|
16.8.2021 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
C 329/12 |
Lūgums sniegt prejudiciālu nolēmumu, ko 2021. gada 2. jūnijā iesniedza Varhoven administrativen sad (Bulgārija) – VB/Natsionalna agentsia za prihodite
(Lieta C-340/21)
(2021/C 329/16)
Tiesvedības valoda – bulgāru
Iesniedzējtiesa
Varhoven administrativen sad
Pamatlietas puses
Kasācijas sūdzības iesniedzēja: VB
Atbildētāja kasācijas tiesvedībā: Natsionalna agentsia za prihodite
Prejudiciālie jautājumi
|
1) |
Vai Regulas (ES) 2016/679 (1) 24. un 32. pants ir jāinterpretē tādējādi, ka, lai varētu izdarīt pieņēmumu, ka veiktie tehniskie un organizatoriskie pasākumi nav atbilstīgi, pietiek konstatēt, ka personas datu neatļautu izpaušanu vai piekļuvi tiem Regulas (ES) 2016/679 4. panta 12. punkta izpratnē ir izdarījušas personas, kuras nav pārziņa pārvaldes darbinieki un kuras nav pakļautas tā kontrolei? |
|
2) |
Ja atbilde uz pirmo jautājumu būtu noliedzoša, kādam ir jābūt tiesiskuma pārbaudes tiesā priekšmetam un apjomam, vērtējot, vai Regulas (ES) 2016/679 32. pantā minētie tehniskie un organizatoriskie pasākumi, kurus veicis pārzinis, ir atbilstīgi? |
|
3) |
Ja atbilde uz pirmo jautājumu būtu noliedzoša, vai pārskatatbildības princips Regulas (ES) 2016/679 5. panta 2. punkta un 24. panta – kopsakarā ar 74. apsvērumu – izpratnē ir jāinterpretē tādējādi, ka tiesvedībā atbilstoši Regulas (ES) 2016/679 82. panta 1. punktam pārzinim ir pienākums pierādīt, ka 32. pantā minētie, veiktie tehniskie un organizatoriskie pasākumi ir atbilstīgi? Vai eksperta atzinuma saņemšana ir uzskatāma par nepieciešamu un pietiekamu pierādījumu tam, lai konstatētu, vai pārziņa veiktie tehniskie un organizatoriskie pasākumi tādā situācijā kā šeit aplūkojamā bija atbilstīgi, ja neatļautā piekļuve personas datiem un to neatļautā izpaušana ir “hakeru uzbrukuma” sekas? |
|
4) |
Vai Regulas (ES) 2016/679 82. panta 3. punkts ir jāinterpretē tādējādi, ka personas datu neatļautā izpaušana vai piekļuve tiem Regulas (ES) 2016/679 4. panta 12. punkta izpratnē, ko, izmantojot “hakeru uzbrukumu”, ir veikušas personas, kuras nav pārziņa pārvaldes darbinieki un kuras nav pakļautas tā kontrolei, kā tas noticis izskatāmajā lietā, ir uzskatāma par notikumu, par ko pārzinis nekādā veidā nav atbildīgs un kas attaisno tā atbrīvošanu no atbildības? |
|
5) |
Vai Regulas (ES) 2016/679 82. panta 1. un 2. punkts kopsakarā ar 85. un 145. apsvērumu ir jāinterpretē tādējādi, ka tādā situācijā kā šeit aplūkojamā, kad noticis personas datu aizsardzības pārkāpums, kas izpaužas kā neatļauta piekļuve personas datiem un to neatļauta izpaušana, izmantojot “hakeru uzbrukumu”, ja šāda ļaunprātīga izmantošana nav konstatēta un/vai ja datu subjektam nav nodarīts citāds kaitējums, plaši interpretējamajā nemantiskā kaitējuma jēdzienā ietilpst – un tiesības saņemt attiecīgu kompensāciju dod – jau datu subjekta rūpes, bažas un bailes par personas datu iespējamu ļaunprātīgu izmantošanu nākotnē? |
(1) Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.).