Väliaikainen versio

UNIONIN TUOMIOISTUIMEN TUOMIO (kolmas jaosto)

14 päivänä joulukuuta 2023 (*)

Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 5 artikla – Käsittelyä koskevat periaatteet – 24 artikla – Rekisterinpitäjän vastuu – 32 artikla – Tietojenkäsittelyn turvallisuuden takaamiseksi toteutetut toimenpiteet – Tällaisten toimenpiteiden asianmukaisuuden arviointi – Tuomioistuinten harjoittaman valvonnan laajuus – Todistelu – 82 artikla – Vastuu ja oikeus korvauksen saamiseen – Rekisterinpitäjän mahdollinen vapauttaminen vastuusta, jos kolmannet osapuolet ovat syyllistyneet tietoturvaloukkaukseen – Henkisen kärsimyksen korvaamista koskeva kanne, joka perustuu pelkoon henkilötietojen mahdollisesta väärinkäytöstä

Asiassa C‑340/21,

jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Varhoven administrativen sad (ylin hallintotuomioistuin, Bulgaria) on esittänyt 14.5.2021 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 2.6.2021, saadakseen ennakkoratkaisun asiassa

VB

vastaan

Natsionalna agentsia za prihodite,

UNIONIN TUOMIOISTUIN (kolmas jaosto),

toimien kokoonpanossa: jaoston puheenjohtaja K. Jürimäe sekä tuomarit N. Piçarra, M. Safjan, N. Jääskinen (esittelevä tuomari) ja M. Gavalec,

julkisasiamies: G. Pitruzzella,

kirjaaja: A. Calot Escobar,

ottaen huomioon kirjallisessa käsittelyssä esitetyn,

ottaen huomioon huomautukset, jotka sille ovat esittäneet

–        Natsionalna agentsia za prihodite, asiamiehenään R. Spetsov,

–        Bulgarian hallitus, asiamiehinään M. Georgieva ja L. Zaharieva,

–        Tšekin hallitus, asiamiehinään O. Serdula, M. Smolek ja J. Vláčil,

–        Irlanti, asiamiehinään M. Browne, Chief State Solicitor, A. Joyce, J. Quaney ja M. Tierney, avustajanaan D. Fennelly, BL,

–        Italian hallitus, asiamiehenään G. Palmieri, avustajanaan E. De Bonis, avvocato dello Stato,

–        Portugalin hallitus, asiamiehinään P. Barros da Costa, A. Pimenta, J. Ramos ja C. Vieira Guerra,

–        Euroopan komissio, asiamiehinään A. Bouchagiar, H. Kranenborg ja N. Nikolova,

kuultuaan julkisasiamiehen 27.4.2023 pidetyssä istunnossa esittämän ratkaisuehdotuksen,

on antanut seuraavan

tuomion

1        Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 5 artiklan 2 kohdan, 24 ja 32 artiklan sekä 82 artiklan 1–3 kohdan tulkintaa.

2        Tämä pyyntö on esitetty asiassa, jossa vastakkain ovat luonnollinen henkilö VB ja Natsionalna agentsia za prihodite (kansallinen verohallinto, Bulgaria) (jäljempänä NAP) ja jossa on kyse sellaisen henkisen kärsimyksen [josta yleisessä tietosuoja-asetuksessa käytetään nimitystä ”aineeton vahinko”] korvaamisesta, jonka kyseinen henkilö väittää aiheutuneen hänelle siitä, että kyseinen viranomainen on väitetysti laiminlyönyt sille rekisterinpitäjän ominaisuudessa kuuluvat velvollisuudet.

 Asiaa koskevat oikeussäännöt

3        Yleisen tietosuoja-asetuksen johdanto-osan 4, 10, 11, 74, 76, 83, 85 ja 146 perustelukappaleessa todetaan seuraavaa:

”(4)      – – Tässä asetuksessa kunnioitetaan kaikkia perusoikeuksia ja otetaan huomioon [Euroopan unionin perusoikeuskirjassa] tunnustetut vapaudet ja periaatteet sellaisina kuin ne ovat vahvistettuina perussopimuksissa, erityisesti jokaisen oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan, oikeus henkilötietojen suojaan, – – oikeus tehokkaisiin oikeussuojakeinoihin ja oikeudenmukaiseen oikeudenkäyntiin – –

– –

(10)      Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet [Euroopan] unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa. – –

(11)      Henkilötietojen suojaaminen tehokkaasti kaikkialla unionissa edellyttää rekisteröityjen oikeuksien ja henkilötietoja käsittelevien ja henkilötietojen käsittelyä määrittävien velvollisuuksien vahvistamista ja täsmentämistä – –

– –

(74)      Olisi vahvistettava rekisterinpitäjän vastuu tämän suorittamasta tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Erityisesti rekisterinpitäjällä olisi oltava velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä, ja sen olisi voitava osoittaa, että käsittelytoimet ovat tämän asetuksen mukaisia, toimenpiteiden tehokkuus mukaan luettuna. Näitä toimenpiteitä toteutettaessa olisi otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.

– –

(76)      Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus olisi määriteltävä tietojenkäsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan. Riski olisi arvioitava objektiivisen arvioinnin perusteella, jolla todetaan, liittyykö tietojenkäsittelytoimiin riski tai korkea riski.

– –

(83)      Turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi esimerkiksi salauksella. Näiden toimenpiteiden avulla olisi varmistettava asianmukainen turvallisuustaso, muun muassa luottamuksellisuus, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Tietosuojariskiä arvioitaessa olisi otettava huomioon henkilötietojen käsittelyyn liittyvät riskit, kuten siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy, mikä voi aiheuttaa etenkin fyysisiä, aineellisia tai aineettomia vahinkoja.

– –

(85)      Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja, kuten omien henkilötietojen hallitsemiskyvyn menettäminen tai omien oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoinnin luvaton purkautuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa. Sen vuoksi rekisterinpitäjän olisi ilmoitettava henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä heti, kun se on tullut rekisterinpitäjän tietoon – –

– –

(146)      Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava luonnollisille henkilöille vahingot, jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu tätä asetusta. Rekisterinpitäjä tai henkilötietojen käsittelijä olisi vapautettava korvausvelvollisuudesta, jos se osoittaa, ettei se ole millään tavalla vastuussa kyseisestä vahingosta. Vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon. Tämä ei vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai jäsenvaltion lainsäädännön muiden sääntöjen rikkomisesta. Käsittelyllä, jolla rikotaan tätä asetusta, tarkoitetaan myös tietojenkäsittelyä, jossa ei noudateta tämän asetuksen mukaisesti hyväksyttyjä delegoituja säädöksiä ja täytäntöönpanosäädöksiä tai tätä asetusta täsmentäviä jäsenvaltion lainsäädännön mukaisia sääntöjä. Rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta. – –”

4        Yleisen tietosuoja-asetuksen 4 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

1)      ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; – –

2)      ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti – –

– –

7)      ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot;

– –

10)      ’kolmannella osapuolella’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena,

– –

12)      ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,

– –”

5        Yleisen tietosuoja-asetuksen 5 artiklassa, jonka otsikko on ”Henkilötietojen käsittelyä koskevat periaatteet”, säädetään seuraavaa:

”1.      Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a)      niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”);

– –

f)      niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).

2.      Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (”osoitusvelvollisuus”).”

6        Yleisen tietosuoja-asetuksen 24 artiklassa, jonka otsikko on ”Rekisterinpitäjän vastuu”, säädetään seuraavaa:

”1.      Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.

2.      Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä panee täytäntöön asianmukaiset tietosuojaa koskevat toimintaperiaatteet.

3.      Jäljempänä 40 artiklassa tarkoitettujen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että rekisterinpitäjälle asetettuja velvollisuuksia noudatetaan.”

7        Yleisen tietosuoja-asetuksen 32 artiklassa, jonka otsikko on ”Käsittelyn turvallisuus”, säädetään seuraavaa:

”1.      Ottaen huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

a)      henkilötietojen pseudonymisointi ja salaus;

b)      kyky taata käsittelyjärjestelmien ja ‑palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

c)      kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;

d)      menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

2.      Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

3.      Jäljempänä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 kohdassa asetettuja vaatimuksia noudatetaan.

– –”

8        Yleisen tietosuoja-asetuksen 79 artiklan, jonka otsikko on ”Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan”, 1 kohdassa säädetään seuraavaa:

”Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 77 artiklaan perustuva oikeus tehdä kantelu valvontaviranomaiselle. ”

9        Yleisen tietosuoja-asetuksen 82 artiklan, jonka otsikko on ”Vastuu ja oikeus korvauksen saamisen”, 1–3 kohdassa säädetään seuraavaa:

”1.      Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

2.      Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. – –

3.      Rekisterinpitäjä tai henkilötietojen käsittelijä on vapautettava vastuusta 2 kohdan nojalla, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.”

 Pääasia ja ennakkoratkaisukysymykset

10      NAP on Bulgarian valtionvarainministerin alainen viranomainen. Se käsittelee yleisen tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitettuja henkilötietoja, kun se suorittaa tehtäviään, joita ovat muun muassa julkisten saatavien toteaminen, varmistaminen ja periminen.

11      Tiedotusvälineet paljastivat 15.7.2019, että NAP:n tietojärjestelmään oli päästy luvattomasti ja että kyseisen kyberhyökkäyksen seurauksena tietojärjestelmässä olleita henkilötietoja oli julkaistu internetissä.

12      Asia koski yli kuutta miljoonaa luonnollista henkilöä, joihin kuului sekä Bulgarian kansalaisia että ulkomaalaisia. Muutamat sadat heistä, pääasian kantaja mukaan lukien, nostivat NAP:tä vastaan kanteita sellaisen henkisen kärsimyksen korvaamiseksi, joka aiheutui heidän henkilötietojensa luovuttamisesta.

13      Pääasian kantaja nosti tässä yhteydessä kanteen Administrativen sad Sofia-gradissa (Sofian kaupungin hallintotuomioistuin, Bulgaria), jossa hän vaati NAP:ltä 1 000 Bulgarian lein (BGN) (n. 510 euron) suuruista vahingonkorvausta yleisen tietosuoja-asetuksen 82 artiklan ja Bulgarian oikeuden säännösten nojalla. Kanteensa tueksi kantaja väitti, että hänelle aiheutui henkistä kärsimystä yleisen tietosuoja-asetuksen 4 artiklan 12 alakohdassa tarkoitetusta henkilötietojen tietoturvaloukkauksesta eli tarkemmin sellaisesta tietoturvaloukkauksesta, joka oli seurausta siitä, että NAP laiminlöi muun muassa yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan sekä 24 ja 32 artiklan mukaan sille kuuluvat velvollisuudet. Kantajan henkinen kärsimys muodostuu pelosta siitä, että ilman hänen suostumustaan julkistettuja, häntä koskevia henkilötietoja voidaan käyttää tulevaisuudessa väärin tai että häntä kiristetään, häntä vastaan hyökätään tai hänet jopa kaapataan.

14      NAP väitti puolustuksekseen aluksi, että pääasian kantaja ei ollut pyytänyt siltä tietoja sellaisista nimenomaisista henkilötiedoista, jotka oli luovutettu. Tämän jälkeen NAP esitti asiakirjoja, joilla se pyrki osoittamaan, että se oli toteuttanut etukäteen kaikki tarvittavat toimenpiteet sen tietojärjestelmässä oleviin henkilötietoihin kohdistuvan tietoturvaloukkauksen estämiseksi ja jälkikäteen kyseisen loukkauksen vaikutusten rajoittamiseksi sekä kansalaisten rauhoittamiseksi. Lisäksi NAP:n mukaan väitetyn henkisen kärsimyksen ja mainitun loukkauksen välinen syy-yhteys puuttui. Se väitti lopuksi, että koska se oli itse joutunut tahallisen hyökkäyksen kohteeksi sellaisten henkilöiden taholta, jotka eivät olleet sen työntekijöitä, sen ei voida katsoa olevan vastuussa tästä hyökkäyksestä aiheutuneista vahingoista.

15      Administrativen sad Sofia-grad hylkäsi pääasian kantajan nostaman kanteen 27.11.2020 antamallaan ratkaisulla. Kyseinen tuomioistuin katsoi yhtäältä, että luvaton pääsy NAP:n tietokantaan johtui kolmansien osapuolten tekemästä hakkeri-iskusta, ja toisaalta, että pääasian kantaja ei ollut näyttänyt toteen NAP:n laiminlyöntiä turvallisuustoimenpiteiden toteuttamisen osalta. Se katsoi lisäksi, että kantaja ei ollut kärsinyt sellaista henkistä kärsimystä, joka antaa oikeuden korvaukseen.

16      Pääasian kantaja teki kyseisestä tuomiosta kassaatiovalituksen Varhoven administrativen sadiin, joka on ennakkoratkaisua pyytänyt tuomioistuin nyt käsiteltävässä asiassa. Hän väittää valituksensa tueksi, että ensimmäisen asteen tuomioistuin teki oikeudellisen virheen jakaessaan todistustaakan NAP:n toteuttamien turvallisuustoimenpiteiden osalta, ja että NAP ei ollut näyttänyt toteen, ettei se ollut laiminlyönyt velvoitteitaan tältä osin. Pääasian kantaja väittää lisäksi, että pelko hänen henkilötietojensa mahdollisesta väärinkäytöstä tulevaisuudessa ei ole hypoteettista vaan tosiasiallista henkistä kärsimystä. NAP kiistää puolustuksekseen kaikki nämä väitteet.

17      Ennakkoratkaisua pyytänyt tuomioistuin tarkastelee aluksi mahdollisuutta, että sen toteaminen, että henkilötietojen tietoturvaloukkaus on tapahtunut, riittää sellaisenaan sen johtopäätöksen tekemiseen, että rekisterinpitäjän toteuttamat toimenpiteet eivät olleet asianmukaisia yleisen tietosuoja-asetuksen 24 ja 32 artiklassa tarkoitetussa merkityksessä.

18      Se pohtii kuitenkin siinä tapauksessa, että pelkkä tietoturvaloukkauksen toteaminen ei riitä tällaisen johtopäätöksen tekemiseen, yhtäältä sen valvonnan laajuutta, joka kansallisten tuomioistuinten on harjoitettava kyseessä olevien toimenpiteiden asianmukaisuuden arvioimiseksi, ja toisaalta todistelua koskevia sääntöjä, joita on sovellettava tässä yhteydessä sekä todistustaakan että todistuskeinojen osalta, erityisesti, kun kyseisessä tuomioistuimessa on nostettu vahingonkorvauskanne tietosuoja-asetuksen 82 artiklan nojalla.

19      Tämän jälkeen ennakkoratkaisua pyytänyt tuomioistuin haluaa selvittää, onko se, että henkilötietojen tietoturvaloukkaus on seurausta kolmansien osapuolten teosta eli käsiteltävässä asiassa kyberhyökkäyksestä, sellainen seikka, jonka nojalla rekisterinpitäjä systemaattisesti vapautetaan rekisteröidylle aiheutuneesta vahingosta koskevasta vastuusta, kun otetaan huomioon yleisen tietosuoja-asetuksen 82 artiklan 3 kohta.

20      Kyseinen tuomioistuin pohtii lopuksi, voiko henkilön tuntema pelko siitä, että hänen henkilötietojaan saatetaan käyttää tulevaisuudessa väärin – käsiteltävässä asiassa sen seurauksena, että kyseisiin tietoihin on päästy luvattomasti ja että kyberrikolliset ovat luovuttaneet niitä – olla sellaisenaan yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa tarkoitettua aineetonta vahinkoa. Mikäli tähän kysymykseen vastataan myöntävästi, kyseisellä henkilöllä ei olisi velvollisuutta osoittaa, että kolmannet osapuolet ovat ennen kuin hän nosti korvauskanteen käyttäneet kyseisiä tietoja lainvastaisesti, kuten tehneet henkilöllisyyttä koskevan petoksen.

21      Varhoven administrativen sad on tässä tilanteessa päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1)      Onko [yleisen tietosuoja-asetuksen] 24 ja 32 artiklaa tulkittava siten, että sen toteamiseksi, että toteutetut tekniset ja organisatoriset toimenpiteet eivät ole asianmukaisia, riittää, että [yleisen tietosuoja-asetuksen] 4 artiklan 12 alakohdassa tarkoitettu luvaton henkilötietojen luovuttaminen tai pääsyn antaminen niihin johtuu henkilöistä, jotka eivät ole rekisterinpitäjän palveluksessa eivätkä kuulu sen määräysvaltaan?

2)      Jos ensimmäiseen kysymykseen vastataan kieltävästi, mikä kohde ja laajuus pitäisi olla tuomioistuimen harjoittamalla laillisuusvalvonnalla tutkittaessa, ovatko rekisterinpitäjän [yleisen tietosuoja-asetuksen] 32 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet asianmukaisia?

3)      Jos ensimmäiseen kysymykseen vastataan kieltävästi, onko [yleisen tietosuoja-asetuksen] 5 artiklan 2 kohdassa ja [kyseisen asetuksen] 24 artiklassa tarkoitettua osoitusvelvollisuuden periaatetta, luettuna yhdessä [sen] johdanto-osan 74 perustelukappaleen kanssa, tulkittava siten, että [mainitun asetuksen] 82 artiklan 1 kohdassa tarkoitetussa kannemenettelyssä rekisterinpitäjällä on todistustaakka siitä, että [saman] asetuksen 32 artiklan nojalla toteutetut tekniset ja organisatoriset toimenpiteet ovat asianmukaisia?

Voidaanko asiantuntijalausunnon hankkimista pitää tarvittavana ja riittävänä todisteena, jotta voidaan todeta, olivatko rekisterinpitäjän toteuttamat tekniset ja organisatoriset toimenpiteet nyt käsiteltävän kaltaisessa tapauksessa asianmukaisia, kun luvaton pääsy henkilötietoihin ja niiden luvaton luovuttaminen johtuivat ’hakkeri-iskusta’?

4)      Onko [yleisen tietosuoja-asetuksen] 82 artiklan 3 kohtaa tulkittava siten, että se, että [yleisen tietosuoja-asetuksen] 4 artiklan 12 alakohdassa tarkoitettu henkilötietojen luvaton luovuttaminen tai luvaton pääsy henkilötietoihin tapahtuu, kuten tässä tapauksessa, sellaisten henkilöiden suorittamalla ’hakkeri-iskulla’, jotka eivät ole rekisterinpitäjän palveluksessa eivätkä kuulu sen määräysvaltaan, on seikka, josta rekisterinpitäjä ei ole millään tavoin vastuussa ja joka oikeuttaa sen vapauttamisen vastuusta?

5)      Onko [yleisen tietosuoja-asetuksen 82 artiklan 1 ja 2 kohtaa, luettuna yhdessä [kyseisen asetuksen] johdanto-osan 85 ja 146 perustelukappaleen kanssa, tulkittava siten, että nyt käsiteltävän kaltaisessa tapauksessa, jossa henkilötietojen suojan loukkaaminen ilmenee siten, että henkilötietoihin päästään luvattomasti ja niitä luovutetaan ’hakkeri-iskun’ avulla, jo pelkästään rekisteröidyn huolet, pelot ja ahdistukset, jotka johtuvat henkilötietojen mahdollisesta tulevasta väärinkäytöstä, kuuluvat laajasti tulkittavan henkisen kärsimyksen käsitteen soveltamisalaan ja oikeuttavat vahingonkorvaukseen, vaikka tällaista väärinkäyttöä ei ole todettu ja/tai rekisteröidylle ei ole aiheutunut muita vahinkoja?”

 Ennakkoratkaisukysymysten tarkastelu

 Ensimmäinen kysymys

22      Ensimmäisellä kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee pääasiallisesti, onko yleisen tietosuoja-asetuksen 24 ja 32 artiklaa tulkittava siten, että se, että kyseisen asetuksen 4 artiklan 10 alakohdassa tarkoitetut kolmannet osapuolet luovuttavat henkilötietoja luvattomasti tai pääsevät niihin luvattomasti, riittää sellaisenaan sen toteamiseen, että kyseessä olevan rekisterinpitäjän toteuttamat tekniset ja organisatoriset toimenpiteet eivät olleet asianmukaisia 24 ja 32 artiklassa tarkoitetussa merkityksessä.

23      Aluksi on muistutettava, että vakiintuneen oikeuskäytännön mukaan unionin oikeuden sellaisen säännöksen tai määräyksen – kuten yleisen tietosuoja-asetuksen 24 ja 32 artiklan – sanamuotoa, joka ei sisällä nimenomaista viittausta jäsenvaltioiden oikeuteen sen merkityksen ja ulottuvuuden määrittämiseksi, on tavallisesti tulkittava kaikkialla unionissa itsenäisesti ja yhtenäisesti, ja kyseisen säännöksen tai määräyksen tulkitsemisessa on otettava huomioon muun muassa sen sanamuoto, sillä tavoiteltavat päämäärät sekä asiayhteys, johon se kuuluu (ks. vastaavasti tuomio 18.1.1984, Ekro, 327/82, EU:C:1984:11, 11 kohta; tuomio 1.10.2019, Planet49, C‑673/17, EU:C:2019:801, 47 ja 48 kohta ja tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 29 kohta).

24      Merkityksellisten säännösten sanamuodosta on aluksi todettava, että yleisen tietosuoja-asetuksen 24 artiklassa säädetään rekisterinpitäjän yleisestä velvollisuudesta toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan kyseistä asetusta.

25      Yleisen tietosuoja-asetuksen 24 artiklan 1 kohdassa luetellaan tätä varten tietyt kriteerit, jotka on otettava huomioon tällaisten toimenpiteiden asianmukaisuutta arvioitaessa eli käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit. Kyseisessä säännöksessä lisätään, että näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.

26      Yleisen tietosuoja-asetuksen 32 artiklassa täsmennetään tätä varten rekisterinpitäjän ja mahdollisen henkilötietojen käsittelijän käsittelyn turvallisuutta koskevat velvollisuudet. Kyseisen artiklan 1 kohdassa säädetään siten, että rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava tämän tuomion edellisessä kohdassa mainittuja riskejä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet uusin teknologia, toteuttamiskustannukset ja käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen.

27      Mainitun artiklan 2 kohdassa todetaan myös, että asianmukaisen turvallisuustason arvioinnissa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin muun muassa henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

28      Lisäksi yleisen tietosuoja-asetuksen 24 artiklan 3 kohdassa sekä 32 artiklan 3 kohdassa todetaan, että rekisterinpitäjä ja henkilötietojen käsittelijä voivat osoittaa näiden artiklojen 1 kohdassa säädettyjen vaatimusten noudattamisen tukeutumalla siihen, että se noudattaa yleisen tietosuoja-asetuksen 40 artiklassa säädettyjä hyväksyttyjä käytännesääntöjä ja 42 artiklassa säädettyä hyväksyttyä sertifiointimekanismia.

29      Yleisen tietosuoja-asetuksen 32 artiklan 1 kohdassa oleva viittaus ”riskiä vastaavan turvallisuustasoon” ja 2 kohdassa oleva viittaus ”asianmukaiseen turvallisuustasoon” osoittaa, että yleisellä tietosuoja-asetuksella otetaan käyttöön riskienhallintajärjestelmä ja että siinä ei väitetä poistettavan henkilötietojen tietoturvaloukkauksia koskevia riskejä.

30      Yleisen tietosuoja-asetuksen 24 ja 32 artiklan sanamuodosta ilmenee siten, että kyseisillä säännöksillä ainoastaan velvoitetaan rekisterinpitäjä toteuttamaan teknisiä ja organisatorisia toimenpiteitä, joiden tarkoituksena on mahdollisimman pitkälle välttää henkilötietojen tietoturvaloukkaukset. Tällaisten toimenpiteiden asianmukaisuutta on arvioitava konkreettisesti tarkastellen sitä, onko kyseinen rekisterinpitäjä toteuttanut kyseiset toimenpiteet ottaen huomioon mainituissa artikloissa tarkoitetut eri kriteerit ja kyseessä olevaan käsittelyyn ja siitä johtuviin riskeihin erityisesti liittyvät henkilötietojen suojelun tarpeet.

31      Yleisen tietosuoja-asetuksen 24 ja 32 artiklaa ei näin ollen voida ymmärtää siten, että se, että kolmas osapuoli luovuttaa henkilötietoja luvattomasti tai pääsee niihin luvattomasti, riittää siihen, että voidaan katsoa, että kyseessä olevan rekisterinpitäjän toteuttamat toimenpiteet eivät olleet asianmukaisia kyseisissä säännöksissä tarkoitetussa merkityksessä ilman, että rekisterinpitäjälle annetaan edes mahdollisuutta esittää vastanäyttöä.

32      Tällaista tulkintaa edellyttää etenkin se, että yleisen tietosuoja-asetuksen 24 artiklassa säädetään nimenomaisesti, että rekisterinpitäjän on pystyttävä osoittamaan, että sen toteuttamat toimenpiteet ovat tämän asetuksen mukaisia, mikä ei olisi mahdollista, jos sellainen olettama, jota ei voi kumota, hyväksyttäisiin.

33      Toiseksi kontekstuaaliset ja teleologiset seikat tukevat tätä yleisen tietosuoja-asetuksen 24 ja 32 artiklaa koskevaa tulkintaa.

34      Asiayhteydestä, jonka osa nämä kaksi artiklaa ovat, on yhtäältä todettava, että yleisen tietosuoja-asetuksen 5 artiklan 2 kohdasta ilmenee, että rekisterinpitäjän on pystyttävä osoittamaan, että se on noudattanut kyseisen artiklan 1 kohdassa mainittuja henkilötietojen käsittelyä koskevia periaatteita. Tämä velvollisuus toistetaan ja sitä täsmennetään yleisen tietosuoja-asetuksen 24 artiklan 1–3 kohdassa ja 32 artiklan 3 kohdassa velvollisuutena toteuttaa tekniset ja organisatoriset toimenpiteet tällaisten henkilötietojen suojelemiseksi kyseisen rekisterinpitäjän suorittaman käsittelyn yhteydessä. Tällainen velvollisuus osoittaa näiden toimenpiteiden asianmukaisuus ei kuitenkaan olisi mielekäs, jos rekisterinpitäjä olisi velvollinen estämään kaikki mainittuja henkilötietoja koskevat loukkaukset.

35      Lisäksi yleisen tietosuoja-asetuksen johdanto-osan 74 perustelukappaleessa korostetaan sen tärkeyttä, että rekisterinpitäjällä olisi oltava velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä, ja sen olisi voitava osoittaa, että käsittelytoimet ovat kyseisen asetuksen mukaisia, toimenpiteiden – joita toteutettaessa olisi otettava huomioon kyseessä olevan käsittelyn ominaisuuksiin ja kyseessä olevasta käsittelystä aiheutuvaan riskiin liittyvät kriteerit, jotka mainitaan myös yleisen tietosuoja-asetuksen 24 ja 32 artiklassa –, tehokkuus mukaan luettuna.

36      Vastaavasti yleisen tietosuoja-asetuksen johdanto-osan 76 perustelukappaleen mukaan riskin todennäköisyys ja vakavuus riippuvat kyseessä olevan käsittelyn erityispiirteistä, ja tätä riskiä on arvioitava objektiivisesti.

37      Lisäksi yleisen tietosuoja-asetuksen 82 artiklan 2 ja 3 kohdasta ilmenee, että vaikka rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta, se vapautetaan kuitenkin vastuustaan, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.

38      Toisaalta tämän tuomion 31 kohdassa esitettyä tulkintaa tukee myös yleisen tietosuoja-asetuksen johdanto-osan 83 perustelukappale, jonka ensimmäisessä virkkeessä todetaan, että ”turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi”. Tällä tavoin unionin lainsäätäjä on ilmaissut aikovansa lieventää henkilötietojen tietoturvaloukkauksia koskevia riskejä väittämättä, että mainitut riskit olisi mahdollista poistaa kokonaan.

39      Edellä esitetyn perusteella ensimmäiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 24 ja 32 artiklaa on tulkittava siten, että se, että kyseisen asetuksen 4 artiklan 10 alakohdassa tarkoitetut kolmannet osapuolet luovuttavat henkilötietoja luvattomasti tai pääsevät niihin luvattomasti, ei sellaisenaan riitä sen toteamiseen, että kyseessä olevan rekisterinpitäjän toteuttamat tekniset ja organisatoriset toimenpiteet eivät olleet asianmukaisia 24 ja 32 artiklassa tarkoitetussa merkityksessä.

 Toinen ennakkoratkaisukysymys

40      Toisella kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee pääasiallisesti, onko yleisen tietosuoja-asetuksen 32 artiklaa tulkittava siten, että kansallisten tuomioistuinten on arvioitava rekisterinpitäjän kyseisen artiklan perusteella toteuttamien teknisten ja organisatoristen toimenpiteiden asianmukaisuutta konkreettisesti, erityisesti siten, että se ottaa huomioon kyseessä olevaan käsittelyyn liittyvät riskit.

41      Tältä osin on muistutettava, että – kuten ensimmäiseen kysymykseen annetun vastauksen yhteydessä korostetaan – yleisen tietosuoja-asetuksen 32 artiklassa edellytetään, että rekisterinpitäjä ja henkilötietojen käsittelijä toteuttavat tapauksen mukaan asianmukaiset tekniset ja organisatoriset toimenpiteet riskiä vastaavan turvallisuustason varmistamiseksi ottaen huomioon kyseisen artiklan 1 kohdassa mainitut arviointikriteerit. Lisäksi kyseisen artiklan 2 kohdassa luetellaan esimerkinomaisesti tiettyjä tekijöitä, jotka ovat merkityksellisiä kyseessä olevasta käsittelystä aiheutuvia riskejä koskevaa asianmukaista turvallisuustasoa arvioitaessa.

42      Mainitun 32 artiklan 1 ja 2 kohdasta ilmenee, että tällaisten teknisten ja organisatoristen toimenpiteiden asianmukaisuutta on arvioitava kahdessa vaiheessa. Ensiksi on tunnistettava kyseessä olevasta käsittelystä aiheutuvat henkilötietojen tietoturvaloukkauksia koskevat riskit ja niiden mahdolliset vaikutukset luonnollisten henkilöiden oikeuksiin ja vapauksiin. Kyseinen arviointi on suoritettava konkreettisesti ottaen huomioon tunnistettujen riskien todennäköisyys ja niiden vakavuus. Toiseksi on tarkistettava, ovatko rekisterinpitäjän toteuttamat toimenpiteet mukautettu näihin riskeihin, kun otetaan huomioon uusin teknologia, toteuttamiskustannukset sekä kyseisen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

43      Rekisterinpitäjällä on tosin tiettyä harkintavaltaa määrittää asianmukaiset tekniset ja organisatoriset toimenpiteet riskiä vastaavan turvallisuustason varmistamiseksi, kuten yleisen tietosuoja-asetuksen 32 artiklan 1 kohdassa edellytetään. Kansallisen tuomioistuimen on kuitenkin voitava arvioida rekisterinpitäjän suorittamaa monitahoista arviointia ja näin tehdessään varmistaa, että rekisterinpitäjän toteuttamat toimenpiteet soveltuvat tällaisen turvallisuustason varmistamiseen.

44      Tällainen tulkinta on lisäksi omiaan varmistamaan yhtäältä henkilötietojen suojelun tehokkuuden, jota korostetaan yleisen tietosuoja-asetuksen johdanto-osan 11 ja 74 perustelukappaleessa, ja toisaalta oikeuden tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää vastaan, sellaisena kuin kyseistä oikeutta suojataan yleisen tietosuoja-asetuksen 79 artiklan 1 kohdassa, luettuna yhdessä sen johdanto-osan neljännen perustelukappaleen kanssa.

45      Jotta kansallinen tuomioistuin voi valvoa yleisen tietosuoja-asetuksen 32 artiklan nojalla toteutettujen teknisten ja organisatoristen toimenpiteiden asianmukaisuutta, sen ei näin ollen tule tyytyä vain toteamaan, millä tavoin kyseessä oleva rekisterinpitäjä on pyrkinyt täyttämään kyseisen artiklan nojalla sille kuuluvat velvoitteet, vaan kansallisen tuomioistuimen on tutkittava aineellisesti nämä toimenpiteet kyseisessä artiklassa mainittujen kriteerien, asiassa vallitsevien olosuhteiden ja todisteiden, jotka kyseisellä tuomioistuimella on asiassa käytettävissään, kannalta.

46      Tällainen tutkinta edellyttää konkreettista arviointia rekisterinpitäjän toteuttamien toimenpiteiden luonteesta ja sisällöstä, näiden toimenpiteiden soveltamistavasta sekä niiden käytännön vaikutuksista turvallisuustasoon, jonka varmistaminen on rekisterinpitäjän asiana, kun otetaan huomioon tähän käsittelyyn liittyvät riskit.

47      Näin ollen toiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 32 artiklaa on tulkittava siten, että kansallisten tuomioistuinten on arvioitava konkreettisesti rekisterinpitäjän kyseisen artiklan perusteella toteuttamien teknisten ja organisatoristen toimenpiteiden asianmukaisuutta ottaen huomioon kyseessä olevaan käsittelyyn liittyvät riskit ja arvioiden, onko näiden toimenpiteiden luonne, sisältö ja täytäntöönpano mukautettu näihin riskeihin.

 Kolmas ennakkoratkaisukysymys

 Kolmannen kysymyksen ensimmäinen osa

48      Kolmannen kysymyksensä ensimmäisessä osassa ennakkoratkaisua pyytänyt tuomioistuin tiedustelee pääasiallisesti, onko yleisen tietosuoja-asetuksen 5 artiklan 2 kohdassa todettua osoitusvelvollisuuden periaatetta, joka konkretisoidaan sen 24 artiklassa, tulkittava siten, että kyseessä olevalla rekisterinpitäjällä on kyseisen asetuksen 82 artiklaan perustuvan vahingonkorvauskanteen yhteydessä todistustaakka siitä, että sen yleisen tietosuoja-asetuksen 32 artiklan nojalla toteuttamat turvallisuustoimenpiteet ovat asianmukaisia.

49      Tältä osin on ensimmäiseksi muistutettava, että yleisen tietosuoja-asetuksen 5 artiklan 2 kohdassa esitetään osoitusvelvollisuuden periaate, jonka nojalla rekisterinpitäjä vastaa siitä, että kyseisen artiklan 1 kohdassa mainittuja henkilötietojen käsittelyä koskevia periaatteita on noudatettu, ja säädetään, että rekisterinpitäjän on pystyttävä osoittamaan, että näitä periaatteita noudatetaan.

50      Erityisesti on todettava, että rekisterinpitäjän on yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa mainitun henkilötietoja koskevan eheys ja luottamuksellisuus ‑periaatteen mukaisesti huolehdittava siitä, että henkilötietoja käsitellään tavalla, jolla varmistetaan niiden asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoamiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia, ja sen on pystyttävä osoittamaan, että tätä periaatetta noudatetaan.

51      On myös todettava, että yleisen tietosuoja-asetuksen 24 artiklan 1 kohdassa, luettuna sen johdanto-osan 74 perustelukappaleen valossa, ja yleisen tietosuoja-asetuksen 32 artiklan 1 kohdassa asetetaan rekisterinpitäjälle kaikessa sen suorittamassa tai sen puolesta suoritetussa henkilötietojen käsittelyssä velvollisuus toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan kyseistä asetusta.

52      Yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan, 24 artiklan 1 kohdan ja 32 artiklan 1 kohdan sanamuodosta ilmenee yksiselitteisesti, että todistustaakka siitä, että henkilötietoja käsitellään tavalla, jolla varmistetaan niiden asianmukainen turvallisuus kyseisen asetuksen 5 artiklan 1 kohdan f alakohdassa ja 32 artiklassa tarkoitetussa merkityksessä, on kyseisellä rekisterinpitäjällä (ks. analogisesti tuomio 4.5.2023, Bundesrepublik Deutschland (Sähköinen tuomioistuinasioiden postilaatikko), C‑60/22, EU:C:2023:373, 52 ja 53 kohta ja tuomio 4.7.2023, Meta Platforms ym. (Yhteisöpalvelun yleiset käyttöehdot), C‑252/21, EU:C:2023:537, 95 kohta).

53      Näissä kolmessa artiklassa säädetään siten yleisesti sovellettavasta säännöstä, jota on sovellettava – ellei yleisessä tietosuoja-asetuksessa toisin mainita – myös kyseisen asetuksen 82 artiklaan perustuvan vahingonkorvauskanteen yhteydessä.

54      Toiseksi on todettava, että edellä esitettyä sanamuodon mukaista tulkintaa tukee yleisen tietosuoja-asetuksen tavoitteiden huomioon ottaminen.

55      Yhtäältä on niin, että koska yleisessä tietosuoja-asetuksessa tarkoitetun suojelun taso riippuu rekisterinpitäjien toteuttamista turvallisuustoimenpiteistä, niitä on kannustettava tekemään kaikkensa tämän asetuksen vastaisten käsittelytoimien estämiseksi, koska niillä on todistustaakka siitä, että kyseiset toimenpiteet ovat asianmukaisia.

56      Toisaalta on niin, että jos katsottaisiin, että edellä mainittujen toimenpiteiden asianmukaisuutta koskeva todistustaakka kuuluu rekisteröidyille, sellaisena kuin ne määritellään yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa, tästä seuraisi, että kyseisen asetuksen 82 artiklan 1 kohdassa säädetyn korvausta koskevan oikeuden tehokkaasta vaikutuksesta vietäisiin merkittävä osa, vaikka unionin lainsäätäjä pyrki vahvistamaan samalla kertaa sekä rekisteröityjen oikeuksia että rekisterinpitäjien velvoitteita kyseistä asetusta edeltäviin säännöksiin verrattuna, kuten yleisen tietosuoja-asetuksen johdanto-osan 11 perustelukappaleessa todetaan.

57      Kolmannen kysymyksen ensimmäisen osan on näin ollen vastattava, että yleisen tietosuoja-asetuksen 5 artiklan 2 kohdassa todettua ja sen 24 artiklassa konkretisoitua osoitusvelvollisuuden periaatetta on tulkittava siten, että kyseessä olevalla rekisterinpitäjällä on kyseisen asetuksen 82 artiklaan perustuvan vahingonkorvauskanteen yhteydessä todistustaakka siitä, että sen yleisen tietosuoja-asetuksen 32 artiklan nojalla toteuttamat turvallisuustoimenpiteet ovat asianmukaisia.

 Kolmannen kysymyksen toinen osa

58      Kolmannen kysymyksensä toisessa osassa ennakkoratkaisua pyytänyt tuomioistuin pyrkii pääasiallisesti selvittämään, onko yleisen tietosuoja-asetuksen 32 artiklaa ja unionin oikeuden tehokkuusperiaatetta tulkittava siten, että asiantuntijalausunto on tarvittava ja riittävä todiste rekisterinpitäjän mainitun artiklan nojalla toteuttamien turvallisuustoimenpiteiden asianmukaisuuden arvioimiseksi.

59      Tältä osin on syytä muistuttaa, että unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan asiaa koskevien unionin säännösten puuttuessa kunkin jäsenvaltion asiana on menettelyllisen itsemääräämisoikeuden periaatteen nojalla vahvistaa sisäisessä oikeusjärjestyksessään menettelysäännöt sellaisia oikeussuojakeinoja varten, joilla pyritään turvaamaan yksityisillä olevien oikeuksien suojaaminen, kuitenkin sillä edellytyksellä, että nämä menettelysäännöt eivät ole unionin oikeuden alaisuuteen kuuluvissa tilanteissa epäedullisempia kuin samankaltaisia kansallisen oikeuden piiriin kuuluvia tilanteita koskevat säännöt (vastaavuusperiaate) eivätkä ne ole sellaisia, että unionin oikeudessa annettujen oikeuksien käyttäminen on käytännössä mahdotonta tai suhteettoman vaikeaa (tehokkuusperiaate) (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 53 oikeuskäytäntöviittauksineen).

60      Nyt käsiteltävässä asiassa on todettava, ettei yleisessä tietosuoja-asetuksessa säädetä todistuskeinon, kuten asiantuntijalausunnon, hyväksymistä ja todistusarvoa koskevista säännöistä, joita sellaisten kansallisten tuomioistuinten on sovellettava, joissa on nostettu vahingonkorvauskanne kyseisen asetuksen 82 artiklan nojalla ja joiden asiana on arvioida kyseessä olevan rekisterinpitäjän toteuttamien turvallisuustoimenpiteiden asianmukaisuuttamainitun asetuksen 32 artiklan kannalta. Näin ollen on niin, että – kuten tämän tuomion edellisessä kohdassa on muistutettu – asiaa koskevien unionin säännösten puuttuessa kunkin jäsenvaltion kansallisessa oikeusjärjestyksessä on vahvistettava kanteita, joilla pyritään turvaamaan yksityisten kyseiseen 82 artiklaan perustuvat oikeudet, koskevat yksityiskohtaiset säännöt ja erityisesti säännöt, jotka koskevat todistuskeinoja, joiden avulla voidaan arvioida näiden toimenpiteiden asianmukaisuutta tässä yhteydessä, sillä edellytyksellä, että vastaavuus- ja tehokkuusperiaatteita noudatetaan (ks. analogisesti tuomio 21.6.2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, 297 kohta ja tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 54 kohta).

61      Unionin tuomioistuimella ei ole käsiteltävässä asiassa tiedossaan mitään sellaista seikkaa, joka voisi antaa aiheen epäillä sitä, onko vastaavuusperiaatetta noudatettu. Tilanne on toinen tehokkuusperiaatteen noudattamisen osalta, koska jo kolmannen kysymyksen toisen osan sanamuodon mukaan asiantuntijalausuntoon turvautuminen esitetään tarvittavana ja riittävänä todistuskeinona.

62      Erityisesti sellainen kansallinen menettelysäännös, jonka nojalla olisi systemaattisesti tarpeellista, että kansalliset tuomioistuimet määräävät asiantuntijalausunnon hankkimisesta, on omiaan loukkaamaan tehokkuusperiaatetta. Systemaattinen turvautuminen tällaiseen asiantuntijalausuntoon voi nimittäin olla tarpeetonta, kun otetaan huomioon sen tuomioistuimen, jossa kanne on nostettu, hallussa olevat muut todisteet eli erityisesti – kuten Bulgarian hallitus totesi kirjallisissa huomautuksissaan – sellaisen tutkinnan tulokset, jonka riippumaton ja lailla perustettu viranomainen on suorittanut siitä, että henkilötietojen suojelua koskevia toimenpiteitä on noudatettu, edellyttäen, että kyseinen tutkinta on suoritettu hiljattain, koska näitä toimenpiteitä on yleisen tietosuoja-asetuksen 24 artiklan 1 kohdan mukaan tarkistettava ja päivitettävä tarvittaessa.

63      Lisäksi on niin, että – kuten Euroopan komissio on kirjallisissa huomautuksissaan todennut – tehokkuusperiaatetta saatettaisiin loukata, jos ilmaisun ”riittävä” olisi ymmärrettävä tarkoittavan sitä, että kansallisen tuomioistuimen on pääteltävä yksinomaan tai automaattisesti asiantuntijalausunnon perusteella, että kyseessä olevan rekisterinpitäjän toteuttamat turvallisuustoimenpiteet ovat asianmukaisia yleisen tietosuoja-asetuksen 32 artiklassa tarkoitetussa merkityksessä. Tällä asetuksella myönnettyjen oikeuksien turvaaminen, johon mainitulla tehokkuusperiaatteella pyritään, ja erityisesti oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää vastaan, joka taataan kyseisen asetuksen 79 artiklan 1 kohdassa, edellyttävät kuitenkin, että puolueeton tuomioistuin arvioi objektiivisesti kyseisten toimenpiteiden asianmukaisuutta sen sijaan, että se tyytyisi tällaiseen päättelyyn (ks. vastaavasti tuomio 12.1.2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, 50 kohta).

64      Edellä esitetyn perusteella kolmannen kysymyksen toiseen osaan on vastattava, että yleisen tietosuoja-asetuksen 32 artiklaa ja unionin oikeuden tehokkuusperiaatetta on tulkittava siten, että asiantuntijalausunto ei voi olla systemaattisesti tarvittava ja riittävä todiste rekisterinpitäjän tämän artiklan nojalla toteuttamien turvallisuustoimenpiteiden asianmukaisuuden arvioimiseksi.

 Neljäs ennakkoratkaisukysymys

65      Neljännellä kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee pääasiallisesti, onko yleisen tietosuoja-asetuksen 82 artiklan 3 kohtaa tulkittava siten, että rekisterinpitäjä vapautetaan kyseisen asetuksen 82 artiklan 1 ja 2 kohdan mukaisesta velvollisuudestaan korvata rekisteröidyn kärsimä vahinko jo pelkästään sillä perusteella, että tämä vahinko on seurausta siitä, että mainitun asetuksen 4 artiklan 10 alakohdassa tarkoitetut kolmannet osapuolet luovuttavat henkilötietoja luvattomasti tai pääsevät niihin luvattomasti.

66      Aluksi on täsmennettävä, että yleisen tietosuoja-asetuksen 4 artiklan 10 alakohdasta ilmenee, että kolmannella osapuolella tarkoitetaan muun muassa muita henkilöitä kuin niitä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena. Tämä määritelmä kattaa sellaiset henkilöt, jotka eivät ole rekisterinpitäjän palveluksessa ja jotka eivät kuulu sen määräysvaltaan, kuten esitetyssä kysymyksessä kyseessä olevat henkilöt.

67      Seuraavaksi on muistutettava ensinnäkin, että yleisen tietosuoja-asetuksen 82 artiklan 2 kohdassa säädetään, että ”kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta”, ja että kyseisen artiklan 3 kohdassa säädetään, että rekisterinpitäjä tai henkilötietojen käsittelijä on tapauksen mukaan vapautettava tällaisesta vastuusta, ”jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta”.

68      Lisäksi yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappaleen, joka liittyy erityisesti kyseisen asetuksen 82 artiklaan, ensimmäisessä ja toisessa virkkeessä todetaan, että ”rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava luonnollisille henkilöille vahingot, jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu tätä asetusta”, ja että se ”olisi vapautettava korvausvelvollisuudesta, jos se osoittaa, ettei se ole millään tavalla vastuussa kyseisestä vahingosta”.

69      Näistä säännöksistä seuraa yhtäältä, että kyseessä olevan rekisterinpitäjän on lähtökohtaisesti korvattava sellainen vahinko, joka on aiheutunut tähän käsittelyyn liittyvästä yleisen tietosuoja-asetuksen rikkomisesta, ja toisaalta, että rekisterinpitäjä voidaan vapauttaa korvausvelvollisuudesta ainoastaan, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.

70      Kuten adverbin ”millään tavoin” nimenomainen lisääminen lainsäädäntömenettelyn aikana osoittaa, olosuhteet, joissa rekisterinpitäjä voi vaatia vapauttamistaan siihen yleisen tietosuoja-asetuksen 82 artiklan nojalla kohdistuvasta siviilioikeudellisesta vastuusta, on rajoitettava yksinomaan olosuhteisiin, joissa mainittu rekisterinpitäjä voi osoittaa, että se ei ole vastuussa vahingosta.

71      Kun yleisen tietosuoja-asetuksen 4 artiklan 12 alakohdassa tarkoitetun henkilötietojen tietoturvaloukkauksen ovat tehneet kyberrikolliset eli kyseisen asetuksen 4 artiklan 10 alakohdassa tarkoitetut kolmannet osapuolet, kuten nyt käsiteltävässä asiassa, rekisterinpitäjää ei voida saattaa vastuuseen tästä loukkauksesta paitsi jos se mahdollisti kyseisen loukkauksen siten, että se ei noudattanut jotain yleisessä tietosuoja-asetuksessa säädettyä velvollisuutta eikä muun muassa sille kyseisen asetuksen 5 artiklan 1 kohdan f alakohdan, 24 artiklan ja 32 artiklan nojalla kuuluvaa velvollisuutta suojella henkilötietoja.

72      Kun siis henkilötietojen tietoturvaloukkauksen on tehnyt kolmas osapuoli, rekisterinpitäjä voi yleisen tietosuoja-asetuksen 82 artiklan 3 kohdan nojalla vapautua vastuustaan osoittamalla, ettei sen henkilötietojen suojeluvelvollisuuden mahdollisen loukkauksen ja luonnollisen henkilön kärsimän vahingon välillä ole minkäänlaista syy-yhteyttä.

73      Toiseksi edellä oleva tulkinta kyseisestä 82 artiklan 3 kohdasta on myös yleisen tietosuoja-asetuksen sen tavoitteen mukainen, joka koskee korkeatasoisen luonnollisten henkilöiden suojelun varmistamista heidän henkilötietojensa käsittelyssä ja joka todetaan tämän asetuksen johdanto-osan 10 ja 11 perustelukappaleessa.

74      Kaiken edellä esitetyn perusteella neljänteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 3 kohtaa on tulkittava siten, että rekisterinpitäjää ei voida vapauttaa kyseisen asetuksen 82 artiklan 1 ja 2 kohdan mukaisesta velvollisuudestaan korvata rekisteröidyn kärsimä vahinko jo pelkästään sillä perusteella, että tämä vahinko on seurausta siitä, että mainitun asetuksen 4 artiklan 10 alakohdassa tarkoitetut kolmannet osapuolet luovuttavat henkilötietoja luvattomasti tai pääsevät niihin luvattomasti, vaan voidakseen tulla vapautetuksi kyseisestä velvollisuudesta kyseisen rekisterinpitäjän on osoitettava, ettei se ole millään tavoin vastuussa tämän vahingon aiheuttaneesta tapahtumasta.

 Viides kysymys

75      Viidennellä kysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee pääasiallisesti, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että rekisteröidyn kyseisen asetuksen rikkomisen seurauksena tuntema pelko siitä, että kolmannet osapuolet mahdollisesti käyttävät väärin hänen henkilötietojaan, voi sellaisenaan olla mainitussa säännöksessä tarkoitettua ”henkistä kärsimystä”.

76      Ensinnäkin yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan sanamuodosta on todettava, että siinä säädetään, että ”jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta”.

77      Unionin tuomioistuin on tältä osin todennut, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan sanamuodosta ilmenee selvästi, että vahingon olemassaolo on yksi kyseisessä säännöksessä säädetyn korvauksen saamista koskevan oikeuden kolmesta kumulatiivisesta edellytyksestä samoin kuin se, että mainittua asetusta on rikottu ja että vahingon ja kyseisen rikkomisen välillä on syy-yhteys (tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 32 kohta).

78      Lisäksi unionin tuomioistuin on tulkinnut yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa sananmukaisen, systemaattisen ja teleologisten näkökohtien perusteella siten, että se on esteenä kansalliselle oikeussäännölle tai käytännölle, jossa asetetaan kyseisessä säännöksessä tarkoitetun aineettoman vahingon korvaamisen edellytykseksi se, että rekisteröidylle aiheutunut vahinko on vakavuudeltaan tietynasteinen (tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 51 kohta).

79      Tämän jälkeen nyt käsiteltävässä asiassa on korostettava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa ei tehdä eroa sellaisten tilanteiden välillä, jossa kyseisen asetuksen säännösten todetusta rikkomisesta rekisteröidylle väitetysti aiheutunut henkinen kärsimys liittyy yhtäältä siihen, että kolmannet osapuolet ovat käyttäneet hänen henkilötietojaan väärin jo korvausvaatimuksen esittämisajankohtana, tai toisaalta tämän henkilön kokemaan pelkoon siitä, että tällaista väärinkäyttöä voisi esiintyä tulevaisuudessa.

80      Näin ollen yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan sanamuoto ei sulje pois sitä, että kyseisessä säännöksessä oleva ilmaisu ”aineeton vahinko” kattaa ennakkoratkaisua pyytäneen tuomioistuimen tarkoittaman tilanteen, jossa rekisteröity vetoaa – saadakseen mainitun säännöksen nojalla korvauksen – pelkoonsa siitä, että kolmannet osapuolet käyttävät tulevaisuudessa väärin hänen henkilötietojaan yleisen tietosuoja-asetuksen tapahtuneen rikkomisen seurauksena.

81      Tätä sanamuodon mukaista tulkintaa tukee toiseksi yleisen tietosuoja-asetuksen johdanto-osan 146 perustelukappale, joka koskee erityisesti sen 82 artiklan 1 kohdassa säädettyä oikeutta korvauksen saamiseen ja jonka kolmannessa virkkeessä todetaan, että ”vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon”. Kuitenkin 82 artiklan 1 kohdassa tarkoitetun aineettoman vahingon käsitteen sellainen tulkinta, jonka mukaan siihen eivät kuuluisi tilanteet, joissa henkilö, jota kyseisen asetuksen rikkominen koskee, vetoaa pelkoonsa siitä, että hänen henkilötietojaan käytetään tulevaisuudessa väärin, ei vastaisi unionin lainsäätäjän tarkoittamaa tämän käsitteen laajaa tulkintaa (ks. analogisesti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 37 ja 46 kohta).

82      Yleisen tietosuoja-asetuksen johdanto-osan 85 perustelukappaleen ensimmäisessä virkkeessä todetaan myös, että ”jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja, kuten omien henkilötietojen hallitsemiskyvyn menettäminen tai oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, – – tai muuta merkittävää taloudellista tai sosiaalista vahinkoa”. Tästä esimerkinomaisesta luettelosta, joka koskee vahinkoja, jotka voivat aiheutua rekisteröidyille, ilmenee, että unionin lainsäätäjä on tarkoittanut sisällyttää näihin käsitteisiin erityisesti jo pelkän heidän omien henkilötietojen hallitsemiskyvyn menettämisen yleisen tietosuoja-asetuksen rikkomisen seurauksena, vaikka kyseessä olevia henkilötietoja ei olisikaan konkreettisesti käytetty väärin kyseisten rekisteröityjen vahingoksi.

83      Kolmanneksi ja viimeiseksi tämän tuomion 80 kohdassa olevaa tulkintaa tukevat yleisen tietosuoja-asetuksen tavoitteet, jotka on otettava kaikilta osin huomioon vahingon käsitteen määrittelemiseksi, kuten kyseisen asetuksen johdanto-osan 146 perustelukappaleen kolmannessa virkkeessä todetaan. Kuitenkin sellainen yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan tulkinta, jonka mukaan kyseisessä säännöksessä tarkoitettu aineettoman vahingon käsite ei kata tilanteita, joissa rekisteröity vetoaa pelkästään pelkoonsa siitä, että kolmannet osapuolet käyttävät tulevaisuudessa väärin hänen henkilötietojaan, ei olisi korkeatasoista luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä unionissa koskevan suojatoimen, johon tässä säännöksessä viitataan, mukainen.

84      On kuitenkin korostettava, että henkilö, jota yleisen tietosuoja-asetuksen sellainen rikkominen koskee, jolla oli hänen kannaltaan kielteisiä seurauksia, on velvollinen osoittamaan, että tällaiset seuraukset muodostavat kyseisen asetuksen 82 artiklassa tarkoitetun aineettoman vahingon (ks. vastaavasti tuomio 4.5.2023, Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko), C‑300/21, EU:C:2023:370, 50 kohta).

85      Erityisesti silloin, kun henkilö, joka vaatii korvausta tällä perusteella, vetoaa pelkoonsa siitä, että hänen henkilötietojaan käytetään tulevaisuudessa väärin tällaisen rikkomisen tähden, asiaa käsittelevän tuomioistuimen on selvitettävä, että tämä pelko voidaan asiaan liittyvissä erityisissä olosuhteissa ja rekisteröidyn kannalta katsoa perustelluksi.

86      Edellä esitetyn perusteella viidenteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että rekisteröidyn kyseisen asetuksen rikkomisen seurauksena tuntema pelko siitä, että kolmannet osapuolet käyttävät väärin hänen henkilötietojaan, voi sellaisenaan olla mainitussa säännöksessä tarkoitettua ”aineetonta vahinkoa”.

 Oikeudenkäyntikulut

87      Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (kolmas jaosto) on ratkaissut asian seuraavasti:

1)      Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja‑asetus) 24 ja 32 artiklaa

on tulkittava siten, että

se, että kyseisen asetuksen 4 artiklan 10 alakohdassa tarkoitetut kolmannet osapuolet luovuttavat henkilötietoja luvattomasti tai pääsevät niihin luvattomasti, ei sellaisenaan riitä sen toteamiseen, että kyseessä olevan rekisterinpitäjän toteuttamat tekniset ja organisatoriset toimenpiteet eivät olleet asianmukaisia 24 ja 32 artiklassa tarkoitetussa merkityksessä.

2)      Asetuksen 2016/679 32 artiklaa

on tulkittava siten, että

kansallisten tuomioistuinten on arvioitava konkreettisesti rekisterinpitäjän kyseisen artiklan perusteella toteuttamien teknisten ja organisatoristen toimenpiteiden asianmukaisuutta ottaen huomioon kyseessä olevaan käsittelyyn liittyvät riskit ja arvioiden, onko näiden toimenpiteiden luonne, sisältö ja täytäntöönpano mukautettu näihin riskeihin.

3)      Asetuksen 2016/679 5 artiklan 2 kohdassa mainittua ja sen 24 artiklassa konkretisoitua osoitusvelvollisuuden periaatetta

on tulkittava siten, että

kyseessä olevalla rekisterinpitäjällä on kyseisen asetuksen 82 artiklaan perustuvan vahingonkorvauskanteen yhteydessä todistustaakka siitä, että sen yleisen tietosuoja-asetuksen 32 artiklan nojalla toteuttamat turvallisuustoimenpiteet ovat asianmukaisia.

4)      Asetuksen 2016/679 32 artiklaa ja unionin oikeuden tehokkuusperiaatetta

on tulkittava siten, että

asiantuntijalausunto ei voi olla systemaattisesti tarvittava ja riittävä todiste rekisterinpitäjän tämän artiklan nojalla toteuttamien turvallisuustoimenpiteiden asianmukaisuuden arvioimiseksi.

5)      Direktiivin 2016/679 82 artiklan 3 kohtaa

on tulkittava siten, että

rekisterinpitäjää ei voida vapauttaa kyseisen asetuksen 82 artiklan 1 ja 2 kohdan mukaisesta velvollisuudestaan korvata rekisteröidyn kärsimä vahinko jo pelkästään sillä perusteella, että tämä vahinko on seurausta siitä, että mainitun asetuksen 4 artiklan 10 alakohdassa tarkoitetut kolmannet osapuolet luovuttavat henkilötietoja luvattomasti tai pääsevät niihin luvattomasti, vaan voidakseen tulla vapauksesta kyseisestä velvollisuudesta kyseisen rekisterinpitäjän on osoitettava, ettei se ole millään tavoin vastuussa tämän vahingon aiheuttaneesta tapahtumasta.

6)      Direktiivin 2016/679 82 artiklan 1 kohtaa

on tulkittava siten, että

rekisteröidyn kyseisen asetuksen rikkomisen seurauksena tuntema pelko siitä, että kolmannet osapuolet käyttävät väärin hänen henkilötietojaan, voi sellaisenaan olla mainitussa säännöksessä tarkoitettua ”aineetonta vahinkoa”.

Allekirjoitukset

*      Oikeudenkäyntikieli: bulgaria.