1.

Το άρθρο 4 του κανονισμού 2016/679 ( 2 ) (στο εξής: κανονισμός), με τίτλο «Ορισμοί», ορίζει τα εξής:

«Στο πλαίσιο του παρόντος κανονισμού, νοούνται ως:

[…]

2.

Το άρθρο 5, που τιτλοφορείται «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα» έχει ως εξής:

«1.   Τα δεδομένα προσωπικού χαρακτήρα:

[…]

2.   Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”)».

3.

Το άρθρο 24 του ίδιου κανονισμού, με τίτλο «Ευθύνη του υπευθύνου επεξεργασίας», ορίζει τα εξής:

«1.   Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.

2.   Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο της επεξεργασίας.

3.   Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπευθύνου επεξεργασίας.»

4.

Το άρθρο 32, με τον τίτλο «Ασφάλεια επεξεργασίας», ορίζει τα εξής:

«1.   Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος της επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:

[…]

2.   Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

3.   Η τήρηση εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις της παραγράφου 1 του παρόντος άρθρου.

[…]»

5.

Το άρθρο 82 του κανονισμού αυτού, το οποίο φέρει τον τίτλο «Δικαίωμα αποζημίωσης και ευθύνη», ορίζει τα εξής:

«1.   Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.

2.   Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. […]

3.   Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχουν δυνάμει της παραγράφου 2, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας».

6.

Στις 15 Ιουλίου 2019, τα βουλγαρικά μέσα μαζικής ενημέρωσης μετέδωσαν την είδηση ότι είχε λάβει χώρα άνευ αδείας πρόσβαση στο πληροφοριακό σύστημα της Natsionalna agentsia za prihodite (Εθνικής Υπηρεσίας Δημοσίων Εσόδων, Βουλγαρία, στο εξής: NAP ( 3 )) και ότι πληροφορίες που περιείχαν φορολογικά δεδομένα και δεδομένα κοινωνικής ασφάλισης εκατομμυρίων προσώπων, Βούλγαρων και αλλοδαπών πολιτών, είχαν δημοσιευτεί στο διαδίκτυο.

7.

Πολλά άτομα, μεταξύ των οποίων και η V.B., ενάγουσα και ήδη αναιρεσείουσα της κύριας δίκης, άσκησαν αγωγή αποζημίωσης κατά της NAP με αίτημα την ικανοποίηση της ηθικής βλάβης.

8.

Εν προκειμένω, η αναιρεσείουσα της κύριας δίκης άσκησε αγωγή ενώπιον του Administratibven sad Sofia-grad (διοικητικού δικαστηρίου Σόφιας, Βουλγαρία, στο εξής: ASSG), υποστηρίζοντας ότι η NAP είχε παραβεί τις εθνικές διατάξεις καθώς και, ως υπεύθυνη επεξεργασίας, την υποχρέωση επεξεργασίας των δεδομένων προσωπικού χαρακτήρα με τέτοιο τρόπο που να «εγγυάται την ενδεδειγμένη ασφάλεια» μέσω της λήψης κατάλληλων τεχνικών και οργανωτικών μέτρων, σύμφωνα με τα άρθρα 24 και 32 του κανονισμού 679/2016. Η αναιρεσείουσα ισχυρίστηκε ότι υπέστη μη υλική ζημία, η οποία εκδηλώθηκε με ανησυχίες και φόβους για μελλοντική κατάχρηση των δεδομένων προσωπικού χαρακτήρα της.

9.

Αντιθέτως, η αντίδικος επισήμανε ότι δεν είχε λάβει κανένα αίτημα από την αναιρεσείουσα της κύριας δίκης για την παροχή πληροφοριών σχετικά με τα δεδομένα προσωπικού χαρακτήρα στα οποία αποκτήθηκε πρόσβαση. Επιπλέον, μετά την είδηση της παραβίασης, πραγματοποίησε συσκέψεις με εμπειρογνώμονες για την προστασία των δικαιωμάτων και των συμφερόντων των πολιτών. Σύμφωνα με τη NAP, δεν υπήρχε αιτιώδης συνάφεια μεταξύ της κυβερνοεπίθεσης και της προβαλλόμενης ζημίας, δεδομένου ότι η υπηρεσία εφάρμοσε όλα τα συστήματα διαχείρισης διαδικασιών και συστήματα για την ασφάλεια των πληροφοριών, σύμφωνα με τα διεθνή πρότυπα που ισχύουν στον τομέα αυτό.

10.

Το πρωτοβάθμιο δικαστήριο, ASSG, απέρριψε την αγωγή, κρίνοντας ότι η υπηρεσία δεν έφερε ευθύνη για τη διάδοση των δεδομένων, ότι η αναιρεσείουσα έφερε το βάρος αποδείξεως της καταλληλότητας των ληφθέντων μέτρων και, τέλος, ότι δεν υπέστη μη υλική ζημία που μπορεί να αποζημιωθεί.

11.

Κατά της πρωτόδικης αποφάσεως ασκήθηκε αναίρεση ενώπιον του Varhoven administrativen sad (Ανώτατου Διοικητικού Δικαστηρίου, Βουλγαρία). Μεταξύ των προβληθέντων επιχειρημάτων, η αναιρεσείουσα της κύριας δίκης επισήμανε ότι το πρωτοβάθμιο δικαστήριο κατένειμε εσφαλμένα το βάρος αποδείξεως όσον αφορά τη μη λήψη μέτρων ασφαλείας. Επίσης, η μη υλική ζημία δεν πρέπει επίσης να αποτελεί αντικείμενο αποδείξεως, εφόσον πρόκειται για πραγματική και όχι για αμιγώς δυνητική μη υλική ζημία.

12.

Από την πλευρά της, η NAP επανέλαβε ότι είχε λάβει τα αναγκαία τεχνικά και οργανωτικά μέτρα ως υπεύθυνη επεξεργασίας και αμφισβήτησε την απόδειξη πραγματικής μη υλικής ζημίας. Συγκεκριμένα, οι ανησυχίες και ο φόβος αποτελούν συναισθηματικές καταστάσεις που δεν χρήζουν αποζημίωσης.

13.

Το αιτούν δικαστήριο διαπίστωσε ότι οι μεμονωμένες δικαστικές διαδικασίες που κίνησαν χωριστά οι ζημιωθέντες κατά της NAP για ικανοποίηση της ηθικής βλάβης κατέληξαν σε διαφορετικά αποτελέσματα.

14.

Υπό τις συνθήκες αυτές, το αιτούν δικαστήριο ανέστειλε τη διαδικασία και υπέβαλε στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

15.

Η υπό κρίση υπόθεση έχει ως αντικείμενο ενδιαφέροντα και, εν μέρει, καινοφανή ζητήματα σχετικά με την ερμηνεία διαφόρων διατάξεων του κανονισμού ( 4 ).

16.

Κεντρικός άξονας των πέντε προδικαστικών ερωτημάτων είναι το ίδιο ζήτημα: οι προϋποθέσεις αποκατάστασης της μη υλικής ζημίας που υπέστη πρόσωπο του οποίου τα δεδομένα προσωπικού χαρακτήρα, τα οποία βρίσκονται στην κατοχή δημόσιας υπηρεσίας, δημοσιεύθηκαν στο διαδίκτυο ύστερα από επίθεση χάκερ.

17.

Προς διευκόλυνση της ανάλυσης, θα προτείνω χωριστές σύντομες απαντήσεις σε όλα τα προδικαστικά ερωτήματα της διατάξεως περί παραπομπής, έχοντας επίγνωση ορισμένων εννοιολογικών επικαλύψεων, δεδομένου ότι τα τέσσερα πρώτα αποσκοπούν στον προσδιορισμό των προϋποθέσεων καταλογισμού της παράβασης των διατάξεων του κανονισμού στον υπεύθυνο επεξεργασίας ( 5 ) και το πέμπτο αφορά ειδικότερα την έννοια της μη υλικής ζημίας για τους σκοπούς της αποζημίωσης ( 6 ).

18.

Επισημαίνω ότι, επί του παρόντος, εκκρεμούν ενώπιον του Δικαστηρίου αρκετές υποθέσεις σχετικά με το άρθρο 82 του κανονισμού και, σε μία από τις υποθέσεις αυτές, έχουν ήδη αναγνωστεί οι προτάσεις του γενικού εισαγγελέα, τις οποίες θα λάβω υπόψη για την παρούσα ανάλυση ( 7 ).

19.

Πριν από την εξέταση των υποβληθέντων ερωτημάτων, θεωρώ σκόπιμο να διατυπώσω ορισμένες προκαταρκτικές παρατηρήσεις σχετικά με τις αρχές και τους σκοπούς του κανονισμού, οι οποίες θα είναι χρήσιμες για την απάντηση στα επιμέρους προδικαστικά ερωτήματα.

20.

Το άρθρο 24 του κανονισμού θεσπίζει κατά τρόπο γενικό την υποχρέωση του υπευθύνου επεξεργασίας να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με τον κανονισμό, ενώ το άρθρο 32 ορίζει πιο συγκεκριμένα την ίδια υποχρέωση όσον αφορά την ασφάλεια της επεξεργασίας. Τα άρθρα 24 και 32 καθορίζουν ειδικότερα όσα προβλέπονται ήδη στο άρθρο 5, παράγραφος 2, το οποίο εισάγει, ως μία από τις «αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα», την «αρχή της λογοδοσίας». Η αρχή αυτή ακολουθεί λογικά και συμπληρώνει την «αρχή της ακεραιότητας και της εμπιστευτικότητας» που προβλέπεται στο άρθρο 5, παράγραφος 1, στοιχείο στʹ, και αμφότερες πρέπει να ερμηνεύονται υπό το πρίσμα της βάσει του κινδύνου προσέγγισης η οποία διέπει τον κανονισμό.

21.

Η αρχή της λογοδοσίας αποτελεί έναν από τους πυλώνες του κανονισμού και μία από τις σημαντικότερες καινοτομίες του. Σύμφωνα με αυτή, ο υπεύθυνος επεξεργασίας φέρει την ευθύνη της λήψης προληπτικών μέτρων για τη διασφάλιση της συμμόρφωσης με τον κανονισμό και πρέπει να είναι σε θέση να την αποδείξει ( 8 ).

22.

Στη νομική θεωρία έχει γίνει λόγος για πραγματική πολιτιστική αλλαγή ως αποτέλεσμα του «συνολικού πεδίου εφαρμογής της υποχρέωσης λογοδοσίας» ( 9 ). Δεν είναι τόσο η τυπική συμμόρφωση με τη νομική υποχρέωση ή το συγκεκριμένο μέτρο όσο η συνολική στρατηγική της επιχείρησης αυτή που απαλλάσσει τον υπεύθυνο από την ευθύνη διότι συμμορφώνεται με το πλαίσιο για την προστασία των δεδομένων.

23.

Τα τεχνικά και οργανωτικά μέτρα που απαιτούνται σύμφωνα με την αρχή της λογοδοσίας πρέπει να είναι «κατάλληλα» λαμβανομένων υπόψη των παραγόντων που αναφέρονται στο άρθρο 24: της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας, καθώς και την πιθανότητα και τη σοβαρότητα των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

24.

Το άρθρο 24 επιβάλλει, επομένως, την καταλληλότητα των μέτρων για την απόδειξη της συμμόρφωσης της επεξεργασίας με τις αρχές και τις διατάξεις του κανονισμού.

25.

Από την άλλη πλευρά, το άρθρο 32 θεσπίζει την αρχή της λογοδοσίας σχετικά με τα συγκεκριμένα μέτρα που πρέπει να λαμβάνονται προκειμένου να διασφαλίζεται «το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων». Για τον σκοπό αυτό, προσθέτει στους παράγοντες που ήδη προβλέπεται να λαμβάνονται υπόψη κατά την εφαρμογή των τεχνικών και οργανωτικών μέτρων τις τελευταίες εξελίξεις και το κόστος εφαρμογής.

26.

Η έννοια της καταλληλότητας προϋποθέτει ότι οι λύσεις που υιοθετούνται για τη διασφάλιση των πληροφοριακών συστημάτων είναι αποδεκτές, τόσο από τεχνική (συνάφεια των μέτρων) όσο και από ποιοτική άποψη (αποτελεσματικότητα της προστασίας). Προκειμένου να διασφαλίζεται η συμμόρφωση με τις αρχές της αναγκαιότητας, της συνάφειας και της αναλογικότητας, οι πράξεις επεξεργασίας δεν πρέπει μόνο να είναι κατάλληλες αλλά και ικανοποιητικές σε σχέση με τον επιδιωκόμενο σκοπό. Στο πλαίσιο αυτής της λογικής, καθοριστικό ρόλο διαδραματίζει η αρχή της ελαχιστοποίησης, σύμφωνα με την οποία όλα τα στάδια της επεξεργασίας των δεδομένων πρέπει πάντοτε να αποσκοπούν στην ελαχιστοποίηση των κινδύνων για την ασφάλεια ( 10 ).

27.

Ο κανονισμός στο σύνολό του βασίζεται στην πρόληψη των κινδύνων και στη λογοδοσία του υπευθύνου επεξεργασίας και, ως εκ τούτου, σε μια τελολογική προσέγγιση που αποσκοπεί στην επίτευξη του καλύτερου δυνατού αποτελέσματος όσον αφορά την αποτελεσματικότητα και απομακρύνεται από τυπολατρικές λογικές συνδεόμενες με την απλή υποχρέωση τήρησης συγκεκριμένων διαδικασιών για την απαλλαγή από την ευθύνη ( 11 ).

28.

Το άρθρο 24 δεν περιέχει εξαντλητική απαρίθμηση «κατάλληλων» μέτρων: θα πρέπει να πραγματοποιείται αξιολόγηση κατά περίπτωση. Αυτό συνάδει με τη φιλοσοφία του κανονισμού, η οποία αποκαλύπτει τον τρόπο με τον οποίο προτιμήθηκε η επιλογή των προς υιοθέτηση διαδικασιών βάσει προσεκτικής αξιολόγησης της συγκεκριμένης κατάστασης ώστε να είναι όσο το δυνατόν αποτελεσματικότερες ( 12 ).

29.

Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 24 και το άρθρο 32 του κανονισμού έχουν την έννοια ότι η επέλευση «παραβίασης δεδομένων προσωπικού χαρακτήρα», όπως αυτή ορίζεται στο άρθρο 4, σημείο 12, αρκεί αφ’ εαυτής για να συναχθεί το συμπέρασμα ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα» για τη διασφάλιση της προστασίας των δεδομένων.

30.

Από το γράμμα των άρθρων 24 και 32 του κανονισμού προκύπτει ότι, κατά την επιλογή των τεχνικών και οργανωτικών μέτρων που οφείλει να εφαρμόσει για να διασφαλίσει τη συμμόρφωση με τον κανονισμό, ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει υπόψη ορισμένους παράγοντες αξιολόγησης που απαριθμούνται στα άρθρα αυτά και υπενθυμίζονται ανωτέρω.

31.

Ο υπεύθυνος επεξεργασίας διαθέτει ορισμένο περιθώριο χειρισμών για τον καθορισμό των καταλληλότερων μέτρων υπό το πρίσμα της ιδιαίτερης κατάστασής του, αλλά η επιλογή αυτή υπόκειται, εν πάση περιπτώσει, σε πιθανό δικαστικό έλεγχο της συμμόρφωσης των εφαρμοζόμενων μέτρων με όλες τις υποχρεώσεις και τους σκοπούς του κανονισμού.

32.

Ειδικότερα, όσον αφορά τα μέτρα ασφαλείας, το άρθρο 32, παράγραφος 1, απαιτεί από τον υπεύθυνο επεξεργασίας να λαμβάνει υπόψη τις «τελευταίες εξελίξεις». Αυτό συνεπάγεται τον περιορισμό του τεχνολογικού επιπέδου των μέτρων που πρέπει να εφαρμοστούν σε ό,τι είναι ευλόγως εφικτό κατά τον χρόνο λήψης των μέτρων: ως εκ τούτου, η καταλληλότητα του μέτρου για την πρόληψη του κινδύνου πρέπει να είναι ανάλογη με τις λύσεις που προσφέρει η εξέλιξη της επιστήμης, της τεχνικής, της τεχνολογίας και της έρευνας, λαμβανομένου επίσης υπόψη, όπως θα δούμε, του κόστους εφαρμογής.

33.

Τα μέτρα μπορεί να είναι «κατάλληλα» σε ένα δεδομένο χρονικό σημείο και, παρά ταύτα, να παρακάμπτονται από εγκληματίες του κυβερνοχώρου με τη χρήση εξαιρετικά εξελιγμένων εργαλείων που θα μπορούσαν να παραβιάσουν τα πλέον σύγχρονα μέτρα ασφαλείας.

34.

Από την άλλη πλευρά, φαίνεται παράλογο να θεωρηθεί ότι πρόθεση του νομοθέτη της Ένωσης ήταν να επιβάλει στον υπεύθυνο επεξεργασίας την υποχρέωση να προλαμβάνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, ανεξαρτήτως της επιμέλειας κατά την εφαρμογή των μέτρων ασφαλείας ( 13 ).

35.

Όπως προαναφέρθηκε, ο κανονισμός κινείται σε ένα πλαίσιο που απομακρύνεται από αυτοματισμούς, απαιτώντας υψηλό βαθμό λογοδοσίας του υπευθύνου επεξεργασίας, γεγονός που δεν μπορεί, ωστόσο, να έχει ως αποτέλεσμα να στερείται ο υπεύθυνος επεξεργασίας τη δυνατότητα να αποδείξει ότι εκπλήρωσε δεόντως τις υποχρεώσεις που του έχουν επιβληθεί.

36.

Επιπλέον, το άρθρο 32, παράγραφος 1, ορίζει ότι πρέπει να λαμβάνεται υπόψη, όπως προαναφέρθηκε, το «κόστος εφαρμογής» των εξεταζόμενων τεχνικών και οργανωτικών μέτρων. Τούτο σημαίνει ότι η αξιολόγηση της καταλληλότητας των εν λόγω μέτρων πρέπει να στηρίζεται σε στάθμιση μεταξύ των συμφερόντων του υποκειμένου των δεδομένων, τα οποία αποβλέπουν γενικά προς ένα υψηλότερο επίπεδο προστασίας, και των οικονομικών συμφερόντων και της τεχνολογικής ικανότητας του υπευθύνου της επεξεργασίας, που ενίοτε αποβλέπουν προς ένα χαμηλότερο επίπεδο προστασίας. Η στάθμιση αυτή πρέπει να συνάδει με τις επιταγές της γενικής αρχής της αναλογικότητας.

37.

Θα πρέπει επίσης να προστεθεί, για λόγους συστηματικής ερμηνείας, ότι ο νομοθέτης προβλέπει τη δυνατότητα να συμβούν παραβιάσεις των συστημάτων, καθόσον το άρθρο 32, παράγραφος 1, στοιχείο γʹ, περιλαμβάνει μεταξύ των προτεινόμενων μέτρων τη δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος. Η πρόβλεψη, μεταξύ των μέτρων ασφαλείας που διασφαλίζουν το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, μιας τέτοιας δυνατότητας θα ήταν άσκοπη αν γινόταν δεκτό ότι η απλή παραβίαση των συστημάτων αποτελεί αφ’ εαυτής απόδειξη της ακαταλληλότητας των μέτρων αυτών.

38.

Με το δεύτερο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί ποιο πρέπει να είναι το αντικείμενο και η έκταση του δικαστικού ελέγχου κατά την εξέταση της καταλληλότητας των τεχνικών και οργανωτικών μέτρων που λαμβάνονται από τον υπεύθυνο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 32 του κανονισμού.

39.

Δεδομένης της μεταβλητότητας των καταστάσεων που ενδέχεται να προκύψουν στην πράξη, ο κανονισμός δεν προβλέπει, όπως προαναφέρθηκε, δεσμευτικές διατάξεις για τον καθορισμό των τεχνικών και οργανωτικών μέτρων που πρέπει να λάβει ο υπεύθυνος επεξεργασίας προκειμένου να συμμορφωθεί με τις απαιτήσεις του κανονισμού. Επομένως, η καταλληλότητα των μέτρων που λαμβάνονται θα πρέπει να αξιολογείται συγκεκριμένα, με επαλήθευση του κατά πόσον τα συγκεκριμένα μέτρα είναι κατάλληλα για την εύλογη πρόληψη του κινδύνου και την ελαχιστοποίηση των αρνητικών συνεπειών της παραβίασης.

40.

Μολονότι είναι αληθές ότι η επιλογή και η εφαρμογή των μέτρων αυτών εμπίπτει στην υποκειμενική εκτίμηση του υπευθύνου της επεξεργασίας, δεδομένου ότι τα μέτρα που μνημονεύονται στον κανονισμό αποτελούν απλώς παραδείγματα, ο δικαστικός έλεγχος δεν μπορεί να περιορίζεται στον έλεγχο της συμμόρφωσης του υπευθύνου επεξεργασίας προς τις υποχρεώσεις που απορρέουν από τα άρθρα 24 και 32, δηλαδή της (τυπικής) πρόβλεψης ορισμένων τεχνικών και οργανωτικών μέτρων. Ο δικαστικός έλεγχος πρέπει να επεκτείνεται σε συγκεκριμένη ανάλυση του περιεχομένου των μέτρων αυτών, του τρόπου εφαρμογής τους και των πρακτικών αποτελεσμάτων τους, βάσει των αποδεικτικών στοιχείων που το δικαστήριο έχει στη διάθεσή του και των περιστάσεων της συγκεκριμένης περίπτωσης. Όπως ορθώς παρατήρησε η Πορτογαλική Κυβέρνηση, «ο τρόπος με τον οποίο [ο υπεύθυνος της επεξεργασίας] εκπλήρωσε τις υποχρεώσεις του φαίνεται άρρηκτα συνδεδεμένος με το περιεχόμενο των μέτρων που έλαβε προκειμένου να αποδείξει, λαμβανομένων υπόψη της ειδικής επεξεργασίας των δεδομένων (φύση, έκταση, πλαίσιο και σκοποί), της εξέλιξης των διαθέσιμων τεχνολογιών και του κόστους τους, καθώς και των κινδύνων για τα δικαιώματα και τις ελευθερίες των πολιτών, ότι έλαβε όλα τα αναγκαία και κατάλληλα μέτρα για να εξασφαλίσει το κατάλληλο επίπεδο ασφάλειας έναντι του υποκείμενου κινδύνου» ( 14 ).

41.

Ως εκ τούτου, ο δικαστικός έλεγχος θα πρέπει να λαμβάνει υπόψη όλους τους παράγοντες που περιλαμβάνονται στα άρθρα 24 και 32, τα οποία, όπως προαναφέρθηκε, απαριθμούν ορισμένα κριτήρια για την αξιολόγηση της καταλληλότητας και παρέχουν παραδείγματα μέτρων που μπορεί να θεωρηθούν κατάλληλα. Επιπλέον, όπως επισήμαναν η Επιτροπή και όλα τα κράτη μέλη που υπέβαλαν παρατηρήσεις επί του δευτέρου προδικαστικού ερωτήματος, στο άρθρο 32, παράγραφοι 1 έως 3, τονίζεται η ανάγκη «να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων», αναφέροντας άλλους σχετικούς παράγοντες, όπως η ενδεχόμενη υιοθέτηση από τον υπεύθυνο επεξεργασίας εγκεκριμένου κώδικα δεοντολογίας ή εγκεκριμένου συστήματος πιστοποίησης, όπως προβλέπεται στα άρθρα 40 και 42 του κανονισμού αντίστοιχα.

42.

Η θέσπιση κωδίκων δεοντολογίας ή συστημάτων πιστοποίησης μπορεί να αποτελέσει χρήσιμο στοιχείο αξιολόγησης για την εκπλήρωση του βάρους αποδείξεως και του σχετικού δικαστικού ελέγχου. Πρέπει, ωστόσο, να επισημανθεί ότι δεν αρκεί ο υπεύθυνος επεξεργασίας να τηρεί κώδικα δεοντολογίας, αλλά φέρει το βάρος της αποδείξεως ότι έχει πράγματι λάβει τα μέτρα που αυτός προβλέπει, σύμφωνα με την αρχή της λογοδοσίας. Από την άλλη πλευρά, η πιστοποίηση συνιστά «αφ’ εαυτής απόδειξη της συμμόρφωσης της εκτελούμενης επεξεργασίας με τον κανονισμό, ακόμη και αν είναι δυνατό να αντικρουστεί στην πράξη» ( 15 ).

43.

Τέλος, πρέπει να επισημανθεί ότι τα μέτρα αυτά πρέπει να επανεξετάζονται και να επικαιροποιούνται όπου απαιτείται, σύμφωνα με το άρθρο 24, παράγραφος 1. Το ζήτημα αυτό θα αποτελέσει επίσης αντικείμενο εκτιμήσεως από το εθνικό δικαστήριο. Συγκεκριμένα, το άρθρο 32, παράγραφος 1 του κανονισμού ( 16 ) επιβάλλει στον υπεύθυνο επεξεργασίας το βάρος του συνεχούς, προληπτικού και εκ των υστέρων ελέγχου και παρακολούθησης των δραστηριοτήτων επεξεργασίας, αλλά και της διατήρησης και, ενδεχομένως, της επικαιροποίησης των μέτρων που λαμβάνονται, τόσο για την πρόληψη των παραβιάσεων όσο και, κατά περίπτωση, για τον περιορισμό των συνεπειών τους.

44.

Τείνω, ωστόσο, να αποκλείσω την ανάγκη να περιληφθεί στην επικείμενη απόφαση ένας κατάλογος ουσιαστικών στοιχείων, όπως αυτός που προτείνει η Πορτογαλική Κυβέρνηση ( 17 ). Τούτο θα μπορούσε να οδηγήσει σε αντιφατικές ερμηνείες, δεδομένου ότι, προφανώς, ο κατάλογος δεν μπορεί ποτέ να είναι εξαντλητικός.

45.

Με το πρώτο σκέλος του τρίτου προδικαστικού ερωτήματος, το αιτούν δικαστήριο ζητά κατ’ ουσίαν από το Δικαστήριο να αποφανθεί εάν, λαμβανομένης υπόψη της αρχής της λογοδοσίας κατά το άρθρο 5, παράγραφος 2, και το άρθρο 24, σε συνδυασμό με την αιτιολογική σκέψη 74 ( 18 ) του κανονισμού, στο πλαίσιο δίκης με αίτημα αποζημίωση δυνάμει του άρθρου 82, παράγραφος 1, ο υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα φέρει το βάρος της αποδείξεως ότι τα τεχνικά και οργανωτικά μέτρα που λαμβάνονται είναι κατάλληλα σύμφωνα με το άρθρο 32.

46.

Οι ανωτέρω εκτεθείσες σκέψεις μού επιτρέπουν να δώσω σύντομη καταφατική απάντηση στο ερώτημα αυτό.

47.

Το γράμμα του νόμου, το πλαίσιο και οι σκοποί του κανονισμού συνηγορούν, πράγματι, κατά τρόπο αδιαμφισβήτητο, υπέρ της άποψης ότι το βάρος αποδείξεως φέρει ο υπεύθυνος επεξεργασίας.

48.

Από το γράμμα διαφόρων διατάξεων του κανονισμού προκύπτει ότι ο υπεύθυνος επεξεργασίας πρέπει να είναι «σε θέση» να «αποδείξει» την τήρηση των υποχρεώσεων που προβλέπει ο κανονισμός και, ειδικότερα, ότι έχει εφαρμόσει τα κατάλληλα προς τούτο μέτρα, όπως αναφέρεται στην αιτιολογική σκέψη 74, στο άρθρο 5, παράγραφος 2, και στο άρθρο 24, παράγραφος 1. Όπως επισημαίνει η Πορτογαλική Κυβέρνηση, η αιτιολογική σκέψη 74 διευκρινίζει ότι το βάρος αποδείξεως που φέρει ο υπεύθυνος επεξεργασίας πρέπει να περιλαμβάνει την απόδειξη της «αποτελεσματικότητας των μέτρων» αυτών.

49.

Εκτιμώ ότι η γραμματική αυτή ερμηνεία ενισχύεται από τις ακόλουθες πρακτικές και τελολογικές εκτιμήσεις.

50.

Όσον αφορά την κατανομή του βάρους αποδείξεως στο πλαίσιο αγωγής αποζημίωσης βάσει του άρθρου 82, το υποκείμενο των δεδομένων που άσκησε την αγωγή κατά του υπευθύνου επεξεργασίας οφείλει να αποδείξει, πρώτον, ότι υπήρξε παράβαση του κανονισμού, δεύτερον, ότι υπέστη ζημία και, τρίτον, ότι υφίσταται αιτιώδης συνάφεια μεταξύ των δύο προηγουμένων στοιχείων, όπως επισημάνθηκε σε όλες τις γραπτές παρατηρήσεις επί του πέμπτου προδικαστικού ερωτήματος. Πρόκειται για τρεις συσσωρευτικές προϋποθέσεις, όπως προκύπτει από την πάγια νομολογία του Δικαστηρίου και του Γενικού Δικαστηρίου, στο πλαίσιο της εξωσυμβατικής ευθύνης της Ένωσης ( 19 ).

51.

Φρονώ, ωστόσο, ότι η υποχρέωση του ενάγοντος να αποδείξει την ύπαρξη παράβασης του κανονισμού δεν μπορεί να φθάνει μέχρι του σημείου να απαιτείται από αυτόν να αποδείξει ότι τα τεχνικά και οργανωτικά μέτρα που εφαρμόζει ο υπεύθυνος της επεξεργασίας δεν είναι κατάλληλα, κατά την έννοια των άρθρων 24 και 32.

52.

Όπως επισημαίνει η Επιτροπή, η προσκόμιση τέτοιων αποδεικτικών στοιχείων θα ήταν συχνά σχεδόν αδύνατη στην πράξη, δεδομένου ότι τα υποκείμενα των δεδομένων κατά κανόνα δεν διαθέτουν επαρκείς γνώσεις ώστε να είναι σε θέση να αναλύσουν τα εν λόγω μέτρα, ούτε πρόσβαση σε όλες τις πληροφορίες που έχει στην κατοχή του ο υπεύθυνος της επίμαχης επεξεργασίας, ιδίως όσον αφορά τις μεθόδους που εφαρμόζονται για τη διασφάλιση της ασφάλειας της εν λόγω επεξεργασίας. Επιπλέον, ο υπεύθυνος επεξεργασίας δεδομένων θα μπορούσε ενίοτε να υποστηρίξει ότι η άρνησή του να αποκαλύψει αυτά τα γεγονότα στα υποκείμενα των δεδομένων βασίζεται στον θεμιτό λόγο να μην δημοσιοποιεί τις εσωτερικές του υποθέσεις ή ακόμη και στοιχεία που καλύπτονται από το επαγγελματικό απόρρητο, μεταξύ άλλων, για λόγους ασφαλείας.

53.

Επομένως, εάν θεωρηθεί ότι το υποκείμενο των δεδομένων φέρει το βάρος αποδείξεως, το πρακτικό αποτέλεσμα θα ήταν ότι το δικαίωμα άσκησης ένδικου βοηθήματος βάσει του άρθρου 82, παράγραφος 1, θα έχανε μεγάλο μέρος του πεδίου εφαρμογής του. Κατά την άποψή μου, αυτό δεν θα ήταν σύμφωνο με τις προθέσεις του νομοθέτη της Ένωσης, ο οποίος, θεσπίζοντας αυτόν τον κανονισμό, επιδίωξε να ενισχύσει τα δικαιώματα των υποκειμένων των δεδομένων και τις υποχρεώσεις των υπευθύνων επεξεργασίας σε σύγκριση με την οδηγία 95/46 την οποία αντικατέστησε. Είναι, επομένως, λογικότερο –και νομικά αποδεκτό– ο υπεύθυνος επεξεργασίας να υποχρεούται να αποδείξει, στο πλαίσιο της αντίκρουσης αγωγής αποζημίωσης, ότι έχει συμμορφωθεί με τις υποχρεώσεις που απορρέουν από τα άρθρα 24 και 32 του εν λόγω κανονισμού εφαρμόζοντας πράγματι κατάλληλα μέτρα.

54.

Με το δεύτερο σκέλος του τρίτου προδικαστικού ερωτήματος, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, από το Δικαστήριο να διευκρινίσει εάν η διενέργεια πραγματογνωμοσύνης μπορεί να θεωρηθεί αναγκαίο και επαρκές αποδεικτικό μέσο για να διαπιστωθεί κατά πόσο τα τεχνικά και οργανωτικά μέτρα που ελήφθησαν από τον υπεύθυνο επεξεργασίας ήταν κατάλληλα σε περίπτωση που η άνευ αδείας πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και η άνευ αδείας κοινολόγηση αυτών είναι αποτέλεσμα επίθεσης χάκερ.

55.

Φρονώ, όπως επισήμαναν (κατ’ ουσίαν) και η Βουλγαρική και η Ιταλική Κυβέρνηση, η Ιρλανδία και η Επιτροπή, ότι η απάντηση στα ερωτήματα αυτά πρέπει να στηρίζεται στην πάγια νομολογία μας κατά την οποία, σύμφωνα με την αρχή της δικονομικής αυτονομίας, ελλείψει σχετικής ρυθμίσεως της Ένωσης, εναπόκειται στην εσωτερική έννομη τάξη κάθε κράτους μέλους να ρυθμίζει τους δικονομικούς κανόνες που διέπουν τις ένδικες διαδικασίες για την προστασία των δικαιωμάτων των ιδιωτών, υπό την προϋπόθεση, ωστόσο, ότι οι κανόνες αυτοί, σε καταστάσεις στις οποίες εφαρμόζεται το δίκαιο της Ένωσης, δεν είναι λιγότερο ευνοϊκοί από εκείνους που διέπουν παρόμοιες καταστάσεις υποκείμενες στο εθνικό δίκαιο (αρχή της ισοδυναμίας) και δεν καθιστούν πρακτικώς αδύνατη ή υπερβολικά δυσχερή την άσκηση των δικαιωμάτων που απονέμει το δίκαιο της Ένωσης (αρχή της αποτελεσματικότητας).

56.

Εν προκειμένω, επισημαίνω ότι ο κανονισμός δεν περιέχει καμία διάταξη σχετικά με τον καθορισμό των αποδεκτών αποδεικτικών μεθόδων και της αποδεικτικής ισχύος τους, ιδίως όσον αφορά τη διεξαγωγή αποδείξεων (όπως η πραγματογνωμοσύνη) την οποία μπορούν ή πρέπει να διατάσσουν τα εθνικά δικαστήρια προκειμένου να εκτιμήσουν αν ο υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα έλαβε κατάλληλα μέτρα κατά την έννοια του εν λόγω κανονισμού. Επομένως, φρονώ ότι, ελλείψει εναρμονισμένων κανόνων επί του θέματος, εναπόκειται στην εσωτερική έννομη τάξη κάθε κράτους μέλους να καθορίσει αυτές τις δικονομικές λεπτομέρειες, με την επιφύλαξη της τήρησης των αρχών της ισοδυναμίας και της αποτελεσματικότητας.

57.

Η προαναφερθείσα «αρχή της αποτελεσματικότητας», η οποία συνεπάγεται ότι ο ανεξάρτητος δικαστής πρέπει να προβαίνει σε αμερόληπτη αξιολόγηση, θα μπορούσε να διακυβευθεί, αν το επίθετο «επαρκές» θεωρηθεί ότι έχει την έννοια που του αποδίδει το αιτούν δικαστήριο, δηλαδή ότι θα μπορούσε αυτομάτως να συναχθεί από πραγματογνωμοσύνη ότι τα μέτρα που έλαβε ο υπεύθυνος επεξεργασίας είναι κατάλληλα ( 20 ).

58.

Με το τέταρτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 82, παράγραφος 3, του κανονισμού έχει την έννοια ότι η παράβαση του εν λόγω κανονισμού (η οποία, όπως εν προκειμένω, συνίσταται σε «άνευ αδείας κοινολόγηση» δεδομένων προσωπικού χαρακτήρα ή «άνευ αδείας πρόσβαση» σε αυτά κατά την έννοια του άρθρου 4, σημείο 12) από άτομα που δεν είναι υπάλληλοι του υπευθύνου επεξεργασίας και δεν υπόκεινται στον έλεγχό του, συνιστά γεγονός για το οποίο αυτός δεν φέρει καμία ευθύνη και, ως εκ τούτου, αποτελεί λόγο απαλλαγής του από την ευθύνη κατά την έννοια του άρθρου 82, παράγραφος 3.

59.

Η απάντηση στο ερώτημα αυτό προκύπτει σαφώς από τα προεκτεθέντα σχετικά με τη γενική φιλοσοφία του κανονισμού: δεν προβλέπεται αυτοματισμός και, ως εκ τούτου, το γεγονός και μόνον ότι η άνευ αδείας κοινολόγηση ή πρόσβαση σε δεδομένα προσωπικού χαρακτήρα πραγματοποιήθηκε από άτομα που εκφεύγουν του ελέγχου του υπευθύνου επεξεργασίας δεν τον απαλλάσσει από την ευθύνη.

60.

Πρώτον, από την άποψη της γραμματικής διατύπωσής τους, επισημαίνεται ότι ούτε το άρθρο 82, παράγραφος 3, ούτε η αιτιολογική σκέψη 146 προβλέπουν ειδικές προϋποθέσεις που μπορεί να πληρούνται προκειμένου ο υπεύθυνος επεξεργασίας να απαλλαγεί από την ευθύνη, πέραν της αποδείξεως ότι «δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας». Από τη διατύπωση αυτή προκύπτει, αφενός, ότι ο υπεύθυνος επεξεργασίας μπορεί να απαλλαγεί από την ευθύνη μόνον εφόσον αποδείξει ότι δεν φέρει ευθύνη για το γενεσιουργό γεγονός της ζημίας και, αφετέρου, ότι το απαιτούμενο από τη διάταξη αυτή επίπεδο αποδείξεως είναι υψηλό, δεδομένου ότι χρησιμοποιείται η λέξη «καμία», όπως επισήμανε η Επιτροπή ( 21 ).

61.

Το καθεστώς ευθύνης που προβλέπεται στο άρθρο 82 και, γενικότερα, στον κανονισμό στο σύνολό του, έχει αποτελέσει αντικείμενο εκτεταμένης συζήτησης στη θεωρία των διαφόρων κρατών μελών. Πράγματι, περιέχει παραδοσιακά στοιχεία που προσιδιάζουν στην εξωσυμβατική ευθύνη, αλλά και στοιχεία τα οποία, από την άποψη της δομής των διατάξεων, προσεγγίζουν τη συμβατική ευθύνη ή ακόμη και μια μορφή αντικειμενικής ευθύνης, λόγω της εγγενούς επικινδυνότητας της δραστηριότητας επεξεργασίας δεδομένων. Δεν είναι σκόπιμο να γίνει εδώ αναφορά στην εις βάθος συζήτηση, αλλά, κατά τη γνώμη μου, το άρθρο 82 δεν φαίνεται να καθιερώνει σύστημα αντικειμενικής ευθύνης ( 22 ).

62.

Η ζημία λόγω παραβίασης δεδομένων προσωπικού χαρακτήρα μπορεί να είναι η συνέπεια της εξ αμελείας μη λήψης τεχνικών και οργανωτικών μέτρων εύλογων και, εν πάση περιπτώσει, κατάλληλων για την αποτροπή της, λαμβανομένων υπόψη των κινδύνων για τα δικαιώματα και τις ελευθερίες των προσώπων που συνδέονται με τη δραστηριότητα επεξεργασίας. Οι κίνδυνοι αυτοί καθιστούν αυστηρότερη την υποχρέωση πρόληψης και αποφυγής της ζημίας, επεκτείνοντας το καθήκον επιμέλειας που υπέχει ο υπεύθυνος της επεξεργασίας. Κατά συνέπεια, από τη συνδυασμένη ερμηνεία των υποχρεώσεων συμπεριφοράς που υπέχουν οι υπεύθυνοι επεξεργασίας και της διατάξεως σχετικά με την προσκόμιση των απαλλακτικών αποδεικτικών στοιχείων η οποία βαρύνει τον ζημιώσαντα μπορεί να αντληθεί επιχείρημα υπέρ της αναγνωρίσεως του χαρακτήρα της αυξημένης ευθύνης λόγω τεκμαιρόμενης υπαιτιότητας στην περίπτωση ευθύνης λόγω παράνομης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που προβλέπεται στο άρθρο 82 του κανονισμού ( 23 ).

63.

Κατά συνέπεια, ο υπεύθυνος επεξεργασίας έχει τη δυνατότητα να προσκομίσει απαλλακτικά αποδεικτικά στοιχεία (δυνατότητα η οποία δεν υπάρχει στην αντικειμενική ευθύνη). Όσον αφορά τη διάρθρωση του βάρους αποδείξεως, το άρθρο 82, παράγραφος 3, του κανονισμού θεσπίζει κανόνες ευνοϊκούς για τον ζημιωθέντα, προβλέποντας μια μορφή αντιστροφής του βάρους αποδείξεως της υπαιτιότητας του ζημιώσαντος ( 24 ), σε πλήρη αντιστοιχία με την προαναφερθείσα αντιστροφή του βάρους αποδείξεως όσον αφορά την καταλληλότητα των ληφθέντων μέτρων. Ο νομοθέτης δείχνει με τον τρόπο αυτό ότι έχει επίγνωση των κινδύνων που ενέχει η αποδοχή διαφορετικής κατανομής του βάρους της αποδείξεως· ότι αν επέβαλλε στο ζημιωθέν φυσικό πρόσωπο το βάρος αποδείξεως της υπαιτιότητας του ζημιώσαντος, θα κατέληγε να επιβαρύνει υπέρμετρα τη θέση του και, ως εκ τούτου, να υπονομεύσει, στην πράξη, την αποτελεσματικότητα της προστασίας διά της αποζημίωσης, στο πλαίσιο κανόνων που συνδέονται με τη χρήση νέων τεχνολογιών. Θα μπορούσε, πράγματι, να είναι ιδιαίτερα επαχθές για το υποκείμενο των δεδομένων να ανασυνθέσει και να έχει πρόσβαση στον τρόπο με τον οποίο προκλήθηκε η ζημία και, κατά συνέπεια, να αποδείξει την υπαιτιότητα του υπευθύνου επεξεργασίας. Αντιθέτως, ο υπεύθυνος επεξεργασίας είναι σε θέση να παράσχει απαλλακτικά αποδεικτικά στοιχεία για να αποδείξει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας ( 25 ).

64.

Ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να αποδείξει, σύμφωνα με την αρχή της λογοδοσίας που περιγράφεται ανωτέρω, ότι έχει καταβάλει κάθε δυνατή προσπάθεια για την αποκατάσταση της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο.

65.

Για να επανέλθω στο ερώτημα του αιτούντος δικαστηρίου, βάσει των προεκτεθέντων σχετικά με τη φύση της ευθύνης του υπευθύνου επεξεργασίας, εάν, όπως προανέφερα, ο υπεύθυνος επεξεργασίας μπορεί να απαλλαγεί από την ευθύνη αποδεικνύοντας ότι η παραβίαση δεν οφείλεται επ’ ουδενί σε αιτία καταλογιστέα σε αυτόν, δεν μπορεί να θεωρηθεί τέτοια το γεγονός και μόνον ότι το συμβάν προκλήθηκε από πρόσωπο εκτός της σφαίρας ελέγχου του.

66.

Όταν ο υπεύθυνος επεξεργασίας είναι θύμα επίθεσης από εγκληματίες του κυβερνοχώρου, το γενεσιουργό της ζημίας γεγονός θα μπορούσε να θεωρηθεί ότι δεν μπορεί να αποδοθεί στον υπεύθυνο επεξεργασίας, αλλά δεν αποκλείεται η αμέλεια του υπευθύνου επεξεργασίας να αποτέλεσε την αιτία της επίθεσης, διευκολύνοντάς την λόγω της απουσίας ή της ανεπάρκειας των μέτρων ασφαλείας των δεδομένων προσωπικού χαρακτήρα που ο υπεύθυνος επεξεργασίας έπρεπε να εφαρμόσει. Πρόκειται για εκτιμήσεις πραγματικών περιστατικών με βάση τα συγκεκριμένα δεδομένα κάθε περίπτωσης, οι οποίες επαφίενται στο επιληφθέν εθνικό δικαστήριο, λαμβανομένων υπόψη των αποδεικτικών στοιχείων που έχει στη διάθεσή του.

67.

Επιπλέον, είναι κοινή διαπίστωση ότι οι εξωτερικές επιθέσεις κατά των συστημάτων δημόσιων ή ιδιωτικών φορέων που κατέχουν μεγάλο όγκο δεδομένων προσωπικού χαρακτήρα είναι κατά πολύ συχνότερες από τις εσωτερικές επιθέσεις. Ως εκ τούτου, ο υπεύθυνος επεξεργασίας πρέπει να θεσπίσει κατάλληλα μέτρα για την αντιμετώπιση ιδίως εξωτερικών επιθέσεων.

68.

Τέλος, από τελολογική άποψη, πρέπει να σημειωθεί ότι ο κανονισμός επιδιώκει τον σκοπό της διασφάλισης υψηλού επιπέδου προστασίας. Συναφώς, το Δικαστήριο έχει ήδη επισημάνει ότι από το άρθρο 1, παράγραφος 2, του κανονισμού, σε συνδυασμό με τις αιτιολογικές σκέψεις 10, 11 και 13 του κανονισμού αυτού, προκύπτει ότι ο εν λόγω κανονισμός επιβάλλει στα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, καθώς και στις αρμόδιες αρχές των κρατών μελών, την υποχρέωση να διασφαλίζουν υψηλό επίπεδο προστασίας των δικαιωμάτων σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα που κατοχυρώνονται στο άρθρο 16 ΣΛΕΕ και στο άρθρο 8 του Χάρτη ( 26 ).

69.

Αν το Δικαστήριο προκρίνει την ερμηνεία κατά την οποία, όταν την παράβαση του κανονισμού έχει διαπράξει τρίτος, ο υπεύθυνος επεξεργασίας θα πρέπει να απαλλάσσεται αυτομάτως από την ευθύνη δυνάμει του άρθρου 82, παράγραφος 3, η ερμηνεία αυτή θα είχε αποτέλεσμα ασυμβίβαστο με τον σκοπό προστασίας που επιδιώκει το εν λόγω νομοθέτημα, δεδομένου ότι θα αποδυνάμωνε τα δικαιώματα των υποκειμένων των δεδομένων, καθόσον θα περιόριζε την ευθύνη αυτή στις περιπτώσεις όπου η παράβαση οφείλεται σε πρόσωπα τα οποία τελούν υπό την εξουσία ή/και τον έλεγχο του υπευθύνου επεξεργασίας.

70.

Με το πέμπτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, από το Δικαστήριο να ερμηνεύσει την έννοια της «ηθικής βλάβης» («μη υλικής ζημίας» σύμφωνα με την ορολογία του κανονισμού) κατά το άρθρο 82 του κανονισμού. Ειδικότερα, ερωτά εάν το άρθρο 82, παράγραφοι 1 και 2, του κανονισμού, σε συνδυασμό με τις αιτιολογικές του σκέψεις 85 και 146 ( 27 ), έχει την έννοια ότι, σε περίπτωση όπου η παράβαση του κανονισμού αυτού συνίσταται στην άνευ αδείας πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και την άνευ αδείας κοινολόγηση αυτών από εγκληματίες του κυβερνοχώρου, το γεγονός ότι το υποκείμενο των δεδομένων φοβάται ενδεχόμενη μελλοντική κατάχρηση των δεδομένων προσωπικού χαρακτήρα του θα μπορούσε να συνιστά, αυτό καθαυτό, (μη υλική) ζημία που γεννά δικαίωμα αποζημίωσης.

71.

Ούτε το άρθρο 82 ούτε οι αιτιολογικές σκέψεις σχετικά με την αποζημίωση παρέχουν σαφή απάντηση στο ερώτημα, αλλά μπορούν να συναχθούν εξ αυτών ορισμένα χρήσιμα για την ανάλυση στοιχεία: η μη υλική ζημία (ή ηθική βλάβη) μπορεί να αποκατασταθεί επιπλέον της υλικής (ή περιουσιακής) ζημίας· η παράβαση του κανονισμού δεν συνεπάγεται αυτομάτως τη ζημία που «προκάλεσε» ή, ακριβέστερα, η παραβίαση δεδομένων προσωπικού χαρακτήρα «μπορεί να έχει ως αποτέλεσμα» σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα· η έννοια της ζημίας θα πρέπει να ερμηνεύεται «διασταλτικά» με γνώμονα τη νομολογία του Δικαστηρίου κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι του κανονισμού· η αποζημίωση [του υποκειμένου των δεδομένων] για τη ζημία που «υπέστη» πρέπει να είναι «πλήρης και ουσιαστική».

72.

Το γράμμα των διατάξεων του κανονισμού δεν αφήνει κανένα περιθώριο για οποιονδήποτε πιθανό υπαινιγμό περί ζημιών in re ipsa: ο πρωταρχικός σκοπός της αστικής ευθύνης κατά τον κανονισμό συνίσταται στην ικανοποίηση του υποκειμένου των δεδομένων, ακριβώς μέσω της «πλήρους και ουσιαστικής» αποζημίωσης για τη ζημία που υπέστη και, επομένως, στην αποκατάσταση της ισορροπίας της νομικής κατάστασης που έχει μεταβληθεί αρνητικά από την προσβολή του δικαιώματος ( 28 ).

73.

Από την άλλη πλευρά, από συστηματικής επίσης απόψεως, όπως στο δίκαιο περί συμπράξεων, ο κανονισμός προβλέπει δύο πυλώνες προστασίας: έναν δημοσίου χαρακτήρα, με την πρόβλεψη κυρώσεων σε περίπτωση παράβασης των διατάξεων του κανονισμού, και έναν ιδιωτικού χαρακτήρα, με την πρόβλεψη της εξωσυμβατικής αστικής ευθύνης, η οποία χαρακτηρίζεται ως αυξημένη λόγω τεκμαιρόμενης υπαιτιότητας, με τα προαναφερθέντα χαρακτηριστικά γνωρίσματα, συμπεριλαμβανομένης της απαλλακτικής αποδείξεως ( 29 ).

74.

Ως εκ τούτου, μια ευρεία ( 30 ) ερμηνεία της έννοιας της (μη υλικής) ζημίας δεν μπορεί να οδηγήσει στο συμπέρασμα ότι ο νομοθέτης παραιτήθηκε από την απαίτηση να υπάρχει πραγματική «ζημία».

75.

Το ουσιαστικό ζήτημα είναι αν, εφόσον αποδειχθεί η ύπαρξη της παράβασης και της αιτιώδους συνάφειας, μπορεί να γεννηθεί δικαίωμα αποζημίωσης βάσει απλών ανησυχιών, υποψιών και φόβων του υποκειμένου των δεδομένων σχετικά με ενδεχόμενη μελλοντική κατάχρηση των δεδομένων προσωπικού χαρακτήρα, όταν η κατάχρηση αυτή δεν έχει αποδειχθεί ή/και το υποκείμενο των δεδομένων δεν έχει υποστεί περαιτέρω ζημία.

76.

Κατά πάγια νομολογία του Δικαστηρίου, οι όροι διατάξεως του δικαίου της Ένωσης που δεν περιέχει ρητή παραπομπή στο δίκαιο των κρατών μελών για τον προσδιορισμό της έννοιας και του πεδίου εφαρμογής της πρέπει κατά κανόνα να ερμηνεύονται αυτοτελώς και ομοιόμορφα σε ολόκληρη την Ένωση, για την ερμηνεία δε αυτή πρέπει να λαμβάνεται υπόψη όχι μόνον το γράμμα της εκάστοτε διατάξεως αλλά και το πλαίσιο στο οποίο αυτή εντάσσεται, οι σκοποί που επιδιώκονται με τη νομοθεσία της οποίας αποτελεί μέρος και το ιστορικό της θεσπίσεως της εν λόγω διατάξεως ( 31 ).

77.

Όπως υπενθύμισε ο γενικός εισαγγελέας M. Campos Sánchez-Bordona ( 32 ), το Δικαστήριο δεν έχει διαμορφώσει έναν γενικό ορισμό της «αποζημίωσης» ο οποίος να μπορεί να εφαρμόζεται αδιακρίτως σε κάθε τομέα ( 33 ). Όσον αφορά τις μη υλικές ζημίες, από τη νομολογία του μπορεί να συναχθεί ότι: όταν ένας από τους σκοπούς της ερμηνευόμενης διάταξης είναι η προστασία του ατόμου ή ορισμένης κατηγορίας ατόμων ( 34 ), η έννοια της αποζημίωσης πρέπει να είναι ευρεία· σύμφωνα με το κριτήριο αυτό, η αποζημίωση εκτείνεται στις μη υλικές ζημίες, ακόμη και αν οι τελευταίες δεν μνημονεύονται στην ερμηνευόμενη διάταξη ( 35 ).

78.

Ακόμη και αν μπορούσε να υποστηριχθεί βάσει της νομολογίας του Δικαστηρίου, υπό την προαναφερθείσα έννοια, ότι υφίσταται στο δίκαιο της Ένωσης αρχή περί αποζημίωσης των μη υλικών ζημιών, τάσσομαι με την άποψη του γενικού εισαγγελέα M. Campos Sánchez-Bordona ότι δεν είναι δυνατόν να συναχθεί εξ αυτής ένας κανόνας σύμφωνα με τον οποίο κάθε μη υλική ζημία, όσο σοβαρή και αν είναι, δύναται να αποκατασταθεί ( 36 ).

79.

Στο πλαίσιο αυτό, κρίσιμη είναι η διάκριση μεταξύ των δυνάμενων να αποκατασταθούν μη υλικών ζημιών και άλλων αρνητικών επιπτώσεων που απορρέουν από τη μη τήρηση της νομιμότητας και που, λόγω της ήσσονος σημασίας τους, δεν παρέχουν κατ’ ανάγκην δικαίωμα αποζημίωσης ( 37 ).

80.

Το Δικαστήριο αναγνωρίζει τη διαφορά αυτή όταν αναφέρεται στην αναστάτωση και την ταλαιπωρία ως αυτοτελή κατηγορία έναντι αυτής της ζημίας, σε τομείς στους οποίους θεωρεί ότι πρέπει να επιδικασθεί αποζημίωση ( 38 ).

81.

Εμπειρικώς, παρατηρείται ότι κάθε παράβαση κανόνα προστασίας δεδομένων προσωπικού χαρακτήρα θα προκαλεί κάποια αρνητική αντίδραση από πλευράς υποκειμένου των δεδομένων. Η αποζημίωση που καταβάλλεται για ένα απλό αίσθημα δυσαρέσκειας έναντι της ασέβειας που επιδεικνύει τρίτος προς τον νόμο συγχέεται εύκολα με την αποζημίωση χωρίς ζημία η οποία, όπως προανέφερα, δεν φαίνεται να υφίσταται στην περίπτωση του άρθρου 82 του κανονισμού.

82.

Το γεγονός ότι, υπό περιστάσεις όπως αυτές της υποθέσεως της κύριας δίκης, η κατάχρηση δεδομένων προσωπικού χαρακτήρα είναι απλώς δυνητική, και όχι πραγματική, αρκεί για να γίνει δεκτό ότι το υποκείμενο των δεδομένων ενδέχεται να υπέστη μη υλική ζημία λόγω της παράβασης του κανονισμού, υπό την προϋπόθεση ότι το υποκείμενο των δεδομένων αποδεικνύει ότι ο φόβος της κατάχρησης του προκάλεσε συγκεκριμένα και ειδικά πραγματική και βέβαιη συναισθηματική βλάβη ( 39 ).

83.

Η διαχωριστική γραμμή μεταξύ του απλού εκνευρισμού (δεν αποκαθίσταται) και της πραγματικής μη υλικής ζημίας (αποκαθίσταται) είναι λεπτή, αλλά τα εθνικά δικαστήρια, στα οποία εναπόκειται το έργο της κατά περίπτωση οριοθέτησης αυτής της διαχωριστικής γραμμής, οφείλουν να προβαίνουν σε ενδελεχή εκτίμηση όλων των στοιχείων που προσκομίζει το υποκείμενο των δεδομένων που ζητεί αποζημίωση, το οποίο φέρει το βάρος της επίκλησης με ακρίβεια, και όχι γενικώς, συγκεκριμένων στοιχείων ικανών να οδηγήσουν στη στοιχειοθέτηση της «μη υλικής ζημίας που πράγματι υπέστη» λόγω της παραβίασης δεδομένων προσωπικού χαρακτήρα, χωρίς ωστόσο αυτή να πρέπει να φθάσει σε ένα προκαθορισμένο όριο σοβαρότητας: αυτό που έχει σημασία είναι ότι δεν πρόκειται για μια αντίληψη αμιγώς υποκειμενική, μεταβαλλόμενη και εξαρτώμενη από χαρακτηριστικά της προσωπικότητας, αλλά για την αντικειμενικότητα μιας παρενοχλήσεως, έστω ελαφράς αλλά δυναμένης να αποδειχθεί, στη φυσική ή ψυχική σφαίρα ή στις κοινωνικές σχέσεις του ενδιαφερομένου· η φύση των οικείων δεδομένων προσωπικού χαρακτήρα και η σημασία που αυτά έχουν για τη ζωή του υποκειμένου των δεδομένων και, ενδεχομένως, η εκάστοτε αντίληψη της κοινωνίας για τη συγκεκριμένη παρενόχληση που συνδέεται με την παραβίαση των δεδομένων ( 40 ).

84.

Λαμβανομένων υπόψη των προεκτεθέντων, προτείνω στο Δικαστήριο να απαντήσει στα υποβληθέντα προδικαστικά ερωτήματα ως εξής:

«Τα άρθρα 5, 24, 32 και 82 του κανονισμού 2016/679 έχουν την έννοια ότι:

η ύπαρξη και μόνον “παραβίασης δεδομένων προσωπικού χαρακτήρα”, κατά την έννοια του άρθρου 4, σημείο 12, δεν αρκεί αφ’ εαυτής για να συναχθεί το συμπέρασμα ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο υπεύθυνος επεξεργασίας δεν ήταν “κατάλληλα” για τη διασφάλιση της προστασίας των δεδομένων·

κατά την επαλήθευση της καταλληλότητας των τεχνικών και οργανωτικών μέτρων που εφάρμοσε ο υπεύθυνος επεξεργασίας, το επιληφθέν εθνικό δικαστήριο πρέπει να προβεί σε έλεγχο ο οποίος εκτείνεται σε συγκεκριμένη ανάλυση τόσο του περιεχομένου των εν λόγω μέτρων όσο και του τρόπου με τον οποίο εφαρμόστηκαν και των πρακτικών αποτελεσμάτων τους·

στο πλαίσιο αγωγής αποζημίωσης δυνάμει του άρθρου 82 του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα φέρει το βάρος αποδείξεως της καταλληλότητας των μέτρων που εφαρμόζει κατά την έννοια του άρθρου 32 του κανονισμού αυτού·

δυνάμει της αρχής της δικονομικής αυτονομίας, εναπόκειται στην εσωτερική έννομη τάξη κάθε κράτους μέλους να καθορίσει τις αποδεκτές αποδεικτικές μεθόδους και την αποδεικτική ισχύ τους, συμπεριλαμβανομένων των αποδεικτικών μέσων που μπορούν ή πρέπει να διατάξουν τα εθνικά δικαστήρια, προκειμένου να εκτιμήσουν εάν ο υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα έλαβε κατάλληλα μέτρα κατά την έννοια του εν λόγω κανονισμού, σύμφωνα με τις αρχές της ισοδυναμίας και της αποτελεσματικότητας που προβλέπονται στο δίκαιο της Ένωσης·

το γεγονός ότι η παράβαση του κανονισμού που προκάλεσε την εν λόγω ζημία διαπράχθηκε από τρίτο δεν συνιστά αφ’ εαυτού λόγο απαλλαγής του υπευθύνου επεξεργασίας από την ευθύνη και, προκειμένου να επωφεληθεί από την απαλλαγή που προβλέπεται στην εν λόγω διάταξη, ο υπεύθυνος επεξεργασίας πρέπει να αποδείξει ότι δεν φέρει καμία ευθύνη για την παράβαση·

ζημία συνιστάμενη στον φόβο ενδεχόμενης μελλοντικής κατάχρησης των δεδομένων προσωπικού χαρακτήρα που το αφορούν, την ύπαρξη του οποίου απέδειξε το υποκείμενο των δεδομένων, μπορεί να συνιστά μη υλική ζημία που γεννά δικαίωμα αποζημίωσης, υπό την προϋπόθεση ότι το υποκείμενο των δεδομένων αποδεικνύει ότι υπέστη ατομικά πραγματική και βέβαιη συναισθηματική βλάβη, γεγονός που εναπόκειται στο επιληφθέν εθνικό δικαστήριο να εκτιμήσει σε κάθε συγκεκριμένη περίπτωση.»