Legalitatea acţiunilor de recuperare a datelor ca urmare a unui atac cibernetic

The breach of data security has several consequences regarding the effects of this event on the data subjects. If the personal data has gone out of data controller’s hand, it will try to recover it in order to limit the damage. The data controller has the primary obligation, under public law, to notify the competent supervisory authority of the data security breach. On the other hand, he will try to conclude a convention with the author of the cyber-attack. The legality of such an approach exceeds the General Data Protection Regulation. We will briefly analyze the fulfillment of the conditions of art. 1179 Civil Code, especially the consent of the parties, the moral and lawful object, and the lawful and moral cause. Strategies regarding on how to act in the tension triggered by the security breach consist in cooperate with the attacker or lack of cooperation and the possibility for the data to be disclosed.
From the examples of cyber-attacks, both the essential elements of the actions of the data controller after the attack as well as insufficient measures taken by the authorities which led to the violation of data security, will be extracted.

Încălcarea securităţii datelor are mai multe consecinţe privind efectele acestui eveniment asupra persoanelor vizate. Dacă datele cu caracter personal au ieșit de sub controlul operatorului, acesta va încerca să le recupereze pentru a limita prejudiciile. Operatorul de date are ca obligaţie principală, de drept public, notificarea încălcării securităţii datelor autorităţii de supraveghere competente.
În paralel va încerca să încheie o convenţie cu autorul atacului cibernetic.
Legalitatea unui astfel de demers excede Regulamentului general privind protecţia datelor. Vom analiza pe scurt îndeplinirea condiţiilor art. 1179 Cod civil, în special consimţământul părţilor, obiectul moral și licit și cauza licită și morală. Strategiile referitoare la modalitatea de acţiune în tensiunea declanșată de breșa de securitate au în vedere acţiunea în cooperarea cu atacatorul sau lipsa de cooperare și posibilitatea ca datele să fie divulgate. Din exemplele de atacuri cibernetice vor fi extrase atât elemente esenţiale ale acţiunii operatorului de date după atac, dar și măsurile, considerate insuficiente de autorităţi, care au condus la încălcarea securităţii datelor.