Language of document : ECLI:EU:C:2023:986

РЕШЕНИЕ НА СЪДА (трети състав)

14 декември 2023 година(*)

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 5 — Принципи, свързани с обработването — Член 24 — Отговорност на администратора — Член 32 — Мерки, приложени, за да се осигури сигурността на обработването — Преценка дали такива мерки са подходящи — Обхват на съдебния контрол — Доказване — Член 82 — Право на обезщетение и отговорност за причинени вреди — Евентуално освобождаване от отговорност на администратора в случай на извършено от трети лица нарушение — Искане за обезщетение за неимуществени вреди, основано на опасения от потенциална злоупотреба с лични данни“

По дело C‑340/21

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Върховен административен съд (България) с акт от 14 май 2021 г., постъпил в Съда на 2 юни 2021 г., в рамките на производство по дело

VB

срещу

Национална агенция за приходите

СЪДЪТ (трети състав),

състоящ се от: K. Jürimäe, председател на състава, N. Piçarra, M. Safjan, N. Jääskinen (докладчик) и M. Gavalec, съдии,

генерален адвокат: G. Pitruzzella,

секретар: A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

–        за Национална агенция за приходите, от Р. Спецов,

–        за българското правителство, от M. Георгиева и Л. Захариева, в качеството на представители,

–        за чешкото правителство, от O. Serdula, M. Smolek и J. Vláčil, в качеството на представители,

–        за Ирландия, от M. Browne, Chief State Solicitor, A. Joyce, J. Quaney и M. Tierney, в качеството на представители, подпомагани от D. Fennelly, BL,

–        за италианското правителство, от G. Palmieri, в качеството на представител, подпомагана от E. De Bonis, avvocato dello Stato,

–        за португалското правителство, от P. Barros da Costa, A. Pimenta, J. Ramos и C. Vieira Guerra, в качеството на представители,

–        за Европейската комисия, от A. Bouchagiar, H. Kranenborg и Н. Николова, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 27 април 2023 г.,

постанови настоящото

Решение

1        Преюдициалното запитване се отнася до тълкуването на член 5, параграф 2, членове 24 и 32, както и член 82, параграфи 1—3 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, и поправка в ОВ L 127, 2018 г., стр. 2, наричан по-нататък „ОРЗД“).

2        Запитването е отправено в рамките на спор между VB, физическо лице, и Националната агенция за приходите (България) (наричана по-нататък „НАП“) относно обезщетение за неимуществените вреди, които посоченото лице твърди, че е претърпяло вследствие на твърдяно неизпълнение от страна на този публичен орган на законните му задължения в качеството му на администратор на лични данни.

 Правна уредба

3        Съображения 4, 10, 11, 74, 76, 83, 85 и 146 от ОРЗД имат следния текст:

„(4)      […] Настоящият регламент е съобразен с всички основни права и в него се спазват свободите и принципите, признати от [Хартата на основните права на Европейския съюз], както са залегнали в Договорите, и по-специално зачитането на личния и семейния живот, дома и комуникациите, защитата на личните данни, […] правото на ефективни правни средства за защита и на справедлив съдебен процес […].

[…]

(10)      За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в [Европейския съюз], нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. […]

(11)      Ефективната защита на личните данни в рамките на Съюза изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, […].

[…]

(74)      Следва да бъдат установени отговорностите и задълженията на администратора за всяко обработване на лични данни, извършено от администратора или от негово име. По-специално, администраторът следва да е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица.

[…]

(76)      Вероятността и тежестта на риска за правата и свободите на субекта на данни следва да се определят с оглед на естеството, обхвата, контекста и целта на обработването. Рискът следва да се оценява въз основа на обективна оценка, с която се определя дали операцията по обработването на данни води до риск или до висок риск.

[…]

(83)      С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящия регламент, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за ограничаване на тези рискове, например криптиране. Тези мерки следва да гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид достиженията на техническия прогрес и разходите по изпълнението спрямо рисковете и естеството на личните данни, които трябва да бъдат защитени. При оценката на риска за сигурността на данните следва да се разгледат рисковете, произтичащи от обработването на лични данни, като случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване, или достъп до предадени, съхранявани или обработвани по друг начин лични данни, което може по-конкретно да доведе до физически, материални или нематериални вреди.

[…]

(85)      Нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица. Поради това, веднага след като установи нарушение на сигурността на личните данни, администраторът следва да уведоми надзорния орган за нарушението на сигурността на личните данни без ненужно забавяне […].

[…]

(146)      Администраторът или обработващият лични данни следва да обезщетят всички вреди, които дадено лице може да претърпи в резултат на обработване на данни, което нарушава настоящия регламент. Администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите. Понятието „вреда“ следва да се тълкува в по-широк смисъл в контекста на съдебната практика на Съда по начин, който отразява напълно целите на настоящия регламент. Това не засяга евентуални искове за вреди, произтичащи от нарушаване на други правила на правото на Съюза или правото на държава членка. Обработване на данни, което нарушава настоящия регламент, включва и обработване, което нарушава делегираните актове и актовете за изпълнение, приети в съответствие с настоящия регламент, и правото на държава членка, конкретизиращо правилата на настоящия регламент. Субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди. […]“.

4        Член 4 от този регламент, озаглавен „Определения“, гласи:

„За целите на настоящия регламент:

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); […]

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства […].

[…]

7)      „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; […]

[…]

10)      „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

[…]

12)      „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

[…]“.

5        Член 5 от посочения регламент е озаглавен „Принципи, свързани с обработването на лични данни“ и предвижда:

„1.      Личните данни са:

a)      обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

[…]

е)      обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).

2.      Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“)“.

6        Съгласно член 24 от същия регламент, озаглавен „Отговорност на администратора“:

„1.      Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират.

2.      Когато това е пропорционално на дейностите по обработване, посочените в параграф 1 мерки включват прилагане от страна на администратора на подходящи политики за защита на данните.

3.      Придържането към одобрени кодекси за поведение, посочени в член 40 или одобрени механизми за сертифициране, посочени в член 42[,] може да се използва като елемент за доказване на спазването на задълженията на администратора“.

7        Член 32 от ОРЗД, озаглавен „Сигурност на обработването“, гласи:

„1.      Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

a)      псевдонимизация и криптиране на личните данни;

б)      способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

в)      способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

г)      процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

2.      При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

3.      Придържането към одобрен кодекс за поведение, посочен в член 40 или одобрен механизъм за сертифициране, посочен в член 42[,] може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграф 1 от настоящия член.

[…]“.

8        Член 79 от този регламент е озаглавен „Право на ефективна съдебна защита срещу администратор или обработващ лични данни“ и параграф 1 от него гласи:

„Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.

9        Член 82 от посочения регламент, озаглавен „Право на обезщетение и отговорност за причинени вреди“, предвижда в параграфи 1—3:

„1.      Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

2.      Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. […]

3.      Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата“.

 Спорът в главното производство и преюдициалните въпроси

10      НАП е орган към българския министър на финансите. В рамките на възложените ѝ функции, включващи, наред с останалото, установяване, обезпечаване и събиране на публични вземания, тя е администратор на лични данни по смисъла на член 4, точка 7 от ОРЗД.

11      На 15 юли 2019 г. медиите разкриват, че е осъществен неразрешен достъп до информационната система на НАП и че вследствие на тази кибератака в интернет са публикувани лични данни, съдържащи се в посочената информационна система.

12      Повече от шест милиона физически лица, български и чужди граждани, са засегнати от тези събития. Няколкостотин от тях, сред които ищцата по главното производство, предявяват срещу НАП искове за обезщетение за неимуществени вреди, които твърдят, че са претърпели от разкриването на техните лични данни.

13      Именно в този контекст ищцата по главното производство сезира Административен съд София-град (България) с иск НАП да бъде осъдена да ѝ изплати сумата от 1 000 български лева (BGN) (около 510 евро) като обезщетение за вреди на основание член 82 от ОРЗД и разпоредбите на българското право. В подкрепа на иска си тя поддържа, че е претърпяла неимуществени вреди, произтичащи от нарушение на сигурността на лични данни по смисъла на член 4, точка 12 от ОРЗД, и по-конкретно нарушение на сигурността, причинено вследствие на неизпълнение от НАП на задълженията ѝ, в частност по член 5, параграф 1, буква е) и по членове 24 и 32 от този регламент. Нейните неимуществени вреди се изразявали в опасения, че тъй като личните ѝ данни са били публикувани без нейното съгласие, с тях може да бъде злоупотребено в бъдеще, или че самата тя може да бъде изнудвана, нападната и дори отвлечена.

14      В своя защита НАП изтъква най-напред, че ищцата по главното производство не е поискала от нея информация относно конкретните лични данни, които са били разкрити. След това НАП представя документи, с които се домогва да докаже, че веднага е предприела всички необходими мерки, за да предотврати нарушението на сигурността на личните данни, съдържащи се в нейната информационна система, както и впоследствие, за да ограничи отражението на това нарушение и за успокояване на гражданите. По-нататък, според НАП няма причинна връзка между твърдените неимуществени вреди и посоченото нарушение. Накрая, тя твърди, че тъй като самата агенция е обект на злоумишлено посегателство от страна на лица, които не са нейни служители, не следва да носи отговорност за настъпилите вредоносни последици от това посегателство.

15      С решение от 27 ноември 2020 г. Административен съд София‑град отхвърля иска на ищцата по главното производство. Тази юрисдикция приема, от една страна, че неразрешеният достъп до базата данни на НАП е извършен чрез хакерска атака от трети лица, и от друга страна, че ищцата по главното производство не е доказала бездействие на НАП, що се отнася до приемането на мерки за сигурност. Освен това тя преценява, че ищцата не е претърпяла неимуществени вреди, които да подлежат на обезщетяване.

16      Ищцата по главното производство подава касационна жалба срещу посоченото решение до Върховния административен съд (България), който е запитващата юрисдикция по настоящото дело. В подкрепа на касационната си жалба тя поддържа, че първоинстанционният съд е допуснал грешка при прилагане на правото в разпределянето на доказателствената тежест във връзка с предприетите от НАП мерки за сигурност, и че последната не е доказала, че не е бездействала в това отношение. Освен това ищцата по главното производство твърди, че опасенията от възможни бъдещи злоупотреби с личните ѝ данни е не хипотетична, а реална нематериална вреда. В отговор НАП оспорва всеки от тези доводи.

17      Запитващата юрисдикция разглежда най-напред възможността констатирането на извършено нарушение на сигурността на личните данни само по себе си да позволи да се направи изводът, че мерките, предприети от администратора на тези данни, не са били „подходящи“ по смисъла на членове 24 и 32 от ОРЗД.

18      Същевременно, ако се окаже, че тази констатация е недостатъчна, за да се направи такъв извод, тя си поставя въпроса, от една страна, за обхвата на контрола, който националният съд трябва да упражни, за да прецени дали съответните мерки са подходящи, и от друга страна, за правилата относно събирането на доказателства, които трябва да се прилагат в този контекст, както за доказателствената тежест, така и за доказателствените средства, особено когато този съд е сезиран с иск за обезщетение по член 82 от този регламент.

19      След това тази юрисдикция иска да се установи дали с оглед на член 82, параграф 3 от посочения регламент фактът, че нарушението на сигурността на лични данни произтича от действие на трети лица, в случая кибератака, представлява фактор, който систематично освобождава администратора на тези данни от отговорност за причинените на субекта на данни вреди.

20      Накрая, посочената юрисдикция иска да се установи дали опасенията на дадено лице, че с личните му данни може да бъде злоупотребено в бъдеще, в конкретния случай — вследствие на неразрешен достъп до същите и разкриването им от киберпрестъпници, сами по себе си биха могли да представляват „нематериална вреда“ по смисъла на член 82, параграф 1 от ОРЗД. При утвърдителен отговор няма да е необходимо това лице да доказва, че преди иска му за обезщетение трети лица са използвали неправомерно тези данни, като са извършили например кражба на самоличност.

21      При тези обстоятелства Върховният административен съд решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Разпоредбите на член 24 и член 32 от [ОРЗД] могат ли да се тълкуват в смисъл, че е достатъчно да е осъществено неразрешено разкриване или достъп до лични данни по смисъла на член 4, точка 12 от [ОРЗД] от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, за да се приеме, че приложените технически и организационни мерки не са подходящи?

2)      Ако отговорът на първия въпрос е отрицателен, какъв следва да е предметът и обхватът на съдебния контрол за законосъобразност при проверка дали приложените от администратора на лични данни технически и организационни мерки по член 32 от [ОРЗД] са подходящи?

3)      Ако отговорът на първия въпрос е отрицателен, принципът на отчетност в член 5, параграф 2 [от ОРЗД] и член 24 [от този регламент] във връзка със съображение 74 от [него] могат ли да се тълкуват в смисъл, че в исковото производство по член 82, параграф 1 от [посочения регламент] администраторът на лични данни носи доказателствена тежест относно обстоятелството, че приложените по член 32 от [същия регламент] технически и организационни мерки са подходящи? Назначаването на съдебна експертиза може ли да се приеме като необходимо и достатъчно доказателствено средство, с което да се установи дали приложените от администратора на лични данни технически и организационни мерки са подходящи в хипотеза като настоящата, в която неразрешеният достъп и разкриване на лични данни е резултат от „хакерска атака“?

4)      Нормата на член 82, параграф 3 от [ОРЗД] може ли да се тълкува в смисъл, че неразрешено разкриване или достъп до лични данни по смисъла на член 4, точка 12 от [ОРЗД], в случая чрез „хакерска атака“, от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, е събитие, за което администраторът на лични данни по никакъв начин не е отговорен и е основание за освобождаване от отговорност?

5)      Нормите на член 82, параграф 1 и параграф 2 [от ОРЗД] във връзка със съображения 85 и 146 от преамбюла на [този регламент] могат ли да се тълкуват в смисъл, че в хипотеза като настоящата на нарушение на сигурността на личните данни, изразяващо се в неразрешен достъп и разпространение на лични данни, осъществено чрез „хакерска атака“, само преживените от субекта на лични данни опасения, притеснения и страх от евентуална, бъдеща злоупотреба с лични данни, без да е установена такава злоупотреба и/или да е настъпила друга вреда за субекта на данните, попадат в широкия смисъл на понятието нематериални вреди и [това] е основание за обезщетение?“.

 По преюдициалните въпроси

 По първия въпрос

22      С първия си въпрос запитващата юрисдикция по същество иска да се установи дали членове 24 и 32 от ОРЗД трябва да се тълкуват в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от този регламент сами по себе си са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32.

23      В самото начало следва да се припомни, че според постоянната съдебна практика разпоредба от правото на Съюза като членове 24 и 32 от ОРЗД, чийто текст не съдържа изрично препращане към правото на държавите членки с оглед на определяне на нейния смисъл и обхват, трябва по принцип да получи самостоятелно и еднакво тълкуване навсякъде в Съюза, което трябва по-специално да се търси с оглед на текста на съответната разпоредба, преследваната от нея цел и контекста, в който тя се вписва (вж. в този смисъл решения от 18 януари 1984 г., Ekro, 327/82, EU:C:1984:11, т. 11, от 1 октомври 2019 г., Planet49, C‑673/17, EU:C:2019:801, т. 47 и 48, и от 4 май 2023 г., Österreichische Post (Неимуществени вреди, свързани с обработване на лични данни), C‑300/21, EU:C:2023:370, т. 29).

24      На първо място, що се отнася до текста на релевантните разпоредби, следва да се отбележи, че член 24 от ОРЗД предвижда общо задължение за администратора на лични данни да въведе подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че посоченото обработване се извършва в съответствие с този регламент.

25      За тази цел член 24, параграф 1 изброява определен брой критерии, които следва да се вземат предвид, за да се оцени дали тези мерки са подходящи, а именно естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица. Тази разпоредба добавя, че посочените мерки се преразглеждат и при необходимост се актуализират.

26      В този контекст член 32 от ОРЗД уточнява задълженията на администратора и евентуално на обработващия лични данни по отношение на сигурността на обработването. Така параграф 1 от този член гласи, че същите трябва да прилагат подходящи технически и организационни мерки за осигуряване на съобразено с рисковете, споменати в предходната точка от настоящото решение, ниво на сигурност, като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на съответното обработване.

27      Също така параграф 2 от посочената разпоредба гласи, че при оценката на подходящото ниво на сигурност трябва да се вземат предвид по-специално рисковете, които са свързани с обработването, в частност от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до такива лични данни.

28      По-нататък, както член 24, параграф 3, така и член 32, параграф 3 от този регламент указват, че администраторът или обработващият лични данни може да докаже, че е спазил изискванията на съответния параграф 1 от тези членове, като използва като доказателство това, че се е придържал към одобрен кодекс за поведение или одобрен механизъм за сертифициране, както е предвидено в членове 40 и 42 от посочения регламент.

29      Споменаването в член 32, параграфи 1 и 2 от ОРЗД на „съобразено с този риск ниво на сигурност“ и „подходящо ниво на сигурност“ свидетелства за това, че този регламент създава режим на управление на рисковете и че не претендира да изключи напълно рисковете от нарушения на сигурността на личните данни.

30      Така от текста на членове 24 и 32 от ОРЗД следва, че тези разпоредби се ограничават до това да задължат администратора да приеме технически и организационни мерки, предназначени, доколкото е възможно, да се избегне всяко нарушение на сигурността на лични данни. Дали тези мерки са подходящи трябва да се оцени конкретно, като се провери дали те са приложени от администратора при отчитане на различните критерии, визирани в тези членове, и на нуждите от защита на данните, специфично присъщи на съответното обработване, както и свързаните с него рискове.

31      Следователно членове 24 и 32 от ОРЗД не могат да се разбират в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от трета страна са достатъчни, за да се направи изводът, че приетите от съответния администратор на лични данни мерки не са подходящи по смисъла на тези разпоредби, без дори да му се позволи да представи доказателства за противното.

32      Такова тълкуване се налага на още по-силно основание, тъй като член 24 от ОРЗД предвижда изрично, че администраторът трябва да е в състояние да докаже съответствието с този регламент на мерките, които е въвел, възможност, от която ще бъде лишен, ако бъде приета необорима презумпция.

33      На второ място, това тълкуване на членове 24 и 32 от ОРЗД се потвърждава от контекстуални и телеологични елементи.

34      Що се отнася, от една страна, до контекста, в който се вписват тези две разпоредби, следва да се отбележи, че от член 5, параграф 2 от ОРЗД е видно, че администраторът трябва да е в състояние да докаже спазването на принципите, свързани с обработването на лични данни, прогласени в параграф 1 от посочения член. Това задължение е възпроизведено и уточнено в член 24, параграфи 1 и 3, както и в член 32, параграф 3 от този регламент, що се отнася до задължението за въвеждане на технически и организационни мерки за защита на такива данни при обработването, извършвано от този администратор. Такова задължение за доказване на подходящия характер на тези мерки обаче не би имало смисъл, ако администраторът е длъжен да възпрепятства всяко засягане на посочените данни.

35      По-нататък, съображение 74 от ОРЗД подчертава, че е важно администраторът да е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с този регламент, включително ефективността на мерките, които следва да отчитат критерии, свързани с характеристиките на съответното обработване, и с риска, който то представлява, които са изброени в тези членове 24 и 32.

36      Също така съгласно съображение 76 от този регламент вероятността и тежестта на риска зависят от особеностите на разглежданото обработване и този риск следва да се оценява въз основа на обективна оценка.

37      Впрочем от член 82, параграфи 2 и 3 от ОРЗД следва, че макар администратор, участващ в обработването на лични данни, да носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава този регламент, той все пак се освобождава от отговорност, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

38      От друга страна, тълкуването, изведено в точка 31 от настоящото решение, се потвърждава и от съображение 83 от ОРЗД, първото изречение от което гласи, че „[с] цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящия регламент, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за ограничаване на тези рискове“. По този начин законодателят на Съюза е проявил своето намерение да „ограничи“ рисковете от нарушение на сигурността на личните данни, без да твърди, че е възможно да ги отстрани.

39      Поради изложените мотиви на първия въпрос следва да се отговори, че членове 24 и 32 от ОРЗД трябва да се тълкуват в смисъл, че неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от този регламент сами по себе си не са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32.

 По втория въпрос

40      С втория си въпрос запитващата юрисдикция по същество иска да се установи дали член 32 от ОРЗД трябва да се тълкува в смисъл, че оценката дали приложените от администратора технически и организационни мерки по този член са подходящи трябва да бъде направена от националните юрисдикции конкретно, по-специално като се вземат предвид рисковете, свързани със съответното обработване.

41      В това отношение следва да се припомни, както беше подчертано при отговора на първия въпрос, че член 32 от ОРЗД изисква администраторът и обработващият лични данни, според случая, да прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, като се имат предвид критериите за преценка, прогласени в параграф 1 от него. По-нататък, параграф 2 от този член изброява неизчерпателно определен брой фактори, които са релевантни, за да се оцени подходящото ниво на сигурност с оглед на рисковете, свързани със съответното обработване.

42      От посочения член 32, параграфи 1 и 2 следва, че дали такива технически и организационни мерки са подходящи, трябва да се преценява на два етапа. От една страна, следва да се идентифицират рисковете от нарушение на сигурността на личните данни, породени от съответното обработване, и евентуалните последици от тях за правата и свободите на физическите лица. Тази преценка трябва да се осъществява конкретно, като се отчита степента на вероятност на идентифицираните рискове и тежестта им. От друга страна, следва да се провери дали мерките, приложени от администратора, са съобразени с тези рискове, като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на това обработване.

43      Несъмнено администраторът разполага с известна свобода на преценка, за да определи подходящите технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, както изисква член 32, параграф 1 от ОРЗД. Това не променя факта, че национална юрисдикция трябва да може да оцени сложната преценка, извършена от администратора и правейки това, да се увери, че избраните от последния мерки са годни да гарантират такова ниво на сигурност.

44      Подобно тълкуване впрочем е от естество да гарантира, от една страна, ефективната защита на личните данни, която се подчертава в съображения 11 и 74 от този регламент, и от друга страна, правото на ефективна съдебна защита срещу администратор на лични данни, защитено от член 79, параграф 1 във връзка със съображение 4 от посочения регламент.

45      Следователно, за да провери дали приложените на основание член 32 от ОРЗД технически и организационни мерки са подходящи, националният съд не трябва да се ограничава до това да установи по какъв начин съответният администратор е възнамерявал да изпълни задълженията си по този член, а трябва да разгледа по същество тези мерки с оглед на всички споменати в този член критерии, както и на обстоятелствата в конкретния случай и на доказателствата, с които този съд разполага по въпроса.

46      За това разглеждане е необходимо да се извърши конкретен анализ едновременно на естеството и на съдържанието на въведените от администратора мерки, на начина, по който тези мерки са приложени, и на практическите им последствия за нивото на сигурност, което той е бил длъжен да гарантира с оглед на рисковете, присъщи на това обработване.

47      Следователно на втория въпрос следва да се отговори, че член 32 от ОРЗД трябва да се тълкува в смисъл, че преценката дали приложените от администратора технически и организационни мерки по този член са подходящи трябва да бъде направена от националните юрисдикции конкретно, като се вземат предвид рисковете, свързани със съответното обработване, и като се прецени дали естеството, обхватът и прилагането на тези мерки са съобразени с тези рискове.

 По третия въпрос

 По първата част от третия въпрос

48      С първата част от третия си въпрос запитващата юрисдикция по същество иска да се установи дали принципът на отчетност на администратора, закрепен в член 5, параграф 2 и конкретизиран в член 24 от ОРЗД, трябва да се тълкува в смисъл, че в исково производство за обезщетение по член 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по член 32 от посочения регламент са подходящи.

49      В това отношение следва, на първо място, да се припомни, че член 5, параграф 2 от ОРЗД въвежда принцип на отчетност, по силата на който администраторът носи отговорност за спазването на принципите, свързани с обработването на лични данни, закрепени в параграф 1 от този член, и предвижда, че посоченият администратор трябва е в състояние да докаже, че тези принципи са спазени.

50      По-конкретно, в съответствие с принципа на цялостност и поверителност на личните данни, прогласен в член 5, параграф 1, буква е) от този регламент, администраторът трябва да следи тези данни да се обработват по начин, който гарантира подходящо ниво на сигурност на същите, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки, и да е в състояние да докаже спазването на този принцип.

51      Следва също да се отбележи, че както член 24, параграф 1 при прочита му в светлината на съображение 74 от ОРЗД, така и член 32, параграф 1 от този регламент налагат на администратора по отношение на всяко обработване на лични данни, извършвано от самия него или от негово име, да прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с посочения регламент.

52      От текстовете на член 5, параграф 2, член 24, параграф 1 и член 32, параграф 1 от ОРЗД недвусмислено следва, че съответният администратор носи тежестта да докаже, че личните данни се обработват така, че да се гарантира подходящо ниво на сигурност на същите по смисъла на член 5, параграф 1, буква е) и член 32 от този регламент (вж. по аналогия решения от 4 май 2023 г., Bundesrepublik Deutschland (Електронна пощенска кутия на Съда), C‑60/22, EU:C:2023:373, т. 52 и 53, и от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа, C‑252/21, EU:C:2023:537, т. 95).

53      Тези три разпоредби прогласяват по този начин правило с общо приложение, което следва, ако не е предвидено друго в ОРЗД, да се прилага и при иск за обезщетение на основание член 82 от този регламент.

54      На второ място, следва да се констатира, че изложеното буквално тълкуване се потвърждава при отчитането на преследваните от ОРЗД цели.

55      От една страна, щом като нивото на защита, към което се стреми ОРЗД, зависи от мерките за сигурност, приети от администраторите на лични данни, те трябва да бъдат насърчавани, доколкото носят тежестта да докажат, че тези мерки са подходящи, да направят всичко възможно, за да предотвратят извършването на операции по обработване, които не са в съответствие с този регламент.

56      От друга страна, ако се приеме, че тежестта на доказване, че посочените мерки са подходящи, е върху субектите на данни, както са определени в член 4, точка 1 от ОРЗД, от това би следвало, че правото на обезщетение, предвидено в член 82, параграф 1 от същия, би било лишено от значителна част от полезното си действие, въпреки че намерението на законодателя на Съюза е да укрепи както правата на тези лица, така и задълженията на администраторите спрямо предшестващите този регламент разпоредби, както сочи съображение 11 от него.

57      Следователно на първата част от третия въпрос следва да се отговори, че принципът на отчетност на администратора, закрепен в член 5, параграф 2 и конкретизиран в член 24 от ОРЗД, трябва да се тълкува в смисъл, че в исково производство за обезщетение по член 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по член 32 от посочения регламент са подходящи.

 По втората част от третия въпрос

58      С втората част от третия си въпрос запитващата юрисдикция по същество иска да се установи дали член 32 от ОРЗД и принципът на ефективност на правото на Съюза следва да се тълкуват в смисъл, че за да се прецени дали мерките за сигурност, приложени от администратора на основание този член, са подходящи, назначаването на съдебна експертиза може да се приеме като необходимо и достатъчно доказателствено средство.

59      В това отношение е важно да се припомни, че съгласно постоянната съдебна практика, когато в правото на Съюза няма правила в съответната област, по силата на принципа на процесуалната автономия във вътрешния правен ред на всяка държава членка трябва да се уредят процесуалните аспекти на съдебните производства, предназначени да гарантират защитата на правата на страните в процеса, при условие все пак тези правила да не са по-неблагоприятни от правилата, които уреждат подобни вътрешноправни положения (принцип на равностойност), и да не правят практически невъзможно или прекомерно трудно упражняването на правата, предоставени от правото на Съюза (принцип на ефективност) (решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 53 и цитираната съдебна практика).

60      В случая следва да се отбележи, че ОРЗД не съдържа правила за допускането и доказателствената стойност на доказателствено средство като съдебната експертиза, които трябва да се прилагат от националния съд, сезиран с иск за обезщетение на основание член 82 от този регламент, който трябва да прецени с оглед на член 32 от него дали мерките за сигурност, приложени от съответния администратор на лични данни, са подходящи. Следователно, в съответствие с припомненото в предходната точка от настоящото решение и когато в правото на Съюза няма правила в тази област, във вътрешния правен ред на всяка държава членка трябва да се определят правилата за съдебните искове, предназначени да гарантират защитата на правата, които страните в процеса черпят от този член 82, и по-специално правилата относно доказателствените средства, позволяващи да се оцени дали тези мерки са подходящи в този контекст, при условие че се спазват посочените принципи на равностойност и ефективност (вж. по аналогия решения от 21 юни 2022 г., Ligue des droits humains, C‑817/19, EU:C:2022:491, т. 297, и от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 54).

61      В настоящото производство Съдът не разполага с данни, които да пораждат съмнения относно спазването на принципа на равностойност. Положението е различно, що се отнася до съответствието с принципа на ефективност, доколкото самият текст на втората част от третия въпрос представя назначаването на съдебна експертиза като „необходимо и достатъчно доказателствено средство“.

62      По-конкретно, национално процесуално правило, по силата на което е „необходимо“ националните юрисдикции системно да назначават съдебна експертиза, би могло да е в разрез с принципа на ефективност. Действително системното използване на такава експертиза може да се окаже излишно с оглед на останалите доказателства, с които сезираният съд разполага, и в частност, както посочва българското правителство в писменото си становище, с оглед на резултатите от проверка спазени ли са мерките за защита на личните данни, осъществена от независим и създаден със закон орган, доколкото тази проверка е неотдавнашна, понеже в съответствие с член 24, параграф 1 от ОРЗД посочените мерки трябва да се преразглеждат и при необходимост да се актуализират.

63      По-нататък, както отбелязва в писменото си становище Европейската комисия, принципът на ефективност може да бъде нарушен в хипотезата, при която прилагателното „достатъчен“ трябва да се схваща като означаващо, че национален съд трябва изключително или автоматично от заключение на съдебна експертиза да направи извод, че мерките за сигурност, приложени от разглеждания администратор, са „подходящи“ по смисъла на член 32 от ОРЗД. Защитата на предоставените от този регламент права обаче, към която посоченият принцип на ефективност се стреми, и по-специално правото на ефективна съдебна защита срещу администратора на лични данни, което е гарантирано от член 79, параграф 1 от същия, изискват безпристрастен съд да извърши обективна преценка дали съответните мерки са подходящи, вместо да се ограничава до такъв извод (вж. в този смисъл решение от 12 януари 2023 г., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, т. 50).

64      С оглед на изложените мотиви на втората част от третия въпрос следва да се отговори, че член 32 от ОРЗД и принципът на ефективност на правото на Съюза трябва да се тълкуват в смисъл, че за да се прецени дали са подходящи мерките за сигурност, приложени от администратора на основание на този член, назначаването на съдебна експертиза не може да представлява доказателствено средство, което системно е необходимо и достатъчно.

 По четвъртия въпрос

65      С четвъртия си въпрос запитващата юрисдикция по същество иска да се установи дали член 82, параграф 3 от ОРЗД следва да се тълкува в смисъл, че администраторът се освобождава от задължението си по член 82, параграфи 1 и 2 от този регламент за обезщетение на претърпените от дадено лице вреди само поради факта че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от посочения регламент.

66      В самото начало следва да се уточни, че от член 4, точка 10 от ОРЗД следва, че качеството „трета страна“ имат по-специално лицата, различни от тези, които имат право да обработват личните данни под прякото ръководство на администратора или на обработващия лични данни. Това определение обхваща лицата, които не са служители на администратора на лични данни и не са под контрола на същия, като тези, визирани в поставения въпрос.

67      След това, следва да се припомни, на първо място, че член 82, параграф 2 от ОРЗД гласи, че „администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава [този] регламент“ и че параграф 3 от този член предвижда, че администраторът или обработващият лични данни, според случая, се освобождава от тази отговорност, „ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата“.

68      По-нататък, от съображение 146, първо и второ изречение от ОРЗД, което съответства конкретно на член 82 от него, гласи, че „[а]дминистраторът или обработващият лични данни следва да обезщетят всички вреди, които дадено лице може да претърпи в резултат на обработване на данни, което нарушава [този] регламент“ и „следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите“.

69      От тези разпоредби следва, от една страна, че въпросният администратор по принцип трябва да поправи вредите, причинени от свързано с това обработване нарушение на този регламент, и от друга страна, че той може да бъде освободен от отговорност само ако докаже, че по никакъв начин не е отговорен за събитието, причинило тази вреда.

70      Както показва изричното добавяне в хода на законодателната процедура на обстоятелственото пояснение „по никакъв начин“, обстоятелствата, при които администраторът на лични данни може да претендира да бъде освободен от гражданската отговорност, която носи на основание член 82 от ОРЗД, трябва да бъдат стриктно ограничени до тези, при които този администратор е в състояние да докаже липса на възможност вредите да му бъдат вменени.

71      Когато, както в настоящия случай, нарушение на сигурността на лични данни по смисъла на член 4, точка 12 от ОРЗД е извършено от киберпрестъпници и следователно от „трета страна“ по смисъла на член 4, точка 10 от този регламент, това нарушение не може да бъде вменено на администратора на лични данни, освен ако той е направил посоченото нарушение възможно, като не е спазил предвидено в ОРЗД задължение, и по-конкретно задължението за защита на данните, което има по силата на член 5, параграф 1, буква е) и на членове 24 и 32 от същия регламент.

72      Така при нарушение на сигурността на лични данни, извършено от трето лице, администраторът може да се освободи от отговорност на основание член 82, параграф 3 от ОРЗД, като докаже, че не е налице никаква причинно-следствена връзка между евентуалното нарушение от негова страна на задължението за защита на личните данни, и претърпените от физическото лице вреди.

73      На второ място, изложеното тълкуване на член 82, параграф 3 е в съответствие и с целта на ОРЗД, изразяваща се в осигуряване на високо ниво на защита на физическите лица във връзка с обработването на техните лични данни, посочена в съображения 10 и 11 от този регламент.

74      С оглед на всички гореизложени съображения на четвъртия въпрос трябва да се отговори, че член 82, параграф 3 от ОРЗД следва да се тълкува в смисъл, че администраторът не се освобождава от задължението си по член 82, параграфи 1 и 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен.

 По петия въпрос

75      С петия си въпрос запитващата юрисдикция по същество иска да се установи дали член 82, параграф 1 от ОРЗД следва да се тълкува в смисъл, че опасенията, преживени от субект на данни вследствие на нарушение на този регламент, от потенциална злоупотреба с неговите лични от трето лице, могат сами по себе си да съставляват „нематериална вреда“ по смисъла на тази разпоредба.

76      На първо място, що се отнася до текста на член 82, параграф 1 от ОРЗД, следва да се отбележи, че той предвижда, че „[в]сяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.

77      В това отношение Съдът е отбелязал, че от текста на член 82, параграф 1 от ОРЗД ясно следва, че наличието на „вреди“, които са били „нанесени“, е едно от условията за правото на обезщетение, предвидено в посочената разпоредба, както и наличието на нарушение на този регламент и на причинно-следствена връзка между тези вреди и това нарушение, като тези три условия са кумулативни (решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 32).

78      Впрочем, като се основава на съображения едновременно от буквално, систематично и телеологично естество, Съдът тълкува член 82, параграф 1 от ОРЗД в смисъл, че не допуска национална разпоредба или практика, която поставя поправянето на „нематериални вреди“ по смисъла на тази разпоредба в зависимост от условието нанесените на субекта на данните вреди да са достигнали определена степен на значимост (решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 51).

79      След това припомняне е важно да се подчертае в случая, че член 82, параграф 1 от ОРЗД не провежда разграничение между случаи, в които вследствие на потвърдено нарушение на разпоредбите на този регламент твърдените от субекта на данни „нематериални вреди“, от една страна, са свързани със злоупотреба от страна на трети лица с неговите лични данни, която вече е извършена към датата на искането му за обезщетение, или от друга страна, са свързани с изпитвания от лицето страх, че такова използване може да се случи в бъдеще.

80      При това положение текстът на член 82, параграф 1 от ОРЗД не изключва възможността понятието „нематериални вреди“, съдържащо се в тази разпоредба, да обхваща положение като посоченото от запитващата юрисдикция, в което, за да получи обезщетение на основание на тази разпоредба, субектът на данни изтъква опасенията си, че в бъдеще може да бъде злоупотребено с неговите лични данни от трети лица поради извършеното нарушение на този регламент.

81      Това буквално тълкуване се потвърждава, на второ място, от съображение 146 от ОРЗД, което се отнася конкретно до правото на обезщетение, предвидено в член 82, параграф 1 от същия, чието трето изречение споменава, че „[п]онятието „вреда“ следва да се тълкува в по-широк смисъл в контекста на съдебната практика на Съда по начин, който отразява напълно целите“ на този регламент. Същевременно тълкуване на понятието „нематериални вреди“ по смисъла на този член 82, параграф 1, което не обхваща положенията, в които засегнатият от нарушение на посочения регламент субект на данни се позовава на опасението, което изпитва, че с личните му данни ще бъде злоупотребено в бъдеще, не отговаря на широкото разбиране на това понятие, което законодателят на Съюза е целял (вж. по аналогия решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 37 и 46).

82      Впрочем съображение 85, първо изречение от ОРЗД посочва, че „нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, […] или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица“. От този примерен списък на „вреди“ или „щети“, които могат да бъдат нанесени на субектите на данни следва, че законодателят на Съюза е възнамерявал да включи в тези понятия по-конкретно самата „загуба на контрол“ върху личните им данни, вследствие на нарушение на този регламент, въпреки че с разглежданите данни не е конкретно извършена злоупотреба в ущърб на посочените субекти.

83      На трето и последно място, в подкрепа на направеното в точка 80 от настоящото решение тълкуване са и целите на ОРЗД, които следва напълно да се вземат предвид при определянето на понятието „вреда“, както се посочва в съображение 146, трето изречение от този регламент. Тълкуване на член 82, параграф 1 от ОРЗД обаче, според което понятието „нематериални вреди“ по смисъла на тази разпоредба не би включвало положенията, в които даден субект на данни се позовава само на опасенията си, че в бъдеще с данните му ще бъде злоупотребено от трета страна, не е в съответствие с гарантирането на високо ниво на защита на физическите лица във връзка с обработването на лични данни в рамките на Съюза, което се цели с този инструмент.

84      Същевременно е важно да се подчертае, че лице, засегнато от нарушение на ОРЗД, което е имало отрицателни последици за него, е длъжно да докаже, че тези последици представляват нематериални вреди по смисъла на член 82 от този регламент (вж. в този смисъл решение от 4 май 2023 г., Österreichische Post (Нематериални вреди, свързани с обработването на лични данни), C‑300/21, EU:C:2023:370, т. 50).

85      По-конкретно, когато лице, което иска обезщетение на това основание, се позовава на опасенията, че в бъдеще с неговите лични данни ще бъде злоупотребено поради наличието на такова нарушение, сезираната национална юрисдикция трябва да провери дали тези опасения може да се считат за основателни с оглед на обстоятелствата в конкретния случай и на субекта на данни.

86      Предвид гореизложените мотиви на петия въпрос трябва да се отговори, че член 82, параграф 1 от ОРЗД следва да се тълкува в смисъл, че опасенията, които субект на данни изпитва, вследствие на нарушение на този регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериални вреди“ по смисъла на тази разпоредба.

 По съдебните разноски

87      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

Поради изложените съображения Съдът (трети състав) реши:

1)      Членове 24 и 32 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

трябва да се тълкуват в смисъл, че

неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от този регламент сами по себе си не са достатъчни, за да се приеме, че приложените от съответния администратор технически и организационни мерки не са „подходящи“ по смисъла на тези членове 24 и 32.

2)      Член 32 от Регламент 2016/679

трябва да се тълкува в смисъл, че

преценката дали приложените от администратора технически и организационни мерки по този член са подходящи трябва да бъде направена от националните юрисдикции конкретно, като се вземат предвид рисковете, свързани със съответното обработване, и като се прецени дали естеството, обхватът и прилагането на тези мерки са съобразени с тези рискове.

3)      Принципът на отчетност на администратора, закрепен в член 5, параграф 2 и конкретизиран в член 24 от Регламент 2016/679,

трябва да се тълкува в смисъл, че

в исково производство за обезщетение по член 82 от този регламент разглежданият администратор носи тежестта за доказване на обстоятелството, че приложените от него мерки за сигурност по член 32 от посочения регламент са подходящи.

4)      Член 32 от Регламент 2016/679 и принципът на ефективност на правото на Съюза

трябва да се тълкуват в смисъл, че

за да се прецени дали са подходящи мерките за сигурност, приложени от администратора на основание на този член, назначаването на съдебна експертиза не може да представлява доказателствено средство, което системно е необходимо и достатъчно.

5)      Член 82, параграф 3 от Регламент 2016/679

трябва да се тълкува в смисъл, че

администраторът не се освобождава от задължението си по член 82, параграфи 1 и 2 от този регламент за обезщетяване на претърпените от дадено лице вреди само поради факта че тези вреди произтичат от неразрешено разкриване на лични данни или неразрешен достъп до такива данни от „трета страна“ по смисъла на член 4, точка 10 от посочения регламент, като посоченият администратор трябва тогава да докаже, че причинилият съответните вреди факт не може по никакъв начин да му бъде вменен.

6)      Член 82, параграф 1 от Регламент 2016/679

трябва да се тълкува в смисъл, че

опасенията, които субект на данни изпитва, вследствие на нарушение на този регламент, от потенциална злоупотреба с неговите лични данни от трети лица, могат сами по себе си да представляват „нематериална вреда“ по смисъла на тази разпоредба.

Подписи

*Език на производството: български.