1)

Czy art. 24 i 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (1) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że wystarczające jest zrealizowanie nieuprawnionego ujawnienia lub dostępu do danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679 przez osoby, które nie są urzędnikami w administracji administratora danych osobowych i nie są pod jego kontrolą, aby przyjąć, że zastosowane środki techniczne i organizacyjne nie są odpowiednie?

2)

Na wypadek udzielenia odpowiedzi przeczącej na pytanie pierwsze, jaki powinien być przedmiot i zakres sądowej kontroli zgodności z prawem przy weryfikacji, czy zastosowane przez administratora danych osobowych środki techniczne i organizacyjne, o których mowa w art. 32 rozporządzenia 2016/679, są odpowiednie?

3)

Na wypadek udzielenia odpowiedzi przeczącej na pytanie pierwsze, czy zasadę rozliczalności określoną w art. 5 ust. 2 oraz art. 24 w związku z motywem 74 rozporządzenia 2016/679 należy interpretować w ten sposób, że w postępowaniu z powództwa określonego w art. 82 ust. 1 rozporządzenia 2016/679 na administratorze danych osobowych ciąży ciężar dowodu odnośnie do okoliczności, że zastosowane środki techniczne i organizacyjne, o których mowa w art. 32 rozporządzenia, są odpowiednie? Czy zarządzenie sporządzenia opinii przez biegłego sądowego można uznać za niezbędny i wystarczający środek dowodowy dla celów ustalenia, czy zastosowane przez administratora danych osobowych środki techniczne i organizacyjne są odpowiednie w sytuacji takiej jak rozpatrywana, w której nieuprawniony dostęp i ujawnianie danych osobowych jest rezultatem „ataku hakerskiego”?

4)

Czy art. 82 ust. 3 rozporządzenia 2016/679 należy interpretować w ten sposób, że nieuprawnione ujawnienie lub dostęp do danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679 – w niniejszym wypadku poprzez „atak hakerski” osób, które nie są urzędnikami w administracji administratora danych osobowych i nie są pod jego kontrolą – jest zdarzeniem, w odniesieniu do którego administrator danych osobowych w żaden sposób nie ponosi winy, i jest podstawą zwolnienia z odpowiedzialności?

5)

Czy art. 82 ust. 1 i 2 w związku z motywami 85 i 146 preambuły rozporządzenia 2016/679 należy interpretować w ten sposób, że w sytuacji takiej jak rozpatrywana, w której naruszono bezpieczeństwo danych osobowych poprzez nieuprawniony dostęp i rozpowszechnianie danych osobowych zrealizowane w ramach „ataku hakerskiego”, same w sobie przeżyte przez podmiot danych osobowych obawy, zmartwienia i strach przed ewentualnym przyszłym nadużyciem danych osobowych – bez zaistnienia takiego nadużycia lub wyrządzenia innej szkody podmiotowi danych – są objęte szerokim rozumieniem pojęcia szkód niematerialnych i stanowi [to] podstawę do zasądzenia odszkodowania?