Návrh na začatie prejudiciálneho konania, ktorý podal Vărchoven administrativen săd (Bulharsko) 2. júna 2021 – VB/Nacionalna agencija za prichodite

(Vec C-340/21)

(2021/C 329/16)

Jazyk konania: bulharčina

Vnútroštátny súd, ktorý podal návrh na začatie prejudiciálneho konania

Vărchoven administrativen săd

Účastníci konania pred vnútroštátnym súdom

Navrhovateľka v konaní o kasačnom opravnom prostriedku: VB

Odporkyňa v konaní o kasačnom opravnom prostriedku: Nacionalna agencija za prichodite

Prejudiciálne otázky

Majú sa články 24 a 32 nariadenia (EÚ) 2016/679 (1) vykladať v tom zmysle, že na to, aby sa dalo usúdiť, že prijaté technické a organizačné opatrenia nie sú vhodné, postačuje, že došlo k neoprávnenému poskytnutiu osobných údajov resp. neoprávnenému prístupu k nim v zmysle článku 4 bodu 12 nariadenia (EÚ) 2016/679 osobami, ktoré nie sú úradníkmi administratívy prevádzkovateľa a nepodliehajú jeho kontrole?

2.	V prípade zápornej odpovede na prvú otázku: Aký predmet a rozsah by mala mať súdna kontrola zákonnosti pri skúmaní, či sú technické a organizačné opatrenia prijaté prevádzkovateľom primerané podľa článku 32 nariadenia (EÚ) 2016/679?

V prípade zápornej odpovede na prvú otázku: Má sa zásada zodpovednosti podľa článku 5 ods. 2 a článku 24 v spojení s odôvodnením 74 nariadenia (EÚ) 2016/679 vykladať v tom zmysle, že v konaní o žalobe podľa článku 82 ods.1 nariadenia (EÚ) 2016/679 prevádzkovateľ nesie dôkazné bremeno ohľadom toho, že prijaté technické a organizačné opatrenia podľa článku 32 nariadenia sú primerané? Je možné považovať vypracovanie znaleckého posudku za nevyhnutný a dostatočný dôkazný prostriedok na účely zistenia, či v prípade ako je tento, boli technické a organizačné opatrenia prijaté prevádzkovateľom primerané, ak neoprávnený prístup k osobným údajom a neoprávnené poskytnutie osobných údajov je dôsledkom „hackerského útoku“?

Má sa článok 82 ods. 3 nariadenia (EÚ) 2016/679 vykladať v tom zmysle, že neoprávnené poskytnutie osobných údajov alebo neoprávnený prístup k nim v zmysle článku 4 bodu 12 nariadenia (EÚ) 2016/679 – v tomto prípade prostredníctvom „hackerského útoku“ spáchaného osobami, ktoré nie sú úradníkmi administratívy prevádzkovateľa a nepodliehajú jeho kontrole – predstavuje udalosť, za ktorú prevádzkovateľ nenesie žiadnu zodpovednosť a ktorá je základom pre zbavenie zodpovednosti?

Má sa článok 82 ods. 1 a 2 v spojení s odôvodneniami 85 a 146 nariadenia (EÚ) 2016/679 vykladať v tom zmysle, že v prípade porušenia bezpečnosti osobných údajov, o aký ide vo veci samej, ku ktorému dôjde formou neoprávneného prístupu a šírenia osobných údajov prostredníctvom „hackerského útoku“, pod pojem nemajetkovej ujmy, ktorý sa má vykladať extenzívne, spadajú a na náhradu škody oprávňujú iba starosti, obavy a strach dotknutej osoby pred možným budúcim zneužitím osobných údajov, ak také zneužitie nebolo zistené a/alebo dotknutej osobe nevznikla žiadna ďalšia škoda?

(1) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1).