2023 m. gruodžio 14 d. Teisingumo Teismo (trečioji kolegija) sprendimas byloje (Varhoven administrativen sad (Bulgarija) prašymas priimti prejudicinį sprendimą) VB / Natsionalna agentsia za prihodite
(Byla C-340/211 , Natsionalna agentsia za prihodite)
(Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 5 straipsnis – Duomenų tvarkymo principai – 24 straipsnis – Duomenų valdytojo atsakomybė – 32 straipsnis – Priemonės, įgyvendinamos duomenų tvarkymo saugumui užtikrinti – Tokių priemonių tinkamumo vertinimas – Teisminės kontrolės apimtis – Įrodymų rinkimas – 82 straipsnis – Teisė į kompensaciją ir atsakomybė – Galimas duomenų valdytojo atleidimas nuo atsakomybės, kai pažeidimą padaro tretieji asmenys – Prašymas atlyginti neturtinę žalą, grindžiamas nuogąstavimu dėl potencialaus piktnaudžiavimo asmens duomenimis)
Proceso kalba: bulgarų
Prašymą priimti prejudicinį sprendimą pateikęs teismas
Varhoven administrativen sad
Šalys pagrindinėje byloje
Kasatorė: VB
Kita kasacinio proceso šalis: Natsionalna agentsia za prihodite
Rezoliucinė dalis
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 24 ir 32 straipsniai
turi būti aiškinami taip:
vien aplinkybės, jog „tretieji asmenys“, kaip jie suprantami pagal šio reglamento 4 straipsnio 10 punktą, be leidimo atskleidė asmens duomenis arba be leidimo gavo prie jų prieigą, nepakanka, kad būtų galima preziumuoti, jog atitinkamo duomenų valdytojo įgyvendintos techninės ir organizacinės priemonės nebuvo „tinkamos“, kaip tai suprantama pagal 24 ir 32 straipsnius.
Reglamento 2016/679 32 straipsnis
turi būti aiškinamas taip:
techninių ir organizacinių priemonių, kurias pagal šį straipsnį įgyvendina duomenų valdytojas, tinkamumą nacionaliniai teismai turi vertinti konkrečiai, atsižvelgdami į su atitinkamu duomenų tvarkymu susijusius pavojus ir vertindami, ar šių priemonių pobūdis, turinys ir įgyvendinimas pritaikytas tokiems pavojams.
Reglamento 2016/679 5 straipsnio 2 dalyje įtvirtintas ir jo 24 straipsnyje sukonkretintas duomenų valdytojo atsakomybės principas
turi būti aiškinamas taip:
nagrinėjant šio reglamento 82 straipsniu grindžiamą ieškinį dėl žalos atlyginimo, atitinkamam duomenų valdytojui tenka pareiga įrodyti saugumo priemonių, kurias įgyvendino pagal minėto reglamento 32 straipsnį, tinkamumą.
Reglamento 2016/679 32 straipsnis ir Sąjungos teisės veiksmingumo principas
turi būti aiškinami taip:
siekiant įvertinti saugumo priemonių, kurias duomenų valdytojas įgyvendino pagal šį straipsnį, tinkamumą, teismo ekspertizė negali būti bet kuriuo atveju būtinas ir pakankamas įrodymas.
Direktyvos 2016/679 82 straipsnio 3 dalis
turi būti aiškinama taip:
duomenų valdytojas negali būti atleistas nuo pareigos pagal šio reglamento 82 straipsnio 1 ir 2 dalis atlyginti asmens patirtą žalą vien dėl to, kad žala kilo „tretiesiems asmenims“, kaip jie suprantami pagal šio reglamento 4 straipsnio 10 punktą, be leidimo atskleidus asmens duomenis arba be leidimo gavus prie jų prieigą, nes duomenų valdytojas privalo įrodyti, kad jokiu būdu nėra atsakingas už įvykį, dėl kurio patirta žala.
Direktyvos 2016/679 82 straipsnio 1 dalis
turi būti aiškinama taip:
duomenų subjekto nuogąstavimai, jog tretieji asmenys gali piktnaudžiauti jo asmens duomenimis dėl šio reglamento pažeidimo, savaime gali reikšti „neturtinę žalą“, kaip ji suprantama pagal šią nuostatą.
____________
1 OL C 329, 2021 8 16.