Opinia rzecznika generalnego Pitruzzella przedstawiona w dniu 27 kwietnia 2023 r., sygn. C-340/21

Wydanie tymczasowe

OPINIA RZECZNIKA GENERALNEGO

GIOVANNIEGO PITRUZZELLI

przedstawiona w dniu 27 kwietnia 2023 r.(1)

Sprawa C‑340/21

VB

przeciwko

Nacionałna agencija za prichodite

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Wyrchowen administrativen syd (najwyższy sąd administracyjny, Bułgaria)]

Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Odpowiedzialność administratora – Bezpieczeństwo przetwarzania – Naruszenie bezpieczeństwa przetwarzania danych osobowych – Szkoda niemajątkowa spowodowana bezczynnością administratora – Powództwo o odszkodowanie

Czy niezgodne z prawem ujawnienie danych osobowych będących w posiadaniu agencji publicznej, które zostało spowodowane atakiem hakerskim, może stanowić podstawę odszkodowania za szkodę niemajątkową na rzecz osoby, której dane dotyczą, tylko z tego powodu, że obawia się ona ewentualnego nieuczciwego wykorzystania jej danych w przyszłości? Jakie są kryteria przypisania odpowiedzialności administratorowi? W jaki sposób rozkłada się ciężar dowodu w postępowaniu? Jaki jest zakres kontroli sądu?

I. Ramy prawne

1. Artykuł 4 rozporządzenia 2016/679(2) (zwanego dalej „rozporządzeniem”), zatytułowany „Definicje”, stanowi:

„Na użytek niniejszego rozporządzenia:

[…]

(12) »naruszenie ochrony danych osobowych« oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

[…]”.

2. Artykuł 5, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi:

„1. Dane osobowe muszą być:

[…]

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«).