1.

Úgy kell-e értelmezni az (EU) 2016/679 rendelet (1) 24. és 32. cikkét, hogy annak megállapításához, hogy a meghozott technikai és szervezési intézkedések nem megfelelőek, elegendő, ha a személyes adatoknak az (EU) 2016/679 rendelet 4. cikkének 12. pontja értelmében vett jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés valósul meg olyan személyek közreműködésével, akik nem alkalmazottai az adatkezelő szervezetének, és akik nem állnak az adatkezelő ellenőrzése alatt?

2.

Az első kérdésre adott nemleges válasz esetén, mi a bírósági felülvizsgálat tárgya és terjedelme annak vizsgálata során, hogy megfelelőek-e az adatkezelő által az (EU) 2016/679 rendelet 32. cikke alapján hozott technikai és szervezési intézkedések?

3.

Az első kérdésre adott nemleges válasz esetén úgy kell-e értelmezni az elszámoltathatóság (EU) 2016/679 rendelet (74) preambulumbekezdésével összefüggésben értelmezett 5. cikkének (2) bekezdése és 24. cikke szerinti elvét, hogy az (EU) 2016/679 rendelet 82. cikkének (1) bekezdése szerinti peres eljárás során az adatkezelőt terheli a rendelet 32. cikke alapján hozott technikai és szervezési intézkedések megfelelőségével kapcsolatos bizonyítási teher? Tekinthető-e a szakértői vélemény beszerzése annak megállapításához szükséges és elégséges bizonyítéknak, hogy olyan esetben, mint a jelen ügybeli, az adatkezelő által hozott technikai és szervezési intézkedések megfelelőek voltak-e, ha a személyes adatok jogosulatlan közlését és az azokhoz való jogosulatlan hozzáférést „hackertámadás” eredményezi?

4.

Úgy kell-e értelmezni az (EU) 2016/679 rendelet 82. cikkének (3) bekezdését, hogy – mint a jelen ügyben – a személyes adatoknak olyan személy közreműködésével megvalósuló „hackertámadás” révén az (EU) 2016/679 rendelet 4. cikkének 12. pontja értelmében vett jogosulatlan közlése és az azokhoz való jogosulatlan hozzáférés, akik nem az adatkezelő szervezetének alkalmazottai, és akik nem az adatkezelő ellenőrzése alatt állnak, olyan körülménynek minősül, amelyért az adatkezelőt semmilyen módon nem terheli felelősség, és amely alapján mentesül a felelősség alól?

5.

Úgy kell-e értelmezni az (EU) 2016/679 rendelet (85) és (146) preambulumbekezdésével összefüggésben értelmezett 82. cikkének (1) és (2) bekezdését, hogy a személyes adatokhoz való jogosulatlan hozzáférésként és azok „hackertámadás” révén történő terjesztésével megvalósuló adatvédelmi incidens – olyan esetben, mint a jelen ügybeli – önmagában az érintett személy személyes adatokkal való esetleges jövőbeli visszaéléssel kapcsolatos aggodalma, negatív előérzete, félelme a nem vagyoni kár tágan értelmezendő fogalmába tartozik, és kártérítésre jogosít akkor is, ha az ilyen visszaélést nem állapították meg és/vagy az érintett személyt nem érte további kár?