1)

Articolele 24 și 32 din Regulamentul (UE) 2016/679 (1) trebuie interpretate în sensul că este suficient ca divulgarea neautorizată a datelor cu caracter personal, respectiv accesul neautorizat la acestea, în sensul articolului 4 punctul 12 din Regulamentul (UE) 2016/679, să fi fost efectuate de persoane care nu fac parte din personalul administrației operatorului și care nu sunt supuse controlului acestuia pentru a se considera că măsurile tehnice și organizatorice implementate nu sunt adecvate?

2)

În cazul unui răspuns negativ la prima întrebare, care trebuie să fie obiectul și întinderea controlului jurisdicțional al legalității în examinarea aspectului dacă măsurile tehnice și organizatorice implementate de operator sunt adecvate în temeiul articolului 32 din Regulamentul (UE) 2016/679?

3)

În cazul unui răspuns negativ la prima întrebare, principiul responsabilității prevăzut la articolul 5 alineatul (2) și la articolul 24 din Regulamentul (UE) 2016/679 coroborate cu considerentul (74) al acestuia trebuie interpretat în sensul că, în cadrul acțiunii formulate în temeiul articolului 82 alineatul (1) din Regulamentul (UE) 2016/679, operatorului îi revine sarcina de a dovedi că măsurile tehnice și organizatorice implementate sunt adecvate în temeiul articolului 32 din acest regulament? Obținerea unui raport de expertiză poate fi considerată un mijloc de probă necesar și suficient pentru a se stabili dacă măsurile tehnice și organizatorice implementate de operator au fost adecvate într-un caz precum cel din speță, în care accesul neautorizat la datele cu caracter personal și divulgarea neautorizată a acestora sunt consecința unui „atac cibernetic”?

4)

Articolul 82 alineatul (3) din Regulamentul (UE) 2016/679 trebuie interpretat în sensul că divulgarea neautorizată a datelor cu caracter personal sau accesul neautorizat la acestea, în sensul articolului 4 punctul 12 din Regulamentul (UE) 2016/679, astfel cum este cazul în speță, prin intermediul unui „atac cibernetic” efectuat de persoane care nu fac parte din personalul administrației operatorului și care nu sunt supuse controlului acestuia constituie o împrejurare pentru care operatorul nu este deloc răspunzător și care permite exonerarea de răspundere?

5)

Articolul 82 alineatele (1) și (2) din Regulamentul (UE) 2016/679 coroborat cu considerentele (85) și (146) ale acestuia trebuie să fie interpretat în sensul că, într-un caz precum cel din speță, de atingere adusă protecției datelor cu caracter personal constând în accesul neautorizat la date cu caracter personal și în divulgarea acestora prin intermediul unui „atac cibernetic”, sub incidența noțiunii de prejudiciu moral interpretate în sens larg intră, singure, îngrijorările, temerile și stările de anxietate suferite de persoana vizată cu privire la o posibilă utilizare abuzivă în viitor a datelor cu caracter personal și dau acestea dreptul la despăgubiri, atunci când o asemenea utilizare abuzivă nu a fost constatată și/sau persoana vizată nu a suferit niciun alt prejudiciu?