EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62021CN0340

Sprawa C-340/21: Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Wyrchowen administratiwen syd (Bułgaria) w dniu 2 czerwca 2021 r. – VB / Nacionałna agencija za prichodite

OJ C 329, 16.8.2021, p. 12–13 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

16.8.2021   

PL

Dziennik Urzędowy Unii Europejskiej

C 329/12


Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Wyrchowen administratiwen syd (Bułgaria) w dniu 2 czerwca 2021 r. – VB / Nacionałna agencija za prichodite

(Sprawa C-340/21)

(2021/C 329/16)

Język postępowania: bułgarski

Sąd odsyłający

Wyrchowen administratiwen syd

Strony w postępowaniu głównym

Strona wnosząca skargę kasacyjną: VB

Strona pozwana w postępowaniu kasacyjnym: Nacionałna agencija za prichodite

Pytania prejudycjalne

1)

Czy art. 24 i 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (1) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że wystarczające jest zrealizowanie nieuprawnionego ujawnienia lub dostępu do danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679 przez osoby, które nie są urzędnikami w administracji administratora danych osobowych i nie są pod jego kontrolą, aby przyjąć, że zastosowane środki techniczne i organizacyjne nie są odpowiednie?

2)

Na wypadek udzielenia odpowiedzi przeczącej na pytanie pierwsze, jaki powinien być przedmiot i zakres sądowej kontroli zgodności z prawem przy weryfikacji, czy zastosowane przez administratora danych osobowych środki techniczne i organizacyjne, o których mowa w art. 32 rozporządzenia 2016/679, są odpowiednie?

3)

Na wypadek udzielenia odpowiedzi przeczącej na pytanie pierwsze, czy zasadę rozliczalności określoną w art. 5 ust. 2 oraz art. 24 w związku z motywem 74 rozporządzenia 2016/679 należy interpretować w ten sposób, że w postępowaniu z powództwa określonego w art. 82 ust. 1 rozporządzenia 2016/679 na administratorze danych osobowych ciąży ciężar dowodu odnośnie do okoliczności, że zastosowane środki techniczne i organizacyjne, o których mowa w art. 32 rozporządzenia, są odpowiednie? Czy zarządzenie sporządzenia opinii przez biegłego sądowego można uznać za niezbędny i wystarczający środek dowodowy dla celów ustalenia, czy zastosowane przez administratora danych osobowych środki techniczne i organizacyjne są odpowiednie w sytuacji takiej jak rozpatrywana, w której nieuprawniony dostęp i ujawnianie danych osobowych jest rezultatem „ataku hakerskiego”?

4)

Czy art. 82 ust. 3 rozporządzenia 2016/679 należy interpretować w ten sposób, że nieuprawnione ujawnienie lub dostęp do danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679 – w niniejszym wypadku poprzez „atak hakerski” osób, które nie są urzędnikami w administracji administratora danych osobowych i nie są pod jego kontrolą – jest zdarzeniem, w odniesieniu do którego administrator danych osobowych w żaden sposób nie ponosi winy, i jest podstawą zwolnienia z odpowiedzialności?

5)

Czy art. 82 ust. 1 i 2 w związku z motywami 85 i 146 preambuły rozporządzenia 2016/679 należy interpretować w ten sposób, że w sytuacji takiej jak rozpatrywana, w której naruszono bezpieczeństwo danych osobowych poprzez nieuprawniony dostęp i rozpowszechnianie danych osobowych zrealizowane w ramach „ataku hakerskiego”, same w sobie przeżyte przez podmiot danych osobowych obawy, zmartwienia i strach przed ewentualnym przyszłym nadużyciem danych osobowych – bez zaistnienia takiego nadużycia lub wyrządzenia innej szkody podmiotowi danych – są objęte szerokim rozumieniem pojęcia szkód niematerialnych i stanowi [to] podstawę do zasądzenia odszkodowania?


(1)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1).


Top