CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:986

DOMSTOLENS DOM (tredje avdelningen)

den 14 december 2023(*)

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Artikel 5 – Principer för behandling av personuppgifter – Artikel 24 – Den personuppgiftsansvariges ansvar – Artikel 32 – Genomförandeåtgärder för att säkerställa säkerhet i samband med personuppgiftsbehandling – Bedömning av huruvida sådana åtgärder är lämpliga – Omfattningen av domstolsprövningen – Bevisupptagning – Artikel 82 – Rätt till ersättning och skadeståndsansvar – Fråga huruvida den personuppgiftsansvarige kan undgå ansvar i fall där överträdelsen av förordningen har begåtts av utomstående aktörer – Begäran från en registrerad om ersättning för ideell skada som grundas på den registrerades fruktan för att hans eller hennes personuppgifter kan komma att missbrukas i framtiden”

I mål C‑340/21,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Varhoven administrativen sad (Högsta förvaltningsdomstolen, Bulgarien) genom beslut av den 14 maj 2021, som inkom till domstolen den 2 juni 2021, i målet

mot

Natsionalna agentsia za prihodite

meddelar

DOMSTOLEN (tredje avdelningen),

sammansatt av avdelningsordföranden K. Jürimäe, samt domarna N. Piçarra, M. Safjan, N. Jääskinen (referent) och M. Gavalec,

generaladvokat: G. Pitruzzella,

justitiesekreterare: A. Calot Escobar,

efter det skriftliga förfarandet,

med beaktande av de yttranden som avgetts av:

– Natsionalna agentsia za prihodite, genom R. Spetsov,

– Bulgariens regering, genom M. Georgieva och L. Zaharieva, båda i egenskap av ombud,

– Tjeckiens regering, genom O. Serdula, M. Smolek och J. Vláčil, samtliga i egenskap av ombud,

– Irland, genom M. Browne, Chief State Solicitor, A. Joyce, J. Quaney och M. Tierney, samtliga i egenskap av ombud, biträdda av D. Fennelly, BL,

– Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av
E. De Bonis, avvocato dello Stato,

– Portugals regering, genom P. Barros da Costa, A. Pimenta, J. Ramos och C. Vieira Guerra, samtliga i egenskap av ombud,

– Europeiska kommissionen, genom A. Bouchagiar, H. Kranenborg och N. Nikolova, samtliga i egenskap av ombud,

och efter att den 27 april 2023 ha hört generaladvokatens förslag till avgörande,

följande

Dom

1 Begäran om förhandsavgörande avser tolkningen av artiklarna 5.2, 24, 32 samt 82.1–82.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).

2 Begäran har framställts i ett mål mellan VB, som är en fysisk person, och Natsionalna agentsia za prihodite (Nationella skattemyndigheten, Bulgarien) (nedan kallad skattemyndigheten). Målet rör ersättning för den ideella skada som VB påstår sig ha lidit till följd av skattemyndighetens påstådda underlåtenhet att uppfylla sina rättsliga skyldigheter i egenskap av personuppgiftsansvarig.

Tillämpliga bestämmelser

3 Skälen 10, 11, 74, 76, 83, 85 och 146 i dataskyddsförordningen har följande lydelse:

”(4) … Denna förordning respekterar alla grundläggande rättigheter och iakttar de friheter och principer som erkänns i [Europeiska unionens stadga om de grundläggande rättigheterna], såsom de fastställts i fördragen, särskilt skydd för privat- och familjeliv, bostad och kommunikationer, skydd av personuppgifter, … rätten till ett effektivt rättsmedel och en opartisk domstol …

…

(10) För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom [Europeiska] unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. …

(11) Ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks och specificeras och att de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter vid behandling av personuppgifter klargörs …

…

(74) Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter.

…

(76) Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

…

(83) För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgiftsansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker som personuppgiftsbehandling medför, såsom förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.

…

(85) En personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen. Så snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personuppgiftsansvarige därför anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt dröjsmål …

…

(146) Den personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning. Den personuppgiftsansvarige eller personuppgiftsbiträdet bör dock befrias från skadeståndsskyldighet om den kan visa att den inte på något sätt är ansvarig för skadan. Begreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål. Detta påverkar inte skadeståndsanspråk till följd av överträdelser av andra bestämmelser i unionsrätten eller i medlemsstaternas nationella rätt. Behandling som strider mot denna förordning omfattar även behandling som strider mot delegerade akter och genomförandeakter som antagits i enlighet med denna förordning och medlemsstaternas nationella rätt med närmare specifikation av denna förordnings bestämmelser. Registrerade bör få full och effektiv ersättning för den skada de lidit. …”

4 Artikel 4 i dataskyddsförordningen har rubriken ”Definitioner”, och där föreskrivs följande:

”I denna förordning avses med

1. personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), …

2. behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej …

…

7. personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; …

…

10. tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna,

…

12. personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

…”

5 Artikel 5 i dataskyddsförordningen har rubriken ”Principer för behandling av personuppgifter”, och där föreskrivs följande:

”1. Vid behandling av personuppgifter ska följande gälla:

a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

…

f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

6 Artikel 24 i dataskyddsförordningen har rubriken ”Den personuppgiftsansvariges ansvar”, och där föreskrivs följande:

”1. Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.

2. Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.

3. Tillämpningen av godkända uppförandekoder som avses i artikel 40 eller godkända certifieringsmekanismer som avses i artikel 42 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.”

7 Artikel 32 i dataskyddsförordningen har rubriken ”Säkerhet i samband med behandlingen”, och där föreskrivs följande:

”1. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a) pseudonymisering och kryptering av personuppgifter,

b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,

c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,

d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

2. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

3. Anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 får användas för att visa att kraven i punkt 1 i den här artikeln följs.

…”

8 Artikel 79 i dataskyddsförordningen har rubriken ”Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde”, och där föreskrivs följande i punkt 1:

”Utan att det påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet i enlighet med artikel 77, ska varje registrerad som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med denna förordning ha rätt till ett effektivt rättsmedel.”

9 I artikel 82 i dataskyddsförordningen har rubriken ”Ansvar och rätt till ersättning”, och där föreskrivs följande i punkterna 1–3:

”1. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.

2. Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. …

3. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.”

Målet vid den nationella domstolen och tolkningsfrågorna

10 Skattemyndigheten är underställd den bulgariska finansministern. Myndighetens uppgifter består bland annat i att identifiera, säkra och driva in statliga fordringar. Inom ramen för dessa uppgifter är myndigheten ansvarig för behandlingen av personuppgifter, i den mening som avses i artikel 4.7 i dataskyddsförordningen.

11 Den 15 juli 2019 avslöjades i medierna att obehörig åtkomst till skattemyndighetens datasystem hade skett och att detta it-angrepp hade lett till att personuppgifter som fanns i systemet hade publicerats på internet.

12 Mer än sex miljoner fysiska personer – både bulgariska och utländska medborgare – berördes av dessa händelser. Några hundra av dem, däribland VB, väckte talan mot skattemyndigheten om ersättning för ideell skada till följd av utlämnandet av deras personuppgifter.

13 VB väckte närmare bestämt talan vid Administrativen sad Sofia-grad (Förvaltningsdomstolen i Sofia stad, Bulgarien) och yrkade att skattemyndigheten skulle förpliktas att betala 1 000 bulgariska leva (BGN) (cirka 510 euro) i skadestånd till henne, med stöd av artikel 82 i dataskyddsförordningen och bestämmelser i bulgarisk rätt. Till stöd för sin begäran gjorde VB gällande att hon lidit ideell skada till följd av en personuppgiftsincident i den mening som avses i artikel 4.12 i dataskyddsförordningen, närmare bestämt en säkerhetsincident som orsakats av skattemyndighetens underlåtenhet att uppfylla sina skyldigheter enligt bland annat artiklarna 5.1 f, 24 och 32 i dataskyddsförordningen. Enligt VB bestod den ideella skadan i att hon kände fruktan för att hennes personuppgifter, som publicerats på internet utan hennes samtycke, skulle komma att missbrukas i framtiden eller att hon själv skulle komma att utsättas för utpressning, våldshandlingar eller till och med bortförande.

14 Till sitt försvar anförde skattemyndigheten till att börja med att VB inte hade begärt ut information om exakt vilka uppgifter som hade röjts. Skattemyndigheten åberopade vidare skriftlig bevisning som syftade till att visa att myndigheten hade vidtagit alla nödvändiga åtgärder, innan det aktuella dataintrånget skedde, för att förhindra personuppgiftsincidenter i form av intrång i myndighetens datasystem samt, efter dataintrånget, för att begränsa effekterna av intrånget och för att lugna medborgarna. Enligt skattemyndigheten fanns det inte heller något orsakssamband mellan den påstådda ideella skadan och personuppgiftsincidenten. Slutligen anförde skattemyndigheten att myndigheten själv hade utsatts för ett it-angrepp från illasinnade aktörer, vilka inte fanns bland myndighetens anställda, och att den därför inte kunde hållas ansvarig för de skadliga följder som detta angrepp fått.

15 Genom dom av den 27 november 2020 ogillade Administrativen sad Sofia-grad (Förvaltningsdomstolen i Sofia) VB:s talan. I domskälen anförde nämnda domstol dels att den obehöriga åtkomsten till skattemyndighetens databas hade skett genom ett it-angrepp från utomstående aktörer, dels att VB inte hade visat att skattemyndigheten hade förhållit sig passiv vad gäller vidtagandet av säkerhetsåtgärder. Den fann dessutom att VB inte kunde anses ha lidit ideell skada som var ersättningsgill.

16 VB överklagade denna dom till den hänskjutande domstolen, Varhoven administrativen sad (Högsta förvaltningsdomstolen, Bulgarien). Till stöd för sitt överklagande gjorde hon gällande att domstolen i första instans hade gjort en felaktig rättstillämpning vid fördelningen av bevisbördan i fråga om de säkerhetsåtgärder som skattemyndigheten vidtagit och att myndigheten inte hade visat att den inte hade förhållit sig passiv i detta avseende. VB anförde vidare att den fruktan hon känner för att hennes personuppgifter kan komma att missbrukas i framtiden innebär att hon lidit faktisk ideell skada och att det således inte är fråga om en hypotetisk skada. Skattemyndigheten bestred i sitt svaromål vad VB anfört till stöd för sitt överklagande.

17 Den hänskjutande domstolen har i sin begäran om förhandsavgörande inledningsvis fört ett resonemang om att det kan förhålla sig så att redan den omständigheten att det konstateras att det skett en personuppgiftsincident innebär att det kan slås fast att de åtgärder som den personuppgiftsansvarige vidtagit inte var ”lämpliga”, i den mening som avses i artiklarna 24 och 32 i dataskyddsförordningen.

18 Om det dock skulle vara så att nämnda omständighet inte är tillräcklig för att nämnda slutsats ska kunna dras, vill den hänskjutande domstolen få klarhet i dels hur omfattande de nationella domstolarnas prövning ska vara när de bedömer de aktuella åtgärdernas lämplighet, dels vilka regler om bevisupptagning som ska tillämpas i detta sammanhang, både vad gäller bevisbörda och bevisning, särskilt i fall där nationella domstolar har att pröva mål om skadeståndstalan som väckts med stöd av artikel 82 i dataskyddsförordningen.

19 Den hänskjutande domstolen vill vidare få klarhet i huruvida – mot bakgrund av artikel 82.3 i förordningen – den omständigheten att personuppgiftsincidenten har skett till följd av en gärning som begåtts av utomstående aktörer – i förevarande fall ett dataintrång – utgör en faktor som alltid ska anses innebära att den personuppgiftsansvarige undgår ansvar för den skada som den registrerade har lidit.

20 Slutligen vill den hänskjutande domstolen få klarhet i huruvida den fruktan som en registrerad känner för att hans eller hennes personuppgifter kan komma att missbrukas i framtiden – i förevarande fall till följd av att it-brottslingar skaffat sig obehörig åtkomst till uppgifterna och röjt dem – i sig kan utgöra ”immateriell skada”, i den mening som avses i artikel 82.1 i dataskyddsförordningen. Om det förhöll sig så skulle den registrerade, enligt den hänskjutande domstolen, inte behöva visa att utomstående aktörer, innan begäran om ersättning framställdes, hade missbrukat hans eller hennes personuppgifter, till exempel i form av identitetskapning.

21 Det är mot denna bakgrund som Varhoven administrativen sad (Högsta förvaltningsdomstolen) har beslutat att vilandeförklara målet och ställa följande frågor till EU-domstolen:

”1. Kan artiklarna 24 och 32 i [dataskyddsförordningen] tolkas på så sätt att den omständigheten att obehörigt röjande av eller obehörig åtkomst till personuppgifter i den mening som avses i artikel 4.12 i förordningen har skett till följd av agerande från personer som inte är anställda vid den personuppgiftsansvariga myndigheten och inte står under dennas kontroll är tillräcklig för att anse att de tekniska och organisatoriska åtgärder som vidtagits inte var lämpliga?

2. Om fråga 1 besvaras nekande, vad ska vara föremål för domstolens laglighetsprövning och vilken omfattning ska prövningen ha när domstolen bedömer huruvida de tekniska och organisatoriska åtgärder som den personuppgiftsansvariga myndigheten vidtagit vars lämpliga enligt artikel 32 i [dataskyddsförordningen]?

3. Om fråga 1 besvaras nekande, kan då principen om ansvarsskyldighet enligt artiklarna 5.2 och 24 jämförda med skäl 74 i [dataskyddsförordningen] tolkas på så sätt att bevisbördan i ett mål om skadeersättning enligt artikel 82.1 i förordningen är sådan att det åligger den personuppgiftsansvariga myndigheten att visa att de tekniska och organisatoriska åtgärder som den vidtagit enligt artikel 32 i förordningen var lämpliga?

Kan ett av domstolen inhämtat sakkunnigutlåtande anses utgöra nödvändig och tillräcklig bevisning för att fastställa huruvida de tekniska och organisatoriska åtgärder som den personuppgiftsansvariga myndigheten vidtagit var lämpliga i ett fall som det nu aktuella, om den obehöriga åtkomsten till och det obehöriga röjandet av personuppgifter är en följd av ett it-angrepp (en så kallad hackerattack)?

4. Kan artikel 82.3 i [dataskyddsförordningen] tolkas på så sätt att obehörigt röjande av eller obehörig åtkomst till personuppgifter, i den mening som avses i artikel 4.12 i förordningen (i nu aktuellt fall genom ett it-angrepp), som skett till följd av agerande från personer som inte är anställda vid den personuppgiftsansvariga myndigheten och inte står under dess kontroll utgör en omständighet som den personuppgiftsansvariga myndigheten inte på något sätt är ansvarig för och därmed utgör en ansvarsfrihetsgrund [enligt nämnda artikel 82.3]?

5. Kan artikel 82.1 och 82.2 jämförd med skälen 85 och 146 i [dataskyddsförordningen] tolkas på så sätt att det i ett fall som det nu aktuella – där det skett en personuppgiftsincident i form av obehörig åtkomst till och obehörigt röjande av personuppgifter genom ett it-angrepp – ska anses att den oro, fruktan och rädsla som en registrerad känner för att hans eller hennes personuppgifter kan komma att missbrukas i framtiden omfattas av begreppet ’immateriell skada’, som ska ges en vidsträckt tolkning, och därmed ger rätt till ersättning utan att det behöver visas att ett sådant missbruk faktiskt har skett och/eller även om ingen ytterligare skada har orsakats den registrerade?”

Prövning av tolkningsfrågorna

Den första frågan

22 Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artiklarna 24 och 32 i dataskyddsförordningen ska tolkas på så sätt att den omständigheten att det skett ett obehörigt röjande av eller obehörig åtkomst till personuppgifter till följd av agerande från ”tredje part”, i den mening som avses i artikel 4.10 i förordningen, är ensamt tillräcklig för att anse att de tekniska och organisatoriska åtgärder som vidtagits av den personuppgiftsansvarige inte var ”lämpliga”, i den mening som avses i artiklarna 24 och 32 i förordningen.

23 EU-domstolen gör i denna del följande bedömning. Av fast rättspraxis framgår att de termer som används i en unionsbestämmelse som – i likhet med artiklarna 24 och 32 i dataskyddsförordningen – inte innehåller någon uttrycklig hänvisning till medlemsstaternas rättsordningar för fastställandet av bestämmelsens innebörd och tillämpningsområde i regel ska ges en självständig och enhetlig tolkning inom hela unionen, med beaktande av bland annat den aktuella bestämmelsens ordalydelse, de mål som eftersträvas med den och det sammanhang i vilket den ingår (se, för ett liknande resonemang, dom av den 18 januari 1984, Ekro, 327/82, EU:C:1984:11, punkt 11; dom av den 1 oktober 2019, Planet49, C‑673/17, EU:C:2019:801, punkterna 47 och 48, och dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 29).

24 Vad först gäller ordalydelsen i de nu relevanta bestämmelserna ska det påpekas att det i artikel 24 i dataskyddsförordningen föreskrivs en allmän skyldighet för den personuppgiftsansvarige att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen av personuppgifter sker i överensstämmelse med förordningen och att kunna visa detta.

25 För detta ändamål anges i artikel 24.1 ett antal faktorer som ska beaktas vid bedömningen av huruvida de vidtagna åtgärderna är lämpliga, nämligen behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. I denna bestämmelse anges vidare att åtgärderna ska ses över och uppdateras vid behov.

26 I linje med detta preciseras i artikel 32 i dataskyddsförordningen vilka skyldigheter som åligger personuppgiftsansvariga och eventuella personuppgiftsbiträden när det gäller säkerhet för personuppgifter i samband med behandling. I artikel 32.1 i förordningen föreskrivs således att de ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad till de risker som nämns i föregående punkt, med beaktande av den senaste utvecklingen inom teknik- och säkerhetsområdet och kostnaderna för att genomföra åtgärderna. I samband med detta ska de även ta hänsyn till behandlingens art, omfattning, sammanhang och ändamål.

27 På samma sätt anges i artikel 32.2 i förordningen att personuppgiftsansvariga och eventuella personuppgiftsbiträden är skyldiga att vid bedömningen av vilken säkerhetsnivå som är lämplig särskilt ta hänsyn till de risker som personuppgiftsbehandlingen medför. Det handlar bland annat om risken för att uppgifter förstörs, förloras eller ändras samt om risken för obehörigt röjande av eller obehörig åtkomst till personuppgifter som skett på ett oavsiktligt eller olagligt sätt.

28 Vidare anges både i artikel 24.3 och i artikel 32.3 i dataskyddsförordningen att personuppgiftsansvariga eller personuppgiftsbiträden kan visa att de har uppfyllt kraven i artikel 24.1 respektive artikel 32.1 genom att hänvisa till att de tillämpar en godkänd uppförandekod eller en godkänd certifieringsmekanism, i enlighet med artiklarna 40 och 42 i förordningen.

29 Hänvisningen i artikel 32.1 och 32.2 i dataskyddsförordningen till ”en säkerhetsnivå som är lämplig i förhållande till risken” och till en ”lämplig säkerhetsnivå” visar att det genom förordningen inrättas ett riskhanteringssystem och att ambitionen med förordningen inte på något sätt är att eliminera riskerna för personuppgiftsincidenter.

30 Det framgår således av ordalydelsen i artiklarna 24 och 32 i dataskyddsförordningen att dessa bestämmelser endast innebär en skyldighet för den personuppgiftsansvarige att vidta tekniska och organisatoriska åtgärder för att i möjligaste mån undvika personuppgiftsincidenter. Bedömningen av om sådana åtgärder är lämpliga ska ske utifrån de konkreta omständigheterna i det enskilda fallet. I bedömningen ingår att ta ställning till om den personuppgiftsansvarige vid genomförandet av åtgärderna har beaktat de olika faktorer som avses i nämnda artiklar och de skyddsbehov som särskilt gör sig gällande i samband med den aktuella personuppgiftsbehandlingen samt därmed förenade risker.

31 Det nu sagda innebär följande. Artiklarna 24 och 32 i dataskyddsförordningen kan inte anses ha den innebörden att den omständigheten att det skett ett obehörigt röjande av eller obehörig åtkomst till personuppgifter till följd av agerande från tredje part är tillräcklig för att anse att de åtgärder som vidtagits av den personuppgiftsansvarige inte var lämpliga, i den mening som avses i dessa bestämmelser, utan att den personuppgiftsansvarige ens ges möjlighet att bevisa motsatsen.

32 En sådan tolkning vinner även stöd av att det i artikel 24 i dataskyddsförordningen uttryckligen anges att den personuppgiftsansvarige måste kunna visa att de vidtagna åtgärderna är förenliga med förordningen, vilket den personuppgiftsansvarige inte skulle ha möjlighet att göra om det ansågs föreligga en sådan icke motbevisbar presumtion.

33 Vidare kan konstateras att nyss nämnda tolkning av artiklarna 24 och 32 i dataskyddsförordningen vinner stöd av det sammanhang som dessa artiklar ingår i och deras syfte.

34 Vad gäller sammanhanget framgår det av artikel 5.2 i dataskyddsförordningen att den personuppgiftsansvarige måste kunna visa att de i artikel 5.1 angivna principerna för behandling av personuppgifter efterlevs. Denna skyldighet upprepas och preciseras närmare i artikel 24.1 och 24.3 samt i artikel 32.3 i förordningen, vad gäller den personuppgiftsansvariges skyldighet att vidta tekniska och organisatoriska åtgärder för att skydda personuppgifter som denne behandlar. Den nyss nämnda skyldigheten att kunna visa att de vidtagna åtgärderna är lämpliga skulle dock vara meningslös om den personuppgiftsansvarige var skyldig att förhindra alla personuppgiftsincidenter.

35 I skäl 74 i dataskyddsförordningen betonas dessutom att den personuppgiftsansvarige bör vara skyldig att vidta lämpliga och effektiva åtgärder och kunna visa att den aktuella personuppgiftsbehandlingen är förenlig med förordningen, vilket även inbegriper att åtgärderna är effektiva. Valet av åtgärder ska göras utifrån omständigheterna kring den aktuella personuppgiftsbehandlingen och de risker som den medför, vilket är faktorer som också anges i artiklarna 24 och 32 i förordningen.

36 På samma sätt framgår det av skäl 76 i förordningen att sannolikheten för att riskerna ska förverkligas och hur allvarliga de är beror på omständigheterna kring den aktuella personuppgiftsbehandlingen och att risken bör bedömas objektivt.

37 Härtill kommer att det av artikel 82.2 och 82.3 i dataskyddsförordningen framgår att även om en personuppgiftsansvarig ska ansvara för skada som orsakats av personuppgiftsbehandling som utgör en överträdelse av förordningen, ska den personuppgiftsansvarige ändå undgå skadeståndsansvar om denne visar att denne inte på något sätt är ansvarig för den skadevållande händelsen.

38 Ytterligare stöd för den ovan i punkt 31 angivna tolkningen ges i skäl 83 i dataskyddsförordningen, där det i första meningen anges att ”[f]ör att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgiftsansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder … för att minska dem”. Unionslagstiftaren har därigenom gett uttryck för sin avsikt att ”minska” riskerna för personuppgiftsincidenter, utan att påstå att det skulle vara möjligt att eliminera dessa risker.

39 Av det ovan anförda följer att den första frågan ska besvaras enligt följande. Artiklarna 24 och 32 i dataskyddsförordningen ska tolkas på så sätt att den omständigheten att det skett ett obehörigt röjande av eller obehörig åtkomst till personuppgifter till följd av agerande från ”tredje part”, i den mening som avses i artikel 4.10 i förordningen, inte är ensamt tillräcklig för att anse att de tekniska och organisatoriska åtgärder som vidtagits av den personuppgiftsansvarige inte var ”lämpliga”, i den mening som avses i artiklarna 24 och 32 i förordningen.

Den andra frågan

40 Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 32 i dataskyddsförordningen ska tolkas på så sätt att de nationella domstolarna ska göra en konkret bedömning av lämpligheten av de tekniska och organisatoriska åtgärder som den personuppgiftsansvarige vidtagit enligt denna artikel, bland annat mot bakgrund av de risker som den aktuella personuppgiftsbehandlingen medför.

41 EU-domstolen gör i denna del följande bedömning. Såsom framhållits i samband med svaret på den första frågan krävs det enligt artikel 32 i dataskyddsförordningen att den personuppgiftsansvarige och personuppgiftsbiträdet, beroende på omständigheterna, vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå utifrån riskerna med den aktuella personuppgiftsbehandlingen, med beaktande av de i artikel 32.1 angivna kriterierna för vad lämpliga skyddsåtgärder bör omfatta. Artikel 32.2 i dataskyddsförordningen innehåller dessutom en icke uttömmande förteckning över faktorer som är relevanta för bedömningen av vilken säkerhetsnivå som är lämplig i förhållande till de risker som den aktuella personuppgiftsbehandlingen medför.

42 Det framgår av artikel 32.1 och 32.2 i förordningen att lämpligheten av sådana tekniska och organisatoriska åtgärder ska bedömas i två steg. För det första är det nödvändigt att identifiera vilka risker för personuppgiftsincidenter som den aktuella behandlingen medför och vilka följder dessa risker kan leda till för fysiska personers rättigheter och friheter. Detta innebär att en konkret bedömning ska göras utifrån sannolikheten för att de identifierade riskerna ska förverkligas och hur allvarliga de är. För det andra ska det kontrolleras om de åtgärder som vidtagits av den personuppgiftsansvarige är anpassade till dessa risker, med beaktande av den senaste utvecklingen inom teknik- och säkerhetsområdet och kostnaderna för att genomföra åtgärderna. Hänsyn ska även tas till den aktuella personuppgiftsbehandlingens art, omfattning, sammanhang och ändamål.

43 Den personuppgiftsansvarige har visserligen ett visst handlingsutrymme vid fastställandet av lämpliga tekniska och organisatoriska åtgärder för att säkerställa en riskanpassad säkerhetsnivå, såsom krävs enligt artikel 32.1 i dataskyddsförordningen. Icke desto mindre måste en nationell domstol kunna göra en prövning av den komplicerade bedömning som den personuppgiftsansvarige gjort och därigenom kontrollera att de vidtagna åtgärderna är ägnade att säkerställa en sådan säkerhetsnivå.

44 Den nu angivna tolkningen innebär för övrigt att inte bara den i skälen 11 och 74 i förordningen framhållna vikten av ett effektivt skydd av personuppgifter kan säkerställas, utan även det skydd av rätten till ett effektivt rättsmedel mot en personuppgiftsansvarig som ges i artikel 79.1 jämförd med skäl 4 i förordningen.

45 Det anförda innebär följande. När en nationell domstol ska kontrollera om de tekniska och organisatoriska åtgärder som vidtagits enligt artikel 32 i dataskyddsförordningen är lämpliga får den inte begränsa sig till att pröva på vilket sätt den personuppgiftsansvarige har avsett att uppfylla sina skyldigheter enligt denna artikel, utan den måste göra en prövning av innebörden av åtgärderna. Den nationella domstolen ska vid denna prövning ta hänsyn till samtliga i artikeln angivna kriterier och de särskilda omständigheterna i det enskilda fallet samt i målet åberopad bevisning i denna fråga.

46 Vid en sådan prövning krävs att den nationella domstolen gör en konkret bedömning både av vilken typ av åtgärder som den personuppgiftsansvarige har genomfört och av vad de bestått i. Denna bedömning ska även omfatta hur åtgärderna har tillämpats och vilken faktisk inverkan de haft på den säkerhetsnivå som den personuppgiftsansvarige var skyldig att garantera, med beaktande av de risker som var förenade med den aktuella personuppgiftsbehandlingen.

47 Av det ovan anförda följer att den andra frågan ska besvaras enligt följande. Artikel 32 i dataskyddsförordningen ska tolkas på så sätt att de nationella domstolarna ska göra en konkret bedömning av om de tekniska och organisatoriska åtgärder som den personuppgiftsansvarige vidtagit enligt denna artikel kan anses vara lämpliga. Lämplighetsbedömningen ska ske utifrån vilka risker som är förenade med den aktuella personuppgiftsbehandlingen och en prövning av om de vidtagna åtgärdernas art, innebörd och genomförande är anpassade till dessa risker.

Den tredje frågan

Den tredje frågans första del

48 Den hänskjutande domstolen har ställt den första delen av den tredje frågan för att få klarhet i huruvida principen om den personuppgiftsansvariges ansvar, som anges i artikel 5.2 i dataskyddsförordningen och konkretiseras i artikel 24 i dataskyddsförordningen, ska tolkas på så sätt att bevisbördan i ett mål om skadeersättning enligt artikel 82 i förordningen är sådan att det åligger den personuppgiftsansvarige att visa att de säkerhetsåtgärder som denne vidtagit enligt artikel 32 i förordningen är lämpliga.

49 EU-domstolen gör i denna del följande bedömning. Det ska först erinras om att det i artikel 5.2 i dataskyddsförordningen fastställs en ansvarsprincip, som innebär att den personuppgiftsansvarige är ansvarig för efterlevnaden av de i artikel 5.1 angivna principerna för behandling av personuppgifter och att denne måste kunna visa att dessa principer efterlevs.

50 I synnerhet gäller att den personuppgiftsansvarige, i enlighet med principen om integritet och konfidentialitet i artikel 5.1 f i förordningen, är skyldig att se till att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av lämpliga tekniska eller organisatoriska åtgärder. Detta ska omfatta skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den personuppgiftsansvarige ska även kunna visa att denna princip efterlevs.

51 Det ska vidare påpekas att både artikel 24.1 jämförd med skäl 74 i dataskyddsförordningen och artikel 32.1 i förordningen ålägger personuppgiftsansvariga att vid all personuppgiftsbehandling som utförs av dem eller för deras räkning vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen.

52 Det framgår klart av ordalydelsen i artiklarna 5.2, 24.1 och 32.1 i dataskyddsförordningen att det är den personuppgiftsansvarige som har bevisbördan för att personuppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, i den mening som avses i artikel 5.1 f och artikel 32 i förordningen (se, analogt, dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda), C‑60/22, EU:C:2023:373, punkterna 52 och 53, och dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor), C‑252/21, EU:C:2023:537, punkt 95).

53 De tre nyssnämnda artiklarna ger således uttryck för en allmänt tillämplig regel som, om inget annat anges i dataskyddsförordningen, ska tillämpas även i samband med en begäran om skadeersättning enligt artikel 82 i förordningen.

54 Därefter ska det konstateras att den nu angivna bokstavstolkningen vinner stöd av de mål som eftersträvas med dataskyddsförordningen.

55 För det första är den skyddsnivå som dataskyddsförordningen syftar till att uppnå beroende av de säkerhetsåtgärder som vidtas av de personuppgiftsansvariga, och de personuppgiftsansvariga måste därför ges incitament att göra allt de kan för att förhindra personuppgiftsbehandling som strider mot förordningen. Detta sker genom att de personuppgiftsansvariga har bevisbördan för att de vidtagna åtgärderna är lämpliga.

56 För det andra skulle rätten till ersättning enligt artikel 82.1 i dataskyddsförordningen förlora en stor del av sin ändamålsenliga verkan om det var så att de registrerade, i den mening som avses i artikel 4.1 i förordningen, hade bevisbördan för att nämnda åtgärder är lämpliga, trots att unionslagstiftarens avsikt har varit att stärka både de registrerades rättigheter och de personuppgiftsansvarigas skyldigheter jämfört med de bestämmelser som gällde före införandet av förordningen, såsom anges i dess skäl 11.

57 Av det ovan anförda följer att den första delen av den tredje frågan ska besvaras enligt följande. Principen om den personuppgiftsansvariges ansvar, som anges i artikel 5.2 i dataskyddsförordningen och konkretiseras i artikel 24 i förordningen, ska tolkas på så sätt att bevisbördan i ett mål om skadeersättning enligt artikel 82 i förordningen är sådan att det åligger den personuppgiftsansvarige att visa att de säkerhetsåtgärder som denne vidtagit enligt artikel 32 i förordningen är lämpliga.

Den tredje tolkningsfrågans andra del

58 Den hänskjutande domstolen vill med den tredje frågans andra del få klarhet i huruvida artikel 32 i dataskyddsförordningen och principen om unionsrättens effektivitet ska tolkas på så sätt att ett sakkunnigutlåtande utgör nödvändig och tillräcklig bevisning för att fastställa huruvida de tekniska och organisatoriska åtgärder som den personuppgiftsansvarige vidtagit enligt denna artikel kan anses vara lämpliga.

59 EU-domstolen gör i denna del följande bedömning. Enligt fast rättspraxis gäller enligt principen om processuell autonomi att det i avsaknad av särskilda processuella regler i unionsrätten ankommer på varje medlemsstat att i sin rättsordning fastställa de processuella regler som gäller för taleformer som syftar till att säkerställa skyddet av enskildas rättigheter. Detta gäller dock under förutsättning att dessa regler, i situationer som omfattas av unionsrätten, inte är mindre förmånliga än i liknande situationer som regleras av nationell rätt (likvärdighetsprincipen) och att de inte medför att det i praktiken blir omöjligt eller orimligt svårt att utöva rättigheter som följer av unionsrätten (effektivitetsprincipen) (dom av den 4 maj 2023). Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 53 och där angiven rättspraxis).

60 Det ska här påpekas att dataskyddsförordningen inte innehåller några regler om tillåtligheten och bevisvärdet av bevisning, såsom ett sakkunnigutlåtande, som ska tillämpas av nationella domstolar i mål om skadeersättning enligt artikel 82 i förordningen där de, mot bakgrund av artikel 32 i förordningen, ska bedöma om de säkerhetsåtgärder som den personuppgiftsansvarige vidtagit kan anses vara lämpliga. Mot bakgrund av det i föregående punkt anförda och av att det saknas unionsrättsliga bestämmelser på området ankommer det därmed på varje medlemsstat att i sin interna rättsordning fastställa – under förutsättning att likvärdighetsprincipen och effektivitetsprincipen iakttas – de regler som gäller för taleformer som syftar till att säkerställa skyddet av de rättigheter som enskilda har enligt artikel 82 i dataskyddsförordningen. Detta gäller särskilt regler om vilken bevisning som behövs för att det ska kunna bedömas om den personuppgiftsansvariges säkerhetsåtgärder kan anses vara lämpliga (se, analogt, dom av den 21 juni 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, punkt 297, och dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 54).

61 Vad beträffar det nu aktuella målet konstaterar EU-domstolen att det inte har framkommit några omständigheter som ger anledning att betvivla att likvärdighetsprincipen har iakttagits. Bedömningen blir dock en annan när det gäller frågan huruvida effektivitetsprincipen har iakttagits, i den mån det av själva ordalydelsen i den tredje frågans andra del talas om inhämtande av sakkunnigutlåtande som ”nödvändig och tillräcklig bevisning”.

62 I synnerhet skulle det kunna anses oförenligt med effektivitetsprincipen att ha en nationell processrättslig bestämmelse enligt vilken det systematiskt är ”nödvändigt” att de nationella domstolarna inhämtar ett sakkunnigutlåtande. Ett systematiskt inhämtande av sakkunnigutlåtande kan nämligen visa sig vara överflödigt mot bakgrund av annan bevisning som finns tillgänglig för den nationella domstolen, bland annat – såsom den bulgariska regeringen har angett i sitt skriftliga yttrande – mot bakgrund av vad som framkommit vid en kontroll av efterlevnaden av åtgärder för skydd av personuppgifter som utförts av en enligt lag inrättad oberoende myndighet. Det sistnämnda gäller dock under förutsättning att myndighetens kontroll utförts nyligen, eftersom sådana skyddsåtgärder enligt artikel 24.1 i dataskyddsförordningen ska ses över och uppdateras vid behov.

63 Såsom Europeiska kommissionen har påpekat i sitt skriftliga yttrande skulle en nationell bestämmelse av nu aktuellt slag kunna strida mot effektivitetsprincipen, om ordet ”tillräcklig” ska förstås på så sätt att en nationell domstols bedömning att de säkerhetsåtgärder som den personuppgiftsansvarige har vidtagit är ”lämpliga”, i den mening som avses i artikel 32 i dataskyddsförordningen, enbart eller automatiskt ska grundas på ett sakkunnigutlåtande. EU-domstolen påpekar att effektivitetsprincipen syftar till att skydda de rättigheter som enskilda har enligt förordningen, särskilt den i artikel 79.1 garanterade rätten till ett effektivt rättsmedel mot en personuppgiftsansvarig, och att detta kräver att en opartisk domstol gör en objektiv bedömning av om de vidtagna åtgärderna är lämpliga, i stället för att begränsa sig till en bedömning av nyss beskrivet slag (se, för ett liknande resonemang, dom av den 12 januari 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 50).

64 Av det ovan anförda följer att den andra delen av den tredje frågan ska besvaras enligt följande. Artikel 32 i dataskyddsförordningen och principen om unionsrättens effektivitet ska tolkas på så sätt att ett sakkunnigutlåtande inte kan anses utgöra nödvändig och tillräcklig bevisning för att fastställa huruvida de tekniska och organisatoriska åtgärder som den personuppgiftsansvarige vidtagit enligt denna artikel kan anses vara lämpliga.

Den fjärde frågan

65 Den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida artikel 82.3 i dataskyddsförordningen ska tolkas på så sätt att den omständigheten att en skada som en person lidit har uppkommit på grund av att det skett ett obehörigt röjande av eller obehörig åtkomst till personuppgifter till följd av agerande från ”tredje part”, i den mening som avses i artikel 4.10 i förordningen, är ensamt tillräcklig för att den personuppgiftsansvarige ska befrias från sin skadeståndsskyldighet enligt artikel 82.1 och 82.2 i förordningen.

66 EU-domstolen gör i denna del följande bedömning. Inledningsvis kan noteras att det av artikel 4.10 i dataskyddsförordningen framgår att med ”tredje part” avses bland annat personer som inte är personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna. Denna definition omfattar personer som inte är anställda av den personuppgiftsansvarige och inte står under dennes kontroll, såsom personer som den nu aktuella tolkningsfrågan avser.

67 Därefter kan följande konstateras. För det första gäller enligt artikel 82.2 i dataskyddsförordningen att ”varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning” och, enligt artikel 82.3, att en personuppgiftsansvarig eller ett personuppgiftsbiträde, beroende på omständigheterna, ska undgå sådant ansvar ”om [den personuppgiftsansvarige eller personuppgiftsbiträdet] visar att [denne] inte på något sätt är ansvarig för den händelse som orsakade skadan”.

68 I skäl 146 i dataskyddsförordningen, som specifikt avser artikel 82, anges dessutom i första och andra meningen att ”[d]en personuppgiftsansvarige eller personuppgiftsbiträdet bör ersätta all skada som en person kan komma att lida till följd av behandling som strider mot denna förordning” och ”bör […] befrias från skadeståndsskyldighet om [denne] kan visa att [denne] inte på något sätt är ansvarig för skadan”.

69 Av dessa bestämmelser följer dels att den personuppgiftsansvarige i princip är skyldig att ersätta en skada som orsakats av en överträdelse av dataskyddsförordningen i samband med behandling av personuppgifter, dels att den personuppgiftsansvarige endast kan undgå skadeståndsansvar om denne visar att denne inte på något sätt är ansvarig för den skadevållande händelsen.

70 Detta innebär – vilket även visas av att adverbet ”inte på något sätt” uttryckligen lades till under lagstiftningsförfarandet – att de omständigheter under vilka en personuppgiftsansvarig kan göra anspråk på att befrias från sitt skadeståndsansvar enligt artikel 82 i dataskyddsförordningen ska vara strikt begränsade till omständigheter där den personuppgiftsansvarige kan visa att denne inte är ansvarig för skadan.

71 I fall som det förevarande, där en personuppgiftsincident, i den mening som avses i artikel 4.12 i dataskyddsförordningen, har ägt rum till följd av agerande från it-brottslingar, och därmed av ”tredje man” i den mening som avses i artikel 4.10 i förordningen, kan den personuppgiftsansvarige inte anses vara ansvarig för personuppgiftsincidenten. Detta gäller dock inte om den personuppgiftsansvarige har möjliggjort incidenten genom att åsidosätta någon av sina skyldigheter enligt dataskyddsförordningen, särskilt skyldigheten att skydda personuppgifter enligt artiklarna 5.1 f, 24 och 32 i förordningen.

72 Det nyss anförda innebär följande. I fall där en personuppgiftsincident har ägt rum till följd av agerande från tredje part kan den personuppgiftsansvarige befria sig från sitt ansvar med stöd av artikel 82.3 i dataskyddsförordningen genom att visa att det inte finns något orsakssamband mellan dennes eventuella åsidosättande av skyldigheten att skydda personuppgifter och den skada som den fysiska personen har lidit.

73 För det andra ska det konstateras att den nu angivna tolkningen av artikel 82.3 i dataskyddsförordningen även är förenlig med förordningens syfte att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandling av deras personuppgifter, vilket anges i skälen 10 och 11 i förordningen.

74 Av det ovan anförda följer att den fjärde frågan ska besvaras enligt följande. Artikel 82.3 i dataskyddsförordningen ska tolkas på så sätt att den omständigheten att en skada som en person lidit har uppkommit på grund av att det skett ett obehörigt röjande av eller obehörig åtkomst till personuppgifter till följd av agerande från ”tredje part”, i den mening som avses i artikel 4.10 i förordningen, inte är ensamt tillräcklig för att den personuppgiftsansvarige ska befrias från sin skadeståndsskyldighet enligt artikel 82.1 och 82.2 i förordningen, och den personuppgiftsansvarige måste således i ett sådant fall visa att denne inte på något sätt är ansvarig för den skadevållande händelsen.

Den femte frågan

75 Den hänskjutande domstolen har ställt den femte frågan för att få klarhet i huruvida artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att den fruktan som en registrerad känner för att hans eller hennes personuppgifter kan komma att missbrukas av tredje part till följd av en överträdelse av förordningen i sig kan anses utgöra en ”immateriell skada”, i den mening som avses i denna bestämmelse.

76 EU-domstolen gör i denna del följande bedömning. Vad först gäller ordalydelsen i artikel 82.1 i dataskyddsförordningen ska det påpekas att det där anges att ”[v]arje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan”.

77 I detta avseende har EU-domstolen slagit fast att det tydligt framgår av ordalydelsen i artikel 82.1 i dataskyddsförordningen att förekomsten av en ”skada” som någon har ”lidit” utgör en av förutsättningarna för rätt till ersättning enligt nämnda bestämmelse, liksom att det ska föreligga en överträdelse av dataskyddsförordningen och ett orsakssamband mellan den uppkomna skadan och överträdelsen, och att dessa tre förutsättningar således är kumulativa (dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 32).

78 Vidare har EU-domstolen vid en tolkning av artikel 82.1 i dataskyddsförordningen mot bakgrund av bestämmelsens ordalydelse, systematik och syfte funnit att den utgör hinder för en nationell regel eller praxis som innebär att en förutsättning för ersättning för ”immateriell skada” i bestämmelsens mening är att den skada som den registrerade har lidit är av en viss allvarlighetsgrad (dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkt 51).

79 Trots det nu sagda finns det, i ett fall som det nu aktuella, skäl att göra följande påpekande. I artikel 82.1 i dataskyddsförordningen görs inte någon åtskillnad beroende på om den ”immateriella skada” som den registrerade påstår sig ha lidit till följd av en konstaterad överträdelse av bestämmelserna i förordningen har samband med att hans eller hennes personuppgifter redan har missbrukats av utomstående aktörer vid tidpunkten för ersättningsbegäran eller är knuten till den fruktan som den registrerade känner för att ett sådant missbruk kan komma att ske i framtiden.

80 Ordalydelsen i artikel 82.1 i dataskyddsförordningen utesluter således inte den tolkningen att det i bestämmelsen förekommande begreppet ”immateriell skada” omfattar ett fall som det nu aktuella, där den registrerade till stöd för en begäran om skadeersättning enligt denna bestämmelse åberopar sin fruktan för att hans eller hennes personuppgifter kan komma att missbrukas av utomstående aktörer i framtiden till följd av en konstaterad överträdelse av förordningen.

81 Därefter kan det konstateras att den nu angivna bokstavstolkningen vinner stöd av skäl 146 i dataskyddsförordningen, som specifikt avser rätten till ersättning enligt artikel 82.1 i förordningen. I tredje meningen i nämnda skäl anges nämligen att ”[b]egreppet skada bör tolkas brett mot bakgrund av domstolens rättspraxis på ett sätt som fullt ut återspeglar denna förordnings mål”. Det skulle inte vara förenligt med lagstiftarens avsikt att det bör göras en vidsträckt tolkning av begreppet ”immateriell skada”, i den mening som avses i artikel 82.1 i dataskyddsförordningen, att tolka begreppet på så sätt att det inte omfattar fall där en registrerad som drabbats av en överträdelse av förordningen åberopar sin fruktan för att hans eller hennes personuppgifter kommer att missbrukas i framtiden (se, analogt, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 37 och 46).

82 I första meningen i skäl 85 i dataskyddsförordningen anges dessutom att ”[e]n personuppgiftsincident som inte snabbt åtgärdas på lämpligt sätt kan för fysiska personer leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust … eller till annan ekonomisk eller social nackdel för den berörda fysiska personen”. Av denna exemplifierande uppräkning av olika typer av ”skada” som de registrerade kan komma att lida framgår att unionslagstiftaren särskilt har avsett att i begreppet ”skada” inkludera redan den omständigheten att de registrerade ”[förlorar kontrollen]” över sina personuppgifter till följd av en överträdelse av förordningen, även om något missbruk av personuppgifter som är till nackdel för de registrerade faktiskt inte har skett.

83 Slutligen ska det konstateras att den ovan i punkt 80 angivna tolkningen även vinner stöd i de mål som eftersträvas med dataskyddsförordningen. Såsom framgår av tredje meningen i skäl 146 i förordningen ska begreppet ”skada” tolkas på ett sätt som fullt ut återspeglar förordningens mål. Det skulle inte vara förenligt med dataskyddsförordningens eftersträvade mål att säkerställa en hög skyddsnivå för fysiska personer med avseende på behandling av personuppgifter inom unionen att tolka artikel 82.1 i förordningen på så sätt att begreppet ”immateriell skada” i bestämmelsens mening inte omfattar fall där en registrerad enbart åberopar sin fruktan för att hans eller hennes personuppgifter kan komma att missbrukas i framtiden.

84 Det är dock viktigt att påpeka att en registrerad som drabbats av negativa konsekvenser till följd av en överträdelse av dataskyddsförordningen måste visa att dessa konsekvenser utgör en immateriell skada, i den mening som avses i artikel 82 i förordningen (se, analogt, dom av den 4 maj 2023, Österreichische Post (Ideell skada på grund av behandling av personuppgifter), C‑300/21, EU:C:2023:370, punkterna 37 och 50).

85 I detta avseende gäller särskilt följande. I ett mål vid en nationell domstol som rör en begäran om skadeersättning enligt nyss nämnda artikel, där den registrerade till stöd för sin begäran åberopar sin fruktan för att hans eller hennes personuppgifter kan komma att missbrukas i framtiden till följd av en överträdelse av dataskyddsförordningen, måste den nationella domstolen pröva om denna fruktan kan anses välgrundad under de omständigheter som föreligger i det aktuella fallet och med hänsyn till den registrerade.

86 Av det ovan anförda följer att den femte frågan ska besvaras enligt följande. Artikel 82.1 i dataskyddsförordningen ska tolkas på så sätt att den fruktan som en registrerad känner för att hans eller hennes personuppgifter kan komma att missbrukas av tredje part till följd av en överträdelse av förordningen i sig kan anses utgöra en ”immateriell skada”, i den mening som avses i denna bestämmelse.

Rättegångskostnader

87 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (tredje avdelningen) följande:

1) Artiklarna 24 och 32 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)