This document is an excerpt from the EUR-Lex website
Document 62021CN0340
Case C-340/21: Request for a preliminary ruling from the Varhoven administrativen sad (Bulgaria) lodged on 2 June 2021 — VB v Natsionalna agentsia za prihodite
Zadeva C-340/21: Predlog za sprejetje predhodne odločbe, ki ga je vložilo Varhoven administrativen sad (Bolgarija) 2. junija 2021 – VB/Natsionalna agentsia za prihodite
Zadeva C-340/21: Predlog za sprejetje predhodne odločbe, ki ga je vložilo Varhoven administrativen sad (Bolgarija) 2. junija 2021 – VB/Natsionalna agentsia za prihodite
UL C 329, 16.8.2021, p. 12–13
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
16.8.2021 |
SL |
Uradni list Evropske unije |
C 329/12 |
Predlog za sprejetje predhodne odločbe, ki ga je vložilo Varhoven administrativen sad (Bolgarija) 2. junija 2021 – VB/Natsionalna agentsia za prihodite
(Zadeva C-340/21)
(2021/C 329/16)
Jezik postopka: bolgarščina
Predložitveno sodišče
Varhoven administrativen sad
Stranki v postopku v glavni stvari
Vlagateljica kasacijske pritožbe: VB
Nasprotna stranka: Natsionalna agentsia za prihodite
Vprašanja za predhodno odločanje
|
1. |
Ali je treba člena 24 in 32 Uredbe (EU) 2016/679 (1) razlagati tako, da za stališče, da sprejeti tehnični in organizacijski ukrepi niso ustrezni, zadostuje, če so v smislu člena 4, točka 12, Uredbe (EU) 2016/679 osebne podatke nepooblaščeno razkrile ali do njih dostopale osebe, ki niso uslužbenke uprave upravljavca in niso pod njegovim nadzorom? |
|
2. |
Če je odgovor na prvo vprašanje nikalen, kakšna bi morala biti predmet in obseg sodnega nadzora zakonitosti pri preverjanju, ali so tehnični in organizacijski ukrepi, ki jih je sprejel upravljavec, na podlagi člena 32 Uredbe (EU) 2016/679 ustrezni? |
|
3. |
Če je odgovor na prvo vprašanje nikalen, ali je treba načelo odgovornosti na podlagi člena 5(2) in člena 24 v povezavi z uvodno izjavo 74 Uredbe (EU) 2016/679 razlagati tako, da v tožbenem postopku na podlagi člena 82(1) Uredbe (EU) 2016/679 dokazno breme za to, da so sprejeti tehnični in organizacijski ukrepi na podlagi člena 32 Uredbe ustrezni, nosi upravljavec? Ali je mogoče pridobitev izvedenskega mnenja šteti za potreben in zadosten dokaz za ugotovitev, ali so bili tehnični in organizacijski ukrepi, ki jih je sprejel upravljavec, v primeru, kot je obravnavani, ustrezni, če sta nepooblaščen dostop do in nepooblaščeno razkritje osebnih podatkov posledica „hekerskega napada“? |
|
4. |
Ali je treba člen 82(3) Uredbe (EU) 2016/679 razlagati tako, da gre pri nepooblaščenem razkritju ali dostopu do osebnih podatkov v smislu člena 4, točka 12, Uredbe (EU) 2016/679, do katerega pride, kot v obravnavanem primeru, s „hekerskim napadom“ oseb, ki niso uslužbenke uprave upravljavca in niso pod njegovim nadzorom, za dogodek, za katerega upravljavec nikakor ni odgovoren in zaradi katerega ga je upravičeno izvzeti od odgovornosti? |
|
5. |
Ali je treba člen 82(1) in (2) v povezavi z uvodnima izjavama 85 in 146 Uredbe (EU) 2016/679 razlagati tako, da v primeru, kot je obravnavani primer, v katerem gre za kršitev varstva osebnih podatkov, ki se kaže v nepooblaščenem dostopu do in širjenju osebnih podatkov s „hekerskim napadom“, že skrbi, bojazni in strahovi pred možno zlorabo osebnih podatkov v prihodnosti, ki jih ima posameznik, na katerega se nanašajo osebni podatki, spadajo pod pojem nepremoženjske škode, ki ga je treba razlagati široko, in so podlaga za odškodnino, če taka zloraba ni bila ugotovljena in/ali posamezniku, na katerega se nanašajo osebni podatki, ni nastala nobena druga škoda? |
(1) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1).