Privremena verzija

PRESUDA SUDA (treće vijeće)

14. prosinca 2023.(*)

„Zahtjev za prethodnu odluku – Zaštita fizičkih osoba u vezi s obradom osobnih podataka – Uredba (EU) br. 2016/679 – Članak 5. – Načela obrade – Članak 24. – Obveze voditelja obrade – Članak 32. – Mjere koje se provode radi jamstva sigurnosti obrade – Ocjena odgovarajuće prirode takvih mjera – Doseg sudskog nadzora – Izvođenje dokaza – Članak 82. – Pravo na naknadu štete i odgovornost – Eventualno oslobođenje od odgovornosti voditelja obrade u slučaju povrede koju je počinila treća strana – Zahtjev za naknadu nematerijalne štete koji se temelji na bojazni od moguće zlouporabe osobnih podataka”

U predmetu C-340/21,

povodom zahtjeva za prethodnu odluku na temelju članka 267. UFEU-a, koji je uputio Varhoven administrativen sad (Vrhovni upravni sud, Bugarska), odlukom od 14. svibnja 2021., koju je Sud zaprimio 2. lipnja 2021., u postupku

VB

protiv

Nacionalna agencija za prihodite,

SUD (treće vijeće),

u sastavu: K. Jürimäe, predsjednica vijeća, N. Piçarra, M. Safjan, N. Jääskinen (izvjestitelj) i M. Gavalec, suci,

nezavisni odvjetnik: G. Pitruzzella,

tajnik: A. Calot Escobar,

uzimajući u obzir pisani postupak,

uzimajući u obzir očitovanja koja su podnijeli:

–        za Nacionalnu agenciju za prihodite, R. Specov,

–        za bugarsku vladu, M. Georgieva i L. Zaharieva, u svojstvu agenata,

–        za češku vladu, O. Serdula, M. Smolek i J. Vláčil, u svojstvu agenata,

–        za Irsku, M. Browne, Chief State Solicitor, A. Joyce, J. Quaney i M. Tierney, u svojstvu agenata, uz asistenciju D. Fennelly, BL,

–        za talijansku vladu, G. Palmieri, u svojstvu agenta, uz asistenciju E. De Bonisa, avvocato dello Stato,

–        za portugalsku vladu, P. Barros da Costa, A. Pimenta, J. Ramos i C. Vieira Guerra, u svojstvu agenata,

–        za Europsku komisiju, A. Bouchagiar, H. Kranenborg i N. Nikolova, u svojstvu agenata,

saslušavši mišljenje nezavisnog odvjetnika na raspravi održanoj 27. travnja 2023.,

donosi sljedeću

Presudu

1        Zahtjev za prethodnu odluku odnosi se na tumačenje članka 5. stavka 2., članaka 24. i 32. i članka 82. stavaka 1. do 3. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL 2016., L 119, str. 1. i ispravci SL 2018., L 127, str. 2. i SL 2021., L 74, str. 35.) (u daljnjem tekstu: OUZP).

2        Zahtjev je upućen u okviru spora između osobe VB, pojedinca, i Nacionalne agencije za prihodite (Nacionalna agencija za javne prihode, Bugarska) (u daljnjem tekstu: NAP) u pogledu naknade nematerijalne štete koju je navedena osoba navodno pretrpjela jer to tijelo navodno nije postupilo u skladu sa zakonskim obvezama koje je imalo kao voditelj obrade osobnih podataka.

 Pravni okvir

3        Uvodne izjave 4., 10., 11., 74., 76., 83., 85. i 146. OUZP-a glase kako slijedi:

„(4)      [...] Ovom se Uredbom poštuju sva temeljna prava i uvažavaju slobode i načela priznata [Poveljom Europske unije o temeljnim pravima] koja su sadržana u Ugovorima, osobito poštovanje privatnog i obiteljskog života, doma i komuniciranja, zaštita osobnih podataka, [...] pravo na učinkoviti pravni lijek i pošteno suđenje [...]

[...]

(10)      Kako bi se osigurala postojana i visoka razina zaštite pojedinaca te uklonile prepreke protoku osobnih podataka unutar [Europske] unije, razina zaštite prava i sloboda pojedinaca u vezi s obradom takvih podataka trebala bi biti jednaka u svim državama članicama. U čitavoj Uniji trebalo bi osigurati postojanu i homogenu primjenu pravila za zaštitu temeljnih prava i sloboda pojedinaca u vezi s obradom osobnih podataka. [...]

(11)      Djelotvorna zaštita osobnih podataka širom Unije zahtijeva jačanje i detaljno određivanje prava ispitanika i obveza onih koji obrađuju i određuju obradu osobnih podataka. [...]

[...]

(74)      Trebalo bi uspostaviti dužnosti i odgovornosti voditelja obrade za svaku obradu osobnih podataka koju provede s[a]m voditelj obrade ili netko drugi u ime voditelja obrade. Osobito, voditelj obrade trebao bi imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati usklađenost aktivnosti obrade s ovom Uredbom uključujući i djelotvornost mjera. Tim bi mjerama u obzir trebalo uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca.

[...]

(76)      Vjerojatnost i ozbiljnost rizika za prava i slobode ispitanika trebala bi se određivati s obzirom na prirodu, opseg, kontekst i svrhe obrade. Rizik bi trebalo procjenjivati na temelju objektivne procjene kojom se utvrđuje uključuju li postupci obrade podataka rizik ili visoki rizik.

[...]

(83)      Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Uredba, voditelj obrade ili izvršitelj obrade trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi. Prilikom procjene rizika za sigurnost podataka u obzir bi trebalo uzeti rizike koje predstavlja obrada osobnih podataka poput slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog odavanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što osobito može dovesti do fizičke, materijalne ili nematerijalne štete.

[...]

(85)      Ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima, kao što su gubitak nadzora nad osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prijevara, financijski gubici, neovlašteni obrnuti postupak pseudonimizacije, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom ili bilo koju drugu ekonomsku ili društvenu štetu za dotičnog pojedinca. Stoga, čim voditelj obrade primijeti da je došlo do povrede osobnih podataka, trebao bi o tome izvijestiti nadležno nadzorno tijelo bez nepotrebnog odgađanja [...]

[...]

(146)      Voditelj obrade ili izvršitelj obrade trebao bi nadoknaditi svaku štetu koju osoba može pretrpjeti zbog obrade kojom se krši ova Uredba. Voditelj obrade ili izvršitelj obrade trebao bi biti izuzet od odgovornosti ako dokaže da nije ni na koji način odgovoran za štetu. Pojam štete trebalo bi široko tumačiti s obzirom na sudsku praksu Suda tako da se u potpunosti odražavaju ciljevi ove Uredbe. Time se ne dovode u pitanje zahtjevi za naknadu štete koja proizlazi iz kršenja drugih pravila prava Unije ili prava države članice. Obrada kojom se krši ova Uredba također uključuje obradu kojom se krše delegirani i provedbeni akti doneseni u skladu s ovom Uredbom i pravom države članice kojim se razrađuju pravila ove Uredbe. Ispitanici bi trebali dobiti potpunu i učinkovitu naknadu za štetu koju su pretrpjeli. [...]”

4        Članak 4. te uredbe, naslovljen „Definicije”, određuje:

„Za potrebe ove uredbe:

1. ‚osobni podaci’ znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (‚ispitanik’); [...]

2.      ‚obrada’ znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka [...]

[...]

7.      ‚voditelj obrade’ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; [...]

[...]

10.      ‚treća strana’ znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

[...]

12.      ‚povreda osobnih podataka’ znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

[...]”

5        Članak 5. navedene uredbe, naslovljen „Načela obrade osobnih podataka”, predviđa:

„1.      Osobni podaci moraju biti:

(a)      zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (‚zakonitost, poštenost i transparentnost’);

[...]

(f)      obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (‚cjelovitost i povjerljivost’);

2.      Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora biti u mogućnosti dokazati (‚pouzdanost’).”

6        U skladu s člankom 24. te uredbe, naslovljenim „Obveze voditelja obrade”:

„1.      Uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom. Te se mjere prema potrebi preispituju i ažuriraju.

2.      Ako su razmjerne u odnosu na aktivnosti obrade, mjere iz stavka 1. uključuju provedbu odgovarajućih politika zaštite podataka od strane voditelja obrade.

3.      Poštovanje odobrenih kodeksa ponašanja iz članka 40. ili odobrenih mehanizama certificiranja iz članka 42. može se iskoristiti kao element za dokazivanje sukladnosti s obvezama voditelja obrade.”

7        Članak 32. OUZP-a, naslovljen „Sigurnost obrade”, predviđa:

„1.      Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:

(a)      pseudonimizaciju i enkripciju osobnih podataka;

(b)      sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;

(c)      sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;

(d)      proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.

2.      Prilikom procjene odgovarajuće razine sigurnosti u obzir se posebno uzimaju rizici koje predstavlja obrada, posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

3.      Poštovanje odobrenog kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavka 1. ovog članka.

[...]”

8        Članak 79. te uredbe, naslovljen „Pravo na učinkoviti sudski pravni lijek protiv voditelja obrade ili izvršitelja obrade”, u stavku 1. određuje:

„Ne dovodeći u pitanje nijedan dostupan upravni ili izvansudski pravni lijek, uključujući pravo na podnošenje pritužbe nadzornom tijelu na temelju članka 77., ispitanik ima pravo na učinkoviti sudski pravni lijek ako smatra da su mu zbog obrade njegovih osobnih podataka protivno ovoj Uredbi prekršena njegova prava iz ove Uredbe.”

9        Članak 82. navedene uredbe, naslovljen „Pravo na naknadu štete i odgovornost”, u stavcima 1. do 3. predviđa:

„1.      Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu.

2.      Svaki voditelj obrade koji je uključen u obradu odgovoran je za štetu prouzročenu obradom kojom se krši ova Uredba. [...]

3.      Voditelj obrade ili izvršitelj obrade izuzet je od odgovornosti na temelju stavka 2. ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu.”

 Glavni postupak i prethodna pitanja

10      NAP je tijelo koje djeluje u okviru bugarskog ministarstva financija. U sklopu svojih zadaća, koje se, među ostalim, sastoje u identifikaciji, sekuritizaciji i naplati javnih tražbina, ono je odgovorno za obradu osobnih podataka u smislu članka 4. točke 7. OUZP-a.

11      Dana 15. srpnja 2019. mediji su otkrili da je došlo do neovlaštenog pristupa NAP-ovu informatičkom sustavu i da su nakon tog kibernapada na internetu objavljeni osobni podaci sadržani u navedenom sustavu.

12      Bila je riječ o osobnim podacima šest milijuna pojedinaca, kako bugarskih državljana tako i stranaca. Nekoliko stotina njih, među kojima i žalitelj iz glavnog postupka, podnijelo je tužbe protiv NAP-a radi naknade nematerijalne štete koja je navodno nastala otkrivanjem njihovih osobnih podataka.

13      U tom je kontekstu žalitelj iz glavnog postupka Administrativenom sadu Sofija-grad (Upravni sud u Sofiji, Bugarska) podnio tužbu kojom je zahtijevao da mu NAP isplati iznos od 1 000 bugarskih leva (BGN) (oko 510 eura) na ime naknade štete na temelju članka 82. OUZP-a i odredaba bugarskog prava. U potporu tom zahtjevu tvrdio je da je pretrpio nematerijalnu štetu proizišlu iz povrede osobnih podataka u smislu članka 4. točke 12. OUZP-a, konkretnije povredu sigurnosti uzrokovanu time što je NAP povrijedio obveze koje ima na temelju, osobito, članka 5. stavka 1. točke (f) i članaka 24. i 32. te uredbe. Žaliteljeva se nematerijalna šteta sastojala u bojazni da će njegovi osobni podaci, objavljeni bez njegove privole, biti zloupotrijebljeni u budućnosti ili da će on sam biti ucijenjen, napadnut ili čak otet.

14      U odgovoru na tužbu, NAP najprije ističe da žalitelj iz glavnog postupka od njega nije zatražio informacije o konkretnim podacima koji su otkriveni. Nadalje, NAP je podnio dokumente kojima želi dokazati da je odmah poduzeo sve potrebne mjere kako bi spriječio povredu osobnih podataka sadržanih u njegovu informatičkom sustavu te da je zatim poduzeo sve potrebne mjere kako bi ograničio učinke te povrede i smirio građane. Usto, prema NAP-ovu mišljenju, nije postojala uzročna veza između navodne nematerijalne štete i navedene povrede. Naposljetku, on je istaknuo da ga se, budući da su ga samoga zlonamjerno napale osobe koje nisu njegovi zaposlenici, ne može smatrati odgovornim za štetne posljedice tog napada.

15      Odlukom od 27. studenoga 2020. Administrativen sad Sofija-grad (Upravni sud u Sofiji) odbio je tužbu žalitelja iz glavnog postupka. Taj je sud smatrao, s jedne strane, da je neovlašteni pristup NAP-ovoj bazi osobnih podataka bio posljedica hakerskog informatičkog napada koji je počinila treća strana i, s druge strane, da žalitelj iz glavnog postupka nije dokazao NAP-ov propust u pogledu donošenja sigurnosnih mjera. Usto, on je smatrao da taj žalitelj nije pretrpio nematerijalnu štetu na temelju koje bi imao pravo na naknadu.

16      Žalitelj iz glavnog postupka podnio je kasacijsku žalbu protiv navedene odluke Varhovenom administrativenom sadu (Vrhovni upravni sud, Bugarska), sudu koji je uputio zahtjev u ovom predmetu. U potporu svojoj žalbi on tvrdi da je prvostupanjski sud počinio pogrešku koja se tiče prava prilikom raspodjele tereta dokazivanja u pogledu sigurnosnih mjera koje je poduzeo NAP i da to tijelo nije dokazalo da nije počinilo propust u pogledu tih mjera. Usto, žalitelj iz glavnog postupka tvrdi da bojazan od mogućih budućih zlouporaba njegovih osobnih podataka predstavlja nematerijalnu štetu koja je stvarna, a ne hipotetska. U odgovoru na tužbu NAP osporava sve te argumente.

17      Najprije, sud koji je uputio zahtjev razmatra mogućnost da se na temelju samog utvrđenja nastanka povrede osobnih podataka može zaključiti da mjere koje je proveo voditelj obrade tih podataka nisu bile „odgovarajuće” u smislu članaka 24. i 32. OUZP-a.

18      Međutim, ako bi to utvrđenje bilo nedostatno za takav zaključak, on dvoji, s jedne strane, o dosegu nadzora koji nacionalni sudovi moraju provesti kako bi ocijenili jesu li mjere o kojima je riječ odgovarajuće i, s druge strane, o pravilima o izvođenju dokaza koja se moraju primijeniti u tom slučaju, kako na teret dokazivanja tako i na dokazna sredstva, osobito ako su tim sudovima podnesene tužbe za naknadu štete koje se temelje na članku 82. te uredbe.

19      Nadalje, taj sud želi saznati predstavlja li, s obzirom na članak 82. stavak 3. navedene uredbe, činjenica da je povreda osobnih podataka posljedica radnje koju je počinila treća strana, u predmetnom slučaju kibernapada, čimbenik koji sustavno oslobađa voditelja obrade tih podataka njegove odgovornosti za štetu prouzročenu ispitaniku.

20      Naposljetku, navedeni se sud pita može li sama bojazan koju osoba osjeća u pogledu toga da njezini osobni podaci mogu biti zloupotrijebljeni u budućnosti, u predmetnom slučaju nakon neovlaštenog pristupa tim podacima i da ih kiberkriminalci mogu otkriti, predstavljati „nematerijalnu štetu” u smislu članka 82. stavka 1. OUZP-a. Ako može, ta osoba mora dokazati da je, prije nego što je ona podnijela zahtjev za naknadu štete, treća strana nezakonito upotrijebila te podatke, poput toga da joj je ukrala identitet.

21      U tim je okolnostima Varhoven administrativen sad (Vrhovni upravni sud) odlučio prekinuti postupak i uputiti Sudu sljedeća prethodna pitanja:

„1.      Treba li članak 24. i članak 32. [OUZP-a] tumačiti na način da je za pretpostavku da poduzete tehničke i organizacijske mjere nisu odgovarajuće dovoljno ako neovlašteno otkrivanje osobnih podataka ili neovlašteni pristup osobnim podacima u smislu članka 4. točke 12. [OUZP-a] počine osobe koje nisu osoblje uprave voditelja obrade i koje ne podliježu njegovoj kontroli?

2.      U slučaju niječnog odgovora na prvo pitanje, koji bi predmet i opseg trebao imati sudski nadzor zakonitosti prilikom ispitivanja jesu li tehničke i organizacijske mjere koje je voditelj obrade proveo u skladu s člankom 32. [OUZP-a] odgovarajuće?

3.      U slučaju niječnog odgovora na prvo pitanje, treba li načelo pouzdanosti u skladu s člankom 5. stavkom 2. i člankom 24. u vezi s uvodnom izjavom 74. [OUZP-a] tumačiti na način da je u sudskom postupku u skladu s člankom 82. stavkom 1. [OUZP-a] na voditelju obrade teret dokaza da su u skladu s člankom 32. [te uredbe] provedene tehničke i organizacijske mjere odgovarajuće?

Može li se pribavljanje nalaza i mišljenja vještaka smatrati potrebnim i dostatnim dokazom za utvrđenje toga jesu li tehničke i organizacijske mjere koje je proveo voditelj obrade bile odgovarajuće u slučaju poput onog o kojem je riječ u ovom predmetu ako su neovlašteni pristup osobnim podacima i neovlašteno otkrivanje osobnih podataka posljedica ‚hakerskog napada’?

4.      Treba li članak 82. stavak 3. [OUZP-a] tumačiti na način da neovlašteno otkrivanje osobnih podataka ili neovlašteni pristup osobnim podacima u smislu članka 4. točke 12. [OUZP-a] kao u ovom predmetu, uslijed ‚hakerskog napada’ koji su počinile osobe koje nisu osoblje uprave voditelja obrade i ne podliježu njegovoj kontroli, predstavlja događaj za koji voditelj obrade ni u kojem pogledu nije odgovoran i koji daje pravo na izuzimanje od odgovornosti?

5.      Treba li članak 82. stavke 1. i 2. u vezi s uvodnim izjavama 85. i 146. [OUZP-a] tumačiti na način da su u slučaju poput onog o kojem je riječ u ovom predmetu u kojem postoji povreda osobnih podataka, koja se ogleda u neovlaštenom pristupu osobnim podacima i širenju osobnih podataka uslijed ‚hakerskog napada’, zabrinutost, bojazan i strahovi koje je ispitanik pretrpio zbog moguće buduće zlouporabe osobnih podataka već sami po sebi obuhvaćeni pojmom nematerijalne štete koji se treba široko tumačiti i daju pravo na naknadu štete, ako takva zlouporaba nije utvrđena i/ili tom ispitaniku nije nastala nikakva daljnja šteta?”

 O prethodnim pitanjima

 O prvom pitanju

22      Svojim se prvim pitanjem sud koji je uputio zahtjev u biti pita o tome treba li članke 24. i 32. OUZP-a tumačiti na način da su same činjenice da je „treća strana”, u smislu članka 4. točke 10. te uredbe, neovlašteno otkrila osobne podatke ili im je neovlašteno pristupila dostatne za zaključak da tehničke i organizacijske mjere koje je proveo voditelj obrade o kojem je riječ nisu bile „odgovarajuće” u smislu tih članaka 24. i 32.

23      Najprije, valja podsjetiti na to da u skladu s ustaljenom sudskom praksom pojmovi iz odredbe prava Unije koja, poput članaka 24. i 32. OUZP-a, ne sadržava nikakvo izričito upućivanje na pravo država članica radi utvrđivanja svojeg smisla i dosega u pravilu moraju u cijeloj Uniji imati autonomno i ujednačeno tumačenje do kojeg treba doći, uzimajući u obzir, među ostalim, tekst odredbe o kojoj je riječ, ciljeve koji se njome nastoje postići i kontekst u kojem se ona nalazi (vidjeti u tom smislu presude od 18. siječnja 1984., Ekro, 327/82, EU:C:1984:11, t. 11.; od 1. listopada 2019., Planet49, C-673/17, EU:C:2019:801, t. 47. i 48. i od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka), C-300/21, EU:C:2023:370, t. 29.).

24      Kao prvo, kad je riječ o tekstu relevantnih odredbi, valja podsjetiti na to da članak 24. OUZP-a predviđa opću obvezu voditelja obrade osobnih podataka da provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se navedena obrada provodi u skladu s tom uredbom.

25      U tu svrhu u stavku 1. članka 24. navedeni su određeni kriteriji koje valja uzeti u obzir radi ocjene toga jesu li takve mjere odgovarajuće, a to su priroda, opseg, kontekst i svrhe obrade, kao i rizici različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca. U toj je odredbi navedeno i to da se navedene mjere prema potrebi preispituju i ažuriraju.

26      U tom su kontekstu u članku 32. OUZP-a pobliže određene obveze voditelja obrade i eventualnog izvršitelja obrade kad je riječ o njezinoj sigurnosti. Tako je u stavku 1. tog članka navedeno da potonji moraju provesti odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizike navedene u prethodnoj točki ove presude, uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade o kojoj je riječ.

27      Isto tako, u stavku 2. navedenog članka navedeno je da se prilikom procjene odgovarajuće razine sigurnosti u obzir posebno uzimaju rizici koje predstavlja obrada, posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

28      Usto, kako u članku 24. stavku 3. te uredbe tako i u njezinu članku 32. stavku 3. navedeno je da voditelj obrade ili izvršitelj obrade može dokazati da je poštovao zahtjeve iz stavaka 1. tih članaka tako da se osloni na činjenicu da poštuje odobren kodeks ponašanja ili odobren mehanizam certificiranja, kako je predviđeno člancima 40. i 42. navedene uredbe.

29      Upućivanje, sadržano u članku 32. stavcima 1. i 2. OUZP-a, na „odgovarajuću razinu sigurnosti s obzirom na rizik” i na „odgovarajuću razinu sigurnosti” svjedoči o tomu da ta uredba uvodi sustav upravljanja rizicima i da ni na koji način ne nastoji ukloniti rizike od povreda osobnih podataka.

30      Tako iz tekstova članaka 24. i 32. OUZP-a proizlazi da te odredbe voditelju obrade samo nameću obvezu donošenja tehničkih i organizacijskih mjera čiji je cilj izbjegavanje u najvećoj mogućoj mjeri bilo kakve povrede osobnih podataka. To jesu li takve mjere odgovarajuće treba procijeniti konkretno, ispitivanjem toga je li taj voditelj proveo te mjere, uzimajući u obzir različite kriterije sadržane u navedenim člancima i potrebe zaštite podataka koje su posebno svojstvene obradi o kojoj je riječ te njome prouzročene rizike.

31      Stoga se članke 24. i 32. OUZP-a ne može razumjeti na način da su činjenice da je treća strana neovlašteno otkrila osobne podatke ili im je neovlašteno pristupila dostatne za zaključak da mjere koje je proveo voditelj obrade o kojem je riječ nisu bile odgovarajuće u smislu tih odredaba, a da mu se pritom ni ne dopusti podnošenje dokaza o suprotnom.

32      Takvo se tumačenje to više nameće s obzirom na to da članak 24. OUZP-a izričito predviđa da voditelj obrade mora biti u mogućnosti dokazati usklađenost mjera koje je proveo s tom uredbom, što ne bi mogao učiniti kada bi se prihvatila neoboriva pretpostavka.

33      Kao drugo, kontekstualni i teleološki elementi potvrđuju to tumačenje članaka 24. i 32. OUZP-a.

34      Kad je riječ, s jedne strane, o kontekstu u kojem se nalaze ta dva članka, valja naglasiti da iz članka 5. stavka 2. OUZP-a proizlazi da voditelj obrade mora biti u mogućnosti dokazati da je poštovao načela koja se odnose na obradu osobnih podataka sadržana u stavku 1. navedenog članka. Ta se obveza ponovno navodi i pobliže određuje u članku 24. stavcima 1. i 3. i članku 32. stavku 3. te uredbe, kad je riječ o obvezi provođenja tehničkih i organizacijskih mjera radi zaštite takvih podataka kada ih obrađuje taj voditelj. Takva obveza dokazivanja toga da su te mjere odgovarajuće ne bi imala smisla kada bi voditelj obrade imao obvezu spriječiti svaku povredu navedenih podataka.

35      Usto, u uvodnoj izjavi 74. OUZP-a naglašeno je da je potrebno da voditelj obrade ima obvezu provesti odgovarajuće i djelotvorne mjere i da je u mogućnosti dokazati usklađenost aktivnosti obrade s tom uredbom, uključujući i djelotvornost mjera, kojima bi se trebalo uzeti u obzir kriterije povezane sa značajkama obrade o kojoj je riječ i s rizicima za tog pojedinca, koji su također navedeni u člancima 24. i 32. te uredbe.

36      Isto tako, u skladu s uvodnom izjavom 76. te uredbe, vjerojatnost i ozbiljnost rizika ovisi o posebnostima obrade o kojoj je riječ i taj bi rizik trebalo procjenjivati na temelju objektivne procjene.

37      Osim toga, iz članka 82. stavaka 2. i 3. OUZP-a proizlazi da, iako je voditelj obrade odgovoran za štetu prouzročenu obradom kojom se krši ta uredba, on je ipak oslobođen svoje odgovornosti ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu.

38      S druge strane, tumačenje koje proizlazi iz točke 31. ove presude potkrijepljeno je i uvodnom izjavom 83. OUZP-a, u čijoj je prvoj rečenici navedeno „[k]ako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Uredba, voditelj obrade ili izvršitelj obrade trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje”. Na taj je način zakonodavac Unije izrazio svoju namjeru da „umanji” rizike povrede osobnih podataka, a da pritom nije mislio da će ih biti moguće ukloniti.

39      S obzirom na prethodno navedeno, na prvo pitanje valja odgovoriti tako da članke 24. i 32. OUZP-a treba tumačiti na način da same činjenice da je „treća strana” u smislu članka 4. točke 10. te uredbe neovlašteno otkrila osobne podatke ili im je neovlašteno pristupila nisu dostatne za zaključak da tehničke i organizacijske mjere koje je proveo voditelj obrade o kojem je riječ nisu bile „odgovarajuće” u smislu tih članaka 24. i 32.

 Drugo pitanje

40      Svojim drugim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 32. OUZP-a tumačiti na način da nacionalni sudovi moraju konkretno ocijeniti jesu li tehničke i organizacijske mjere koje provodi voditelj obrade na temelju tog članka odgovarajuće, osobito uzimajući u obzir rizike povezane s obradom o kojoj je riječ.

41      S tim u vezi valja podsjetiti na to, kako je istaknuto u okviru odgovora na prvo pitanje, da članak 32. OUZP-a zahtijeva da voditelj obrade i izvršitelj obrade, ovisno o slučaju, provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uzimajući u obzir kriterije za ocjenu navedene u stavku 1. tog članka. Usto, u stavku 2. tog članka netaksativno su navedeni određeni čimbenici koji su relevantni za ocjenu odgovarajuće razine sigurnosti s obzirom na rizike koje predstavlja obrada o kojoj je riječ.

42      Iz navedenog članka 32. stavaka 1. i 2. proizlazi da se to jesu li takve tehničke i organizacijske mjere odgovarajuće treba ocijeniti u dva koraka. S jedne strane, valja identificirati rizike od povrede osobnih podataka koje podrazumijeva obrada o kojoj je riječ i njezine eventualne posljedice za prava i slobode pojedinaca. Tu ocjenu treba provesti konkretno, uzimajući u obzir razinu vjerojatnosti identificiranih rizika i njihovu razinu ozbiljnosti. S druge strane, valja provjeriti jesu li mjere koje je proveo voditelj obrade prilagođene tim rizicima, uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade o kojoj je riječ.

43      Točno je da voditelj obrade raspolaže određenom marginom prosudbe prilikom određivanja odgovarajućih tehničkih i organizacijskih mjera kako bi se osigurala odgovarajuća razina sigurnosti s obzirom na rizik, kako to zahtijeva članak 32. stavak 1. OUZP-a. Pa ipak nacionalni sud mora moći ocijeniti složenu procjenu koju je proveo voditelj obrade te se na taj način uvjeriti da su mjere koje je potonji proveo prikladne za jamstvo takve razine sigurnosti.

44      Usto, takvo tumačenje može osigurati, s jedne strane, djelotvornost zaštite osobnih podataka koju naglašavaju uvodne izjave 11. i 74. te uredbe i, s druge strane, pravo na učinkoviti sudski pravni lijek protiv voditelja obrade, kako je zaštićeno člankom 79. stavkom 1. navedene uredbe, u vezi s njezinom uvodnom izjavom 4.

45      Stoga, kako bi proveo nadzor nad time jesu li tehničke i organizacijske mjere provedene na temelju članka 32. OUZP-a odgovarajuće, nacionalni sud ne smije se ograničiti na to da utvrdi na koji je način voditelj obrade o kojem je riječ namjeravao ispuniti obveze koje ima na temelju tog članka, nego mora ispitati meritum tih mjera s obzirom na sve kriterije navedene u tom članku, okolnosti svojstvene konkretnom slučaju i dokaze kojima taj sud raspolaže u tom pogledu.

46      Prilikom takvog ispitivanja potrebno je konkretno analizirati i prirodu i sadržaj mjera koje je proveo voditelj obrade, način na koji su te mjere primijenjene i njihove praktične posljedice za razinu sigurnosti koju on mora jamčiti, s obzirom na rizike svojstvene toj obradi.

47      Slijedom toga, na drugo pitanje valja odgovoriti tako da članak 32. OUZP-a treba tumačiti na način da nacionalni sudovi moraju konkretno ocijeniti jesu li tehničke i organizacijske mjere koje provodi voditelj obrade na temelju tog članka odgovarajuće, uzimajući u obzir rizike povezane s obradom o kojoj je riječ i ocjenom toga jesu li priroda, sadržaj i provedba tih mjera prilagođeni tim rizicima.

 Treće pitanje

 Prvi dio trećeg pitanja

48      Prvim dijelom svojeg trećeg pitanja sud koji je uputio zahtjev u biti pita treba li načelo pouzdanosti voditelja obrade, navedeno u članku 5. stavku 2. OUZP-a i pobliže određeno u njegovu članku 24., tumačiti na način da je u okviru tužbe za naknadu štete koja se temelji na članku 82. te uredbe na voditelju obrade o kojem je riječ teret dokazivanja toga da su sigurnosne mjere koje je on proveo na temelju članka 32. navedene uredbe bile odgovarajuće.

49      S tim u vezi valja, kao prvo, podsjetiti na to da članak 5. stavak 2. OUZP-a uvodi načelo pouzdanosti, na temelju kojeg je voditelj obrade odgovoran za usklađenost s načelima koja se odnose na obradu osobnih podataka, navedenima u stavku 1. tog članka, te predviđa da navedeni voditelj obrade mora biti u mogućnosti dokazati usklađenost s tim načelima.

50      Konkretnije, voditelj obrade mora, u skladu s načelom cjelovitosti i povjerljivosti osobnih podataka koje je sadržano u članku 5. stavku 1. točki (f) te uredbe, osigurati da takvi podaci budu obrađivani na način kojim se osigurava njihova odgovarajuća sigurnost, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera i mora biti u mogućnosti dokazati usklađenost s tim načelom.

51      Isto tako valja istaknuti da kako članak 24. stavak 1. OUZP-a, s obzirom na njegovu uvodnu izjavu 74., tako i članak 32. stavak 1. te uredbe nameću voditelju obrade, u pogledu bilo koje obrade osobnih podataka koju provodi on sam ili koja se provodi u njegovo ime, provedbu odgovarajućih tehničkih i organizacijskih mjera kako bi osigurao i mogao dokazati da se obrada provodi u skladu s navedenom uredbom.

52      Iz tekstova članka 5. stavka 2., članka 24. stavka 1. i članka 32. stavka 1. OUZP-a nedvosmisleno proizlazi da je teret dokazivanja toga da su osobni podaci obrađivani na način kojim se jamči njihova odgovarajuću sigurnost u smislu članka 5. stavka 1. točke (f) i članka 32. te uredbe na voditelju obrade (vidjeti analogijom presude od 4. svibnja 2023., Bundesrepublik Deutschland (Elektronički sudski poštanski pretinac), C-60/22, EU:C:2023:373, t. 52. i 53. i od 4. srpnja 2023., Meta Platforms i dr. (Opći uvjeti uporabe društvene mreže), C-252/21, EU:C:2023:537, t. 95.).

53      Tako ta tri članka ustanovljuju pravilo opće primjene koje valja, kada drukčije nije navedeno u OUZP-u, primijeniti i u okviru tužbe za naknadu štete koja se temelji na članku 82. te uredbe.

54      Kao drugo, valja utvrditi da je prethodno navedeno doslovno tumačenje poduprto uzimanjem u obzir ciljeva koji se nastoje postići OUZP-om.

55      S jedne strane, budući da razina zaštite koju predviđa OUZP ovisi o sigurnosnim mjerama koje su donijeli voditelji obrade osobnih podataka, oni moraju biti potaknuti – time što će snositi teret dokazivanja toga jesu li te mjere odgovarajuće – učiniti sve što je moguće kako bi spriječili provedbu obrada koje nisu u skladu s tom uredbom.

56      S druge strane, ako bi valjalo smatrati da je teret dokazivanja toga jesu li navedene mjere odgovarajuće na ispitanicima, poput onih definiranih u članku 4. točki 1. OUZP-a, iz toga bi proizlazilo da je pravo na naknadu štete predviđeno člankom 82. stavkom 1. te uredbe lišeno znatnog dijela svojeg korisnog učinka, iako je zakonodavac Unije namjeravao ojačati kako prava tih osoba i tako i obveze voditeljâ obrade u odnosu na odredbe koje su bile na snazi prije donošenja te uredbe, kako je navedeno u njezinoj uvodnoj izjavi 11.

57      Stoga na prvi dio trećeg pitanja valja odgovoriti tako da načelo pouzdanosti voditelja obrade, navedeno u članku 5. stavku 2. OUZP-a i pobliže određeno u njegovu članku 24., treba tumačiti na način da je u okviru tužbe za naknadu štete koja se temelji na članku 82. te uredbe na voditelju obrade o kojem je riječ teret dokazivanja toga da su sigurnosne mjere koje je on proveo na temelju članka 32. navedene uredbe bile odgovarajuće.

 Drugi dio trećeg pitanja

58      Drugim dijelom svojeg trećeg pitanja sud koji je uputio zahtjev u biti želi saznati treba li članak 32. OUZP-a i načelo djelotvornosti prava Unije tumačiti na način da, za potrebe ocjene toga jesu li sigurnosne mjere koje je voditelj obrade proveo na temelju tog članka odgovarajuće, nalaz i mišljenje sudskog vještaka predstavljaju nužno i dostatno dokazno sredstvo.

59      U tom pogledu, valja podsjetiti na to da je u skladu s ustaljenom sudskom praksom to da, u slučaju nepostojanja pravila Unije kojima se uređuje određeno područje, na nacionalnom pravnom poretku svake države članice da uredi postupovne aspekte pravnih sredstava namijenjenih osiguranju zaštite prava pojedinaca, na temelju načela postupovne autonomije, ali pod uvjetom da ta pravila u situacijama koje su obuhvaćene pravom Unije, nisu nepovoljnija od onih kojima se uređuju slične situacije na koje se primjenjuje nacionalno pravo (načelo ekvivalentnosti) i da u praksi ne onemogućuju ili pretjerano otežavaju ostvarivanje pravâ koja dodjeljuje pravo Unije (načelo djelotvornosti) (presuda od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka), C-300/21, EU:C:2023:370, t. 53. i navedena sudska praksa).

60      U ovom slučaju valja istaknuti da OUZP ne sadržava pravila koja se odnose na prihvaćanje i dokaznu vrijednost dokaznog sredstva, poput nalaza i mišljenja sudskog vještaka, koja nacionalni sudovi koji odlučuju o tužbi za naknadu štete koja se temelji na članku 82. te uredbe moraju primijeniti i ocijeniti, s obzirom na njezin članak 32., jesu li sigurnosne mjere koje je proveo voditelj obrade o kojem je riječ odgovarajuće. Prema tome, u skladu s onime što je navedeno u prethodnoj točki ove presude i u nedostatku pravnih pravila Unije u tom području, na nacionalnom je pravnom poretku svake države članice da utvrdi detaljna pravila kojima se uređuju tužbe za zaštitu prava koja pojedinci imaju na temelju tog članka 82. i, osobito, pravila koja se odnose na dokazna sredstva na temelju kojih se može ocijeniti jesu li takve mjere odgovarajuće u tom kontekstu, pod uvjetom poštovanja navedenih načela ekvivalentnosti i djelotvornosti (vidjeti analogijom presude od 21. lipnja 2022., Ligue des droits humains, C-817/19, EU:C:2022:491, t. 297. i od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka), C-300/21, EU:C:2023:370, t 54.).

61      U ovom postupku Sud ne raspolaže nikakvim podacima koji bi potaknuli sumnje u poštovanje načela ekvivalentnosti. Drukčije je kad je riječ o usklađenosti s načelom djelotvornosti u mjeri u kojoj sam tekst drugog dijela trećeg pitanja nalaz i mišljenje sudskog vještaka postavlja kao „nužna i dostatan dokaz”.

62      Osobito, nacionalno postupovno pravilo na temelju kojeg bi bilo sustavno „nužno” da nacionalni sudovi nalože vještačenje sudskog vještaka moglo bi povrijediti načelo djelotvornosti. Naime, sustavna primjena takvog nalaza i mišljenja sudskog vještaka može se pokazati površnom s obzirom na druge dokaze koje posjeduje sud pred kojim se vodi postupak, osobito, kako je bugarska vlada navela u svojim pisanim očitovanjima, s obzirom na rezultate nadzora poštovanja mjera zaštite osobnih podataka koje je izvršilo neovisno tijelo uspostavljeno zakonom, pod uvjetom da je taj nadzor proveden nedavno, s obzirom na to da navedene mjere moraju, u skladu s člankom 24. stavkom 1. OUZP-a, prema potrebi preispitati i ažurirati.

63      Usto, kao što je Europska komisija istaknula u svojim pisanim očitovanjima, načelo djelotvornosti moglo bi biti povrijeđeno u slučaju u kojem bi izraz „dostatan” trebalo razumjeti tako da znači da nacionalni sud mora isključivo ili automatski iz nalaza i mišljenja sudskog vještaka zaključiti da su sigurnosne mjere koje je proveo voditelj obrade o kojem je riječ „odgovarajuće” u smislu članka 32. OUZP-a. Zaštita prava dodijeljenih tom uredbom, koju nastoji postići navedeno načelo djelotvornosti, a osobito pravo na učinkoviti sudski pravni lijek protiv voditelja obrade, zajamčeno njezinim člankom 79. stavkom 1., zahtijeva da neovisni sud objektivno ocijeni jesu li mjere o kojima je riječ odgovarajuće umjesto da se samo ograniči na takav zaključak (vidjeti u tom smislu presudu od 12. siječnja 2023., Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, t. 50.).

64      S obzirom na prethodno navedeno, na drugi dio trećeg pitanja valja odgovoriti tako da članak 32. OUZP-a i načelo djelotvornosti prava Unije treba tumačiti na način da, za potrebe ocjene toga jesu li sigurnosne mjere koje je voditelj obrade proveo na temelju tog članka odgovarajuće, nalaz i mišljenje sudskog vještaka ne mogu predstavljati sustavno nužno i dostatno dokazno sredstvo.

 Četvrto pitanje

65      Svojim četvrtim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 82. stavak 3. OUZP-a tumačiti na način da je voditelj obrade oslobođen svoje obveze naknade štete koju je pretrpjela osoba, na temelju članka 82. stavaka 1. i 2. te uredbe, samo zato što ta šteta proizlazi iz činjenice da je „treća strana”, u smislu članka 4. točke 10. navedene uredbe, neovlašteno otkrila osobne podatke ili im je neovlašteno pristupila.

66      Najprije valja pojasniti da iz članka 4. točke 10. OUZP-a proizlazi da su pojmom „treća strana”, među ostalim, obuhvaćene osobe koje nisu one koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade. Ta definicija obuhvaća osobe koje nisu zaposlenici voditelja obrade i nisu pod njegovim nadzorom, poput onih na koje se odnosi postavljeno pitanje.

67      Nadalje, valja podsjetiti na to da, kao prvo, članak 82. stavak 2. OUZP-a određuje da je „svaki voditelj obrade koji je uključen u obradu odgovoran […] za štetu prouzročenu obradom kojom se krši [ta u]redba”, a da stavak 3. tog članka predviđa da je voditelj obrade ili, ovisno o slučaju, izvršitelj obrade oslobođen od takve odgovornosti „ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu”.

68      Usto, u prvoj i drugoj rečenice uvodne izjave 146. OUZP-a, koja se konkretno odnosi na njegov članak 82., određeno je da bi „[v]oditelj obrade ili izvršitelj obrade trebao […] nadoknaditi svaku štetu koju osoba može pretrpjeti zbog obrade kojom se krši [ta u]redba” i da bi „trebao […] biti izuzet od odgovornosti ako dokaže da nije ni na koji način odgovoran za štetu”.

69      Iz tih odredaba proizlazi, s jedne strane, da voditelj obrade o kojem je riječ mora u načelu naknaditi štetu uzrokovanu povredom te uredbe koja je povezana s tom obradom i, s druge strane, da on može biti oslobođen od svoje odgovornosti samo ako podnese dokaz da on ni na koji način nije odgovoran za događaj koji je prouzročio štetu.

70      Dakle, kako je istaknuto izričitim dodavanjem izraza „ni na koji način” tijekom zakonodavnog postupka, okolnosti u kojima voditelj obrade može navesti da je oslobođen od građanskopravne odgovornosti koju snosi na temelju članka 82. OUZP-a moraju biti strogo ograničene na one u kojima taj voditelj može dokazati da nije odgovoran za štetu.

71      Ako su, kao u predmetnom slučaju, povredu osobnih podataka, u smislu članka 4. točke 12. OUZP-a, počinili kiberkriminalci te stoga „treća strana” u smislu članka 4. točke 10. te uredbe, tu se povredu ne može pripisati voditelju obrade, osim ako je on omogućio navedenu povredu time što je povrijedio obvezu predviđenu OUZP-om, a osobito obvezu zaštite podataka koju ima na temelju članka 5. stavka 1. točke (f) i članaka 24. i 32. te uredbe.

72      Stoga se u slučaju povrede osobnih podataka koju je počinila treća strana voditelj obrade može osloboditi od svoje odgovornosti, na temelju članka 82. stavka 3. OUZP-a, time što dokaže da ne postoji nikakva uzročna veza između njegove eventualne povrede obveze zaštite podataka i štete koju je pretrpio pojedinac.

73      Kao drugo, prethodno navedeno tumačenje tog članka 82. stavka 3. također je usklađeno s ciljem OUZP-koji se sastoji u osiguranju visoke zaštite pojedinaca u vezi s obradom njihovih osobnih podatka, a koji je naveden u uvodnim izjavama 10. i 11. te uredbe.

74      S obzirom na sva prethodna razmatranja, na četvrto pitanje valja odgovoriti tako da članak 82. stavak 3. OUZP-a treba tumačiti na način da voditelj obrade ne može biti oslobođen svoje obveze naknade štete koju je pretrpjela osoba, na temelju članka 82. stavaka 1. i 2. te uredbe, samo zato što ta šteta proizlazi iz činjenice da je „treća strana”, u smislu članka 4. točke 10. navedene uredbe, neovlašteno otkrila osobne podatke ili im je neovlašteno pristupila, pri čemu navedeni voditelj tada mora dokazati da ni na koji način nije odgovoran za događaj koji je prouzročio štetu o kojoj je riječ.

 Peto pitanje

75      Svojim petim pitanjem sud koji je uputio zahtjev u biti pita treba li članak 82. stavak 1. OUZP-a tumačiti na način da ispitanikova bojazan od toga da će treća strana možebitno zlouporabiti njegove osobne podatke, kao posljedica povrede te uredbe, može sama po sebi predstavljati „nematerijalnu štetu” u smislu te odredbe.

76      Kad je riječ, kao prvo, o tekstu članka 82. stavka 1. OUZP-a, valja primijetiti da je njime predviđeno da „[s]vaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu”.

77      S tim u vezi, Sud je istaknuo da iz teksta te odredbe jasno proizlazi da je postojanje „štete” jedan od uvjeta za nastanak prava na naknadu štete predviđenog tom odredbom, uz postojanje povrede te uredbe i uzročne veze između te štete i te povrede, pri čemu su ta tri uvjeta kumulativna (presuda od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka), C‑300/21, EU:C:2023:370, t. 32.).

78      Osim toga, oslanjajući se na doslovna, sustavna kao i teleološka razmatranja, Sud je protumačio članak 82. stavak 1. OUZP‑a na način da mu se protivi nacionalno pravilo ili praksa koji naknadu „nematerijalne štete” u smislu te odredbe uvjetuju time da je šteta koju je pretrpio ispitanik dosegnula određeni stupanj ozbiljnosti (presuda od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka), C-300/21, EU:C:2023:370, t. 51.).

79      Imajući to na umu, valja naglasiti, u predmetnom slučaju, da članak 82. stavak 1. OUZP-a ne razlikuje slučajeve u kojima je, nakon utvrđene povrede odredaba te uredbe, „nematerijalna šteta” koju navodi ispitanik, s jedne strane, povezana sa zlouporabom njegovih osobnih podataka od treće strane koja je već nastupila na datum podnošenja njegova zahtjeva za naknadu štete, ili, u kojima je ona, s druge strane, povezana strahom koji ta osoba ima da se takva uporaba može dogoditi u budućnosti.

80      Stoga tekst članka 82. stavka 1. OUZP-a ne isključuje to da pojam „materijalne štete” sadržan u toj odredbi obuhvaća situaciju, poput one koju ima na umu sud koji je uputio zahtjev, u kojoj ispitanik, kako bi ishodio naknadu na temelju te odredbe, navodi svoju bojazan da će njegove osobne podatke treća strana zlouporabiti u budućnosti zbog toga što je povrijeđena ta uredba.

81      Kao drugo, to doslovno tumačenje potkrijepljeno je uvodnom izjavom 146. OUZP-a, koja se konkretno odnosi na pravo na naknadu štete predviđeno njezinim člankom 82. stavkom 1. i u kojoj se, u trećoj rečenici, da bi „pojam štete trebalo […] široko tumačiti s obzirom na sudsku praksu Suda tako da se u potpunosti odražavaju ciljevi” te uredbe. Tumačenje pojma „nematerijalna šteta” u smislu tog članka 82. stavka 1. koje ne uključuje situacije u kojima se ispitanik na kojeg se odnosi povreda navedene uredbe poziva na svoju bojazan da će njegovi osobni podaci biti zloporabljeni u budućnosti ne odgovara širokom poimanju tog pojma, kakvo je želio zakonodavac Unije (vidjeti analogijom presudu od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka), C‑300/21, EU:C:2023:370, t. 37. i 46.).

82      Osim toga, u uvodnoj izjavi 85. prvoj rečenici OUZP-a navedeno je da „ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima, kao što su gubitak nadzora nad osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prijevara, financijski gubici, [...] ili bilo koju drugu ekonomsku ili društvenu štetu za dotičnog pojedinca”. Iz tog netaksativnog popisa primjera „šteta” koje ispitanici mogu pretrpjeti, a koje je zakonodavac Unije namjeravao uključiti u te pojmove, osobito, puki „gubitak nadzora” nad vlastitim podacima, kao posljedica povrede te uredbe, iako na štetu navedenih osoba nije došlo do konkretne zlouporabe podataka o kojima je riječ.

83      Kao treće i posljednje, tumačenje sadržano u točki 80. ove presude potkrepljuju ciljevi OUZP-a, koje u cijelosti treba odražavati kako bi se definirao pojam „šteta”, kako je navedeno u uvodnoj izjavi 146. trećoj rečenici te uredbe, Tumačenje članak 82. stavka 1. OUZP-a u skladu s kojim pojam „nematerijalna šteta”, u smislu te odredbe ne bi uključivao situacije u kojima se ispitanik jedino poziva na svoju bojazan da će njegove podatke u budućnosti zlouporabiti treća strana, nije usklađeno s jamstvom visoke razine zaštite pojedinaca u vezi s obradom osobnih podataka unutar Unije, na koji se odnosi taj instrument.

84      Međutim, valja naglasiti da je ispitanik u odnosu na kojeg je došlo do povrede OUZP‑a, koja mu je prouzročila štetne posljedice, dužan dokazati da te posljedice predstavljaju nematerijalnu štetu u smislu članka 82. te uredbe (vidjeti u tom smislu presudu od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka), C‑300/21, EU:C:2023:370, t. 50.).

85      Konkretnije, kada osoba koja zahtijeva naknadu po toj osnovi navede bojazan od zlouporabe njezinih osobnih podataka u budućnosti zbog postojanja takve povrede, nacionalni sud pred kojim se vodi postupak mora provjeriti može li se ta bojazan smatrati osnovanom u posebnim okolnostima o kojima je riječ i s obzirom na ispitanika.

86      S obzirom na prethodno navedeno, na peto pitanje valja odgovoriti tako da članak 82. stavak 1. OUZP-a treba tumačiti na način da ispitanikova bojazan od toga da će treća strana možebitno zlouporabiti njegove osobne podatke, kao posljedica povrede te uredbe, može sama po sebi predstavljati „nematerijalnu štetu” u smislu te odredbe.

 Troškovi

87      Budući da ovaj postupak ima značaj prethodnog pitanja za stranke glavnog postupka pred sudom koji je uputio zahtjev, na tom je sudu da odluči o troškovima postupka. Troškovi podnošenja očitovanja Sudu, koji nisu troškovi spomenutih stranaka, ne nadoknađuju se.

Slijedom navedenog, Sud (treće vijeće) odlučuje:

1.      Članke 24. i 32. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka),

treba tumačiti na način da:

same činjenice da je „treća strana” u smislu članka 4. točke 10. te uredbe neovlašteno otkrila osobne podatke ili im je neovlašteno pristupila nisu dostatne za zaključak da tehničke i organizacijske mjere koje je proveo voditelj obrade o kojem je riječ nisu bile „odgovarajuće” u smislu tih članaka 24. i 32.

2.      Članak 32. Uredbe 2016/679

treba tumačiti na način da:

nacionalni sudovi moraju konkretno ocijeniti jesu li tehničke i organizacijske mjere koje provodi voditelj obrade na temelju tog članka odgovarajuće, uzimajući u obzir rizike povezane s obradom o kojoj je riječ i ocjenom toga jesu li priroda, sadržaj i provedba tih mjera prilagođeni tim rizicima.

3.      Načelo pouzdanosti voditelja obrade, navedeno u članku 5. stavku 2. Uredbe 2016/679 i pobliže određeno u njezinu članku 24.,

treba tumačiti na način da je:

u okviru tužbe za naknadu štete koja se temelji na članku 82. te uredbe na voditelju obrade o kojem je riječ teret dokazivanja toga da su sigurnosne mjere koje je on proveo na temelju članka 32. navedene uredbe bile odgovarajuće.

4.      Članak 32. Uredbe 2016/679 i načelo djelotvornosti prava Unije

treba tumačiti na način da:

za potrebe ocjene toga jesu li sigurnosne mjere koje je voditelj obrade proveo na temelju tog članka odgovarajuće, nalaz i mišljenje sudskog vještaka ne mogu predstavljati sustavno nužno i dostatno dokazno sredstvo.

5.      Članak 82. stavak 3. Uredbe 2016/679

treba tumačiti na način da:

voditelj obrade ne može biti oslobođen svoje obveze naknade štete koju je pretrpjela osoba, na temelju članka 82. stavaka 1. i 2. te uredbe, samo zato što ta šteta proizlazi iz činjenice da je „treća strana”, u smislu članka 4. točke 10. navedene uredbe, neovlašteno otkrila osobne podatke ili im je neovlašteno pristupila, pri čemu navedeni voditelj tada mora dokazati da ni na koji način nije odgovoran za događaj koji je prouzročio štetu o kojoj je riječ.

6.      Članak 82. stavak 1. Uredbe 2016/679

treba tumačiti na način da:

ispitanikova bojazan od toga da će treća strana možebitno zlouporabiti njegove osobne podatke, kao posljedica povrede te uredbe, može sama po sebi predstavljati „nematerijalnu štetu” u smislu te odredbe.

Potpisi

*      Jezik postupka: bugarski