|
16.8.2021 |
FI |
Euroopan unionin virallinen lehti |
C 329/12 |
Ennakkoratkaisupyyntö, jonka Varhoven administrativen sad (Bulgaria) on esittänyt 2.6.2021 – VB v. Natsionalna agentsia za prihodite
(Asia C-340/21)
(2021/C 329/16)
Oikeudenkäyntikieli: bulgaria
Ennakkoratkaisua pyytänyt tuomioistuin
Varhoven administrativen sad
Pääasian asianosaiset
Valittaja: VB
Vastapuoli: Natsionalna agentsia za prihodite
Ennakkoratkaisukysymykset
|
1) |
Onko asetuksen 2016/679 (1) 24 ja 32 artiklaa tulkittava siten, että sen toteamiseksi, että toteutetut tekniset ja organisatoriset toimenpiteet eivät ole asianmukaisia, riittää, että asetuksen 2016/679 4 artiklan 12 kohdassa tarkoitettu luvaton henkilötietojen luovuttaminen tai pääsyn antaminen niihin johtuu henkilöistä, jotka eivät ole rekisterinpitäjän palveluksessa eivätkä kuulu sen määräysvaltaan? |
|
2) |
Jos ensimmäiseen kysymykseen vastataan kieltävästi, mikä kohde ja laajuus pitäisi olla tuomioistuimen harjoittamalla laillisuusvalvonnalla tutkittaessa, ovatko rekisterinpitäjän asetuksen 2016/679 32 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet asianmukaisia? |
|
3) |
Jos ensimmäiseen kysymykseen vastataan kieltävästi, onko asetuksen 2016/679 5 artiklan 2 kohdassa ja 24 artiklassa tarkoitettua osoitusvelvollisuuden periaatetta, luettuna yhdessä sen johdanto-osan 74 perustelukappaleen kanssa, tulkittava siten, että asetuksen 2016/679 82 artiklan 1 kohdassa tarkoitetussa kannemenettelyssä rekisterinpitäjällä on todistustaakka siitä, että asetuksen 32 artiklan nojalla toteutetut tekniset ja organisatoriset toimenpiteet ovat asianmukaisia? Voidaanko asiantuntijalausunnon hankkimista pitää tarvittavana ja riittävänä todisteena, jotta voidaan todeta, olivatko rekisterinpitäjän toteuttamat tekniset ja organisatoriset toimenpiteet nyt käsiteltävän kaltaisessa tapauksessa asianmukaisia, kun luvaton pääsy henkilötietoihin ja niiden luvaton luovuttaminen johtuvat ”hakkerointi-iskusta”? |
|
4) |
Onko asetuksen 2016/679 82 artiklan 3 kohtaa tulkittava siten, että se, että asetuksen 2016/679 4 artiklan 12 kohdassa tarkoitettu henkilötietojen luvaton luovuttaminen ja luvaton pääsy henkilötietoihin tapahtuu, kuten tässä tapauksessa, sellaisten henkilöiden suorittamalla ”hakkerointi-iskulla”, jotka eivät ole rekisterinpitäjän palveluksessa eivätkä kuulu sen määräysvaltaan, on seikka, josta rekisterinpitäjä ei ole millään tavalla vastuussa ja joka oikeuttaa sen vapauttamisen vastuusta? |
|
5) |
Onko asetuksen 2016/679 82 artiklan 1 ja 2 kohtaa, luettuna yhdessä sen johdanto-osan 85 ja 146 perustelukappaleen kanssa, tulkittava siten, että nyt käsiteltävän kaltaisessa tapauksessa, jossa henkilötietojen suojan loukkaaminen ilmenee siten, että henkilötietoihin päästään luvattomasti ja niitä luovutetaan ”hakkerointi-iskun” avulla, jo pelkästään asianomaisen henkilön huolet, pelot ja ahdistukset, jotka johtuvat henkilötietojen mahdollisesta tulevasta väärinkäytöstä, kuuluvat laajasti tulkittavan aineettoman vahingon käsitteen soveltamisalaan ja oikeuttavat vahingonkorvaukseen, vaikka tällaista väärinkäyttöä ei ole todettu ja/tai asianomaiselle henkilölle ei ole aiheutunut muita vahinkoja? |
(1) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1).