La crainte que les données personnelles soient utilisées à mauvais escient peut constituer en soi un préjudice immatériel. C’est l’avis du Tribunal de l’Union européenne concernant la question de la fuite de données personnelles de l’Agence nationale des revenus de notre pays.
L’institution judiciaire, basée au Luxembourg, indique que l’Autorité des ressources naturelles rend compte au ministre des Finances, qui est chargé d’identifier, de sécuriser et de recouvrer les dettes publiques. dans ce sens Il est le responsable du traitement des données personnelles.
Le 15 juillet 2019, les médias bulgares ont rapporté que le système de la NRA avait été piraté à la suite d’une cyberattaque. Les données personnelles de millions de personnes ont été publiées sur Internet. Plusieurs personnes ont intenté des poursuites contre l’agence fiscale pour obtenir des dommages-intérêts non monétaires, craignant que leurs données ne soient utilisées à mauvais escient.
À cet égard, la Cour administrative suprême de Bulgarie a posé plusieurs questions préliminaires à la Cour de justice de l’Union européenne concernant l’interprétation du règlement général sur la protection des données (RGPD).
La NRA n’avait aucune règle écrite pour protéger les données personnelles
C’est ce qu’a conclu la commission de protection des données personnelles
La Cour suprême a demandé Clarifier les conditions d’octroi de l’indemnisation des dommages non matériels Entité dont les données personnelles détenues par un organisme public sont publiées en ligne après une attaque de cybercriminels.
Dans son arrêt, la Cour de Justice de l’Union européenne répond aux questions posées de la manière suivante :
- En cas de divulgation non autorisée de données personnelles ou d’accès non autorisé à ces données, les tribunaux ne peuvent pas conclure de ce seul fait que les mesures de protection mises en œuvre par le responsable du traitement étaient insuffisantes. Les tribunaux doivent évaluer le bien-fondé de ces mesures de manière spécifique.
- Le fonctionnaire doit prouver que les mesures de sécurité mises en œuvre étaient adéquates.
- Dans le cas où un « tiers » (par exemple des cybercriminels) divulgue sans autorisation des données personnelles ou accède de manière non autorisée à ces données, le responsable du traitement peut être obligé d’indemniser les personnes concernées ayant subi des dommages, à moins qu’il ne puisse le prouver en aucun cas. serons-nous responsables de ces dommages.
- La crainte qu’une personne éprouve quant à la possibilité que ses données personnelles soient utilisées de manière abusive par des tiers à la suite d’une violation du RGPD peut constituer en soi un « dommage immatériel »..
La NRA s’oppose à l’amende pour fuite de données
Ils envisagent de poursuivre les hackers en justice
/cloudfront-ap-southeast-2.images.arcpublishing.com/nzme/2WNLAWKZLRG47HFDSAU5H3HROI.JPG)
/cloudfront-ap-southeast-2.images.arcpublishing.com/nzme/N47QDFVC7ZCFVJ5SGWYWTBDUEE.jpg)