1)

Ska artiklarna 24 och 32 i förordning (EU) 2016/679 (1) tolkas på så sätt att det är tillräckligt att personer som inte är anställda vid den personuppgiftsansvariga myndigheten och inte står under dennas kontroll har gjort sig skyldiga till obehörigt röjande av eller obehörig åtkomst till personuppgifter i den mening som avses i artikel 4 led 12 i förordning (EU) 2016/679, för att de tekniska och organisatoriska åtgärderna ska anses inte vara lämpliga?

2)

Om fråga 1 besvaras nekande, vad ska vara föremål för domstolens laglighetsprövning och i vilken omfattning ska prövningen göras när domstolen undersöker huruvida de tekniska och organisatoriska åtgärder som den personuppgiftsansvariga myndigheten har vidtagit är lämpliga enligt artikel 32 i förordning (EU) 2016/679?

3)

Om fråga 1 besvaras nekande, ska principen om ansvarsskyldighet enligt artiklarna 5.2 och 24 jämförda med skäl 74 i förordning (EU) 2016/679 tolkas på så sätt att när en talan väcks enligt artikel 82.1 i förordning (EU) 2016/679 har den personuppgiftsansvariga myndigheten bevisbördan för att de tekniska och organisatoriska åtgärder enligt artikel 32 i förordningen som har vidtagits är lämpliga? Kan ett sakkunnigutlåtande anses utgöra nödvändig och tillräcklig bevisning för att fastställa huruvida de tekniska och organisatoriska åtgärder som den personuppgiftsansvariga myndigheten vidtagit varit lämpliga i ett sådant fall som det förevarande, om den obehöriga åtkomsten till och det obehöriga röjandet av personuppgifter är en följd av ett ”it-angrepp”?

4)

Ska artikel 82.3 i förordning (EU) 2016/679 tolkas på så sätt att det obehöriga röjandet av eller den obehöriga åtkomsten till personuppgifter i den mening som avses i artikel 4 led 12 i förordning (EU) 2016/679, så som i förevarande fall genom ett it-angrepp som utförts av personer som inte är anställda vid den personuppgiftsansvariga myndigheten, utgör en omständighet för vilken den personuppgiftsansvariga myndigheten inte på något sätt är ansvarig och vilken gör det möjligt att undanta denna från ersättningsansvar.

5)

Ska artikel 82.1 och 82.2 jämförd med skälen 85 och 146 i förordning (EU) 2016/679 tolkas på så sätt att, i ett sådant fall som det förevarande där det skett en kränkning av skyddet av personuppgifter, vilken tar sig uttryck i obehörig åtkomst till och spridning av personuppgifter genom ett it-angrepp, enbart den berörda personens oro, farhågor och rädsla för att personuppgifter kan missbrukas i framtiden omfattas av begreppet immateriell skada, vilket ska tolkas extensivt och därmed ger rätt till skadeersättning, om sådant missbruk inte har fastställts och/eller ingen ytterligare skada har åsamkats den berörda personen?