Začasna izdaja

SODBA SODIŠČA (tretji senat)

z dne 14. decembra 2023(*)

„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Člen 5 – Načela v zvezi z obdelavo osebnih podatkov – Člen 24 – Odgovornost upravljavca – Člen 32 – Ukrepi, sprejeti za zagotovitev varnosti obdelave – Presoja ustreznosti takih ukrepov – Obseg sodnega nadzora – Izvajanje dokazov – Člen 82 – Pravica do odškodnine in odgovornost – Morebitna oprostitev odgovornosti upravljavca v primeru kršitve, ki jo storijo tretje osebe – Zahtevek za povrnitev nepremoženjske škode zaradi strahu pred morebitno zlorabo osebnih podatkov“

V zadevi C‑340/21,

katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo Varhoven administrativen sad (vrhovno upravno sodišče, Bolgarija) z odločbo z dne 14. maja 2021, ki je na Sodišče prispela 2. junija 2021, v postopku

VB

proti

Natsionalna agentsia za prihodite,

SODIŠČE (tretji senat),

v sestavi K. Jürimäe, predsednica senata, N. Piçarra, M. Safjan, N. Jääskinen (poročevalec) in M. Gavalec, sodniki,

generalni pravobranilec: G. Pitruzzella,

sodni tajnik: A. Calot Escobar,

na podlagi pisnega postopka,

ob upoštevanju stališč, ki so jih predložili:

–        za Natsionalna agentsia za prihodite R. Spetsov,

–        za bolgarsko vlado M. Georgieva in L. Zaharieva, agentki,

–        za češko vlado O. Serdula, M. Smolek in J. Vláčil, agenti,

–        za Irsko M. Browne, Chief State Solicitor, A. Joyce, J. Quaney in M. Tierney, agenti, skupaj z D. Fennellyjem, BL,

–        za italijansko vlado G. Palmieri, agentka, skupaj z E. De Bonisom, avvocato dello Stato,

–        za portugalsko vlado P. Barros da Costa, A. Pimenta, J. Ramos in C. Vieira Guerra, agentke,

–        za Evropsko komisijo A. Bouchagiar, H. Kranenborg in N. Nikolova, agenti,

po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 27. aprila 2023

izreka naslednjo

Sodbo

1        Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 5(2), členov 24 in 32 ter člena 82, od (1) do (3), Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, v nadaljevanju: SUVP).

2        Ta predlog je bil vložen v okviru spora med fizično osebo VB in Natsionalna agentsia za prihodite (nacionalna agencija za javne prihodke, Bolgarija) (v nadaljevanju: NAP) glede povračila nepremoženjske škode, za katero ta oseba trdi, da jo je utrpela, ker naj ta javni organ ne bi izpolnil zakonskih obveznosti, ki jih ima kot upravljavec osebnih podatkov.

 Pravni okvir

3        V uvodnih izjavah 4, 10, 11, 74, 76, 83, 85 in 146 SUVP je navedeno:

„(4)      […] Ta uredba spoštuje vse temeljne pravice in upošteva svoboščine in načela, priznana z Listino [Evropske unije o temeljnih pravicah], kakor so zajeta v Pogodbah, zlasti spoštovanje zasebnega in družinskega življenja, stanovanja in komunikacij, varstvo osebnih podatkov, […] pravico do učinkovitega pravnega sredstva in nepristranskega sodišča […]

[…]

(10)      Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v [Evropski u]niji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov. […]

(11)      Za učinkovito varstvo osebnih podatkov po vsej Uniji je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke in določajo obdelavo osebnih podatkov […].

[…]

(74)      Uvesti bi bilo treba pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu. Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen dokazati skladnost dejavnosti obdelave s to direktivo, vključno z učinkovitostjo ukrepov. Ti ukrepi bi morali upoštevati naravo, obseg, okoliščine in namene obdelave ter tveganje za pravice in svoboščine posameznikov.

[…]

(76)      Verjetnost in resnost tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, bi bilo treba ugotavljati glede na vrsto, obseg, okoliščine in namene obdelave. Tveganje bi bilo treba oceniti na podlagi objektivne ocene, s katero se določi, ali dejanja obdelave podatkov pomenijo tveganje ali veliko tveganje.

[…]

(83)      Za ohranitev varnosti in preprečitev obdelave, ki bi pomenila kršitev te uredbe, bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja, na primer šifriranje. Ti ukrepi bi morali zagotavljati ustrezno raven varnosti, vključno z zaupnostjo, ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja glede na tveganja in naravo osebnih podatkov, ki jih je treba varovati. Pri oceni tveganja v zvezi z varstvom podatkov bi bilo treba pozornost posvetiti tveganjem, ki jih pomeni obdelava osebnih podatkov, kot so nenamerno ali nezakonito uničenje, izguba, sprememba, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, kar lahko zlasti povzroči fizično, premoženjsko ali nepremoženjsko škodo.

[…]

(85)      Kršitev varstva osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnim posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katera koli druga znatna gospodarska ali socialna škoda. V primeru kršitve varstva osebnih podatkov bi moral upravljavec zato o njej uradno obvestiti nadzorni organ brez nepotrebnega odlašanja […].

[…]

(146)      Upravljavec ali obdelovalec bi moral povrniti vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki krši to uredbo. Upravljavec ali obdelovalec bi moral biti oproščen odgovornosti, če dokaže, da ni v nobenem primeru odgovoren za škodo. Pojem škode bi bilo treba razlagati široko ob upoštevanju sodne prakse Sodišča na način, ki v celoti odraža cilje te uredbe. To je brez poseganja v kakršne koli odškodninske zahtevke, ki izhajajo iz kršitve drugih pravil prava Unije ali prava države članice. Obdelava, ki krši to uredbo, vključuje tudi obdelavo, ki krši delegirane in izvedbene akte, sprejete v skladu s to uredbo, in pravo države članice, ki natančneje določa pravila te uredbe. Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti celotno in učinkovito odškodnino za škodo, ki so jo utrpeli. […]“

4        Člen 4 te uredbe, naslovljen „Opredelitev pojmov“, določa:

„V tej uredbi:

(1)      ,osebni podatki‘ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); […]

(2)      ,obdelava‘ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih […];

[…]

(7)      ‚upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; […]

[…]

(10)      ,tretja oseba‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

[…]

(12)      ,kršitev varnosti osebnih podatkov‘ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

[…].“

5        Člen 5 te uredbe, naslovljen „Načela v zvezi z obdelavo osebnih podatkov“, določa:

„1.      Osebni podatki so:

(a)      obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (,zakonitost, pravičnost in preglednost‘);

[…]

(f)      obdelani na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (,celovitost in zaupnost‘);

2.      Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (,odgovornost‘).“

6        Člen 24 iste uredbe, naslovljen „Odgovornost upravljavca“, določa:

„1.      Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.

2.      Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.

3.      Zavezanost k odobrenim kodeksom ravnanja iz člena 40 ali izvajanje odobrenega mehanizma certificiranja iz člena 42 se lahko uporabi kot element za izkazovanje izpolnjevanja obveznosti upravljavca.“

7        Člen 32 SUVP, naslovljen „Varnost obdelave“, določa:

„1.      Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a)      psevdonimizacijo in šifriranjem osebnih podatkov;

(b)      zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

(c)      zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

(d)      postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

2.      Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

3.      Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma certificiranja iz člena 42 se lahko uporabi kot element, s katerim se izkaže izpolnjevanje zahtev iz odstavka 1 tega člena.

[…]“

8        Člen 79 te uredbe, naslovljen „Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca“, v odstavku 1 določa:

„Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 77, ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni, da so bile njegove pravice iz te uredbe kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu s to uredbo.“

9        Člen 82 te uredbe, naslovljen „Pravica do odškodnine in odgovornost“, v odstavkih od 1 do 3 določa:

„1.      Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.

2.      Vsak upravljavec, vključen v obdelavo, je odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. […]

3.      Upravljavec ali obdelovalec je izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.“

 Spor o glavni stvari in vprašanja za predhodno odločanje

10      Agencija NAP je organ, podrejen bolgarskemu ministru za finance. V okviru svojih nalog, ki med drugim zajemajo identifikacijo, zavarovanje in izterjavo javnih terjatev, je odgovorna za obdelavo osebnih podatkov v smislu člena 4, točka 7, SUVP.

11      Mediji so 15. julija 2019 razkrili, da je prišlo do nedovoljenega dostopa do informacijskega sistema agencije NAP in da so bili po tem kibernetskem napadu osebni podatki iz tega sistema objavljeni na internetu.

12      Ti dogodki so zadevali več kot šest milijonov fizičnih oseb z bolgarskim ali tujim državljanstvom. Nekaj sto od njih, med njimi tožeča stranka v postopku v glavni stvari, je proti agenciji NAP vložilo tožbe za povrnitev nepremoženjske škode, ki naj bi nastala zaradi razkritja njihovih osebnih podatkov.

13      V teh okoliščinah je tožeča stranka v postopku v glavni stvari pri Administrativen sad Sofia-grad (upravno sodišče mesta Sofija, Bolgarija) vložila tožbo, s katero je predlagala, naj ji agencija NAP na podlagi člena 82 SUVP in določb bolgarskega prava plača odškodnino v višini 1000 bolgarskih levov (BGN) (približno 510 EUR). V utemeljitev tega predloga je trdila, da je utrpela nepremoženjsko škodo zaradi kršitve varnosti osebnih podatkov v smislu člena 4, točka 12, SUVP, natančneje zaradi kršitve varnosti, ki naj bi bila povzročena zaradi tega, ker agencija NAP ni izpolnila obveznosti, ki jih ima zlasti na podlagi člena 5(1)(f) ter členov 24 in 32 te uredbe. Njena nepremoženjska škoda naj bi izhajala iz strahu, da bodo njeni osebni podatki, ki so bili objavljeni brez njene privolitve, v prihodnosti zlorabljeni ali da bo sama postala žrtev izsiljevanja, napada ali celo ugrabitve.

14      Agencija NAP je najprej trdila, da tožeča stranka v postopku v glavni stvari od nje ni zahtevala informacij v zvezi z natančnimi podatki, ki so bili razkriti. Dalje, agencija NAP je predložila dokumente, s katerimi je želela dokazati, da je sprejela vse potrebne ukrepe, predhodno, za preprečitev kršitve varnosti osebnih podatkov, vsebovanih v njenem informacijskem sistemu, ter, naknadno, za omejitev učinkov te kršitve in pomiritev državljanov. Poleg tega agencija NAP meni, da med zatrjevano nepremoženjsko škodo in omenjeno kršitvijo ni vzročne zveze. Nazadnje je navedla, da ker je sama utrpela zlonamerno škodo s strani oseb, ki niso bili njeni zaposleni, ne more biti odgovorna za škodljive posledice te kršitve.

15      Administrativen sad Sofia-grad (upravno sodišče mesta Sofija) je z odločbo z dne 27. novembra 2020 zavrnilo tožbo tožeče stranke iz postopka v glavni. To sodišče je menilo, prvič, da je nepooblaščen dostop do podatkovne zbirke agencije NAP posledica vdora v informacijski sistem, ki so ga izvedle tretje osebe, in drugič, da tožeča stranka v postopku v glavni stvari ni dokazala, da je bilo ravnanje agencije NAP pri sprejemanju varnostnih ukrepov pomanjkljivo. Poleg tega je menilo, da tožeča stranka ni utrpela nepremoženjske škode, ki bi povzročila nastanek pravice do odškodnine.

16      Tožeča stranka v postopku v glavni stvari je zoper omenjeno odločbo vložila kasacijsko pritožbo pri Varhoven administrativen sad (vrhovno upravno sodišče, Bolgarija), ki je predložitveno sodišče v tej zadevi. V utemeljitev pritožbe navaja, da je prvostopenjsko sodišče napačno uporabilo pravo pri porazdelitvi dokaznega bremena v zvezi z varnostnimi ukrepi, ki jih je sprejela agencija NAP, in da ta agencija ni dokazala, da njeni ukrepi v zvezi s tem niso bili pomanjkljivi. Poleg tega tožeča stranka iz postopka v glavni stvari trdi, da strah pred morebitno zlorabo njenih osebnih podatkov v prihodnosti pomeni dejansko, in ne hipotetično nepremoženjsko škodo. Agencija NAP v svojo obrambo vse te trditve prereka.

17      Predložitveno sodišče najprej meni, da je možno, da že samo dejstvo, da je prišlo do kršitve varnosti osebnih podatkov, zadostuje za ugotovitev, da ukrepi, ki jih je izvedel upravljavec teh podatkov, niso bili „ustrezni“ v smislu členov 24 in 32 SUVP.

18      Če pa tako dejstvo ne bi zadostovalo za tako ugotovitev, se sprašuje, prvič, o obsegu nadzora, ki ga morajo nacionalna sodišča opraviti v okviru presoje ustreznosti zadevnih ukrepov, in, drugič, o pravilih v zvezi z izvajanjem dokazov, ki jih je treba uporabiti v tem okviru, tako glede dokaznega bremena kot glede dokaznih sredstev, zlasti kadar je pri teh sodiščih vložena odškodninska tožba na podlagi člena 82 te uredbe.

19      Nato želi to sodišče izvedeti, ali je glede na člen 82(3) te uredbe dejstvo, da je kršitev varnosti osebnih podatkov posledica dejanja tretjih oseb, v tem primeru kibernetskega napada, dejavnik, ki upravljavca teh podatkov vedno razbremeni njegove odgovornosti za škodo, povzročeno posamezniku, na katerega se nanašajo osebni podatki.

20      Nazadnje se omenjeno sodišče sprašuje, ali strah, ki ga ima neka oseba, da bi se lahko njeni osebni podatki v prihodnosti zlorabili – v tem primeru po tem, ko se je do njih nedovoljeno dostopalo in po tem, ko so bili s strani kibernetskih kriminalcev razkriti – lahko sam po sebi pomeni „nepremoženjsko škodo“ v smislu člena 82(1) SUVP. Če je odgovor pritrdilen, tej osebi ni treba dokazati, da so tretje osebe pred vložitvijo odškodninskega zahtevka nezakonito uporabljale te podatke, na primer z zlorabo njene identitete.

21      V teh okoliščinah je Varhoven administrativen sad (vrhovno upravno sodišče) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

„1.      Ali je treba člena 24 in 32 [SUVP] razlagati tako, da za stališče, da sprejeti tehnični in organizacijski ukrepi niso ustrezni, zadostuje, da so v smislu člena 4, točka 12, [SUVP] osebne podatke nepooblaščeno razkrile ali do njih dostopale osebe, ki niso uslužbenke uprave upravljavca in niso pod njegovim nadzorom?

2.      Če je odgovor na prvo vprašanje nikalen, kakšna bi morala biti predmet in obseg sodnega nadzora zakonitosti pri preverjanju, ali so tehnični in organizacijski ukrepi, ki jih je sprejel upravljavec, na podlagi člena 32 [SUVP] ustrezni?

3.      Če je odgovor na prvo vprašanje nikalen, ali je treba načelo odgovornosti na podlagi člena 5(2) in člena 24 v povezavi z uvodno izjavo 74 [SUVP] razlagati tako, da v tožbenem postopku na podlagi člena 82(1) [SUVP] dokazno breme za to, da so sprejeti tehnični in organizacijski ukrepi na podlagi člena 32 [SUVP] ustrezni, nosi upravljavec?

Ali je mogoče pridobitev izvedenskega mnenja šteti za potreben in zadosten dokaz za ugotovitev, ali so bili tehnični in organizacijski ukrepi, ki jih je sprejel upravljavec, v primeru, kot je obravnavani, ustrezni, če sta nepooblaščen dostop do in nepooblaščeno razkritje osebnih podatkov posledica ,hekerskega napada‘?

4.      Ali je treba člen 82(3) [SUVP] razlagati tako, da gre pri nepooblaščenem razkritju ali dostopu do osebnih podatkov v smislu člena 4, točka 12, [SUVP], do katerega pride, kot v obravnavanem primeru, s ,hekerskim napadom‘ oseb, ki niso uslužbenke uprave upravljavca in niso pod njegovim nadzorom, za dogodek, za katerega upravljavec nikakor ni odgovoren in zaradi katerega ga je upravičeno izvzeti od odgovornosti?

5.      Ali je treba člen 82(1) in (2) v povezavi z uvodnima izjavama 85 in 146 [SUVP] razlagati tako, da v primeru, kot je obravnavani primer, v katerem gre za kršitev [varnosti] osebnih podatkov, ki se kaže v nepooblaščenem dostopu do in širjenju osebnih podatkov s ,hekerskim napadom‘, že skrbi, bojazni in strahovi pred možno zlorabo osebnih podatkov v prihodnosti, ki jih ima posameznik, na katerega se nanašajo osebni podatki, spadajo k pojmu nepremoženjske škode, ki ga je treba razlagati široko, in so podlaga za odškodnino, če taka zloraba ni bila ugotovljena in/ali posamezniku, na katerega se nanašajo osebni podatki, ni nastala nobena druga škoda?“

 Vprašanja za predhodno odločanje

 Prvo vprašanje

22      Predložitveno sodišče s prvim vprašanjem v bistvu sprašuje, ali je treba člena 24 in 32 SUVP razlagati tako, da nepooblaščeno razkritje osebnih podatkov ali nedovoljen dostop do takih podatkov s strani „tretjih oseb“ v smislu člena 4, točka 10, te uredbe že sama po sebi zadostujeta za to, da se šteje, da tehnični in organizacijski ukrepi, ki jih je sprejel zadevni upravljavec, niso bili „ustrezni“ v smislu teh členov 24 in 32.

23      Najprej je treba opozoriti, da je treba v skladu z ustaljeno sodno prakso izraze iz določbe prava Unije, ki, tako kot člena 24 in 32 SUVP, pri opredelitvi svojega pomena in obsega ne napotuje izrecno na pravo držav članic, običajno razlagati avtonomno in enotno v celotni Uniji, in sicer ob upoštevanju besedila zadevne določbe, ciljev, ki se želijo doseči s to določbo, in konteksta, v katerega je ta določba umeščena (glej v tem smislu sodbe z dne 18. januarja 1984, Ekro, 327/82, EU:C:1984:11, točka 11; z dne 1. oktobra 2019, Planet49, C‑673/17, EU:C:2019:801, točki 47 in 48, ter z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točka 29).

24      Na prvem mestu, v zvezi z besedilom upoštevnih določb je treba ugotoviti, da člen 24 SUVP določa splošno obveznost upravljavca osebnih podatkov, da izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da obdelava osebnih podatkov poteka v skladu s to uredbo in da lahko to dokaže.

25      V ta namen ta člen 24 v odstavku 1 našteva nekatera merila, ki jih je treba upoštevati pri ocenjevanju ustreznosti takih ukrepov, in sicer naravo, obseg, okoliščine in namene obdelave ter tveganja za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti. V tej določbi je dodatno navedeno, da se ti ukrepi pregledajo in dopolnijo, če je to potrebno.

26      S tega vidika člen 32 SUVP določa obveznosti upravljavca in morebitnega obdelovalca glede varnosti obdelave. Tako odstavek 1 tega člena določa, da morajo upravljavci in obdelovalci z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotoviti ustrezno raven varnosti glede na tveganja, ki so omenjena v prejšnji točki te sodbe, ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov zadevne obdelave.

27      Prav tako odstavek 2 tega člena določa, da je treba pri določanju ustrezne ravni varnosti upoštevati zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov.

28      Poleg tega je tako v členu 24(3) kot v členu 32(3) te uredbe navedeno, da lahko upravljavec ali obdelovalec to, da je izpolnil zahteve iz odstavkov 1 teh členov, dokaže tako, da se opre na dejstvo, da ga zavezujeta odobreni kodeks ravnanja ali odobreni mehanizem certificiranja, kot sta določena v členih 40 oziroma 42 te uredbe.

29      Iz sklicevanja na „ustrezno raven varnosti glede na tveganje“ in na „ustrezno raven varnosti“ v členu 32(1) in (2) SUVP je razvidno, da je s to uredbo vzpostavljena ureditev za obvladovanje tveganj in da njen namen ni, da bi se tveganja za kršitve varnosti osebnih podatkov popolnoma odpravila.

30      Tako je iz besedila členov 24 in 32 SUVP razvidno, da te določbe upravljavcu zgolj nalagajo sprejetje tehničnih in organizacijskih ukrepov, katerih namen je, da se v največji možni meri prepreči kakršna koli kršitev osebnih podatkov. Ustreznost takih ukrepov je treba presojati konkretno, tako da se preuči, ali je ta upravljavec te ukrepe izvajal ob upoštevanju različnih meril iz omenjenih členov, potreb po varstvu podatkov, ki so povezane posebej z zadevno obdelavo, in tveganj, ki zaradi obdelave nastajajo.

31      Zato členov 24 in 32 SUVP ni mogoče razumeti tako, da nepooblaščeno razkritje osebnih podatkov ali nepooblaščen dostop tretje osebe do takih podatkov že zadostujeta za ugotovitev, da ukrepi, ki jih je sprejel upravljavec, niso bili ustrezni v smislu teh določb, ne da bi imel ta upravljavec pri tem sploh možnost, da bi predložil nasprotni dokaz.

32      Taka razlaga je še toliko bolj potrebna, ker člen 24 SUVP izrecno določa, da mora biti upravljavec zmožen dokazati, da so ukrepi, ki jih je izvedel, skladni s to uredbo, če pa bi se sprejela uporaba neizpodbojne domneve, bi mu bila ta možnost odvzeta.

33      Na drugem mestu je treba ugotoviti, da sistematična in teleološka razlaga potrjujeta to razlago členov 24 in 32 SUVP.

34      Po eni strani, v zvezi s kontekstom, v katerega sta umeščena ta člena, je treba poudariti, da iz člena 5(2) SUVP izhaja, da mora biti upravljavec zmožen dokazati, da je spoštoval načela v zvezi z obdelavo osebnih podatkov iz odstavka 1 tega člena. Ta obveznost je povzeta in pojasnjena v členu 24(1) in (3) ter členu 32(3) te uredbe, ki vsebujeta obveznost izvajanja tehničnih in organizacijskih ukrepov za varovanje takih podatkov pri obdelavi, ki jo izvaja ta upravljavec. Taka obveznost, da se dokaže ustreznost teh ukrepov, pa ne bi bila smiselna, če bi bil upravljavec dolžan preprečiti vsako kršitev teh podatkov.

35      Poleg tega je v uvodni izjavi 74 SUVP poudarjeno, da mora upravljavec izvajati ustrezne in učinkovite ukrepe ter biti zmožen dokazati skladnost dejavnosti obdelave s to direktivo, vključno z učinkovitostjo ukrepov, pri katerih bi bilo treba upoštevati merila, povezana z značilnostmi zadevne obdelave in tveganjem, ki ga ta obdelava pomeni, ki so določena tudi v členih 24 in 32 te uredbe.

36      Podobno je v uvodni izjavi 76 te uredbe navedeno, da sta verjetnost in resnost tveganja odvisni od posebnosti zadevne obdelave in da bi bilo treba to tveganje objektivno oceniti.

37      Poleg tega iz člena 82(2) in (3) SUVP izhaja, da je upravljavec sicer odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo, vendar je kljub temu oproščen odgovornosti, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.

38      Po drugi strani je treba ugotoviti, da je razlaga iz točke 31 te sodbe potrjena tudi z uvodno izjavo 83 SUVP, v kateri je v prvem stavku navedeno, da mora „[z]a ohranitev varnosti in preprečitev obdelave, ki bi pomenila kršitev te uredbe, […] upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja“. S tem je zakonodajalec Unije izrazil svoj namen, da „zmanjša“ tveganja kršitve varnosti osebnih podatkov, pri čemer pa ni zatrjeval, da bi jih bilo mogoče popolnoma odpraviti.

39      Glede na zgoraj navedeno je treba na prvo vprašanje odgovoriti, da je treba člena 24 in 32 SUVP razlagati tako, da nepooblaščeno razkritje osebnih podatkov ali nedovoljen dostop do takih podatkov s strani „tretjih oseb“ v smislu člena 4, točka 10, te uredbe sama po sebi ne zadostujeta za to, da bi se štelo, da tehnični in organizacijski ukrepi, ki jih je sprejel zadevni upravljavec, niso bili „ustrezni“ v smislu teh členov 24 in 32.

 Drugo vprašanje

40      Predložitveno sodišče z drugim vprašanjem v bistvu sprašuje, ali je treba člen 32 SUVP razlagati tako, da morajo nacionalna sodišča ustreznost tehničnih in organizacijskih ukrepov, ki jih upravljavec izvaja na podlagi tega člena, presoditi konkretno, zlasti ob upoštevanju tveganj, povezanih z zadevno obdelavo.

41      V zvezi s tem je treba opozoriti, kot je bilo poudarjeno v okviru odgovora na prvo vprašanje, da člen 32 SUVP zahteva, da upravljavec in, odvisno od primera, obdelovalec izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ki ustreza tveganju, ob upoštevanju meril za presojo iz odstavka 1 tega člena. Poleg tega so v odstavku 2 tega člena neizčrpno našteti nekateri dejavniki, ki so pomembni za oceno ravni varnosti, ki je ustrezna glede na tveganja, ki so povezana z zadevno obdelavo.

42      Iz tega člena 32(1) in (2) izhaja, da je treba ustreznost takih tehničnih in organizacijskih ukrepov presojati v dveh fazah. Po eni strani je treba opredeliti tveganja kršitve varnosti osebnih podatkov, ki izhajajo iz zadevne obdelave, in njihove morebitne posledice za pravice in svoboščine posameznikov. To presojo je treba opraviti konkretno, pri čemer je treba upoštevati stopnjo verjetnosti uresničitve ugotovljenih tveganj in njihovo stopnjo resnosti. Po drugi strani je treba preveriti, ali so ukrepi, ki jih izvaja upravljavec, ustrezni glede na ta tveganja ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov te obdelave.

43      Res je, da ima upravljavec določeno polje proste presoje pri določitvi ustreznih tehničnih in organizacijskih ukrepov za zagotovitev ravni varnosti glede na tveganje, kot to zahteva člen 32(1) SUVP. Vendar mora biti nacionalnemu sodišču omogočeno, da opravi nadzor nad zapleteno presojo, ki jo je opravil upravljavec, in se pri tem prepriča, da so ukrepi, ki jih je sprejel, ustrezni za zagotovitev take ravni varnosti.

44      S tako razlago se lahko poleg tega zagotovi, prvič, učinkovitost varstva osebnih podatkov, ki je poudarjena v uvodnih izjavah 11 in 74 te uredbe, in, drugič, pravica do učinkovitega pravnega sredstva zoper upravljavca, kot je varovana s členom 79(1) omenjene uredbe v povezavi z uvodno izjavo 4 te uredbe.

45      Zato se nacionalno sodišče pri nadzoru ustreznosti tehničnih in organizacijskih ukrepov, ki se izvajajo na podlagi člena 32 SUVP, ne sme omejiti na to, da ugotovi, kako je upravljavec nameraval izpolniti obveznosti, ki jih ima na podlagi tega člena, temveč mora te ukrepe vsebinsko preučiti glede na vsa merila, navedena v tem členu, ter glede na okoliščine obravnavane zadeve in dokaze, ki jih ima v zvezi s tem to sodišče na voljo.

46      Za tako preučitev je treba opraviti konkretno analizo narave in vsebine ukrepov, ki jih je izvedel upravljavec, načina, na katerega so se ti ukrepi izvajali, in njihovih praktičnih učinkov na raven varnosti, ki jo je moral upravljavec zagotoviti glede na tveganja, ki so povezana s to obdelavo.

47      Zato je treba na drugo vprašanje odgovoriti, da je treba člen 32 SUVP razlagati tako, da morajo nacionalna sodišča ustreznost tehničnih in organizacijskih ukrepov, ki jih upravljavec izvaja na podlagi tega člena, presoditi konkretno, ob upoštevanju tveganj, povezanih z zadevno obdelavo, pri čemer morajo preizkusiti, ali so narava, vsebina in izvajanje teh ukrepov prilagojeni tem tveganjem.

 Tretje vprašanje

 Prvi del tretjega vprašanja

48      Predložitveno sodišče s prvim delom tretjega vprašanja v bistvu sprašuje, ali je treba načelo odgovornosti upravljavca, ki je določeno v členu 5(2) SUVP in konkretizirano v členu 24 te uredbe, razlagati tako, da mora upravljavec v okviru odškodninske tožbe na podlagi člena 82 te uredbe dokazati ustreznost varnostnih ukrepov, ki jih je izvedel na podlagi člena 32 te uredbe.

49      V zvezi s tem je treba na prvem mestu opozoriti, da člen 5(2) SUVP določa načelo odgovornosti, v skladu s katerim je upravljavec odgovoren za spoštovanje načel v zvezi z obdelavo osebnih podatkov iz odstavka 1 tega člena, in določa, da mora biti ta upravljavec zmožen dokazati spoštovanje teh načel.

50      Natančneje, upravljavec mora v skladu z načelom celovitosti in zaupnosti osebnih podatkov iz člena 5(1)(f) te uredbe zagotoviti, da se taki podatki obdelujejo na način, ki zagotavlja ustrezno varnost teh podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo in pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi, in mora biti zmožen dokazati, da je to načelo spoštovano.

51      Poudariti je treba tudi, da tako člen 24(1) SUVP, glede na uvodno izjavo 74 te uredbe, kot člen 32(1) te uredbe upravljavcu nalagata, da v zvezi s kakršno koli obdelavo osebnih podatkov, ki jo izvaja sam ali se izvaja za njegov račun, izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo.

52      Iz besedil člena 5(2), člena 24(1) in člena 32(1) SUVP nedvoumno izhaja, da dokazno breme, da se osebni podatki obdelujejo na način, ki zagotavlja njihovo ustrezno varnost v smislu člena 5(1)(f) in člena 32 te uredbe, nosi upravljavec (glej po analogiji sodbi z dne 4. maja 2023, Bundesrepublik Deutschland (Elektronski predal sodišča), C‑60/22, EU:C:2023:373, točki 52 in 53, in z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja), C‑252/21, EU:C:2023:537, točka 95).

53      Ti trije členi tako določajo splošno pravilo, ki ga je treba, če v SUVP ni določeno drugače, uporabiti tudi v okviru odškodninske tožbe na podlagi člena 82 te uredbe.

54      Na drugem mestu je treba ugotoviti, da je zgoraj navedena jezikovna razlaga podprta s cilji, ki se jih želi doseči z SUVP.

55      Prvič, ker je raven varstva na podlagi SUVP odvisna od varnostnih ukrepov, ki jih sprejmejo upravljavci osebnih podatkov, je treba te upravljavce s tem, da nosijo breme dokazovanja ustreznosti teh ukrepov, spodbuditi, da storijo vse, da preprečijo, da bi v zvezi z obdelavo prišlo do ravnanj, ki niso skladna s to uredbo.

56      Drugič, če bi se štelo, da dokazno breme glede ustreznosti omenjenih ukrepov nosijo posamezniki, na katere se nanašajo osebni podatki, kot so opredeljeni v členu 4, točka 1, SUVP, bi bila posledica to, da bi bil pravici do odškodnine iz člena 82(1) SUVP odvzet velik del polnega učinka, čeprav je imel zakonodajalec Unije, kot je navedeno v uvodni izjavi 11 te uredbe, namen, da se v primerjavi z določbami, ki so veljale pred to uredbo, okrepijo tako pravice teh posameznikov kot obveznosti upravljavcev.

57      Na prvi del tretjega vprašanja je torej treba odgovoriti, da je treba načelo odgovornosti upravljavca, ki je določeno v členu 5(2) SUVP in konkretizirano v členu 24 te uredbe, razlagati tako, da mora upravljavec v okviru odškodninske tožbe na podlagi člena 82 te uredbe dokazati ustreznost varnostnih ukrepov, ki jih je izvedel na podlagi člena 32 te uredbe.

 Drugi del tretjega vprašanja

58      Predložitveno sodišče želi z drugim delom tretjega vprašanja v bistvu izvedeti, ali je treba člen 32 SUVP in načelo učinkovitosti prava Unije razlagati tako, da za presojo ustreznosti varnostnih ukrepov, ki jih je upravljavec izvedel na podlagi tega člena, sodno izvedensko mnenje pomeni potreben in zadosten dokaz.

59      V zvezi s tem je treba opozoriti, da iz ustaljene sodne prakse izhaja, da je treba ob neobstoju pravil Unije na zadevnem področju na podlagi načela procesne avtonomije v notranjem pravnem redu vsake države članice urediti procesna pravila za sodna pravna sredstva, katerih namen je varstvo pravic pravnih subjektov, pod pogojem, da ta pravila v položajih, za katere se uporabi pravo Unije, niso manj ugodna od tistih, ki urejajo podobne položaje, za katere velja nacionalno pravo (načelo enakovrednosti), in v praksi ne onemogočajo ali pretirano otežujejo uveljavljanja pravic, ki jih daje pravo Unije (načelo učinkovitosti) (sodba z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točka 53 in navedena sodna praksa).

60      V obravnavanem primeru je treba ugotoviti, da SUVP ne določa pravil v zvezi z dopustnostjo in dokazno vrednostjo dokaznih sredstev, kot je sodno izvedensko mnenje, ki jih morajo uporabiti nacionalna sodišča, ki odločajo o odškodninski tožbi na podlagi člena 82 te uredbe in ki so pristojna, da glede na člen 32 te uredbe presodijo o ustreznosti varnostnih ukrepov, ki jih je izvedel upravljavec. Zato je treba v skladu s tem, kar je bilo opozorjeno v prejšnji točki te sodbe, in ob neobstoju pravil prava Unije na tem področju v nacionalnem pravnem redu vsake države članice določiti pravila za obravnavo pravnih sredstev, katerih namen je zagotavljanje varstva pravic, ki jih imajo posamezniki na podlagi tega člena 82, in zlasti pravila o dokaznih sredstvih, ki omogočajo presojo ustreznosti takih ukrepov v tem okviru, pri čemer pa morata biti spoštovani načeli enakovrednosti in učinkovitosti (glej po analogiji sodbi z dne 21. junija 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, točka 297, in z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točka 54).

61      Sodišče v tem postopku ne razpolaga z nobenim dokazom, ki bi vzbujal dvom o spoštovanju načela enakovrednosti. Drugače velja za skladnost z načelom učinkovitosti, saj je že v besedilu drugega dela tretjega vprašanja uporaba izvedenskega mnenja predstavljena kot „potreben in zadosten dokaz“.

62      Natančneje, nacionalno postopkovno pravilo, v skladu s katerim bi bilo vedno „potrebno“, da nacionalna sodišča odredijo izdelavo sodnega izvedenskega mnenja, bi lahko bilo v nasprotju z načelom učinkovitosti. Nujna uporaba takega izvedenskega mnenja se namreč lahko izkaže za odvečno glede na druge dokaze, s katerimi razpolaga sodišče, ki odloča o zadevi, med drugim – kot je bolgarska vlada navedla v pisnem stališču – glede na rezultate nadzora nad spoštovanjem ukrepov za varovanje osebnih podatkov, ki ga je opravil neodvisni organ, ustanovljen z zakonom, če je bil ta nadzor opravljen pred kratkim, saj je treba navedene ukrepe v skladu s členom 24(1) SUVP po potrebi ponovno pregledovati in dopolnjevati.

63      Poleg tega, kot je Evropska komisija navedla v pisnem stališču, bi bilo načelo učinkovitosti lahko kršeno, če bi se izraz „zadosten“ razumel tako, da mora nacionalno sodišče iz izvedenskega mnenja izključno ali vedno sklepati, da so varnostni ukrepi, ki jih je izvedel upravljavec, „ustrezni“ v smislu člena 32 SUVP. Iz varstva pravic, ki jih daje ta uredba, h kateremu stremi omenjeno načelo učinkovitosti, in zlasti iz pravice do učinkovitega pravnega sredstva zoper upravljavca, ki se zagotavlja s členom 79(1) te uredbe, pa izhaja zahteva, da mora nepristransko sodišče opraviti objektivno presojo ustreznosti zadevnih ukrepov in se ne more omejiti zgolj na tako sklepanje (glej v tem smislu sodbo z dne 12. januarja 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, točka 50).

64      Glede na zgoraj navedeno je treba na drugi del tretjega vprašanja odgovoriti, da je treba člen 32 SUVP in načelo učinkovitosti prava Unije razlagati tako, da za presojo ustreznosti varnostnih ukrepov, ki jih je upravljavec izvedel na podlagi tega člena, sodno izvedensko mnenje ni dokaz, ki bi bil vedno potreben in zadosten.

 Četrto vprašanje

65      Predložitveno sodišče s četrtim vprašanjem v bistvu sprašuje, ali je treba člen 82(3) SUVP razlagati tako, da je upravljavec obveznosti iz člena 82(1) in (2) te uredbe, da osebi, ki je utrpela škodo, to škodo povrne, oproščen zgolj zaradi dejstva, da je ta škoda posledica nepooblaščenega razkritja osebnih podatkov ali nepooblaščenega dostopa do takih podatkov s strani „tretjih oseb“ v smislu člena 4, točka 10, te uredbe.

66      Najprej je treba pojasniti, da iz člena 4, točka 10, SUVP izhaja, da so „tretje osebe“ med drugim osebe, ki niso osebe, ki so pod neposrednim vodstvom upravljavca ali obdelovalca pooblaščene za obdelavo osebnih podatkov. Ta opredelitev zajema osebe, ki niso zaposlene pri upravljavcu in niso pod njegovim nadzorom, kot so osebe, na katere se nanaša postavljeno vprašanje.

67      Dalje, opozoriti je treba, na prvem mestu, da člen 82(2) SUVP določa, da je „[v]sak upravljavec, vključen v obdelavo, […] odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo“, in da odstavek 3 tega člena določa, da je upravljavec ali, odvisno od primera, obdelovalec oproščen take odgovornosti „če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo“.

68      Poleg tega je v uvodni izjavi 146 SUVP, ki se posebej nanaša na člen 82 te uredbe, v prvem in drugem stavku navedeno, da bi moral „[u]pravljavec ali obdelovalec […] povrniti vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki krši to uredbo“ in da „bi moral biti oproščen odgovornosti, če dokaže, da ni v nobenem primeru odgovoren za škodo“.

69      Iz teh določb izhaja, prvič, da mora upravljavec načeloma povrniti škodo, ki je povzročena s kršitvijo te uredbe in povezana s to obdelavo, in, drugič, da se lahko razbremeni odgovornosti le, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki je povzročil to škodo.

70      Kot je razvidno iz v zakonodajnem postopku izrecno dodanega besedila „v nobenem primeru“, morajo biti okoliščine, v katerih se lahko upravljavec sklicuje na to, da je oproščen civilne odgovornosti, ki bi jo sicer nosil na podlagi člena 82 SUVP, strogo omejene na tiste, v katerih je ta upravljavec zmožen dokazati, da mu škode ni mogoče pripisati.

71      Kadar – kot v obravnavanem primeru – kršitev varnosti osebnih podatkov v smislu člena 4, točka 12, SUVP povzročijo kibernetski kriminalci in torej „tretja oseba“ v smislu člena 4, točka 10, te uredbe, te kršitve ni mogoče pripisati upravljavcu, razen če je ta omogočil navedeno kršitev s tem, da je kršil obveznost iz SUVP in zlasti obveznost varstva podatkov, ki jo ima na podlagi člena 5(1)(f) ter členov 24 in 32 te uredbe.

72      Tako se lahko upravljavec v primeru kršitve varnosti osebnih podatkov, ki jo stori tretja oseba, na podlagi člena 82(3) SUVP razbremeni odgovornosti, če dokaže, da ni vzročne zveze med njegovo morebitno kršitvijo obveznosti varstva podatkov in škodo, ki jo je utrpel posameznik.

73      Na drugem mestu, zgornja razlaga tega člena 82(3) je tudi v skladu s ciljem SUVP, da se zagotovi visoka raven varstva posameznikov pri obdelavi njihovih osebnih podatkov, ki je naveden v uvodnih izjavah 10 in 11 te uredbe.

74      Glede na vse te preudarke je treba na četrto vprašanje odgovoriti, da je treba člen 82(3) SUVP razlagati tako, da upravljavec obveznosti iz člena 82(1) in (2) te uredbe, da osebi, ki je utrpela škodo, to škodo povrne, ne more biti oproščen zgolj zaradi dejstva, da je ta škoda posledica nepooblaščenega razkritja osebnih podatkov ali nepooblaščenega dostopa do takih podatkov s strani „tretjih oseb“ v smislu člena 4, točka 10, te uredbe, ampak mora upravljavec dokazati, da v nobenem primeru ni odgovoren za dogodek, ki je povzročil škodo.

 Peto vprašanje

75      Predložitveno sodišče s petim vprašanjem v bistvu sprašuje, ali je treba člen 82(1) SUVP razlagati tako, da lahko že sam strah, ki ga posameznik, na katerega se nanašajo osebni podatki, občuti po kršitvi te uredbe, da bi lahko tretje osebe zlorabile njegove osebne podatke, pomeni „nepremoženjsko škodo“ v smislu te določbe.

76      Na prvem mestu je treba v zvezi z besedilom člena 82(1) SUVP ugotoviti, da ta določa, da ima „[v]sak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, […] pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo“.

77      V zvezi s tem je Sodišče navedlo, da je iz besedila člena 82(1) SUVP jasno razvidno, da je obstoj „škode“, ki je „nastala“, eden od pogojev za pravico do odškodnine iz navedene določbe, in sicer poleg obstoja kršitve te uredbe in vzročne zveze med to škodo in to kršitvijo, pri čemer so ti trije pogoji kumulativni (sodba z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točka 32).

78      Poleg tega je Sodišče na podlagi jezikovne, sistematične in teleološke razlage člen 82(1) SUVP razlagalo tako, da nasprotuje nacionalnemu pravilu ali praksi, ki odškodnino za „nepremoženjsko škodo“ v smislu te določbe pogojuje s tem, da je škoda, ki je nastala posamezniku, na katerega se nanašajo osebni podatki, dosegla določeno stopnjo resnosti (sodba z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točka 51).

79      Ob tem je treba v obravnavanem primeru poudariti, da se v členu 82(1) SUVP ne razlikuje med primeri, v katerih je po dokazani kršitvi določb te uredbe „nepremoženjska škoda“, ki jo zatrjuje posameznik, na eni strani povezana z zlorabo njegovih osebnih podatkov s strani tretjih oseb, do katere je na dan vložitve odškodninskega zahtevka že prišlo, ali pa je na drugi strani povezana s strahom, ki ga občuti ta oseba, da bi do take zlorabe lahko prišlo v prihodnosti.

80      Zato besedilo člena 82(1) SUVP ne izključuje možnosti, da pojem „nepremoženjska škoda“ iz te določbe zajema položaj, kakršen je ta, ki ga opisuje predložitveno sodišče, v katerem se posameznik, na katerega se nanašajo osebni podatki, z namenom pridobitve odškodnine na podlagi te določbe opira na svoj strah, da bodo zaradi nastale kršitve te uredbe njegove osebne podatke v prihodnosti zlorabile tretje osebe.

81      To jezikovno razlago, na drugem mestu, potrjuje uvodna izjava 146 SUVP, ki se nanaša posebej na pravico do odškodnine iz člena 82(1) te uredbe in v kateri je v tretjem stavku navedeno, da bi bilo treba „[p]ojem škode […] razlagati široko ob upoštevanju sodne prakse Sodišča na način, ki v celoti odraža cilje“ te uredbe. Razlaga pojma „nepremoženjska škoda“ iz člena 82(1) SUVP, ki ne bi vključevala položajev, v katerih se oseba, ki jo zadeva kršitev te uredbe, sklicuje na strah, ki ga občuti, da bodo njeni osebni podatki predmet zlorabe v prihodnosti, pa ne bi ustrezala široki razlagi tega pojma, kot jo je želel doseči zakonodajalec Unije (glej po analogiji sodbo z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točki 37 in 46).

82      Poleg tega je v uvodni izjavi 85, prvi stavek, SUVP navedeno, da lahko „[k]ršitev varstva osebnih podatkov […], če se ne obravnava ustrezno in pravočasno, zadevnim posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba […] ali katera koli druga znatna gospodarska ali socialna škoda.“ Iz tega eksemplifikativnega seznama so razvidne „škode“, ki bi posameznikom, na katere se nanašajo osebni podatki, lahko nastale, in jih je zakonodajalec Unije nameraval zajeti s tem pojmom, med katerimi je zlasti „izguba nadzora“ nad lastnimi podatki zaradi kršitve te uredbe, čeprav do zlorabe zadevnih podatkov v škodo omenjenih oseb konkretno še ni prišlo.

83      Na tretjem in zadnjem mestu, razlago iz točke 80 te sodbe potrjujejo cilji SUVP, ki jih je treba, kot je navedeno v uvodni izjavi 146, tretji stavek, te uredbe, pri opredelitvi pojma „škoda“ v celoti upoštevati. Razlaga člena 82(1) SUVP, da pojem „nepremoženjska škoda“ v smislu te določbe ne zajema položajev, v katerih se posameznik, na katerega se nanašajo osebni podatki, sklicuje zgolj na svoj strah, da bodo njegove podatke v prihodnosti zlorabile tretje osebe, pa ne bi bila v skladu z zagotavljanjem visoke ravni varstva posameznikov pri obdelavi osebnih podatkov v Uniji, ki se želi doseči s tem instrumentom.

84      Vendar je treba poudariti, da mora oseba, ki jo zadeva kršitev SUVP, zaradi katere je utrpela negativne posledice, dokazati, da te posledice pomenijo nepremoženjsko škodo v smislu člena 82 te uredbe (glej v tem smislu sodbo z dne 4. maja 2023, Österreichische Post (Nepremoženjska škoda v zvezi z obdelavo osebnih podatkov), C‑300/21, EU:C:2023:370, točka 50).

85      Natančneje, kadar se oseba, ki zahteva odškodnino na tej podlagi, sklicuje na strah, da bo zaradi take kršitve v prihodnosti prišlo do zlorabe njenih osebnih podatkov, mora nacionalno sodišče, ki odloča o zadevi, preveriti, ali je ta strah v posebnih okoliščinah zadeve in v zvezi z zadevno osebo mogoče šteti za utemeljen.

86      Glede na zgoraj navedeno je treba na peto vprašanje odgovoriti, da je treba člen 82(1) SUVP razlagati tako, da lahko že sam strah, ki ga posameznik, na katerega se nanašajo osebni podatki, občuti po kršitvi te uredbe, da bi lahko tretje osebe zlorabile njegove osebne podatke, pomeni „nepremoženjsko škodo“ v smislu te določbe.

 Stroški

87      Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (tretji senat) razsodilo:

1.      Člena 24 in 32 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)

je treba razlagati tako, da

nepooblaščeno razkritje osebnih podatkov ali nedovoljen dostop do takih podatkov s strani „tretjih oseb“ v smislu člena 4, točka 10, te uredbe sama po sebi ne zadostujeta za to, da bi se štelo, da tehnični in organizacijski ukrepi, ki jih je sprejel zadevni upravljavec, niso bili „ustrezni“ v smislu teh členov 24 in 32.

2.      Člen 32 Uredbe 2016/679

je treba razlagati tako, da

morajo nacionalna sodišča ustreznost tehničnih in organizacijskih ukrepov, ki jih upravljavec izvaja na podlagi tega člena, presoditi konkretno, ob upoštevanju tveganj, povezanih z zadevno obdelavo, pri čemer morajo preizkusiti, ali so narava, vsebina in izvajanje teh ukrepov prilagojeni tem tveganjem.

3.      Načelo odgovornosti upravljavca iz člena 5(2) Uredbe 2016/679, ki je konkretizirano v členu 24 te uredbe,

je treba razlagati tako, da

mora upravljavec v okviru odškodninske tožbe na podlagi člena 82 te uredbe dokazati ustreznost varnostnih ukrepov, ki jih je izvedel na podlagi člena 32 te uredbe.

4.      Člen 32 Uredbe 2016/679 in načelo učinkovitosti prava Unije

je treba razlagati tako, da

za presojo ustreznosti varnostnih ukrepov, ki jih je upravljavec izvedel na podlagi tega člena, sodno izvedensko mnenje ni dokaz, ki bi bil vedno potreben in zadosten.

5.      Člen 82(3) Uredbe 2016/679

je treba razlagati tako, da

upravljavec obveznosti iz člena 82(1) in (2) te uredbe, da osebi, ki je utrpela škodo, to škodo povrne, ne more biti oproščen zgolj zaradi dejstva, da je ta škoda posledica nepooblaščenega razkritja osebnih podatkov ali nepooblaščenega dostopa do takih podatkov s strani „tretjih oseb“ v smislu člena 4, točka 10, te uredbe, ampak mora upravljavec dokazati, da v nobenem primeru ni odgovoren za dogodek, ki je povzročil škodo.

6.      Člen 82(1) Uredbe 2016/679

je treba razlagati tako, da

lahko že sam strah, ki ga posameznik, na katerega se nanašajo osebni podatki, občuti po kršitvi te uredbe, da bi lahko tretje osebe zlorabile njegove osebne podatke, pomeni „nepremoženjsko škodo“ v smislu te določbe.

Podpisi

*      Jezik postopka: bolgarščina.