Av. dr. Andrei Săvescu

Deși alin. (3) de la art. 82 GDPR arată foarte urât și pare o definiție circulară din care n-o să ne poată scoată decât Curtea de Justiție a Uniunii Europene, nu este chiar așa. Alin. (3) ne spune că suntem exonerați de răspundere dacă reușim să dovedim că nu suntem răspunzători.

Alin. (2) are înțelesul că răspunderea intervine dacă operațiunile de prelucrare au fost ilegale, adică dacă au încălcat Regulamentul, ceea ce este firesc: dacă a apărut un prejudiciu în cadrul unor operațiuni care exced Regulamentul, adică îl încalcă, să intervină răspunderea. Alin. (3) însă ne ușurează, ne face viața mai ușoară, face viața mai ușoară operatorului, pentru că ne spune că, deși s-au încălcat prin acele operațiuni dispozițiile Regulamentului, deși suntem, deci, în afara Regulamentului, dacă operatorul reușește să dovedească faptul că evenimentul respectiv, de exemplu o breșă de securitate, nu este în răspunderea lui, adică i-a ieșit de sub control, răspunderea lui nu va fi angajată pentru prejudiciul respectiv, deși operațiunea nu a fost pe tărâmul Regulamentului. Adică este o modalitate de ușurare a răspunderii operatorului, deplasând probațiunea către acel eveniment exterior.

Ideea centrală este că evenimentul exterior nefericit te exonerează de răspundere indiferent dacă operațiunile tale erau sau nu în interiorul Regulamentului. Deși pare fioros alin. (3), el este îmbucurător pentru operator.

În ce privește chestiunea dacă DPO-ul este răspunzător în legătură cu aceasta, cred că în speță nu despre asta se discută, pentru că acel DPO este în realitate un consultant, care răspunde ca orice fel de avocat. Dar dacă salariatul face vreo boacănă, el răspunde ca orice prepus al operatorului.

Av. dr. Andrei Săvescu
Managing Partner SĂVESCU & ASOCIAȚII, coord. JURIDICE.ro

* Opinie susținută în cadrul dezbaterii Fișa postului DPO (Data Protection Officer), ediția 185  organizată de Societatea de Științe Juridice (SSJ)