatiei, termen suspensiv,
Hartie de valoare care reprezinta o cota fixa din capitalul unei societati pe actiuni.
Cauza de impiedicare a punerii in miscare sau exercitarea actiunii penale,
inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care,
inseamna persoana fizica sau juridica
inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care,
Modalitate a actului juridic, obligatie, care consta intr-un eveniment viitor si sigur, care suspenda, pana la indeplinirea lui, punerea in executare a actului sau exigibilitatea obligatiei, termen suspensiv,
Orice forma de comunicare destinata sa promoveze, direct sau indirect, produsele, serviciile, imaginea, numele ori denumirea, firma sau emblema unui comerciant ori membru al unei profesii liberale;
Organ de stat insarcinat cu solutionarea litigiilor dintre persoane fizice sau dintre acestea si persoanele juricide.
Competenta profesionala reprezinta capacitatea de a realiza activitatile cerute la locul de munca la nivelul calitativ specificat in standardul ocupational.
Mijloc procesual care da posibilitatea de a se invoca unele stari de fapt si situatii (lipsa unui martor, a unor acte) pe care instanta trebuie sa le solutioneze imediat.
Mijloc procesual care da posibilitatea de a se invoca unele stari de fapt si situatii (lipsa unui martor, a unor acte) pe care instanta trebuie sa le solutioneze imediat.
Sunt participanti in procesul penal, alaturi de parti si organele judiciare. Persoanele sunt martorii, experti, interpretii, traducatorii, substituitii procesuali etc.
REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN SI AL CONSILIULUI din 27 aprilie 2016
A fost promulgat la 11.09.1865
Orice munca sau serviciu impus unei persoane sub amenintare ori pentru care persoana nu si-a exprimat consimtamantul in mod liber.

Regulamentul General privind Protectia Datelor defineste si notiunea de ``persoana imputernicita de operator`` drept persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului.


Calitatea de operator de date cu caracter personal implica, potrivit Regulamentului, o serie de obligatii: desemnarea unui responsabil cu protectia datelor in conditiile art. 37-39 din Regulament; cartografierea prelucrarilor de date cu caracter personal (art. 30 din Regulament); asigurarea securitatii datelor (art. 25 si art. 32 din Regulament); notificarea incalcarilor de securitate in conditiile art. 33 din Regulament; evaluarea impactului asupra protectiei datelor si respectarea drepturilor persoanelor fizice (art. 35 din Regulament).


Astfel, Regulamentul reglementeaza in mod expres atitudinea pe care un operator de date cu caracter personal trebuie sa o adopte in situatia unui incident de securitate .


Preliminar, se impune a se oferi o serie de lamuriri cu privire la notiunea de incident de securitate, in ceea ce priveste prelucrarea de date cu caracter personal. Aceasta nu trebuie confundata cu aceeasi notiune utilizata in contextul standardelor internationale de securitate a informatiei (ISO 27001).


Standardul international in domeniul securitatii ISO 27001 nu acopera inclusiv securitatea la care se refera articolul 32 din Regulament. Acest standard are legatura cu toate sistemele care contin informatii, indiferent ca acestea sunt date cu caracter personal sau nu, in timp ce in cazul ``securitatii`` la care se refera GDPR, in centrul problemei se gaseste dorinta de a proteja datele cu caracter personal ale unei persoane fizice, pentru a-i proteja in final drepturile acesteia[1].


Astfel, notiunea de incident de securitate in acceptiunea ISO 27001 este una mult mai larga, raportul dintre aceasta si notiunea de incident de securitate in contextul prelucrarii datelor cu caracter personal fiind una de la gen la specie.


Regulamentul General privind Protectia Datelor cu caracter personal defineste incidentul de securitate ca fiind acea situatie apta de a conduce la distrugerea, pierderea, alterarea, divulgarea neautorizata sau accesul in mod nelegal sau accidental, la datele cu caracter personal transmise, stocate sau procesate in orice alt mod.


Se pot identifica trei tipuri de incidente de securitate: incidente de confidentialitate, care presupun accesul neautorizat sau accidental, ori divulgarea neautorizata sau accidentala de date cu caracter personal; incidente de disponibilitate, in cadrul carora, in mod neautorizat sau accidental, se poate ajunge la distrugerea de date cu caracter personal ori la distrugerea acestora, si incidente de integritate, care presupun alterarea accidentala sau neautorizata a datelor cu caracter personal.


Dupa identificarea incidentului de securitate si luarea la cunostinta de catre operator despre existenta acestuia, Regulamentul stabileste in mod expres obligatia operatorului de a notifica atat persoana sau persoanele vizate, cat si autoritatea de supraveghere competenta, fara intarzieri nejustificate si, daca este posibil, in termen de cel mult 72 de ore de la data la care a luat cunostinta de aceasta, cu exceptia cazului in care este putin probabil sa genereze un risc pentru drepturile si libertatile persoanelor fizice. In cazul in care notificarea catre autoritatea de supraveghere nu are loc in termen de 72 de ore, aceasta este insotita de o explicatie motivata pentru intarziere.


Aceasta notificare trebuie sa cuprinda cel putin urmatoarele informatii:


Cabinet avocat Bucuresti


a) descrierea caracterului incalcarii securitatii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile si numarul aproximativ al persoanelor vizate in cauza, precum si categoriile si numarul aproximativ al inregistrarilor de date cu caracter personal in cauza;


b) numele si datele de contact ale responsabilului cu protectia datelor sau un alt punct de contact de unde se pot obtine mai multe informatii;


c) descrierea consecintelor probabile ale incalcarii securitatii datelor cu caracter personal;


d) descrierea masurilor luate sau propuse spre a fi luate de operator pentru a remedia problema incalcarii securitatii datelor cu caracter personal, inclusiv, dupa caz, masurile pentru atenuarea eventualelor sale efecte negative.


Mai mult, pentru a asigura protectia datelor cu caracter personal, dincolo de elaborarea si implementarea de proceduri interne privind respectarea dispozitiilor legale in ceea ce priveste prelucrarea datelor cu caracter personal, este recomandat ca operatorii sa dezvolte si un plan de reactie in cazul unui incident de securitate .


Acesta presupune o serie de actiuni care sa permita o reactie prompta la incalcarea securitatii datelor cu caracter personal. Pot fi incluse in acest plan atat masuri tehnice, precum si o serie de pasi ce urmeaza a fi pusi in aplicare de catre personalul operatorului, pentru eficientizarea reactiei la incident .


Operatorul de date cu caracter personal raspunde in fata Autoritatii Nationale de Supraveghere, inclusiv pentru incidentele cauzate prin actiunile sau inactiunile angajatilor, colaboratorilor, partenerilor de afaceri sau altor terti carora le permite accesul la date, in situatia in care nu s-au implementat masuri tehnico-organizatorice adecvate (masuri de securitate, acorduri de confidentialitate, politici de securitate etc.).


Cu toate acestea, un rol important il are si persoana imputernicita de operator .


Modalitatea de prelucrare a datelor cu caracter personal de catre o persoana imputernicita de un operator este reglementata printr-un contract sau alt act juridic. Prin acest contract, se stabilesc atat obligatia persoanei imputernicite de a prelucra datele cu caracter personal numai in baza unor instructiuni documentate din partea operatorului, cat si obligatia de a ajuta operatorul sa asigure respectarea obligatiilor referitoare la securitatea datelor cu caracter personal, tinand seama de caracterul prelucrarii si informatiile aflate la dispozitia persoanei imputernicite de operator .


De asemenea, prin art. 33, Regulamentul stabileste in mod expres faptul ca persoana imputernicita de operator il instiinteaza pe acesta, fara intarzieri nejustificate, dupa ce ia cunostinta de o incalcare a securitatii datelor cu caracter personal.


Persoana imputernicita de catre operator poate formula inclusiv notificarea sus-mentionata in numele operatorului, daca acesta a imputernicit-o in mod expres in acest sens, si daca dispozitiile contractuale dintre cele doua parti prevad aceasta posibilitate.


Astfel, persoana imputernicita de operator are un rol secundar in ceea ce priveste incidentele de securitate, principalul responsabil fiind operatorul.


In cazul in care, la solicitare sau din oficiu, ANSPDCP investigheaza incidentul de securitate privind protectia datelor, pot fi aplicate sanctiuni contraventionale. Sanctiunile contraventionale principale pe care le poate aplica Autoritatea Nationala de Supraveghere sunt avertismentul si amenda[2]. Pe langa sanctiunea avertismentului sau a amenzii, in functie de circumstantele fiecarui caz, pot fi aplicate in mod distinct sau alaturi de aceste sanctiuni si alte masuri corective, cum ar fi: impunerea unei limitari temporare sau definitive, inclusiv a unei interdictii, a prelucrarii de date cu caracter personal de catre operatorul in cauza sau obligarea operatorului de a dispune rectificarea sau stergerea datelor cu caracter personal sau restrictionarea prelucrarii, precum si notificarea acestor actiuni persoanelor vizate carora le-au fost divulgate datele cu caracter personal[3].


Potrivit art. 15 alin. (4) din Legea nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, sanctiunea avertismentului si a amenzii pot fi aplicate in termen de 3 ani de la data savarsirii faptei, ori de la data incetarii ultimului act ori fapt savarsit, daca este vorba despre o actiune ce dureaza in timp, iar incetarea intervine anterior constatarii.


Termenul de prescriptie de 3 ani se intrerupe prin efectuarea oricarui act de procedura in cazul investigat, fara ca termenul de prescriptie speciala sa poata depasi 4 ani de la data savarsirii faptei .


Procesul-verbal de sanctionare si/sau a deciziei de aplicare a masurilor corective pot fi contestate de operator sau persoana imputernicita de operator la sectia de contencios administrativ a tribunalului competent, in termen de 15 zile de la inmanare, respectiv de la comunicare . Hotararea instantei de fond poate fi atacata numai cu apel, in conditiile Codului de procedura civila. Procedura plangerii prealabile nu este obligatorie in acest caz, astfel ca actiunea de contestare a procesului-verbal sau, dupa caz, a deciziei, se depune direct la instanta de contencios administrativ competenta .


Desi Regulamentul General privind Protectia Datelor atribuie raspunderea in cazul incidentelor de securitate operatorului, atunci cand un astfel de incident a fost generat chiar de catre Responsabilul cu Protectia Datelor prin neindeplinirea, ori indeplinirea defectuoasa a atributiilor sale, operatorul se poate intoarce impotriva acestuia pentru repararea prejudiciului, in conditiile Codului civil sau ale Codului muncii, dupa caz.


In concluzie, potrivit prevederilor Regulamentului General Privind Protectia Datelor cu Caracter Personal, operatorul este principalul raspunzator in situatia unui incident de securitate privind datele cu caracter personal, acesta fiind pasibil de sanctiuni. Cu toate acestea, la randul sau, operatorul se poate intoarce impotriva persoanelor care au generat incidentul pentru recuperarea prejudiciului astfel cauzat, in temeiul raspunderii contractuale, civile sau disciplinare a acestor persoane .




[1] Conf. univ. dr. Nicolae-Dragos Ploesteanu, ``Comparatie intre conceptul de ``incident de securitate`` si ``incalcare a securitatii datelor cu caracter personal`` in contextul GDPR si ISO 27001`` 22.07.2019.




[2] Predut Marius Catalin, Codul Muncii Comentat. Protectia datelor personale, telemunca, munca virtuala si alte forme de munca . Editia a II-a, completata si revizuita, Ed. Universul Juridic, Bucuresti, 2019, p. 83.




[3] Ibidem.







Citeşte mai multe despre:    mcp avocati    avocat predut    avocat gdpr    cabinet avocati bucuresti    avocat protectia datelor    avocat DPO

Consultă un avocat online
MCP Cabinet avocati - Specializati in litigii de munca, comerciale, civile si de natura administrativa.

Alte Titluri

Raspunderea si sarcinile Responsabilului cu Protectia Datelor
Sursa: avocat Irina Maria Diculescu | MCP Cabinet avocati

Despagubirile acordate pentru exproprierea pentru cauza de utilitate publica
Sursa: avocat Andreea-Cristina Deaconu | MCP Cabinet avocati

Exercitarea autoritatii parintesti exclusiv de catre unul dintre parinti in contextul divortului
Sursa: avocat Andreea-Cristina Deaconu | MCP Cabinet avocati

Taxele pentru dezbaterea succesiunii
Sursa: avocat Emilia Alexandra Ioana | MCP Cabinet avocati

Ordinul de protectie. Masuri care pot fi dispuse. Garantii pentru respectarea masurilor dispuse
Sursa: avocat Emilia Alexandra Ioana | MCP Cabinet avocati

Emiterea ordinului de protectie. Conditii si Solutii jurisprudentiale
Sursa: avocat Emilia Alexandra Ioana | MCP Cabinet avocati



Jurisprudenţă

Hotararea in Cauza Serban impotriva Romaniei din 5 iulie 2016
Pronuntaţă de: CEDO