Wyrok Trybunału (trzecia izba) z dnia 14 grudnia 2023 r. VB przeciwko Natsionalna agentsia za prihodite., sygn. C-340/21

Artykuły 24 i 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)należy interpretować w ten sposób, że:nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych przez „osoby trzecie” w rozumieniu art. 4 pkt 10 tego rozporządzenia nie wystarczają same w sobie do uznania, iż wdrożone przez danego administratora środki techniczne i organizacyjne nie były „odpowiednie” w rozumieniu tych art. 24 i 32.Artykuł 32 rozporządzenia 2016/679należy interpretować w ten sposób, że:oceny, czy środki techniczne i organizacyjne wdrożone przez administratora na podstawie tego artykułu mają odpowiedni charakter, sądy krajowe powinny dokonywać w sposób konkretny, w szczególności uwzględniając ryzyko związane z danym przetwarzaniem oraz ustalając, czy charakter, istota i wdrożenie tych środków są dostosowane do tego ryzyka.Zasadę rozliczalności administratora wyrażoną w art. 5 ust. 2 rozporządzenia 2016/679 i skonkretyzowaną w jego art. 24należy interpretować w ten sposób, że:w ramach powództwa o odszkodowanie opartego na art. 82 tego rozporządzenia na danym administratorze spoczywa ciężar udowodnienia, że środki bezpieczeństwa, które wdrożył na podstawie art. 32 tego rozporządzenia, mają odpowiedni charakter.Artykuł 32 rozporządzenia 2016/679 i zasadę skuteczności prawa Uniinależy interpretować w ten sposób, że:na potrzeby oceny, czy środki bezpieczeństwa wdrożone przez administratora na podstawie tego artykułu mają odpowiedni charakter, opinia biegłego sądowego nie może systematycznie stanowić niezbędnego i wystarczającego środka dowodowego.Artykuł 82 ust. 3 rozporządzenia 2016/679należy interpretować w ten sposób, że:administrator nie jest na podstawie art. 82 ust. 1 i 2 tego rozporządzenia zwolniony z obowiązku naprawienia poniesionej przez daną osobę szkody z tego tylko powodu, iż szkoda ta wynika z nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do takich danych przez „osoby trzecie” w rozumieniu art. 4 pkt 10 tego rozporządzenia, przy czym ów administrator musi udowodnić, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.Artykuł 82 ust. 1 rozporządzenia 2016/679należy interpretować w ten sposób, że:obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu.