Hotărârea Curții (Camera a treia) din 14 decembrie 2023 (cerere de decizie preliminară formulată de Varhoven administrativen sad – Bulgaria) – VB/Natsionalna agentsia za prihodite
(Cauza C-340/211 , Natsionalna agentsia za prihodite)
[Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 5 – Principii referitoare la această prelucrare – Articolul 24 – Răspunderea operatorului – Articolul 32 – Măsuri implementate pentru a asigura securitatea prelucrării – Aprecierea caracterului adecvat al unor astfel de măsuri – Întinderea controlului jurisdicțional – Administrarea probelor – Articolul 82 – Dreptul la despăgubiri și răspunderea – Eventuala exonerare de răspundere a operatorului în cazul unei încălcări săvârșite de părți terțe – Cerere de despăgubire pentru un prejudiciu moral întemeiată pe temerea față de o potențială utilizare abuzivă a datelor cu caracter personal]
Limba de procedură: bulgara
Instanța de trimitere
Varhoven administrativen sad
Părțile din procedura principală
Recurentă: VB
Intimată: Natsionalna agentsia za prihodite
Dispozitivul
Articolele 24 și 32 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretate în sensul că
o divulgare neautorizată de date cu caracter personal sau un acces neautorizat la asemenea date de către „părți terțe”, în sensul articolului 4 punctul 10 din acest regulament, nu sunt în sine suficiente pentru a considera că măsurile tehnice și organizatorice implementate de operatorul în cauză nu erau „adecvate”, în sensul acestor articole 24 și 32.
Articolul 32 din Regulamentul 2016/679
trebuie interpretat în sensul că
caracterul adecvat al măsurilor tehnice și organizatorice implementate de operator în temeiul acestui articol trebuie să fie apreciat de instanțele naționale în mod concret, ținând seama de riscurile legate de prelucrare și apreciind dacă natura, conținutul și implementarea acestor măsuri sunt adaptate acestor riscuri.
Principiul răspunderii operatorului, enunțat la articolul 5 alineatul (2) din Regulamentul 2016/679 și concretizat la articolul 24 din acesta,
trebuie interpretat în sensul că
în cadrul unei acțiuni în despăgubire întemeiate pe articolul 82 din acest regulament, operatorului în cauză îi revine sarcina de a dovedi caracterul adecvat al măsurilor de securitate pe care le-a implementat în temeiul articolului 32 din regulamentul amintit.
Articolul 32 din Regulamentul 2016/679 și principiul efectivității dreptului Uniunii
trebuie interpretate în sensul că
pentru a aprecia caracterul adecvat al măsurilor de securitate pe care operatorul le-a implementat în temeiul acestui articol, o expertiză judiciară nu poate constitui un mijloc de probă în mod sistematic necesar și suficient.
Articolul 82 alineatul (3) din Regulamentul 2016/679
trebuie interpretat în sensul că
operatorul nu poate fi exonerat de obligația de a repara prejudiciul suferit de o persoană, în temeiul articolului 82 alineatele (1) și (2) din acest regulament, pentru simplul fapt că prejudiciul respectiv rezultă dintr-o divulgare neautorizată de date cu caracter personal sau dintr-un acces neautorizat la asemenea date de către „părți terțe”, în sensul articolului 4 punctul 10 din regulamentul menționat, operatorul amintit trebuind să dovedească că faptul care a provocat acest prejudiciu nu îi este în niciun fel imputabil.
Articolul 82 alineatul (1) din Regulamentul 2016/679
trebuie interpretat în sensul că
temerea față de o potențială utilizare abuzivă a datelor sale cu caracter personal de către părți terțe pe care o resimte o persoană vizată în urma unei încălcări a acestui regulament poate constitui, în sine, un „prejudiciu moral”, în sensul dispoziției menționate.
____________
1 JO C 329, 16.8.2021.