Απόφαση του Δικαστηρίου (τρίτο τμήμα) της 14ης Δεκεμβρίου 2023 [αίτηση του Varhoven administrativen sad (Βουλγαρία) για την έκδοση προδικαστικής αποφάσεως] – VB κατά Natsionalna agentsia za prihodite
(Υπόθεση C-340/21 1 , Natsionalna agentsia za prihodite)
[Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 5 – Αρχές που διέπουν την επεξεργασία – Άρθρο 24 – Ευθύνη του υπευθύνου επεξεργασίας – Άρθρο 32 – Μέτρα που εφαρμόζονται για τη διασφάλιση της ασφάλειας της επεξεργασίας – Εκτίμηση της καταλληλότητας τέτοιων μέτρων – Έκταση του δικαστικού ελέγχου – Διεξαγωγή των αποδείξεων – Άρθρο 82 – Δικαίωμα αποζημίωσης και ευθύνη – Ενδεχόμενο απαλλαγής του υπευθύνου επεξεργασίας από την ευθύνη σε περίπτωση παραβίασης από τρίτους – Αίτημα αποκατάστασης μη υλικής ζημίας λόγω φόβου για ενδεχόμενη κατάχρηση δεδομένων προσωπικού χαρακτήρα]
Γλώσσα διαδικασίας: η βουλγαρική
Αιτούν δικαστήριο
Varhoven administrativen sad
Διάδικοι στην υπόθεση της κύριας δίκης
VB
κατά
Natsionalna agentsia za prihodite
Διατακτικό
Τα άρθρα 24 και 32 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),
έχουν την έννοια ότι:
μια άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή μια άνευ αδείας πρόσβαση σε τέτοια δεδομένα από «τρίτους», κατά την έννοια του άρθρου 4, σημείο 10, του κανονισμού αυτού, δεν αρκούν αφ’ εαυτών για να θεωρηθεί ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα», κατά την έννοια των άρθρων 24 και 32.
Το άρθρο 32 του κανονισμού 2016/679
έχει την έννοια ότι:
τα εθνικά δικαστήρια πρέπει να εκτιμούν κατά τρόπο συγκεκριμένο την καταλληλότητα των τεχνικών και οργανωτικών μέτρων που εφαρμόζει ο υπεύθυνος επεξεργασίας δυνάμει του άρθρου αυτού, λαμβάνοντας υπόψη τους κινδύνους που συνδέονται με τη συγκεκριμένη επεξεργασία και εξετάζοντας αν η φύση, το περιεχόμενο και η εφαρμογή των μέτρων είναι προσαρμοσμένα στους κινδύνους αυτούς.
Η αρχή της ευθύνης του υπευθύνου επεξεργασίας, όπως εξαγγέλλεται στο άρθρο 5, παράγραφος 2, και εξειδικεύεται στο άρθρο 24 του κανονισμού 2016/679,
έχει την έννοια ότι:
στο πλαίσιο αγωγής αποζημίωσης που ασκείται βάσει του άρθρου 82 του κανονισμού, ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης της καταλληλότητας των μέτρων ασφαλείας που εφάρμοσε δυνάμει του άρθρου 32 του εν λόγω κανονισμού.
Το άρθρο 32 του κανονισμού 2016/679 και η αρχή της αποτελεσματικότητας του δικαίου της Ένωσης
έχουν την έννοια ότι:
η δικαστική πραγματογνωμοσύνη δεν μπορεί να συνιστά συστηματικώς αναγκαίο και επαρκές αποδεικτικό μέσο προκειμένου να εκτιμηθεί η καταλληλότητα των μέτρων ασφαλείας που εφάρμοσε ο υπεύθυνος επεξεργασίας βάσει του άρθρου αυτού.
Το άρθρο 82, παράγραφος 3, του κανονισμού 2016/679
έχει την έννοια ότι:
ο υπεύθυνος επεξεργασίας δεν μπορεί να απαλλαγεί από την υποχρέωσή του να αποκαταστήσει, βάσει του άρθρου 82, παράγραφοι 1 και 2, του κανονισμού αυτού, τη ζημία που υπέστη ένα πρόσωπο, για τον λόγο και μόνον ότι η ζημία αυτή προκλήθηκε από άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή από άνευ αδείας πρόσβαση σε τέτοια δεδομένα από «τρίτους», κατά την έννοια του άρθρου 4, σημείο 10, του εν λόγω κανονισμού, καθώς και ότι, στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας οφείλει να αποδείξει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.
Το άρθρο 82, παράγραφος 1, του κανονισμού 2016/679
έχει την έννοια ότι:
ο φόβος υποκειμένου δεδομένων προσωπικού χαρακτήρα για ενδεχόμενη κατάχρηση των δεδομένων αυτών από τρίτους, ο οποίος προκλήθηκε στο πρόσωπο αυτό κατόπιν παράβασης του κανονισμού, μπορεί αφ’ εαυτού να αποτελέσει «μη υλική ζημία» κατά την έννοια της διάταξης αυτής.
____________
1 ΕΕ C 329 της 16/8/2021.