1.

Ar Reglamento (ES) 2016/679 (1) 24 straipsnis ir 32 straipsnis aiškintini taip, kad tuo atveju, kai asmenys, kurie nėra duomenų valdytojo administracijos darbuotojai ir kurių jis nekontroliuoja, be leidimo atskleidė asmens duomenis arba be leidimo gavo prieigą prie jų, kaip tai suprantama pagal Reglamento (ES) 2016/679 4 straipsnio 12 punktą, šios aplinkybės pakanka, kad būtų galima daryti prielaidą, jog taikytos techninės ir organizacinės priemonės yra netinkamos?

2.

Jeigu į pirmąjį klausimą būtų atsakyta neigiamai: koks turėtų būti teisminės teisėtumo kontrolės dalykas ir apimtis vertinant, ar techninės ir organizacinės priemonės, kurių ėmėsi duomenų valdytojas, yra tinkamos pagal Reglamento (ES) 2016/679 32 straipsnį?

3.

Jeigu į pirmąjį klausimą būtų atsakyta neigiamai: ar Reglamento (ES) 2016/679 5 straipsnio 2 dalyje ir 24 straipsnyje, siejamuose su Reglamento (ES) 2016/679 74 konstatuojamąja dalimi, įtvirtintas atskaitomybės principas aiškintinas taip, kad pagal Reglamento (ES) 2016/679 82 straipsnio 1 dalį nagrinėjant ieškinį teisme duomenų valdytojui tenka pareiga įrodyti, kad taikytos techninės ir organizacinės priemonės yra tinkamos pagal Reglamento (ES) 2016/679 32 straipsnį? Ar gauta eksperto išvada gali būti laikoma būtinu ir pakankamu įrodymu siekiant nustatyti, ar techninės ir organizacinės priemonės, kurių ėmėsi duomenų valdytojas, buvo tinkamos tokiu atveju, kaip šis, kai prieiga prie asmens duomenų be leidimo gauta ir duomenys be leidimo buvo atskleisti įvykdžius „programišių išpuolį“?

4.

Ar Reglamento (ES) 2016/679 82 straipsnio 3 dalis aiškintina taip, kad asmens duomenų atskleidimas be leidimo arba prieigos prie jų gavimas be leidimo, kaip tai suprantama pagal Reglamento (ES) 2016/679 4 straipsnio 12 punktą, kaip šioje byloje, kai „programišių išpuolį“ įvykdė asmenys, kurie nėra duomenų valdytojo administracijos darbuotojai ir kurių jis nekontroliuoja, yra aplinkybė, už kurią duomenų valdytojas jokiu būdu nėra atsakingas ir dėl kurios jis gali būti atleistas nuo atsakomybės?

5.

Ar Reglamento (ES) 2016/679 82 straipsnio 1 ir 2 dalys kartu su 85 ir 146 konstatuojamosiomis dalimis aiškintinos taip, kad tokiu atveju, kaip šis, kai buvo padarytas asmens duomenų saugumo pažeidimas, t. y. be leidimo gauta prieiga prie asmens duomenų ir duomenys be leidimo platinti įvykdžius „programišių išpuolį“, tik duomenų subjekto patirti rūpesčiai, nuogąstavimai ir baimė dėl galimo būsimo piktnaudžiavimo asmens duomenimis patenka į plačiai aiškintiną neturtinės žalos sąvoką ir pagrindžia jo teisę reikalauti atlyginti žalą, jeigu toks piktnaudžiavimas nebuvo nustatytas ir (arba) duomenų subjektas nepatyrė jokios papildomos žalos?