|
16.8.2021 |
DA |
Den Europæiske Unions Tidende |
C 329/12 |
Anmodning om præjudiciel afgørelse indgivet af Varhoven administrativen sad (Bulgarien) den 2. juni 2021 — VB mod Natsionalna agentsia za prihodite
(Sag C-340/21)
(2021/C 329/16)
Processprog: bulgarsk
Den forelæggende ret
Varhoven administrativen sad
Parter i hovedsagen
Kassationsappellant: VB
Kassationsindstævnt: Natsionalna agentsia za prihodite
Præjudicielle spørgsmål
|
1. |
Skal artikel 24 og 32 i forordning (EU) nr. 2016/579 (1) fortolkes således, at det forhold, at en uautoriseret videregivelse eller en uautoriseret adgang til personoplysninger som omhandlet i artikel 4, nr. 12), i forordning (EU) nr. 2016/679 er blevet foretaget af personer, som ikke er ansatte i den dataansvarliges administration og ikke er undergivet dennes kontrol, er tilstrækkeligt til at lægge til grund, at de iværksatte tekniske og organisatoriske foranstaltninger ikke er passende? |
|
2. |
Såfremt det første spørgsmål besvares benægtende, hvilken genstand og hvilket omfang skal rettens legalitetskontrol da have ved vurderingen af, om de tekniske og organisatoriske foranstaltninger, som den dataansvarlige har truffet som omhandlet i artikel 32 i forordning (EU) nr. 2016/679, er passende? |
|
3. |
Såfremt det første spørgsmål besvares benægtende, skal ansvarlighedsprincippet som omhandlet i artikel 5, stk. 2, og artikel 24 i forordning (EU) nr. 2016/679, sammenholdt med 74. betragtning hertil, da fortolkes således, at bevisbyrden for, at de iværksatte tekniske og organisatoriske foranstaltninger som omhandlet i artikel 32 i forordning (EU) nr. 2016/679 er passende, påhviler den dataansvarlige i forbindelse med et søgsmål i henhold til forordningens artikel 82, stk. 1? Kan indhentningen af en sagkyndig udtalelse anses for et bevismiddel, der er nødvendigt for og tilstrækkeligt til at fastslå, om de tekniske og organisatoriske foranstaltninger, som den dataansvarlige har truffet, i en sag som den foreliggende var passende, hvis den uautoriserede adgang til og den uautoriserede videregivelse af personoplysninger skyldtes et »hackerangreb«? |
|
4. |
Skal artikel 82, stk. 3, i forordning (EU) nr. 2016/679 fortolkes således, at den uautoriserede videregivelse af eller den uautoriserede adgang til personoplysninger som omhandlet i artikel 4, nr. 12), i forordning (EU) nr. 2016/679 som i den foreliggende sag gennem et »hackerangreb« udført af personer, der ikke er ansatte i den dataansvarliges administration og ikke er undergivet dennes kontrol, udgør en omstændighed, som den dataansvarlige ikke er skyld i, og som kan begrunde en fritagelse for erstatningsansvar? |
|
5. |
Skal artikel 82, stk. 1 og 2, i forordning (EU) nr. 2016/679, sammenholdt med 85. og 146. betragtning hertil, fortolkes således, at det i en sag som den foreliggende, hvor tilsidesættelsen af beskyttelsen af personoplysninger kommer til udtryk ved en uautoriseret adgang til og formidling af personoplysninger gennem et »hackerangreb«, kun er den berørte persons bekymringer, frygt og angst for et muligt fremtidigt misbrug af personoplysninger, der er omfattet af begrebet immateriel skade, som skal fortolkes bredt, og dermed berettiger til erstatning, hvis der ikke er blevet konstateret et sådant misbrug og/eller den berørte person ikke er blevet påført nogen yderligere skade? |
(1) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1).