Raspunderea operatorului de date cu caracter personal in cazul unui incident de securitate

Potrivit Regulamentului (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul General privind Protectia Datelor), operatorul de date cu caracter personal reprezinta persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.

Regulamentul General privind Protectia Datelor defineste si notiunea de ``persoana imputernicita de operator`` drept persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului.

Calitatea de operator de date cu caracter personal implica, potrivit Regulamentului, o serie de obligatii: desemnarea unui responsabil cu protectia datelor in conditiile art. 37-39 din Regulament; cartografierea prelucrarilor de date cu caracter personal (art. 30 din Regulament); asigurarea securitatii datelor (art. 25 si art. 32 din Regulament); notificarea incalcarilor de securitate in conditiile art. 33 din Regulament; evaluarea impactului asupra protectiei datelor si respectarea drepturilor persoanelor fizice (art. 35 din Regulament).

Astfel, Regulamentul reglementeaza in mod expres atitudinea pe care un operator de date cu caracter personal trebuie sa o adopte in situatia unui incident de securitate .

Preliminar, se impune a se oferi o serie de lamuriri cu privire la notiunea de incident de securitate, in ceea ce priveste prelucrarea de date cu caracter personal. Aceasta nu trebuie confundata cu aceeasi notiune utilizata in contextul standardelor internationale de securitate a informatiei (ISO 27001).

Standardul international in domeniul securitatii ISO 27001 nu acopera inclusiv securitatea la care se refera articolul 32 din Regulament. Acest standard are legatura cu toate sistemele care contin informatii, indiferent ca acestea sunt date cu caracter personal sau nu, in timp ce in cazul ``securitatii`` la care se refera GDPR, in centrul problemei se gaseste dorinta de a proteja datele cu caracter personal ale unei persoane fizice, pentru a-i proteja in final drepturile acesteia[1].

Astfel, notiunea de incident de securitate in acceptiunea ISO 27001 este una mult mai larga, raportul dintre aceasta si notiunea de incident de securitate in contextul prelucrarii datelor cu caracter personal fiind una de la gen la specie.

Regulamentul General privind Protectia Datelor cu caracter personal defineste incidentul de securitate ca fiind acea situatie apta de a conduce la distrugerea, pierderea, alterarea, divulgarea neautorizata sau accesul in mod nelegal sau accidental, la datele cu caracter personal transmise, stocate sau procesate in orice alt mod.

Se pot identifica trei tipuri de incidente de securitate: incidente de confidentialitate, care presupun accesul neautorizat sau accidental, ori divulgarea neautorizata sau accidentala de date cu caracter personal; incidente de disponibilitate, in cadrul carora, in mod neautorizat sau accidental, se poate ajunge la distrugerea de date cu caracter personal ori la distrugerea acestora, si incidente de integritate, care presupun alterarea accidentala sau neautorizata a datelor cu caracter personal.

Dupa identificarea incidentului de securitate si luarea la cunostinta de catre operator despre existenta acestuia, Regulamentul stabileste in mod expres obligatia operatorului de a notifica atat persoana sau persoanele vizate, cat si autoritatea de supraveghere competenta, fara intarzieri nejustificate si, daca este posibil, in termen de cel mult 72 de ore de la data la care a luat cunostinta de aceasta, cu exceptia cazului in care este putin probabil sa genereze un risc pentru drepturile si libertatile persoanelor fizice. In cazul in care notificarea catre autoritatea de supraveghere nu are loc in termen de 72 de ore, aceasta este insotita de o explicatie motivata pentru intarziere.

Aceasta notificare trebuie sa cuprinda cel putin urmatoarele informatii:

a) descrierea caracterului incalcarii securitatii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile si numarul aproximativ al persoanelor vizate in cauza, precum si categoriile si numarul aproximativ al inregistrarilor de date cu caracter personal in cauza;

b) numele si datele de contact ale responsabilului cu protectia datelor sau un alt punct de contact de unde se pot obtine mai multe informatii;

c) descrierea consecintelor probabile ale incalcarii securitatii datelor cu caracter personal;

d) descrierea masurilor luate sau propuse spre a fi luate de operator pentru a remedia problema incalcarii securitatii datelor cu caracter personal, inclusiv, dupa caz, masurile pentru atenuarea eventualelor sale efecte negative.

Mai mult, pentru a asigura protectia datelor cu caracter personal, dincolo de elaborarea si implementarea de proceduri interne privind respectarea dispozitiilor legale in ceea ce priveste prelucrarea datelor cu caracter personal, este recomandat ca operatorii sa dezvolte si un plan de reactie in cazul unui incident de securitate .

Acesta presupune o serie de actiuni care sa permita o reactie prompta la incalcarea securitatii datelor cu caracter personal. Pot fi incluse in acest plan atat masuri tehnice, precum si o serie de pasi ce urmeaza a fi pusi in aplicare de catre personalul operatorului, pentru eficientizarea reactiei la incident .

Operatorul de date cu caracter personal raspunde in fata Autoritatii Nationale de Supraveghere, inclusiv pentru incidentele cauzate prin actiunile sau inactiunile angajatilor, colaboratorilor, partenerilor de afaceri sau altor terti carora le permite accesul la date, in situatia in care nu s-au implementat masuri tehnico-organizatorice adecvate (masuri de securitate, acorduri de confidentialitate, politici de securitate etc.).

Cu toate acestea, un rol important il are si persoana imputernicita de operator .

Modalitatea de prelucrare a datelor cu caracter personal de catre o persoana imputernicita de un operator este reglementata printr-un contract sau alt act juridic. Prin acest contract, se stabilesc atat obligatia persoanei imputernicite de a prelucra datele cu caracter personal numai in baza unor instructiuni documentate din partea operatorului, cat si obligatia de a ajuta operatorul sa asigure respectarea obligatiilor referitoare la securitatea datelor cu caracter personal, tinand seama de caracterul prelucrarii si informatiile aflate la dispozitia persoanei imputernicite de operator .

De asemenea, prin art. 33, Regulamentul stabileste in mod expres faptul ca persoana imputernicita de operator il instiinteaza pe acesta, fara intarzieri nejustificate, dupa ce ia cunostinta de o incalcare a securitatii datelor cu caracter personal.

Persoana imputernicita de catre operator poate formula inclusiv notificarea sus-mentionata in numele operatorului, daca acesta a imputernicit-o in mod expres in acest sens, si daca dispozitiile contractuale dintre cele doua parti prevad aceasta posibilitate.

Astfel, persoana imputernicita de operator are un rol secundar in ceea ce priveste incidentele de securitate, principalul responsabil fiind operatorul.

In cazul in care, la solicitare sau din oficiu, ANSPDCP investigheaza incidentul de securitate privind protectia datelor, pot fi aplicate sanctiuni contraventionale. Sanctiunile contraventionale principale pe care le poate aplica Autoritatea Nationala de Supraveghere sunt avertismentul si amenda^[2]. Pe langa sanctiunea avertismentului sau a amenzii, in functie de circumstantele fiecarui caz, pot fi aplicate in mod distinct sau alaturi de aceste sanctiuni si alte masuri corective, cum ar fi: impunerea unei limitari temporare sau definitive, inclusiv a unei interdictii, a prelucrarii de date cu caracter personal de catre operatorul in cauza sau obligarea operatorului de a dispune rectificarea sau stergerea datelor cu caracter personal sau restrictionarea prelucrarii, precum si notificarea acestor actiuni persoanelor vizate carora le-au fost divulgate datele cu caracter personal^[3].

Potrivit art. 15 alin. (4) din Legea nr. 102/2005 privind infiintarea, organizarea si functionarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, sanctiunea avertismentului si a amenzii pot fi aplicate in termen de 3 ani de la data savarsirii faptei, ori de la data incetarii ultimului act ori fapt savarsit, daca este vorba despre o actiune ce dureaza in timp, iar incetarea intervine anterior constatarii.

Termenul de prescriptie de 3 ani se intrerupe prin efectuarea oricarui act de procedura in cazul investigat, fara ca termenul de prescriptie speciala sa poata depasi 4 ani de la data savarsirii faptei .

Procesul-verbal de sanctionare si/sau a deciziei de aplicare a masurilor corective pot fi contestate de operator sau persoana imputernicita de operator la sectia de contencios administrativ a tribunalului competent, in termen de 15 zile de la inmanare, respectiv de la comunicare . Hotararea instantei de fond poate fi atacata numai cu apel, in conditiile Codului de procedura civila. Procedura plangerii prealabile nu este obligatorie in acest caz, astfel ca actiunea de contestare a procesului-verbal sau, dupa caz, a deciziei, se depune direct la instanta de contencios administrativ competenta .

Desi Regulamentul General privind Protectia Datelor atribuie raspunderea in cazul incidentelor de securitate operatorului, atunci cand un astfel de incident a fost generat chiar de catre Responsabilul cu Protectia Datelor prin neindeplinirea, ori indeplinirea defectuoasa a atributiilor sale, operatorul se poate intoarce impotriva acestuia pentru repararea prejudiciului, in conditiile Codului civil sau ale Codului muncii, dupa caz.

In concluzie, potrivit prevederilor Regulamentului General Privind Protectia Datelor cu Caracter Personal, operatorul este principalul raspunzator in situatia unui incident de securitate privind datele cu caracter personal, acesta fiind pasibil de sanctiuni. Cu toate acestea, la randul sau, operatorul se poate intoarce impotriva persoanelor care au generat incidentul pentru recuperarea prejudiciului astfel cauzat, in temeiul raspunderii contractuale, civile sau disciplinare a acestor persoane .