EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62021CN0340
Case C-340/21: Request for a preliminary ruling from the Varhoven administrativen sad (Bulgaria) lodged on 2 June 2021 — VB v Natsionalna agentsia za prihodite
Zaak C-340/21: Verzoek om een prejudiciële beslissing ingediend door de Varhoven administrativen sad) (Bulgarije) op 2 juni 2021 — VB / Natsionalna agentsia za prihodite
Zaak C-340/21: Verzoek om een prejudiciële beslissing ingediend door de Varhoven administrativen sad) (Bulgarije) op 2 juni 2021 — VB / Natsionalna agentsia za prihodite
OJ C 329, 16.8.2021, p. 12–13
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
16.8.2021 |
NL |
Publicatieblad van de Europese Unie |
C 329/12 |
Verzoek om een prejudiciële beslissing ingediend door de Varhoven administrativen sad) (Bulgarije) op 2 juni 2021 — VB / Natsionalna agentsia za prihodite
(Zaak C-340/21)
(2021/C 329/16)
Procestaal: Bulgaars
Verwijzende rechter
Varhoven administrativen sad (Bulgarije)
Partijen in het hoofdgeding
Verzoekende partij: VB
Verwerende partij: Natsionalna agentsia za prihodite
Prejudiciële vragen
1. |
Moeten de artikelen 24 en 32 van verordening (EU) 2016/679 (1) aldus worden uitgelegd dat het feit dat de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens in de zin van artikel 4, punt 12, van verordening (EU) 2016/679 heeft plaatsgevonden door personen die geen medewerkers van de verwerkingsverantwoordelijke zijn en niet onder zijn toezicht staan, volstaat om aan te nemen dat de getroffen technische en organisatorische maatregelen niet passend zijn? |
2. |
Ingeval de eerste vraag ontkennend wordt beantwoord: waarop moet de rechterlijke toetsing van de rechtmatigheid bij het onderzoek van de vraag of de door de verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen passend zijn in de zin van artikel 32 van verordening (EU) 2016/679 betrekking hebben en welke omvang moet die toetsing hebben? |
3. |
Ingeval de eerste vraag ontkennend wordt beantwoord: moet het beginsel van de verantwoordingsplicht op grond van artikel 5, lid 2, en artikel 24 juncto overweging 74 van verordening (EU) 2016/679 aldus worden uitgelegd dat in het kader van een beroep op grond van artikel 82, lid 1, van die verordening de bewijslast voor het feit dat de getroffen technische en organisatorische maatregelen passend zijn in de zin van artikel 32 van de verordening, op de verwerkingsverantwoordelijke rust? Kan een deskundigenrapport als een noodzakelijk en toereikend bewijsmiddel worden beschouwd om vast te stellen dat de door de verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen in een geval zoals het onderhavige passend waren, wanneer de ongeoorloofde toegang tot en de ongeoorloofde verstrekking van persoonsgegevens het gevolg zijn van een “hackaanval”? |
4. |
Moet artikel 82, lid 3, van verordening (EU) 2016/679 aldus worden uitgelegd dat de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens in de zin van artikel 4, punt 12, van die verordening, in casu door middel van een “hackaanval” door personen die geen medewerkers van de verwerkingsverantwoordelijke zijn en niet onder zijn toezicht staan, een feit is waarvoor de verwerkingsverantwoordelijke niet verantwoordelijk is en dat bijgevolg een vrijstelling van aansprakelijkheid rechtvaardigt? |
5. |
Moeten artikel 82, leden 1 en 2, junctis de overwegingen 85 en 146 van verordening (EU) 2016/679 aldus worden uitgelegd dat wanneer er zoals in casu sprake is van een inbreuk op persoonsgegevens die bestaat in de ongeoorloofde toegang tot en de verspreiding van persoonsgegevens door middel van een “hackaanval”, alleen al de bezorgdheid en ongerustheid van de betrokkene over en zijn vrees voor mogelijk misbruik van zijn persoonsgegevens in de toekomst, zonder dat een dergelijk misbruik is vastgesteld en/of de betrokkene verdere schade heeft geleden, onder het ruim uit te leggen begrip “immateriële schade” vallen en een recht op schadevergoeding doen ontstaan? |
(1) Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (OB 2016, L 119, стр. 1)