1.

Artykuł 4 rozporządzenia 2016/679 ( 2 ) (zwanego dalej „rozporządzeniem”), zatytułowany „Definicje”, stanowi:

„Na użytek niniejszego rozporządzenia:

[…]

[…]”.

2.

Artykuł 5, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi:

„1.   Dane osobowe muszą być:

[…]

2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

3.

Artykuł 24 rozporządzenia, zatytułowany „Obowiązki administratora”, stanowi:

„1.   Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

2.   Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

3.   Stosowanie zatwierdzonych kodeksów postępowania, o których mowa w art. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków”.

4.

Artykuł 32, zatytułowany „Bezpieczeństwo przetwarzania”, stanowi:

„1.   Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

[…]

2.   Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

3.   Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.

[…]”.

5.

Artykuł 82 tego rozporządzenia, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, stanowi:

„1.   Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2.   Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie […].

3.   Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody”.

6.

W dniu 15 lipca 2019 r. bułgarskie media rozpowszechniły informację, zgodnie z którą miał miejsce nieuprawniony dostęp do systemu informatycznego Natsionalna agentsia za prihodite (narodowej agencji przychodów skarbowych i z tytułu składek zabezpieczenia społecznego, Bułgaria, zwanej dalej „NAP” ( 3 )), a także, że w Internecie opublikowano różne informacje podatkowe i ubezpieczeniowe dotyczące milionów osób, zarówno obywateli bułgarskich, jak i cudzoziemców.

7.

Szereg osób, w tym V.B., skarżąca w postępowaniu głównym, wniosło powództwa przeciwko NAP o zasądzenie odszkodowania za szkody niemajątkowe.

8.

W niniejszej sprawie skarżąca w postępowaniu głównym wniosła powództwo do Administrativen sad Sofia‑grad (sądu administracyjnego dla miasta Sofia, Bułgaria; zwanego dalej „ASSG”), utrzymując, że NAP naruszyła przepisy krajowe, a także obowiązek przetwarzania danych osobowych jako administrator w sposób „zapewniający odpowiednie standardy bezpieczeństwa” – poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych zgodnie z art. 24 i 32 rozporządzenia nr 2016/679. Skarżąca wskazała ponadto, że poniosła szkody niemajątkowe wyrażające się w niepokoju i obawach, że jej dane osobowe mogą zostać wykorzystane w sposób nieuczciwy w przyszłości.

9.

Druga strona postępowania podkreśliła natomiast, że nie otrzymała od skarżącej w postępowaniu głównym żadnego wniosku o udzielenie informacji o tym, do jakich konkretnie danych osobowych uzyskano dostęp. Ponadto, w następstwie informacji o włamaniu do systemu przeprowadziła ona spotkania z ekspertami w celu ochrony praw i interesów obywateli. Zdaniem NAP nie istniał również związek przyczynowy między atakiem komputerowym a podnoszoną szkodą, ponieważ agencja wdrożyła wszystkie systemy zarządzania procesami i bezpieczeństwa informacji zgodnie z obowiązującymi w tej dziedzinie normami międzynarodowymi.

10.

Sąd pierwszej instancji, ASSG, oddalił powództwo, uznając, że NAP nie ponosi winy za ujawnienie danych, że ciężar dowodu co do odpowiedniego charakteru przyjętych środków spoczywa na skarżącej i wreszcie, że żadna szkoda niemajątkowa nie podlega naprawieniu.

11.

Wyrok wydany w pierwszej instancji został następnie środek zaskarżony do Varhoven administrativen sad (najwyższego sądu administracyjnego, Bułgaria). Wśród podniesionych zarzutów skarżąca w postępowaniu głównym podkreśliła, że sąd pierwszej instancji błędnie rozłożył ciężar dowodu w odniesieniu do braku przyjęcia środków bezpieczeństwa. Szkoda niemajątkowa również nie powinna być objęta ciężarem dowodu, ponieważ nie chodzi o jedynie potencjalną, lecz rzeczywistą szkodę niemajątkową.

12.

NAP ze swej strony powtórzyła, że przyjęła niezbędne środki techniczne i organizacyjne jako administrator oraz zakwestionowała istnienie dowodu rzeczywistej szkody niemajątkowej. Niepokój i obawy są bowiem stanami emocjonalnymi, które nie podlegają odszkodowaniu.

13.

Sąd odsyłający zwrócił uwagę na odmienne rozstrzygnięcia w odniesieniu do poszczególnych postępowań, które poszkodowani wszczęli oddzielnie przeciwko NAP w celu uzyskania odszkodowania za szkody niemajątkowe.

14.

W tym kontekście sąd odsyłający zawiesił postępowanie i zwrócił się do Trybunału z następującymi pytaniami prejudycjalnymi:

15.

Przedmiotem niniejszej sprawy są interesujące, a częściowo nowe kwestie dotyczące wykładni różnych przepisów rozporządzenia ( 4 ).

16.

Pięć pytań prejudycjalnych dotyczy tej samej kwestii: warunków przyznania odszkodowania za szkodę niemajątkową osobie, której dane osobowe, będące w posiadaniu agencji publicznej, zostały opublikowane w Internecie w wyniku ataku hakerskiego.

17.

Dla ułatwienia zaproponuję odrębne zwięzłe odpowiedzi na wszystkie pytania prejudycjalne zawarte w postanowieniu odsyłającym, choć zdaję sobie sprawę, że na płaszczyźnie konceptualnej pytania te pokrywają się w pewnym stopniu, ponieważ cztery pierwsze pytania mają na celu określenie przesłanek możliwości przypisania administratorowi ( 5 ) naruszenia przepisów rozporządzenia, a piąte pytanie odnosi się konkretnie do pojęcia szkody niemajątkowej dla celów zasądzenia odszkodowania ( 6 ).

18.

Pragnę zauważyć, że obecnie przed Trybunałem toczy się kilka spraw dotyczących art. 82 rozporządzenia, a w jednej z nich przedstawiono już opinię rzecznika generalnego, którą uwzględnię w niniejszej analizie ( 7 ).

19.

Uważam, że przed rozpoczęciem analizy przedstawionych pytań należy poczynić kilka uwag wstępnych dotyczących zasad i celów rozporządzenia, które będą przydatne w celu udzielenia odpowiedzi na każde z pytań prejudycjalnych.

20.

Artykuł 24 rozporządzenia ustanawia w sposób ogólny obowiązek wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z samym rozporządzeniem i aby móc to wykazać, natomiast art. 32 ustanawia bardziej szczegółowo ten sam obowiązek w odniesieniu do bezpieczeństwa przetwarzania. Artykuły 24 i 32 precyzują to, co jest już przewidziane w art. 5 ust. 2, który wprowadza „zasadę rozliczalności” właśnie wśród „zasad mających zastosowanie do przetwarzania danych osobowych”. Zasada ta wynika logicznie z „zasady integralności i poufności” przewidzianej w art. 5 ust. 1 lit. f) i stanowi jej uzupełnienie, a obie zasady należy interpretować w świetle podejścia opartego na ryzyku, na którym opiera się rozporządzenie.

21.

Zasada rozliczalności jest jednym z filarów rozporządzenia i jedną z jego najistotniejszych innowacji. Nakłada ona na administratora odpowiedzialność za podejmowanie proaktywnych działań w celu zapewnienia zgodności z rozporządzeniem i udowodnienie zgodności z rozporządzeniem ( 8 ).

22.

W doktrynie mowa była o rzeczywistej zmianie kulturowej jako efekcie „ogólnego zakresu obowiązku odpowiedzialności” ( 9 ). To nie formalne przestrzeganie obowiązku prawnego lub jednorazowego środka, lecz cała przyjęta strategia przedsiębiorstwa zwalnia administratora z odpowiedzialności ze względu na przestrzeganie przepisów o ochronie danych.

23.

Środki techniczne i organizacyjne wymagane zgodnie z zasadą rozliczalności muszą być „odpowiednie” w świetle czynników określonych w art. 24, a mianowicie charakteru, zakresu stosowania, kontekstu i celów przetwarzania oraz prawdopodobieństwa i wagi ryzyka naruszenia praw i wolności osób fizycznych.

24.

Artykuł 24 ustanawia zatem obowiązek, zgodnie z którym środki muszą być odpowiednie, aby móc wykazać zgodność przetwarzania z zasadami i przepisami rozporządzenia.

25.

Z kolei art. 32 odnosi zasadę rozliczalności do konkretnych środków, które należy przyjąć, aby zapewnić „stopień bezpieczeństwa odpowiadający temu ryzyku”. W ten sposób w przepisie tym wprowadzono oprócz już przewidzianych czynników, które należy uwzględnić przy wdrażaniu środków technicznych i organizacyjnych, stan wiedzy technicznej i koszt wdrażania.

26.

Pojęcie odpowiedniego charakteru wymaga, aby rozwiązania przyjęte w celu zabezpieczenia systemów informatycznych osiągnęły poziom akceptowalności zarówno pod względem technicznym (istotność środków), jak i jakościowym (skuteczność ochrony). W celu zapewnienia poszanowania zasad konieczności, istotności i proporcjonalności operacje przetwarzania muszą być nie tylko odpowiednie, lecz również zadowalające w odniesieniu do zamierzonych celów. Decydującą rolę w tej logice odgrywa zasada minimalizacji, zgodnie z którą na wszystkich etapach przetwarzania danych należy stale dążyć do zminimalizowania ryzyka dla bezpieczeństwa ( 10 ).

27.

Całe rozporządzenie opiera się na zapobieganiu ryzyku i rozliczalności administratora, a zatem na podejściu celowościowym, które ma na celu osiągnięcie jak najlepszego wyniku pod względem skuteczności, to znaczy znacznie odbiega od logiki formalistycznej związanej z samym obowiązkiem przestrzegania konkretnych procedur w celu uwolnienia się od odpowiedzialności ( 11 ).

28.

Artykuł 24 nie zawiera wyczerpującego wykazu „odpowiednich” środków i w związku z tym konieczne jest dokonanie oceny każdego przypadku z osobna. Jest to zgodne z filozofią rozporządzenia, z której wynika, że preferowane jest, by procedury, które mają zostać przyjęte, były wybierane na podstawie dokładnej oceny konkretnej sytuacji, tak by mogły być jak najskuteczniejsze ( 12 ).

29.

Poprzez pytanie pierwsze sąd odsyłający zmierza zasadniczo do ustalenia, czy art. 24 i 32 rozporządzenia należy interpretować w ten sposób, że wystąpienie „naruszenia danych osobowych”, zdefiniowanego w art. 4 pkt 12, jest wystarczające samo w sobie do stwierdzenia, że wdrożone przez administratora środki techniczne i organizacyjne nie były „odpowiednie” w celu zapewnienia ochrony danych.

30.

Z brzmienia art. 24 i 32 rozporządzenia wynika, że administrator, dokonując wyboru środków technicznych i organizacyjnych, które jest zobowiązany wdrożyć w celu zapewnienia zgodności z samym rozporządzeniem, musi wziąć pod uwagę szereg czynników oceny wymienionych w tych artykułach i przywołanych powyżej.

31.

Administrator ma pewien zakres swobody, jeśli chodzi o określenie najbardziej odpowiednich środków w świetle jego konkretnej sytuacji, jednak taki wybór podlega ewentualnej kontroli sądowej zgodności zastosowanych środków ze wszystkimi obowiązkami i celami samego rozporządzenia.

32.

W szczególności, w odniesieniu do środków bezpieczeństwa w art. 32 ust. 1 nakłada się na administratora obowiązek uwzględnienia „stanu wiedzy technicznej”. Oznacza to ograniczenie poziomu technologicznego wdrażanych środków do tego, co jest racjonalnie możliwe w chwili przyjęcia środków, co znaczy, że zdolność środka do zapobiegania ryzyku musi być zatem proporcjonalna do rozwiązań, jakie oferuje obecny stan zaawansowania nauki, techniki, technologii i badań, przy uwzględnieniu również, jak zostanie to wyjaśnione, kosztów wdrażania.

33.

Środki mogą być „odpowiednie” w danym momencie, a mimo to mogą być obchodzone przez cyberprzestępców stosujących bardzo zaawansowane narzędzia, które mogą naruszyć również środki bezpieczeństwa zgodne ze stanem wiedzy technicznej.

34.

Ponadto nielogiczne wydaje się założenie, że zamiarem prawodawcy Unii było nałożenie na administratora obowiązku zapobiegania wszelkim naruszeniom danych osobowych, niezależnie od staranności we wprowadzaniu środków bezpieczeństwa ( 13 ).

35.

Jak wskazano powyżej, rozporządzenie odchodzi od automatyzmu, wymagając wysokiego poziomu rozliczalności administratora, co nie może jednak prowadzić do tego, że nie będzie on w stanie udowodnić, iż prawidłowo wykonał nałożone na niego obowiązki.

36.

Co więcej art. 32 ust. 1 stanowi, że należy uwzględnić, jak już wspomniano, „koszt wdrażania” rozpatrywanych środków technicznych i organizacyjnych. Wynika z tego, że ocena odpowiedniości takich środków musi być oparta na wyważeniu interesów osoby, której dane dotyczą, które ogólnie zmierzają do wyższego poziomu ochrony, z interesami finansowymi i możliwościami technologicznymi administratora, które niekiedy zmierzają do niższego poziomu ochrony. Wyważenie to musi być zgodne z wymogami ogólnej zasady proporcjonalności.

37.

Ponadto należy dodać w świetle wykładni systemowej, że prawodawca przewiduje możliwość wystąpienia naruszeń systemów. W art. 32 ust. 1 lit. c) wymieniono wśród sugerowanych środków zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Zapewnienie takiej zdolności wśród środków bezpieczeństwa gwarantujących poziom bezpieczeństwa odpowiedni do ryzyka byłoby bezcelowe, gdyby uznać, że samo naruszenie systemów stanowi samo w sobie dowód świadczący o nieodpowiednim charakterze takich środków.

38.

Poprzez pytanie drugie sąd odsyłający zmierza zasadniczo do ustalenia, jaki powinien być przedmiot i zakres kontroli sądowej przy weryfikacji, czy wdrożone przez administratora danych osobowych środki techniczne i organizacyjne w rozumieniu art. 32 rozporządzenia są odpowiednie.

39.

Biorąc pod uwagę zmienność sytuacji, które mogą wystąpić w praktyce, rozporządzenie, jak wspomniano, nie ustanawia wiążących przepisów dotyczących określenia środków technicznych i organizacyjnych, jakie administrator musi przyjąć, aby spełnić wymogi wynikające z samego rozporządzenia. Odpowiedni charakter przyjętych środków będzie zatem musiał być oceniany in concreto poprzez zbadanie, czy konkretne środki były odpowiednie, aby zapobiec w racjonalny sposób ryzyku i zminimalizować negatywne skutki naruszenia.

40.

O ile niewątpliwie prawdą jest, że wybór i wdrożenie takich środków należy do subiektywnej oceny administratora, ponieważ środki wymienione w rozporządzeniu są jedynie przykładami, o tyle kontrola sądu nie może ograniczać się do sprawdzenia, czy administrator wykonuje obowiązki wynikające z art. 24 i 32, to znaczy czy przewidział (formalnie) określone środki techniczne i organizacyjne. Sąd musi dokonać konkretnej analizy treści takich środków, sposobu, w jaki zostały one zastosowane, oraz ich praktycznych skutków na podstawie dowodów, którymi dysponuje, i okoliczności danej sprawy. Jak słusznie zauważył rząd portugalski, „sposób, w jaki administrator wykonał swoje obowiązki, wydaje się nierozerwalnie związany z treścią przyjętych środków, aby wykazać, że biorąc pod uwagę konkretną operację przetwarzania danych (jej charakter, zakres, kontekst i cele), stan wiedzy technicznej o dostępnych technologiach i ich kosztach, a także ryzyko naruszenia praw i wolności obywateli, administrator przyjął wszelkie niezbędne i odpowiednie środki w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do podstawowego ryzyka” ( 14 ).

41.

W ramach kontroli sądowej konieczne będzie zatem uwzględnienie wszystkich czynników zawartych w art. 24 i 32, w których, jak wspomniano, wymieniono szereg kryteriów oceny odpowiedniego charakteru i wskazano przykłady środków, które mogą być uznane za odpowiednie. Ponadto, jak podkreśliły Komisja i wszystkie państwa członkowskie, które przedstawiły uwagi dotyczące pytania drugiego, w art. 32 ust. 1–3 zwrócono uwagę konieczność „zapewni[enia] stop[nia] bezpieczeństwa odpowiadając[ego] temu ryzyku”, wskazując w tym celu inne istotne czynniki, takie jak ewentualne przyjęcie przez administratora zatwierdzonego kodeksu postępowania lub zatwierdzonego systemu certyfikacji, jak przewidziano odpowiednio w art. 40 i 42 rozporządzenia.

42.

Przyjęcie kodeksów postępowania lub systemów certyfikacji może stanowić przydatny element oceny w celu wywiązania się z ciężaru dowodu i związanej z tym kontroli sądowej. Należy jednak uściślić, że nie wystarczy, by administrator przestrzegał kodeksu postępowania, gdyż spoczywa na nim ciężar udowodnienia, że przyjął konkretnie przewidziane przez siebie środki zgodnie z zasadą rozliczalności. Natomiast certyfikacja stanowi „sama w sobie dowód zgodności z rozporządzeniem dokonanych operacji przetwarzania, nawet jeśli w praktyce dowód ten może zostać podważony” ( 15 ).

43.

Wreszcie należy zauważyć, że środki te muszą być w razie potrzeby poddawane przeglądom i uaktualniane zgodnie z art. 24 ust. 1. I to również będzie podlegało ocenie sądu krajowego. Artykuł 32 ust. 1 rozporządzenia ( 16 ) nakłada bowiem na administratora obowiązek stałej kontroli i monitorowania przed rozpoczęciem i po zakończeniu czynności przetwarzania, lecz także utrzymania i ewentualnej aktualizacji przyjętych środków zarówno w celu zapobiegania naruszeniom, jak i, w stosownych przypadkach, ograniczenia ich skutków.

44.

Skłaniałbym się jednak do wykluczenia możliwości, że następny wyrok będzie zawierał wykaz istotnych elementów, taki jak ten zaproponowany przez rząd portugalski ( 17 ). Mogłoby to prowadzić do sprzecznych wykładni, ponieważ wykaz oczywiście nigdy nie może być wyczerpujący.

45.

Poprzez pierwszą część pytania trzeciego sąd odsyłający zwraca się zasadniczo do Trybunału o ustalenie, czy, przy uwzględnieniu zasady rozliczalności ustanowionej w art. 5 ust. 2 i art. 24 w związku z motywem 74 ( 18 ) rozporządzenia, w ramach powództwa o odszkodowanie na podstawie art. 82 na administratorze danych osobowych spoczywa ciężar udowodnienia okoliczności, że środki techniczne i organizacyjne w rozumieniu art. 32 są odpowiednie.

46.

Wcześniejsze rozważania pozwalają mi na udzielenie na to pytanie krótkiej odpowiedzi twierdzącej.

47.

Brzmienie prawa, kontekst i cele rozporządzenia przemawiają bowiem w sposób jednoznaczny za tym, że ciężar dowodu spoczywa na administratorze.

48.

Z brzmienia szeregu przepisów rozporządzenia wynika, że administrator musi być „w stanie” lub być „zdolny”„wykazać”, że przestrzega obowiązków wynikających z rozporządzenia, w szczególności że wdrożył w tym celu odpowiednie środki, jak wskazano w motywie 74, art. 5 ust. 2 i art. 24 ust. 1. Jak podkreśla rząd portugalski, rzeczony motyw 74 wskazuje, że nałożony w ten sposób na administratora ciężar dowodu powinien obejmować dowód na to, „że [dane środki] są skuteczne”.

49.

Wydaje mi się, że za taką literalną wykładnią przemawiają następujące względy praktyczne i celowościowe.

50.

W odniesieniu do rozkładu ciężaru dowodu w ramach powództwa o odszkodowanie opartego na art. 82 osoba, której dane dotyczą, która wytoczyła powództwo przeciwko administratorowi, musi udowodnić, po pierwsze, że miało miejsce naruszenie rozporządzenia, po drugie, że poniosła szkodę, i po trzecie, że istnieje związek przyczynowy między dwoma poprzednimi elementami, jak wskazano we wszystkich uwagach na piśmie dotyczących piątego pytania prejudycjalnego. Są to trzy przesłanki kumulatywne, jak wynika również z utrwalonego orzecznictwa Trybunału i Sądu w kontekście odpowiedzialności pozaumownej Unii ( 19 ).

51.

Uważam jednak, że obowiązek udowodnienia przez skarżącą, że doszło do naruszenia rozporządzenia, nie może iść tak daleko, by wymagać wykazania, że wdrożone przez administratora środki techniczne i organizacyjne nie są odpowiednie w rozumieniu art. 24 i 32.

52.

Jak podkreśla Komisja, przedstawienie takich dowodów byłoby często prawie niemożliwe w praktyce, ponieważ osoby, których dane dotyczą, nie mają na ogół ani wystarczającej wiedzy, aby móc przeanalizować takie środki, ani dostępu do wszystkich informacji będących w posiadaniu administratora kwestionowanego przetwarzania, w szczególności w odniesieniu do metod stosowanych w celu zapewnienia bezpieczeństwa takiego przetwarzania. Ponadto administrator mógłby niekiedy twierdzić, że odmowa przez niego ujawnienia tych okoliczności faktycznych osobom, których dane dotyczą, opiera się na uzasadnionej podstawie nieujawniania jego spraw wewnętrznych lub nawet elementów objętych tajemnicą zawodową, między innymi właśnie ze względów bezpieczeństwa.

53.

Gdyby zatem uznać, że ciężar dowodu spoczywa na osobie, której dane dotyczą, praktyczną konsekwencją byłoby to, że przewidziane w art. 82 ust. 1 prawo do wniesienia powództwa straciłoby w znacznym stopniu swoje znaczenie. Moim zdaniem byłoby to niezgodne z zamiarem prawodawcy Unii, który, przyjmując to rozporządzenie, dążył do wzmocnienia praw osób, których dane dotyczą, oraz obowiązków administratorów w porównaniu z dyrektywą 95/46, którą rozporządzenie to zastąpiło. Jest zatem bardziej logiczne i prawnie uzasadnione, by administrator był zobowiązany do wykazania w ramach obrony przed powództwem o odszkodowanie, iż przestrzegał obowiązków wynikających z art. 24 i 32 tego rozporządzenia poprzez przyjęcie rzeczywiście odpowiednich środków.

54.

Poprzez drugą część pytania trzeciego sąd odsyłający zwraca się zasadniczo do Trybunału o ustalenie, czy opinia biegłego sądowego może zostać uznana za niezbędny i wystarczający dowód w celu oceny odpowiedniości środków technicznych i organizacyjnych wdrożonych przez administratora danych osobowych w sytuacji, w której nieuprawniony dostęp do danych osobowych i ich ujawnienie jest wynikiem ataku hakerskiego.

55.

Uważam, że – jak podkreśliły również (co do istoty) rządy bułgarski i włoski, Irlandia oraz Komisja – odpowiedź na te pytania powinna opierać się na utrwalonym orzecznictwie Trybunału, zgodnie z którym, na mocy zasady autonomii proceduralnej, w braku przepisów prawa Unii w tej dziedzinie do wewnętrznego porządku prawnego każdego państwa członkowskiego należy uregulowanie szczegółowych zasad proceduralnych dotyczących postępowań sądowych mających na celu ochronę praw jednostek, pod warunkiem jednak, by zasady te nie były mniej korzystne w sytuacjach objętych prawem Unii niż zasady odnoszące się do podobnych sytuacji podlegających prawu krajowemu (zasada równoważności) oraz by w praktyce nie uniemożliwiały lub nie czyniły nadmiernie uciążliwym wykonywania uprawnień przyznanych w prawie Unii (zasada skuteczności).

56.

W niniejszej sprawie pragnę zauważyć, że rozporządzenie nie zawiera żadnego przepisu mającego na celu określenie dopuszczalnych metod dowodowych i ich mocy dowodowej, w szczególności w odniesieniu do czynności dowodowych (takich jak opinia biegłego), które sądy krajowe mogą lub muszą zarządzić w celu dokonania oceny, czy administrator danych osobowych przyjął odpowiednie środki w rozumieniu tego rozporządzenia. Uważam zatem, że w braku zharmonizowanych przepisów w tej dziedzinie do wewnętrznego porządku prawnego każdego państwa członkowskiego należy określenie tych zasad proceduralnych, z zastrzeżeniem przestrzegania zasad równoważności i skuteczności.

57.

Wspomniana „zasada skuteczności”, z której wynika, że niezależny sąd musi dokonać bezstronnej oceny, mogłaby zostać naruszona, gdyby przymiotnik „wystarczający” miał być rozumiany w znaczeniu, jakie moim zdaniem nadaje mu sąd odsyłający, to znaczy, że z opinii biegłego można automatycznie wywnioskować, iż środki przyjęte przez administratora są odpowiednie ( 20 ).

58.

Poprzez pytanie czwarte sąd odsyłający zmierza zasadniczo do ustalenia, czy art. 82 ust. 3 rozporządzenia należy interpretować w ten sposób, że w przypadku gdy naruszenie tego rozporządzenia (polegające, jak ma to miejsce w niniejszej sprawie, na „nieuprawnionym ujawnieniu” lub „nieuprawnionym dostępie” do danych osobowych w rozumieniu art. 4 pkt 12) zostało popełnione przez osoby, które nie są pracownikami administratora tych danych i nie podlegają jego kontroli, okoliczność ta stanowi zdarzenie, za które administrator nie ponosi w żaden sposób winy i które w związku z tym jest podstawą zwolnienia go z odpowiedzialności zgodnie z art. 82 ust. 3.

59.

Odpowiedź na to pytanie wynika liniowo z tego, co zostało przedstawione powyżej w odniesieniu do ogólnej filozofii rozporządzenia: nie przewidziano automatyzmu, a zatem sama okoliczność, że nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do nich miały miejsce z powodu osób niepodlegających kontroli administratora, nie zwalnia administratora z odpowiedzialności.

60.

Po pierwsze, w odniesieniu do brzmienia przepisów należy zauważyć, że ani art. 82 ust. 3, ani motyw 146 nie ustanawiają żadnych szczególnych przesłanek, które mogą być spełnione, aby administrator został zwolniony z odpowiedzialności, poza udowodnieniem, że „w żaden sposób nie ponos[i] winy za zdarzenie, które doprowadziło do powstania szkody”. Ze sformułowania tego wynika z jednej strony, że administrator może zostać zwolniony z odpowiedzialności tylko wtedy, gdy wykaże, że nie ponosi winy za zdarzenie, które doprowadziło do rozpatrywanej szkody, a z drugiej strony, że wymagany w tym przepisie standard dowodu jest wysoki, biorąc pod uwagę użycie wyrażenia „w żaden sposób”, jak podkreśliła Komisja ( 21 ).

61.

System odpowiedzialności przewidziany w art. 82 oraz ogólniej w całym rozporządzeniu był przedmiotem szerokiej debaty w doktrynie różnych państw członkowskich. Zawiera on bowiem tradycyjne elementy właściwe dla odpowiedzialności deliktowej, lecz także elementy, które w strukturze przepisów zbliżają go do odpowiedzialności umownej lub nawet do formy odpowiedzialności obiektywnej ze względu na nieodłączny niebezpieczny charakter działalności polegającej na przetwarzaniu danych. Celem niniejszej opinii nie jest przedstawienie szczegółowej debaty, ale moim zdaniem art. 82 nie wydaje się wskazywać na system odpowiedzialności obiektywnej ( 22 ).

62.

Szkoda wynikająca z naruszenia danych osobowych może być zawinionym następstwem braku przyjęcia racjonalnych i w każdym przypadku odpowiednich środków technicznych i organizacyjnych w celu zapobieżenia tej szkodzie, biorąc pod uwagę ryzyko naruszenia praw i wolności osób związane z czynnością przetwarzania. Ryzyko to powoduje zaostrzenie obowiązku zapobiegania szkodzie i unikania jej, rozszerzając obowiązek staranności spoczywający administratorze. W związku z tym argumentację przemawiającą za uznaniem zaostrzonego charakteru odpowiedzialności z tytułu domniemanej winy w przypadku odpowiedzialności za niezgodne z prawem przetwarzanie danych osobowych, o którym mowa w art. 82 rozporządzenia, można opierać na łącznym odczytaniu obowiązków dotyczących zachowania się spoczywających na administratorze oraz przepisu dotyczącego dowodu zwalniającego z odpowiedzialności, którego ciężar spoczywa na sprawcy szkody ( 23 ).

63.

Wynika z tego możliwość przedstawienia przez administratora dowodu zwalniającego z odpowiedzialności (niedopuszczalnego w przypadku odpowiedzialności obiektywnej). W odniesieniu do struktury ciężaru dowodu art. 82 ust. 3 rozporządzenia ustanawia system korzystny dla poszkodowanego, przewidując formę odwrócenia ciężaru dowodu winy sprawcy szkody ( 24 ) w sposób w pełni zgodny ze wspomnianym odwróceniem ciężaru dowodu w odniesieniu do odpowiedniości przyjętych środków. Prawodawca wskazuje w ten sposób, że jest świadomy niebezpieczeństw, jakie wiążą się z przyjęciem innego rozkładu ciężaru dowodu, oraz że gdyby nałożył ciężar dowodu winy sprawcy szkody na poszkodowaną osobę fizyczną, doprowadziłby do nadmiernego obciążenia jej pozycji, a tym samym do naruszenia de facto skuteczności ochrony odszkodowawczej w ramach przepisów związanych z wykorzystaniem nowych technologii. Odtworzenie warunków powstania szkody i uzyskanie do nich dostępu, a w konsekwencji udowodnienie winy administratora, mogłoby być bowiem szczególnie uciążliwe dla osoby, której dane dotyczą. I odwrotnie, administrator znajduje się w najlepszej sytuacji, aby przedstawić dowód zwalniający z odpowiedzialności w celu wykazania, że nie ponosi w żaden sposób winy za zdarzenie, które doprowadziło do powstania szkody ( 25 ).

64.

Administrator będzie musiał również wykazać zgodnie z opisaną powyżej zasadą rozliczalności, że uczynił wszystko, co możliwe, aby szybko przywrócić dostępność danych osobowych i dostęp do nich.

65.

Wracając do pytania sądu odsyłającego w oparciu o powyższe rozważania dotyczące charakteru odpowiedzialności administratora: jeżeli, jak już wspomniałem, administrator może zostać zwolniony z odpowiedzialności poprzez wykazanie, że naruszenie nastąpiło z przyczyny, za którą w żaden sposób nie ponosi on winy, to sam fakt, iż zdarzenie zostało spowodowane przez osobę niepodlegającą jego kontroli, nie może być za taką przyczynę uznany.

66.

W przypadku gdy administrator jest ofiarą ataku ze strony cyberprzestępców, można by uznać, że administrator nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody, ale nie jest wykluczone, że zaniedbanie administratora mogło doprowadzić do danego ataku, ułatwiając jego sytuację z powodu braku lub nieodpowiedniego charakteru środków bezpieczeństwa danych osobowych, które ten ostatni jest zobowiązany wdrożyć. Chodzi o oceny okoliczności faktycznych każdego przypadku z osobna, które pozostawia się sądowi krajowemu rozpatrującemu sprawę w świetle przedstawionych mu dowodów.

67.

Ponadto z doświadczenia powszechnego wynika, że zewnętrzne ataki na systemy podmiotów publicznych lub prywatnych będących administratorami dużej ilość danych osobowych są znacznie częstsze niż ataki wewnętrzne. Administrator musi zatem wdrożyć odpowiednie środki, aby poradzić sobie w szczególności z atakami zewnętrznymi.

68.

Wreszcie z celowościowego punktu widzenia należy zauważyć, że rozporządzenie dąży do osiągnięcia celu, jakim jest wysoki poziom ochrony. W tym względzie Trybunał podkreślił już, że z art. 1 ust. 2 w związku z motywami 10, 11 i 13 rozporządzenia wynika, że rozporządzenie to nakłada na instytucje, organy i jednostki organizacyjne Unii oraz na właściwe organy państw członkowskich obowiązek zapewnienia wysokiego poziomu ochrony praw związanych z ochroną danych osobowych zagwarantowanych w art. 16 TFUE i w art. 8 karty ( 26 ).

69.

Gdyby Trybunał przyjął wykładnię, zgodnie z którą w sytuacji, gdy naruszenie rozporządzenia zostało popełnione przez osobę trzecią, administrator powinien być automatycznie zwolniony z odpowiedzialności na podstawie art. 82 ust. 3, taka wykładnia miałaby skutek niezgodny z celem ochrony realizowanym przez ten instrument, ponieważ osłabiłaby prawa osób, których dane dotyczą, ze względu na to, że ograniczyłaby tę odpowiedzialność do przypadków, w których naruszenie zostało spowodowane przez osoby podlegające nadzorowi lub kontroli tego administratora.

70.

Poprzez pytanie piąte sąd krajowy zwraca się zasadniczo do Trybunału o dokonanie wykładni pojęcia „szkody niematerialnej” (używając języka rozporządzenia – szkody „niemajątkowej”) w rozumieniu art. 82 rozporządzenia. W szczególności sąd krajowy zwraca się z pytaniem, czy przepisy art. 82 ust. 1 i 2 w związku z motywami 85 i 146 rozporządzenia ( 27 ) należy interpretować w ten sposób, że w sytuacji, w której naruszenie tego rozporządzenia polegało na nieuprawnionym dostępie do danych osobowych i nieuprawnionym ujawnieniu tych danych przez cyberprzestępców, okoliczność, że osoba, której dane dotyczą, obawia się potencjalnego nieuczciwego wykorzystania jej danych osobowych w przyszłości, może sama w sobie stanowić szkodę (niemajątkową) uprawniającą do odszkodowania.

71.

Ani art. 82, ani motywy dotyczące odszkodowania nie dają wyraźnej odpowiedzi na to pytanie, ale można z nich wywnioskować pewne elementy przydatne dla analizy: szkoda niemajątkowa (lub niematerialna) może być podstawą odszkodowania oprócz szkody majątkowej (lub materialnej); z naruszenia rozporządzenia nie wynika automatycznie szkoda, która jest przez to naruszenie „spowodowana”, lub, dokładniej rzecz ujmując, naruszenie danych osobowych „może skutkować” powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych; pojęcie szkody należy interpretować „szeroko” w świetle orzecznictwa Trybunału, w sposób w pełni odzwierciedlający cele rozporządzenia; odszkodowanie za „poniesioną” szkodę powinno być „pełne i skuteczne”.

72.

Brzmienie przepisów rozporządzenia wyklucza wszelkie ewentualne sugestie dotyczące szkód in re ipsa: głównym celem odpowiedzialności cywilnej przewidzianej w rozporządzeniu jest zadośćuczynienie osobie, której dane dotyczą, właśnie poprzez „pełne i skuteczne” odszkodowanie za poniesioną przez nią szkodę, a zatem przywrócenie równowagi w sytuacji prawnej negatywnie zmienionej wskutek naruszenia prawa ( 28 ).

73.

Z drugiej strony, również z systemowego punktu widzenia, podobnie jak w prawie ochrony konkurencji rozporządzenie przewiduje dwa filary ochrony: jeden o charakterze publicznoprawnym, obejmujący sankcje w przypadku naruszenia przepisów rozporządzenia, i jeden o charakterze prywatnoprawnym, obejmujący właśnie odpowiedzialność cywilną o charakterze deliktowym, którą można uznać za zaostrzoną z powodu domniemanej winy o wspomnianych powyżej cechach, również w odniesieniu do dowodu zwalniającego z odpowiedzialności ( 29 ).

74.

W związku z tym rozszerzająca ( 30 ) wykładnia pojęcia szkody (niemajątkowej) nie może prowadzić do uznania, że prawodawca zrezygnował z wymogu wystąpienia rzeczywistej „szkody”.

75.

Rzeczywista kwestia merytoryczna dotyczy tego, czy po stwierdzeniu istnienia naruszenia i związku przyczynowego prawo do odszkodowania może powstać jedynie z powodu obaw, niepokojów i lęków odczuwanych przez osobę, której dane dotyczą, dotyczących ewentualnego nieuczciwego wykorzystania danych osobowych w przyszłości, w przypadku gdy takie nieuczciwe wykorzystanie nie zostało stwierdzone lub osoba, której dane dotyczą, nie poniosła żadnej innej szkody.

76.

Zgodnie z utrwalonym orzecznictwem Trybunału pojęciom w danym przepisie prawa Unii, który nie zawiera żadnego wyraźnego odesłania do prawa państw członkowskich w celu określenia ich znaczenia i zakresu, należy zazwyczaj nadawać w całej Unii autonomiczną i jednolitą wykładnię, której należy dokonywać z uwzględnieniem nie tylko treści tego przepisu, ale także jego kontekstu i celów realizowanych przez uregulowanie, którego stanowi on część, oraz genezy tego przepisu ( 31 ).

77.

Jak przypomniał rzecznik generalny M. Campos Sánchez-Bordona ( 32 ), Trybunał nie opracował ogólnej definicji „szkody”, która mogłaby być stosowana bez rozróżnienia w każdej dziedzinie ( 33 ). W odniesieniu do szkód niemajątkowych z orzecznictwa Trybunału można wywnioskować, że w przypadku gdy jednym z celów przepisu, którego wykładni się dokonuje, jest ochrona jednostki lub pewnej kategorii jednostek ( 34 ), pojęcie szkody musi być szerokie; zgodnie z tym kryterium odszkodowanie rozciąga się na szkodę niemajątkową, nawet jeśli nie jest ona wymieniona w przepisie, którego wykładni się dokonuje ( 35 ).

78.

Chociaż orzecznictwo Trybunału pozwala bronić stanowiska, że w przedstawionych powyżej warunkach w prawie Unii istnieje zasada odszkodowania za szkody niemajątkowe, zgadzam się z rzecznikiem generalnym M. Camposem Sánchezem‑Bordoną, że nie można z niego wywieść zasady, zgodnie z którą każda szkoda niemajątkowa, niezależnie od jej wagi, podlega odszkodowaniu ( 36 ).

79.

W tym kontekście istotne jest rozróżnienie między szkodami niemajątkowymi podlegającymi naprawieniu a innymi niedogodnościami wynikającymi z nieprzestrzegania prawa, które ze względu na swój niewielki rozmiar niekoniecznie rodziłyby prawo do odszkodowania ( 37 ).

80.

Trybunał uznaje tę różnicę, gdy odnosi się do trudności i niedogodności jako autonomicznej kategorii w stosunku do kategorii szkód w dziedzinach, w odniesieniu do których uważa, że powinny one zostać naprawione ( 38 ).

81.

Z punktu widzenia empirycznego można zauważyć, że każde naruszenie przepisu dotyczącego ochrony danych osobowych wywołuje jakąś negatywną reakcję osoby, której dane dotyczą. Odszkodowanie wynikające z samego poczucia niezadowolenia z powodu braku poszanowania prawa przez inną osobę można łatwo pomylić z odszkodowaniem bez szkody, które, jak już wspomniałem, nie wydaje się mieć miejsca w przypadku, o którym mowa w art. 82 rozporządzenia.

82.

Fakt, że w okolicznościach takich jak w postępowaniu głównym nieuczciwe wykorzystanie danych osobowych jest jedynie potencjalne, a nie rzeczywiste, jest wystarczający, aby uznać, że osoba, której dane dotyczą, mogła ponieść szkodę niemajątkową spowodowaną naruszeniem rozporządzenia, pod warunkiem że osoba ta wykaże, że obawa przed takim nieuczciwym wykorzystaniem rzeczywiście i konkretnie wyrządziła jej rzeczywistą i pewną szkodę emocjonalną ( 39 ).

83.

Granica między zwykłymi niedogodnościami (niepodlegającymi odszkodowaniu) a rzeczywistymi szkodami niemajątkowymi (podlegającymi odszkodowaniu) jest niewątpliwie subtelna, ale sądy krajowe, których zadaniem jest wyznaczenie tej granicy w każdym przypadku z osobna, powinny dokonać dokładnej oceny wszystkich dowodów przedstawionych przez wnoszącą roszczenie odszkodowawcze osobę, której dane dotyczą, na której będzie spoczywał ciężar przedstawienia w sposób dokładny, a nie ogólny, konkretnych dowodów, które mogą świadczyć o „rzeczywiście poniesionej szkodzie niemajątkowej” z powodu naruszenia danych osobowych, nawet jeśli szkoda ta nie osiągnie z góry określonego progu szczególnej wagi: istotne jest to, że nie chodzi tu o zwykłe subiektywne odczucie, które jest zmienne i zależne również od cech charakteru i elementów osobistych, lecz o obiektywizm trudności, choćby niewielkich, lecz możliwych do wykazania, dla czyjejś sfery fizycznej lub psychicznej lub dla życia rodzinnego, charakter odnośnych danych osobowych i znaczenie, jakie mają one w życiu osoby, której dane dotyczą, oraz być może również postrzeganie przez społeczeństwo w danym momencie tych konkretnych trudności związanych z naruszeniem danych ( 40 ).

84.

Na podstawie wszystkich powyższych rozważań proponuję, aby na pytania prejudycjalne Trybunał udzielił następujących odpowiedzi:

Artykuły 5, 24, 32 i 82 rozporządzenia 2016/679 należy interpretować w ten sposób, że:

samo istnienie »naruszenia ochrony danych osobowych«, zgodnie z jego definicją zawartą w art. 4 pkt 12, nie jest samo w sobie wystarczające do stwierdzenia, że wdrożone przez administratora środki techniczne i organizacyjne nie były »odpowiednie« w celu zapewnienia ochrony rozpatrywanych danych;

oceniając, czy wdrożone przez administratora danych osobowych środki techniczne i organizacyjne są odpowiednie, sąd krajowy rozpatrujący sprawę musi przeprowadzić kontrolę, która obejmuje konkretną analizę zarówno treści tych środków, jak i sposobu ich wdrożenia oraz ich praktycznych skutków;

w ramach powództwa o odszkodowanie na podstawie art. 82 RODO na administratorze danych osobowych spoczywa ciężar udowodnienia, że środki, które wdrożył on na podstawie art. 32 tego rozporządzenia, są odpowiednie;

zgodnie z zasadą autonomii proceduralnej do wewnętrznego porządku prawnego każdego państwa członkowskiego należy określenie dopuszczalnych metod dowodowych i ich mocy dowodowej, w tym środków dowodowych, jakie sądy krajowe mogą lub muszą zarządzić w celu dokonania oceny, czy administrator danych osobowych wdrożył odpowiednie środki w rozumieniu tego rozporządzenia, z poszanowaniem zasad równoważności i skuteczności ustanowionych w prawie Unii;

okoliczność, że naruszenie tego rozporządzenia, które spowodowało daną szkodę, zostało popełnione przez osobę trzecią, nie stanowi sama w sobie podstawy zwolnienia administratora z odpowiedzialności, a w celu skorzystania ze zwolnienia przewidzianego w tym przepisie administrator musi udowodnić, że nie ponosi w żaden sposób winy za naruszenie;

szkoda polegająca na obawie przed potencjalnym nieuczciwym wykorzystaniem w przyszłości jej danych osobowych, której istnienie wykazała osoba, której dane dotyczą, może stanowić szkodę niemajątkową uprawniającą do odszkodowania, pod warunkiem że osoba, której dane dotyczą, wykaże, że poniosła indywidualnie rzeczywistą i pewną szkodę emocjonalną, czego ustalenie należy do sądu krajowego rozpatrującego sprawę w każdym konkretnym przypadku.