16.8.2021   

MT

Il-Ġurnal Uffiċjali tal-Unjoni Ewropea

C 329/12


Talba għal deċiżjoni preliminari mressqa mill-Varhoven administrativen sad (il-Bulgarija) fit-2 ta’ Ġunju 2021 – VB vs Natsionalna agentsia za prihodite

(Kawża C-340/21)

(2021/C 329/16)

Lingwa tal-kawża: il-Bulgaru

Qorti tar-rinviju

Varhoven administrativen sad

Partijiet fil-kawża prinċipali

Rikorrent: VB

Konvenut: Natsionalna agentsia za prihodite

Domandi preliminari

1)

L-Artikolu 24 u l-Artikolu 32 tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data(1) jistgħu jiġu interpretati fis-sens li, sabiex jiġi konkluż li l-miżuri tekniċi u organizzattivi implimentati ma humiex adegwati, huwa biżżejjed li l-iżvelar mhux awtorizzat ta’ data personali jew l-aċċess mhux awtorizzat għal data personali, fis-sens tal-punt 12 tal-Artikolu 4 tar-Regolament 2016/679, jitwettqu minn persuni li ma humiex impjegati fl-amministrazzjoni tal-kontrollur responsabbli għad-data personali u li ma jaqgħux taħt il-kontroll tiegħu?

2)

Fil-każ li tingħata risposta fin-negattiv għall-ewwel domanda, x’għandhom ikunu s-suġġett u l-portata tal-istħarriġ ġudizzjarju tal-legalità fil-kuntest ta’ kwistjoni dwar jekk il-miżuri tekniċi u organizzattivi implimentati mill-kontrollur responsabbli għad-data personali taħt l-Artikolu 32 tar-Regolament 2016/679 humiex adegwati?

3)

Fil-każ li tingħata risposta fin-negattiv għall-ewwel domanda, il-prinċipju ta’ responsabbiltà stabbilit fl-Artikolu 5(2) u l-Artikolu 24, moqrija flimkien mal-premessa 74 tar-Regolament 2016/679, jistgħu jiġu interpretati fis-sens li, fil-kuntest ta’ kawża mressqa skont l-Artikolu 82(1) tar-Regolament 2016/679, il-kontrollur responsabbli għad-data personali għandu l-oneru jipprova li l-miżuri tekniċi u organizzattivi implimentati taħt l-Artikolu 32 tar-Regolament 2016/679 huma adegwati? Il-ħatra ta’ perit legali tista’ titqies li hija mezz ta’ prova neċessarju u suffiċjenti sabiex jiġi stabbilit jekk il-miżuri tekniċi u organizzattivi implimentati mill-kontrollur responsabbli għad-data personali humiex adegwati f’sitwazzjoni bħal dik ineżami, fejn l-aċċess mhux awtorizzat għal data personali u l-iżvelar mhux awtorizzat ta’ data personali kienu r-riżultat ta’ “hacking”?

4)

L-Artikolu 82(3) tar-Regolament 2016/679 jista’ jiġi interpretat fis-sens li l-iżvelar mhux awtorizzat ta’ data personali jew l-aċċess mhux awtorizzat għal data personali, fis-sens tal-punt 12 tal-Artikolu 4 tar-Regolament 2016/679, fil-każ ta’ “hacking”, minn persuni li ma humiex impjegati fl-amministrazzjoni tal-kontrollur responsabbli għad-data personali u li ma jaqgħux taħt il-kontroll tiegħu, huma avvenimenti li għalihom dan il-kontrollur fl-ebda każ ma jista’ jinżamm responsabbli u jikkostitwixxu ġustifikazzjoni sabiex jinħeles mir-responsabbiltà tiegħu?

5)

L-Artikolu 82(1) u (2), flimkien mal-premessi 85 u 146 tal-preambolu tar-Regolament 2016/679, jista’ jiġi interpretat fis-sens li, f’sitwazzjoni bħal dik ineżami fejn kien hemm ksur tas-sigurtà tad-data personali minħabba aċċess mhux awtorizzat għal data personali u komunikazzjoni mhux awtorizzata ta’ data personali mwettqa permezz ta’ “hacking”, jaqa’ fi ħdan it-tifsira wiesgħa tal-kunċett ta’ dannu morali u jikkostitwixxi bażi għall-għoti ta’ kumpens s-sempliċi fatt li s-suġġett tad-data jesprimi tħassib, inkwiet u perikolu ta’ eventwali abbuż fil-futur mid-data personali, mingħajr ma jkun ġie stabbilit tali abbuż u/jew mingħajr ma jkun ġie stabbilit dannu ieħor għas-suġġett tad-data?


(1)  ĠU 2016, L 119, p. 1, rettifika fil-ĠU 2018, L 127, p. 2.