Sprawa C-340/21, Natsionalna agentsia za prihodite: Wyrok Trybunału (trzecia izba) z dnia 14 grudnia 2023 r. - VB v. Natsionalna agentsia za prihodite

[Odesłanie prejudycjalne - Ochrona osób fizycznych w zakresie przetwarzania danych osobowych - Rozporządzenie (UE) 2016/679 - Artykuł 5 - Zasady dotyczące owego przetwarzania - Artykuł 24 - Obowiązki administratora - Artykuł 32 - Środki wdrożone w celu zapewnienia bezpieczeństwa przetwarzania - Ocena odpowiedniego charakteru takich środków - Granice kontroli sądowej - Przeprowadzanie dowodów - Artykuł 82 - Prawo do odszkodowania i odpowiedzialność - Ewentualne wyłączenie odpowiedzialności administratora w przypadku naruszenia popełnionego przez osoby trzecie - Żądanie zadośćuczynienia za szkodę niemajątkową wynikającą z obawy przed ewentualnym wykorzystaniem danych osobowych w sposób stanowiący nadużycie]

(C/2024/1065)

Język postępowania: bułgarski

(Dz.U.UE C z dnia 5 lutego 2024 r.)

Sąd odsyłający

Varhoven administrativen sad

Strony w postępowaniu głównym

Strona skarżąca: VB

Druga strona postępowania: Natsionalna agentsia za prihodite

Sentencja

1) Artykuły 24 i 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych przez "osoby trzecie" w rozumieniu art. 4 pkt 10 tego rozporządzenia nie wystarczają same w sobie do uznania, iż wdrożone przez danego administratora środki techniczne i organizacyjne nie były "odpowiednie" w rozumieniu tych art. 24 i 32.

2) Artykuł 32 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

oceny, czy środki techniczne i organizacyjne wdrożone przez administratora na podstawie tego artykułu mają odpowiedni charakter, sądy krajowe powinny dokonywać w sposób konkretny, w szczególności uwzględniając ryzyko związane z danym przetwarzaniem oraz ustalając, czy charakter, istota i wdrożenie tych środków są dostosowane do tego ryzyka.

3) Zasadę rozliczalności administratora wyrażoną w art. 5 ust. 2 rozporządzenia 2016/679 i skonkretyzowaną w jego art. 24

należy interpretować w ten sposób, że:

w ramach powództwa o odszkodowanie opartego na art. 82 tego rozporządzenia na danym administratorze spoczywa ciężar udowodnienia, że środki bezpieczeństwa, które wdrożył na podstawie art. 32 tego rozporządzenia, mają odpowiedni charakter.

4) Artykuł 32 rozporządzenia 2016/679 i zasadę skuteczności prawa Unii

należy interpretować w ten sposób, że:

na potrzeby oceny, czy środki bezpieczeństwa wdrożone przez administratora na podstawie tego artykułu mają odpowiedni charakter, opinia biegłego sądowego nie może systematycznie stanowić niezbędnego i wystarczającego środka dowodowego.

5) Artykuł 82 ust. 3 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

administrator nie jest na podstawie art. 82 ust. 1 i 2 tego rozporządzenia zwolniony z obowiązku naprawienia poniesionej przez daną osobę szkody z tego tylko powodu, iż szkoda ta wynika z nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do takich danych przez "osoby trzecie" w rozumieniu art. 4 pkt 10 tego rozporządzenia, gdyż ów administrator musi przy tym udowodnić, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

6) Artykuł 82 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić "szkodę niemajątkową" w rozumieniu tego przepisu.